Cách tốt nhất để phân đoạn lưu lượng, Vlan hoặc mạng con?

Chúng tôi có một mạng lưới cỡ trung bình khoảng 200 nút và hiện đang trong quá trình thay thế các công tắc xích cũ bằng các công tắc kiểu khung có thể xếp chồng hoặc khung.

Ngay bây giờ, mạng của chúng tôi được chia nhỏ thông qua các mạng con: sản xuất, quản lý, sở hữu trí tuệ (IP), v.v., mỗi mạng trên một mạng con riêng biệt. Việc tạo Vlan thay vì mạng con sẽ có lợi hơn?

Mục tiêu chung của chúng tôi là ngăn chặn tắc nghẽn, phân luồng giao thông để bảo mật và quản lý lưu lượng dễ dàng hơn.

Vlan s và mạng con giải quyết các vấn đề khác nhau. Các Vlan hoạt động ở Lớp 2 , do đó thay đổi các miền quảng bá (ví dụ). Trong đó các mạng con là Lớp 3 trong bối cảnh hiện tại

Một đề nghị là thực sự thực hiện cả hai

Chẳng hạn, có Vlan 10 - 15 cho các loại thiết bị khác nhau của bạn (Dev, Test, Sản xuất, Người dùng, v.v.)

Vlan 10, bạn có thể có mạng con 192.168.54.x / 24 Vlan 11, bạn có thể có mạng con 192.168.55.x / 24

Và như thế

Điều này sẽ yêu cầu bạn có một bộ định tuyến trong mạng của bạn, mặc dù

Nó tùy thuộc vào bạn đi theo con đường nào (Bạn biết mạng của bạn tốt hơn bao giờ hết). Nếu bạn nghĩ rằng kích thước của miền quảng bá của bạn sẽ là một loại vấn đề, thì hãy sử dụng Vlan. Nếu bạn nghĩ rằng kích thước của các miền quản lý mạng của bạn (ví dụ: mạng quản lý của bạn) thì có thể sử dụng mạng gần hơn với a / 16 trên a / 24

200 nút của bạn sẽ phù hợp với a / 24, nhưng điều đó rõ ràng không cung cấp cho bạn nhiều phạm vi để phát triển

Theo âm thanh của nó, bạn đã sử dụng các mạng con khác nhau cho các loại thiết bị khác nhau. Vì vậy, tại sao không gắn bó với điều đó? Bạn có thể, nếu bạn muốn, buộc mỗi mạng con vào Vlan. Phân đoạn lớp 2 sẽ dẫn đến hành vi của mạng của bạn thay đổi so với cách thức hoạt động của mạng hiện tại

Bạn sẽ phải điều tra tác động tiềm tàng của điều đó

(Tôi đã đi trên đường cả ngày và lỡ nhảy vào cái này ... Tuy nhiên, đến cuối trò chơi tôi sẽ thấy những gì tôi có thể làm.)

Thông thường, bạn tạo Vlan trong Ethernet và ánh xạ các mạng con IP 1-1 thành chúng. Có nhiều cách để không làm điều này, nhưng gắn bó trong một thế giới "vanilla đơn giản", bạn sẽ tạo Vlan, nghĩ ra một mạng con IP để sử dụng trong Vlan, gán cho một số bộ định tuyến một địa chỉ IP trong Vlan đó, gắn bộ định tuyến đó vào Vlan (có giao diện vật lý hoặc giao diện con ảo trên bộ định tuyến), kết nối một số máy chủ với Vlan và gán địa chỉ IP của chúng trong mạng con bạn đã xác định và định tuyến lưu lượng truy cập của chúng vào và ra khỏi Vlan.

Bạn không nên bắt đầu chia mạng Ethernet LAN trừ khi bạn có lý do chính đáng để thực hiện. Hai lý do tốt nhất là:

• Giảm thiểu các vấn đề hiệu suất. Ethernet LAN không thể mở rộng vô hạn. Phát sóng quá mức hoặc tràn ngập các khung hình đến các điểm đến chưa biết sẽ giới hạn quy mô của chúng. Một trong những điều kiện này có thể được gây ra bằng cách tạo một miền quảng bá trong Ethernet LAN quá lớn. Lưu lượng phát sóng rất dễ hiểu, nhưng việc tràn ngập các khung hình đến các điểm đến không xác định sẽ khó hiểu hơn một chút. Nếu bạn nhận được nhiều thiết bị đến mức các bảng MAC chuyển đổi của bạn bị tràn, các công tắc sẽ buộc phải tràn các khung không phát ra khỏi tất cả các cổng nếu đích của khung không khớp với bất kỳ mục nào trong bảng MAC. Nếu bạn có một miền quảng bá đơn đủ lớn trong Ethernet LAN có cấu hình lưu lượng truy cập lưu trữ không thường xuyên (nghĩa là,

• Mong muốn hạn chế / kiểm soát lưu lượng di chuyển giữa các máy chủ ở lớp 3 trở lên. Bạn có thể thực hiện một số tin tặc kiểm tra lưu lượng ở lớp 2 (ala Linux ebtables) nhưng điều này rất khó quản lý (vì các quy tắc được gắn với địa chỉ MAC và thay đổi các NIC đòi hỏi phải thay đổi quy tắc) có thể gây ra những hành vi thực sự kỳ lạ (thực hiện Ví dụ, việc ủy ​​quyền minh bạch của HTTP ở lớp 2 là kỳ quặc và thú vị, nhưng hoàn toàn không tự nhiên và có thể rất không trực quan để khắc phục sự cố) và thường khó thực hiện ở các lớp thấp hơn (vì các công cụ của lớp 2 giống như gậy và đá tại xử lý các mối quan tâm lớp 3+). Nếu bạn muốn kiểm soát lưu lượng IP (hoặc TCP hoặc UDP, v.v.) giữa các máy chủ, thay vì tấn công sự cố ở lớp 2, bạn nên mạng con và dán tường lửa / bộ định tuyến bằng ACL giữa các mạng con.

Các vấn đề cạn kiệt băng thông (trừ khi chúng được gây ra bởi các gói phát sóng hoặc làm ngập khung hình) thường không được giải quyết bằng Vlan và mạng con. Chúng xảy ra do thiếu kết nối vật lý (quá ít NIC trên máy chủ, quá ít cổng trong một nhóm tổng hợp, cần phải tăng tốc độ cổng nhanh hơn) và không thể giải quyết bằng cách chia nhỏ hoặc triển khai Vlan kể từ khi chiến thắng 't tăng lượng băng thông có sẵn.

Nếu bạn thậm chí không có thứ gì đó đơn giản như MRTG chạy biểu đồ thống kê lưu lượng truy cập trên mỗi cổng trên các thiết bị chuyển mạch của bạn thì đó thực sự là đơn hàng đầu tiên của bạn trước khi bạn bắt đầu có khả năng đưa ra các nút cổ chai với mạng con có ý định tốt nhưng không được thông báo. Tổng số byte thô là một khởi đầu tốt, nhưng bạn nên theo dõi nó với việc đánh hơi được nhắm mục tiêu để có thêm thông tin chi tiết về hồ sơ lưu lượng.

Khi bạn biết cách lưu lượng di chuyển xung quanh trên mạng LAN của mình, bạn có thể bắt đầu suy nghĩ về việc chia nhỏ mạng vì lý do hiệu suất.

Theo như "bảo mật", bạn sẽ cần biết nhiều về phần mềm ứng dụng của mình và cách nó nói trước khi bạn có thể tiến hành.

Tôi đã thực hiện một thiết kế cho một mạng LAN / WAN có kích thước tương xứng cho một Khách hàng trung gian cách đây vài năm và tôi đã được yêu cầu đưa danh sách truy cập vào thực thể lớp 3 (mô-đun giám sát Cisco Catalyst 6509) để kiểm soát lưu lượng di chuyển giữa các mạng con bằng một " kỹ sư "người ít hiểu biết về loại công việc nào thực sự sẽ yêu cầu nhưng lại rất quan tâm đến" bảo mật ". Khi tôi quay lại với một đề xuất nghiên cứu từng ứng dụng để xác định các cổng TCP / UDP cần thiết và máy chủ đích, tôi đã nhận được phản hồi sốc từ "kỹ sư" nói rằng nó không quá khó. Lần cuối cùng tôi nghe nói họ đang chạy thực thể lớp 3 không có danh sách truy cập vì họ không thể làm cho tất cả phần mềm của họ hoạt động đáng tin cậy.

Về mặt đạo đức: Nếu bạn thực sự sẽ cố gắng giảm nút truy cập gói và cấp độ giữa các Vlan, hãy chuẩn bị sẵn sàng để thực hiện nhiều công việc với phần mềm ứng dụng và học / kỹ thuật đảo ngược cách nó nói chuyện qua dây. Giới hạn truy cập của máy chủ đến máy chủ thường có thể được thực hiện bằng chức năng lọc trên máy chủ. Hạn chế quyền truy cập trên dây có thể mang lại cảm giác an toàn sai lầm và khiến các quản trị viên phải tự mãn khi họ nghĩ rằng "Chà, tôi không cần định cấu hình ứng dụng một cách an toàn vì các máy chủ có thể nói chuyện với ứng dụng bị giới hạn bởi ' mạng '. " Tôi khuyến khích bạn kiểm tra tính bảo mật của cấu hình máy chủ của bạn trước khi tôi bắt đầu hạn chế giao tiếp giữa máy chủ với máy chủ.

99% thời gian, một mạng con phải tương đương với Vlan (tức là mỗi mạng con truy cập phải ánh xạ tới một và chỉ một Vlan).

Nếu bạn có máy chủ từ nhiều mạng con IP trong cùng một Vlan, bạn sẽ đánh bại mục đích của Vlan, vì hai (hoặc nhiều) mạng con sẽ nằm trên cùng một miền quảng bá.

Ngoài ra, nếu bạn đặt một mạng con IP vào nhiều Vlan, các máy chủ trên mạng con IP sẽ không thể giao tiếp với các máy chủ trong Vlan khác trừ khi bộ định tuyến của bạn có bật ARP proxy .

Tôi hầu hết đồng ý với David Pashley :

1. Tôi sử dụng một / 16 cho tất cả mọi thứ.
   • nhưng nó được phân đoạn trên một số Vlan, được nối bằng cầu phần mềm trên máy Linux.
   • trên cây cầu này, tôi có một số quy tắc iptables để lọc truy cập giữa các nhóm.
   • bất kể bạn phân khúc như thế nào, sử dụng phạm vi IP để phân nhóm, nó giúp cho việc tái cấu trúc và các trường hợp đặc biệt dễ dàng hơn.