在什么条件下人们开始考虑对网络进行子网划分?
我正在寻找一些一般的经验法则,或者基于可衡量指标的触发器,使子网划分成为应该考虑的事情。
答案1
有趣的问题。
从历史上看,在完全交换网络出现之前,将网络划分为子网的主要考虑因素是限制单个冲突域中的节点数。也就是说,如果节点过多,网络性能将达到峰值,并最终因过多冲突而在重负载下崩溃。可以部署的确切节点数取决于许多因素,但一般来说,您不能定期将冲突域的负载超过可用总带宽的 50%,同时仍要保持网络始终稳定。当时网络上有 50 个节点是很多节点。对于重度使用的用户,在开始划分子网之前,您可能已经达到 20 或 30 个节点的上限。
当然,有了完全交换的全双工子网,冲突就不再是问题了,假设是典型的桌面用户,您通常可以在单个子网中部署数百个节点而不会出现任何问题。正如其他答案所暗示的那样,拥有大量广播流量可能是一个问题,具体取决于您在网络上运行的协议/应用程序。但是,要明白,对网络进行子网划分并不一定能帮助您解决广播流量问题。许多协议使用广播是有原因的 - 即网络上的所有节点实际上都需要看到这样的流量来实现所需的应用程序级功能。如果广播的数据包也需要转发到另一个子网并再次广播出去,那么简单地对网络进行子网划分实际上不会给您带来任何好处。事实上,如果您仔细考虑一下,这实际上会给两个子网增加额外的流量(和延迟)。
一般来说,今天,对网络进行子网划分的主要原因更多地与组织、管理和安全边界考虑有关。
最初的问题要求提供触发子网划分考虑的可衡量指标。我不确定是否有具体数字。这将极大地取决于所涉及的“应用程序”,我认为实际上没有任何普遍适用的触发点。
相对于规划子网的经验法则:
- 考虑每个不同组织部门/分部的子网,特别是当它们的规模变得不小(50+个节点!?)时。
- 考虑使用不同于其他用户或节点类型(开发人员、VoIP 设备、制造车间)的通用应用程序集的节点/用户组子网
- 考虑为具有不同安全要求的用户组使用子网(保护会计部门、保护 Wifi)
- 从病毒爆发、安全漏洞和损害控制的角度考虑子网。有多少节点暴露/被破坏 - 您的组织可以接受的暴露水平是多少?此考虑假设子网之间的限制性路由(防火墙)规则。
尽管如此,添加子网会增加一定程度的管理开销,并可能导致与一个子网中节点地址用尽而另一个池中剩余过多节点地址等问题。路由和防火墙设置以及网络中公共服务器的放置等变得更加复杂,诸如此类。当然,每个子网应该存在的理由大于维护更复杂的逻辑拓扑的开销。
答案2
如果它是一个单个站点,那就不要费心了,除非您有几十个以上的系统,即使那样也可能没有必要。
如今,每个人都在使用至少 100 Mbps 的交换机,通常使用 1 Gbps,因此,对网络进行分段的唯一与性能相关的原因是,如果您遭受过多的广播流量(即 > 2%,这是我的理解)
其他主要原因是安全性,即面向公众的服务器的 DMZ、用于财务的另一个子网或用于 VoIP 系统的单独 VLAN/子网。
答案3
限制您可能拥有的任何合规性要求(即 PCI)的范围是将网络的某些部分进行分割的一个很好的催化剂。分割您的支付接受/处理和财务系统可以节省资金。但一般来说,对小型网络进行子网划分不会为您带来太多的性能提升。
答案4
主要是安全性和质量(当然,只要相关网络段能够支持相关节点)。为打印机流量、语音/电话、IT Ops 等独立部门以及服务器段、面向互联网的段(如今,每个面向互联网的服务一个段很流行,而不仅仅是“一个 dmz 就够了”)等设置单独的网络。