分割流量的最佳方式,VLAN 还是子网?

tag-icon tag-icon networking subnet vlan
分割流量的最佳方式,VLAN 还是子网?

我们拥有一个约有 200 个节点的中型网络,目前正在用可堆叠或底盘式交换机替换旧的菊花链式交换机。

目前,我们的网络通过子网进行划分:生产、管理、知识产权 (IP) 等,每个子网都位于单独的子网上。创建 VLAN 而不是子网会更有利吗?

我们的总体目标是防止瓶颈、分离流量以确保安全以及更轻松地管理流量。

答案1

虚拟局域网子网解决不同的问题。VLAN 的工作方式是第 2 层,从而改变广播域(例如)。而子网是第 3 层在当前背景下

一个建议是实际实施这两项

例如,为不同的设备类型(开发、测试、生产、用户等)设置 VLAN 10 - 15

VLAN 10,您可能有子网 192.168.54.x/24 VLAN 11,您可能有子网 192.168.55.x/24

等等

不过,这需要你的网络内有一个路由器

选择哪条路线取决于你(你比我更了解你的网络)。如果你认为广播域的大小会成为某种问题,那么使用 VLAN。如果你认为网络管理域(例如,管理网络)的大小,那么可以使用更接近/16 除以 /24

您的 200 个节点将适合 /24,但这显然不会给您带来太大的增长空间

从表面上看,您已经为不同类型的设备使用了不同的子网。那么,为什么不坚持这样做呢?如果您愿意,您可以将每个子网绑定到一个 VLAN。不过,第 2 层分段将导致您的网络行为与当前行为不同

你必须调查其潜在影响

答案2

(我已经在路上一整天了,错过了这次机会...不过,虽然已经很晚了,但我还是会看看自己能做些什么。)

通常,您会在以太网中创建 VLAN,并将 IP 子网 1 对 1 映射到这些 VLAN 上。有办法不这样做,但坚持严格的“普通”世界,您会创建一个 VLAN,想出一个要在 VLAN 中使用的 IP 子网,为某个路由器分配该 VLAN 中的 IP 地址,将该路由器连接到 VLAN(使用路由器上的物理接口或虚拟子接口),将一些主机连接到 VLAN 并为它们分配您定义的子网中的 IP 地址,并将它们的流量路由进出 VLAN。

除非有充分的理由,否则不应开始对以太网 LAN 进行子网划分。最好的两个理由是:

  • 缓解性能问题。以太网 LAN 无法无限扩展。过多的广播或向未知目的地泛洪帧将限制其规模。这两种情况都可能由于以太网 LAN 中的单个广播域过大而导致。广播流量很容易理解,但向未知目的地泛洪帧则有点难以理解。如果设备数量太多,导致交换机 MAC 表溢出,则交换机将被迫将非广播帧从所有端口泛洪出去,前提是帧的目的地与 MAC 表中的任何条目都不匹配。如果以太网 LAN 中有一个足够大的单个广播域,并且流量配置文件显示主机通信频率很低(即,通信频率低到其条目已从交换机的 MAC 表中过期),那么您也可能会遇到过多的帧泛洪。

  • 希望限制/控制第 3 层或以上主机之间的流量。您可以做一些黑客行为来检查第 2 层的流量(ala Linux ebtables),但这很难管理(因为规则与 MAC 地址绑定,而更换 NIC 需要更改规则)可能会导致看起来非常非常奇怪的行为(例如,在第 2 层执行 HTTP 的透明代理很奇怪也很有趣,但完全不自然,并且排除故障非常不直观),并且通常很难在较低层执行(因为第 2 层工具在处理第 3 层以上问题时就像棍棒和石头一样)。如果您想控制主机之间的 IP(或 TCP、UDP 等)流量,而不是攻击第 2 层的问题,您应该划分子网并在子网之间使用带有 ACL 的防火墙/路由器。

带宽耗尽问题(除非是由广播数据包或帧泛滥引起的)通常不能通过 VLAN 和子网划分来解决。这些问题的发生是因为物理连接不足(服务器上的 NIC 太少、聚合组中的端口太少、需要提高端口速度),并且无法通过子网划分或部署 VLAN 来解决,因为这不会增加可用的带宽量。

如果你没有像 MRTG 这样简单的东西来在你的交换机上运行图形化的每个端口流量统计,那么这实际上是你开始之前要做的首要任务介绍用心良苦但缺乏信息支持的子网划分会造成瓶颈。原始字节计数是一个好的开始,但您应随后进行有针对性的嗅探,以获取有关流量配置文件的更多详细信息。

一旦您了解了 LAN 上的流量流动方式,您就可以开始考虑出于性能原因进行子网划分。

就“安全性”而言,您需要了解很多有关您的应用软件及其通讯方式的知识,然后才能继续。

几年前,我为一家医疗客户设计了一个规模合理的 LAN/WAN,一位“工程师”要求我将访问列表放在第 3 层实体(Cisco Catalyst 6509 监控模块)上,以控制子网之间的流量,而这位“工程师”对这实际上需要什么样的准备工作知之甚少,但对“安全”非常感兴趣。当我带着一份研究提案回来时每个应用程序来确定必要的 TCP/UDP 端口和目标主机,我收到了“工程师”的震惊回复,说这应该没那么难。我最后听说他们正在运行没有访问列表的第 3 层实体,因为他们无法让所有软件可靠地运行。

教训是:如果您真的要尝试控制 VLAN 之间的数据包和流级访问,请准备好对应用软件进行大量工作,并学习/逆向工程其如何通过网络进行通信。限制主机对服务器的访问通常可以通过服务器上的过滤功能来实现。限制网络访问可能会给人一种虚假的安全感,并使管理员陷入自满情绪,认为“好吧,我不需要安全地配置应用程序,因为可以与应用程序通信的主机受到‘网络’的限制。”在我开始限制网络主机到主机的通信之前,我建议您审核服务器配置的安全性。

答案3

99% 的时间,子网应该等同于 VLAN(即每个访问子网应该映射到一个且仅一个 VLAN)。

如果同一个 VLAN 中拥有来自多个 IP 子网的主机,那么就违背了 VLAN 的初衷,因为两个(或更多)子网将位于同一个广播域中。

或者,如果你将一个 IP 子网放入多个 VLAN,则 IP 子网上的主机将无法与其他 VLAN 中的主机通信,除非你的路由器具有代理地址解析协议已启用。

答案4

我基本同意戴维·帕什利

  1. 我对所有东西都使用单个 /16。
    • 但它被分割成几个 VLAN,通过 Linux 机器上的软件桥连接。
    • 在这座桥上,我有几个 iptables 规则来过滤组之间的访问。
    • 不管你如何分段,使用 IP 范围进行分组,可以更容易地进行重组和处理特殊情况。

相关内容