一个较大子网上的潜在流量问题

我从事网络管理工作已经有一段时间了，但我对此的看法如下：

10 年前，子网上有 200 多个客户端并不是一个真正的问题，现在也不会再有，你仍然可以读取所有广播

这或多或少是真的。在交换技术出现之前，划分子网以计算广播流量总量是一个严重的问题。如今，与集线器相比，交换机在总体架构方面效率更高（即它们不转发每一个数据包到每一个端口）并且它们对已有的广播流量的处理效果更好。

我听说摇摆每个子网 500 个客户端的数字大约是您应该开始考虑仅基于流量和广播域问题进行子网划分的水平，但如果企业级交换硬件可以处理更多，我也不会感到惊讶。显然，由于每个人的工作量都不同，因此需要反复测试。

你仍然可以用（非混杂的）tcpdump 读取所有的广播，而不会变得模糊

如果您的 IDS/IPS 需要您手动读取广播流量，那么您可能应该考虑不同的 IDS/IPS 产品。在决定子网大小时，我并不认为这是一个合理的考虑因素。

如果您只有 50 个客户端，那么子网是 /8 还是 /24 就没什么区别了。客户端数量相同，流量也相同。

我觉得这很合理。除了网络空间，你的客户端数量有限，它们只能产生有限的流量。

我当前的 10.0.0.0/8 子网（大约有 20 个客户端和 2 个服务器，全部连接到同一个交换机）很容易出现过载，因为如果客户端受到恶意软件攻击，广播流量将比 192.168.0.0/24 子网高出几个数量级

哇。我会正确调整你的子网大小，就像现在一样！

我将从我的另一个答案中复制粘贴此内容，但它与此非常相关：您无需管理数百台主机。解决方案的复杂性应反映环境的复杂性。抵制过度聪明的诱惑。您以后会感谢自己的。

其次，我不确定vulnerable to overloading广播流量方面会如何，因为只有 20 个客户端可以广播。当您考虑广播攻击或广播扇出时，限制因素通常不是广播域，而是生成流量的节点，因此如果您的 20 个节点试图向 252 个 IP 地址或 16,777,212 个 IP 地址广播（其中 16,777,192 个未占用），则相同数量的广播会发出。现在，如果恶意软件进行某种放大攻击，开始创建 IP 地址，是的，您给了攻击者更多的发挥空间。也许这就是您的安全人员想要说的。信息安全很复杂，我对这个领域只有粗略的了解，所以如果您想更详细地探讨这个问题，也许安全.SE会更合适。

这个问题有很多“视情况而定”的答案。

安全

如果您使用的是消费级网络设备，广播风暴、洪水和类似情况肯定令人担忧。不过，大多数企业网络设备都有办法处理这种情况。根据您的供应商，您可能有“风暴控制”选项。与任何事情一样，这些选项需要测试，并且也可能有自己的操作行为（包括好的和坏的）。

安全性的另一个方面是能够根据系统的角色来区分系统并保持流量隔离。这个概念也在随着时间而发展，尤其是在 SDN、虚拟化等方面。VLAN 分段本身可能或可能不足以实现安全隔离，这取决于您组织的需求。您的组织有太多特定条件，无法正确回答这个问题。

网络规模

20 个主机的 /8 有点大，但从技术上讲没有什么可以阻止你这样做。我担心的是网络增长。在某些时候，你可能想将此网络连接到其他网络、数据中心、办公室等。通过在你的位置使用整个 /8，你必须对所有流量进行 NAT 才能在 10/8 中到达其他网络。通常，人们会调整其网络的大小，以便他们可以为每个位置分配一个“标准大小”的子网，并使用 WAN 或 VPN 网格将它们互连，在每个位置设置防火墙规则，允许特定服务根据角色到达特定目的地等。

如果您真的开始填充大型 LAN，那么在某个时候，您将需要增加服务器和工作站中的限制，以允许更大的 ARP 表并尽量减少 ARP 条目的垃圾收集，以避免过多的 ARP 更新。网络中的所有接入和分发交换机也是如此。当您开始填充非常大的广播域时，每个服务器/工作站操作系统和每个网络供应商都会表现出不同的行为。

我自己使用大型 VLAN 的经验

我参与过的最大的满员网络是 /22。我们遇到的唯一问题是依赖于多播流量快速响应的服务。即使增加服务器中的 ARP 限制也不足以解决这个问题。我们必须将网络调整为较小的 VLAN，并更改应用程序的配置以减少对多播的依赖。