Wann / warum soll mit der Untervernetzung eines Netzwerks begonnen werden?

37

Unter welchen Bedingungen fängt man an, ein Netzwerk zu subnettingen?

Ich suche nach ein paar allgemeinen Faustregeln oder Triggern, die auf messbaren Metriken basieren, die dazu führen, dass Subnetze berücksichtigt werden sollten.

Adam Davis
quelle

Antworten:

33

Interessante Frage.

In der Vergangenheit bestand die Hauptüberlegung, ein Netzwerk in Subnetze zu unterteilen, vor dem Aufkommen vollständig vermittelter Netzwerke darin, die Anzahl der Knoten in einer einzelnen Kollisionsdomäne zu begrenzen. Wenn Sie also zu viele Knoten hätten, würde Ihre Netzwerkleistung einen Spitzenwert erreichen und unter hoher Last aufgrund übermäßiger Kollisionen zusammenbrechen. Die genaue Anzahl der Knoten, die bereitgestellt werden können, hängt von vielen Faktoren ab. Im Allgemeinen können Sie jedoch die Kollisionsdomäne nicht regelmäßig über 50% der verfügbaren Gesamtbandbreite laden, und das Netzwerk ist immer noch stabil. 50 Knoten im Netzwerk waren damals sehr viele Knoten. Bei stark ausgelasteten Benutzern müssen Sie möglicherweise 20 oder 30 Knoten überschreiten, bevor Sie mit der Subnetzbildung beginnen können.

Natürlich sind Kollisionen bei vollständig geschalteten Vollduplex-Subnetzen kein Problem mehr und vorausgesetzt, typische Desktop-Benutzer können in der Regel Hunderte von Knoten in einem einzelnen Subnetz problemlos bereitstellen. Je nachdem, welche Protokolle / Anwendungen Sie im Netzwerk ausführen, kann es problematisch sein, wie in anderen Antworten bereits angedeutet wurde, über viel Broadcast-Verkehr zu verfügen. Beachten Sie jedoch, dass die Untervernetzung eines Netzwerks Ihnen bei Ihren Problemen mit dem Broadcast-Verkehr nicht unbedingt hilft. Viele der Protokolle verwenden Broadcasting aus einem bestimmten Grund, dh, wenn alle Knoten im Netzwerk diesen Datenverkehr tatsächlich sehen müssen, um die gewünschten Funktionen auf Anwendungsebene zu implementieren. Nur das Subnetz des Netzwerks bringt Ihnen nichts, wenn das übertragene Paket auch in das andere Subnetz weitergeleitet und erneut übertragen werden muss.

Im Allgemeinen haben die Hauptgründe für die Untervernetzung von Netzwerken heute mehr mit Überlegungen zu organisatorischen, administrativen und Sicherheitsgrenzen als mit irgendetwas anderem zu tun.

Die ursprüngliche Frage fragt nach messbaren Metriken, die Überlegungen zum Subnetz auslösen. Ich bin mir nicht sicher, ob es bestimmte Zahlen gibt. Dies wird dramatisch von den beteiligten "Anwendungen" abhängen und ich glaube nicht, dass es wirklich Triggerpunkte gibt, die im Allgemeinen zutreffen würden.

Bezogen auf Daumenregeln beim Planen von Subnetzen:

  • Berücksichtigen Sie die Subnetze für die einzelnen Abteilungen / Unternehmensbereiche, insbesondere, wenn sie nicht mehr als trivial (über 50 Knoten !?) sind.
  • Betrachten Sie Subnetze für Gruppen von Knoten / Benutzern, die einen allgemeinen Anwendungssatz verwenden, der sich von anderen Benutzern oder Knotentypen unterscheidet (Entwickler, VoIP-Geräte, Fertigungsbereich).
  • Betrachten Sie Subnetze für Benutzergruppen mit unterschiedlichen Sicherheitsanforderungen (Sicherung der Buchhaltungsabteilung, Sicherung von WLAN).
  • Betrachten Sie Subnetze im Hinblick auf Virenausbruch, Sicherheitsverletzung und Schadensbegrenzung. Wie viele Knoten werden freigelegt / durchbrochen - wie hoch ist der für Ihr Unternehmen akzeptable Expositionsgrad? Diese Überlegung setzt restriktive Routing-Regeln (Firewall-Regeln) zwischen Subnetzen voraus.

Das Hinzufügen von Subnetzen erhöht den Verwaltungsaufwand und führt möglicherweise zu Problemen, da die Knotenadressen in einem Subnetz knapp werden und zu viele in einem anderen Pool verbleiben Netzwerk und solche engagieren sich mehr, so etwas. Sicherlich jedes Subnetz sollte einen Grund für bestehende , dass überwiegt den Aufwand für die anspruchsvollere logische Topologie beibehalten wird .

Großer Jeff
quelle
7

Wenn es sich um eine einzelne Site handelt, kümmern Sie sich nicht darum, es sei denn, Sie haben mehr als ein Dutzend Systeme, und selbst dann ist dies wahrscheinlich nicht erforderlich.

In diesen Tagen, in denen jeder mindestens 100-Mbit / s-Switches und häufiger 1-Gbit / s verwendet, liegt der einzige leistungsbezogene Grund für die Segmentierung Ihres Netzwerks darin, dass Sie unter übermäßigem Broadcast-Verkehr leiden (dh> 2%, ohne mein Zutun).

Der andere Hauptgrund ist die Sicherheit, dh DMZ für öffentlich zugängliche Server, ein anderes Subnetz für Finanzen oder ein separates VLAN / Subnetz für VoIP-Systeme.

Alnitak
quelle
Mehrere Dutzend mit einer Bedeutung von 50+? Broadcast-Aktivität - das ist eine gute, leicht messbare Messgröße. Wie viel Sendeaktivität halten Sie für akzeptabel?
Adam Davis
Ja, 50+ war das, was ich dachte, aber selbst dann wäre Sicherheit immer noch der wahrscheinlichste Grund.
Alnitak
7

Die Einschränkung des Umfangs für eventuell von Ihnen festgelegte Compliance-Anforderungen (z. B. PCI) ist ein guter Katalysator für die Segmentierung einiger Teile Ihres Netzwerks. Durch die Segmentierung Ihrer Zahlungsannahme- / Verarbeitungs- und Finanzsysteme können Sie Geld sparen. Im Allgemeinen bringt Ihnen die Subnetzbildung in einem kleinen Netzwerk jedoch nicht viel Leistung.

Mark Turner
quelle
4

Ein weiterer Grund wäre Quality of Service. Wir führen Sprach- und Daten-Vlans separat durch, damit wir QoS problemlos auf den VoIP-Verkehr anwenden können.

Weißt du, ich habe mehr über diese Frage nachgedacht. Es gibt unzählige gute Gründe, ein neues Netzwerk mit unterschiedlichen Netzwerken zu entwerfen (Leistung, Sicherheit, QoS, Einschränkung der DHCP-Bereiche, Einschränkung des Broadcast-Verkehrs (der sowohl sicherheits- als auch leistungsbezogen sein kann)).

Aber wenn ich an eine Metrik für die Neugestaltung nur für Subnetze denke und an Netzwerke, mit denen ich in der Vergangenheit zu tun hatte, denke, dann ist alles, was ich mir vorstellen kann, "wow, das müsste ein wirklich durcheinandergebrachtes Netzwerk sein, um mich komplett neu zu gestalten es zur Untervernetzung ". Es gibt viele andere Gründe - Bandbreite, CPU-Auslastung der installierten Geräte usw. Aber eine Subnetzbildung in einem reinen Datennetz würde normalerweise nicht viel Leistung bringen

jj33
quelle
3

Hauptsächlich Sicherheit und Qualität (solange das betreffende Netzwerksegment die betreffenden Knoten natürlich unterstützen kann). Ein separates Netzwerk für Druckerverkehr, Sprache / Telefon, isolierte Abteilungen wie IT-Abteilungen und natürlich Serversegmente, internetorientierte Segmente (eines pro internetorientiertem Dienst ist heutzutage beliebt, nicht nur "ein dmz wird es tun") und so weiter.

Oskar Duveborn
quelle
3

Wenn Sie eine Skalierung erwarten (Sie bauen ein Netzwerk auf, nicht nur 5 Server, und das werden wir auch), beginnen Sie so bald wie möglich mit dem Routing. Viel zu viele Netzwerke sind instabil und schwer zu wachsen, weil sie organisch gewachsen sind und viel zu viel Layer-2-Material enthalten.

Beispiele:

  • Sie haben zwei Nameserver im selben Netzwerksegment. Jetzt können Sie einen von ihnen nicht in eine andere Stadt verschieben, da Sie dann diesen nice / 24 aufteilen oder den DNS neu nummerieren müssen. Viel einfacher, wenn sie in verschiedenen Netzwerken waren. Ich spreche nicht unbedingt davon, dass es sich um separate BGP-Ankündigungen an die Welt handelt. Dieses Beispiel wäre für einen landesweiten ISP. Beachten Sie auch, dass einige Dinge im Bereich der Dienstanbieter nicht so einfach sind wie "einfach den neuen DNS bei der Registrierungsstelle registrieren".
  • Schicht 2 Schleifen saugen Arsch. Wie Spanning Tree (und VTP). Wenn Spanning Tree fehlschlägt (und es gibt viele Fälle, in denen dies der Fall ist), wird es aufgrund von Überflutungen, die die Switch- / Router-CPU belasten, alles außer Kraft setzen. Wenn OSPF oder IS-IS ausfällt (oder andere Routing-Protokolle), stürzt das gesamte Netzwerk nicht ab, und Sie können jeweils ein Segment reparieren. Fehlerisolation.

Kurz gesagt: Wenn Sie auf den gewünschten Bereich skalieren möchten, ziehen Sie stattdessen das Routing in Betracht.

Thomas
quelle
3

Persönlich möchte ich die Layer 3 Segmentierung so nah wie möglich an den Access Switches bringen, weil

  • Ich mag Spanning Tree nicht (du kannst es sehr lustig machen lassen, wenn du böse bist)
  • Insbesondere in Windoze-Netzwerken sind Sendungen ein echtes Problem.
  • In privaten Netzwerken müssen Sie viel IP-Speicherplatz verschwenden :)
  • Sogar billigere Switches verfügen mittlerweile über Routing-Funktionen für Kabelgeschwindigkeit - warum nicht?
  • Erleichtert das Leben in Bezug auf Sicherheit (z. B. Auth und ACLs bei egde usw.)
  • Bessere QoS-Möglichkeiten für VoIP und Echtzeit
  • Sie können den Standort eines Clients anhand seiner IP-Adresse ermitteln

Wenn es zu größeren / breiteren Netzwerken kommt, in denen zwei Core-Switches / -Router nicht ausreichen, weisen die normalen Redundanzmechanismen wie VRRP viele Nachteile auf (Verkehr passiert mehrfach Uplinks, ...), die OSPF nicht aufweist.

Es gibt wahrscheinlich viele andere Gründe, um den Ansatz " use-small-broadcast-domains" zu unterstützen.

PEra
quelle
2

Ich denke, der Umfang der Organisation ist sehr wichtig. Wenn sich in einem Netzwerk maximal 200 Hosts befinden und der Datenverkehr aus irgendeinem Grund nicht segmentiert werden muss, warum sollten Sie dann die Komplexität von VLANs und Subnetzen erhöhen? Aber je größer der Umfang, desto sinnvoller könnte es sein.

Das Aufteilen von Netzwerken, die normalerweise nicht erforderlich sind, kann jedoch einige Dinge vereinfachen. Beispielsweise befinden sich unsere PDUs, die Server mit Strom versorgen, in demselben VLAN oder Subnetz wie die Server. Dies bedeutet, dass unser Schwachstellen-Scan-System, das in unserer Server-Reihe verwendet wird, auch PDUs scannt. Keine große Sache, aber wir brauchen keine PDUs, um gescannt zu werden. Es wäre auch schön, die PDUs mit DHCP zu versorgen, da sie sich nur schwer konfigurieren lassen, aber da sie sich derzeit im selben VLAN wie die Server befinden, ist dies nicht sehr realisierbar.

Wir brauchen zwar kein weiteres VLAN für die PDUs, aber es kann einige Dinge einfacher machen. Und das kommt in den Streit zwischen mehr und weniger VLANs, der für immer andauern wird.

Ich denke nur, VLANs haben, wo es Sinn macht. Wenn wir zum Beispiel PDUs ein eigenes VLAN geben, heißt das nicht, dass wir immer kleinen Gruppen von Geräten ein eigenes VLAN geben müssen. Aber in diesem Fall könnte es Sinn machen. Wenn eine Gruppe von Geräten kein eigenes VLAN haben muss und dies keine Vorteile bietet, sollten Sie in Betracht ziehen, die Dinge einfach so zu belassen, wie sie sind.

Webs
quelle