Unter welchen Bedingungen fängt man an, ein Netzwerk zu subnettingen?
Ich suche nach ein paar allgemeinen Faustregeln oder Triggern, die auf messbaren Metriken basieren, die dazu führen, dass Subnetze berücksichtigt werden sollten.
quelle
Unter welchen Bedingungen fängt man an, ein Netzwerk zu subnettingen?
Ich suche nach ein paar allgemeinen Faustregeln oder Triggern, die auf messbaren Metriken basieren, die dazu führen, dass Subnetze berücksichtigt werden sollten.
Interessante Frage.
In der Vergangenheit bestand die Hauptüberlegung, ein Netzwerk in Subnetze zu unterteilen, vor dem Aufkommen vollständig vermittelter Netzwerke darin, die Anzahl der Knoten in einer einzelnen Kollisionsdomäne zu begrenzen. Wenn Sie also zu viele Knoten hätten, würde Ihre Netzwerkleistung einen Spitzenwert erreichen und unter hoher Last aufgrund übermäßiger Kollisionen zusammenbrechen. Die genaue Anzahl der Knoten, die bereitgestellt werden können, hängt von vielen Faktoren ab. Im Allgemeinen können Sie jedoch die Kollisionsdomäne nicht regelmäßig über 50% der verfügbaren Gesamtbandbreite laden, und das Netzwerk ist immer noch stabil. 50 Knoten im Netzwerk waren damals sehr viele Knoten. Bei stark ausgelasteten Benutzern müssen Sie möglicherweise 20 oder 30 Knoten überschreiten, bevor Sie mit der Subnetzbildung beginnen können.
Natürlich sind Kollisionen bei vollständig geschalteten Vollduplex-Subnetzen kein Problem mehr und vorausgesetzt, typische Desktop-Benutzer können in der Regel Hunderte von Knoten in einem einzelnen Subnetz problemlos bereitstellen. Je nachdem, welche Protokolle / Anwendungen Sie im Netzwerk ausführen, kann es problematisch sein, wie in anderen Antworten bereits angedeutet wurde, über viel Broadcast-Verkehr zu verfügen. Beachten Sie jedoch, dass die Untervernetzung eines Netzwerks Ihnen bei Ihren Problemen mit dem Broadcast-Verkehr nicht unbedingt hilft. Viele der Protokolle verwenden Broadcasting aus einem bestimmten Grund, dh, wenn alle Knoten im Netzwerk diesen Datenverkehr tatsächlich sehen müssen, um die gewünschten Funktionen auf Anwendungsebene zu implementieren. Nur das Subnetz des Netzwerks bringt Ihnen nichts, wenn das übertragene Paket auch in das andere Subnetz weitergeleitet und erneut übertragen werden muss.
Im Allgemeinen haben die Hauptgründe für die Untervernetzung von Netzwerken heute mehr mit Überlegungen zu organisatorischen, administrativen und Sicherheitsgrenzen als mit irgendetwas anderem zu tun.
Die ursprüngliche Frage fragt nach messbaren Metriken, die Überlegungen zum Subnetz auslösen. Ich bin mir nicht sicher, ob es bestimmte Zahlen gibt. Dies wird dramatisch von den beteiligten "Anwendungen" abhängen und ich glaube nicht, dass es wirklich Triggerpunkte gibt, die im Allgemeinen zutreffen würden.
Bezogen auf Daumenregeln beim Planen von Subnetzen:
Das Hinzufügen von Subnetzen erhöht den Verwaltungsaufwand und führt möglicherweise zu Problemen, da die Knotenadressen in einem Subnetz knapp werden und zu viele in einem anderen Pool verbleiben Netzwerk und solche engagieren sich mehr, so etwas. Sicherlich jedes Subnetz sollte einen Grund für bestehende , dass überwiegt den Aufwand für die anspruchsvollere logische Topologie beibehalten wird .
Wenn es sich um eine einzelne Site handelt, kümmern Sie sich nicht darum, es sei denn, Sie haben mehr als ein Dutzend Systeme, und selbst dann ist dies wahrscheinlich nicht erforderlich.
In diesen Tagen, in denen jeder mindestens 100-Mbit / s-Switches und häufiger 1-Gbit / s verwendet, liegt der einzige leistungsbezogene Grund für die Segmentierung Ihres Netzwerks darin, dass Sie unter übermäßigem Broadcast-Verkehr leiden (dh> 2%, ohne mein Zutun).
Der andere Hauptgrund ist die Sicherheit, dh DMZ für öffentlich zugängliche Server, ein anderes Subnetz für Finanzen oder ein separates VLAN / Subnetz für VoIP-Systeme.
Die Einschränkung des Umfangs für eventuell von Ihnen festgelegte Compliance-Anforderungen (z. B. PCI) ist ein guter Katalysator für die Segmentierung einiger Teile Ihres Netzwerks. Durch die Segmentierung Ihrer Zahlungsannahme- / Verarbeitungs- und Finanzsysteme können Sie Geld sparen. Im Allgemeinen bringt Ihnen die Subnetzbildung in einem kleinen Netzwerk jedoch nicht viel Leistung.
quelle
Ein weiterer Grund wäre Quality of Service. Wir führen Sprach- und Daten-Vlans separat durch, damit wir QoS problemlos auf den VoIP-Verkehr anwenden können.
Weißt du, ich habe mehr über diese Frage nachgedacht. Es gibt unzählige gute Gründe, ein neues Netzwerk mit unterschiedlichen Netzwerken zu entwerfen (Leistung, Sicherheit, QoS, Einschränkung der DHCP-Bereiche, Einschränkung des Broadcast-Verkehrs (der sowohl sicherheits- als auch leistungsbezogen sein kann)).
Aber wenn ich an eine Metrik für die Neugestaltung nur für Subnetze denke und an Netzwerke, mit denen ich in der Vergangenheit zu tun hatte, denke, dann ist alles, was ich mir vorstellen kann, "wow, das müsste ein wirklich durcheinandergebrachtes Netzwerk sein, um mich komplett neu zu gestalten es zur Untervernetzung ". Es gibt viele andere Gründe - Bandbreite, CPU-Auslastung der installierten Geräte usw. Aber eine Subnetzbildung in einem reinen Datennetz würde normalerweise nicht viel Leistung bringen
quelle
Hauptsächlich Sicherheit und Qualität (solange das betreffende Netzwerksegment die betreffenden Knoten natürlich unterstützen kann). Ein separates Netzwerk für Druckerverkehr, Sprache / Telefon, isolierte Abteilungen wie IT-Abteilungen und natürlich Serversegmente, internetorientierte Segmente (eines pro internetorientiertem Dienst ist heutzutage beliebt, nicht nur "ein dmz wird es tun") und so weiter.
quelle
Wenn Sie eine Skalierung erwarten (Sie bauen ein Netzwerk auf, nicht nur 5 Server, und das werden wir auch), beginnen Sie so bald wie möglich mit dem Routing. Viel zu viele Netzwerke sind instabil und schwer zu wachsen, weil sie organisch gewachsen sind und viel zu viel Layer-2-Material enthalten.
Beispiele:
Kurz gesagt: Wenn Sie auf den gewünschten Bereich skalieren möchten, ziehen Sie stattdessen das Routing in Betracht.
quelle
Persönlich möchte ich die Layer 3 Segmentierung so nah wie möglich an den Access Switches bringen, weil
Wenn es zu größeren / breiteren Netzwerken kommt, in denen zwei Core-Switches / -Router nicht ausreichen, weisen die normalen Redundanzmechanismen wie VRRP viele Nachteile auf (Verkehr passiert mehrfach Uplinks, ...), die OSPF nicht aufweist.
Es gibt wahrscheinlich viele andere Gründe, um den Ansatz " use-small-broadcast-domains" zu unterstützen.
quelle
Ich denke, der Umfang der Organisation ist sehr wichtig. Wenn sich in einem Netzwerk maximal 200 Hosts befinden und der Datenverkehr aus irgendeinem Grund nicht segmentiert werden muss, warum sollten Sie dann die Komplexität von VLANs und Subnetzen erhöhen? Aber je größer der Umfang, desto sinnvoller könnte es sein.
Das Aufteilen von Netzwerken, die normalerweise nicht erforderlich sind, kann jedoch einige Dinge vereinfachen. Beispielsweise befinden sich unsere PDUs, die Server mit Strom versorgen, in demselben VLAN oder Subnetz wie die Server. Dies bedeutet, dass unser Schwachstellen-Scan-System, das in unserer Server-Reihe verwendet wird, auch PDUs scannt. Keine große Sache, aber wir brauchen keine PDUs, um gescannt zu werden. Es wäre auch schön, die PDUs mit DHCP zu versorgen, da sie sich nur schwer konfigurieren lassen, aber da sie sich derzeit im selben VLAN wie die Server befinden, ist dies nicht sehr realisierbar.
Wir brauchen zwar kein weiteres VLAN für die PDUs, aber es kann einige Dinge einfacher machen. Und das kommt in den Streit zwischen mehr und weniger VLANs, der für immer andauern wird.
Ich denke nur, VLANs haben, wo es Sinn macht. Wenn wir zum Beispiel PDUs ein eigenes VLAN geben, heißt das nicht, dass wir immer kleinen Gruppen von Geräten ein eigenes VLAN geben müssen. Aber in diesem Fall könnte es Sinn machen. Wenn eine Gruppe von Geräten kein eigenes VLAN haben muss und dies keine Vorteile bietet, sollten Sie in Betracht ziehen, die Dinge einfach so zu belassen, wie sie sind.
quelle