Beste Weg, um Verkehr, VLAN oder Subnetz zu segmentieren?

13

Wir haben ein mittelgroßes Netzwerk mit rund 200 Knoten und sind derzeit dabei, alte verkettete Switches durch stapelbare Switches oder Switches im Chassis-Stil zu ersetzen.

Derzeit ist unser Netzwerk über Subnetze aufgeteilt: Produktion, Verwaltung, geistiges Eigentum (IP) usw., die sich jeweils in einem separaten Subnetz befinden. Wäre das Erstellen von VLANs anstelle von Subnetzen vorteilhafter?

Unser allgemeines Ziel ist es, Engpässe zu vermeiden, den Datenverkehr für die Sicherheit zu trennen und den Datenverkehr einfacher zu verwalten.

der Vogel
quelle
1
Wahrscheinlich werden Ihre verschiedenen Vlans verwendet, um separate Subnetze in ihnen zu haben.
pQd
1
Vielleicht findest du Evans Antwort auf diese Frage, die ich vor einiger
Kyle Brandt

Antworten:

16

VLANs und Subnetze lösen unterschiedliche Probleme. VLANs arbeiten auf Schicht 2 und ändern damit beispielsweise Broadcast-Domänen. Während Subnetze im aktuellen Kontext Layer 3 sind

Ein Vorschlag wäre, tatsächlich beide umzusetzen

Haben Sie zum Beispiel VLAN 10 - 15 für Ihre verschiedenen Gerätetypen (Entwickler, Test, Produktion, Benutzer usw.)

In VLAN 10 ist möglicherweise das Subnetz 192.168.54.x / 24 vorhanden. In VLAN 11 ist möglicherweise das Subnetz 192.168.55.x / 24 vorhanden

Und so weiter

Dies würde allerdings erfordern, dass Sie einen Router in Ihrem Netzwerk haben

Es liegt ganz bei Ihnen, welchen Weg Sie gehen (Sie kennen Ihr Netzwerk besser als ich es jemals tun werde). Wenn Sie der Meinung sind, dass die Größe Ihrer Broadcast-Domain ein Problem darstellt, verwenden Sie VLANs. Wenn Sie der Meinung sind, dass die Größe Ihrer Netzwerkverwaltungsdomänen (z. B. Ihres Verwaltungsnetzwerks), verwenden Sie möglicherweise ein Netzwerk, das näher an / 16 liegt als an / 24

Ihre 200 Knoten passen in eine / 24, aber das gibt Ihnen offensichtlich nicht viel Spielraum für Wachstum

Laut Sound verwenden Sie bereits verschiedene Subnetze für verschiedene Gerätetypen. Also, warum nicht dabei bleiben? Wenn Sie möchten, können Sie jedes Subnetz mit einem VLAN verknüpfen. Die Segmentierung der Schicht 2 führt dazu, dass sich das Verhalten Ihres Netzwerks von dem aktuellen Verhalten unterscheidet

Sie müssten die möglichen Auswirkungen untersuchen

Ben Quick
quelle
2
+1 - Sagte fast alles, was ich wollte. Wenn Sie das aktuelle Subnetz-Design, das Sie haben, verwerfen möchten, wäre mein einziger zusätzlicher Vorschlag, das Einrichten eines Adressraums unter Verwendung von / 22 oder / 23 zu untersuchen. Entfernen Sie möglicherweise Bits, wenn Sie weitere Subnetze benötigen. Schließlich sind wir nicht mehr nur auf / 16 oder / 24 beschränkt. Stellen Sie dann jedes Subnetz in ein eigenes VLAN, um den Broadcast-Verkehr zu verringern.
Romandas
13

(Ich war den ganzen Tag unterwegs und habe das Springen verpasst ... Trotzdem werde ich zu spät zum Spiel sehen, was ich tun kann.)

In der Regel erstellen Sie VLANs in Ethernet und ordnen ihnen IP-Subnetze 1: 1 zu. Es gibt Möglichkeiten, dies nicht zu tun, aber in einer streng "einfachen" Welt würden Sie ein VLAN erstellen, sich ein IP-Subnetz ausdenken, das im VLAN verwendet werden soll, einem Router eine IP-Adresse in diesem VLAN zuweisen und diesen Router anschließen Das VLAN (entweder mit einer physischen Schnittstelle oder einer virtuellen Subschnittstelle auf dem Router) verbindet einige Hosts mit dem VLAN, weist ihnen IP-Adressen in dem von Ihnen definierten Subnetz zu und leitet ihren Datenverkehr in das VLAN und aus dem VLAN.

Sie sollten ein Ethernet-LAN ​​nur dann in Teilnetze unterteilen, wenn Sie gute Gründe dafür haben. Die besten zwei Gründe sind:

  • Leistungsprobleme mindern. Ethernet-LANs können nicht unbegrenzt skaliert werden. Übermäßige Sendungen oder das Überfluten von Frames an unbekannte Ziele schränken deren Umfang ein. Eine dieser beiden Bedingungen kann dadurch verursacht werden, dass eine einzelne Broadcast-Domäne in einem Ethernet-LAN ​​zu groß wird. Broadcast-Verkehr ist leicht zu verstehen, aber das Überfluten von Frames an unbekannte Ziele ist etwas dunkler. Wenn Sie so viele Geräte erhalten, dass Ihre Switch-MAC-Tabellen überlaufen, werden die Switches gezwungen, Nicht-Broadcast-Frames über alle Ports zu übertragen, wenn das Ziel des Frames keinen Einträgen in der MAC-Tabelle entspricht. Wenn Sie eine ausreichend große einzelne Broadcast-Domäne in einem Ethernet-LAN ​​mit einem Datenverkehrsprofil haben, das Hosts nur selten verwenden (d. H.

  • Der Wunsch, den Datenverkehr zwischen Hosts auf Schicht 3 oder höher zu begrenzen / zu steuern. Sie können einige Hacker-Aktionen durchführen, um den Datenverkehr auf Schicht 2 (unter anderem Linux ebtables) zu untersuchen. Dies ist jedoch schwierig zu verwalten (da Regeln an MAC-Adressen gebunden sind und das Ändern von NICs Regeländerungen erfordert). Dies kann zu sehr, sehr seltsamen Verhaltensweisen führen Das transparente Proxying von HTTP auf Ebene 2 ist beispielsweise ausgeflippt und macht Spaß, ist jedoch völlig unnatürlich und kann bei der Fehlerbehebung sehr unintuitiv sein. In niedrigeren Ebenen ist dies im Allgemeinen schwierig (da Tools auf Ebene 2 wie Sticks aussehen) und rockt den Umgang mit Layer 3+ -Anliegen). Wenn Sie den IP-Verkehr (oder TCP- oder UDP-Verkehr usw.) zwischen Hosts steuern möchten, anstatt das Problem auf Schicht 2 anzugreifen, sollten Sie Firewalls / Router mit ACLs zwischen den Subnetzen einbinden.

Bandbreitenprobleme (es sei denn, sie werden durch Broadcast-Pakete oder Frame-Flooding verursacht) werden in der Regel nicht mit VLANs und Subnetting gelöst. Sie treten aufgrund mangelnder physischer Konnektivität auf (zu wenige Netzwerkkarten auf einem Server, zu wenige Ports in einer Aggregationsgruppe, die Notwendigkeit, auf eine schnellere Portgeschwindigkeit zu wechseln) und können nicht durch Subnetzbildung oder Bereitstellung von VLANs behoben werden, da dies gewonnen hat Erhöhen Sie nicht die verfügbare Bandbreite.

Wenn Sie nicht einmal über eine einfache Methode wie MRTG verfügen, mit der grafische Statistiken des Datenverkehrs pro Port auf Ihren Switches erstellt werden, ist dies wirklich Ihre erste Aufgabe, bevor Sie potenziell Engpässe mit gut gemeinten, aber nicht informierten Subnetzen einführen . Raw-Byte-Zählungen sind ein guter Anfang, aber Sie sollten gezieltes Sniffing durchführen, um weitere Details zu den Verkehrsprofilen zu erhalten.

Sobald Sie wissen, wie sich der Datenverkehr in Ihrem LAN bewegt, können Sie aus Leistungsgründen über Subnetze nachdenken.

In Bezug auf "Sicherheit" müssen Sie viel über Ihre Anwendungssoftware und deren Funktionsweise wissen, bevor Sie fortfahren können.

Ich habe vor ein paar Jahren einen Entwurf für ein LAN / WAN mit vernünftiger Größe für einen Kunden aus dem medizinischen Bereich erstellt und wurde gebeten, Zugriffslisten für die Layer-3-Entität (ein Cisco Catalyst 6509-Supervisor-Modul) zu erstellen, um den Datenverkehr zwischen den Subnetzen durch ein " Ingenieur ", der wenig Ahnung hatte, welche Art von Beinarbeit er eigentlich benötigen würde, sich aber sehr für" Sicherheit "interessierte. Als ich mit einem Vorschlag zurückkam, jede Anwendung zu untersuchen, um die erforderlichen TCP / UDP-Ports und Ziel-Hosts zu bestimmen, erhielt ich eine schockierte Antwort vom "Ingenieur", dass es nicht so schwierig sein sollte. Das letzte Mal, dass ich hörte, dass sie die Layer-3-Entität ohne Zugriffslisten ausführen, weil sie ihre gesamte Software nicht zuverlässig zum Laufen bringen konnten.

Die Moral: Wenn Sie wirklich versuchen möchten, den Zugriff auf Paket- und Stream-Ebene zwischen VLANs zu unterbinden, müssen Sie sich darauf vorbereiten, mit Anwendungssoftware viel Beinarbeit zu leisten und zu lernen, wie diese über das Netzwerk kommuniziert. Das Einschränken des Zugriffs von Hosts auf Server kann häufig durch Filterfunktionen auf den Servern erreicht werden. Das Einschränken des Zugriffs auf die Leitung kann zu einem falschen Sicherheitsgefühl führen und Administratoren zu einer Selbstzufriedenheit bringen, bei der sie denken: "Nun, ich muss die App nicht sicher konfigurieren, da die Hosts, die mit der App kommunizieren können, durch" die "eingeschränkt werden Netzwerk'." Wir empfehlen Ihnen, die Sicherheit Ihrer Serverkonfiguration zu überprüfen, bevor Sie die Host-zu-Host-Kommunikation über das Netzwerk einschränken.

Evan Anderson
quelle
2
Ich bin froh, eine Stimme der Vernunft nach Antworten zu sehen, die empfehlen, zu gehen / 16.
pQd
4
Sie können in beliebig große oder kleine Subnetze unterteilen. Die Anzahl der Hosts in der Subnetz- / Broadcast-Domäne ist entscheidend, nicht die Anzahl der möglichen Hosts (sofern Sie über genügend Adressraum verfügen). Was ist der Ausdruck - es kommt nicht auf die Größe Ihres Subnetzes an, sondern wie Sie es verwenden? > smile <
Evan Anderson
@Evan Anderson: Das weiß ich. Aber Sie müssen zugeben, dass 64k zu viel ist, wahrscheinlich nie genutzt wird und zu Problemen führen kann, wenn Routing eingeführt werden muss [z. B. zum Verbinden von entfernten DCs / Büros / usw.].
pQd
1

In 99% der Fälle sollte ein Subnetz einem VLAN entsprechen (dh jedes Access-Subnetz sollte einem und nur einem VLAN zugeordnet sein).

Wenn Sie Hosts aus mehr als einem IP-Subnetz in demselben VLAN haben, können Sie den Zweck von VLANs nicht erfüllen, da sich die zwei (oder mehr) Subnetze in derselben Broadcast-Domäne befinden.

Wenn Sie alternativ ein IP-Subnetz in mehrere VLANs einbinden, können Hosts im IP-Subnetz nur dann mit Hosts im anderen VLAN kommunizieren, wenn auf Ihrem Router Proxy-ARP aktiviert ist.

Murali Suriar
quelle
-1 - VLANs teilen Broadcast-Domänen auf. Kollisionsdomänen werden durch Bridges oder Multi-Port-Bridges aufgeteilt, die üblicherweise als Switches bezeichnet werden. IP-Subnetze und Broadcast- / Kollisionsdomänen haben im Allgemeinen nichts miteinander zu tun. Im speziellen Fall von IP over Ethernet wird ein IP-Subnetz häufig einer einzelnen Broadcast-Domäne zugeordnet (da ARP, das Protokoll, das zum Auflösen von IP-Adressen in Ethernet-Hardwareadressen verwendet wird, auf Broadcast-Basis ausgeführt wird). Bei Proxy ist es jedoch möglich, clevere Tricks zu verwenden ARP soll ein Subnetz haben, das sich über mehrere Broadcast-Domänen erstreckt.
Evan Anderson
@Evan: Guter Punkt - das bringt mir bei, in den frühen Morgenstunden Antworten zu schreiben. :) Ich stehe zu den restlichen Punkten; Wenn Sie mehrere Subnetze in demselben VLAN haben, wird der L2-Broadcast-Verkehr mehrere Subnetze umfassen. Mehrere VLANs für dasselbe Subnetz zu haben, wird funktionieren, aber Proxy-ARP sollten Sie wirklich nicht verwenden, wenn Sie es vermeiden können.
Murali Suriar
-1 entfernt - Alles andere, was Sie gesagt haben, ist mit Sicherheit korrekt. Ich stimme auch zu, re: proxy ARP - ich würde es nicht in der "realen Welt" verwenden, es sei denn, ich hätte einen sehr überzeugenden Grund.
Evan Anderson
"IP-Subnetze und Broadcast- / Kollisionsdomänen haben im Allgemeinen nichts miteinander zu tun." Nein, das tun sie ganz sicher im allgemeinen Fall. Jedes Subnetz hat eine Netzwerknummer und eine zugehörige Broadcast-Adresse. Abgesehen von ARP haben Sie andere Broadcast-Pakete. Es wäre falsch, diese Aussage zu machen, ohne zu wissen, ob sie Multicast-Verkehr in ihrem Netzwerk haben. DHCP-Clients verwenden IP-Broadcasting, um Informationen zu DHCP-Servern zu erhalten.
Kilo
1
@Evan Anderson Was habe ich hier vermisst. Sie ziehen Ihre -1 zurück. Kollisionsdomänen werden von Switch-Ports verschüttet. 2 oder Subnetze in einer Kollisionsdomäne zu sagen, ist Unsinn. Ich denke, er meint 2 oder mehr Subnetze in einer Broadcast-Domain .
JamesBarnett
-5

Ich stimme David Pashley größtenteils zu :

  1. Ich benutze eine einzelne / 16 für alles.
    • Es ist jedoch in mehrere VLANs unterteilt, die durch eine Software-Bridge auf einem Linux-Computer verbunden sind.
    • Auf dieser Brücke habe ich mehrere Iptables-Regeln, um den Zugriff zwischen Gruppen zu filtern.
    • Ganz gleich, wie Sie segmentieren, IP-Bereiche für die Gruppierung verwenden, dies erleichtert die Umstrukturierung und erleichtert Sonderfälle.
Javier
quelle
2
Das klingt nach einem Albtraum!
Evan Anderson
2
-1 Sie haben nicht gesagt, wie groß das von Ihnen unterhaltene Netzwerk ist, und solange Sie nicht über ein Forschungsprojekt sprechen, kann ich mir keinen Grund für die Verwendung dieser Art von Konfiguration vorstellen. Subnetze sind per Definition "IP-Bereiche", die zur Gruppierung verwendet werden. Es hört sich so an, als würden Sie Layer 3 neu erfinden, indem Sie eine Linux-Box verwenden, um Ihr Routing auf Layer 2 durchzuführen. Dies kann Probleme verursachen, die durch die nicht benötigte Komplexität verborgen bleiben. Dadurch entsteht etwas, das für andere nur schwer herauszufinden ist, geschweige denn zu beheben.
Rik Schneider