언제 네트워크 서브넷을 시작해야합니까?


37

어떤 조건에서 네트워크 서브넷을 고려하기 시작합니까?

몇 가지 일반적인 경험 법칙을 찾고 있거나 고려해야 할 서브넷을 만드는 측정 가능한 메트릭을 기반으로 트리거를 찾고 있습니다.

답변:


33

재미있는 질문.

과거에는 완전히 전환 된 네트워크가 출현하기 전에 네트워크를 서브넷으로 나누는 것에 대한 주요 고려 사항은 단일 충돌 도메인의 노드 수를 제한하는 것과 관련이있었습니다. 즉, 노드가 너무 많으면 네트워크 성능이 최고에 도달하고 과도한 충돌로 인해 과부하로 인해 붕괴 될 수 있습니다. 배포 할 수있는 정확한 노드 수는 많은 요인에 따라 달라 지지만 일반적으로 사용 가능한 총 대역폭의 50 % 이상을 넘어서 충돌 도메인을 정기적으로로드 할 수없고 여전히 네트워크를 항상 안정적으로 유지할 수 있습니다. 그 당시 네트워크의 50 개 노드는 많은 노드였습니다. 사용량이 많은 사용자의 경우 서브넷을 시작하기 전에 20 개 또는 30 개의 노드를 차지했을 수 있습니다.

물론 완전히 전환 된 전이중 서브넷을 사용하면 충돌이 더 이상 문제가되지 않으며 일반적인 데스크톱 유형 사용자를 가정하면 일반적으로 아무런 문제없이 단일 서브넷에 수백 개의 노드를 배포 할 수 있습니다. 다른 답변에서 알 수 있듯이 브로드 캐스트 트래픽이 많으면 네트워크에서 실행중인 프로토콜 / 응용 프로그램에 따라 문제가 될 수 있습니다. 그러나 네트워크 서브넷이 반드시 브로드 캐스트 트래픽 문제를 해결하는 데 도움이되는 것은 아니라는 점을 이해하십시오. 많은 프로토콜은 이유 때문에 브로드 캐스트를 사용합니다. 즉, 네트워크의 모든 노드가 실제로 원하는 트래픽을 확인하여 원하는 애플리케이션 수준 기능을 구현해야하는 경우입니다. 브로드 캐스트 된 패킷이 다른 서브넷으로 전달되어 다시 브로드 캐스트되어야하는 경우 네트워크를 서브넷으로 서브넷에 연결해도 실제로 아무것도 사지 않습니다.

일반적으로 오늘날 네트워크 서브넷의 주된 이유는 조직, 관리 및 보안 경계 고려 사항과 관련이 있습니다.

원래 질문은 서브넷 고려 사항을 트리거하는 측정 가능한 메트릭을 요구합니다. 특정 숫자와 관련하여 확실하지 않습니다. 이것은 관련된 '응용 프로그램'에 크게 의존 할 것이며 일반적으로 적용되는 트리거 포인트는 실제로 없다고 생각합니다.

서브넷을 계획 할 때 발생하는 경험 규칙과 관련하여 :

  • 각기 다른 조직 부서 / 본부의 서브넷을 고려하십시오. 특히 사소한 크기 (50 개 이상의 노드!?)가 될 때 더욱 그렇습니다.
  • 다른 사용자 또는 노드 유형 (개발자, VoIP 장치, 제조 현장)과 다른 공통 응용 프로그램 세트를 사용하여 노드 / 사용자 그룹의 서브넷을 고려하십시오.
  • 보안 요구 사항이 다른 사용자 그룹의 서브넷 고려 (회계 부서 보안, Wi-Fi 보안)
  • 바이러스 발생, 보안 침해 및 피해 억제 관점에서 서브넷을 고려하십시오. 노출 / 위반되는 노드 수-조직에 허용 가능한 노출 수준은 얼마입니까? 이 고려 사항은 서브넷 간의 제한 라우팅 (방화벽) 규칙을 가정합니다.

그러나 서브넷을 추가하면 일정 수준의 관리 오버 헤드가 발생하고 한 서브넷의 노드 주소가 부족하고 다른 풀에 너무 많은 수의 메모리가 남아있는 등의 문제가 발생할 수 있습니다. 라우팅 및 방화벽 설정 및 네트워크와 같은 것들이 더 많이 관여합니다. 확실히, 각 서브넷 에는 기존 논리에 대한 이유가보다 복잡한 논리 토폴로지를 유지 관리하는 오버 헤드보다 더 큰 이유 있어야합니다.


7

단일 사이트 인 경우 수십 개 이상의 시스템을 보유하지 않는 한 귀찮게하지 말고 아마도 불필요 할 수도 있습니다.

요즘에는 모든 사람이 최소 100Mbps 스위치와 더 자주 1Gbps를 사용하는 경우 네트워크를 세그먼트 화하는 유일한 성능 관련 이유는 브로드 캐스트 트래픽이 지나치게 많은 경우 (예 : 2 % 이상)

다른 주요 이유는 보안, 즉 공용 서버용 DMZ, 재무 용 다른 서브넷 또는 VoIP 시스템 용 별도 VLAN / 서브넷입니다.


수십의 의미 50+? 또한 방송 활동은 훌륭하고 쉽게 측정 할 수있는 지표입니다. 얼마나 많은 방송 활동이 허용되는 것으로 생각하십니까?
Adam Davis

그렇습니다. 50+는 내가 생각한 것이었지만 보안이 여전히 가장 가능성이 높은 이유 일 것입니다.
Alnitak

7

규정 준수 요구 사항 (예 : PCI)에 대한 범위를 제한하는 것은 네트워크의 일부를 분리하는 데 아주 좋은 촉매제입니다. 지불 승인 / 처리 및 재무 시스템을 분할하면 비용을 절약 할 수 있습니다. 그러나 일반적으로 작은 서브넷을 서브넷으로 사용하면 성능이 크게 향상되지는 않습니다.


4

또 다른 이유는 서비스 품질과 관련이 있습니다. 음성 및 데이터 VLAN을 별도로 실행하여 VoIP 트래픽에 QoS를 쉽게 적용 할 수 있습니다.

아시다시피이 질문에 대해 더 많이 생각하고 있습니다. 고유 한 네트워크 (성능, 보안, QoS, DHCP 범위 제한, 브로드 캐스트 트래픽 제한 (보안 및 성능 관련) 모두)를 사용하여 새 네트워크를 설계해야하는 많은 이유가 있습니다.

그러나 서브넷으로 만 재 설계하기위한 메트릭을 생각하고 과거에 처리해야했던 네트워크를 생각할 때 내가 생각할 수있는 것은 "와우, 네트워크를 완전히 엉망으로 만들어야 완전히 재 설계해야 할 것입니다. 서브넷 을 위해 ". 대역폭, 설치된 장치의 CPU 사용률 등과 같은 다른 많은 이유가 있습니다. 그러나 순수한 데이터 네트워크에서 자체 서브넷을 만드는 것만으로도 많은 성능을 얻을 수는 없습니다.


3

보안 및 품질 (주로 네트워크 세그먼트가 해당 노드를 지원할 수있는 한). 프린터 트래픽, 음성 / 전화, IT 운영 부서와 같은 격리 된 부서 및 물론 서버 세그먼트, 인터넷 연결 세그먼트 (인터넷 연결 서비스 당 하나는 "dmz는 할 것"이 아니라 오늘날 널리 사용됨) 등을위한 별도의 네트워크입니다.


3

5 대의 서버가 아닌 네트워크를 구축하고있을 경우 가능한 빨리 확장을 시작해야합니다. 너무 많은 네트워크는 유기적으로 성장하고 너무 많은 계층 2를 가지기 때문에 불안정하고 성장하기가 어렵습니다.

예 :

  • 동일한 네트워크 세그먼트에 두 개의 이름 서버가 있습니다. 이제 당신은 그들 중 하나를 다른 도시로 옮길 수 없습니다. 왜냐하면 당신은 멋진 / 24를 나누거나 DNS의 번호를 다시 매겨 야하기 때문입니다. 서로 다른 네트워크에 있다면 훨씬 쉽습니다. 나는 이것들이 세계에 대한 별도의 BGP 공지가되는 것에 대해 반드시 이야기하지는 않습니다. 이 예는 전국 ISP를위한 것입니다. 또한 서비스 제공 업체 영역의 일부는 "레지스트리에 새 DNS를 등록하기"만큼 쉽지 않습니다.
  • 레이어 2 루프는 엉덩이를 빨아 먹는다. 스패닝 트리 (및 VTP)도 마찬가지입니다. 스패닝 트리가 실패하면 (그리고 많은 경우가있을 경우) 스위치 / 라우터 CPU를 사용하는 플러드로 인해 모든 것이 다운됩니다. OSPF 또는 IS-IS가 실패하면 (또는 다른 라우팅 프로토콜) 전체 네트워크가 중단되지 않으며 한 번에 한 세그먼트를 수정할 수 있습니다. 고장 격리.

간단히 말해서 : 스패닝 트리가 필요하다고 생각되는 지점까지 확장 할 때는 대신 라우팅을 고려하십시오.


3

개인적으로, 레이어 3 세그먼테이션을 가능한 한 액세스 스위치에 가깝게 사용하고 싶습니다.

  • 나는 스패닝 트리를 좋아하지 않습니다 (당신이 사악한 경우 매우 재미있는 일을 할 수 있습니다)
  • 특히 Windoze 네트워크에서 방송은 실제 문제입니다.
  • 개인 네트워크에는 많은 IP 공간이 필요합니다. :)
  • 더 저렴한 스위치조차도 유선 속도 라우팅 기능을 갖추고 있습니다. 왜 사용하지 않습니까?
  • 보안과 관련하여 삶을 더 쉽게 만듭니다 (예 : egde의 인증 및 ACL 등).
  • VoIP 및 실시간 컨텐츠를위한 향상된 QoS 가능성
  • IP에서 클라이언트의 위치를 ​​알 수 있습니다

두 개의 코어 스위치 / 라우터가 충분하지 않은 더 크고 더 넓은 스프레드 네트워크에 관해서는 VRRP와 같은 일반적인 중복 메커니즘에는 많은 단점이 있습니다 (트래픽은 업 링크를 여러 번 통과합니다 ...). OSPF에는 없습니다.

use-small-broadcast-domains -approach 를 지원해야하는 다른 많은 이유가있을 수 있습니다 .


2

조직의 범위가 중요하다고 생각합니다. 네트워크에 총 200 개 이하의 호스트가 있고 어떤 이유로 트래픽을 세그먼트화할 필요가없는 경우 왜 VLAN과 서브넷의 복잡성을 추가해야합니까? 그러나 범위가 클수록 더 의미가 있습니다.

일반적으로 필요하지 않은 네트워크를 분할하면 일부 작업이 쉬워 질 수 있습니다. 예를 들어, 서버에 전원을 공급하는 PDU는 서버와 동일한 VLAN 또는 서브넷에 있습니다. 이는 서버 범위에서 사용되는 취약점 검색 시스템이 PDU도 검색한다는 것을 의미합니다. 큰 문제는 아니지만 PDU를 스캔 할 필요는 없습니다. 또한 PDU를 구성하는 데 어려움이 있기 때문에 PDU를 DHCP로 사용하는 것이 좋지만, 지금은 서버와 동일한 VLAN에 있기 때문에 그다지 적합하지 않습니다.

PDU에 다른 VLAN이 필요하지는 않지만 몇 가지 작업을보다 쉽게 ​​수행 할 수 있습니다. 그리고 이것은 앞으로도 계속 될 더 많은 VLAN에 대한 논쟁으로 이어집니다.

나는 단지 VLAN이 의미가 있다고 생각합니다. 예를 들어 PDU에 자체 VLAN을 제공했다고해서 항상 소규모 그룹의 장치에 자체 VLAN을 제공해야한다는 의미는 아닙니다. 그러나 오히려이 경우에는 의미가 있습니다. 장치 그룹에 고유 한 VLAN이 없어도되지만 이점이없는 경우에는 그대로 두는 것이 좋습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.