트래픽, VLAN 또는 서브넷을 분할하는 가장 좋은 방법은?

우리는 약 200 개의 노드로 구성된 중간 규모의 네트워크를 보유하고 있으며 현재 기존 데이지 체인 스위치를 스택 가능 또는 섀시 스타일 스위치로 교체하고 있습니다.

현재 네트워크는 프로덕션, 관리, 지적 재산권 (IP) 등의 서브넷을 별도의 서브넷에 각각 나눕니다. 서브넷 대신 VLAN을 만드는 것이 더 유익합니까?

우리의 일반적인 목표는 병목 현상을 방지하고 보안을 위해 트래픽을 분리하며보다 쉽게 ​​트래픽을 관리하는 것입니다.

VLAN 과 서브넷은 다른 문제를 해결합니다. VLAN은 레이어 2 에서 작동 하여 브로드 캐스트 도메인 (예 :)을 변경합니다. 현재 컨텍스트에서 서브넷은 레이어 3 인 반면

한 가지 제안은 실제로 두 가지를 모두 구현하는 것입니다.

예를 들어, 다양한 장치 유형 (Dev, Test, Production, Users 등)에 대해 VLAN 10-15가 있어야합니다.

VLAN 10, 서브넷 192.168.54.x / 24가있을 수 있습니다. VLAN 11, 서브넷 192.168.55.x / 24가있을 수 있습니다.

등등

그래도 네트워크 내에 라우터가 있어야합니다.

어떤 경로로 내려갈지는 사용자에게 달려 있습니다 (내가 생각하는 것보다 네트워크를 잘 알고 있음). 브로드 캐스트 도메인의 크기에 문제가 있다고 생각되면 VLAN을 사용하십시오. 네트워크 관리 도메인 (예 : 관리 네트워크)의 크기가 / 24보다 / 16에 가까운 네트워크를 사용할 수 있다고 생각하는 경우

200 개의 노드가 / 24에 맞을 것이지만, 분명히 성장에 대한 많은 범위를 제공하지는 않습니다.

그 소리에 따르면 이미 다른 장치 유형에 다른 서브넷을 사용하고 있습니다. 그렇다면 왜 그렇게하지 않습니까? 원하는 경우 각 서브넷을 VLAN에 연결할 수 있습니다. 레이어 2 세그먼테이션은 네트워크의 동작이 현재의 동작 방식에서 변경됨

그것의 잠재적 영향을 조사해야 할 것입니다

(나는 하루 종일 도로에 있었고 이것에서 점프하는 것을 놓쳤다 ... 아직도, 게임 후반에 내가 할 수있는 것을 볼 것이다.)

일반적으로 이더넷에서 VLAN을 생성하고 IP 서브넷을 일대일로 매핑합니다. 이 작업을 수행하지 않는 방법이 있지만 엄격하게 "일반 바닐라"환경을 고수하면 VLAN을 생성하고, VLAN에서 사용할 IP 서브넷을 생각하고, 해당 라우터에 해당 라우터에 IP 주소를 할당하고, 라우터를 연결하십시오 VLAN (라우터의 물리적 인터페이스 또는 가상 하위 인터페이스)을 사용하여 일부 호스트를 VLAN에 연결하고 정의한 서브넷에서 IP 주소를 할당하고 트래픽을 VLAN 안팎으로 라우팅합니다.

적절한 이유가없는 한 이더넷 LAN 서브넷을 시작하지 않아야합니다. 가장 좋은 두 가지 이유는 다음과 같습니다.

• 성능 문제 완화 이더넷 LAN은 무한정 확장 할 수 없습니다. 알 수없는 대상으로 과도한 브로드 캐스트 또는 프레임 초과가 발생하면 크기가 제한됩니다. 이더넷 LAN에서 단일 브로드 캐스트 도메인을 너무 크게 만들면 이러한 조건 중 하나가 발생할 수 있습니다. 브로드 캐스트 트래픽은 이해하기 쉽지만 알 수없는 대상으로 프레임을 넘치면 조금 더 모호합니다. 스위치 MAC 테이블이 오버플로하는 장치가 너무 많으면 프레임의 대상이 MAC 테이블의 항목과 일치하지 않으면 스위치가 모든 브로드 캐스트 이외의 브로드 캐스트 포트를 플러딩해야합니다. 이더넷 LAN에 호스트에서 트래픽이 자주 발생하는 단일 브로드 캐스트 도메인이 충분하지 않은 경우 (즉,

• 계층 3 이상에서 호스트 간 트래픽 이동을 제한 / 제어하려는 요구. 계층 2 (ala Linux ebtables)에서 트래픽을 검사하는 해커를 수행 할 수 있지만 규칙을 MAC 주소에 연결하고 NIC를 변경하면 규칙 변경이 필요하기 때문에 관리하기가 어렵습니다. 예를 들어 계층 2에서 HTTP의 투명 프록시는 기묘하고 재미 있지만 완전히 부자연스럽고 문제를 해결하는 데 매우 직관적이지 않을 수 있으며 일반적으로 하위 계층에서 수행하기가 어렵습니다 (계층 2 도구는 스틱과 같기 때문에) 계층 3 이상 문제를 다루는 데 도움이됩니다. 계층 2에서 문제를 공격하지 않고 호스트 간의 IP (또는 TCP 또는 UDP 등) 트래픽을 제어하려면 서브넷간에 ACL을 사용하여 방화벽 / 라우터를 서브넷으로 고정해야합니다.

대역폭 소진 문제 (브로드 캐스트 패킷 또는 프레임 초과로 인해 발생하지 않는 한)는 일반적으로 VLAN 및 서브넷으로 해결되지 않습니다. 물리적 연결이 부족하기 때문에 (서버에 NIC가 너무 적거나, 집계 그룹에 너무 적은 포트가 있고, 더 빠른 포트 속도로 이동해야 할 필요가 있기 때문에), 그 이후로 VLAN을 서브넷 화하거나 배포하여 해결할 수없는 경우 사용 가능한 대역폭의 양을 늘리지 마십시오.

당신은 MRTG와 같은 심지어 뭔가 간단한이없는 경우 잠재적 시작하기 전에 정말 사업의 첫 번째 순서입니다 귀하의 스위치의 포트 별 트래픽 통계 그래프 실행 도입 선의하지만 증거도없고 서브넷에 병목 현상을. 원시 바이트 수는 좋은 시작이지만 트래픽 스니핑에 대한 자세한 내용을 보려면 대상 스니핑을 수행해야합니다.

LAN에서 트래픽이 어떻게 이동하는지 알면 성능상의 이유로 서브넷에 대해 생각할 수 있습니다.

"보안"이 진행되는 한 응용 프로그램 소프트웨어와 계속 진행하기 전에 소프트웨어가 어떻게 대화하는지에 대해 많이 알아야합니다.

몇 년 전 의료 고객을 위해 적절한 크기의 LAN / WAN을 설계했으며 레이어 3 엔티티 (Cisco Catalyst 6509 수퍼바이저 모듈)에 액세스 목록을 추가하여 서브넷 간 트래픽 이동을 " 엔지니어는 실제로 어떤 종류의 레그 워크가 필요한지 거의 이해하지 못했지만 "보안"에 매우 관심이있었습니다. 필요한 TCP / UDP 포트와 대상 호스트를 결정 하기 위해 각 응용 프로그램 을 연구하라는 제안으로 돌아 왔을 때 나는 "엔지니어"로부터 그렇게 어렵지 않아야한다는 충격적인 응답을 받았습니다. 마지막으로 그들이 모든 소프트웨어를 안정적으로 작동시킬 수 없기 때문에 액세스 목록없이 레이어 3 엔터티를 실행한다고 들었습니다.

교훈 : 실제로 VLAN 간의 패킷 및 스트림 수준 액세스를 시도하고 버튼을 내리려고 할 경우 애플리케이션 소프트웨어 및 무선 통신 방식에 대한 학습 / 역 엔지니어링을 통해 많은 노력을 기울일 준비가되어 있어야합니다. 서버의 필터링 기능을 사용하여 호스트의 서버 액세스를 제한 할 수 있습니다. 유선 액세스를 제한하는 것은 잘못된 보안 감각을 제공 할 수 있으며 관리자는 "글쎄, 앱과 통신 할 수있는 호스트는 ' 회로망'." 유선으로 호스트 간 통신을 제한하기 전에 서버 구성의 보안을 감사하는 것이 좋습니다.

시간의 99 %에서 서브넷은 VLAN과 동일해야합니다 (즉, 각 액세스 서브넷은 하나의 VLAN에만 매핑되어야 함).

동일한 VLAN에 둘 이상의 IP 서브넷의 호스트가있는 경우 두 개 이상의 서브넷이 동일한 브로드 캐스트 도메인에 있으므로 VLAN의 목적을 무효화합니다.

또는 하나의 IP 서브넷을 여러 VLAN에 배치하면 라우터에 프록시 ARP가 활성화 되어 있지 않으면 IP 서브넷의 호스트가 다른 VLAN의 호스트와 통신 할 수 없습니다 .

나는 대부분 David Pashley에 동의합니다 .

1. 모든 것에 단일 / 16을 사용합니다.
   • 그러나 여러 VLAN으로 분할되어 Linux 시스템의 소프트웨어 브리지로 연결됩니다.
   • 이 브리지에는 그룹 간 액세스를 필터링하는 몇 가지 iptables 규칙이 있습니다.
   • 분류 방법에 관계없이 그룹화에 IP 범위를 사용하면 구조 조정 및 특수 사례가 더 쉬워집니다.