트래픽, VLAN 또는 서브넷을 분할하는 가장 좋은 방법은?


13

우리는 약 200 개의 노드로 구성된 중간 규모의 네트워크를 보유하고 있으며 현재 기존 데이지 체인 스위치를 스택 가능 또는 섀시 스타일 스위치로 교체하고 있습니다.

현재 네트워크는 프로덕션, 관리, 지적 재산권 (IP) 등의 서브넷을 별도의 서브넷에 각각 나눕니다. 서브넷 대신 VLAN을 만드는 것이 더 유익합니까?

우리의 일반적인 목표는 병목 현상을 방지하고 보안을 위해 트래픽을 분리하며보다 쉽게 ​​트래픽을 관리하는 것입니다.


1
아마도 다른 VLAN이 별도의 서브넷을 갖는 데 사용될 것입니다.
pQd

1
이 질문에 대한 Evan의 답변이 도움이 될 수 있습니다. serverfault.com/questions/25907/…
Kyle Brandt

답변:


16

VLAN서브넷은 다른 문제를 해결합니다. VLAN은 레이어 2 에서 작동 하여 브로드 캐스트 도메인 (예 :)을 변경합니다. 현재 컨텍스트에서 서브넷은 레이어 3 인 반면

한 가지 제안은 실제로 두 가지를 모두 구현하는 것입니다.

예를 들어, 다양한 장치 유형 (Dev, Test, Production, Users 등)에 대해 VLAN 10-15가 있어야합니다.

VLAN 10, 서브넷 192.168.54.x / 24가있을 수 있습니다. VLAN 11, 서브넷 192.168.55.x / 24가있을 수 있습니다.

등등

그래도 네트워크 내에 라우터가 있어야합니다.

어떤 경로로 내려갈지는 사용자에게 달려 있습니다 (내가 생각하는 것보다 네트워크를 잘 알고 있음). 브로드 캐스트 도메인의 크기에 문제가 있다고 생각되면 VLAN을 사용하십시오. 네트워크 관리 도메인 (예 : 관리 네트워크)의 크기가 / 24보다 / 16에 가까운 네트워크를 사용할 수 있다고 생각하는 경우

200 개의 노드가 / 24에 맞을 것이지만, 분명히 성장에 대한 많은 범위를 제공하지는 않습니다.

그 소리에 따르면 이미 다른 장치 유형에 다른 서브넷을 사용하고 있습니다. 그렇다면 왜 그렇게하지 않습니까? 원하는 경우 각 서브넷을 VLAN에 연결할 수 있습니다. 레이어 2 세그먼테이션은 네트워크의 동작이 현재의 동작 방식에서 변경됨

그것의 잠재적 영향을 조사해야 할 것입니다


2
+1-내가 원하는 거의 모든 것을 말했습니다. 현재의 서브넷 디자인을 폐기하려는 경우 / 22 또는 / 23을 사용하여 주소 공간 설정을 탐색하는 것이 좋습니다. 더 많은 서브넷이 필요한 경우 비트를 "제거"할 수 있습니다. 결국, 우리는 더 이상 / 16 또는 / 24로 제한되지 않습니다. 그런 다음 각 서브넷을 자체 VLAN에 넣어 브로드 캐스트 트래픽을 줄입니다.
romandas

13

(나는 하루 종일 도로에 있었고 이것에서 점프하는 것을 놓쳤다 ... 아직도, 게임 후반에 내가 할 수있는 것을 볼 것이다.)

일반적으로 이더넷에서 VLAN을 생성하고 IP 서브넷을 일대일로 매핑합니다. 이 작업을 수행하지 않는 방법이 있지만 엄격하게 "일반 바닐라"환경을 고수하면 VLAN을 생성하고, VLAN에서 사용할 IP 서브넷을 생각하고, 해당 라우터에 해당 라우터에 IP 주소를 할당하고, 라우터를 연결하십시오 VLAN (라우터의 물리적 인터페이스 또는 가상 하위 인터페이스)을 사용하여 일부 호스트를 VLAN에 연결하고 정의한 서브넷에서 IP 주소를 할당하고 트래픽을 VLAN 안팎으로 라우팅합니다.

적절한 이유가없는 한 이더넷 LAN 서브넷을 시작하지 않아야합니다. 가장 좋은 두 가지 이유는 다음과 같습니다.

  • 성능 문제 완화 이더넷 LAN은 무한정 확장 할 수 없습니다. 알 수없는 대상으로 과도한 브로드 캐스트 또는 프레임 초과가 발생하면 크기가 제한됩니다. 이더넷 LAN에서 단일 브로드 캐스트 도메인을 너무 크게 만들면 이러한 조건 중 하나가 발생할 수 있습니다. 브로드 캐스트 트래픽은 이해하기 쉽지만 알 수없는 대상으로 프레임을 넘치면 조금 더 모호합니다. 스위치 MAC 테이블이 오버플로하는 장치가 너무 많으면 프레임의 대상이 MAC 테이블의 항목과 일치하지 않으면 스위치가 모든 브로드 캐스트 이외의 브로드 캐스트 포트를 플러딩해야합니다. 이더넷 LAN에 호스트에서 트래픽이 자주 발생하는 단일 브로드 캐스트 도메인이 충분하지 않은 경우 (즉,

  • 계층 3 이상에서 호스트 간 트래픽 이동을 제한 / 제어하려는 요구. 계층 2 (ala Linux ebtables)에서 트래픽을 검사하는 해커를 수행 할 수 있지만 규칙을 MAC 주소에 연결하고 NIC를 변경하면 규칙 변경이 필요하기 때문에 관리하기가 어렵습니다. 예를 들어 계층 2에서 HTTP의 투명 프록시는 기묘하고 재미 있지만 완전히 부자연스럽고 문제를 해결하는 데 매우 직관적이지 않을 수 있으며 일반적으로 하위 계층에서 수행하기가 어렵습니다 (계층 2 도구는 스틱과 같기 때문에) 계층 3 이상 문제를 다루는 데 도움이됩니다. 계층 2에서 문제를 공격하지 않고 호스트 간의 IP (또는 TCP 또는 UDP 등) 트래픽을 제어하려면 서브넷간에 ACL을 사용하여 방화벽 / 라우터를 서브넷으로 고정해야합니다.

대역폭 소진 문제 (브로드 캐스트 패킷 또는 프레임 초과로 인해 발생하지 않는 한)는 일반적으로 VLAN 및 서브넷으로 해결되지 않습니다. 물리적 연결이 부족하기 때문에 (서버에 NIC가 너무 적거나, 집계 그룹에 너무 적은 포트가 있고, 더 빠른 포트 속도로 이동해야 할 필요가 있기 때문에), 그 이후로 VLAN을 서브넷 화하거나 배포하여 해결할 수없는 경우 사용 가능한 대역폭의 양을 늘리지 마십시오.

당신은 MRTG와 같은 심지어 뭔가 간단한이없는 경우 잠재적 시작하기 전에 정말 사업의 첫 번째 순서입니다 귀하의 스위치의 포트 별 트래픽 통계 그래프 실행 도입 선의하지만 증거도없고 서브넷에 병목 현상을. 원시 바이트 수는 좋은 시작이지만 트래픽 스니핑에 대한 자세한 내용을 보려면 대상 스니핑을 수행해야합니다.

LAN에서 트래픽이 어떻게 이동하는지 알면 성능상의 이유로 서브넷에 대해 생각할 수 있습니다.

"보안"이 진행되는 한 응용 프로그램 소프트웨어와 계속 진행하기 전에 소프트웨어가 어떻게 대화하는지에 대해 많이 알아야합니다.

몇 년 전 의료 고객을 위해 적절한 크기의 LAN / WAN을 설계했으며 레이어 3 엔티티 (Cisco Catalyst 6509 수퍼바이저 모듈)에 액세스 목록을 추가하여 서브넷 간 트래픽 이동을 " 엔지니어는 실제로 어떤 종류의 레그 워크가 필요한지 거의 이해하지 못했지만 "보안"에 매우 관심이있었습니다. 필요한 TCP / UDP 포트와 대상 호스트를 결정 하기 위해 응용 프로그램 을 연구하라는 제안으로 돌아 왔을 때 나는 "엔지니어"로부터 그렇게 어렵지 않아야한다는 충격적인 응답을 받았습니다. 마지막으로 그들이 모든 소프트웨어를 안정적으로 작동시킬 수 없기 때문에 액세스 목록없이 레이어 3 엔터티를 실행한다고 들었습니다.

교훈 : 실제로 VLAN 간의 패킷 및 스트림 수준 액세스를 시도하고 버튼을 내리려고 할 경우 애플리케이션 소프트웨어 및 무선 통신 방식에 대한 학습 / 역 엔지니어링을 통해 많은 노력을 기울일 준비가되어 있어야합니다. 서버의 필터링 기능을 사용하여 호스트의 서버 액세스를 제한 할 수 있습니다. 유선 액세스를 제한하는 것은 잘못된 보안 감각을 제공 할 수 있으며 관리자는 "글쎄, 앱과 통신 할 수있는 호스트는 ' 회로망'." 유선으로 호스트 간 통신을 제한하기 전에 서버 구성의 보안을 감사하는 것이 좋습니다.


2
/ 16으로 가라고 조언 한 후에 이성의 목소리를 보게되어 기쁘다.
pQd

4
임의로 크거나 작은 서브넷으로 서브넷 할 수 있습니다. 서브넷 / 브로드 캐스트 도메인의 호스트 수는 주소 공간이 충분한 한 가능한 호스트 수와 상관없이 중요 합니다. 표현은 무엇입니까? 서브넷의 크기가 아니라 사용 방법이 무엇입니까? > smile <
Evan Anderson

@Evan Anderson : 알고 있습니다. 그러나 64k가 너무 많다는 것을 인정해야합니다. 아마도 사용되지 않을 것입니다. 예를 들어 원격 DC / 사무실 등을 연결하기 위해 라우팅을 도입해야 할 때 문제가 발생할 수 있습니다.
pQd

1

시간의 99 %에서 서브넷은 VLAN과 동일해야합니다 (즉, 각 액세스 서브넷은 하나의 VLAN에만 매핑되어야 함).

동일한 VLAN에 둘 이상의 IP 서브넷의 호스트가있는 경우 두 개 이상의 서브넷이 동일한 브로드 캐스트 도메인에 있으므로 VLAN의 목적을 무효화합니다.

또는 하나의 IP 서브넷을 여러 VLAN에 배치하면 라우터에 프록시 ARP가 활성화 되어 있지 않으면 IP 서브넷의 호스트가 다른 VLAN의 호스트와 통신 할 수 없습니다 .


VLAN은 브로드 캐스트 도메인을 분할합니다. 충돌 도메인은 더 일반적으로 스위치라고 알려진 브리지 또는 다중 포트 브리지로 분할됩니다. IP 서브넷과 브로드 캐스트 / 충돌 도메인은 일반적인 경우 서로 관련이 없습니다. IP over Ethernet의 경우 IP 서브넷이 단일 브로드 캐스트 도메인에 매핑되는 것이 일반적입니다 (ARP 때문에 IP 주소를 이더넷 하드웨어 주소로 해석하는 데 사용되는 프로토콜은 브로드 캐스트 기반 임).하지만 프록시를 사용하여 영리한 속임수를 사용할 수 있습니다 서브넷이 여러 브로드 캐스트 도메인에 걸쳐있는 ARP
Evan Anderson

@Evan : 좋은 지적-그것은 아침의 달콤한 시간에 답을 쓰도록 가르쳐 줄 것입니다. :) 나는 남은 점을지지한다. 동일한 VLAN에 여러 서브넷이 있으면 L2 브로드 캐스트 트래픽이 여러 서브넷에 걸쳐있게됩니다. 동일한 서브넷에 여러 개의 VLAN이 있으면 작동하지만 프록시 ARP는 피할 수 없다면 실제로 사용하지 않는 것이 좋습니다.
Murali Suriar

-1 제거됨-다른 말은 모두 정확합니다. 나는 또한 프록시 ARP에 동의한다. 매우 강력한 이유가 없다면 "실제 세계"에서는 사용하지 않을 것이다.
Evan Anderson

"IP 서브넷과 브로드 캐스트 / 충돌 도메인은 일반적인 경우 서로 관련이 없습니다." 아니요, 그들은 일반적으로 가장 확실합니다. 각 서브넷에는 네트워크 번호와 관련 브로드 캐스트 주소가 있습니다. ARP 외에도 다른 브로드 캐스트 패킷이 있습니다. 네트워크에서 멀티 캐스트 트래픽이 있는지 여부를 알 수없는 것은 잘못된 것입니다. DHCP 클라이언트는 IP 브로드 캐스트를 사용하여 DHCP 서버를 학습합니다.
킬로

1
@Evan Anderson 여기서 무엇을 놓쳤습니까? 당신은 당신의 -1을 철회합니다. 충돌 도메인은 스위치 포트에 의해 유출됩니다. 충돌 도메인 에서 2 개 또는 서브넷을 말하는 것은 말이되지 않습니다. 브로드 캐스트 도메인 에서 2 개 이상의 서브넷을 의미한다고 생각 합니다 .
JamesBarnett

-5

나는 대부분 David Pashley에 동의합니다 .

  1. 모든 것에 단일 / 16을 사용합니다.
    • 그러나 여러 VLAN으로 분할되어 Linux 시스템의 소프트웨어 브리지로 연결됩니다.
    • 이 브리지에는 그룹 간 액세스를 필터링하는 몇 가지 iptables 규칙이 있습니다.
    • 분류 방법에 관계없이 그룹화에 IP 범위를 사용하면 구조 조정 및 특수 사례가 더 쉬워집니다.

2
그것은 악몽처럼 들린다!
Evan Anderson

2
-1 당신은 당신이 연구하는 프로젝트에 대해 말하지 않고, 당신이 유지하고있는 네트워크의 크기를 말하지 않았고, 나는 그런 종류의 구성을 사용해야 할 이유를 생각할 수 없습니다. 정의에 따라 서브넷은 그룹화에 사용되는 "IP 범위"입니다. Linux 상자를 사용하여 계층 2에서 라우팅을 수행하여 계층 3을 재창조하는 것처럼 들립니다. 불필요한 복잡성으로 인해 숨겨진 문제가 발생할 수 있습니다. 이로 인해 다른 사람이 문제를 해결하기는 쉽지 않습니다.
Rik Schneider
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.