Il modo migliore per segmentare traffico, VLAN o substring?

Abbiamo una networking di medie size di circa 200 nodes e stiamo attualmente in fase di sostituzione di vecchi interruttori a catena con interruttori in stile o in canvasio.

Adesso, la nostra networking è interrotta tramite sottoreti: produzione, gestione, properties; intellettuale (IP), ecc., Ognuno in una substring separata. La creazione di VLAN invece delle sottoreti sarebbe più vantaggiosa?

Il nostro objective generale è quello di prevenire le strozzature, il traffico separato per la sicurezza e gestire il traffico con maggiore facilità.

  • La pianificazione della VLAN e le domande
  • Aggiunta di un nuovo vlan a un paio di Cisco 4948E che sono in attesa - eventuali trappole?
  • VLAN over VPN (ASA 5520)? se non altre opzioni disponibili?
  • OpenStack gestore di networking "quantum" e dispositivi esistenti di bridge / VLAN
  • Come posso impostare vSphere in modo che i tag VLAN non vengano spogliati dal vSwitch?
  • Come fare ssh / rsync / etc utilizzare un'interface di networking VLAN?
  • VLAN attraverso un tronco tra Dell Powerconnect 6248 e 2848?
  • Tag / Untag VLAN da Prospettiva Port su HP Switch
  • 4 Solutions collect form web for “Il modo migliore per segmentare traffico, VLAN o substring?”

    VLAN e subnet s risolvono diversi problemi. Le VLAN funzionano allo Layer 2 , modificando in tal modo i domini broadcast (ad esempio). Mentre le sottoreti sono Layer 3 nel context corrente

    Un suggerimento sarebbe quello di realizzare entrambi

    Avere, ad esempio, VLAN 10-15 per i diversi tipi di periferica (Dev, Test, Produzione, Utenti, ecc.)

    VLAN 10, si può avere la subnet 192.168.54.x / 24 VLAN 11, si può avere la subnet 192.168.55.x / 24

    E così via

    Ciò richiederebbe che tu abbia un router all'interno della tua networking

    È un modo per sapere che path si scende (tu conosci la tua networking migliore di quanto mai). Se pensi che la dimensione del tuo dominio di trasmissione sarà una sorta di problema, utilizza VLAN. Se pensi che la dimensione dei tuoi domini di gestione della networking (ad esempio, la tua networking di gestione) potrà utilizzare una networking più vicina a / 16 su un / 24

    I tuoi 200 nodes entreranno in un / 24, ma ovviamente non ti danno molto spazio per la crescita

    Con il suono di esso, stai già utilizzando sottoreti diversi per diversi tipi di periferiche. Quindi, perché non attaccare con questo? Potresti, se voleste, bind each substring a una VLAN. La segmentazione dello strato 2 comport il comportmento della networking che cambia da come si comport attualmente

    Dovresti esaminare l'impatto potenziale di quello

    (Sono stato lungo la strada tutto il giorno e ho perso il salto su questo … Ancora, in ritardo nel gioco vedrò quello che posso fare.)

    Tipicamente si creano VLAN in Ethernet e sottopongono le sottoreti IP da 1 a 1 su di loro. Ci sono modi per non farlo, ma attaccare in un mondo di "vaniglia" strettamente creare una VLAN, pensare ad una substring IP da utilizzare nella VLAN, assegnare un router ad un indirizzo IP in quella VLAN, colbind quel router a la VLAN (con un'interface fisica o una subinterface virtuale sul router), connettere alcuni host alla VLAN e assegnarli gli indirizzi IP nella substring definita e indirizzare il loro traffico in e fuori dalla VLAN.

    Non è necessario avviare la subnetting di una LAN Ethernet a less che non vi siano buone ragioni per farlo. I due motivi migliori sono:

    • Affrontare i problemi di performance. Le LAN Ethernet non possono scalare indefinitamente. Le trasmissioni eccessive o l'inondazione di strutture a destinazioni sconosciute limitano la loro scala. Ciascuna di queste condizioni può essere causata dalla creazione di un unico dominio di trasmissione in una LAN Ethernet troppo grande. Il traffico di trasmissione è facile da capire, ma l'inondazione di strutture a destinazioni sconosciute è un po 'più oscuro. Se si ottengono tanti dispositivi che le tabelle MAC di interruttore sono interruttori di trabocco, saranno costretti a inondare frame non broadcast in tutte le porte se la destinazione del frame non corrisponde a nessuna voce nella tabella MAC. Se si dispone di un dominio di trasmissione singolo abbastanza grande in una LAN Ethernet con un profilo di traffico che ospita parlare di frequente (cioè, abbastanza raramente che le loro voci sono invecchiate dalle tabelle MAC sugli interruttori), è anche ansible get eccessivi inondazioni di fotogrammi .

    • Un desiderio di limitare / controllare il traffico che si muove tra gli host allo strato 3 o superiore. È ansible eseguire alcuni hackery che esaminano il traffico allo strato 2 (ala Linux ebtables) ma questo è difficile da gestire (perché le regole sono legate agli indirizzi MAC e la modifica delle NIC necessita di modifiche di regole) può causare ciò che sembra essere comportmenti realmente strani (facendo la proxying trasparente di HTTP a livello 2, ad esempio, è freaky e divertente, ma è assolutamente non naturale e può essere molto intuitiva per risolvere i problemi) ed è generalmente difficile da fare a livelli inferiori (perché gli strati di livello 2 sono come bastoni e le rocce nel trattare le preoccupazioni del livello 3+). Se si desidera controllare il traffico IP (o TCP o UDP, ecc.) Tra gli host, anziché attaccare il problema al livello 2, è necessario eseguire la subnet e il bersaglio di firewall / router con ACL tra le sottoreti.

    I problemi di esaurimento della width di banda (a less che non siano causati da pacchetti di trasmissione o da inondazioni di fotogrammi) non vengono risolti con VLAN e subnetting tipicamente. Ciò accade a causa della mancanza di connettività fisica (troppo poche NIC su un server, pochissime porte in un gruppo di aggregazione, la necessità di spostarsi fino a una velocità di port più veloce) e non possono essere risolti subnettando o distribuendo VLAN fin da quella vittoria aumentare la quantità di banda disponibile.

    Se non hai nemless qualcosa di simile come MRTG che esegue la visualizzazione di statistiche del traffico per-port grafica sugli switch che è veramente il tuo primo ordine di business prima di iniziare potenzialmente introducendo bottiglie con una sottorettazione ben intenzionata ma inutilizzata. I conteggi del byte raw sono un buon inizio, ma dovresti seguirlo con sniffing mirato per get maggiori dettagli sui profili del traffico.

    Una volta che sai come il traffico si muove sulla tua LAN, puoi cominciare a pensare alla sottoretifica per motivi di performance.

    Per quanto riguarda la "sicurezza", dovrai sapere molto sul tuo software applicativo e su come si parla prima di procedere.

    Ho fatto un progetto per una LAN / WAN di size ridotte per un cliente medcialo qualche anno fa e mi è stato chiesto di mettere gli elenchi di accesso nell'entity framework; del livello 3 (un module supervisore di Cisco Catalyst 6509) per controllare il traffico che si muove tra le sottoreti da un " ingegnere "che aveva poca conoscenza di quale tipo di lavoro avrebbe bisogno, ma era molto interessato alla" sicurezza ". Quando sono tornato con una proposta per studiare each applicazione per determinare le porte TCP / UDP necessarie e host di destinazione ho ottenuto una risposta scioccata dal "ingegnere" affermando che non dovrebbe essere così difficile. L'ultima che ho sentito che stanno eseguendo l'entity framework; del livello 3 senza elenchi di accesso perché non hanno potuto get tutto il loro software funzionante in modo affidabile.

    La morale: Se stai veramente cercando di abbassare il pacchetto e l'accesso a livello di stream tra le VLAN, essere preparato a fare un sacco di lavori legati al software applicativo e all'apprendimento / reverse engineering come si parla del filo. Limitando l'accesso da parte degli host ai server può essere spesso eseguito con funzionalità di filtraggio sui server. Limitare l'accesso sul filo può fornire un falso senso di sicurezza e rendere gli amministratori in una compiacenza where pensano "Beh, non ho bisogno di configurare l'applicazione in modo sicuro perché gli host che possono parlare con l'applicazione sono limitati da" Rete'." Vi incoraggio a verificare la sicurezza della configuration del server prima di iniziare a limitare la comunicazione host-to-host sul filo.

    99% del tempo, una substring dovrebbe essere equivalente a una VLAN (ovvero each substring di accesso deve mappare a una sola VLAN).

    Se si dispone di host da più sottoreti IP nella stessa VLAN, si sconfigge lo scopo delle VLAN, in quanto le due (o più) subnet saranno sullo stesso dominio di trasmissione.

    In alternativa, se si inserisce una substring IP in più VLAN, gli host sulla substring IP non saranno in grado di comunicare con gli host nell'altra VLAN, a less che il router non abbia abilitato il proxy ARP .

    Sono principalmente d'accordo con David Pashley :

    1. Io uso un singolo / 16 per tutto.
      • ma è segmentato su più VLAN, unito da un bridge software su una macchina Linux.
      • su questo ponte, ho diverse regole iptables per filtrare l'accesso tra i gruppi.
      • non import quanto seguiate, utilizzi gli intervalli IP per il raggruppamento, rende più facile la ristrutturazione e casi speciali.
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.