web-dev-qa-db-fra.com

Meilleure façon de segmenter le trafic, =VLAN ou sous-réseau?

Nous avons un réseau de taille moyenne d'environ 200 nœuds et sont actuellement en train de remplacer les anciens commutateurs chaînées de marguerite avec des interrupteurs de style pile ou de châssis.

À l'heure actuelle, notre réseau est divisé via des sous-réseaux: production, gestion, propriété intellectuelle (IP), etc., chacune sur un sous-réseau séparé. Créerait des vlans au lieu des sous-réseaux plus bénéfiques?

Notre objectif général est d'empêcher les goulots d'étranglement, séparer le trafic de la sécurité et gérer le trafic avec plus de facilité.

13
thebird

[~ # ~] VLAN [~ # ~ ~] s et sous-résea résolvez des problèmes différents. Les VLAN fonctionnent à couche 2 , modifiant ainsi les domaines de diffusion (par exemple). Tandis que les sous-réseaux sont couche dans le contexte actuel

Une suggestion serait de mettre en œuvre les deux

Avoir, par exemple, VLAN 10 - 15 pour vos différents types de périphériques (dev, test, production, utilisateurs, etc.)

VLAN 10, vous pouvez avoir le sous-réseau 192.168.54.x/24 VLAN 11, vous pouvez avoir le sous-réseau 192.168.55.x/24

Etc

Cela nécessiterait que vous ayez un routeur au sein de votre réseau, bien que

C'est un peu à vous de vous sur quelle route vous descendez (vous connaissez votre réseau mieux que jamais). Si vous pensez que la taille de votre domaine de diffusion sera une sorte de problème, utilisez des VLAN. Si vous pensez que la taille de vos domaines de gestion de réseau (par exemple, votre réseau de gestion), utilisez éventuellement un réseau plus proche de A / 16 sur A/24

Vos 200 nœuds s'intégreront à A/24, mais cela ne vous donne évidemment pas beaucoup de possibilités de croissance

Par le son, vous utilisez déjà différents sous-réseaux pour différents types de périphériques. Alors, pourquoi ne pas rester avec ça? Vous pourriez, si vous le souhaitez, attachez chaque sous-réseau à un VLAN. La segmentation de la couche 2 entraînera le comportement de votre réseau qui change de la manière dont il se comporte actuellement

Vous devriez enquêter sur l'impact potentiel de cette

16
Ben Quick

(Je suis sur la route toute la journée et je suis manqué de sauter sur celui-ci ... toujours, tard au jeu, je verrai ce que je peux faire.)

Généralement, vous créez des VLAN dans Ethernet et cartographier les sous-réseaux IP 1-à-1 sur eux. Il y a des moyens de ne pas le faire, mais de coller dans un monde strictement "de vanille nature" que vous créeriez un VLAN, pensez à utiliser un sous-réseau IP à utiliser dans le VLAN, affectez-vous un routeur une adresse IP dans ce VLAN, attachez ce routeur à le VLAN (avec une interface physique ou une sous-interface virtuelle sur le routeur), connectez certains hôtes au VLAN et attribuez-leur des adresses IP dans le sous-réseau que vous avez définies et acheminez leur trafic. dans et hors du VLAN.

Vous ne devriez pas commencer à sous-traiter un réseau local Ethernet à moins d'avoir de bonnes raisons de le faire. Les deux meilleures raisons sont:

  • Atténuer les problèmes de performance. Ethernet Lans ne peut pas échouer indéfiniment. Des émissions excessives ou des inondations de cadres à des destinations inconnues limiteront leur échelle. L'une de ces conditions peut être provoquée par la fabrication d'un seul domaine de diffusion dans un réseau local Ethernet trop grand. Le trafic de diffusion est facile à comprendre, mais l'inondation de cadres à des destinations inconnues est un peu plus obscur. Si vous obtenez autant de périphériques que vos tables Mac de commutation sont des commutateurs débordants seront forcés d'inonder les trames non diffusées de tous les ports si la destination du cadre ne correspond à aucune entrée dans la table MAC. Si vous avez un domaine de diffusion unique suffisant dans un réseau local Ethernet avec un profil de trafic qui héberge rarement (c'est-à-dire suffisamment de sorte que leurs entrées ont atteint l'âge des tables Mac sur vos commutateurs), vous pouvez également obtenir une inondation excessive des cadres .

  • Un désir de limiter/contrôler le trafic se déplaçant entre les hôtes au calque 3 ou supérieur. Vous pouvez effectuer des hackys examinant le trafic à la couche 2 (eBTABLES ALA Linux), mais cela est difficile à gérer (car les règles sont liées aux adresses MAC et à modifier les NICs nécessite des changements de règles) peuvent causer de quoi semblent vraiment, des comportements vraiment étranges (faire La proxyation transparente de HTTP à la couche 2, par exemple, est une fourrure et amusante, mais est totalement intuitive et peut être très intuitive à résoudre) et est généralement difficile à faire aux couches inférieures (car les outils de couche 2 sont comme des bâtons et des roches à traiter avec des préoccupations de couche 3+). Si vous souhaitez contrôler le trafic IP (ou TCP ou UDP, etc.) entre des hôtes, plutôt que d'attaquer le problème au niveau de la couche 2, vous devez sous-réseau et coller des pare-feu/routeurs avec des ACL entre les sous-réseaux.

Les problèmes d'épuisement de la bande passante (sauf si elles sont causées par des paquets de diffusion ou des inondations de cadres) ne sont pas résolues avec des VLAN et un sous-réseau typiquement. Ils se produisent en raison d'un manque de connectivité physique (trop peu de nics sur un serveur, trop peu de ports dans un groupe d'agrégation, la nécessité de passer à une vitesse de port plus rapide) et ne peut pas être résolue par sous-résein ou déployer des vlans car cela gagnait 't augmenter la quantité de bande passante disponible.

Si vous n'avez même pas quelque chose de simple, comme M. MRTG exécutant les statistiques de trafic Per-Port sur vos commutateurs, ce qui est vraiment votre premier ordre d'activité avant de commencer potentiellement introduire goulets d'étranglement avec sous-réseau bien intentionné mais non informé. Les chiffres d'octets bruts sont un bon départ, mais vous devriez le suivre avec une renification ciblée pour obtenir plus de détails sur les profils de trafic.

Une fois que vous savez comment le trafic se déplace sur votre réseau local, vous pouvez commencer à réfléchir au sous-réseau pour des raisons de performance.

En ce qui concerne la "sécurité", vous allez avoir besoin de connaître beaucoup sur votre logiciel d'application et de la manière dont il parle avant de pouvoir continuer.

J'ai fait une conception pour un réseau local de la taille de la taille de la taille de la taille de la taille de la taille de la taille d'un client meudcial il y a quelques années et on m'a demandé de mettre des listes d'accès sur la couche 3 entité (un module de superviseur Cisco Catalyst 6509) pour contrôler le trafic se déplaçant entre les sous-réseaux par un " Ingénieur "qui comportait peu de quel type de jambe de longueur aurait réellement besoin mais était très intéressé par" la sécurité ". Quand je suis revenu avec une proposition d'étude chacune Application pour déterminer les ports TCP/UDP nécessaires et les hôtes de destination nécessaires, j'ai eu une réponse choquée de l'ingénieur indiquant que cela ne devrait pas être aussi difficile. Le dernier que j'ai entendu dire qu'ils exécutent la couche 3 entité sans listes d'accès car elles ne pouvaient pas obtenir tout leur logiciel fonctionnant de manière fiable.

La morale: Si vous allez vraiment essayer de basculer sur le paquet et l'accès au niveau du flux entre les VLANS, soyez prêt à faire beaucoup de jambatines avec logiciels d'application et d'apprentissage/ingénierie inverse de la manière dont il parle sur le fil. La limitation de l'accès des hôtes sur des serveurs peut souvent être accomplie avec une fonctionnalité de filtrage sur les serveurs. La limitation de l'accès sur le fil peut fournir un faux sentiment de sécurité et des administrateurs de plongée dans une complaisance où ils pensent "bien, je n'ai pas besoin de configurer l'application. Séquier parce que les hôtes pouvant parler à l'application. Sont limités par" le réseau'." Je vous encourage à vérifier la sécurité de votre configuration de serveur avant de commencer à limiter la communication hôte-host sur le fil.

13
Evan Anderson

99% du temps, un sous-réseau doit être équivalent à A VLAN (c'est-à-dire que chaque sous-réseau d'accès devait mapper sur un seul et un seul VLAN).

Si vous organisez plusieurs sous-traites IP dans le même VLAN, vous vaincuez le but des VLAN, car les deux (ou plus) sous-projets seront sur le même domaine de diffusion.

Alternativement, si vous mettez un sous-réseau IP dans plusieurs VLAN, les hôtes du sous-réseau IP ne pourront pas communiquer avec des hôtes de l'autre VLAN sauf si votre routeur a proxy arp = activé.

1
Murali Suriar