Najlepszy sposób na segmentację ruchu, sieci VLAN lub podsieci?

13

Mamy średnią sieć około 200 węzłów i obecnie jesteśmy w trakcie zastępowania starych przełączników łańcuchowych przełącznikami stosowymi lub przełącznikami typu obudowa.

Obecnie nasza sieć jest podzielona na podsieci: produkcyjne, zarządcze, własności intelektualnej (IP) itp., Każda w osobnej podsieci. Czy tworzenie VLAN zamiast podsieci byłoby bardziej korzystne?

Naszym ogólnym celem jest zapobieganie wąskim gardłom, oddzielny ruch dla bezpieczeństwa i łatwiejsze zarządzanie ruchem.

ptak
źródło
1
prawdopodobnie twoje różne sieci będą używane w osobnych podsieciach.
pQd
1
Odpowiedź Evana na to pytanie może być pomocna: serverfault.com/questions/25907/…
Kyle Brandt,

Odpowiedzi:

16

Sieci VLAN i podsieci rozwiązują różne problemy. Sieci VLAN działają w warstwie 2 , zmieniając w ten sposób domeny rozgłoszeniowe (na przykład). Podczas gdy podsieci to Warstwa 3 w bieżącym kontekście

Jedną z sugestii byłoby wdrożenie obu

Posiadaj na przykład VLAN 10-15 dla różnych typów urządzeń (deweloper, test, produkcja, użytkownicy itp.)

VLAN 10, możesz mieć podsieć 192.168.54.x / 24 VLAN 11, możesz mieć podsieć 192.168.55.x / 24

I tak dalej

Wymagałoby to jednak posiadania routera w sieci

To od Ciebie zależy, jaką trasę wybierzesz (znasz swoją sieć lepiej niż kiedykolwiek). Jeśli uważasz, że rozmiar domeny rozgłoszeniowej będzie stanowić problem, użyj sieci VLAN. Jeśli uważasz, że rozmiar twoich domen zarządzania siecią (na przykład twoją sieć zarządzania) to prawdopodobnie użyj sieci bliżej / 16 przez a / 24

Twoje 200 węzłów zmieści się w / 24, ale to oczywiście nie daje ci dużo możliwości rozwoju

Na podstawie tego używasz już różnych podsieci dla różnych typów urządzeń. Dlaczego więc się tego nie trzymać? Jeśli chcesz, możesz powiązać każdą podsieć z siecią VLAN. Segmentacja w warstwie 2 spowoduje zmianę zachowania sieci w porównaniu z jej obecnym zachowaniem

Będziesz musiał zbadać potencjalny wpływ tego

Ben Szybki
źródło
2
+1 - Powiedział prawie wszystko, co chciałem. Jeśli miałbyś zepsuć obecny projekt podsieci, który posiadasz, moją jedyną dodatkową sugestią byłoby zbadanie ustawienia przestrzeni adresowej za pomocą / 22 lub / 23. Prawdopodobnie „usuń” bity, jeśli okaże się, że potrzebujesz więcej podsieci. W końcu nie ograniczamy się już tylko do / 16 lub / 24. Następnie umieść każdą podsieć we własnej sieci VLAN, aby ograniczyć ruch rozgłoszeniowy.
romania
13

(Byłem w drodze cały dzień i tęskniłem za tym ... Mimo to, spóźniony do gry zobaczę, co da się zrobić.)

Zazwyczaj tworzysz sieci VLAN w sieci Ethernet i odwzorowujesz na nich podsieci IP od 1 do 1. Istnieją sposoby, aby tego nie zrobić, ale pozostając w świecie „waniliowym”, w którym utworzysz sieć VLAN, wymyśl podsieć IP do użycia w sieci VLAN, przypisz routerowi adres IP w tej sieci VLAN, podłącz router do sieć VLAN (z interfejsem fizycznym lub wirtualnym podinterperem na routerze), podłącz niektóre hosty do sieci VLAN i przypisz im adresy IP w zdefiniowanej podsieci oraz kieruj ich ruchem do i z sieci VLAN.

Nie powinieneś zaczynać podsieci Ethernet LAN, chyba że masz ku temu dobre powody. Dwa najlepsze powody to:

  • Łagodzenie problemów z wydajnością. Sieci Ethernet LAN nie mogą być skalowane w nieskończoność. Nadmierna transmisja lub zalewanie ramek do nieznanych miejsc docelowych ograniczy ich skalę. Każdy z tych warunków może być spowodowany zbyt dużą pojedynczą domeną rozgłoszeniową w sieci Ethernet Ethernet. Ruch rozgłoszeniowy jest łatwy do zrozumienia, ale zalewanie ramek do nieznanych miejsc docelowych jest nieco bardziej niejasne. Jeśli dostaniesz tyle urządzeń, że w twoich przełącznikach tabele MAC są przepełnione, przełączniki zostaną zmuszone do zalewania ramek nie rozgłaszanych ze wszystkich portów, jeśli miejsce docelowe ramki nie pasuje do żadnych wpisów w tabeli MAC. Jeśli masz wystarczająco dużą pojedynczą domenę rozgłoszeniową w sieci Ethernet LAN z profilem ruchu, który hostuje rozmowę rzadko (tj.

  • Chęć ograniczenia / kontrolowania ruchu między hostami na warstwie 3 lub wyższej. Możesz przeprowadzić hakowanie badając ruch na warstwie 2 (ala Linux ebtables), ale jest to trudne do zarządzania (ponieważ reguły są powiązane z adresami MAC, a wymiana kart sieciowych wymaga zmian reguł) może spowodować, że wyglądają na naprawdę, naprawdę dziwne zachowania (robienie na przykład przezroczyste proxy HTTP na warstwie 2 jest dziwaczne i zabawne, ale jest całkowicie nienaturalne i może być bardzo nieintuicyjne w rozwiązywaniu problemów i na ogół jest trudne do zrobienia na niższych warstwach (ponieważ narzędzia warstwy 2 są jak patyki i skały w rozwiązywaniu problemów z warstwą 3+). Jeśli chcesz kontrolować ruch IP (lub TCP, UDP itp.) Między hostami, zamiast atakować problem na warstwie 2, powinieneś podsieć i trzymać zapory ogniowe / routery za pomocą list ACL między podsieciami.

Problemy z wyczerpaniem przepustowości (chyba że są spowodowane pakietami rozgłoszeniowymi lub zalewaniem ramek) nie są zazwyczaj rozwiązywane za pomocą sieci VLAN i podsieci. Dzieje się tak z powodu braku fizycznej łączności (zbyt mało kart sieciowych na serwerze, zbyt mało portów w grupie agregacji, potrzeba przejścia na większą prędkość portów) i nie można ich rozwiązać przez podsieci lub wdrożenie sieci VLAN, ponieważ to wygrało nie zwiększają dostępnej przepustowości.

Jeśli nie masz nawet czegoś prostego, na przykład MRTG, uruchamiającego wykresy statystyk ruchu według portów na przełącznikach, to naprawdę pierwsze zamówienie, zanim zaczniesz potencjalnie wprowadzać wąskie gardła z dobrze zaplanowanymi, ale niedoinformowanymi podsieciami. Liczby nieprzetworzonych bajtów są dobrym początkiem, ale powinieneś śledzić je z ukierunkowanym wąchaniem, aby uzyskać więcej informacji na temat profili ruchu.

Gdy już wiesz, jak ruch się zmienia w sieci LAN, możesz zacząć myśleć o podsieciach ze względu na wydajność.

Jeśli chodzi o „bezpieczeństwo”, będziesz musiał dużo wiedzieć o swoim oprogramowaniu aplikacyjnym i o tym, jak to mówi, zanim będziesz mógł kontynuować.

Kilka lat temu wykonałem projekt sieci LAN / WAN o rozsądnej wielkości dla klienta medycznego i zostałem poproszony o umieszczenie list dostępu na jednostce warstwy 3 (moduł nadzorujący Cisco Catalyst 6509) w celu kontrolowania ruchu między podsieciami za pomocą „ inżynier ”, który nie miał pojęcia, jakiego rodzaju pracy wymagałby pracy, ale był bardzo zainteresowany„ bezpieczeństwem ”. Kiedy wróciłem z propozycją przestudiowania każdej aplikacji w celu ustalenia niezbędnych portów TCP / UDP i hostów docelowych, otrzymałem zszokowaną odpowiedź od „inżyniera”, który stwierdził, że nie powinno to być takie trudne. Ostatnio słyszałem, że prowadzą jednostkę warstwy 3 bez list dostępu, ponieważ nie mogli uzyskać niezawodnego działania całego oprogramowania.

Morał: Jeśli naprawdę zamierzasz zablokować pakiet i dostęp na poziomie strumienia między sieciami VLAN, przygotuj się na dużo pracy z oprogramowaniem i uczeniem się / inżynierią wsteczną, jak to się komunikuje. Ograniczenie dostępu hostów do serwerów często można osiągnąć za pomocą funkcji filtrowania na serwerach. Ograniczenie dostępu za pośrednictwem drutu może zapewnić fałszywe poczucie bezpieczeństwa i uśpić administratorów w samozadowolenie, gdy myślą: „Nie muszę konfigurować aplikacji bezpiecznie. Ponieważ hosty, które mogą z nią rozmawiać, są ograniczone przez sieć'." Zachęcam do sprawdzenia bezpieczeństwa konfiguracji serwera, zanim zacznę ograniczać komunikację między hostami w sieci.

Evan Anderson
źródło
2
cieszę się, że słyszę głos rozsądku po odpowiedziach zalecających przejście / 16.
pQd
4
Możesz podsieć do dowolnie dużych lub małych podsieci. Liczy się liczba hostów w podsieci / domenie rozgłoszeniowej, a nie liczba możliwych hostów (o ile masz wystarczającą przestrzeń adresową). Jakie jest wyrażenie - nie liczy się rozmiar podsieci, ale sposób jej użycia? > uśmiech <
Evan Anderson
@Evan Anderson: wiem o tym. ale musisz przyznać, że 64k to za dużo, prawdopodobnie nigdy nie zostanie wykorzystane i może prowadzić do problemów przy wprowadzaniu routingu [np. do podłączenia zdalnego DC / biur / etc].
pQd
1

W 99% przypadków podsieć powinna być równoważna sieci VLAN (tzn. Każda podsieć dostępu powinna być odwzorowana na jedną i tylko jedną sieć VLAN).

Jeśli masz hosty z więcej niż jednej podsieci IP w tej samej sieci VLAN, możesz pokonać cel sieci VLAN, ponieważ dwie (lub więcej) podsieci będą w tej samej domenie rozgłoszeniowej.

Alternatywnie, jeśli umieścisz jedną podsieć IP w wielu sieciach VLAN, hosty w podsieci IP nie będą mogły komunikować się z hostami w drugiej sieci VLAN, chyba że router ma włączoną funkcję ARP proxy .

Murali Suriar
źródło
-1 - sieci VLAN dzielą domeny rozgłoszeniowe. Domeny kolizyjne są podzielone na mosty lub mosty wieloportowe, bardziej znane jako przełączniki. Podsieci IP i domeny rozgłoszeniowe / kolizyjne w ogóle nie mają ze sobą nic wspólnego. W konkretnym przypadku IP przez Ethernet podsieć IP jest często mapowana na pojedynczą domenę rozgłoszeniową (ponieważ ARP, protokół używany do rozwiązywania adresów IP na adresy sprzętowe Ethernet jest oparty na rozgłaszaniu), ale możliwe jest użycie sprytnego oszustwa z proxy ARP, aby podsieć obejmowała wiele domen rozgłaszania.
Evan Anderson,
@Evan: dobra uwaga - nauczy mnie pisać odpowiedzi we wczesnych godzinach porannych. :) Pozostaję przy pozostałych punktach; posiadanie wielu podsieci w tej samej sieci VLAN spowoduje, że ruch emisji L2 obejmie wiele podsieci; posiadanie wielu sieci VLAN dla tej samej podsieci będzie działać, ale ARP proxy naprawdę nie jest czymś, czego powinieneś użyć, jeśli możesz tego uniknąć.
Murali Suriar,
-1 usunięto - wszystko, co powiedziałeś, jest z pewnością dokładne. Zgadzam się także w sprawie: proxy ARP - nie użyłbym tego w „prawdziwym świecie”, chyba że miałbym jakiś bardzo ważny, przekonujący powód.
Evan Anderson
„Podsieci IP i domeny rozgłoszeniowe / kolizyjne nie mają ze sobą nic wspólnego w ogólnym przypadku”. Nie, z pewnością robią to w ogólnym przypadku. Każda podsieć ma numer sieci i powiązany adres rozgłoszeniowy. Oprócz ARP masz inne pakiety rozgłoszeniowe. Błędem byłoby uczynić to stwierdzenie nieświadomym, czy mają ruch multiemisji w swojej sieci. Klienci DHCP używają rozgłaszania IP w celu poznania serwerów DHCP.
Kilo
1
@Evan Anderson Czego tu brakowało? Wycofujesz swoje -1. Domeny kolizji są rozlewane przez porty przełączników. Mówienie 2 lub podsieci w domenie kolizyjnej to nonsens. Myślę, że ma na myśli 2 lub więcej podsieci w domenie rozgłoszeniowej .
JamesBarnett,
-5

W większości zgadzam się z Davidem Pashleyem :

  1. Używam singla / 16 do wszystkiego.
    • ale jest podzielony na kilka sieci VLAN, do których dołączony jest mostek programowy na komputerze z systemem Linux.
    • na tym moście mam kilka reguł iptables do filtrowania dostępu między grupami.
    • bez względu na to, w jaki sposób segmentujesz, korzystaj z zakresów adresów IP do grupowania, ułatwia to restrukturyzację i przypadki szczególne.
Javier
źródło
2
To brzmi jak koszmar do czynienia!
Evan Anderson,
2
-1 Nie powiedziałeś, jak dużą sieć utrzymujesz, chyba że mówisz o projekcie badawczym, nie mogę przez całe życie wymyślić powodu, aby użyć tego rodzaju konfiguracji. Z definicji podsieci to „zakresy adresów IP” używane do grupowania. Wygląda na to, że wymyślasz ponownie warstwę 3 za pomocą Linux-a, aby wykonać routing na warstwie 2. Prawdopodobnie powodują problemy ukryte przez niepotrzebną złożoność. Stwarza to coś, co trudno będzie komukolwiek rozwiązać, a co dopiero rozwiązać problem.
Rik Schneider,