Najlepszy sposób na segmentację ruchu, sieci VLAN lub podsieci?

Mamy średnią sieć około 200 węzłów i obecnie jesteśmy w trakcie zastępowania starych przełączników łańcuchowych przełącznikami stosowymi lub przełącznikami typu obudowa.

Obecnie nasza sieć jest podzielona na podsieci: produkcyjne, zarządcze, własności intelektualnej (IP) itp., Każda w osobnej podsieci. Czy tworzenie VLAN zamiast podsieci byłoby bardziej korzystne?

Naszym ogólnym celem jest zapobieganie wąskim gardłom, oddzielny ruch dla bezpieczeństwa i łatwiejsze zarządzanie ruchem.

Sieci VLAN i podsieci rozwiązują różne problemy. Sieci VLAN działają w warstwie 2 , zmieniając w ten sposób domeny rozgłoszeniowe (na przykład). Podczas gdy podsieci to Warstwa 3 w bieżącym kontekście

Jedną z sugestii byłoby wdrożenie obu

Posiadaj na przykład VLAN 10-15 dla różnych typów urządzeń (deweloper, test, produkcja, użytkownicy itp.)

VLAN 10, możesz mieć podsieć 192.168.54.x / 24 VLAN 11, możesz mieć podsieć 192.168.55.x / 24

I tak dalej

Wymagałoby to jednak posiadania routera w sieci

To od Ciebie zależy, jaką trasę wybierzesz (znasz swoją sieć lepiej niż kiedykolwiek). Jeśli uważasz, że rozmiar domeny rozgłoszeniowej będzie stanowić problem, użyj sieci VLAN. Jeśli uważasz, że rozmiar twoich domen zarządzania siecią (na przykład twoją sieć zarządzania) to prawdopodobnie użyj sieci bliżej / 16 przez a / 24

Twoje 200 węzłów zmieści się w / 24, ale to oczywiście nie daje ci dużo możliwości rozwoju

Na podstawie tego używasz już różnych podsieci dla różnych typów urządzeń. Dlaczego więc się tego nie trzymać? Jeśli chcesz, możesz powiązać każdą podsieć z siecią VLAN. Segmentacja w warstwie 2 spowoduje zmianę zachowania sieci w porównaniu z jej obecnym zachowaniem

Będziesz musiał zbadać potencjalny wpływ tego

(Byłem w drodze cały dzień i tęskniłem za tym ... Mimo to, spóźniony do gry zobaczę, co da się zrobić.)

Zazwyczaj tworzysz sieci VLAN w sieci Ethernet i odwzorowujesz na nich podsieci IP od 1 do 1. Istnieją sposoby, aby tego nie zrobić, ale pozostając w świecie „waniliowym”, w którym utworzysz sieć VLAN, wymyśl podsieć IP do użycia w sieci VLAN, przypisz routerowi adres IP w tej sieci VLAN, podłącz router do sieć VLAN (z interfejsem fizycznym lub wirtualnym podinterperem na routerze), podłącz niektóre hosty do sieci VLAN i przypisz im adresy IP w zdefiniowanej podsieci oraz kieruj ich ruchem do i z sieci VLAN.

Nie powinieneś zaczynać podsieci Ethernet LAN, chyba że masz ku temu dobre powody. Dwa najlepsze powody to:

• Łagodzenie problemów z wydajnością. Sieci Ethernet LAN nie mogą być skalowane w nieskończoność. Nadmierna transmisja lub zalewanie ramek do nieznanych miejsc docelowych ograniczy ich skalę. Każdy z tych warunków może być spowodowany zbyt dużą pojedynczą domeną rozgłoszeniową w sieci Ethernet Ethernet. Ruch rozgłoszeniowy jest łatwy do zrozumienia, ale zalewanie ramek do nieznanych miejsc docelowych jest nieco bardziej niejasne. Jeśli dostaniesz tyle urządzeń, że w twoich przełącznikach tabele MAC są przepełnione, przełączniki zostaną zmuszone do zalewania ramek nie rozgłaszanych ze wszystkich portów, jeśli miejsce docelowe ramki nie pasuje do żadnych wpisów w tabeli MAC. Jeśli masz wystarczająco dużą pojedynczą domenę rozgłoszeniową w sieci Ethernet LAN z profilem ruchu, który hostuje rozmowę rzadko (tj.

• Chęć ograniczenia / kontrolowania ruchu między hostami na warstwie 3 lub wyższej. Możesz przeprowadzić hakowanie badając ruch na warstwie 2 (ala Linux ebtables), ale jest to trudne do zarządzania (ponieważ reguły są powiązane z adresami MAC, a wymiana kart sieciowych wymaga zmian reguł) może spowodować, że wyglądają na naprawdę, naprawdę dziwne zachowania (robienie na przykład przezroczyste proxy HTTP na warstwie 2 jest dziwaczne i zabawne, ale jest całkowicie nienaturalne i może być bardzo nieintuicyjne w rozwiązywaniu problemów i na ogół jest trudne do zrobienia na niższych warstwach (ponieważ narzędzia warstwy 2 są jak patyki i skały w rozwiązywaniu problemów z warstwą 3+). Jeśli chcesz kontrolować ruch IP (lub TCP, UDP itp.) Między hostami, zamiast atakować problem na warstwie 2, powinieneś podsieć i trzymać zapory ogniowe / routery za pomocą list ACL między podsieciami.

Problemy z wyczerpaniem przepustowości (chyba że są spowodowane pakietami rozgłoszeniowymi lub zalewaniem ramek) nie są zazwyczaj rozwiązywane za pomocą sieci VLAN i podsieci. Dzieje się tak z powodu braku fizycznej łączności (zbyt mało kart sieciowych na serwerze, zbyt mało portów w grupie agregacji, potrzeba przejścia na większą prędkość portów) i nie można ich rozwiązać przez podsieci lub wdrożenie sieci VLAN, ponieważ to wygrało nie zwiększają dostępnej przepustowości.

Jeśli nie masz nawet czegoś prostego, na przykład MRTG, uruchamiającego wykresy statystyk ruchu według portów na przełącznikach, to naprawdę pierwsze zamówienie, zanim zaczniesz potencjalnie wprowadzać wąskie gardła z dobrze zaplanowanymi, ale niedoinformowanymi podsieciami. Liczby nieprzetworzonych bajtów są dobrym początkiem, ale powinieneś śledzić je z ukierunkowanym wąchaniem, aby uzyskać więcej informacji na temat profili ruchu.

Gdy już wiesz, jak ruch się zmienia w sieci LAN, możesz zacząć myśleć o podsieciach ze względu na wydajność.

Jeśli chodzi o „bezpieczeństwo”, będziesz musiał dużo wiedzieć o swoim oprogramowaniu aplikacyjnym i o tym, jak to mówi, zanim będziesz mógł kontynuować.

Kilka lat temu wykonałem projekt sieci LAN / WAN o rozsądnej wielkości dla klienta medycznego i zostałem poproszony o umieszczenie list dostępu na jednostce warstwy 3 (moduł nadzorujący Cisco Catalyst 6509) w celu kontrolowania ruchu między podsieciami za pomocą „ inżynier ”, który nie miał pojęcia, jakiego rodzaju pracy wymagałby pracy, ale był bardzo zainteresowany„ bezpieczeństwem ”. Kiedy wróciłem z propozycją przestudiowania każdej aplikacji w celu ustalenia niezbędnych portów TCP / UDP i hostów docelowych, otrzymałem zszokowaną odpowiedź od „inżyniera”, który stwierdził, że nie powinno to być takie trudne. Ostatnio słyszałem, że prowadzą jednostkę warstwy 3 bez list dostępu, ponieważ nie mogli uzyskać niezawodnego działania całego oprogramowania.

Morał: Jeśli naprawdę zamierzasz zablokować pakiet i dostęp na poziomie strumienia między sieciami VLAN, przygotuj się na dużo pracy z oprogramowaniem i uczeniem się / inżynierią wsteczną, jak to się komunikuje. Ograniczenie dostępu hostów do serwerów często można osiągnąć za pomocą funkcji filtrowania na serwerach. Ograniczenie dostępu za pośrednictwem drutu może zapewnić fałszywe poczucie bezpieczeństwa i uśpić administratorów w samozadowolenie, gdy myślą: „Nie muszę konfigurować aplikacji bezpiecznie. Ponieważ hosty, które mogą z nią rozmawiać, są ograniczone przez sieć'." Zachęcam do sprawdzenia bezpieczeństwa konfiguracji serwera, zanim zacznę ograniczać komunikację między hostami w sieci.

W 99% przypadków podsieć powinna być równoważna sieci VLAN (tzn. Każda podsieć dostępu powinna być odwzorowana na jedną i tylko jedną sieć VLAN).

Jeśli masz hosty z więcej niż jednej podsieci IP w tej samej sieci VLAN, możesz pokonać cel sieci VLAN, ponieważ dwie (lub więcej) podsieci będą w tej samej domenie rozgłoszeniowej.

Alternatywnie, jeśli umieścisz jedną podsieć IP w wielu sieciach VLAN, hosty w podsieci IP nie będą mogły komunikować się z hostami w drugiej sieci VLAN, chyba że router ma włączoną funkcję ARP proxy .

W większości zgadzam się z Davidem Pashleyem :

1. Używam singla / 16 do wszystkiego.
   • ale jest podzielony na kilka sieci VLAN, do których dołączony jest mostek programowy na komputerze z systemem Linux.
   • na tym moście mam kilka reguł iptables do filtrowania dostępu między grupami.
   • bez względu na to, w jaki sposób segmentujesz, korzystaj z zakresów adresów IP do grupowania, ułatwia to restrukturyzację i przypadki szczególne.