it-swarm-pt.tech

Quando / por que começar a criar sub-redes em uma rede?

Sob quais condições alguém começa a considerar a sub-rede de uma rede?

Estou procurando algumas regras gerais gerais ou gatilhos baseados em métricas mensuráveis ​​que tornam a sub-rede algo que deve ser considerado.

37
Adam Davis

Pergunta interessante.

Historicamente, antes do advento de redes totalmente comutadas, a principal consideração para dividir uma rede em sub-redes tinha a ver com a limitação do número de nós em um único domínio de colisão. Ou seja, se você tivesse muitos nós, o desempenho da sua rede atingiria um pico e, eventualmente, entraria em colapso sob carga pesada devido a colisões excessivas. O número exato de nós que poderiam ser implantados dependia de muitos fatores, mas de um modo geral, você não pode carregar regularmente o domínio de colisão muito além de 50% da largura de banda total disponível e ainda manter a rede estável o tempo todo. 50 nós na rede eram muitos nós naqueles dias. Com usuários de uso pesado, você pode ter atingido 20 ou 30 nós antes de precisar iniciar a sub-rede.

Obviamente, com sub-redes full-duplex totalmente comutadas, as colisões não são mais uma preocupação e, assumindo usuários típicos do tipo desktop, você pode implantar centenas de nós em uma única sub-rede sem nenhum problema. Ter muito tráfego de transmissão, como outras respostas mencionaram, pode ser uma preocupação, dependendo de quais protocolos/aplicativos você está executando na rede. No entanto, entenda que a sub-rede de uma rede não necessariamente o ajuda com seus problemas de tráfego de transmissão. Muitos dos protocolos usam a transmissão por um motivo - ou seja, quando todos os nós da rede precisam realmente ver esse tráfego para implementar os recursos desejados no nível do aplicativo. Simplesmente a sub-rede da rede não compra nada para você, se o pacote transmitido também precisar ser encaminhado para a outra sub-rede e transmitido novamente. De fato, isso adiciona tráfego extra (e latência) às duas sub-redes, se você pensar bem.

De um modo geral, hoje, os principais motivos para as redes de sub-rede têm muito mais a ver com considerações de limites organizacionais, administrativos e de segurança do que qualquer outra coisa.

A pergunta original solicita métricas mensuráveis ​​que acionam considerações de sub-rede. Não tenho certeza de que haja números em termos específicos. Isso vai depender drasticamente dos 'aplicativos' envolvidos e não acho que exista realmente algum ponto de gatilho que geralmente se aplique.

Em relação às regras práticas no planejamento de sub-redes:

  • Considere sub-redes para cada departamentos/divisões organizacionais diferentes, especialmente porque elas têm tamanho não trivial (mais de 50 nós !?).
  • Considere sub-redes para grupos de nós/usuários usando um conjunto de aplicativos comum que é diferente de outros usuários ou tipos de nós (desenvolvedores, dispositivos de VoIP, área de fabricação)
  • Considere sub-redes para grupos de usuários com requisitos de segurança diferentes (protegendo o departamento de contabilidade, Protegendo Wifi)
  • Considere sub-redes de um surto de vírus, violação de segurança e perspectiva de contenção de danos. Quantos nós são expostos/violados - qual é o nível de exposição aceitável para sua organização? Essa consideração pressupõe regras de roteamento restritivo (firewall) entre sub-redes.

Com tudo isso dito, adicionar sub-redes adiciona algum nível de sobrecarga administrativa e potencialmente causa problemas em relação à falta de endereços de nó em uma sub-rede e a quantidade restante em outro pool etc. As configurações de roteamento e firewall e o posicionamento de servidores comuns no rede e assim se envolver, esse tipo de coisa. Certamente, cada sub-rede deveria tem uma razão de existir que supera a sobrecarga de manter a topologia lógica mais sofisticada.

33
Tall Jeff

Se for um site único, não se preocupe, a menos que você tenha mais de uma dúzia de sistemas, e mesmo assim é provavelmente desnecessário.

Hoje em dia, com todos que usam comutadores de pelo menos 100 Mbps e com mais frequência 1 Gbps, o único motivo relacionado ao desempenho para segmentar sua rede é se você está sofrendo excesso de tráfego de transmissão (ou seja,> 2%, acima da minha cabeça)

O principal outro motivo é a segurança, ou seja, DMZ para servidores públicos, outra sub-rede para finanças) ou uma VLAN/sub-rede separada para sistemas VoIP.

7
Alnitak

Limitar o escopo para quaisquer requisitos de conformidade que você possa ter (ou seja, PCI) é um catalisador muito bom para segmentar algumas partes da sua rede. A segmentação dos sistemas de aceitação/processamento e finanças de pagamento pode economizar dinheiro. Mas, em geral, a sub-rede de uma pequena rede não lhe renderá muito em termos de desempenho.

7
Mark Turner

Outro motivo seria relacionado à qualidade de serviço. Executamos vlans de voz e dados separadamente, para que possamos aplicar facilmente QoS ao tráfego de voip.

Você sabe, eu tenho pensado mais nessa questão. Existem várias boas razões para projetar uma nova rede usando redes distintas (desempenho, segurança, QoS, limitação de escopos de DHCP, limitação de tráfego de broadcast (que podem estar relacionados à segurança e ao desempenho)).

Mas, ao pensar em uma métrica para redesenhar apenas para sub-rede, e nas redes com as quais tive que lidar no passado, tudo em que consigo pensar é "uau, isso precisaria de uma rede realmente bagunçada para me fazer redesenhar completamente para sub-rede ". Existem muitas outras razões - largura de banda, utilização da CPU dos dispositivos instalados, etc. Mas apenas a sub-rede em uma rede de dados pura normalmente não compraria uma tonelada de desempenho

4
jj33

Segurança e qualidade principalmente (desde que o segmento de rede em questão possa suportar os nós em questão, é claro). Uma rede separada para tráfego de impressora, voz/telefone, departamentos isolados, como operações de TI e, obviamente, segmentos de servidores, segmentos voltados para a Internet (um por serviço voltado para a Internet é popular hoje em dia, não apenas "um dmz servirá") e assim por diante.

3
Oskar Duveborn

Pessoalmente, gosto de levar a segmentação da camada 3 o mais próximo possível dos comutadores de acesso, porque

  • Eu não gosto de Spanning Tree (você pode fazer coisas muito engraçadas se for mau)
  • Especialmente nas redes Windoze, as transmissões são um problema real.
  • Nas redes privadas, você tem muito espaço IP a perder :)
  • Switches ainda mais baratos já possuem recursos de roteamento por velocidade de transmissão - por que não usá-los?
  • Facilita a vida quando se trata de segurança (por exemplo, Auth e ACLs no egde, etc)
  • Melhores possibilidades de QoS para VoIP e coisas em tempo real
  • Você pode dizer a localização de um cliente a partir do seu IP

Se se trata de redes de propagação maiores/mais amplas, nas quais dois comutadores/agrupadores principais não são suficientes, os mecanismos normais de redundância, como o VRRP, têm muitas desvantagens (o tráfego passa uplinks várias vezes, ...) o OSPF não possui.

Provavelmente, existem muitas outras razões para apoiar a abordagem se-small-broadcast-domains -.

3
PEra

Se você pretende aumentar a escala (você está construindo uma rede, não apenas 5 servidores e nós também), comece a rotear o mais rápido possível. Muitas redes são instáveis ​​e difíceis de crescer porque cresceram organicamente e possuem muitas coisas da camada 2.

Exemplos:

  • você tem dois servidores de nomes no mesmo segmento de rede. Agora você não pode mover um deles para outra cidade, pois terá que dividir Nice/24 ou renumerar o DNS. Muito mais fácil se eles estivessem em redes diferentes. Não estou falando necessariamente sobre estes se tornarem comunicados separados do BGP para o mundo. Este exemplo seria para um ISP em todo o país. Observe também que algumas coisas na área do provedor de serviços não são tão fáceis quanto "apenas registre o novo DNS no registrador".
  • Os laços da camada 2 são ruins. Como faz a árvore de abrangência (e VTP). Quando a árvore de abrangência falha (e há muitos casos em que ocorre), isso derrubará tudo devido à inundação da CPU do switch/roteador. Quando o OSPF ou o IS-IS falhar (ou outros protocolos de roteamento), não travará a rede inteira e você poderá corrigir um segmento de cada vez. Isolamento obrigatório.

Resumindo: quando você aumenta a escala para onde acha que precisa de uma árvore de abrangência, considere o roteamento.

3
Thomas

Eu acho que o escopo da organização importa muito. Se houver 200 hosts no total ou menos em uma rede e o tráfego não precisar ser segmentado por qualquer motivo, por que adicionar a complexidade de VLANs e sub-redes? Mas quanto maior o escopo, mais pode fazer sentido.

A divisão de redes que normalmente não precisariam ser pode facilitar algumas coisas. Por exemplo, nossas PDUs que fornecem energia aos servidores estão na mesma VLAN ou sub-rede que os servidores. Isso significa que nosso sistema de verificação de vulnerabilidades usado em nossa gama de servidores também verifica PDUs. Não é grande coisa, mas não precisamos de digitalizações de PDUs. Também seria bom DHCP das PDUs, pois elas são difíceis de configurar, mas como elas estão no mesmo VLAN que os servidores agora, isso não é muito viável.

Embora não precisemos de outro VLAN para as PDUs, isso pode facilitar algumas coisas. E isso entra no argumento de mais versus menos VLANs que continuará para sempre.

Eu, acho que tenho VLANs onde faz sentido. Se, por exemplo, atribuímos às PDUs as suas próprias VLAN, isso não significa que sempre precisamos fornecer a pequenos grupos de dispositivos sua própria VLAN. Mas, nesse caso, pode fazer sentido. Se um grupo de dispositivos não precisar ter o seu próprio VLAN e não houver vantagens em fazê-lo, convém deixar as coisas como estão.

2
Webs