La meilleure façon de segmenter le trafic, le VLAN ou le sous-réseau?

13

Nous avons un réseau de taille moyenne d'environ 200 nœuds et nous sommes actuellement en train de remplacer les anciens commutateurs connectés en série par des commutateurs empilables ou de type châssis.

À l'heure actuelle, notre réseau est divisé via des sous-réseaux: production, gestion, propriété intellectuelle (IP), etc., chacun sur un sous-réseau distinct. La création de VLAN au lieu de sous-réseaux serait-elle plus avantageuse?

Notre objectif général est d'éviter les goulots d'étranglement, de séparer le trafic pour des raisons de sécurité et de gérer le trafic plus facilement.

networking subnet vlan l'oiseau
la source
1
vos différents réseaux virtuels seront probablement utilisés pour avoir des sous-réseaux séparés.
pQd
1
Vous trouverez peut-être la réponse d'Evan à cette question que j'ai posée il y a quelque temps: serverfault.com/questions/25907/…
Kyle Brandt

Réponses:

16

Les VLAN et les sous- réseaux résolvent différents problèmes. Les VLAN fonctionnent sur la couche 2 , modifiant ainsi les domaines de diffusion (par exemple). Alors que les sous-réseaux sont de couche 3 dans le contexte actuel

Une suggestion serait de mettre en œuvre les deux

Avoir, par exemple, VLAN 10 - 15 pour vos différents types d'appareils (Dev, Test, Production, Users, etc.)

VLAN 10, vous pouvez avoir le sous-réseau 192.168.54.x / 24 VLAN 11, vous pouvez avoir le sous-réseau 192.168.55.x / 24

Etc

Cela nécessiterait que vous ayez un routeur dans votre réseau, bien que

C'est à vous de choisir l'itinéraire que vous empruntez (vous connaissez votre réseau mieux que jamais). Si vous pensez que la taille de votre domaine de diffusion sera un problème, utilisez des VLAN. Si vous pensez que la taille de vos domaines de gestion de réseau (par exemple, votre réseau de gestion), utilisez éventuellement un réseau plus proche de a / 16 sur a / 24

Vos 200 nœuds s'intégreront dans un / 24, mais cela ne vous donne évidemment pas beaucoup de possibilités de croissance

Par le son, vous utilisez déjà différents sous-réseaux pour différents types d'appareils. Alors, pourquoi ne pas rester avec ça? Vous pouvez, si vous le souhaitez, lier chaque sous-réseau à un VLAN. La segmentation de la couche 2 entraînera une modification du comportement de votre réseau par rapport à son comportement actuel

Vous devrez enquêter sur l'impact potentiel de cette

Ben Quick
la source
2
+1 - Dit presque tout ce que je voulais. Si vous deviez supprimer la conception de sous-réseau actuelle, ma seule suggestion supplémentaire serait d'explorer la configuration d'un espace d'adressage à l'aide de / 22 ou / 23. "Supprimez" éventuellement les bits si vous trouvez que vous avez besoin de plus de sous-réseaux. Après tout, nous ne sommes plus limités à / 16 ou / 24. Ensuite, placez chaque sous-réseau dans son propre VLAN pour réduire le trafic de diffusion.
romandas
13

(J'ai été sur la route toute la journée et j'ai raté de sauter sur celui-ci ... Pourtant, tard dans le match, je verrai ce que je peux faire.)

En général, vous créez des VLAN dans Ethernet et mappez les sous-réseaux IP 1 à 1 sur eux. Il existe des moyens de ne pas le faire, mais en restant dans un monde strictement "simple", vous créeriez un VLAN, imaginez un sous-réseau IP à utiliser dans le VLAN, attribuez à un routeur une adresse IP dans ce VLAN, connectez ce routeur à le VLAN (avec une interface physique ou une sous-interface virtuelle sur le routeur), connectez certains hôtes au VLAN et attribuez-leur des adresses IP dans le sous-réseau que vous avez défini, et acheminez leur trafic vers et depuis le VLAN.

Vous ne devez pas commencer à mettre en sous-réseau un LAN Ethernet à moins d'avoir de bonnes raisons de le faire. Les deux meilleures raisons sont:

  • Atténuation des problèmes de performances. Les réseaux locaux Ethernet ne peuvent pas évoluer indéfiniment. Des diffusions excessives ou des inondations d'images vers des destinations inconnues limiteront leur échelle. L'une ou l'autre de ces conditions peut être provoquée par un trop grand domaine de diffusion dans un LAN Ethernet. Le trafic de diffusion est facile à comprendre, mais l'inondation de trames vers des destinations inconnues est un peu plus obscure. Si vous obtenez autant d'appareils que vos tables MAC de commutateur sont débordantes, les commutateurs seront forcés d'inonder les trames non diffusées de tous les ports si la destination de la trame ne correspond à aucune entrée de la table MAC. Si vous disposez d'un domaine de diffusion unique suffisamment grand dans un réseau local Ethernet avec un profil de trafic qui héberge rarement (c'est-à-dire,

  • Désir de limiter / contrôler le trafic se déplaçant entre les hôtes au niveau 3 ou supérieur. Vous pouvez faire du piratage en examinant le trafic de la couche 2 (ala Linux ebtables) mais cela est difficile à gérer (car les règles sont liées aux adresses MAC et la modification des cartes réseau nécessite des changements de règles) peut provoquer ce qui semble être des comportements vraiment, vraiment étranges (faire Le proxy transparent de HTTP sur la couche 2, par exemple, est bizarre et amusant, mais est tout à fait naturel et peut être très intuitif à dépanner), et est généralement difficile à faire sur les couches inférieures (car les outils de la couche 2 sont comme des bâtons et des roches pour traiter les problèmes de la couche 3+). Si vous souhaitez contrôler le trafic IP (ou TCP, ou UDP, etc.) entre les hôtes, plutôt que d'attaquer le problème au niveau de la couche 2, vous devez créer un sous-réseau et coller des pare-feu / routeurs avec des ACL entre les sous-réseaux.

Les problèmes d'épuisement de la bande passante (à moins qu'ils ne soient causés par des paquets de diffusion ou une inondation de trames) ne sont généralement pas résolus avec les VLAN et les sous-réseaux. Ils se produisent en raison d'un manque de connectivité physique (trop peu de cartes réseau sur un serveur, trop peu de ports dans un groupe d'agrégation, la nécessité de passer à une vitesse de port plus rapide) et ne peuvent pas être résolus par le sous-réseau ou le déploiement de VLAN depuis cela a gagné 't augmenter la quantité de bande passante disponible.

Si vous n'avez même pas quelque chose de simple comme MRTG exécutant des statistiques de trafic par port sur vos commutateurs, c'est vraiment votre premier ordre du jour avant de commencer potentiellement à introduire des goulots d'étranglement avec un sous-réseau bien intentionné mais non informé. Le nombre d'octets bruts est un bon début, mais vous devez le suivre avec un reniflement ciblé pour obtenir plus de détails sur les profils de trafic.

Une fois que vous savez comment le trafic se déplace sur votre réseau local, vous pouvez commencer à penser au sous-réseau pour des raisons de performances.

En ce qui concerne la «sécurité», vous devrez en savoir beaucoup sur votre logiciel d'application et comment il fonctionne avant de pouvoir continuer.

Il y a quelques années, j'ai conçu un LAN / WAN de taille raisonnable pour un client médical et on m'a demandé de mettre des listes d'accès sur l'entité de couche 3 (un module de supervision Cisco Catalyst 6509) pour contrôler le trafic se déplaçant entre les sous-réseaux par un " ingénieur "qui ne comprenait pas vraiment le type de travail à effectuer, mais qui s'intéressait beaucoup à la" sécurité ". Quand je suis revenu avec une proposition d'étudier chaque application pour déterminer les ports TCP / UDP et les hôtes de destination nécessaires, j'ai reçu une réponse choquée de l '"ingénieur" déclarant que cela ne devrait pas être si difficile. Le dernier que j'ai entendu dire qu'ils exécutent l'entité de couche 3 sans liste d'accès car ils ne pouvaient pas faire fonctionner tous leurs logiciels de manière fiable.

Moralité: si vous voulez vraiment essayer de boutonner l'accès au niveau des paquets et des flux entre les VLAN, préparez-vous à faire beaucoup de travail avec les logiciels d'application et à apprendre / inverser l'ingénierie de la façon dont ils communiquent via le câble. La limitation de l'accès des hôtes aux serveurs peut souvent être accomplie avec une fonctionnalité de filtrage sur les serveurs. Limiter l'accès sur le câble peut fournir un faux sentiment de sécurité et calmer les administrateurs dans une complaisance où ils pensent "Eh bien, je n'ai pas besoin de configurer l'application. En toute sécurité car les hôtes qui peuvent parler à l'application. Sont limités par" le réseau'." Je vous encourage à vérifier la sécurité de la configuration de votre serveur avant de commencer à limiter la communication d'hôte à hôte sur le câble.

Evan Anderson
la source
2
je suis heureux de voir une voix de la raison après les réponses recommandant d'aller / 16.
pQd
4
Vous pouvez créer un sous-réseau en sous-réseaux arbitrairement grands ou petits. Le nombre d'hôtes dans le sous-réseau / domaine de diffusion est ce qui compte, pas le nombre d' hôtes possibles (tant que vous avez suffisamment d'espace d'adressage). Quelle est l'expression - ce n'est pas la taille de votre sous-réseau qui importe, mais plutôt comment vous l'utilisez? > sourire <
Evan Anderson
@Evan Anderson: je le sais. mais vous devez admettre que 64k est trop, ne sera probablement jamais utilisé et peut entraîner des problèmes lorsque le routage doit être introduit [par exemple pour connecter des DC / bureaux / etc distants].
pQd
1

99% du temps, un sous-réseau doit être équivalent à un VLAN (c'est-à-dire que chaque sous-réseau d'accès doit correspondre à un et un seul VLAN).

Si vous avez des hôtes provenant de plusieurs sous-réseaux IP dans le même VLAN, vous ne respectez pas l'objectif des VLAN, car les deux (ou plus) sous-réseaux seront sur le même domaine de diffusion.

Alternativement, si vous mettez un sous-réseau IP dans plusieurs VLAN, les hôtes sur le sous-réseau IP ne pourront pas communiquer avec les hôtes de l'autre VLAN à moins que votre routeur n'ait activé l' ARP proxy .

Murali Suriar
la source
-1 - Les VLAN divisent les domaines de diffusion. Les domaines de collision sont divisés en ponts ou ponts multi-ports plus communément appelés commutateurs. Les sous-réseaux IP et les domaines de diffusion / collision n'ont rien à voir l'un avec l'autre dans le cas général. Dans le cas spécifique de IP sur Ethernet, il est courant qu'un sous-réseau IP soit mappé à un seul domaine de diffusion (car ARP, le protocole utilisé pour résoudre les adresses IP en adresses matérielles Ethernet est basé sur la diffusion), mais il est possible d'utiliser une supercherie intelligente avec proxy ARP pour avoir un sous-réseau couvrant plusieurs domaines de diffusion.
Evan Anderson
@Evan: bon point - cela m'apprendra à écrire des réponses aux petites heures du matin. :) Je maintiens cependant les points restants; avoir plusieurs sous-réseaux dans le même VLAN entraînera votre trafic de diffusion L2 à s'étendre sur plusieurs sous-réseaux; avoir plusieurs VLAN pour le même sous-réseau fonctionnera, mais l'ARP proxy n'est vraiment pas quelque chose que vous devriez utiliser si vous pouvez l'éviter.
Murali Suriar
-1 supprimé - Tout ce que vous avez dit est certainement exact. Je suis également d'accord sur le proxy ARP - je ne l'utiliserais pas dans le "monde réel" à moins d'avoir une raison impérieuse très forte.
Evan Anderson
"Les sous-réseaux IP et les domaines de diffusion / collision n'ont rien à voir les uns avec les autres dans le cas général." Non, ils le font très certainement dans le cas général. Chaque sous-réseau a un numéro de réseau et une adresse de diffusion associée. Outre ARP, vous avez d'autres paquets de diffusion. Il serait faux de faire cette déclaration sans savoir s'ils ont du trafic de multidiffusion sur leur réseau. Les clients DHCP utilisent la diffusion IP pour connaître les serveurs DHCP.
Kilo
1
@Evan Anderson Qu'est-ce que j'ai raté ici. Vous retirez votre -1. Les domaines de collision sont déversés par les ports des commutateurs. Dire 2 ou sous-réseaux dans un domaine de collision est un non-sens. Je pense qu'il veut dire 2 sous-réseaux ou plus dans un domaine de diffusion .
JamesBarnett
-5

Je suis principalement d'accord avec David Pashley :

  1. J'utilise un single / 16 pour tout.
    • mais il est segmenté sur plusieurs VLAN, rejoints par un pont logiciel sur une machine Linux.
    • sur ce pont, j'ai plusieurs règles iptables pour filtrer l'accès entre les groupes.
    • peu importe la façon dont vous segmentez, utilisez des plages IP pour le regroupement, cela facilite la restructuration et les cas particuliers.
Javier
la source
2
Cela ressemble à un cauchemar à gérer!
Evan Anderson
2
-1 Vous n'avez pas dit la taille d'un réseau que vous entretenez, à moins que vous ne parliez d'un projet de recherche, je ne peux pas pour la vie de penser à une raison d'utiliser ce type de configuration. Par définition, les sous-réseaux sont des "plages IP" utilisées pour le regroupement. On dirait que vous réinventez la couche 3 en utilisant une boîte Linux pour faire votre routage sur la couche 2. Il est probable que cela crée des problèmes qui sont cachés par la complexité inutile. Cela crée quelque chose qui sera difficile pour quiconque à comprendre et encore moins à dépanner.
Rik Schneider