Frage Wann / warum beginnt man, ein Netzwerk zu subnettieren?


Unter welchen Bedingungen beginnt man, ein Netzwerk zu subnettieren?

Ich suche nach ein paar allgemeinen Faustregeln oder Triggern basierend auf messbaren Metriken, die Subnetze etwas machen, das in Betracht gezogen werden sollte.


37
2018-05-01 16:37


Ursprung




Antworten:


Interessante Frage.

In der Vergangenheit, vor dem Aufkommen voll geschalteter Netzwerke, hatte die Hauptbetrachtung, ein Netzwerk in Subnetze zu zerlegen, mit der Begrenzung der Anzahl von Knoten in einer einzigen Kollisionsdomäne zu tun. Das heißt, wenn Sie zu viele Knoten hatten, würde Ihre Netzwerkleistung einen Höchstwert erreichen und bei starker Belastung aufgrund übermäßiger Kollisionen schließlich zusammenbrechen. Die genaue Anzahl der Knoten, die eingesetzt werden konnten, hing von vielen Faktoren ab, aber im Allgemeinen konnte man die Kollisionsdomäne nicht viel mehr als 50% der gesamten verfügbaren Bandbreite laden und trotzdem das Netzwerk stabil halten. 50 Knoten im Netzwerk waren in diesen Tagen viele Knoten. Bei Benutzern mit hohem Benutzerbedarf haben Sie möglicherweise 20 oder 30 Knoten erreicht, bevor Sie mit dem Subnetting beginnen müssen.

Bei vollständig geschalteten Vollduplex-Subnetzen spielen Kollisionen natürlich keine Rolle mehr. Wenn Sie typische Desktop-Benutzer verwenden, können Sie in der Regel hunderte von Knoten in einem einzelnen Subnetz ohne Probleme implementieren. Wie bereits in den Antworten darauf hingewiesen wurde, kann eine Vielzahl von Broadcast-Datenverkehr von Bedeutung sein, je nachdem, welche Protokolle / Anwendungen im Netzwerk ausgeführt werden. Beachten Sie jedoch, dass das Subnetting eines Netzwerks nicht unbedingt zu Problemen mit dem Broadcast-Verkehr führt. Viele der Protokolle verwenden Broadcasting aus einem Grund - das heißt, wenn alle Knoten im Netzwerk tatsächlich solchen Verkehr sehen müssen, um die gewünschten Funktionen auf Anwendungsebene zu implementieren. Einfaches Subnetting des Netzwerks bringt Ihnen nichts, wenn das übertragene Paket auch zu dem anderen Subnetz weitergeleitet und erneut ausgesendet werden muss. In der Tat fügt das tatsächlich zusätzlichen Verkehr (und Latenz) zu beiden Subnetzen hinzu, wenn Sie dies durchdenken.

Im Allgemeinen haben heute die Hauptgründe für das Subnetting von Netzwerken viel mehr mit organisatorischen, administrativen und Sicherheitsgrenzen zu tun als mit irgendetwas anderem.

Die ursprüngliche Frage fragt nach messbaren Metriken, die Subnetting-Überlegungen auslösen. Ich bin mir nicht sicher, ob es irgendwelche spezifischen Zahlen gibt. Dies wird sehr stark von den "Anwendungen" abhängen, und ich glaube nicht, dass es wirklich irgendwelche Triggerpunkte gibt, die allgemein gelten.

Relativ zu den Daumenregeln beim Planen von Subnetzen:

  • Berücksichtigen Sie Subnetze für die verschiedenen Organisationsabteilungen / Abteilungen, insbesondere, da sie nicht-trivial (50+ Knoten !?) in der Größe sind.
  • Betrachten Sie Subnetze für Gruppen von Knoten / Benutzern, die einen gemeinsamen Anwendungssatz verwenden, der sich von anderen Benutzern oder Knotentypen unterscheidet (Entwickler, VoIP-Geräte, Fertigungsbereich).
  • Berücksichtigen Sie Subnetze für Benutzergruppen mit unterschiedlichen Sicherheitsanforderungen (Sichern der Buchhaltungsabteilung, Sichern von Wifi).
  • Betrachten Sie Subnetze aus der Sicht eines Virenausbruchs, einer Sicherheitsverletzung und einer Schadensbegrenzung. Wie viele Knoten werden ausgesetzt / durchbrochen - was ist ein akzeptabler Expositionslevel für Ihre Organisation? Diese Überlegung setzt restriktive Routing-Regeln (Firewall) zwischen Subnetzen voraus.

Nach alledem fügt das Hinzufügen von Subnetzen einen gewissen Verwaltungsaufwand hinzu und führt möglicherweise zu Problemen im Hinblick auf das Auslaufen von Knotenadressen in einem Subnetz und zu vielen verbleibenden in einem anderen Pool usw. Die Routing- und Firewall-Setups und die Platzierung von allgemeinen Servern in der Netzwerk und so werden mehr beteiligt, so etwas. Sicher, jedes Subnetz sollte einen Grund für die Existenz haben, der den Aufwand für die Pflege der komplexeren logischen Topologie überwiegt.


33
2018-05-03 15:48





Wenn es sich um eine einzelne Site handelt, sollten Sie sich nicht die Mühe machen, es sei denn, Sie haben mehr als ein Dutzend Systeme, und selbst dann ist es wahrscheinlich unnötig.

Heutzutage, wenn jeder mindestens 100 Mbit / s-Switches und häufiger 1 Gbit / s verwendet, ist der einzige Leistungsgrund für die Segmentierung Ihres Netzwerks der, wenn Sie übermäßigen Broadcast-Verkehr haben (d. H.> 2% außerhalb des Kopfes).

Der andere Hauptgrund ist die Sicherheit, d. H. DMZ für öffentliche Server, ein anderes Subnetz für Finanzen oder ein separates VLAN / Subnetz für VoIP-Systeme.


7
2018-05-01 16:42



Mehrere Dutzend Bedeutung 50+? Auch Broadcast-Aktivität - das ist eine gute, leicht messbare Metrik. Wie viel Broadcastaktivität ist Ihrer Meinung nach akzeptabel? - Adam Davis
Ja, 50+ war, was ich dachte, aber selbst dann wäre die Sicherheit immer noch der wahrscheinlichste Grund. - Alnitak


Die Begrenzung des Umfangs für Compliance-Anforderungen, die Sie möglicherweise haben (z. B. PCI), ist ein ziemlich guter Katalysator, um einige Teile Ihres Netzwerks abzuspalten. Die Segmentierung Ihrer Zahlungsakzeptanz / Verarbeitungs- und Finanzsysteme kann Geld sparen. Aber im Allgemeinen wird Subnetting ein kleines Netzwerk nicht viel in der Art der Leistung gewinnen.


7
2018-05-01 17:36





Ein weiterer Grund wäre Quality of Service. Wir führen Sprach- und Daten-VLANs separat aus, damit wir problemlos QoS auf den VoIP-Verkehr anwenden können.

Weißt du, ich habe mehr über diese Frage nachgedacht. Es gibt viele gute Gründe, ein neues Netzwerk mit unterschiedlichen Netzwerken zu entwerfen (Leistung, Sicherheit, QoS, Beschränkung von DHCP-Bereichen, Einschränkung des Broadcast-Verkehrs (was sowohl sicherheits- als auch leistungsbezogen sein kann).

Aber wenn ich an eine Metrik für die Neugestaltung von Subnetzen denke und an Netzwerke denke, mit denen ich in der Vergangenheit zu tun hatte, ist mir nur noch klar: "Wow, das müsste wirklich ein Netzwerk durcheinander bringen, damit ich komplett umgestalte es für Subnetzbildung". Es gibt viele andere Gründe - Bandbreite, CPU-Auslastung der installierten Geräte usw. Aber nur Subnetting selbst in einem reinen Datennetzwerk würde normalerweise nicht eine Tonne Leistung kaufen


4
2018-05-01 16:54





Sicherheit und Qualität meist (solange das betreffende Netzwerksegment die fraglichen Knoten natürlich unterstützen kann). Ein separates Netzwerk für Druckerverkehr, Sprache / Telefon, isolierte Abteilungen wie IT Ops und natürlich Serversegmente, Internetsegmente (eins pro internetorientiertem Dienst ist heute populär, nicht nur "one dmz will") und so weiter.


3
2018-05-01 16:59





Wenn Sie erwarten, dass Sie erweitern (Sie bauen ein Netzwerk, nicht nur 5 Server und das werden wir das), beginnen Sie so schnell wie möglich zu routen. Viel zu viele Netzwerke sind instabil und schwer zu wachsen, weil sie organisch gewachsen sind und viel zu viel Layer-2-Zeug haben.

Beispiele:

  • Sie haben zwei Nameserver im selben Netzwerksegment. Jetzt können Sie nicht eine von ihnen in eine andere Stadt verschieben, weil Sie dann diese nette / 24 teilen oder die DNS neu nummerieren müssen. Viel einfacher, wenn sie in verschiedenen Netzwerken waren. Ich spreche nicht unbedingt davon, dass diese separaten BGP-Ankündigungen an die Welt gehen. Dieses Beispiel wäre für einen landesweiten ISP. Beachten Sie auch, dass einige Dinge im Bereich Service Provider nicht so einfach sind wie "Registrieren Sie einfach den neuen DNS im Registrar".
  • Layer 2 Loops saugen Arsch. Wie Spanning Tree (und VTP). Wenn der Spanning Tree fehlschlägt (und es gibt viele Fälle, in denen dies der Fall ist), wird es alles durchfluten, da die Switch / Router CPU überflutet wird. Wenn OSPF oder IS-IS fehlschlägt (oder andere Routing-Protokolle) wird nicht das gesamte Netzwerk abstürzen, und Sie können ein Segment nach dem anderen beheben. Fehlerisolierung

Kurz gesagt: Wenn Sie bis zu dem Punkt ansteigen, an den Sie denken, dass Sie einen Spanning-Tree benötigen, ziehen Sie stattdessen das Routing in Betracht.


3
2018-06-20 12:59





Ich persönlich bevorzuge die Segmentierung der Schicht 3 so nah wie möglich an den Access Switches

  • Ich mag Spanning Tree nicht (du kannst es sehr lustig machen, wenn du böse bist)
  • Besonders in Windoze-Netzwerken sind Broadcasts ein echtes Problem.
  • In privaten Netzwerken hast du viel IP-Platz zu verschwenden :)
  • Selbst billigere Switches haben mittlerweile Drahtgeschwindigkeits-Routing-Fähigkeiten - warum nicht?
  • Erleichtert das Leben in Bezug auf Sicherheit (z. B. Auth und ACLs an der egde usw.)
  • Bessere QoS-Möglichkeiten für VoIP und Echtzeit-Sachen
  • Sie können den Standort eines Clients anhand seiner IP-Adresse ermitteln

Wenn es zu größeren / breiteren verteilten Netzwerken kommt, wo zwei Core-Switches / -router nicht ausreichen, haben die normalen Redundanzmechanismen wie VRRP viele Nachteile (Traffic übergibt Uplinks mehrfach, ...) OSPF hat keine.

Es gibt wahrscheinlich viele andere Gründe, die zu unterstützen Use-Small-Broadcast-Domains-Ansatz.


3
2017-07-13 09:16





Ich denke, der Umfang der Organisation ist sehr wichtig. Wenn in einem Netzwerk insgesamt 200 Hosts oder weniger vorhanden sind und der Datenverkehr aus irgendeinem Grund nicht segmentiert werden muss, warum sollte die Komplexität von VLANs und Subnetzen erhöht werden? Aber je größer der Umfang, desto sinnvoller könnte es sein.

Das Aufteilen von Netzwerken, die normalerweise nicht notwendig wären, kann jedoch einige Dinge vereinfachen. Zum Beispiel befinden sich unsere PDUs, die Server mit Strom versorgen, im selben VLAN oder Subnetz wie die Server. Dies bedeutet, dass unser Schwachstellen-Scansystem, das in unserem Serverbereich verwendet wird, auch PDUs scannt. Keine große Sache, aber wir brauchen PDUs nicht gescannt zu werden. Es wäre auch nett, die PDUs zu DHCP zu machen, da sie sich nur schwer konfigurieren lassen, aber da sie sich im selben VLAN wie Server befinden, ist das nicht sehr machbar.

Während wir für die PDUs kein weiteres VLAN benötigen, kann es einige Dinge erleichtern. Und dies wird in das ganze mehr vs. weniger VLAN Argument, das für immer weitergehen wird.

Ich denke nur, dass VLANs dort sind, wo es Sinn macht. Wenn wir zum Beispiel PDUs ihr eigenes VLAN geben, bedeutet das nicht, dass wir immer kleinen Gruppen von Geräten ihr eigenes VLAN geben müssen. Aber in diesem Fall könnte es sinnvoll sein. Wenn eine Gruppe von Geräten kein eigenes VLAN haben muss und dies keine Vorteile bietet, sollten Sie die Dinge einfach so belassen, wie sie sind.


2
2018-03-03 05:22