何时/为什么开始对网络进行子网划分？

有趣的问题。

从历史上看，在完全交换网络出现之前，将网络分成子网的主要考虑与限制单个冲突域中的节点数量有关。也就是说，如果你有太多的节点，你的网络性能会达到一个峰值，最终会在重负载下由于过多的冲突而崩溃。可以部署的节点的确切数量取决于许多因素，但一般来说，您不能定期加载超过可用总带宽的 50% 的冲突域，并且仍然让网络始终保持稳定。当时网络上的 50 个节点是很多节点。对于重度使用用户，您可能已经在需要开始划分子网之前达到了 20 或 30 个节点。

当然，使用完全交换的全双工子网，冲突不再是一个问题，假设典型的桌面类型用户，您通常可以在单个子网中部署数百个节点而不会出现任何问题。正如其他答案所暗示的那样，拥有大量广播流量可能是一个问题，具体取决于您在网络上运行的协议/应用程序。但是，请了解对网络进行子网划分不一定能帮助您解决广播流量问题。许多协议使用广播是有原因的——也就是说，当网络上的所有节点实际上需要查看此类流量以实现所需的应用程序级功能时。如果广播的数据包也需要转发到另一个子网并再次广播出去，那么简单地对网络进行子网划分实际上不会给您带来任何好处。

一般来说，今天，对网络进行子网划分的主要原因更多地与组织、管理和安全边界考虑有关。

最初的问题要求触发子网考虑的可衡量指标。我不确定是否有任何具体数字。这将在很大程度上取决于所涉及的“应用程序”，我认为实际上没有任何触发点通常适用。

相对于规划子网的经验法则：

• 考虑每个不同组织部门/部门的子网，尤其是当它们的大小变得不平凡（50多个节点！？）时。
• 考虑使用不同于其他用户或节点类型（开发人员、VoIP 设备、制造车间）的通用应用程序集的节点/用户组的子网
• 为具有不同安全要求的用户组考虑子网（保护会计部门、保护 Wifi）
• 从病毒爆发、安全漏洞和损害遏制的角度考虑子网。有多少节点被暴露/破坏——您的组织可以接受的暴露水平是多少？此考虑假设子网之间的限制性路由（防火墙）规则。

话虽如此，添加子网会增加一定程度的管理开销，并可能导致与一个子网中的节点地址用完以及另一个池中剩余的太多等相关的问题。路由和防火墙设置以及公共服务器在网络之类的多参与，诸如此类。当然，每个子网都应该有一个存在的理由，该理由超过了维护更复杂的逻辑拓扑的开销。

如果它是一个站点，除非你有几十个系统，否则不要打扰，即使那样也可能没有必要。

这些天来，每个人都使用至少 100 Mbps 的交换机，更常见的是 1 Gbps，分割网络的唯一与性能相关的原因是您是否遭受过多的广播流量（即 > 2%，我想不到）

另一个主要的原因是安全性，即面向公众的服务器的 DMZ、金融的另一个子网或 VoIP 系统的单独 VLAN/子网。

限制您可能拥有的任何合规性要求（即 PCI）的范围是分割网络某些部分的一个很好的催化剂。将您的付款接受/处理和财务系统分开可以节省资金。但总的来说，对小型网络进行子网划分不会在性能方面获得太多收益。

另一个原因与服务质量有关。我们分别运行语音和数据 vlan，以便我们可以轻松地将 QoS 应用于 voip 流量。

你知道，我一直在思考这个问题。使用不同的网络（性能、安全性、QoS、限制 DHCP 范围、限制广播流量（可能与安全性和性能相关））设计新网络有很多充分的理由。

但是当考虑重新设计子网的指标时，考虑到我过去必须处理的网络，我能想到的是“哇，那必须是一个非常混乱的网络才能让我完全重新设计它用于子网划分“。还有很多其他原因——带宽、所安装设备的 CPU 利用率等。但仅仅在纯数据网络上对自身进行子网划分通常不会购买大量性能

主要是安全和质量（当然只要有问题的网段可以支持有问题的节点）。一个单独的网络，用于打印机流量、语音/电话、IT Ops 等独立部门，当然还有服务器段、面向 Internet 的段（每个面向 Internet 的服务在今天很流行，而不仅仅是“一个 dmz 就可以”）等等。

如果您希望扩大规模（您正在构建一个网络，而不仅仅是 5 个服务器，我们也会这样做）尽快开始路由。太多的网络不稳定且难以增长，因为它们是有机增长的，并且有太多的第 2 层东西。

例子：

• 您在同一网段上有两个名称服务器。现在您不能将其中一个移动到另一个城市，因为那样您将不得不拆分那个漂亮的 /24 或重新编号 DNS。如果他们在不同的网络上会容易得多。我不一定要谈论这些成为世界上独立的 BGP 公告。此示例适用于全国范围的 ISP。另请注意，服务提供商领域的某些事情并不像“只需在注册商处注册新的 DNS”那么简单。
• 第 2 层循环很糟糕。生成树（和 VTP）也是如此。当生成树失败时（并且有很多情况下），由于洪水占用交换机/路由器 CPU，它将把所有东西都关闭。当 OSPF 或 IS-IS（或其他路由协议）发生故障时，它不会使整个网络崩溃，您可以一次修复一个网段。误隔离。

简而言之：当您扩展到您认为需要生成树的位置时，请考虑使用路由。

就个人而言，我喜欢将第 3 层分段尽可能靠近接入交换机，因为

• 我不喜欢生成树（如果你是邪恶的，你可以让它做一些非常有趣的事情）
• 尤其是在 Windoze 网络上，广播是一个真正的问题。
• 在专用网络上，您有很多 IP 空间可以浪费 :)
• 甚至更便宜的交换机现在也具有线速路由功能——为什么不使用它们呢？
• 在安全性方面让生活更轻松（例如，在 egde 的 Auth 和 ACL 等）
• 为 VoIP 和实时内容提供更好的 QoS 可能性
• 您可以通过其 IP 判断客户端的位置

如果涉及到两个核心交换机/路由器不够用的更大/更广泛的传播网络，那么像 VRRP 这样的正常冗余机制有很多缺点（流量多次通过上行链路，......）OSPF 没有。

支持使用小型广播域方法可能还有很多其他原因。

我认为组织的范围很重要。如果网络上总共有 200 台或更少的主机，并且出于任何原因不需要对流量进行分段，为什么还要增加 VLAN 和子网的复杂性呢？但范围越大，它可能越有意义。

拆分通常不需要的网络可以使一些事情变得更容易。例如，我们为服务器供电的 PDU 与服务器位于同一 VLAN 或子网中。这意味着我们在服务器范围内使用的漏洞扫描系统也会扫描 PDU。没什么大不了的，但我们不需要扫描 PDU。此外，对 PDU 进行 DHCP 也很好，因为它们配置起来很麻烦，但是由于它们现在与服务器位于同一 VLAN 中，所以这不太可行。

虽然我们不需要为 PDU 使用另一个 VLAN，但它可以使一些事情变得更容易。这涉及到将永远持续下去的关于更多与更少 VLAN 的争论。

我，我只是认为在有意义的地方有 VLAN。例如，如果我们为 PDU 提供了自己的 VLAN，这并不意味着我们总是必须为小型设备组提供自己的 VLAN。但在这种情况下，它可能是有道理的。如果一组设备不需要拥有自己的 VLAN 并且这样做没有任何优势，那么您可能需要考虑保持原样。