通常,您在以太网中创建 VLAN 并将 IP 子网 1 对 1 映射到它们上。有一些方法可以不这样做,但是坚持一个严格的“普通”世界,你会创建一个 VLAN,想出一个在 VLAN 中使用的 IP 子网,在该 VLAN 中为某些路由器分配一个 IP 地址,将该路由器连接到VLAN(使用物理接口或路由器上的虚拟子接口),将一些主机连接到 VLAN 并在您定义的子网中为它们分配 IP 地址,并将它们的流量路由进出 VLAN。
除非您有充分的理由,否则不应开始对以太网 LAN 进行子网划分。最好的两个原因是:
缓解性能问题。以太网 LAN 不能无限扩展。过度广播或将帧泛洪到未知目的地将限制它们的规模。这些情况中的任何一种都可能是由于以太网 LAN 中的单个广播域太大而导致的。广播流量很容易理解,但是将帧泛洪到未知目的地就有点模糊了。如果你的设备太多以至于你的交换机 MAC 表溢出,如果帧的目的地与 MAC 表中的任何条目都不匹配,交换机将被迫将非广播帧从所有端口溢出。如果您在以太网 LAN 中有足够大的单个广播域,并且其流量配置文件主机不经常交谈(即,
希望限制/控制在第 3 层或更高层的主机之间移动的流量。您可以在第 2 层(ala Linux ebtables)进行一些骇客检查流量,但这很难管理(因为规则与 MAC 地址绑定,并且更改 NIC 需要更改规则)可能会导致看起来非常非常奇怪的行为(做例如,在第 2 层的 HTTP 透明代理非常有趣,但完全不自然,并且可能非常不直观地进行故障排除),并且通常难以在较低层进行(因为第 2 层工具就像棍子一样)和处理第 3 层以上问题的岩石)。如果您想控制主机之间的 IP(或 TCP、或 UDP 等)流量,而不是在第 2 层攻击问题,您应该在子网之间使用 ACL 划分和粘贴防火墙/路由器。
VLAN 和子网划分通常无法解决带宽耗尽问题(除非它们是由广播数据包或帧泛滥引起的)。它们的发生是因为缺乏物理连接(服务器上的 NIC 太少,聚合组中的端口太少,需要提升到更快的端口速度),并且无法通过子网划分或部署 VLAN 来解决,因为那样会'不增加可用的带宽量。
VLAN和子网解决不同的问题。VLAN 在第 2 层工作,从而改变广播域(例如)。而子网在当前上下文中是第 3 层
一个建议是实际实施两者
例如,为您的不同设备类型(开发、测试、生产、用户等)提供 VLAN 10 - 15
VLAN 10,您可能拥有子网 192.168.54.x/24 VLAN 11,您可能拥有子网 192.168.55.x/24
等等
不过,这将要求您的网络中有一个路由器
你走哪条路线取决于你(你比我更了解你的网络)。如果您认为广播域的大小会成为某种问题,请使用 VLAN。如果您认为您的网络管理域(例如,您的管理网络)的大小可能会使用更接近/16 的网络而不是 /24
您的 200 个节点将适合 /24,但这显然不会给您太大的增长空间
听起来,您已经为不同的设备类型使用了不同的子网。那么,为什么不坚持呢?如果需要,您可以将每个子网绑定到一个 VLAN。第 2 层分段将导致您的网络行为从当前的行为方式发生变化
您必须调查其潜在影响
(我整天都在路上,错过了跳上这个......不过,比赛迟到了,我会看看我能做些什么。)
通常,您在以太网中创建 VLAN 并将 IP 子网 1 对 1 映射到它们上。有一些方法可以不这样做,但是坚持一个严格的“普通”世界,你会创建一个 VLAN,想出一个在 VLAN 中使用的 IP 子网,在该 VLAN 中为某些路由器分配一个 IP 地址,将该路由器连接到VLAN(使用物理接口或路由器上的虚拟子接口),将一些主机连接到 VLAN 并在您定义的子网中为它们分配 IP 地址,并将它们的流量路由进出 VLAN。
除非您有充分的理由,否则不应开始对以太网 LAN 进行子网划分。最好的两个原因是:
缓解性能问题。以太网 LAN 不能无限扩展。过度广播或将帧泛洪到未知目的地将限制它们的规模。这些情况中的任何一种都可能是由于以太网 LAN 中的单个广播域太大而导致的。广播流量很容易理解,但是将帧泛洪到未知目的地就有点模糊了。如果你的设备太多以至于你的交换机 MAC 表溢出,如果帧的目的地与 MAC 表中的任何条目都不匹配,交换机将被迫将非广播帧从所有端口溢出。如果您在以太网 LAN 中有足够大的单个广播域,并且其流量配置文件主机不经常交谈(即,
希望限制/控制在第 3 层或更高层的主机之间移动的流量。您可以在第 2 层(ala Linux ebtables)进行一些骇客检查流量,但这很难管理(因为规则与 MAC 地址绑定,并且更改 NIC 需要更改规则)可能会导致看起来非常非常奇怪的行为(做例如,在第 2 层的 HTTP 透明代理非常有趣,但完全不自然,并且可能非常不直观地进行故障排除),并且通常难以在较低层进行(因为第 2 层工具就像棍子一样)和处理第 3 层以上问题的岩石)。如果您想控制主机之间的 IP(或 TCP、或 UDP 等)流量,而不是在第 2 层攻击问题,您应该在子网之间使用 ACL 划分和粘贴防火墙/路由器。
VLAN 和子网划分通常无法解决带宽耗尽问题(除非它们是由广播数据包或帧泛滥引起的)。它们的发生是因为缺乏物理连接(服务器上的 NIC 太少,聚合组中的端口太少,需要提升到更快的端口速度),并且无法通过子网划分或部署 VLAN 来解决,因为那样会'不增加可用的带宽量。
如果您甚至没有像 MRTG 这样简单的东西,在您的交换机上运行图形每个端口的流量统计数据,那么在您开始潜在地通过善意但不知情的子网划分引入瓶颈之前,这确实是您的首要任务。原始字节计数是一个好的开始,但您应该通过有针对性的嗅探来跟进它以获取有关流量配置文件的更多详细信息。
一旦您了解了 LAN 上的流量是如何移动的,您就可以开始考虑出于性能原因进行子网划分。
就“安全性”而言,您需要了解很多关于您的应用程序软件以及它如何通信的信息,然后才能继续操作。
几年前,我为一个医疗客户设计了一个合理大小的 LAN/WAN,我被要求将访问列表放在第 3 层实体(Cisco Catalyst 6509 管理模块)上,以通过“工程师”,他对实际需要什么样的跑腿工作知之甚少,但对“安全”非常感兴趣。当我提出研究每个应用程序以确定必要的 TCP/UDP 端口和目标主机的建议回来时,我从“工程师”那里得到了震惊的回应,说这不应该那么困难。我最后一次听说他们正在运行没有访问列表的第 3 层实体,因为他们无法让所有软件可靠地工作。
寓意:如果您真的要尝试关闭 VLAN 之间的数据包和流级访问,请准备好在应用软件和学习/逆向工程上如何通过网络通信进行大量的跑腿工作。限制主机对服务器的访问通常可以通过服务器上的过滤功能来实现。限制网络上的访问可能会提供一种错误的安全感,并使管理员陷入自满情绪,他们认为“好吧,我不需要安全地配置应用程序,因为可以与应用程序通信的主机受到限制。网络'。” 在我开始限制网络上的主机到主机通信之前,我鼓励您审核服务器配置的安全性。
99% 的情况下,一个子网应该等同于一个 VLAN(即每个接入子网应该映射到一个且只有一个 VLAN)。
如果您在同一个 VLAN 中拥有来自多个 IP 子网的主机,那么您就违背了 VLAN 的目的,因为这两个(或更多)子网将位于同一个广播域中。
或者,如果您将一个 IP 子网放入多个 VLAN,则 IP 子网上的主机将无法与另一个 VLAN 中的主机通信,除非您的路由器启用了代理 ARP 。
我大多同意大卫帕什利: