Когда/почему начать разделять сеть на подсети?
Создайте дополнительный тестовый вход в систему, чтобы установить, ограничена ли проблема просто Вашим исходным входом в систему. Если Ваш пароль использует специальные символы, введите пароль в Блокнот и проверьте, что то, что Вы видите в Блокноте, является ожидаемым паролем. У меня была подобная проблема, и это было до клавиатуры, являющейся установкой для американского расположения вместо Великобритании.Удачи!
Интересный вопрос.
Исторически, до появления полностью коммутируемых сетей, основное соображение к повреждению сети в подсети имело отношение к ограничению количества узлов в единственном домене коллизий. Таким образом, если бы у Вас было слишком много узлов, то Ваша производительность сети достигла бы пика и в конечном счете вышла бы из строя под большой нагрузкой из-за чрезмерных коллизий. Точное количество узлов, которые могли быть развернуты, зависело от большого количества факторов, но вообще говоря, Вы не могли регулярно загружать домен коллизий очень вне 50% общей доступной пропускной способности и все еще иметь сеть быть стабильными все время. 50 узлов в сети были большим количеством узлов в те дни. С пользователями интенсивного использования Вы, возможно, достигли высшего уровня в 20 или 30 узлах прежде, чем должными быть начать разделять вещи на подсети.
Конечно, с полностью коммутируемыми полнодуплексными подсетями, коллизии больше не являются беспокойством и принятием типичных настольных пользователей типа, можно обычно развертывать сотни узлов в единственной подсети без любых проблем вообще. Наличие большого широковещательного трафика, поскольку другие ответы сослались на, могло бы быть беспокойством в зависимости от того, какие протоколы/приложения Вы работаете на сети. Однако поймите, что разделение на подсети сети не обязательно помогает Вам с Вашими проблемами широковещательного трафика. Многие из широковещательной передачи использования протоколов по причине - то есть, когда все узлы в сети на самом деле должны видеть такой трафик для реализования желаемой опции прикладного уровня. Просто разделение на подсети сети на самом деле не покупает Вас ничто, если широковещательно переданный пакет также испытывает необходимость к переданному другой подсети и широковещательно переданный снова. На самом деле это на самом деле добавляет дополнительный трафик (и задержка) к обеим подсетям, если Вы продумываете это.
Вообще говоря, сегодня, главные причины для разделения на подсети сетей имеют намного больше, чтобы сделать с организационным, административным и граничными соображениями безопасности, чем что-либо еще.
Исходный вопрос просит измеримые метрики у того триггерного разделения на подсети соображения. Я не уверен, что существует любой с точки зрения определенных чисел. Это собирается зависеть существенно от включенных 'приложений', и я не думаю, что существуют действительно любые триггерные точки, которые обычно применялись бы.
Относительно правил ползунков в том, чтобы распланировать подсети:
- Считайте подсети для каждого различными организационными отделами/подразделениями, тем более, что они добираются, чтобы быть нетривиальными (50 + узлы!?) в размере.
- Рассмотрите подсети для групп узлов/пользователей с помощью набора распространенного приложения, который отличен от других пользователей или типов узлов (Разработчики, Устройства VoIP, производственное помещение)
- Рассмотрите подсети для групп пользователей, которые имеют отличающиеся требования к защите (защищающий департамент бухгалтерского учета, Защищая Wi-Fi)
- Рассмотрите подсети от вспышки вируса, нарушения защиты и повредите перспективу включения. Сколько узлов выставляется/нарушается - что такое приемлемый уровень воздействия для Вашей организации? Это соображение принимает строгую маршрутизацию (брандмауэр) правила между подсетями.
Со все, что сказало, добавление подсетей, добавляет некоторый уровень административных издержек и потенциально вызывает проблемы относительно исчерпывания адресов узлов в одной подсети и иметь в запасе слишком многих в другом пуле и т.д. Маршрутизация и установки брандмауэра и размещение общих серверов в сети и таком принимать участие больше, такая вещь. Конечно, каждая подсеть должна иметь причину существующего, который перевешивает издержки поддержания более сложной логической топологии.
Если это - единственный сайт, не беспокойтесь, если у Вас нет больше чем нескольких дюжин систем, и даже затем это является, вероятно, ненужным.
В эти дни со всеми использующими переключатели по крайней мере на 100 Мбит/с и чаще 1 Гбит/с, единственная связанная с производительностью причина сегментировать Вашу сеть состоит в том, если Вы переносите избыточный широковещательный трафик (т.е.>. 2%, первое, что пришло на ум)
Основной другой причиной является безопасность, т.е. демилитаризованная зона для общедоступных серверов, другая подсеть для финансов или отдельный VLAN/подсеть для систем VoIP.
-
1Несколько дюжин значений 50 +? Кроме того, широковещательная активность - that' s хорошая, легкая измеримая метрика. То, сколько широковещательной активности делают Вы думаете, приемлемо? – Adam Davis 1 May 2009 в 19:44
-
2да, 50 + был тем, что я думал, но даже затем безопасность все еще будет наиболее вероятной причиной. – Alnitak 1 May 2009 в 19:46
Ограничение объема для любых требований соответствия, которые Вы можете иметь (т.е. PCI) является довольно хорошим катализатором для сегментации от некоторых частей сети. Сегментация от Вашего платежного принятия/обработки и финансовых систем может сэкономить деньги. Но в общем разделении на подсети небольшой сети не получит Вас очень в способе производительности.
Другой причиной было бы связанное Качество обслуживания. Мы выполняем VLAN речи и данных отдельно так, чтобы мы могли легко применить QoS к трафику VoIP.
Вы знаете, я; ve, думая об этом вопросе больше. Существует тонна серьезных оснований разработать новую сеть с помощью отличных сетей (производительность, безопасность, QoS, ограничивая объемы DHCP, ограничивая широковещательный трафик (который может быть и безопасностью и связанной производительностью)).
Но при размышлении о метрике для перепроектирования только к подсети и размышлению о сетях я должен был обработать в прошлом все, о чем я могу думать, "ничего себе, это имело бы одному, действительно испортил сеть, чтобы заставить меня полностью перепроектировать его для разделения на подсети". Существует много других причин - пропускная способность, загрузка ЦП установленных устройств, и т.д. Но просто разделение на подсети себя в чистой сети передачи данных обычно не покупало бы тонну производительности
Безопасность и качество главным образом (как долго, поскольку рассматриваемый сегмент сети может поддерживать рассматриваемые узлы, конечно). Отдельная сеть для трафика принтера, речи/телефона, изолировала отделы как операция в секунду IT и конечно сегменты сервера, стоящие с Интернетом сегменты (один на стоящий с Интернетом сервис популярно сегодня, не просто "один dmz сделает"), и так далее.
Если Вы ожидаете увеличиваться (Вы создаете сеть, не всего 5 серверов, и это будет мы, что), начинают направлять как можно скорее. Слишком много сетей нестабильны и тверды вырасти, потому что они выросли органически, и имейте слишком много материала уровня 2.
Примеры:
- у Вас есть два сервера имен на том же сегменте сети. Теперь Вы не можете переместить одного из них в другой город, потому что затем необходимо будет разделить тот хороший/24 или перенумеровать DNS. Намного легче, если они были в различных сетях. Я не говорю обязательно о них становящихся отдельным BGP annoucements к миру. Этот пример был бы для общенационального ISP. Также обратите внимание, что некоторые вещи в области поставщика услуг не так легки как "просто регистр новый DNS в регистраторе".
- Циклы уровня 2 сосут задницу. Как делает связующее дерево (и VTP). Когда связующее дерево перестало работать (и существует много случаев, когда оно сделает), оно удалит все с ним из-за лавинной рассылки переключателя/маршрутизатора взятия ЦП. Когда OSPF или сбои IS-IS (или другие протоколы маршрутизации) это не разрушит целую сеть, и можно зафиксировать один сегмент за один раз. Выявление неисправностей.
Так короче говоря: когда Вы увеличиваетесь туда, где Вы думаете, что Вам нужно связующее дерево, рассмотрите маршрутизацию вместо этого.
Лично, мне нравится брать сегментацию уровня 3 максимально близко к коммутаторам доступа, потому что
- Мне не нравится Связующее дерево (можно заставить его сделать очень забавные вещи, если Вы являетесь злыми),
- Особенно в сетях Windoze, широковещательные сообщения являются настоящей проблемой.
- На частных сетях у Вас есть много пространства IP для траты :)
- Еще более дешевые переключатели имеют возможности маршрутизации проводной скорости к настоящему времени - почему бы не использовать их?
- Делает жизнь легче когда дело доходит до безопасности (например, Автор и ACLs в egde, и т.д.)
- Лучшие возможности QoS для VoIP и материала в реальном времени
- Можно сказать местоположение клиента от его IP
Если это прибывает в большие/более широкие сети распространения, где два ядра switches/-routers не достаточны, нормальные механизмы дублирования как VRRP имеют много недостатков (трафик передает восходящие каналы многократно...), OSPF не имеет.
Существует, вероятно, много других причин поддерживать use-small-broadcast-domains-approach.
Я думаю, что объем организации имеет большое значение. Если существует 200 общих количеств хостов или меньше в сети, и трафик не должен быть сегментирован ни по какой причине, почему добавляют сложность VLAN и подсетей? Но чем больше объем, тем больше это могло бы иметь смысл.
Разделение сетей, которые обычно не должны были бы быть, может сделать некоторые вещи легче все же. Например, наши PDUs, которые подают питание к серверам, находятся в том же VLAN или подсети как серверы. Это означает, что наша система сканирования уязвимости, используемая на нашем диапазоне сервера также, сканирует PDUs. Не огромное соглашение, но нам не нужен PDUs, который будет просканирован. Также это было бы хорошо к DHCP PDUs, так как они - боль для конфигурирования, но так как они находятся в том же VLAN как серверы прямо сейчас, который не очень выполним.
В то время как нам не нужен другой VLAN для PDUs, он может сделать некоторые вещи легче. И это входит в целое больше по сравнению с меньшим количеством аргумента VLAN, который продвинется навсегда.
Меня, я просто думаю, имеют VLAN, где это имеет смысл. Если, например, мы дали PDUs их собственный VLAN, это не означает, что мы всегда должны давать небольшие группы устройств их собственный VLAN. А скорее в этом случае это могло бы иметь смысл. Если у группы устройств не должно быть своего собственного VLAN и нет никаких преимуществ для выполнения так, то Вы могли бы хотеть рассмотреть просто вещи отъезда как они.