Quando / por que iniciar a sub-rede de uma rede?

37

Sob quais condições alguém começa a considerar a sub-rede de uma rede?

Estou procurando algumas regras gerais gerais ou gatilhos baseados em métricas mensuráveis ​​que tornam a sub-rede algo que deve ser considerado.

Adam Davis
fonte

Respostas:

33

Pergunta interessante.

Historicamente, antes do advento de redes totalmente comutadas, a principal consideração para dividir uma rede em sub-redes tinha a ver com a limitação do número de nós em um único domínio de colisão. Ou seja, se você tivesse muitos nós, o desempenho da sua rede atingiria um pico e, eventualmente, entraria em colapso sob carga pesada devido a colisões excessivas. O número exato de nós que poderiam ser implantados dependia de muitos fatores, mas de um modo geral, você não pode carregar regularmente o domínio de colisão muito além de 50% da largura de banda total disponível e ainda manter a rede estável o tempo todo. 50 nós na rede eram muitos nós naqueles dias. Com usuários de uso pesado, você pode ter atingido 20 ou 30 nós antes de precisar iniciar a sub-rede.

É claro que, com sub-redes full-duplex totalmente comutadas, as colisões não são mais uma preocupação e, assumindo usuários típicos de desktop, você pode implantar centenas de nós em uma única sub-rede sem nenhum problema. Ter muito tráfego de transmissão, como outras respostas mencionaram, pode ser uma preocupação, dependendo de quais protocolos / aplicativos você está executando na rede. No entanto, entenda que a sub-rede de uma rede não necessariamente o ajuda com seus problemas de tráfego de transmissão. Muitos dos protocolos usam a transmissão por um motivo - ou seja, quando todos os nós da rede precisam realmente ver esse tráfego para implementar os recursos desejados no nível do aplicativo. Simplesmente a sub-rede da rede não comprará nada para você, se o pacote transmitido também precisar ser encaminhado para a outra sub-rede e transmitido novamente.

De um modo geral, hoje, os principais motivos para as redes de sub-rede têm muito mais a ver com considerações de limites organizacionais, administrativos e de segurança do que qualquer outra coisa.

A pergunta original solicita métricas mensuráveis ​​que acionam considerações de sub-rede. Não tenho certeza de que haja números em termos específicos. Isso vai depender drasticamente dos 'aplicativos' envolvidos e não acho que exista realmente algum ponto de gatilho que geralmente se aplique.

Em relação às regras práticas no planejamento de sub-redes:

  • Considere sub-redes para cada departamentos / divisões organizacionais diferentes, especialmente porque elas têm tamanho não trivial (mais de 50 nós !?).
  • Considere sub-redes para grupos de nós / usuários usando um conjunto de aplicativos comum que é diferente de outros usuários ou tipos de nós (desenvolvedores, dispositivos de VoIP, área de fabricação)
  • Considere sub-redes para grupos de usuários que possuem requisitos de segurança diferentes (protegendo o departamento de contabilidade, Protegendo Wifi)
  • Considere sub-redes de um surto de vírus, violação de segurança e perspectiva de contenção de danos. Quantos nós são expostos / violados - qual é o nível de exposição aceitável para sua organização? Essa consideração assume regras de roteamento restritivo (firewall) entre sub-redes.

Com isso dito, a adição de sub-redes adiciona algum nível de sobrecarga administrativa e potencialmente causa problemas em relação à falta de endereços de nó em uma sub-rede e ainda sobra em outro pool etc. As configurações de roteamento e firewall e o posicionamento de servidores comuns no rede e assim se envolver, esse tipo de coisa. Certamente, cada sub - rede deve ter uma razão de existir que supera a sobrecarga de manter a topologia lógica mais sofisticada.

Tall Jeff
fonte
7

Se for um site único, não se preocupe, a menos que você tenha mais de uma dúzia de sistemas, e mesmo assim é provavelmente desnecessário.

Hoje em dia, com todos que usam comutadores de pelo menos 100 Mbps e mais frequentemente 1 Gbps, o único motivo relacionado ao desempenho para segmentar sua rede é se você está sofrendo excesso de tráfego de transmissão (ou seja,> 2%, acima do meu limite)

O principal outro motivo é a segurança, ou seja, DMZ para servidores públicos, outra sub-rede para financiamento ou uma VLAN / sub-rede separada para sistemas VoIP.

Alnitak
fonte
Várias dezenas significando 50+? Além disso, atividade de transmissão - essa é uma métrica boa, fácil e mensurável. Quanta atividade de transmissão você considera aceitável?
Adam Davis
sim, 50 ou mais era o que eu estava pensando, mas mesmo assim a segurança ainda seria o motivo mais provável.
Alnitak
7

Limitar o escopo para quaisquer requisitos de conformidade que você possa ter (por exemplo, PCI) é um bom catalisador para segmentar algumas partes da sua rede. A segmentação dos sistemas de aceitação / processamento e finanças de pagamento pode economizar dinheiro. Mas, em geral, a sub-rede de uma pequena rede não lhe renderá muito em termos de desempenho.

Mark Turner
fonte
4

Outro motivo seria relacionado à qualidade de serviço. Executamos vlans de voz e dados separadamente, para que possamos aplicar facilmente QoS ao tráfego de voip.

Você sabe, eu tenho pensado mais nessa questão. Existem várias boas razões para projetar uma nova rede usando redes distintas (desempenho, segurança, QoS, limitação de escopos DHCP, limitação de tráfego de broadcast (que podem estar relacionados à segurança e ao desempenho)).

Mas, ao pensar em uma métrica para redesenhar apenas para sub-rede, e nas redes com as quais tive que lidar no passado, tudo em que consigo pensar é "uau, isso precisaria de uma rede realmente bagunçada para me fazer redesenhar completamente para sub - rede ". Existem muitas outras razões - largura de banda, utilização da CPU dos dispositivos instalados, etc. Mas apenas a sub-rede em uma rede de dados pura normalmente não compraria uma tonelada de desempenho

jj33
fonte
3

Segurança e qualidade principalmente (desde que o segmento de rede em questão possa suportar os nós em questão, é claro). Uma rede separada para tráfego de impressora, voz / telefone, departamentos isolados, como operações de TI e, obviamente, segmentos de servidores, segmentos voltados para a Internet (um por serviço voltado para a Internet é popular hoje em dia, não apenas "um dmz servirá") e assim por diante.

Oskar Duveborn
fonte
3

Se você pretende aumentar a escala (você está construindo uma rede, não apenas 5 servidores e nós também), comece a rotear o mais rápido possível. Muitas redes são instáveis ​​e difíceis de crescer porque cresceram organicamente e possuem muitas coisas da camada 2.

Exemplos:

  • você tem dois servidores de nomes no mesmo segmento de rede. Agora você não pode mover um deles para outra cidade, porque terá que dividir esse belo / 24 ou renumerar o DNS. Muito mais fácil se eles estivessem em redes diferentes. Não estou falando necessariamente sobre estes se tornarem comunicados separados do BGP para o mundo. Este exemplo seria para um ISP em todo o país. Observe também que algumas coisas na área do provedor de serviços não são tão fáceis quanto "apenas registre o novo DNS no registrador".
  • Os laços da camada 2 são ruins. Como faz a árvore de abrangência (e VTP). Quando a árvore de abrangência falha (e há muitos casos em que ocorre), isso diminui tudo devido à inundação da CPU do switch / roteador. Quando o OSPF ou o IS-IS falhar (ou outros protocolos de roteamento), não travará a rede inteira e você poderá corrigir um segmento de cada vez. Isolamento de falhas.

Resumindo: quando você aumenta a escala para onde acha que precisa de uma árvore de abrangência, considere o roteamento.

Thomas
fonte
3

Pessoalmente, gosto de levar a segmentação da camada 3 o mais próximo possível dos comutadores de acesso, porque

  • Eu não gosto de Spanning Tree (você pode fazer coisas muito engraçadas se for mau)
  • Especialmente nas redes Windoze, as transmissões são um problema real.
  • Nas redes privadas, você tem muito espaço IP a perder :)
  • Switches ainda mais baratos já possuem recursos de roteamento por velocidade de conexão - por que não usá-los?
  • Facilita a vida quando se trata de segurança (por exemplo, Auth e ACLs no egde, etc)
  • Melhores possibilidades de QoS para VoIP e coisas em tempo real
  • Você pode dizer a localização de um cliente a partir do seu IP

Se se trata de redes de propagação maiores / mais amplas, nas quais dois comutadores / agrupadores principais não são suficientes, os mecanismos normais de redundância, como o VRRP, têm muitas desvantagens (o tráfego passa uplinks várias vezes, ...) o OSPF não possui.

Provavelmente, existem muitas outras razões para apoiar a abordagem use-small-broadcast- domain-.

PEra
fonte
2

Eu acho que o escopo da organização importa muito. Se houver 200 hosts no total ou menos em uma rede e o tráfego não precisar ser segmentado por qualquer motivo, por que adicionar a complexidade de VLANs e sub-redes? Mas quanto maior o escopo, mais pode fazer sentido.

A divisão de redes que normalmente não precisariam ser pode facilitar algumas coisas. Por exemplo, nossas PDUs que fornecem energia aos servidores estão na mesma VLAN ou sub-rede que os servidores. Isso significa que nosso sistema de verificação de vulnerabilidades usado em nossa gama de servidores também verifica PDUs. Não é grande coisa, mas não precisamos que as PDUs sejam digitalizadas. Também seria bom DHCP das PDUs, uma vez que elas são difíceis de configurar, mas como elas estão na mesma VLAN dos servidores agora, isso não é muito viável.

Embora não precisemos de outra VLAN para as PDUs, isso pode facilitar algumas coisas. E isso entra no argumento de mais vs menos VLANs que continuará para sempre.

Eu, acho que tenho VLANs onde faz sentido. Se, por exemplo, atribuímos às PDUs sua própria VLAN, isso não significa que sempre precisamos fornecer a pequenos grupos de dispositivos sua própria VLAN. Mas, nesse caso, pode fazer sentido. Se um grupo de dispositivos não precisar ter sua própria VLAN e não houver vantagens em fazê-lo, convém deixar as coisas como estão.

Webs
fonte