Devo dividir minha rede de dados em 2 VLANs separadas?

Atualmente, estou usando 10.54.0.0 / 19 para todos os meus clientes e impressoras. Temos aproximadamente 550 clientes / impressoras.

Além da largura de banda, que mal está sendo utilizada, há algum outro motivo para dividir minha rede de dados ou acessar uma sub-rede menor que a / 19 que estou usando atualmente?

networking ip-address Ruisu
fonte

... por que / 19? / 16 ou / 24 teria sido bem mais fácil de gerenciar, sem absolutamente nenhum custo adicional.

Massimo

/ 24 não teria acomodado 550 clientes e impressoras.

Alex Berry

@ Alex Berry - /24não é possível acessar 550 dispositivos, isso é verdade; mas tendo algumas /24redes poderia (uma para impressoras, uma para contabilidade, uma para RH, etc)

Warren

@ warren, isso é verdade, no entanto, pensei que isso estaria implícito em sua pergunta com o uso de diferentes vlans.

Alex Berry

Além disso, por que um em /19vez de um /21?

warren

Respostas:

Ter clientes de desktop em um / 19 oferece um domínio de broadcast incrivelmente grande. Isso significa que solicitações DHCP, consultas arp, mDNS, netbios, descoberta de impressoras IPP etc. pacotes de um único host estão sendo replicados 550x. Geralmente, um / 24 é a maior sub-rede na qual você deseja colocar hosts reais. Como você está no espaço RFC1918 , pode usar um diferente /24(ou o que seja) para cada divisão lógica que possa surgir.

A verdadeira pergunta que você deve fazer é se você deve usar sub-redes menores. A resposta para qual é "provavelmente". Se você optar por implementar isso com VLANs ou não, é realmente ortogonal.

Joshua Hoblitt
fonte

Por que um / 24 é a maior sub-rede na qual você deseja colocar hosts reais? Existe uma métrica que possa ser objetivamente avaliada para fundamentar essa conclusão, por exemplo, se você deve sub-rede?

22611 Chris Magnuson

Você certamente pode criar métricas, como qual a porcentagem de sua largura de banda que deseja permitir que seja usada pela carga média de transmissão? Quanto maior a sub-rede, mais hosts podem ser afetados por um único host que se comporta mal. Imagine uma empresa da Fortune 500 se ajoelhar porque todos os hosts estão em um / 8 e um deles faz uma inundação de transmissão ... Além disso, você tem considerar que nem todas as redes são um monte de PCs conectados a um switch gigE barato. É bastante comum que as empresas tenham vários escritórios conectados por links MOE ou WAN. 1Mbit / s pode não ser muito em uma lan mas ...

Joshua Hoblitt

Para mim, os / 24's fazem mais sentido para redes sem fio. Você pode ficar muito maior em redes comutadas sem muitos problemas. Definitivamente, faz sentido que extremidades separadas de links MOE / WAN estejam em sub-redes diferentes.

Joel Coel

Concordo que 550 hosts não são completamente irracionais em uma única sub-rede, mas um valor de / 19 (8K IPs) na maioria dos cenários seria. Ele observou especificamente que tinha desktops em sua única sub-rede.

Joshua Hoblitt 14/09

Como sua rede está subutilizada e você possui apenas alguns hosts, o único motivo para dividir o / 19 em prefixos menores seria a segurança. Isso significa que você usará VLANs e um roteador para permitir / filtrar a comunicação entre VLANs.

Avalie quanto tempo levará para alterar os IPs e os aplicativos que estão usando esses IPs e veja se vale a pena mudar para outros prefixos. Com menos recursos, você pode encontrar e eliminar geradores de transmissão desnecessários, se estiverem afetando o tráfego da rede.

Se você adicionar mais hosts, poderá obter algumas limitações, como o número máximo de MACs na tabela de endereços MAC dos comutadores ou o número de entradas ARP na tabela ARP no roteador. Se você atingir esse limite, notará atrasos altos ou comportamentos estranhos (hosts que não podem se comunicar, transmissões excessivas).

Se você dividir sua rede em prefixos menores, mas não usar VLANs, não reduzirá o tráfego de transmissão e não tornará sua rede mais segura. Mesmo se você dividir sua rede em VLANs, mas transportá-las em todos os comutadores (por exemplo, você não estiver usando a poda de VLAN), o tráfego de broadcast afetará todos os comutadores.

Alguns equipamentos, como os comutadores Cisco , também podem limitar a transmissão (por taxa ou por tipo).

Planejamento de rede: antes de fazer qualquer alteração, crie casos de uso com problemas que você pode encontrar em sua rede e planeje com base nessas suposições.

Mircea Vutcovici
fonte

+1 para obter informações sobre o que acontece quando a tabela MAC ou tabela ARP enche

dunxd

550 hosts não está totalmente fora de questão para uma única sub-rede. Você basicamente precisa avaliar seus próprios requisitos. Se os pacotes de difusão afetam (ou se prevê que afetem) o desempenho da sua rede de maneira a impedir o funcionamento dos seus negócios, você precisa separar seus hosts em diferentes sub-redes em diferentes VLANs. Se não está afetando os negócios, não há necessidade de fazê-lo.

Parece que a largura de banda não é uma preocupação; portanto, pode não haver motivos justificáveis para os negócios investirem em sua infraestrutura dessa maneira. Outros motivos normalmente girariam em torno das separações de segurança, mas somente você poderia nos dizer se sua empresa tem necessidades de segurança que não estão sendo atendidas com a infraestrutura atual.

Jason Berg
fonte

Alguma recomendação sobre qual número de hosts estaria fora de questão e possivelmente alguma métrica que possa ser avaliada que indique quando você deve fazer uma sub-rede especificamente para isolar domínios de broadcast?

Chris Magnuson

obrigatório - Essa é uma pergunta difícil de responder. Cada ambiente é um pouco diferente. Posso dizer que 550 hosts não precisam se preocupar muito na maioria dos ambientes. Se houver excesso de transmissões por causa de algum aplicativo LOB, isso pode mudar totalmente a situação. Basicamente, tudo depende.

Jason Berg