ट्रैफ़िक, वीएलएएन या सबनेट सेगमेंट का सबसे अच्छा तरीका?

13

हमारे पास लगभग 200 नोड्स का एक मध्यम आकार का नेटवर्क है और वर्तमान में स्टैक-सक्षम या चेसिस स्टाइल स्विच के साथ पुराने डेज़ी-जंजीर स्विच को बदलने की प्रक्रिया में है।

अभी, हमारा नेटवर्क सबनेट के माध्यम से टूट गया है: उत्पादन, प्रबंधन, बौद्धिक संपदा (आईपी), आदि, प्रत्येक एक अलग सबनेट पर। क्या सबनेट की जगह वीएलएएन बनाना ज्यादा फायदेमंद होगा?

हमारा सामान्य लक्ष्य अड़चनों को रोकना, सुरक्षा के लिए अलग यातायात और अधिक आसानी से यातायात का प्रबंधन करना है।

networking  subnet  vlan 
चिड़िया, पक्षी
स्रोत
1
शायद आपके अलग-अलग vlans का उपयोग उन में अलग-अलग सबनेट करने के लिए किया जाएगा।
20
1
आपको इस प्रश्न का उत्तर इवान से मिल सकता है जो मैंने कुछ समय पहले मददगार कहा था: serverfault.com/questions/25907/…
काइल ब्रान्ड

जवाबों:

16

वीएलएएन और सबनेट एस विभिन्न समस्याओं का समाधान करते हैं। VLANs लेयर 2 पर काम करते हैं , जिससे प्रसारण डोमेन (उदाहरण के लिए) बदल जाते हैं। जबकि वर्तमान संदर्भ में सबनेट लेयर 3 हैं

एक सुझाव वास्तव में दोनों को लागू करना होगा

उदाहरण के लिए, अपने विभिन्न प्रकारों के लिए VLAN 10 - 15 (देव, टेस्ट, प्रोडक्शन, उपयोगकर्ता, आदि)

वीएलएएन 10, आपके पास सबनेट 192.168.54.x / 24 वीएलएएन 11 हो सकता है, आपके पास सबनेट 192.168.55.x / 24 हो सकता है।

और इसी तरह

हालांकि इसके लिए जरूरी है कि आपके नेटवर्क के भीतर एक राउटर हो

यह आपके ऊपर निर्भर है कि आप किस मार्ग पर जाते हैं (आप अपने नेटवर्क को पहले से बेहतर जानेंगे)। यदि आपको लगता है कि आपके प्रसारण डोमेन का आकार किसी प्रकार का मुद्दा होगा, तो VLAN का उपयोग करें। यदि आपको लगता है कि आपके नेटवर्क प्रबंधन डोमेन का आकार (उदाहरण के लिए, आपका प्रबंधन नेटवर्क) है, तो संभवतः / 16/24/24 के करीब नेटवर्क का उपयोग करें

आपके 200 नोड्स / 24 में फिट होंगे, लेकिन यह स्पष्ट रूप से आपको विकास के लिए बहुत गुंजाइश नहीं देता है

इसकी ध्वनि से, आप पहले से ही विभिन्न डिवाइस प्रकारों के लिए अलग-अलग सबनेट का उपयोग कर रहे हैं। तो, क्यों नहीं उस के साथ रहना? यदि आप चाहें, तो प्रत्येक सबनेट को एक वीएलएएन से जोड़ सकते हैं। लेयर 2 सेगमेंटेशन का परिणाम आपके नेटवर्क के व्यवहार से होगा कि यह वर्तमान में कैसे व्यवहार करता है

आपको इसके संभावित प्रभाव की जांच करनी होगी

बेन क्विक
स्रोत
2
+1 - लगभग वह सब कुछ जो मैं चाहता था। यदि आप अपने पास मौजूद सबनेटिंग डिज़ाइन को स्क्रैप करने जा रहे हैं, तो मेरा एकमात्र अतिरिक्त सुझाव एक / 22 या 23/23 का उपयोग करके पता स्थान स्थापित करना होगा। यदि आपको लगता है कि आपको अधिक सबनेट की आवश्यकता है, तो संभवतः "बिट्स" को हटा दें। आखिरकार, हम सिर्फ / 16 या 24 तक ही सीमित नहीं हैं। फिर, प्रसारण ट्रैफ़िक में कटौती करने के लिए प्रत्येक सबनेट को अपने स्वयं के वीएलएएन में डालें।
रोमन्दास
13

(मैं पूरे दिन सड़क पर रहा और इस एक पर कूदने से चूक गया ... फिर भी, खेल के देर से मैं देखूंगा कि मैं क्या कर सकता हूं।)

आमतौर पर आप ईथरनेट में वीएलएएन बनाते हैं और उन पर आईपी सबनेट 1 से 1 का नक्शा बनाते हैं। ऐसा करने के तरीके नहीं हैं, लेकिन एक सख्ती से "सादे वेनिला" दुनिया में चिपके रहते हैं जिसे आप एक वीएलएएन बनाएंगे, वीएलएएन में उपयोग करने के लिए एक आईपी सबनेट के बारे में सोचें, कुछ राउटर को उस वीएलएएन में एक आईपी पता असाइन करें, उस राउटर को संलग्न करें वीएलएएन (या तो एक भौतिक इंटरफ़ेस या राउटर पर एक वर्चुअल सबर्नेटफेस के साथ), कुछ होस्ट को वीएलएएन से कनेक्ट करें और उन्हें आपके द्वारा परिभाषित सबनेट में आईपी पते असाइन करें, और वीएलएएन के अंदर और बाहर उनके ट्रैफ़िक को रूट करें।

जब तक आपके पास इसे करने के लिए अच्छे कारण नहीं हैं, आपको ईथरनेट लैन को सबनेट करना शुरू नहीं करना चाहिए। सबसे अच्छे दो कारण हैं:

  • प्रदर्शन समस्याओं को कम करना। ईथरनेट LANs अनिश्चित काल तक स्केल नहीं कर सकते हैं। अत्यधिक प्रसारण या फ़्रेम से अज्ञात गंतव्यों तक बाढ़ उनके पैमाने को सीमित कर देगी। ईथरनेट LAN में एक भी ब्रॉडकास्ट डोमेन बनाने के कारण इनमें से कोई भी स्थिति बड़ी हो सकती है। प्रसारण ट्रैफ़िक को समझना आसान है, लेकिन अज्ञात गंतव्यों के लिए फ़्रेमों को भरना थोड़ा अधिक अस्पष्ट है। यदि आपको इतने सारे उपकरण मिलते हैं कि आपके स्विच मैक टेबल ओवरफ्लो हो रहे हैं, तो सभी पोर्ट्स को नॉन-ब्रॉडकास्ट फ्रेम में बाढ़ करने के लिए मजबूर किया जाएगा यदि फ्रेम का गंतव्य मैक टेबल में किसी भी एंट्री से मेल नहीं खाता है। यदि आपके पास ईथरनेट लैन में एक बड़ा एकल प्रसारण डोमेन है, तो ट्रैफ़िक प्रोफ़ाइल के साथ, जो होस्ट बात करते हैं (यानी)

  • लेयर 3 या उससे ऊपर के मेजबानों के बीच ट्रैफ़िक को सीमित / नियंत्रित करने की इच्छा। आप परत 2 (ala Linux ebtables) पर ट्रैफ़िक की जाँच करने वाले कुछ हैकरी कर सकते हैं, लेकिन इसे प्रबंधित करना मुश्किल है (क्योंकि नियम मैक पते से जुड़े हुए हैं और NIC द्वारा नियम परिवर्तन की आवश्यकता को बदल दिया जाता है) जो वास्तव में, वास्तव में अजीब व्यवहार दिखाई देते हैं (कर सकते हैं) उदाहरण के लिए, लेयर 2 पर HTTP की पारदर्शी समीपता, अजीब और मज़ेदार है, लेकिन पूरी तरह से प्राकृतिक है और समस्या निवारण के लिए बहुत गैर-सहज हो सकती है), और आमतौर पर निचली परतों पर करना मुश्किल होता है (क्योंकि लेयर 2 टूल की तरह होते हैं) और परत 3+ चिंताओं से निपटने पर चट्टानें)। यदि आप लेयर 2 पर समस्या पर हमला करने के बजाय, मेजबानों के बीच IP (या TCP, या UDP, आदि) ट्रैफ़िक को नियंत्रित करना चाहते हैं, तो आपको सबनेट के बीच ACL के साथ फ़ायरवॉल / राउटर को सबनेट और स्टिक करना चाहिए।

बैंडविड्थ थकावट की समस्याएं (जब तक कि वे प्रसारण पैकेट या फ़्रेम के बाढ़ के कारण नहीं हो रही हैं) वीएलएएन और सबनेटिंग के साथ आमतौर पर हल नहीं होती हैं। वे शारीरिक कनेक्टिविटी की कमी (सर्वर पर बहुत कम एनआईसी, एक एकत्रीकरण समूह में बहुत कम पोर्ट, एक तेज पोर्ट स्पीड तक बढ़ने की आवश्यकता) के कारण होते हैं और वीएलएएन को जीतने के बाद सबनेटिंग या तैनाती के द्वारा हल नहीं किया जा सकता है। 'उपलब्ध बैंडविड्थ की मात्रा में वृद्धि न करें।

यदि आपके पास अपने स्विच पर एमआरटीजी प्रति-पोर्ट ट्रैफ़िक आँकड़े चलाने जैसा एमआरटीजी भी कुछ सरल नहीं है, तो इससे पहले कि आप संभावित रूप से अच्छी तरह से इरादे से काम करना शुरू कर दें, लेकिन अनियंत्रित सबनेटिंग के साथ बाधाओं का सामना करना शुरू कर दें । कच्चे बाइट की गिनती एक अच्छी शुरुआत है, लेकिन आपको ट्रैफ़िक प्रोफाइल के बारे में अधिक जानकारी प्राप्त करने के लिए लक्षित सूँघने के साथ इसका पालन करना चाहिए।

एक बार जब आप जानते हैं कि आपके LAN पर ट्रैफ़िक कैसे चलता है, तो आप प्रदर्शन कारणों से सबनेटिंग के बारे में सोचना शुरू कर सकते हैं।

जहाँ तक "सुरक्षा" जाता है, आपको अपने एप्लिकेशन सॉफ़्टवेयर के बारे में बहुत कुछ जानने की आवश्यकता होती है और आगे बढ़ने से पहले यह कैसे बात करता है।

मैंने कुछ साल पहले एक मध्यस्थ ग्राहक के लिए एक resonably size LAN / WAN के लिए एक डिज़ाइन किया था और मुझे सबनेट के बीच ट्रैफ़िक को नियंत्रित करने के लिए लेयर 3 एंटिटी (एक सिस्को उत्प्रेरक 6509 सुपरवाइज़र मॉड्यूल) पर एक्सेस लिस्ट डालने के लिए कहा गया था। इंजीनियर "जिन्हें इस बात की बहुत कम समझ थी कि इसे वास्तव में किस प्रकार की लेगवर्क की आवश्यकता होगी लेकिन" सुरक्षा "में बहुत रुचि थी। जब मैं आवश्यक टीसीपी / यूडीपी बंदरगाहों और गंतव्य मेजबानों को निर्धारित करने के लिए प्रत्येक एप्लिकेशन का अध्ययन करने के प्रस्ताव के साथ वापस आया, तो मुझे "इंजीनियर" से एक चौंकाने वाली प्रतिक्रिया मिली, जिसमें कहा गया कि यह उतना मुश्किल नहीं होना चाहिए। आखिरी जो मैंने सुना है कि वे बिना किसी एक्सेस लिस्ट के लेयर 3 इकाई चला रहे हैं क्योंकि वे अपने सभी सॉफ्टवेयर को मज़बूती से काम नहीं कर सकते।

नैतिक: यदि आप वास्तव में कोशिश करने जा रहे हैं और वीएलएएन के बीच पैकेट और स्ट्रीम-लेवल एक्सेस को बटन कर रहे हैं, तो एप्लिकेशन सॉफ़्टवेयर और लर्निंग / रिवर्स-इंजीनियरिंग के साथ बहुत सारे कार्य करने के लिए तैयार रहें कि यह तार पर कैसे बात करता है। मेजबानों द्वारा सर्वरों तक पहुंच सीमित करना अक्सर सर्वर पर फ़िल्टरिंग कार्यक्षमता के साथ पूरा किया जा सकता है। तार पर पहुंच को सीमित करने से एक शालीनता का झूठा एहसास हो सकता है और व्यवस्थापकों को एक शालीनता मिल सकती है, जहां उन्हें लगता है कि "ठीक है, मुझे ऐप को कॉन्फ़िगर करने की आवश्यकता नहीं है। सुरक्षित रूप से क्योंकि मेजबान जो ऐप से बात कर सकते हैं 'द्वारा सीमित हैं। नेटवर्क'।" वायर पर होस्ट-टू-होस्ट संचार सीमित करने से पहले मैं आपको अपने सर्वर कॉन्फ़िगरेशन की सुरक्षा का ऑडिट करने के लिए प्रोत्साहित करूंगा।

इवान एंडरसन
स्रोत
2
मुझे खुशी है कि मैं / 16 को सलाह देने के जवाब के बाद कारण की कुछ आवाज देख रहा हूं।
pQd
4
आप मनमाने ढंग से बड़े या छोटे सबनेट में सबनेट कर सकते हैं। सबनेट / ब्रॉडकास्ट डोमेन में मेजबानों की संख्या क्या मायने रखती है, न कि संभावित मेजबानों की संख्या (इसलिए जब तक आपके पास पर्याप्त स्थान हो)। क्या अभिव्यक्ति है - यह आपके सबनेट का आकार नहीं है जो मायने रखता है, बल्कि यह कि आप इसका उपयोग कैसे करते हैं? > मुस्कान <
इवान एंडरसन
@ इवान एंडरसन: मुझे पता है कि लेकिन आपको यह स्वीकार करना होगा कि 64k बहुत अधिक है, शायद कभी उपयोग नहीं किया जाएगा और समस्या का कारण बन सकता है जब रूटिंग को शुरू करने की आवश्यकता होती है [जैसे दूरस्थ डीसी / कार्यालयों / आदि को जोड़ने के लिए]।
pQd
1

समय का 99%, एक सबनेट एक वीएलएएन के बराबर होना चाहिए (यानी प्रत्येक एक्सेस सबनेट एक और केवल एक वीएलएएन के लिए मैप होना चाहिए)।

यदि आपके पास एक ही वीएलएएन में एक से अधिक आईपी सबनेट से मेजबान हैं, तो आप वीएलएएन के उद्देश्य को पराजित करते हैं, क्योंकि दो (या अधिक) सबनेट एक ही प्रसारण डोमेन पर होंगे।

वैकल्पिक रूप से, यदि आप एक आईपी सबनेट को कई वीएलएएन में डालते हैं, तो आईपी सबनेट पर होस्ट अन्य वीएलएएन में मेजबानों के साथ संवाद करने में सक्षम नहीं होगा जब तक कि आपके राउटर ने प्रॉक्सी एआरपी को सक्षम नहीं किया है।

मुरली सुरियार
स्रोत
-1 - वीएलएएन ने प्रसारण डोमेन को विभाजित किया। टकराव डोमेन को पुलों या बहु-बंदरगाह पुलों द्वारा विभाजित किया जाता है जिन्हें आमतौर पर स्विच के रूप में जाना जाता है। आईपी ​​सबनेट और ब्रॉडकास्ट / टकराव डोमेन का सामान्य मामले में एक-दूसरे से कोई लेना-देना नहीं है। ईथरनेट पर आईपी के विशिष्ट मामले में, आईपी सबनेट के लिए एकल प्रसारण डोमेन के लिए मैप किया जाना आम है (क्योंकि ARP, ईथरनेट हार्डवेयर पतों के लिए आईपी पतों को हल करने के लिए इस्तेमाल किया जाने वाला प्रोटोकॉल आधारित है), लेकिन प्रॉक्सी के साथ चतुर चाल का उपयोग करना संभव है ARP के पास सबनेट स्पैन मल्टीपल ब्रॉडकास्ट डोमेन है।
इवान एंडरसन
@ इवान: अच्छी बात है - कि मैं सुबह के मूत घंटे में जवाब लिखना सिखाऊंगा। :) मैं हालांकि शेष बिंदुओं से खड़ा हूं; एक ही वीएलएएन में कई सबनेट होने के कारण आपके एल 2 प्रसारण ट्रैफ़िक को कई सबनेट पर फैलाया जाएगा; एक ही सबनेट के लिए कई वीएलएएन काम करेंगे, लेकिन प्रॉक्सी एआरपी वास्तव में ऐसा कुछ नहीं है जिसका आपको उपयोग करना चाहिए यदि आप इसे टाल सकते हैं।
मुरली सूरिार
-1 हटा दिया गया - बाकी सब आपने कहा निश्चित रूप से सटीक है। मैं सहमत हूँ, भी, फिर से: छद्म ARP-- मैं इसे "वास्तविक दुनिया" में उपयोग नहीं करूंगा जब तक कि मेरे पास कोई बहुत मजबूत सम्मोहक कारण न हो।
इवान एंडरसन
"आईपी सबनेट और ब्रॉडकास्ट / टक्कर डोमेन का सामान्य मामले में एक-दूसरे से कोई लेना-देना नहीं है।" नहीं, वे सामान्य मामले में सबसे निश्चित रूप से करते हैं। प्रत्येक सबनेट में एक नेटवर्क नंबर और एक संबद्ध प्रसारण पता होता है। एआरपी के अलावा, आपके पास अन्य प्रसारण पैकेट हैं। यह बयान करना गलत होगा कि क्या उनके नेटवर्क पर मल्टीकास्ट ट्रैफिक है या नहीं। डीएचसीपी क्लाइंट डीएचसीपी सर्वर के सीखने के लिए आईपी प्रसारण का उपयोग करता है।
Kilo
1
@ इवान एंडरसन मुझे यहाँ क्या याद आया। आप अपना -1 वापस ले लें। टकराव डोमेन स्विच पोर्ट द्वारा फैलाए जाते हैं। टकराव डोमेन में 2 या सबनेट कहना बकवास है। मुझे लगता है कि वह एक प्रसारण डोमेन में 2 या अधिक सबनेट का मतलब है ।
जेम्सबार्नेट
-5

मैं ज्यादातर डेविड पशले से सहमत हूँ :

  1. मैं हर चीज के लिए एक / 16 का उपयोग करता हूं।
    • लेकिन यह कई वीएलएएन पर खंडित है, लिनक्स मशीन पर एक सॉफ्टवेयर ब्रिज द्वारा शामिल किया गया है।
    • इस पुल पर, समूहों के बीच पहुँच को फ़िल्टर करने के लिए मेरे पास कई iptables नियम हैं।
    • कोई फर्क नहीं पड़ता कि आप कैसे सेगमेंट करते हैं, ग्रुपिंग के लिए आईपी रेंज का उपयोग करते हैं, यह आसान पुनर्गठन और विशेष मामले बनाता है।
जेवियर
स्रोत
2
इससे निपटने के लिए एक बुरे सपने की तरह लगता है!
इवान एंडरसन
2
-1 आपने यह नहीं कहा कि आप कितने बड़े नेटवर्क का रखरखाव कर रहे हैं, जब तक कि आप एक शोध परियोजना के बारे में बात नहीं कर रहे हैं, मैं उस तरह के कॉन्फ़िगरेशन का उपयोग करने के लिए एक कारण के बारे में नहीं सोच सकता। परिभाषा के अनुसार सबनेट "आईपी रेंज" हैं जिनका उपयोग समूह बनाने के लिए किया जाता है। ऐसा लगता है कि आप परत 2 पर अपनी राउटिंग करने के लिए लिनक्स बॉक्स का उपयोग करके परत 3 को फिर से मजबूत कर रहे हैं। यह उन समस्याओं को पैदा करने की संभावना है जो अनावश्यक जटिलता से छिपी हैं। यह कुछ ऐसा बनाता है जो किसी और के लिए अकेले समस्या निवारण का पता लगाना मुश्किल होगा।
रिक श्नाइडर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.