(Я был в дороге весь день и пропустил прыжки на этом ... Тем не менее, поздно в игре я посмотрю, что я могу сделать.)
Обычно вы создаете VLAN в Ethernet и сопоставляете IP-подсети 1-к-1 на них. Есть способы этого не делать, но придерживаясь строго «простого ванильного» мира, вы создадите VLAN, придумаете подсеть IP для использования в VLAN, назначите некоторому маршрутизатору IP-адрес в этой VLAN, подключите этот маршрутизатор к VLAN (с физическим интерфейсом или виртуальным подынтерфейсом на маршрутизаторе), подключите некоторые хосты к VLAN и назначьте им IP-адреса в определенной вами подсети, а также направьте их трафик в VLAN и из нее.
Не следует начинать подсеть в локальной сети Ethernet, если у вас нет веских причин для этого. Две лучшие причины:
Смягчение проблем с производительностью. Локальные сети Ethernet не могут масштабироваться бесконечно. Чрезмерное вещание или переполнение кадров в неизвестные места назначения ограничат их масштаб Любое из этих условий может быть вызвано слишком большим одиночным широковещательным доменом в локальной сети Ethernet. Широковещательный трафик легко понять, но затопление кадров в неизвестные места назначения немного более неясно. Если вы получаете так много устройств, что ваши таблицы MAC коммутатора переполнены, коммутаторы будут вынуждены заполнять не широковещательные кадры всеми портами, если назначение кадра не совпадает ни с одной записью в таблице MAC. Если у вас достаточно большой один широковещательный домен в локальной сети Ethernet с профилем трафика, на котором хосты общаются редко (то есть
Желание ограничить / контролировать трафик, перемещающийся между хостами на уровне 3 или выше. Вы можете провести некоторую хакерскую проверку трафика на уровне 2 (например, ebtables для Linux), но это сложно управлять (поскольку правила привязаны к MAC-адресам, а изменение сетевых карт требует изменений правил), что может привести к действительно странному поведению (выполнение Прозрачное проксирование HTTP на уровне 2, например, странно и забавно, но совершенно неестественно и может быть очень не интуитивно понятным для устранения неполадок), и, как правило, это трудно сделать на более низких уровнях (потому что инструменты уровня 2 подобны ручкам и раскачивается при решении проблем уровня 3+). Если вы хотите контролировать трафик IP (или TCP, или UDP и т. Д.) Между узлами, а не атаковать проблему на уровне 2, вам следует подсеть и прикрепить межсетевые экраны / маршрутизаторы с ACL между подсетями.
Проблемы исчерпания полосы пропускания (если они не вызваны широковещательными пакетами или переполнением кадров) обычно не решаются с помощью VLAN и подсетей. Они происходят из-за отсутствия физического подключения (слишком мало сетевых адаптеров на сервере, слишком мало портов в группе агрегации, необходимость перехода на более высокую скорость портов) и не могут быть решены с помощью подсетей или развертывания сетей VLAN, поскольку это Не увеличивайте количество доступной полосы пропускания.
Если у вас даже нет чего-то простого, например, MRTG, выполняющего построение графиков статистики трафика по портам на ваших коммутаторах, это действительно ваш первый заказ, прежде чем вы начнете вводить узкие места с благонамеренными, но неинформированными подсетями. Необработанные подсчеты байтов - хорошее начало, но вы должны следить за этим, чтобы получить более подробную информацию о профилях трафика.
Как только вы узнаете, как движется трафик в вашей локальной сети, вы можете подумать о подсетях из соображений производительности.
Что касается «безопасности», вам нужно знать много нового о прикладном программном обеспечении и о том, как оно работает, прежде чем вы сможете продолжить.
Несколько лет назад я разработал дизайн LAN / WAN разумного размера для медицинского Заказчика, и меня попросили разместить списки доступа на объекте уровня 3 (модуль супервизора Cisco Catalyst 6509) для управления трафиком, перемещающимся между подсетями с помощью функции " инженер ", который мало понимал, какого рода работа на самом деле требовалась, но был очень заинтересован в" безопасности ". Когда я вернулся с предложением изучить каждое приложение для определения необходимых портов TCP / UDP и хостов назначения, я получил шокированный ответ от «инженера», заявив, что это не должно быть так сложно. Последнее, что я слышал, они запускают объект уровня 3 без списков доступа, потому что они не могут заставить все свое программное обеспечение работать надежно.
Мораль: если вы действительно собираетесь попытаться получить доступ к пакетному и потоковому доступам между виртуальными локальными сетями, будьте готовы приложить немало усилий с прикладным программным обеспечением и изучить / проанализировать, как это происходит по проводам. Ограничение доступа хостов к серверам часто может быть достигнуто с помощью функции фильтрации на серверах. Ограничение доступа по проводам может дать ложное чувство безопасности и утешить администраторов в самодовольство, когда они думают: «Мне не нужно настраивать приложение безопасно, потому что хосты, которые могут общаться с приложением, ограничены». сеть».» Я бы посоветовал вам проверить безопасность конфигурации вашего сервера, прежде чем я начну ограничивать обмен данными между хостами по проводам.