トラフィック、VLAN、またはサブネットをセグメント化する最良の方法は？

約200ノードの中規模のネットワークがあり、現在、古いデイジーチェーンスイッチをスタック可能なスイッチまたはシャーシスタイルのスイッチに置き換えるプロセスを進めています。

現在、ネットワークはサブネットを介して分割されています：生産、管理、知的財産（IP）など、それぞれ別々のサブネット上にあります。サブネットの代わりにVLANを作成する方が有益ですか？

私たちの一般的な目標は、ボトルネックを防ぎ、セキュリティのためにトラフィックを分離し、トラフィックをより簡単に管理することです。

VLANとサブネットは異なる問題を解決します。VLANはレイヤー2で動作するため、ブロードキャストドメインが変更されます（たとえば）。サブネットは現在のコンテキストではレイヤー3です

1つの提案は、実際に両方を実装することです

たとえば、さまざまなデバイスタイプ（Dev、Test、Production、Usersなど）にVLAN 10-15があります。

VLAN 10、サブネット192.168.54.x / 24がある場合がありますVLAN 11、サブネット192.168.55.x / 24がある場合があります

等々

ただし、ネットワーク内にルーターが必要になりますが、

どの経路をたどるかはあなた次第です（あなたのネットワークは私がこれまで以上によく知っています）。ブロードキャストドメインのサイズが何らかの問題になると思われる場合は、VLANを使用してください。ネットワーク管理ドメイン（たとえば、管理ネットワーク）のサイズが、/ 24よりも/ 16に近いネットワークを使用していると思われる場合

200個のノードは/ 24に収まりますが、明らかに成長の余地はあまりありません。

それの音で、あなたはすでにさまざまなデバイスの種類に異なるサブネットを使用しています。それで、なぜそれに固執しないのですか？必要に応じて、各サブネットをVLANに関連付けることができます。レイヤー2セグメンテーションにより、ネットワークの動作が現在の動作から変化します

その潜在的な影響を調査する必要があります

（私は一日中道路を走っていて、これに飛び乗るのを逃しました...それでも、ゲームに遅れて私は何ができるかを見るでしょう。）

通常、イーサネットでVLANを作成し、IPサブネットを1対1でマッピングします。これを行わない方法はありますが、VLANを作成し、VLANで使用するIPサブネットを考え、そのVLANのIPアドレスをルーターに割り当て、そのルーターを接続する、厳密に「平凡な」世界に固執しますVLAN（ルーター上の物理インターフェースまたは仮想サブインターフェースのいずれか）を使用して、一部のホストをVLANに接続し、定義したサブネット内のIPアドレスを割り当て、VLANにトラフィックをルーティングします。

適切な理由がない限り、イーサネットLANのサブネット化を開始しないでください。最良の2つの理由は次のとおりです。

• パフォーマンスの問題を軽減します。イーサネットLANは無期限に拡張できません。不明な宛先への過度のブロードキャストまたはフレームのフラッディングは、その規模を制限します。イーサネットLANの単一のブロードキャストドメインを大きくしすぎると、これらの状態のいずれかが発生する可能性があります。ブロードキャストトラフィックは理解しやすいですが、不明な宛先へのフレームのフラッディングはもう少しわかりにくいです。スイッチのMACテーブルがオーバーフローするほど多くのデバイスを取得した場合、フレームの宛先がMACテーブルのエントリと一致しない場合、スイッチはすべてのポートから非ブロードキャストフレームをフラッディングします。イーサネットLANに十分な大きさの単一のブロードキャストドメインがあり、トラフィックプロファイルがホストと頻繁に通信しない場合（つまり、

• レイヤー3以上のホスト間を移動するトラフィックを制限/制御したい。レイヤー2（ala Linux ebtables）でトラフィックを調べるハッカーを行うこともできますが、これは管理が困難です（ルールはMACアドレスに関連付けられ、NICを変更するとルールの変更が必要になるため）たとえば、レイヤー2でのHTTPの透過的なプロキシはおかしくて楽しいですが、まったく不自然であり、トラブルシューティングするのは非常に直感的ではない可能性があります）レイヤー3+の懸念に対処するのが難しい）。レイヤー2で問題を攻撃するのではなく、ホスト間のIP（またはTCP、UDPなど）トラフィックを制御する場合は、サブネット間でサブネットを作成し、ファイアウォール/ルーターをACLで固定する必要があります。

帯域幅の枯渇の問題（ブロードキャストパケットまたはフレームのフラッディングが原因でない限り）は、通常VLANおよびサブネット化では解決されません。それらは物理的な接続の欠如（サーバー上のNICが少なすぎる、集約グループ内のポートが少なすぎる、ポート速度を上げる必要がある）が原因で発生し、VLANのサブネット化または展開では解決できません利用可能な帯域幅の量を増やしてはいけません。

スイッチ上でポートごとのトラフィック統計をグラフ化するMRTGのような単純なものさえ持っていない場合、意図的ではあるが情報に基づいていないサブネット化によりボトルネックを引き起こす可能性があります。生のバイトカウントは良いスタートですが、トラフィックプロファイルに関する詳細を取得するには、ターゲットスニッフィングでフォローアップする必要があります。

LAN上でトラフィックがどのように移動するかがわかったら、パフォーマンス上の理由からサブネット化について考えることができます。

「セキュリティ」に関しては、先に進む前に、アプリケーションソフトウェアとそれがどのように機能するかについて多くを知る必要があります。

数年前に医療関係のお客様向けに適切なサイズのLAN / WANの設計を行い、レイヤー3エンティティ（Cisco Catalyst 6509スーパーバイザーモジュール）にアクセスリストを配置して、サブネット間を移動するトラフィックを「エンジニア」は、実際にどのようなレッグワークが必要かについてほとんど理解していないが、「セキュリティ」に非常に興味があった。必要なTCP / UDPポートと宛先ホストを決定するために各アプリケーションを調査するという提案に戻ったとき、「エンジニア」からそれはそれほど難しくないはずであるというショックを受けました。最後に、すべてのソフトウェアを確実に動作させることができなかったため、アクセスリストなしでレイヤ3エンティティを実行していると聞きました。

教訓：パケットとストリームレベルのVLAN間のアクセスを実際にボタンダウンしようとする場合は、アプリケーションソフトウェアで多くの作業を行い、回線を介して通信する方法を学習/リバースエンジニアリングする準備をしてください。ホストによるサーバーへのアクセスの制限は、多くの場合、サーバーのフィルタリング機能で実現できます。ワイヤ上のアクセスを制限すると、誤ったセキュリティ感覚が生じ、管理者が「アプリを安全に設定する必要はありません。アプリと通信できるホストが制限されるため、アプリを安全に設定する必要はありません。通信網'。" ネットワーク上のホスト間通信の制限を開始する前に、サーバー構成のセキュリティを監査することをお勧めします。

99％の時間、サブネットはVLANと同等である必要があります（つまり、各アクセスサブネットは1つだけのVLANにマップする必要があります）。

同じVLANに複数のIPサブネットのホストがある場合、2つ（またはそれ以上）のサブネットが同じブロードキャストドメインにあるため、VLANの目的を無効にします。

または、1つのIPサブネットを複数のVLANに配置した場合、IPサブネット上のホストは、ルーターでプロキシARPが有効になっていない限り、他のVLANのホストと通信できません。

私はほとんどデビッド・パシュリーに同意します：

1. すべてに単一の/ 16を使用します。
   • しかし、いくつかのVLANでセグメント化され、Linuxマシン上のソフトウェアブリッジによって結合されています。
   • このブリッジでは、グループ間のアクセスをフィルタリングするiptablesルールがいくつかあります。
   • セグメント化の方法に関係なく、グループ化にIP範囲を使用すると、再構築や特殊なケースが簡単になります。