服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 何时/为什么要开始子网划分?
Intereting Posts
在Hyper-V主机之间移动域控制器访客 有没有办法指示HTTP服务器上传文件到其他HTTP服务器? 使用DNS和Proxysdynamic路由networkingstream量 Start-BitsTransfer在从powershell手动触发但不使用Windows服务时工作 IPTABLES阻止用户代理 域名服务器问题? 如何自定义Windows“性能监视器”? Windows 7和IIS中的文件pipe理问题 重新安装(修复)Server 2012angular色和function 我的ISP在做什么魔术? 如何查找为什么启动Windows服务立即失败,错误1053? 一个NAT实验 虚拟机将不能连接到networking接口 为什么Web服务器可能无法响应? 不能作为离线计划任务备份到NAS驱动器

何时/为什么要开始子网划分?

在什么情况下开始考虑子网划分?

我正在寻找一些基本的经验法则,或者是基于可衡量的度量标准的触发器,这些度量标准可以对应该考虑的事情进行子网划分。

    有趣的问题。

    历史上,在完全交换networking出现之前,将networking分为子网的主要考虑与限制单个冲突域中的节点数量有关。 也就是说,如果节点太多,您的networking性能将达到高峰,并且由于过度的冲突最终会在重负载下崩溃。 可以部署的节点的确切数量取决于许多因素,但是一般来说,无法定期将冲突域加载到可用总带宽的50%以上,并始终保持networking稳定。 networking上的50个节点当时是很多节点。 对于大量使用的用户,在需要启动子网划分之前,您可能已经在20或30个节点上占据了首位。

    当然,在完全交换的全双工子网中,冲突不再是一个问题,并且假设典型的桌面types用户,通常可以在单个子网中部署数百个节点,而不会出现任何问题。 正如其他答案所暗示的,有很多广播stream量可能是一个问题,具体取决于您在networking上运行的协议/应用程序。 但是,了解networking划分并不一定能帮助您解决广播stream量问题。 许多协议使用广播是有原因的 – 也就是说,networking上的所有节点实际上都需要看到这样的stream量来实现所需的应用级function。 如果广播的数据包也需要转发到另一个子网并再次广播,那么只需简单地对networking进行子网划分实际上并不会为您购买任何东西。 实际上,如果您认真考虑,实际上会为两个子网添加额外的stream量(和延迟)。

    一般来说,今天,networking划分的主要原因与组织,pipe理和安全边界考虑有关,而不是其他任何事情。

    最初的问题要求提出可触发子网考虑因素的衡量标准。 我不确定是否有具体的数字。 这将取决于所涉及的“申请”,我认为实际上没有任何触发点可以适用。

    相对于规划子网的经验法则:

    • 考虑每个不同的组织部门/部门的子网,特别是当它们变得非平凡(50多个节点!)时。
    • 考虑使用不同于其他用户或节点types(开发人员,VoIP设备,制造车间)的公共应用程序集的节点/用户组的子网,
    • 考虑具有不同安全要求的用户组的子网(保护会计部门,确保无线networking安全)
    • 考虑从病毒爆发,安全漏洞和破坏遏制angular度的子网。 有多less个节点被暴露/违反 – 贵组织的暴露级别是多less? 这个考虑假定子网之间的限制性路由(防火墙)规则。

    综上所述,添加子网会增加一定程度的pipe理开销,并可能导致相对于一个子网中的节点地址用尽以及在另一个池中留下太多的问题等问题。路由和防火墙设置以及普通服务器在networking和这样的更多的参与,这样的事情。 当然,每个子网应该有一个存在的理由超过维护更复杂的逻辑拓扑的开销。

    如果它是一个单一的网站,不要打扰,除非你有超过几十个系统,即使这样可能是没有必要的。

    现在每个人都使用至less100 Mbps交换机,而且更经常使用1 Gbps,唯一与性能有关的原因是如果您的networking遭受过多的广播stream量(即大于2%),

    主要的另一个原因是安全性,例如面向公众的服务器的DMZ,财务的另一个子网,或VoIP系统的单独的VLAN /子网。

    限制任何合规要求的范围(例如PCI)对于细分networking的某些部分是一个很好的催化剂。 分割您的付款接受/处理和财务系统可以节省资金。 但是一般来说,划分一个小型networking并不会给你带来太多的性能。

    另一个原因是服务质量相关。 我们分别运行语音和数据vlans,以便我们可以轻松地将QoS应用于voipstream量。

    你知道,我一直在想这个问题。 devise一个使用不同networking(性能,安全性,QoS,限制DHCP范围,限制广播stream量(可以是安全性和性能相关))的新networking有很多很好的理由。

    但是当考虑一个重新devise子网的指标,以及思考我过去必须处理的networking时,我所能想到的就是“哇,那真的会让一个networking搞砸,使我完全重新devise它用于子网划分 “。 还有很多其他的原因 – 安装设备的带宽,CPU利用率等等。但是仅仅在纯数据网上进行子网划分通常不会购买大量的性能

    大多数安全和质量(只要有问题的网段当然可以支持有问题的节点)。 一个独立的打印机stream量,语音/电话networking,孤立的部门,如IT Ops,当然还有服务器部分,面向互联网的部分(每个面向互联网的服务都是当今stream行的,而不仅仅是“一个DMM将要做的”)等等。

    如果您希望扩大规模(您正在build设一个networking,不只是5台服务器,那么我们将尽快开始路由)。 太多的networking是不稳定的,难以发展,因为它们有机地增长,并有太多的2层的东西。

    例子:

    • 你在同一个网段上有两个名字服务器。 现在你不能将其中一个移动到另一个城市,因为那样你就不得不拆分那个不错的/ 24或者重新编号DNS。 如果他们在不同的networking上更容易。 我不是一定要谈论这些成为单独的BGP通告世界。 这个例子将是一个全国性的ISP。 另外请注意,服务提供商领域的一些事情并不像“仅在注册服务商处注册新的DNS”那么简单。
    • 第2层循环吸屁股。 和生成树(和VTP)一样。 当生成树失败(并且有很多情况)时,由于采用交换机/路由器CPU的洪泛,它会将其全部压缩。 当OSPF或IS-IS发生故障(或其他路由协议)时,它不会使整个networking崩溃,并且可以一次修复一个网段。 故障隔离。

    所以简而言之:当你扩展到你认为需要生成树的地方时,请考虑路由。

    就个人而言,我喜欢尽可能接近接入交换机的第3层分段,因为

    • 我不喜欢生成树(如果你是邪恶的,你可以使它变得非常有趣)
    • 特别是在Windozenetworking上,广播是一个真正的问题。
    • 在私人networking上,你有很多的IP空间浪费:)
    • 即使更便宜的交换机现在有线速路由function – 为什么不使用它们?
    • 在安全性方面让生活更轻松(例如egde上的Auth和ACL等)
    • VoIP和实时性更好的QoS可能性
    • 你可以从IP中知道客户的位置

    如果涉及到两个核心交换机/路由器不够用的更大/更广泛的networking,像VRRP这样的正常冗余机制有许多缺点(stream量通过上行链路多次,…),OSPF没有。

    可能有很多其他的理由来支持使用小广播域的方法。

    我认为组织的范围很重要。 如果networking中总共有200个主机或者更less,并且stream量不需要由于任何原因而被分割,为什么增加VLAN和子网的复杂性? 但范围越大,就越有意义。

    拆分通常不需要的networking可以使一些事情变得更容易。 例如,为服务器供电的PDU与服务器在同一VLAN或子网中。 这意味着我们服务器范围内使用的漏洞扫描系统也会扫描PDU。 不是一个大问题,但我们不需要扫描PDU。 同样,DHCP也是很好的select,因为它们很难configuration,但是由于它们和服务器在同一个VLAN中,所以这是不太可行的。

    虽然我们不需要另一个VLAN的PDU,它可以使一些事情更容易。 而且这个问题会进入到更多的VLAN中,而这个问题将会一直持续下去。

    我,我只是觉得VLAN有意义。 例如,如果我们为PDU提供了自己的VLAN,并不意味着我们总是必须为自己的VLAN提供小组设备。 但在这种情况下,这可能是有道理的。 如果一组设备不需要拥有自己的VLAN,并且没有这样做的好处,那么您可能需要考虑将事情保持原样。