在什么情况下开始考虑子网划分?
我正在寻找一些基本的经验法则,或者是基于可衡量的度量标准的触发器,这些度量标准可以对应该考虑的事情进行子网划分。
有趣的问题。
历史上,在完全交换networking出现之前,将networking分为子网的主要考虑与限制单个冲突域中的节点数量有关。 也就是说,如果节点太多,您的networking性能将达到高峰,并且由于过度的冲突最终会在重负载下崩溃。 可以部署的节点的确切数量取决于许多因素,但是一般来说,无法定期将冲突域加载到可用总带宽的50%以上,并始终保持networking稳定。 networking上的50个节点当时是很多节点。 对于大量使用的用户,在需要启动子网划分之前,您可能已经在20或30个节点上占据了首位。
当然,在完全交换的全双工子网中,冲突不再是一个问题,并且假设典型的桌面types用户,通常可以在单个子网中部署数百个节点,而不会出现任何问题。 正如其他答案所暗示的,有很多广播stream量可能是一个问题,具体取决于您在networking上运行的协议/应用程序。 但是,了解networking划分并不一定能帮助您解决广播stream量问题。 许多协议使用广播是有原因的 – 也就是说,networking上的所有节点实际上都需要看到这样的stream量来实现所需的应用级function。 如果广播的数据包也需要转发到另一个子网并再次广播,那么只需简单地对networking进行子网划分实际上并不会为您购买任何东西。 实际上,如果您认真考虑,实际上会为两个子网添加额外的stream量(和延迟)。
一般来说,今天,networking划分的主要原因与组织,pipe理和安全边界考虑有关,而不是其他任何事情。
最初的问题要求提出可触发子网考虑因素的衡量标准。 我不确定是否有具体的数字。 这将取决于所涉及的“申请”,我认为实际上没有任何触发点可以适用。
相对于规划子网的经验法则:
综上所述,添加子网会增加一定程度的pipe理开销,并可能导致相对于一个子网中的节点地址用尽以及在另一个池中留下太多的问题等问题。路由和防火墙设置以及普通服务器在networking和这样的更多的参与,这样的事情。 当然,每个子网应该有一个存在的理由超过维护更复杂的逻辑拓扑的开销。
如果它是一个单一的网站,不要打扰,除非你有超过几十个系统,即使这样可能是没有必要的。
现在每个人都使用至less100 Mbps交换机,而且更经常使用1 Gbps,唯一与性能有关的原因是如果您的networking遭受过多的广播stream量(即大于2%),
主要的另一个原因是安全性,例如面向公众的服务器的DMZ,财务的另一个子网,或VoIP系统的单独的VLAN /子网。
限制任何合规要求的范围(例如PCI)对于细分networking的某些部分是一个很好的催化剂。 分割您的付款接受/处理和财务系统可以节省资金。 但是一般来说,划分一个小型networking并不会给你带来太多的性能。
另一个原因是服务质量相关。 我们分别运行语音和数据vlans,以便我们可以轻松地将QoS应用于voipstream量。
你知道,我一直在想这个问题。 devise一个使用不同networking(性能,安全性,QoS,限制DHCP范围,限制广播stream量(可以是安全性和性能相关))的新networking有很多很好的理由。
但是当考虑一个重新devise子网的指标,以及思考我过去必须处理的networking时,我所能想到的就是“哇,那真的会让一个networking搞砸,使我完全重新devise它用于子网划分 “。 还有很多其他的原因 – 安装设备的带宽,CPU利用率等等。但是仅仅在纯数据网上进行子网划分通常不会购买大量的性能
大多数安全和质量(只要有问题的网段当然可以支持有问题的节点)。 一个独立的打印机stream量,语音/电话networking,孤立的部门,如IT Ops,当然还有服务器部分,面向互联网的部分(每个面向互联网的服务都是当今stream行的,而不仅仅是“一个DMM将要做的”)等等。
如果您希望扩大规模(您正在build设一个networking,不只是5台服务器,那么我们将尽快开始路由)。 太多的networking是不稳定的,难以发展,因为它们有机地增长,并有太多的2层的东西。
例子:
所以简而言之:当你扩展到你认为需要生成树的地方时,请考虑路由。
就个人而言,我喜欢尽可能接近接入交换机的第3层分段,因为
如果涉及到两个核心交换机/路由器不够用的更大/更广泛的networking,像VRRP这样的正常冗余机制有许多缺点(stream量通过上行链路多次,…),OSPF没有。
可能有很多其他的理由来支持使用小广播域的方法。
我认为组织的范围很重要。 如果networking中总共有200个主机或者更less,并且stream量不需要由于任何原因而被分割,为什么增加VLAN和子网的复杂性? 但范围越大,就越有意义。
拆分通常不需要的networking可以使一些事情变得更容易。 例如,为服务器供电的PDU与服务器在同一VLAN或子网中。 这意味着我们服务器范围内使用的漏洞扫描系统也会扫描PDU。 不是一个大问题,但我们不需要扫描PDU。 同样,DHCP也是很好的select,因为它们很难configuration,但是由于它们和服务器在同一个VLAN中,所以这是不太可行的。
虽然我们不需要另一个VLAN的PDU,它可以使一些事情更容易。 而且这个问题会进入到更多的VLAN中,而这个问题将会一直持续下去。
我,我只是觉得VLAN有意义。 例如,如果我们为PDU提供了自己的VLAN,并不意味着我们总是必须为自己的VLAN提供小组设备。 但在这种情况下,这可能是有道理的。 如果一组设备不需要拥有自己的VLAN,并且没有这样做的好处,那么您可能需要考虑将事情保持原样。