在一个大的（ger）子网上潜在的stream量问题

我从事networkingpipe理方面的工作已经有一段时间了，但我想到了这一点：

子网上的200多个客户端10年前不是一个真正的问题，现在不会是现在，你仍然可以阅读所有的广播

这或多或less是真的。 在切换技术之前，子网划分占广播stream量的总量是一个严重的问题。 现在，虽然交换机在总体架构方面与集线器相比效率要高得多（即它们不会将每个数据包转发到每个端口），并且它们对于它们所具有的广播stream量更好。

我听说WAG号码，每个子网有500个客户端，你应该从哪里开始考虑子网划分，仅仅考虑stream量和广播领域的问题，但是如果企业级的交换硬件能够处理更多的话，我不会感到惊讶。 显然，由于每个人的工作量不同，再次testing和testing。

你仍然可以通过一个（非promisc）tcpdump来读取所有的广播，而不会变得模糊

如果您的IDS / IPS需要您手动读取广播stream量，那么您可能应该查看不同的IDS / IPS产品。 在决定你的子网大小应该是什么时，我不认为这是一个有效的考虑。

如果你只有50个客户，那么如果子网是/ 8或/ 24就没有什么区别。 它的客户数量相同，stream量相同。

对我来说似乎合乎逻辑。 抛开networking空间，你只有这么多的客户，他们只能生产这么多的stream量。

我当前的10.0.0.0/8子网（大约20个客户端和2个服务器都连接到同一台交换机），如果客户端受到恶意软件的攻击，就很容易超载，因为广播stream量的数量要比192.168.0.0/24子网

哇。 我会正确的大小你的子网，就像现在！

我将从我的其他答案复制/粘贴这个，但这是非常相关的在这里：你不是pipe理数百个主机。 您的解决scheme的复杂性应该反映环境的复杂性。 抵制诱惑过于聪明。 稍后你会感谢你。

其次，由于只有20个客户要进行广播，所以我不确定它是如何更vulnerable to overloading 。 当您考虑广播攻击或广播扇出时，限制因素通常不是广播域，而是生成stream量的节点，所以如果您的20个节点试图向252个IP地址或16,777,212个IP地址广播（其中的16,777,192个未被占用）相同数量的广播出去了。 现在，如果恶意软件在开始创buildIP地址时进行某种放大攻击，是的，您已经给了攻击者更多的空间来玩。 也许这就是你的安全人员正在做的事情。 信息安全是复杂的，我只是对这个领域有一个粗略的了解，所以如果你想更详细地探讨这个问题，也许Security.SE会更合适。

这个问题有很多“依赖”。

安全

如果您使用的是消费者networking设备，广播风暴，洪水和其他人当然也会担心。 然而，大多数企业networking设备却有办法处理这个问题。 根据您的供应商，您可能有“风暴控制”的选项。 与任何事情一样，这些选项需要testing，也可以有自己的操作行为（无论好坏）。

安全的另一个方面是围绕着按angular色分离系统并保持stream量隔离的能力。 随着时间的推移，这个概念也在不断发展，特别是在SDN，虚拟化等方面。根据组织的需求，VLAN划分本身可能是或者可能不是足够的安全隔离。 有很多特定于您的组织的条件来正确回答这个问题。

networking大小

20个主机的A / 8有点大，但从技术上来说，没有什么能阻止你这样做。 我担心的是networking的增长。 在某些情况下，您可能希望将此networking连接到其他networking，数据中心，办公室等。通过在您的位置使用整个/ 8，您必须将所有stream量NAT到10/8的其他networking。 通常情况下，人们会调整他们的networking，以便他们可以为每个位置分配一个“标准大小”子网，并使用WAN或VPN网状互连，每个位置都有防火墙规则，允许特定服务根据angular色，等等

如果你真的开始填充一个大的局域网，那么在某些时候，你需要增加服务器和工作站的限制，以允许更大的ARP表，并尽量减lessARP条目的垃圾收集，以避免过多的ARP更新。 networking中的所有接入和分配交换机也是如此。 当您开始填充非常大的广播域时，每个服务器/工作站操作系统和每个networking供应商将展现不同的行为。

我自己的大VLAN的经验

我参与的最大的人口稠密的networking是一个22。 我们遇到的唯一问题是依靠多播stream量的快速响应的服务。 即使增加服务器的ARP限制也不足以解决这个问题。 我们必须调整我们的networking到更小的VLAN，并改变我们的应用程序的configuration，以减less组播。