(Sono stato in viaggio tutto il giorno e mi sono perso saltando su questo ... Eppure, in ritardo al gioco vedrò cosa posso fare.)
Generalmente si creano VLAN in Ethernet e si mappano le sottoreti IP da 1 a 1 su di esse. Ci sono modi per non farlo, ma restando fedeli a un mondo strettamente "semplice", si creerebbe una VLAN, si potrebbe pensare a una sottorete IP da utilizzare nella VLAN, assegnare a un router un indirizzo IP in quella VLAN, collegare quel router a la VLAN (con un'interfaccia fisica o un'interfaccia virtuale virtuale sul router), connette alcuni host alla VLAN e assegna loro gli indirizzi IP nella sottorete che hai definito, e instrada il loro traffico dentro e fuori dalla VLAN.
Non dovresti iniziare a subnetting di una LAN Ethernet a meno che tu non abbia buoni motivi per farlo. I due motivi migliori sono:
Mitigare i problemi di prestazioni. Le LAN Ethernet non possono ridimensionarsi indefinitamente. Trasmissioni eccessive o allagamenti di frame verso destinazioni sconosciute ne limitano la portata. Entrambe queste condizioni possono essere causate dal fatto di rendere un singolo dominio di trasmissione in una LAN Ethernet troppo grande. Il traffico di trasmissione è facile da capire, ma l'inondazione di frame verso destinazioni sconosciute è un po 'più oscuro. Se disponi di così tanti dispositivi che le tue tabelle MAC dello switch sono straripanti, gli switch saranno costretti a inondare i frame non broadcast fuori da tutte le porte se la destinazione del frame non corrisponde a nessuna voce della tabella MAC. Se disponi di un dominio di trasmissione singolo sufficientemente grande in una LAN Ethernet con un profilo di traffico che ospita gli host, parla di rado (ovvero
Il desiderio di limitare / controllare il traffico in movimento tra host a livello 3 o superiore. Puoi fare un po 'di pirateria informatica esaminando il traffico al livello 2 (ala Linux ebtables) ma questo è difficile da gestire (perché le regole sono legate agli indirizzi MAC e la modifica delle schede di rete richiede modifiche alle regole) può causare comportamenti che sembrano davvero strani il proxy trasparente di HTTP a livello 2, ad esempio, è strano e divertente, ma è assolutamente non naturale e può essere molto intuitivo per la risoluzione dei problemi), ed è generalmente difficile da eseguire a livelli inferiori (perché gli strumenti di livello 2 sono come stick e rocce nel gestire le preoccupazioni di livello 3+). Se si desidera controllare il traffico IP (o TCP, o UDP, ecc.) Tra host, anziché attaccare il problema al livello 2, è necessario eseguire la subnet e attaccare firewall / router con ACL tra le sottoreti.
I problemi di esaurimento della larghezza di banda (a meno che non siano causati da pacchetti di trasmissione o inondazioni di frame) non vengono risolti con VLAN e sottoreti in genere. Si verificano a causa della mancanza di connettività fisica (troppo poche schede di rete su un server, troppo poche porte in un gruppo di aggregazione, necessità di passare a una velocità di porta più veloce) e non possono essere risolte eseguendo la subnet o la distribuzione di VLAN dal momento che ha vinto aumenta la quantità di larghezza di banda disponibile.
Se non hai nemmeno qualcosa di semplice come MRTG che esegue la rappresentazione grafica delle statistiche del traffico per porta sui tuoi switch, questo è davvero il tuo primo ordine di attività prima di iniziare a introdurre potenziali colli di bottiglia con sottoreti intenzionali ma non informate. Il conteggio dei byte non elaborati è un buon inizio, ma dovresti seguirlo con uno sniffing mirato per ottenere maggiori dettagli sui profili di traffico.
Una volta che sai come si sposta il traffico sulla tua LAN, puoi iniziare a pensare alla sottorete per motivi di prestazioni.
Per quanto riguarda la "sicurezza", dovrai sapere molto sul tuo software applicativo e su come parla prima di poter procedere.
Ho fatto un progetto per una LAN / WAN di dimensioni ragionevoli per un cliente medico alcuni anni fa e mi è stato chiesto di mettere elenchi di accesso sull'entità di livello 3 (un modulo supervisore Cisco Catalyst 6509) per controllare il traffico che si sposta tra le sottoreti da un " ingegnere "che aveva poca conoscenza di quale tipo di legwork avrebbe effettivamente richiesto ma era molto interessato alla" sicurezza ". Quando sono tornato con una proposta di studio di ciascuna applicazione per determinare le porte TCP / UDP e gli host di destinazione necessari, ho ricevuto una risposta scioccata dall'ingegnere affermando che non dovrebbe essere così difficile. L'ultima volta che ho sentito che eseguono l'entità layer 3 senza elenchi di accesso perché non sono stati in grado di far funzionare in modo affidabile tutto il loro software.
La morale: se hai davvero intenzione di provare a abbattere pacchetti e accesso a livello di flusso tra VLAN, preparati a fare un sacco di legwork con il software applicativo e l'apprendimento / reverse engineering su come dialoga in rete. Limitare l'accesso degli host ai server può essere spesso realizzato con funzionalità di filtro sui server. Limitare l'accesso sul filo può fornire un falso senso di sicurezza e gli amministratori indolenti in un compiacimento in cui pensano "Beh, non ho bisogno di configurare l'app. In modo sicuro perché gli host che possono parlare con l'app sono limitati da" Rete'." Ti incoraggio a controllare la sicurezza della configurazione del tuo server prima di iniziare a limitare la comunicazione da host a host sulla rete.