it-swarm-ko.tech

언제 네트워크 서브넷을 시작해야합니까?

어떤 조건에서 네트워크 서브넷을 고려하기 시작합니까?

몇 가지 일반적인 경험 법칙을 찾고 있거나 고려해야 할 서브넷을 만드는 측정 가능한 메트릭을 기반으로 트리거를 찾고 있습니다.

37
Adam Davis

재미있는 질문.

과거에는 완전히 전환 된 네트워크가 출현하기 전에 네트워크를 서브넷으로 나누는 것에 대한 주요 고려 사항은 단일 충돌 도메인의 노드 수를 제한하는 것과 관련이있었습니다. 즉, 노드가 너무 많으면 네트워크 성능이 최고에 도달하고 과도한 충돌로 인해 과부하로 인해 붕괴 될 수 있습니다. 배포 할 수있는 정확한 노드 수는 많은 요인에 따라 달라 지지만 일반적으로 사용 가능한 총 대역폭의 50 % 이상을 넘어서 충돌 도메인을 정기적으로로드 할 수없고 여전히 네트워크를 항상 안정적으로 유지할 수 있습니다. 그 당시 네트워크의 50 개 노드는 많은 노드였습니다. 사용량이 많은 사용자의 경우 서브넷을 시작하기 전에 20 개 또는 30 개의 노드를 차지했을 수 있습니다.

물론 완전히 전환 된 전이중 서브넷을 사용하면 충돌이 더 이상 문제가되지 않으며 일반적인 데스크톱 유형 사용자를 가정하면 일반적으로 아무런 문제없이 단일 서브넷에 수백 개의 노드를 배포 할 수 있습니다. 다른 답변에서 알 수 있듯이 브로드 캐스트 트래픽이 많으면 네트워크에서 실행중인 프로토콜/응용 프로그램에 따라 문제가 될 수 있습니다. 그러나 네트워크 서브넷이 반드시 브로드 캐스트 트래픽 문제를 해결하는 데 도움이되는 것은 아니라는 점을 이해하십시오. 많은 프로토콜은 이유 때문에 브로드 캐스트를 사용합니다. 즉, 네트워크의 모든 노드가 실제로 원하는 트래픽을 확인하여 원하는 애플리케이션 수준 기능을 구현해야하는 경우입니다. 브로드 캐스트 된 패킷이 다른 서브넷으로 전달되어 다시 브로드 캐스트되어야하는 경우 네트워크를 서브넷으로 서브넷에 연결하면 실제로 아무것도 사지 않습니다. 실제로 생각하면 두 서브넷 모두에 추가 트래픽 (및 대기 시간)이 추가됩니다.

일반적으로 오늘날 네트워크 서브넷의 주된 이유는 조직, 관리 및 보안 경계 고려 사항과 관련이 있습니다.

원래 질문은 서브넷 고려 사항을 트리거하는 측정 가능한 메트릭을 요구합니다. 특정 숫자와 관련하여 확실하지 않습니다. 이것은 관련된 '응용 프로그램'에 크게 의존 할 것이며 일반적으로 적용되는 트리거 포인트가 실제로 없다고 생각합니다.

서브넷을 계획 할 때 발생하는 경험 규칙과 관련하여 :

  • 각기 다른 조직 부서/본부의 서브넷을 고려하십시오. 특히 사소한 크기 (50 개 이상의 노드!?)가되기 때문입니다.
  • 다른 사용자 또는 노드 유형 (개발자, VoIP 장치, 제조 현장)과 다른 공통 응용 프로그램 세트를 사용하여 노드/사용자 그룹의 서브넷을 고려하십시오.
  • 보안 요구 사항이 다른 사용자 그룹의 서브넷 고려 (회계 부서 보안, Wi-Fi 보안)
  • 바이러스 발생, 보안 침해 및 피해 억제 관점에서 서브넷을 고려하십시오. 노출/위반되는 노드 수-조직에 허용 가능한 노출 수준은 얼마입니까? 이 고려 사항은 서브넷 간의 제한 라우팅 (방화벽) 규칙을 가정합니다.

그러나 서브넷을 추가하면 어느 정도의 관리 오버 헤드가 발생하고 한 서브넷의 노드 주소가 부족하고 다른 풀에 너무 많은 수의 메모리가 남아있는 등의 문제가 발생할 수 있습니다. 라우팅 및 방화벽 설정 및 공통 서버 배치 네트워크와 같은 것들이 더 많이 관여하게됩니다. 확실히, 각 서브넷 should는 더 복잡한 논리 토폴로지를 유지 관리하는 오버 헤드보다 큰 기존 이유가 있습니다.

33
Tall Jeff

단일 사이트 인 경우 수십 개 이상의 시스템이 없으면 귀찮게하지 않아도되며 아마도 불필요 할 수도 있습니다.

요즘에는 100Mbps 이상의 스위치를 사용하는 사람과 더 자주 1Gbps를 사용하는 사람과 함께 네트워크를 세그먼트 화하는 유일한 성능 관련 이유는 과도한 브로드 캐스트 트래픽이 발생하는 경우입니다 (예 : 2 % 이상).

다른 주요 이유는 보안, 즉 DMZ, 재무 용의 다른 서브넷 또는 VoIP 시스템의 별도 VLAN/서브넷)입니다.

7
Alnitak

준수 요구 사항 (예 : PCI)에 대한 범위를 제한하는 것은 네트워크의 일부를 분리하는 데 매우 좋은 촉매제입니다. 지불 승인/처리 및 재무 시스템을 분할하면 비용을 절약 할 수 있습니다. 그러나 일반적으로 작은 서브넷을 서브넷으로 사용하면 성능이 크게 향상되지는 않습니다.

7
Mark Turner

또 다른 이유는 서비스 품질과 관련이 있습니다. 음성 및 데이터 VLAN을 별도로 실행하여 VoIP 트래픽에 QoS를 쉽게 적용 할 수 있습니다.

알다시피, 나는이 질문에 대해 더 많이 생각했습니다. 고유 한 네트워크 (성능, 보안, QoS, DHCP 범위 제한, 브로드 캐스트 트래픽 제한 (보안 및 성능 관련) 모두)를 사용하여 새 네트워크를 설계해야하는 많은 이유가 있습니다.

그러나 서브넷으로 만 재 설계하기위한 메트릭을 생각하고 과거에 처리해야했던 네트워크를 생각할 때 생각할 수있는 것은 "와우, 네트워크를 완전히 엉망으로 만들어야 완전히 재 설계해야 할 것입니다. subnetting "의 경우입니다. 대역폭, 설치된 장치의 CPU 사용률 등과 같은 다른 많은 이유가 있습니다. 그러나 순수한 데이터 네트워크에서 자체 서브넷을 만드는 것만으로도 많은 성능을 얻을 수는 없습니다.

4
jj33

보안 및 품질 (주로 네트워크 세그먼트가 해당 노드를 지원할 수있는 한). 프린터 트래픽, 음성/전화, IT 운영 부서와 같은 격리 된 부서 및 물론 서버 세그먼트, 인터넷 연결 세그먼트 (인터넷 연결 서비스 당 하나는 "하나의 dmz가 수행 할 것"이 아니라 오늘날 널리 사용됨) 등을위한 별도의 네트워크입니다.

3
Oskar Duveborn

개인적으로, 레이어 3 세그먼테이션을 가능한 한 액세스 스위치에 가깝게 사용하고 싶습니다.

  • 나는 스패닝 트리를 좋아하지 않습니다 (악한 경우 매우 재미있는 일을 할 수 있습니다)
  • 특히 Windoze 네트워크에서 방송은 실제 문제입니다.
  • 개인 네트워크에는 많은 IP 공간이 필요합니다. :)
  • 더 저렴한 스위치조차도 유선 속도 라우팅 기능을 갖추고 있습니다. 왜 사용하지 않습니까?
  • 보안과 관련하여 삶을 더 쉽게 만듭니다 (예 : egde의 인증 및 ACL 등)
  • VoIP 및 실시간 컨텐츠를위한 향상된 QoS 가능성
  • IP에서 클라이언트의 위치를 ​​알 수 있습니다

두 개의 핵심 스위치/라우터가 충분하지 않은 더 크고 더 넓은 스프레드 네트워크에 관해서는 VRRP와 같은 일반적인 중복 메커니즘에는 많은 단점이 있습니다 (트래픽은 업 링크를 여러 번 통과합니다 ...). OSPF에는 없습니다.

se-small-broadcast-domains-approach를 지원해야하는 다른 많은 이유가있을 수 있습니다.

3
PEra

서버를 5 대가 아닌 네트워크를 구축하고 확장 할 것으로 예상되는 경우 최대한 빨리 라우팅을 시작하십시오. 너무 많은 네트워크는 유기적으로 성장하고 너무 많은 계층 2를 가지기 때문에 불안정하고 성장하기가 어렵습니다.

예 :

  • 동일한 네트워크 세그먼트에 두 개의 이름 서버가 있습니다. 이제 그중 하나를 다른 도시로 옮길 수 없습니다. 왜냐하면 그 Nice/24를 분할하거나 DNS의 번호를 다시 지정해야하기 때문입니다. 서로 다른 네트워크에 있다면 훨씬 쉽습니다. 나는 이것들이 세계에 대한 별도의 BGP 공지가되는 것에 대해 반드시 이야기하지는 않습니다. 이 예는 전국 ISP를위한 것입니다. 또한 서비스 제공 업체 영역의 일부는 "레지스트리에 새 DNS를 등록하기"만큼 쉽지 않습니다.
  • 레이어 2 루프는 엉덩이를 빨아 먹는다. 스패닝 트리 (및 VTP)도 마찬가지입니다. 스패닝 트리가 실패하면 (그리고 많은 경우가있을 때) 스위치/라우터 CPU의 플러딩으로 인해 트리가 모두 다운됩니다. OSPF 또는 IS-IS가 실패하면 (또는 다른 라우팅 프로토콜) 전체 네트워크가 중단되지 않으며 한 번에 한 세그먼트를 수정할 수 있습니다. 결함 격리.

간단히 말해서 : 스패닝 트리가 필요하다고 생각되는 지점까지 확장 할 때 대신 라우팅을 고려하십시오.

3
Thomas

조직의 범위가 중요하다고 생각합니다. 네트워크에 총 200 개 이하의 호스트가 있고 어떤 이유로 트래픽을 세그먼트화할 필요가없는 경우 왜 VLAN과 서브넷의 복잡성을 추가해야합니까? 그러나 범위가 클수록 더 의미가 있습니다.

일반적으로 필요하지 않은 네트워크를 분할하면 일부 작업이 더 쉬워 질 수 있습니다. 예를 들어 서버에 전원을 공급하는 PDU는 서버와 동일한 VLAN 또는 서브넷)이므로 서버 범위에서 사용되는 취약성 검색 시스템도 PDU를 검색합니다. PDU를 스캔 할 필요는 없으며 PDU를 구성하는 데 어려움이 있기 때문에 PDU를 DHCP로 사용하는 것이 좋을 것입니다. 그러나 서버와 동일한 VLAN, 그것은 매우 실현 가능하지 않습니다.

PDU에 대해 다른 VLAN)이 필요하지는 않지만 몇 가지 작업을보다 쉽게 ​​수행 할 수 있습니다.

나는 단지 VLAN이 의미가 있다고 생각합니다. 예를 들어 PDU에 자체 VLAN)을 주었을 때 항상 작은 그룹의 장치에 자체 VLAN을 제공해야한다는 의미는 아니지만이 경우에는 의미가있을 수 있습니다. 장치는 자체 VLAN)을 가질 필요가 없으며 그렇게하면 이점이 없으므로 그대로 두는 것이 좋습니다.

2
Webs