(J'ai été sur la route toute la journée et j'ai raté de sauter sur celui-ci ... Pourtant, tard dans le match, je verrai ce que je peux faire.)
En général, vous créez des VLAN dans Ethernet et mappez les sous-réseaux IP 1 à 1 sur eux. Il existe des moyens de ne pas le faire, mais en restant dans un monde strictement "simple", vous créeriez un VLAN, imaginez un sous-réseau IP à utiliser dans le VLAN, attribuez à un routeur une adresse IP dans ce VLAN, connectez ce routeur à le VLAN (avec une interface physique ou une sous-interface virtuelle sur le routeur), connectez certains hôtes au VLAN et attribuez-leur des adresses IP dans le sous-réseau que vous avez défini, et acheminez leur trafic vers et depuis le VLAN.
Vous ne devez pas commencer à mettre en sous-réseau un LAN Ethernet à moins d'avoir de bonnes raisons de le faire. Les deux meilleures raisons sont:
Atténuation des problèmes de performances. Les réseaux locaux Ethernet ne peuvent pas évoluer indéfiniment. Des diffusions excessives ou des inondations d'images vers des destinations inconnues limiteront leur échelle. L'une ou l'autre de ces conditions peut être provoquée par un trop grand domaine de diffusion dans un LAN Ethernet. Le trafic de diffusion est facile à comprendre, mais l'inondation de trames vers des destinations inconnues est un peu plus obscure. Si vous obtenez autant d'appareils que vos tables MAC de commutateur sont débordantes, les commutateurs seront forcés d'inonder les trames non diffusées de tous les ports si la destination de la trame ne correspond à aucune entrée de la table MAC. Si vous disposez d'un domaine de diffusion unique suffisamment grand dans un réseau local Ethernet avec un profil de trafic qui héberge rarement (c'est-à-dire,
Désir de limiter / contrôler le trafic se déplaçant entre les hôtes au niveau 3 ou supérieur. Vous pouvez faire du piratage en examinant le trafic de la couche 2 (ala Linux ebtables) mais cela est difficile à gérer (car les règles sont liées aux adresses MAC et la modification des cartes réseau nécessite des changements de règles) peut provoquer ce qui semble être des comportements vraiment, vraiment étranges (faire Le proxy transparent de HTTP sur la couche 2, par exemple, est bizarre et amusant, mais est tout à fait naturel et peut être très intuitif à dépanner), et est généralement difficile à faire sur les couches inférieures (car les outils de la couche 2 sont comme des bâtons et des roches pour traiter les problèmes de la couche 3+). Si vous souhaitez contrôler le trafic IP (ou TCP, ou UDP, etc.) entre les hôtes, plutôt que d'attaquer le problème au niveau de la couche 2, vous devez créer un sous-réseau et coller des pare-feu / routeurs avec des ACL entre les sous-réseaux.
Les problèmes d'épuisement de la bande passante (à moins qu'ils ne soient causés par des paquets de diffusion ou une inondation de trames) ne sont généralement pas résolus avec les VLAN et les sous-réseaux. Ils se produisent en raison d'un manque de connectivité physique (trop peu de cartes réseau sur un serveur, trop peu de ports dans un groupe d'agrégation, la nécessité de passer à une vitesse de port plus rapide) et ne peuvent pas être résolus par le sous-réseau ou le déploiement de VLAN depuis cela a gagné 't augmenter la quantité de bande passante disponible.
Si vous n'avez même pas quelque chose de simple comme MRTG exécutant des statistiques de trafic par port sur vos commutateurs, c'est vraiment votre premier ordre du jour avant de commencer potentiellement à introduire des goulots d'étranglement avec un sous-réseau bien intentionné mais non informé. Le nombre d'octets bruts est un bon début, mais vous devez le suivre avec un reniflement ciblé pour obtenir plus de détails sur les profils de trafic.
Une fois que vous savez comment le trafic se déplace sur votre réseau local, vous pouvez commencer à penser au sous-réseau pour des raisons de performances.
En ce qui concerne la «sécurité», vous devrez en savoir beaucoup sur votre logiciel d'application et comment il fonctionne avant de pouvoir continuer.
Il y a quelques années, j'ai conçu un LAN / WAN de taille raisonnable pour un client médical et on m'a demandé de mettre des listes d'accès sur l'entité de couche 3 (un module de supervision Cisco Catalyst 6509) pour contrôler le trafic se déplaçant entre les sous-réseaux par un " ingénieur "qui ne comprenait pas vraiment le type de travail à effectuer, mais qui s'intéressait beaucoup à la" sécurité ". Quand je suis revenu avec une proposition d'étudier chaque application pour déterminer les ports TCP / UDP et les hôtes de destination nécessaires, j'ai reçu une réponse choquée de l '"ingénieur" déclarant que cela ne devrait pas être si difficile. Le dernier que j'ai entendu dire qu'ils exécutent l'entité de couche 3 sans liste d'accès car ils ne pouvaient pas faire fonctionner tous leurs logiciels de manière fiable.
Moralité: si vous voulez vraiment essayer de boutonner l'accès au niveau des paquets et des flux entre les VLAN, préparez-vous à faire beaucoup de travail avec les logiciels d'application et à apprendre / inverser l'ingénierie de la façon dont ils communiquent via le câble. La limitation de l'accès des hôtes aux serveurs peut souvent être accomplie avec une fonctionnalité de filtrage sur les serveurs. Limiter l'accès sur le câble peut fournir un faux sentiment de sécurité et calmer les administrateurs dans une complaisance où ils pensent "Eh bien, je n'ai pas besoin de configurer l'application. En toute sécurité car les hôtes qui peuvent parler à l'application. Sont limités par" le réseau'." Je vous encourage à vérifier la sécurité de la configuration de votre serveur avant de commencer à limiter la communication d'hôte à hôte sur le câble.