何时/为什么要开始子网划分网络？

在什么条件下才开始考虑将子网划分为子网？

我正在寻找一些通用的经验法则，或基于可衡量指标的触发器，这些指标可以使应该考虑的事物划分子网。

有趣的问题。

历史上，在完全交换网络出现之前，将网络划分为子网的主要考虑因素是限制单个冲突域中的节点数量。也就是说，如果节点太多，网络性能将达到峰值，并最终由于过多的冲突而在高负载下崩溃。可以部署的节点的确切数量取决于很多因素，但是通常来说，您无法定期将冲突域的负载加载到超过可用总带宽的50％的水平，并且网络始终保持稳定。那时网络上的50个节点很多。对于频繁使用的用户，您可能需要先增加20或30个节点，然后才能开始划分子网。

当然，使用完全交换的全双工子网，不再需要担心冲突，并且假设使用典型的桌面类型用户，通常可以在单个子网中部署数百个节点，而不会出现任何问题。正如其他答案所暗示的，拥有大量广播流量可能取决于网络上正在运行的协议/应用程序。但是，请了解将网络划分为子网并不一定能帮助您解决广播流量问题。许多协议使用广播是有原因的-也就是说，当网络上的所有节点实际上需要看到此类流量才能实现所需的应用程序级功能时。如果广播的数据包也需要转发到另一个子网并再次广播出去，那么简单地将网络划分为子网实际上并不会给您带来任何好处。

总体而言，今天，子网划分网络的主要原因与组织，管理和安全边界的考虑更多有关。

最初的问题要求提供可触发子网划分注意事项的可衡量指标。我不确定具体数目上是否有任何内容。这将极大地取决于所涉及的“应用程序”，而且我认为实际上并没有任何触发点。

相对于规划子网的经验法则：

• 考虑每个不同组织部门/部门的子网，尤其是当子网变得不平凡时（超过50个节点！！）。
• 考虑使用与其他用户或节点类型（开发人员，VoIP设备，生产车间）不同的通用应用程序集的节点/用户组的子网。
• 考虑具有不同安全要求的用户组的子网（确保会计部门安全，确保Wifi安全）
• 从病毒爆发，安全漏洞和破坏控制的角度考虑子网。暴露/破坏了多少个节点-您的组织可接受的暴露水平是多少？此考虑假设子网之间的限制性路由（防火墙）规则。

综上所述，添加子网会增加一定程度的管理开销，并可能导致与一个子网中的节点地址用尽以及另一个池中剩余的地址过多等有关的问题。网络之类的东西越来越多地参与其中。当然，每个子网应该具有对现有说远远超过维持更复杂的逻辑拓扑的开销的一个原因。

如果是单个站点，请不要打扰，除非您拥有几十个以上的系统，即使那样，它也可能是不必要的。

如今，每个人至少使用100 Mbps交换机，更频繁地使用1 Gbps，划分网络的唯一与性能相关的原因是，如果您遭受过多的广播流量（例如，> 2％，超出了我的脑袋）

另一个主要原因是安全性，例如面向公众的服务器的DMZ，用于财务的另一个子网或用于VoIP系统的单独的VLAN /子网。

限制您可能拥有的任何合规性要求的范围（即PCI）是分割网络某些部分的一个很好的催化剂。分割您的付款接受/处理和财务系统可以节省金钱。但是，一般来说，将小型网络划分为子网不会带来很多性能上的提升。

另一个原因是与服务质量相关的。我们分别运行语音和数据VLAN，以便我们可以轻松地将QoS应用于语音流量。

您知道吗，我已经在考虑这个问题。有很多充分的理由来设计使用不同网络的新网络（性能，安全性，QoS，限制DHCP范围，限制广播流量（这可能与安全性和性能相关））。

但是，当考虑到仅重新设计子网的度量标准，并考虑到我过去必须处理的网络时，我所能想到的就是“哇，那一定是一个真正弄乱的网络才能使我完全重新设计它用于划分子网 ”。还有很多其他原因-带宽，所安装设备的cpu利用率等。但是，仅在纯数据网络上进行子网划分通常不会带来大量性能

安全性和质量主要是（只要所讨论的网络段可以支持所讨论的节点）。一个单独的网络用于打印机流量，语音/电话，隔离的部门（例如IT Ops），当然还有服务器网段，面向Internet的网段（当今，每个面向Internet的服务都流行一个，而不仅仅是“一个dmz会做”）。

如果您希望扩大规模（正在建立一个网络，而不仅仅是5台服务器，那我们将这样做）将尽快开始路由。太多的网络不稳定且难以增长，因为它们是有机增长的，并且拥有太多的第2层资源。

例子：

• 您在同一网段上有两个名称服务器。现在您不能将其中一个移到另一个城市，因为那样一来，您就必须拆分/ 24或对DNS重新编号。如果它们位于不同的网络上，则容易得多。我并不是在谈论这些成为全世界的单独BGP宣告。此示例适用于全国性ISP。另请注意，服务提供商区域中的某些事情并不像“仅在注册商处注册新的DNS”那样简单。
• 第2层循环吮吸屁股。生成树（和VTP）也是如此。当生成树发生故障时（很多情况下会发生故障），由于淹没了交换机/路由器CPU，它将带走一切。当OSPF或IS-IS发生故障（或其他路由协议）时，它不会使整个网络崩溃，您可以一次修复一个网段。故障隔离。

简而言之：当您扩展到您认为需要生成树的位置时，请考虑使用路由。

就我个人而言，我喜欢将第3层细分尽可能地靠近访问开关，因为

• 我不喜欢“生成树”（如果您邪恶的话，可以使其做一些非常有趣的事情）
• 尤其是在Windoze网络上，广播是一个实际问题。
• 在专用网络上，您有很多IP空间要浪费:)
• 甚至现在更便宜的交换机都具有线速路由功能-为什么不使用它们呢？
• 在安全性方面（例如，egde上的Auth和ACL等）使生活更加轻松
• VoIP和实时内容的更好QoS可能性
• 您可以从其IP告诉客户端的位置

如果涉及到两个核心交换机/路由器不够用的更大/更广的传播网络，那么像VRRP这样的常规冗余机制有很多缺点（流量多次通过上行链路，...）OSPF则没有。

支持use-small-broadcast-domains -approach 的其他原因可能很多。

我认为组织的范围很重要。如果网络上总共有200台或更少的主机，并且由于某种原因不需要对流量进行分段，为什么还要增加VLAN和子网的复杂性？但是范围越大，它越有意义。

拆分通常不需要的网络可以使某些事情变得容易。例如，我们为服务器供电的PDU与服务器位于同一VLAN或子网中。这意味着我们在服务器范围内使用的漏洞扫描系统也会扫描PDU。没什么大不了的，但是我们不需要扫描PDU。同样，DHCP PDU的配置很麻烦，因为它很容易配置，但是由于它们现在与服务器位于相同的VLAN中，所以这不太可行。

尽管我们不需要用于PDU的另一个VLAN，但它可以使某些事情变得容易。这将涉及更多或更少的VLAN论点，并将永远持续下去。

我，我只是认为应该使用VLAN。例如，如果我们给PDU分配了自己的VLAN，这并不意味着我们总是必须给一小组设备提供他们自己的VLAN。但是在这种情况下，这可能是有道理的。如果一组设备不需要自己的VLAN，并且这样做没有任何优势，那么您可能要考虑只保留原样。