(我整天都在路上,错过了参加这一比赛的机会。不过,在游戏后期,我将拭目以待。)
通常,您在以太网中创建VLAN,并将IP子网一对一映射到它们上。有很多方法不能做到这一点,但是要在一个严格的“普通香草”世界中创建一个VLAN,想出一个要在VLAN中使用的IP子网,为该VLAN中的某个路由器分配一个IP地址,然后将该路由器附加到VLAN(具有路由器上的物理接口或虚拟子接口),将某些主机连接到VLAN,并在您定义的子网中为它们分配IP地址,然后将其流量路由进出VLAN。
除非有充分的理由,否则您不应该开始对以太网LAN进行子网划分。最好的两个原因是:
缓解性能问题。以太网LAN不能无限扩展。广播过多或帧泛滥到未知的目的地将限制其规模。这两种情况中的任何一种都可能由于使以太网LAN中的单个广播域太大而引起。广播流量很容易理解,但是将帧泛洪到未知目的地则更加晦涩难懂。如果设备太多,导致交换机MAC表溢出,则如果帧的目的地与MAC表中的任何条目都不匹配,则交换机将被迫将非广播帧泛洪到所有端口。如果您在以太网LAN中有一个足够大的单个广播域,并且其流量配置文件不经常托管通话(即,
限制/控制在第3层或更高层的主机之间移动的流量的需求。您可以做一些黑客检查第2层(ala ebtables)上的流量,但这很难管理(因为规则绑定到MAC地址,而更改NIC则需要更改规则)可能导致看起来非常非常奇怪的行为(这样做例如,第2层的HTTP透明代理是古怪而有趣的,但是完全不自然,并且可能很不直观地进行故障排除),并且通常在下层很难做到(因为第2层工具就像棍子一样)和处理第3层以上关注的问题)。如果要控制主机之间的IP(或TCP或UDP等)流量,而不是在第2层上攻击问题,则应建立子网,并在子网之间使用ACL固定防火墙/路由器。
带宽耗尽问题(除非它们是由广播数据包或帧泛滥引起的)通常无法通过VLAN和子网划分来解决。之所以会发生这种情况,是因为缺乏物理连接(服务器上的NIC太少,聚合组中的端口太少,需要提升到更快的端口速度),因此无法通过子网划分或部署VLAN来解决。不会增加可用的带宽量。
如果您甚至没有像MRTG这样简单的东西在您的交换机上运行每个端口的流量统计图,这实际上是您的首要任务,那么在开始潜在地引入意图不充分但子网不明的瓶颈时,您就必须先行。原始字节计数是一个不错的开始,但是您应该在目标嗅探之后进行后续操作,以获取有关流量配置文件的更多详细信息。
了解了局域网中流量的流向后,出于性能原因,您可以开始考虑子网划分。
就“安全性”而言,在继续之前,您需要了解有关应用程序软件及其通讯方式的大量信息。
几年前,我为医疗客户设计了一个大小合理的LAN / WAN,并被要求将访问列表放在第3层实体(Cisco Catalyst 6509主管模块)上,以通过“工程师”,他实际上并不了解实际需要哪种支腿工作,但对“安全性”非常感兴趣。当我提出一项研究每个应用程序以确定必要的TCP / UDP端口和目标主机的建议时,我对“工程师”的回答感到震惊,并指出这不应该那么困难。我听说他们最后运行的是没有访问列表的第3层实体,因为他们无法使所有软件可靠地运行。
道理:如果您真的要尝试限制VLAN之间的数据包和流级别访问,请准备好使用应用程序软件进行大量工作,并学习/反向工程它在网络上的通信方式。通常,可以通过服务器上的筛选功能来实现主机对服务器的访问限制。限制对网络的访问会给人一种错误的安全感,并使管理员感到自满,他们认为“嗯,我不需要安全地配置该应用程序。因为可以与该应用程序进行通信的主机受到'the网络'。” 我建议您先审核服务器配置的安全性,然后再开始限制网络上的主机到主机通信。