(Bütün gün yoldaydım ve bunun üzerine atlamayı kaçırdım ... Yine de, oyunun sonlarına ne yapabileceğimi göreceğim.)
Genellikle Ethernet'te VLAN'lar oluşturur ve IP alt ağlarını 1'e 1 eşler. Bunu yapmamanın yolları var, ancak kesinlikle "düz bir vanilya" dünyasına yapışmak, bir VLAN oluşturmak, VLAN'da kullanmak için bir IP alt ağı düşünmek, bazı yönlendiriciye o VLAN'da bir IP adresi atamak, bu yönlendiriciyi bağlamak VLAN (fiziksel bir arabirim veya yönlendirici üzerinde sanal bir alt arabirim ile), bazı ana bilgisayarları VLAN'a bağlayın ve tanımladığınız alt ağda IP adresleri atayın ve trafiklerini VLAN'ın içine ve dışına yönlendirin.
Bunu yapmak için iyi nedenleriniz olmadıkça bir Ethernet LAN'ı alt ağlamaya başlamamalısınız. Bunun en iyi iki nedeni:
Performans sorunlarını azaltmak. Ethernet LAN'lar süresiz olarak ölçeklenemez. Aşırı yayınlar veya karelerin bilinmeyen hedeflere taşması ölçeklerini sınırlar. Bu koşullardan herhangi birine, Ethernet LAN'da tek bir yayın etki alanının çok büyük olması neden olabilir. Yayın trafiğinin anlaşılması kolaydır, ancak çerçevelerin bilinmeyen hedeflere taşması biraz daha belirsizdir. Anahtar MAC tablolarınızın taştığı anahtarları alırsanız, çerçevenin hedefi MAC tablosundaki girdilerle eşleşmiyorsa, anahtarlar yayın dışı kareleri tüm bağlantı noktalarından taşmaya zorlanır. Bir Ethernet LAN'da, trafik profilini nadiren barındıran (yani,
Katman 3 veya üzerindeki ana bilgisayarlar arasında hareket eden trafiği sınırlama / kontrol etme isteği. Katman 2'deki trafiği (ala Linux ebtables) inceleyerek bazı hackery'ler yapabilirsiniz, ancak bunun yönetilmesi zordur (çünkü kurallar MAC adreslerine bağlıdır ve NIC'leri değiştirmek kural değişikliklerini gerektirir) görünen, gerçekten garip davranışlara neden olabilir ( Örneğin, 2. katmandaki HTTP'nin şeffaf proxy'si garip ve eğlencelidir, ancak tamamen doğal değildir ve sorun gidermek için çok sezgisel olmayabilir) ve alt katmanlarda yapılması genellikle zordur (2. katman araçları çubuklara benzer ve katman 3+ endişeleri ile uğraşırken) Ana bilgisayar arasındaki IP (veya TCP veya UDP, vb.) Trafiğini 2. katmandaki soruna saldırmak yerine kontrol etmek istiyorsanız, alt ağlar arasında ACL'li güvenlik duvarlarını / yönlendiricileri alt ağa yapıştırmanız ve alt ağlar arasında yönlendirmelisiniz.
Bant genişliği tükenme sorunları (yayın paketlerinden veya çerçevelerin taşmasından kaynaklanmadığı sürece) tipik olarak VLAN'lar ve alt ağlarla çözülmez. Fiziksel bağlantı eksikliği (bir sunucuda çok az NIC, bir toplama grubunda çok az bağlantı noktası, daha hızlı bir bağlantı noktası hızına geçme ihtiyacı) nedeniyle oluşur ve kazanılandan bu yana VLAN'ları alt ağlar veya dağıtarak çözülemez. kullanılabilir bant genişliği miktarını arttırmaz.
Anahtarlarınızda bağlantı noktası başına trafik istatistiklerini grafik olarak çalışan MRTG gibi basit bir şey bile yoksa , iyi niyetli ama bilgisiz alt ağlarla darboğazları potansiyel olarak tanıtmaya başlamadan önce gerçekten ilk iş siparişinizdir . Ham bayt sayıları iyi bir başlangıçtır, ancak trafik profilleri hakkında daha fazla bilgi almak için hedeflenen koklama ile takip etmelisiniz.
LAN'ınızda trafiğin nasıl dolaştığını öğrendikten sonra performans nedeniyle alt ağları düşünmeye başlayabilirsiniz.
"Güvenlik" söz konusu olduğunda, uygulama yazılımınız ve devam etmeden önce nasıl konuştuğu hakkında çok şey bilmeniz gerekecek.
Birkaç yıl önce medcial bir Müşteri için resonably boyutta bir LAN / WAN için bir tasarım yaptım ve alt ağlar arasında hareket eden trafiği bir " aslında ne tür bir kaide gerektirdiğine dair çok az bilgisi olan ama "güvenlik" ile çok ilgilenen mühendis ". Gerekli TCP / UDP bağlantı noktalarını ve hedef ana bilgisayarları belirlemek için her uygulamayı incelemek için bir teklifle döndüğümde , "mühendis" den bu kadar zor olmaması gerektiğini belirten şok bir yanıt aldım. En son katman 3 varlığını erişim listesi olmadan çalıştırdıklarını duydum, çünkü tüm yazılımlarının güvenilir bir şekilde çalışmasını sağlayamadılar.
Ahlaki: Gerçekten VLAN'lar arasında paket ve akış düzeyinde erişimi denemeye ve düğmelere basmaya çalışacaksanız, uygulama yazılımı ve tel üzerinden nasıl konuştuğunu öğrenme / tersine mühendislik ile çok fazla çalışma yapmaya hazır olun. Ana bilgisayarların sunuculara erişimini sınırlamak, genellikle sunuculardaki filtreleme işleviyle gerçekleştirilebilir. Tel üzerindeki erişimi sınırlamak, güvenlik ve lull yöneticileri yanlış bir şekilde algılayabilir ve bu nedenle "Uygulamayı konuşabilen ana bilgisayarlar" ile sınırlı olduğundan uygulamayı güvenli bir şekilde yapılandırmam gerekmiyor. ağ'." Kablodaki ana bilgisayardan ana bilgisayara iletişimi sınırlamaya başlamadan önce sunucu yapılandırmanızın güvenliğini denetlemenizi öneririm.