いくつのVLANが少なすぎ、多すぎますか？

組織内の誰かが、VLANを作成する理由とそれに関連する長所/短所を理解せずにVLANを作成したいようです。少なくとも非常識な「部屋のためのVLAN」のばかばかしさがあるため、測定を行う必要があり、これを行う前に実際の理由を考え出す必要があるようです。

理由がある場合を除き、イーサネットLANをVLANに分割しないでください。最良の2つの理由は次のとおりです。

• パフォーマンスの問題の軽減。イーサネットLANは無制限に拡張できません。不明な宛先への過度のブロードキャストまたはフレームのフラッディングは、それらのスケールを制限します。これらの条件のいずれかは、イーサネットLANの単一のブロードキャストドメインを大きくしすぎることによって引き起こされる可能性があります。ブロードキャストトラフィックは理解しやすいですが、不明な宛先へのフレームのフラッディングはもう少しあいまいです（あまりにも多く、ここにいる他のポスターはどれもそれについて言及していません！）。デバイスの数が多すぎてスイッチのMACテーブルがオーバーフローしている場合、フレームの宛先がMACテーブルのエントリと一致しないと、スイッチは非ブロードキャストフレームをすべてのポートにフラッディングします。イーサネットLANに、ホストトークの頻度が低い（つまり、スイッチのMACテーブルからエントリが期限切れになるほどまれに）トラフィックプロファイルのある十分に大きな単一のブロードキャストドメインがある場合、フレームの過剰なフラッディングが発生する可能性もあります。 。

• レイヤー3以上のホスト間を移動するトラフィックを制限/制御したい。レイヤー2（ala Linux ebtables）でトラフィックを調べるハッカーを実行できますが、これは管理が困難です（ルールがMACアドレスに関連付けられており、NICを変更するとルールの変更が必要になるため）、実際には非常に奇妙な動作（たとえば、レイヤー2でのHTTPの透過プロキシは奇妙で楽しいですが、まったく不自然であり、トラブルシューティングするのが非常に直感的ではない場合があります）、一般に下位レイヤーで行うことは困難です（レイヤー2ツールはスティックのようなものであるため）レイヤー3+の問題への対処に大きな影響を与えました。レイヤー2の問題を攻撃するのではなく、ホスト間のIP（またはTCP、UDPなど）トラフィックを制御する場合は、サブネット化して、ファイアウォール/ルーターをサブネット間のACLで固定する必要があります。

帯域幅枯渇の問題（ブロードキャストパケットやフレームのフラッディングが原因でない限り）は、通常VLANでは解決されません。これらは物理接続の欠如（サーバー上のNICが少なすぎる、アグリゲーショングループ内のポートが少なすぎる、より速いポート速度に移行する必要がある）が原因で発生し、VLANをサブネット化またはデプロイすることで解決できない利用可能な帯域幅の量を増やしません。

MRTGがスイッチ上でポートごとのトラフィック統計のグラフを実行するような単純なものさえない場合、それは潜在的に開始する前の実際のビジネスの最初の注文です導入意図的だが情報のないVLANセグメンテーション。生のバイト数は適切な出発点ですが、トラフィックプロファイルの詳細を取得するには、対象を絞ったスニッフィングでフォローアップする必要があります。

トラフィックがLAN上でどのように移動するかがわかったら、パフォーマンス上の理由からLANのセグメント化について考え始めることができます。

VLAN間のパケットおよびストリームレベルのアクセスを実際に試してボタンダウンする場合は、アプリケーションソフトウェアを使用して多くのレッグワークを実行し、ネットワークを介して通信する方法を学習/リバースエンジニアリングする準備をしてください。ホストからサーバーへのアクセスを制限することは、多くの場合、サーバーのフィルタリング機能で実現できます。ネットワーク上でのアクセスを制限すると、誤った安心感がもたらされ、管理者が「まあ、アプリを安全に設定する必要はありません。アプリと通信できるホストは、通信網'。"ネットワーク上のホスト間の通信を制限する前に、サーバー構成のセキュリティを監査することをお勧めします。

通常、イーサネットでVLANを作成し、IPサブネットを1対1でそれらにマッピングします。 [〜＃〜] lot [〜＃〜]と記述しているIPサブネットが必要であり、多くのルーティングテーブルエントリが必要になる可能性があります。 VLSMでこれらのサブネットをより適切に計画して、ルーティングテーブルエントリを要約します。

（はい、はい-VLANごとに個別のサブネットを使用しない方法がありますが、厳密に「単純なバニラ」の世界では、VLANを作成し、VLANで使用するIPサブネットを考え、ルーターを割り当てますそのVLANのIPアドレス、そのルーターをVLANに接続し、ルーターの物理インターフェイスまたは仮想サブインターフェイスを使用して、一部のホストをVLANに接続し、定義したサブネットのIPアドレスを割り当てます。 VLANの内外にトラフィックをルーティングします）。

VLANは、ブロードキャストトラフィックを制限する場合にのみ役立ちます。何かが大量のブロードキャストを行う場合は、それを独自のVLANに分離します。それ以外の場合は、気にしません。同じネットワーク上にあるライブシステムを仮想化して複製し、同じアドレス範囲を使用したい場合は、別のVLANを使用する価値があります。

VLANは、追加のセキュリティレベルとして適しています。 3Comがどのように処理するかはわかりませんが、通常、さまざまな機能グループをさまざまなVLANにセグメント化できます（たとえば、アカウンティング、WLANなど）。その後、特定のVLANにアクセスできるユーザーを制御できます。

同じVLANに多数のコンピュータがある場合、パフォーマンスが大幅に低下するとは思いません。部屋ごとにLANを部屋ごとに分割するのは実際的ではないと思いますが、3ComがどのようにLANを処理するかはわかりません。通常、ガイドラインはサイズではなく、セキュリティまたは操作です。

実際には、セキュリティや運用上の利点がない場合、LANを別のVLANに分割する理由さえありません。

ブロードキャストフラッドでネットワークを定期的に停止させる25のテストおよび開発グループがない限り、25の部屋ごとのVLANは24を超えすぎます。

明らかにあなたのSANには独自のVLANが必要であり、仮想システムのLANおよびインターネットアクセスと同じVLANとは異なります！すべてホストシステムの単一のイーサネットポートを介して行われるため、これらの機能の分割について心配する必要はありません。

パフォーマンスが不安定な場合は、電話とSANをVLANだけでなく、別のネットワークハードウェアに配置することを検討してください。

一般に、デバイスを隔離する必要がある場合（ユーザーが自分のラップトップを持ち込むことができるエリア、または保護する必要がある重要なサーバーインフラストラクチャがある場合など）、またはブロードキャストドメインが高すぎる。

ブロードキャストドメインは通常、100Mビットのネットワークで問題が発生し始める前に約1000台のデバイスになる可能性がありますが、比較的騒々しいWindows領域を扱っている場合は、250台のデバイスに下げます。

ほとんどの場合、今日のネットワークでは、この隔離（もちろん、ACLを使用した適切なファイアウォールによる）またはブロードキャストの制限を行わない限り、VLANは必要ありません。

また、不要なネットワークデバイスに到達するDHCPブロードキャストを防ぐのにも役立ちます。

名前解決ブロードキャスト、ARPブロードキャストなど、ブロードキャストトラフィックは常に存在します。重要なことは、ブロードキャストトラフィックの量を監視することです。総トラフィックの3〜5％を超える場合は問題です。

VLANは、（Davidが述べたように）ブロードキャストドメインのサイズを削減したり、セキュリティを確保したり、専用のバックアップネットワークを作成したりするのに適しています。これらは、実際には「管理」ドメインを意味するものではありません。さらに、VLANを実装することにより、ルーティングの複雑さとオーバーヘッドをネットワークに追加します。