Широковещательный трафик и подсети, зачем нужен VLAN?

Question

[Warchik2107]

Добрый день!
Было много вопросов на эту тему, и на хабре и на реддите. Перечитал кучу комментариев и у меня сложилось такое впечатление, что люди сами не понимают о чём говорят. Так что попрошу не тыкать в прошлые темы - я все их уже видел.

Хочу поставить точку в этом вопросе как для себя, так и для тех, кто будет а дальнейшем этим интересоваться.

Есть 2 вопроса:

1. Как понять, что броадкаста в твоей сети много?

Есть какие-то конкретные метрики на этот счёт? Или удобные проверенные методы измерения. Если верить моему основному коммутатору Tp-Link в основном здании, то пакетов Broadcast относительно Unicast в статистике на аплинк порту лишь 0.18%. Но если я включу на своём компе Wireshark и поставлю фильтр eth.addr == ff:ff:ff:ff:ff:ff, то получу результат уже в 6-8% (если на фоне не будет никакого постоянного траффика). А если я возьму ноутбук, вставлю патчкорд напрямую в свитч в серверной, не делая никаких запросов в сеть, то Wireshark покажет уже около 30% броадкастов! Пока я не начну сам посылать какие-то запросы, тем самым изменив процентное соотношение в меньшую сторону, цифра будет расти. Так на что опираться?)
И да, частота мерцания лампочек на свитче - ну никак не метрика)))

2. Зачем из каждого утюга трубят про виланы?

Есть два здания, два офиса с хостами. Скажем, по 100 хостов в каждом, неважно. Находятся в одном сегменте сети, в одном широковещательном домене. Нет никаких вилан и т.д. Например я решил, что броадкаста много и что нужно сегментировать сеть. Как только заходишь в интернет читать статьи на этот счёт, все сразу пишут исключительно про виланы. Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами? Зачем мне настраивать виланы, если в конечном счёте всё равно придётся настраивать между ними маршрутизацию? Я чего-то не понимаю или люди мыслят статьями из википедии?

P.S.

Я понимаю, например, когда нужно выделить IP телефоны из разных физических точек одного сегмента сети в один логический сегмент, и чтобы не покупать отдельные под это свитчи и не тянуть отдельные кабеля - конечно я воспользуюсь виланами. Но зачем мне вилан если я просто хочу порезать броадкаст?
Ещё целая пачка людей думает, что когда задаётся вопрос про разницу вилан и подсети, то сразу начинает про "несколько подсетей в одном вилане". Я не знаю, в каком году такое делали, что у тебя в одном широковещательном домене гуляло несколько групп адресов с разными масками - про это вообще по-моему речи никто не вёл. Суть подобных вопросов, по-моему, всегда сводится к тому, что зачем мне вилан, если я могу просто выкинуть часть хостов на отдельный порт маршрутизатора и просто поселить их в другой сети. А комментаторов куда-то не туда уносит постоянно.

Спасибо!

Comments

[Ziptar]

vlan это не только инструмент изоляции ненужных бродкастов, но и инструмент изоляции устройств в разных вланах друг от друга на одном и том же сетевом оборудовании оборудовании. При всём при этом это очень простой инструмент, который очень легко использовать. Бродкасты проблемой могут являться в крупных сетях. Мелким и средним беспокоиться здесь особо не о чем.
При прочих равных лучше сегментировать сеть на l2 (vlan), а не на l3 (подсети), если это не несёт дополнительных издержек, а в большинстве случаев это так и есть. Дополнительная кевларовая подкладка под вашей деревянной бронёй на вашей драгоценной... ну да.

[Warchik2107]

Ziptar, ну, чтобы полноценно использовать виланы, нужно, чтобы все свитчи по пути траффика умели это делать, так ведь? А у меня не везде далеко это возможно.

[Ziptar]

Warchik2107, ну нет, значит нет. Если заменять свичи накладно без веской на то причины - то и дёргаться смысла нет. Не вопрос жизни и смерти. Хотя неуправляемым свичам место уже обычно непосредственно перед компьютерами-принтерами в отдельном кабинете, а не где-либо выше, так что разбить разные отделы/кабинеты по вланам это всё равно мешать не должно. А управляемые без поддержки 802.11q - это уже экзотика какая-то, кмк.

[hrabrahrabr]

чтобы все свитчи по пути траффика умели это делать, так ведь? А у меня не везде далеко это возможно.

не обязательно ,"тупые" (без управления) свичи не лезут в пакеты и не трогают теги, в общем "прозрачные" для вланов, но хосты подключенные к ним будут видеть только не тегированный влан и он должен быть одинаковый на всех соседних управляемых свичах. Иначе ломается логика сети.

Answer 1

[Rsa97]

Всё очень просто.
Ваш свитч видит пакеты от всех компьютеров, и относительно общего трафика, проходящего через него, броадкаст-пакетов 0.18%.
Ваш рабочий компьютер видит все броадкаст-пакеты, но только свой уникаст-трафик. Поэтому процент выше.
Компьютер, который сам не лезет в сеть, опят таки видит все броадкаст-пакеты, но почти не обменивается уникаст-пакетами. Отсюда и 30%.
Если вы поставите компьютер, на котором уникаст-трафика не будет то, очевидно, броадкаст-пакеты на нём будут занимать все 100%, даже если это будет один броадкаст-пакет в сутки.

Настраивать VLAN'ы исключительно для снижения броадкаст-трафика занятие глупое. VLAN нужен, когда вам надо логически отделить группу компьютеров в одной физической сети или организовать закрытый канал через несколько свитчей.

Comments

[Warchik2107]

Спасибо!
Про броадкасты: да, я это и имел ввиду. Так вот главный то вопрос: есть какой-то способ чтобы оценить объективно?

[Кирилл Антонов]

Ох как вы не правы vlan нужен для уменьшения броаткаст трафика так как чем больше устройств в сети чем чаще они начинают обновлять свою таблицу ARP и таких запросов очень много сам с этим сталкивался лично и пока был 1 vlan на все сеть падала стабильно и ПК тупит начинает от такого количества сообщений по этому когда сеть маленькая то это допустимо до 10 пк от 10 и выше делить на подсети чтобы уменьшить количество ARP запросов чтобы была l3 маршрутизация а если ко коммутаторы управляемые то можно настроить ограничения на этот тип трафика

[Rsa97]

lantonov, У меня в сети на сотню устройств никаких проблем с броадкастами нет. 10-20 пакетов в секунду, 4-8 kbit. Мизер для нормальных коммутаторов.

[Руслан Федосеев]

Причем тут broadcast? VLAN - это структура сети. Если вы управляете одним офисом на пару сотен компов то вам вланы скорее всего действительно не нужны. Если в вашем офисе вдруг заводится группа компов, которые работают с какой то конфиденциальной информацией - вы ессно захотите отделить их в отдельную сеточку. И чтобы не тянуть дополнительный комплект кабелей - просто разложите все по разным вланам. Ну или если у вас в сети есть 10-к управляемых свичей - вы захотите управление свичами вынести в отдельную сеточку, чтобы не пускать к ним шаловливые ручонки обычных пользователей? И так далее и тому подобное...
Но, вам никто не мешает взять и прям 10.0.0.0/8 в качестве сети использовать. И все в одну плоскую сеть отправлять )
А количество броадкаста... На нормальной сети у вас и мониторинг есть. И меряете вы нагрузку не в непонятных процентах, а в используемой полосе... И видите нагрузку и на порты, и на процессоры оборудования..,....

[Drubanda]

lantonov, Расскажите как измеряли нагрузку, пока был 1vlan и какого значения она достигала в тот момент, когда начинали тупить компы. Сколько было компьютеров в сети и что за коммутаторы использовались?

[Кирилл Антонов]

Drubanda, snmp программа мониторигга nedi и коммуты управляемые все cisco dlink zyxel не управляемые боде были но их не много а там еть уже где можно глянуть процент в реальном времени и там было примерно 20 % трафика это броаткаст точно не помю эот было давно а сть ложилсь стабиьно сам перезагрузал коммуты так они не отвечали на запросы

Answer 2

[Dmitry]

vlan - это сегменатация сети на логическом уровне.

Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами?

- сегментация сети на физичском уровне
зачем нужна и когда применять:
- для безопасности. Разные устройство подвержены разным векторам атаки. Разделив их в разные сети и закрыв трафик между сетями фаерволом вы либо исключите вектор атаки либо снизите его влияние. Пример: Пользак скачал какой-то файл, которые не задетектил антивирь, запустил его, этот файл нашел в сети принтер, воспользовалься его уезвимостью, развернул на нем бэкдор и подключил тунель для атакуещего. Атакующий попал в сеть, и спокойно с принтера продолжает ее иследовать и искать другие уязвимости. Если вы сегментируете сеть рабочих станций и принтеров, закроете доступ в сеть принтеров по всем портам кроме тех, что нужны для работы с ними, а из сети принтеров запретите выход в интернет - это исключит этот вектор атак.
- для балансировки нагрузки, если у вас есть IP телефоны которые работают с внешним IP АТС сервером, вы можете настроить QoS конктретно для сети, что бы обеспечить резерв по пропускной способности внешнего канала, что повысить качество голосового трафика.
- для отказоустойчивости, если в одном из сегментов сети возниктит сетевой инцидент, он не затронет другие сегменты. К примеру, сетевой шторм (когда сделали колько на коммутаторе). Если в сети есть не управляемые коммутаторы, не оснащенные защитой от шторма, это может вызвать проблему по всей сети, пока не сработает защита, если она есть.
- для порядка, делать vlan под разные устройства, и под разные направления дейтельности - все равно, что в шкафу раскладывать по разным полкам одежду, просто удобно с этим работать

Обслуживать vlan проще чем сегментацию на физическом уровне.

Comments

[Warchik2107]

Спасибо за развернутый ответ, но с последним тезисом я не соглашусь. У меня такая специфика предприятия, что всё меняется каждую неделю. Компы, принтеры и рабочие места постоянно переезжают с места на место. Часто приходится подключать целые кабинеты (включая и компы и принтеры) на вайфай потому что знать не знал вчера, что там сегодня кто-то будет сидеть. А завтра они снова переедут. К тому же, много рабочих мест (пк+принтер) разбросано по территории и висят на отдельных 5-8 портовых свитчах. И сегодня я не знаю, какой прикол придумает руководство завтра. Сегодня в задании сидит целый отдел, а завтра это здание сносят, потому что оно мешает. Серьёзно, такое было. Поэтому, как в такой обстановке "грамотно" разруливать сеть виланами по типам устройств, я не знаю, и даже боюсь представлять))) Единственное, на что я влияю в полной мере - это серверная в главном здании, куда приходит 15+ оптических линий с территории, стоит центральное сетевое оборудование и сервера. Проще говоря, с полной уверенностью могу рулить только ядром сети. Такие вот дела

[Ziptar]

Warchik2107, ну в такой ситуации и не надо дергаться. Когда дурное начальство создает хаос - тут не до жиру. Тут бы ipsec тотально на все подключения нужен бы по уму, но вот это уже накладно.

[Руслан Федосеев]

Выкидывать неуправляемое железо, нормально проектировать сеть.... Но в вашем случае это судя по всему не взлетит. До тех пор, пока очередной шифровальщик не положит все....

Answer 3

[nApoBo3]

1. VLAN - первое слово виртуальный. Любая виртуализацию это уплотнение использование ресурсов и централизация управления. С точки зрения разделения ресурсов вы можете добиться того же эффекта физическим оборудованием.
2. Два порта mikrotik вы соедините их в мост, тогда у вас не будет разделения домена, или вам их нужно разделять на третьем уровне.
3. На мой субъективный взгляд одна из основных функции vlan принудительное совпадение l3 и l2 доменов. Без этого, например, у вас не будет работать защита от ip спуфинга.
4. Разделение бродкаст домена, в современных сетях, задача достаточно специфическая, на данный момент такой трафик редко создаёт проблему в реальных инсталляциях. Но может очень сильно выстрелить в специфических конфигурациях и искать эту проблему сложно.

Comments

[Warchik2107]

2. Два порта mikrotik вы соедините их в мост, тогда у вас не будет разделения домена, или вам их нужно разделять на третьем уровне.

Ну да, я ж написал, что в отдельные подсети) Точно не в мост, иначе какой смысл)

Спасибо за ответ)

Answer 4

[Александр Григорчук]

1. У Романа Козлова ( телега @Soriel ) был интересный доклад, он предлагал пилить локальную сеть предприятия на много маленьких сегментов и по 3 уровню общаться друг с другом и внешним миром... посмотрите его видение может оно Вам подойдет ...

2. Телефоны например умеют работать с тегированным трафиком, так что можно настроить порт коммутатора так чтоб если туда подключался ПК он находился в одной сети и в тот же порт воткнутый телефон сразу попадал в свою сеть телефонии. Есть конечно и коммутаторы которые видят мак адрес устройства и по маске могут подсунуть в порт с ним нужный влан. В общем и целом технология нужная...

Comments

[Warchik2107]

Спасибо! Очень лаконичный и ёмкий ответ)

Answer 5

[Юрий MikroTik]

Когда принтер, камера или телефон начнут "cp@ть" в сеть и положат всю локалку, тогда придет понимание сегментации на вланы, вплоть до этажей или отделов.

Comments

[Warchik2107]

окей, никто не против сегментации, но так почему ИМЕННО на vlan а не подсети на маршрутизаторе? Суть вопроса в том, почему именно vlan?
в конечном счёте всё равно маршрутизацию настраивать

[Юрий MikroTik]

Warchik2107, что подразумеваешь подсети на маршрутизаторе?

[Warchik2107]

Юрий MikroTik, а можно подразумевать что-то разное под этим понятием?) На каждый порт назначу свою подсеть для каждого этажа или здания, свой DHCP сервер, свой пул адресов, чтобы общаться они могли только через микрот. Получу ту же сегментацию сети только централизованную в одном месте.

[Юрий MikroTik]

Warchik2107, ок
Сколько нужно коммутаторов? Что делать если понадобится ещё одна сеть?
По твоей схеме работать будет, но экономически не целесообразно.

[Warchik2107]

Юрий MikroTik, понял тебя) ну у меня лично специфика предприятия такая) я выше в комментах к другому ответу писал про это)

[Руслан Федосеев]

Не путайте L3 и L2. У вас микротик и вы почему то решили, что везде так...
Нормальный роутер - это несколько портов.
Нормальный коммутатор - это несколько десятков портов...

[ValdikSS]

Warchik2107,

На каждый порт назначу свою подсеть для каждого этажа или здания, свой DHCP сервер, свой пул адресов, чтобы общаться они могли только через микрот. Получу ту же сегментацию сети только централизованную в одном месте.

У вас роутер или L3-свитч? В таком случае «назначу подсеть на порт» — это и есть VLAN.
Свитч (элемент внутри маршрутизатора) заведёт под этот порт отдельный VLAN, и будет отдавать процессору маршрутизатора тегированные фреймы с него.

Если вы с обычным L2-свитчем назначите на компьютерах разные подсети, то это никак не повлияет на доставку broadcast-трафика — он работает на уровне L2, а значит и сеть нужно разделять на уровне L2, а не L3 (IP-адресов).

Answer 6

[ky0]

Чтобы понять, "много ли броадкаста", нужно сначала понять "почему мне это стало интересно". Если есть какие-то прикладные последствия (нагрузка процессора на устройствах, утилизация канала) - нужно плясать от них и оценивать, разумеется, не в процентах, а в количестве пакетов в секунду. И метрики оценивать не единоразово, а в динамике.

А если вам просто интересно - объективного ответа не будет.

Comments

[Warchik2107]

Почему мне стало это интересно - правильный вопрос. В сети постоянно увеличивается количество хостов и последнее время начал замечать непонятные глюки, и люди начали жаловаться. Долго открываются веб страницы, ни с того ни с сего отваливаются сетевые принтеры. Хостов на винде около 100 + около 150 камер видеонаблюдения (на отдельных проводах и свитчах но в одном сегменте, делали до меня) + клиенты вайфай и т.д. по мелочи

Сеть 1 гбит. Сейчас заказал два новых управляемых свитча tp-link tl-sg3428x в основное здание с пропускной способностью 128 гбит/с, бцдут стоять на разных этажах и хочу соединить их с микротом-шлюзом кабелями DAC 10 гбит

а те что стоят уйдут на менее важные объекты

Из-за большого количества камер по территории очень много мультикаст траффика. Ещё нет централизованного сервера и каждый смотрит камеры на своём клиенте через ivms. Думаю вот перетащить их на единый сервер хотябы по RDP.

Естественно, первая мысль при появлении непонятных плавающих проблем в сети - оборудование не справляется с трафиком и сразу подозрение на броадкасты. Как бы теперь провести правильную диагностику)

[Akina]

Warchik2107,

В сети постоянно увеличивается количество хостов и последнее время начал замечать непонятные глюки, и люди начали жаловаться. Долго открываются веб страницы, ни с того ни с сего отваливаются сетевые принтеры. Хостов на винде около 100 + около 150 камер видеонаблюдения (на отдельных проводах и свитчах но в одном сегменте, делали до меня) + клиенты вайфай и т.д. по мелочи

Ваша проблема - не бродкасты. 150 видеокамер генерируют ну очень немало трафика. А с учётом того, что

Ещё нет централизованного сервера и каждый смотрит камеры на своём клиенте через ivms.

у вас просто сеть не справляется с потоком трафика. Отсюда и лаги.

PS. У меня в сети на 3 площадках более 400 камер и 7 видеосерверов (плюс 300 клиентов, полсотни сетевых принтеров, полтораста IP-телефонов и т.п.). Всё видео в отдельном VLAN, включая отдельный магистральный транк, доступ к видеоинформации только через серверы. Проблем - никаких.

[hrabrahrabr]

Warchik2107,

100 + около 150 камер видеонаблюдения (на отдельных проводах и свитчах но в одном сегменте, делали до меня) + клиенты вайфай и т.д. по мелочи
Сеть 1 гбит.

Ваша проблема не броадкаст трафик , а уникаст. Вы не контролируете какие потоки куда у вас идут. Те же 150 камер генерируют много больше 1Гб/с в одну сторону - до серверов. Отсюда "бутылочные горлышки" (почему то все забивают на этот термин) на аплинках в сторону ядра/серверов. Поставь мониторинг типа забикса и посмотри реальный трафик.

заказал два новых управляемых свитча tp-link tl-sg3428x в основное здание с пропускной способностью 128 гбит/с, бцдут стоять на разных этажах и хочу соединить их с микротом-шлюзом кабелями DAC 10 гбит

ДАС кабель всего 10 метров максимум.
Нужна оптика.
Микрот это граничный роутер? Глупая идея нагружать его чисто внутренним трафиком.
Про "бутылочные горлышки ":
128 Гб/с это когда одновременно половина портов кидает трафик в другую половину, однако в реальной жизни такого никогда не будет, все порты с хостами (99%) кидают трафик только в один порт - аплинк в сторону вышестоящего свича/роутера , если он всего 1гб/с то и реальная пропускная способность свича всего 1гб/с.
Поэтому аплинк делают на порядок скоростнее чем хостовые, 10гб/с и выше. А ещё "тимминг" = портченелл, два и более портов как один , между свичами.

И да у меня сеть поболе будет и поделена файрволами , роутерами и свичами 2 и 3 уровня на много мелких подсетей в через маршрутизацию и вланы. В первую очередь для безопасности. Во вторую для уменьшения паразитного трафика броадкаст и уникаст.

[Warchik2107]

hrabrahrabr, Спасибо большое за ответ! DAC кабелями соединяю оборудование между этажами и оборудование в одной северной. Сейчас покупаю как раз управляемые свитчи и переделываю физическую топологию так, чтобы можно было поднимать виланы в основном задании и между зданиями, где протянуто всего одно волокно. Камеры планирую выкинуть в отдельный вилан. Вайфай точки доступа - в другой (т.к. они раскиданы по территории, но должны быть с контроллером в одной сети). Пока начну с этого. Дальше на опыте уже буду докупать оборудование и разруливать, благо бабки дают на это)

Answer 7

[rpaltaev]

1. Как понять, что броадкаста в твоей сети много
Когда он забивает всю пропускную способность порта - это много )))
А если серьезно, то надо понимать а сколько его должно вообще быть с имеющимся оборудованием. Нужно понимать - а что происходит с броадкаст трафиком?!
Ответ он дублируется на все порты в одном l2 домене, кроме того с которого он пришел. Если вы не сегментируете сети, то всплеск бродкаста в 100мб может положить всю сеть в вашем случае- завалив cpu коммутаторов, пропускную способность портов. Возьмите и прокомментируйте, сгенерируйте трафик бродкаст и посмотрите что будет с сетью.
Считать можно идеалом 1% в локальной сети (отвечу сразу взято с моей головы на основе личного опыта) в wifi сегменте может быть гораздо больше. Понятно, что если будет 5% то тоже ничего критичного, но нужно понимать что его генерирует.

2.Зачем из каждого утюга трубят про виланы?
Трубят про вланы, как про технологию, она удобна применяется там где нужна.
Но если вопрос про ограничение бродкаст трафика, да и вообще хорошие рекомендации, то влан должен "умирать" на аксес свиче(в пределах этажа например) и не топать до ядра сети. Ну или хотя бы его ограничение, для предотвращение бродкаст шторма. Например 30мбит, лучше так, чем вообще никак.

Answer 8

[PUMP_plus]

C vlan на коммутаторах и прочем сетевом оборудовании понятно. Создали, указали, протегрировали и т.д. и т.п.
С ip-телефонией тоже просто, там это суровая необходимость и все настройки есть.
Мне вот досихпор до конца непонятно, а как эти vlan просто использовать на конечных хостах ?
На каждом АРМ с условной 10 а свойствах адаптера указывать номер влана ? Так не везде такое есть в драйверах.

Comments

[Warchik2107]

не, типа на access порт пакет отдаётся без тега, насколько я помню. Конечный хост ничего не знает о своей принадлежности к vlan.
Но есть исключения и специальные драйвера, где-то про это писали тоже,

[PUMP_plus]

Warchik2107, как же тогда разделяют условную бухгалтерию, склад и общую сеть по vlan1, vlan2 и vlan3. На комутаторе l3 настроили разные vlan для разных портов, наверное это удобно, раньше были физические джамперы для vlan, которые по сути из одной железки делали несколько. И в серверной скоммутировали соответсвующим образом крос. Но интересен способ, когда на один физический порт создается несколько vlan. Так наверное работает ip телефония, где помечаются только пакеты для нее и только ип телефоны их пониают. А вот в таком гибридном исполнении без настройки хостов для ловли своих vlan1 vlan2 vlan3 необойтись. Хотя на практике одно устройство - один порт. Исключение ип телефония, где телефон ставится в разрыв.

[Andy1899135]

PUMP_plus, один физический порт в нескольких виланах - это транк, работает с таким портом оборудование которое понимает метки виланов (это может быть и сетевая карта с соответствующим драйвером). Не очень понятно что подразумевается под последней фразой.

[PUMP_plus]

Andy1899135, Не только транк, но и Hybrid Port. В последней фразе имелось ввиду, когда АРМ подключается не напрямую в сетевой порт коммутатора, а через ip телефон, который оборудован транзитным портом. В это случае наверняка и используются гибридные порты, где один пакет помечен принадлежностью к влану (ип телефония), а другой нет (АРМ).

[Руслан Федосеев]

порт для подключения конечного оборудования - access. Ничего про вланы конечное оборудование не знает и знать не должно.
Телефоны с двумя портами - костыли для бедных. Особенно потом интересно траблшутить, когда коммутатор в телефоне не справляется с трафиком... внешне все хорошо, даже на порту свича все ровно - а комп лагает...

[hrabrahrabr]

PUMP_plus,

Мне вот досихпор до конца непонятно, а как эти vlan просто использовать на конечных хостах ?

на пользовательских хостах никакой вольности и самодеятельности! На хостовом порту выставлен тип аксесс порт (то есть один не тегированный влан) и баста! Не зачем лезть в чужие подсети, ну максимум второй влан тип войс , для телефонов и все! Много тегированных вланов на одном порту может быть только если сосед это роутер, свич или точка доступа.ну или хост сервер с виртуалками , где каждая виртуалка может иметь один или много виртуальных интерфейсов в разных сетях =влан, но физический интерфейс один или несколько.
Ух ты джамперы под вланы это лет 30 назад было, я застал только, те что в КЛИ настраиваются , но возможно не симметричные и без маршрутизации.
Кстати рекомендуемая схема для серверов ССТВ , один порт напрямую к камерам , сеть без маршрутизации и без шлюза и второй порт в другой сети со шлюзом для отдачи видео клиентам.

[hrabrahrabr]

PUMP_plus, нет тип порта гибридный или генерал или ещё пару названий это не совсем про один порт под телефон и арм в двух сетях, это несколько сложнее и ближе к транку. Там может быть несколько нетегированных влан на вход и выход, через дополнительные правила доступа , в общем геморрой.

Answer 9

[Пума Тайланд]

Грубо говоря у вас есть какие то статическое количество бородкаст пакетов скажем 100 в минуту вы их сравниваете три раза с разными числами скажем 1000 10000 и 100000 и получаете разный процент бродкаста и удивляетесь, перестаньте смотреть проценты если не понимаете как они считаются, смотрите обильные абсолютные числа они будут всегда плюс минус одинаковые

Вланы нужны для изоляции сетей, какой то связи с бродкастом тут нет

Никто про вланы не трубит думаю большая часть мелких сетей на 99 процентов без вланов, как то изолировать трафик кроме вланов и ВПН ничего не придумали

Comments

[Warchik2107]

перестаньте смотреть проценты если не понимаете как они считаются

Я как раз прекрасно понимаю, как считаются проценты, поэтому и сделал акцент на том, что соотношение будет разным в зависимости от точки подключения и активности устройств в сети. Суть вопроса не в том "почему так", я эио прекрасно понимаю, вопрос в том "как правильно" считать, чтобы было объективно и на какие показатели опираться?

Вланы нужны для изоляции сетей, какой то связи с бродкастом тут нет

То есть, вы хотите сказать, что изоляция сетей вланами никак не повлияет на броадкасты?Как раз таки в первую очередь повлияет на это. Вилан - это как раз таки широковещательный домен, в первую очередь

как то изолировать трафик кроме вланов и ВПН ничего не придумали

разделение на подсети с настройкой фаервола между ними вам ни о чём не говорит, да?)

[Пума Тайланд]

Warchik2107, если вы не понимаете что такое проценты не считайте их, используйте абсолютные значения они в любой точке всегда будут во первых одинаковыми, во вторых адекватными для оценки, а не пальцем в небо

Повлияет конечно это же изолированная сеть)

Боюсь говорить слишком много так как в этой жизни я начал карьеру у провайдеров

Просто если у вас локалка на два здания вообще пофиг на бродкасты, зачем там вланы это никак не устранит источники бродкаста, если вам надо решение то просто найдите кто бродкастит и дайте ему по голове это займет 5 минут и сильно лучше чем на каждом матче вланы прописывать

[Warchik2107]

Пума Тайланд, ещё раз. Какое моё высказывание заставило вас подумать, что я не умею считать проценты? специально издеваетесь? вопрос вообще не в этом был.

используйте абсолютные значения

Хорошо, какие? есть где-то таблица адекватных значений? на что опираться? 100 000 фреймов в секунду это норма? а миллион? десять миллионов?

[Пума Тайланд]

Warchik2107, ну если у вас там просто локальная сетка предприятия у вас примерно нисколько бродкаста будет , вы же сами написали у вас одна десятая процента их на порту
если у вас не слишком большая сетка и +- 1000 бродкастов в минуту просто забейте это нормальный трафик