Задать вопрос

Широковещательный трафик и подсети, зачем нужен VLAN?

Добрый день!
Было много вопросов на эту тему, и на хабре и на реддите. Перечитал кучу комментариев и у меня сложилось такое впечатление, что люди сами не понимают о чём говорят. Так что попрошу не тыкать в прошлые темы - я все их уже видел.

Хочу поставить точку в этом вопросе как для себя, так и для тех, кто будет а дальнейшем этим интересоваться.

Есть 2 вопроса:

1. Как понять, что броадкаста в твоей сети много?

Есть какие-то конкретные метрики на этот счёт? Или удобные проверенные методы измерения. Если верить моему основному коммутатору Tp-Link в основном здании, то пакетов Broadcast относительно Unicast в статистике на аплинк порту лишь 0.18%. Но если я включу на своём компе Wireshark и поставлю фильтр eth.addr == ff:ff:ff:ff:ff:ff, то получу результат уже в 6-8% (если на фоне не будет никакого постоянного траффика). А если я возьму ноутбук, вставлю патчкорд напрямую в свитч в серверной, не делая никаких запросов в сеть, то Wireshark покажет уже около 30% броадкастов! Пока я не начну сам посылать какие-то запросы, тем самым изменив процентное соотношение в меньшую сторону, цифра будет расти. Так на что опираться?)
И да, частота мерцания лампочек на свитче - ну никак не метрика)))

2. Зачем из каждого утюга трубят про виланы?

Есть два здания, два офиса с хостами. Скажем, по 100 хостов в каждом, неважно. Находятся в одном сегменте сети, в одном широковещательном домене. Нет никаких вилан и т.д. Например я решил, что броадкаста много и что нужно сегментировать сеть. Как только заходишь в интернет читать статьи на этот счёт, все сразу пишут исключительно про виланы. Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами? Зачем мне настраивать виланы, если в конечном счёте всё равно придётся настраивать между ними маршрутизацию? Я чего-то не понимаю или люди мыслят статьями из википедии?

P.S.

Я понимаю, например, когда нужно выделить IP телефоны из разных физических точек одного сегмента сети в один логический сегмент, и чтобы не покупать отдельные под это свитчи и не тянуть отдельные кабеля - конечно я воспользуюсь виланами. Но зачем мне вилан если я просто хочу порезать броадкаст?
Ещё целая пачка людей думает, что когда задаётся вопрос про разницу вилан и подсети, то сразу начинает про "несколько подсетей в одном вилане". Я не знаю, в каком году такое делали, что у тебя в одном широковещательном домене гуляло несколько групп адресов с разными масками - про это вообще по-моему речи никто не вёл. Суть подобных вопросов, по-моему, всегда сводится к тому, что зачем мне вилан, если я могу просто выкинуть часть хостов на отдельный порт маршрутизатора и просто поселить их в другой сети. А комментаторов куда-то не туда уносит постоянно.

Спасибо!
  • Вопрос задан
  • 5488 просмотров
Подписаться 4 Простой 4 комментария
Решения вопроса 4
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Всё очень просто.
Ваш свитч видит пакеты от всех компьютеров, и относительно общего трафика, проходящего через него, броадкаст-пакетов 0.18%.
Ваш рабочий компьютер видит все броадкаст-пакеты, но только свой уникаст-трафик. Поэтому процент выше.
Компьютер, который сам не лезет в сеть, опят таки видит все броадкаст-пакеты, но почти не обменивается уникаст-пакетами. Отсюда и 30%.
Если вы поставите компьютер, на котором уникаст-трафика не будет то, очевидно, броадкаст-пакеты на нём будут занимать все 100%, даже если это будет один броадкаст-пакет в сутки.

Настраивать VLAN'ы исключительно для снижения броадкаст-трафика занятие глупое. VLAN нужен, когда вам надо логически отделить группу компьютеров в одной физической сети или организовать закрытый канал через несколько свитчей.
Ответ написан
@Janus74
vlan - это сегменатация сети на логическом уровне.
Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами?
- сегментация сети на физичском уровне
зачем нужна и когда применять:
- для безопасности. Разные устройство подвержены разным векторам атаки. Разделив их в разные сети и закрыв трафик между сетями фаерволом вы либо исключите вектор атаки либо снизите его влияние. Пример: Пользак скачал какой-то файл, которые не задетектил антивирь, запустил его, этот файл нашел в сети принтер, воспользовалься его уезвимостью, развернул на нем бэкдор и подключил тунель для атакуещего. Атакующий попал в сеть, и спокойно с принтера продолжает ее иследовать и искать другие уязвимости. Если вы сегментируете сеть рабочих станций и принтеров, закроете доступ в сеть принтеров по всем портам кроме тех, что нужны для работы с ними, а из сети принтеров запретите выход в интернет - это исключит этот вектор атак.
- для балансировки нагрузки, если у вас есть IP телефоны которые работают с внешним IP АТС сервером, вы можете настроить QoS конктретно для сети, что бы обеспечить резерв по пропускной способности внешнего канала, что повысить качество голосового трафика.
- для отказоустойчивости, если в одном из сегментов сети возниктит сетевой инцидент, он не затронет другие сегменты. К примеру, сетевой шторм (когда сделали колько на коммутаторе). Если в сети есть не управляемые коммутаторы, не оснащенные защитой от шторма, это может вызвать проблему по всей сети, пока не сработает защита, если она есть.
- для порядка, делать vlan под разные устройства, и под разные направления дейтельности - все равно, что в шкафу раскладывать по разным полкам одежду, просто удобно с этим работать

Обслуживать vlan проще чем сегментацию на физическом уровне.
Ответ написан
@nApoBo3
1. VLAN - первое слово виртуальный. Любая виртуализацию это уплотнение использование ресурсов и централизация управления. С точки зрения разделения ресурсов вы можете добиться того же эффекта физическим оборудованием.
2. Два порта mikrotik вы соедините их в мост, тогда у вас не будет разделения домена, или вам их нужно разделять на третьем уровне.
3. На мой субъективный взгляд одна из основных функции vlan принудительное совпадение l3 и l2 доменов. Без этого, например, у вас не будет работать защита от ip спуфинга.
4. Разделение бродкаст домена, в современных сетях, задача достаточно специфическая, на данный момент такой трафик редко создаёт проблему в реальных инсталляциях. Но может очень сильно выстрелить в специфических конфигурациях и искать эту проблему сложно.
Ответ написан
@Stiper12
Инженер
1. У Романа Козлова ( телега @Soriel ) был интересный доклад, он предлагал пилить локальную сеть предприятия на много маленьких сегментов и по 3 уровню общаться друг с другом и внешним миром... посмотрите его видение может оно Вам подойдет ...

2. Телефоны например умеют работать с тегированным трафиком, так что можно настроить порт коммутатора так чтоб если туда подключался ПК он находился в одной сети и в тот же порт воткнутый телефон сразу попадал в свою сеть телефонии. Есть конечно и коммутаторы которые видят мак адрес устройства и по маске могут подсунуть в порт с ним нужный влан. В общем и целом технология нужная...
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
b1ora
@b1ora Куратор тега MikroTik
Контакты в профиле
Когда принтер, камера или телефон начнут "cp@ть" в сеть и положат всю локалку, тогда придет понимание сегментации на вланы, вплоть до этажей или отделов.
Ответ написан
ky0
@ky0
Миллиардер, филантроп, патологический лгун
Чтобы понять, "много ли броадкаста", нужно сначала понять "почему мне это стало интересно". Если есть какие-то прикладные последствия (нагрузка процессора на устройствах, утилизация канала) - нужно плясать от них и оценивать, разумеется, не в процентах, а в количестве пакетов в секунду. И метрики оценивать не единоразово, а в динамике.

А если вам просто интересно - объективного ответа не будет.
Ответ написан
@rpaltaev
1. Как понять, что броадкаста в твоей сети много
Когда он забивает всю пропускную способность порта - это много )))
А если серьезно, то надо понимать а сколько его должно вообще быть с имеющимся оборудованием. Нужно понимать - а что происходит с броадкаст трафиком?!
Ответ он дублируется на все порты в одном l2 домене, кроме того с которого он пришел. Если вы не сегментируете сети, то всплеск бродкаста в 100мб может положить всю сеть в вашем случае- завалив cpu коммутаторов, пропускную способность портов. Возьмите и прокомментируйте, сгенерируйте трафик бродкаст и посмотрите что будет с сетью.
Считать можно идеалом 1% в локальной сети (отвечу сразу взято с моей головы на основе личного опыта) в wifi сегменте может быть гораздо больше. Понятно, что если будет 5% то тоже ничего критичного, но нужно понимать что его генерирует.

2.Зачем из каждого утюга трубят про виланы?
Трубят про вланы, как про технологию, она удобна применяется там где нужна.
Но если вопрос про ограничение бродкаст трафика, да и вообще хорошие рекомендации, то влан должен "умирать" на аксес свиче(в пределах этажа например) и не топать до ядра сети. Ну или хотя бы его ограничение, для предотвращение бродкаст шторма. Например 30мбит, лучше так, чем вообще никак.
Ответ написан
Комментировать
@PUMP_plus
C vlan на коммутаторах и прочем сетевом оборудовании понятно. Создали, указали, протегрировали и т.д. и т.п.
С ip-телефонией тоже просто, там это суровая необходимость и все настройки есть.
Мне вот досихпор до конца непонятно, а как эти vlan просто использовать на конечных хостах ?
На каждом АРМ с условной 10 а свойствах адаптера указывать номер влана ? Так не везде такое есть в драйверах.
Ответ написан
opium
@opium
Просто люблю качественно работать
Грубо говоря у вас есть какие то статическое количество бородкаст пакетов скажем 100 в минуту вы их сравниваете три раза с разными числами скажем 1000 10000 и 100000 и получаете разный процент бродкаста и удивляетесь, перестаньте смотреть проценты если не понимаете как они считаются, смотрите обильные абсолютные числа они будут всегда плюс минус одинаковые

Вланы нужны для изоляции сетей, какой то связи с бродкастом тут нет

Никто про вланы не трубит думаю большая часть мелких сетей на 99 процентов без вланов, как то изолировать трафик кроме вланов и ВПН ничего не придумали
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы