Широковещательный трафик и подсети, зачем нужен VLAN?

Question

[Warchik2107]

Добрый день!
Было много вопросов на эту тему, и на хабре и на реддите. Перечитал кучу комментариев и у меня сложилось такое впечатление, что люди сами не понимают о чём говорят. Так что попрошу не тыкать в прошлые темы - я все их уже видел.

Хочу поставить точку в этом вопросе как для себя, так и для тех, кто будет а дальнейшем этим интересоваться.

Есть 2 вопроса:

1. Как понять, что броадкаста в твоей сети много?

Есть какие-то конкретные метрики на этот счёт? Или удобные проверенные методы измерения. Если верить моему основному коммутатору Tp-Link в основном здании, то пакетов Broadcast относительно Unicast в статистике на аплинк порту лишь 0.18%. Но если я включу на своём компе Wireshark и поставлю фильтр eth.addr == ff:ff:ff:ff:ff:ff, то получу результат уже в 6-8% (если на фоне не будет никакого постоянного траффика). А если я возьму ноутбук, вставлю патчкорд напрямую в свитч в серверной, не делая никаких запросов в сеть, то Wireshark покажет уже около 30% броадкастов! Пока я не начну сам посылать какие-то запросы, тем самым изменив процентное соотношение в меньшую сторону, цифра будет расти. Так на что опираться?)
И да, частота мерцания лампочек на свитче - ну никак не метрика)))

2. Зачем из каждого утюга трубят про виланы?

Есть два здания, два офиса с хостами. Скажем, по 100 хостов в каждом, неважно. Находятся в одном сегменте сети, в одном широковещательном домене. Нет никаких вилан и т.д. Например я решил, что броадкаста много и что нужно сегментировать сеть. Как только заходишь в интернет читать статьи на этот счёт, все сразу пишут исключительно про виланы. Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами? Зачем мне настраивать виланы, если в конечном счёте всё равно придётся настраивать между ними маршрутизацию? Я чего-то не понимаю или люди мыслят статьями из википедии?

P.S.

Я понимаю, например, когда нужно выделить IP телефоны из разных физических точек одного сегмента сети в один логический сегмент, и чтобы не покупать отдельные под это свитчи и не тянуть отдельные кабеля - конечно я воспользуюсь виланами. Но зачем мне вилан если я просто хочу порезать броадкаст?
Ещё целая пачка людей думает, что когда задаётся вопрос про разницу вилан и подсети, то сразу начинает про "несколько подсетей в одном вилане". Я не знаю, в каком году такое делали, что у тебя в одном широковещательном домене гуляло несколько групп адресов с разными масками - про это вообще по-моему речи никто не вёл. Суть подобных вопросов, по-моему, всегда сводится к тому, что зачем мне вилан, если я могу просто выкинуть часть хостов на отдельный порт маршрутизатора и просто поселить их в другой сети. А комментаторов куда-то не туда уносит постоянно.

Спасибо!

Comments

[Ziptar]

vlan это не только инструмент изоляции ненужных бродкастов, но и инструмент изоляции устройств в разных вланах друг от друга на одном и том же сетевом оборудовании оборудовании. При всём при этом это очень простой инструмент, который очень легко использовать. Бродкасты проблемой могут являться в крупных сетях. Мелким и средним беспокоиться здесь особо не о чем.
При прочих равных лучше сегментировать сеть на l2 (vlan), а не на l3 (подсети), если это не несёт дополнительных издержек, а в большинстве случаев это так и есть. Дополнительная кевларовая подкладка под вашей деревянной бронёй на вашей драгоценной... ну да.

[Warchik2107]

Ziptar, ну, чтобы полноценно использовать виланы, нужно, чтобы все свитчи по пути траффика умели это делать, так ведь? А у меня не везде далеко это возможно.

[Ziptar]

Warchik2107, ну нет, значит нет. Если заменять свичи накладно без веской на то причины - то и дёргаться смысла нет. Не вопрос жизни и смерти. Хотя неуправляемым свичам место уже обычно непосредственно перед компьютерами-принтерами в отдельном кабинете, а не где-либо выше, так что разбить разные отделы/кабинеты по вланам это всё равно мешать не должно. А управляемые без поддержки 802.11q - это уже экзотика какая-то, кмк.

Answer 1

[Rsa97]

Всё очень просто.
Ваш свитч видит пакеты от всех компьютеров, и относительно общего трафика, проходящего через него, броадкаст-пакетов 0.18%.
Ваш рабочий компьютер видит все броадкаст-пакеты, но только свой уникаст-трафик. Поэтому процент выше.
Компьютер, который сам не лезет в сеть, опят таки видит все броадкаст-пакеты, но почти не обменивается уникаст-пакетами. Отсюда и 30%.
Если вы поставите компьютер, на котором уникаст-трафика не будет то, очевидно, броадкаст-пакеты на нём будут занимать все 100%, даже если это будет один броадкаст-пакет в сутки.

Настраивать VLAN'ы исключительно для снижения броадкаст-трафика занятие глупое. VLAN нужен, когда вам надо логически отделить группу компьютеров в одной физической сети или организовать закрытый канал через несколько свитчей.

Comments

[Warchik2107]

Спасибо!
Про броадкасты: да, я это и имел ввиду. Так вот главный то вопрос: есть какой-то способ чтобы оценить объективно?

Answer 2

[ky0]

Чтобы понять, "много ли броадкаста", нужно сначала понять "почему мне это стало интересно". Если есть какие-то прикладные последствия (нагрузка процессора на устройствах, утилизация канала) - нужно плясать от них и оценивать, разумеется, не в процентах, а в количестве пакетов в секунду. И метрики оценивать не единоразово, а в динамике.

А если вам просто интересно - объективного ответа не будет.

Comments

[Warchik2107]

Почему мне стало это интересно - правильный вопрос. В сети постоянно увеличивается количество хостов и последнее время начал замечать непонятные глюки, и люди начали жаловаться. Долго открываются веб страницы, ни с того ни с сего отваливаются сетевые принтеры. Хостов на винде около 100 + около 150 камер видеонаблюдения (на отдельных проводах и свитчах но в одном сегменте, делали до меня) + клиенты вайфай и т.д. по мелочи

Сеть 1 гбит. Сейчас заказал два новых управляемых свитча tp-link tl-sg3428x в основное здание с пропускной способностью 128 гбит/с, бцдут стоять на разных этажах и хочу соединить их с микротом-шлюзом кабелями DAC 10 гбит

а те что стоят уйдут на менее важные объекты

Из-за большого количества камер по территории очень много мультикаст траффика. Ещё нет централизованного сервера и каждый смотрит камеры на своём клиенте через ivms. Думаю вот перетащить их на единый сервер хотябы по RDP.

Естественно, первая мысль при появлении непонятных плавающих проблем в сети - оборудование не справляется с трафиком и сразу подозрение на броадкасты. Как бы теперь провести правильную диагностику)

[Akina]

Warchik2107,

В сети постоянно увеличивается количество хостов и последнее время начал замечать непонятные глюки, и люди начали жаловаться. Долго открываются веб страницы, ни с того ни с сего отваливаются сетевые принтеры. Хостов на винде около 100 + около 150 камер видеонаблюдения (на отдельных проводах и свитчах но в одном сегменте, делали до меня) + клиенты вайфай и т.д. по мелочи

Ваша проблема - не бродкасты. 150 видеокамер генерируют ну очень немало трафика. А с учётом того, что

Ещё нет централизованного сервера и каждый смотрит камеры на своём клиенте через ivms.

у вас просто сеть не справляется с потоком трафика. Отсюда и лаги.

PS. У меня в сети на 3 площадках более 400 камер и 7 видеосерверов (плюс 300 клиентов, полсотни сетевых принтеров, полтораста IP-телефонов и т.п.). Всё видео в отдельном VLAN, включая отдельный магистральный транк, доступ к видеоинформации только через серверы. Проблем - никаких.

Answer 3

[Dmitry]

vlan - это сегменатация сети на логическом уровне.

Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами?

- сегментация сети на физичском уровне
зачем нужна и когда применять:
- для безопасности. Разные устройство подвержены разным векторам атаки. Разделив их в разные сети и закрыв трафик между сетями фаерволом вы либо исключите вектор атаки либо снизите его влияние. Пример: Пользак скачал какой-то файл, которые не задетектил антивирь, запустил его, этот файл нашел в сети принтер, воспользовалься его уезвимостью, развернул на нем бэкдор и подключил тунель для атакуещего. Атакующий попал в сеть, и спокойно с принтера продолжает ее иследовать и искать другие уязвимости. Если вы сегментируете сеть рабочих станций и принтеров, закроете доступ в сеть принтеров по всем портам кроме тех, что нужны для работы с ними, а из сети принтеров запретите выход в интернет - это исключит этот вектор атак.
- для балансировки нагрузки, если у вас есть IP телефоны которые работают с внешним IP АТС сервером, вы можете настроить QoS конктретно для сети, что бы обеспечить резерв по пропускной способности внешнего канала, что повысить качество голосового трафика.
- для отказоустойчивости, если в одном из сегментов сети возниктит сетевой инцидент, он не затронет другие сегменты. К примеру, сетевой шторм (когда сделали колько на коммутаторе). Если в сети есть не управляемые коммутаторы, не оснащенные защитой от шторма, это может вызвать проблему по всей сети, пока не сработает защита, если она есть.
- для порядка, делать vlan под разные устройства, и под разные направления дейтельности - все равно, что в шкафу раскладывать по разным полкам одежду, просто удобно с этим работать

Обслуживать vlan проще чем сегментацию на физическом уровне.