বিভাগে ট্র্যাফিকের সেরা উপায়, ভিএলএএন বা সাবনেট?

আমাদের প্রায় 200 টি নোডের মাঝারি আকারের নেটওয়ার্ক রয়েছে এবং বর্তমানে আমরা স্ট্যাক-সক্ষম বা চ্যাসিস স্টাইলের সুইচগুলির সাথে পুরানো ডেজি-চেইন সুইচগুলি প্রতিস্থাপনের প্রক্রিয়াধীন।

এই মুহুর্তে, আমাদের নেটওয়ার্ক সাবনেটগুলির মাধ্যমে বিচ্ছিন্ন হয়েছে: উত্পাদন, পরিচালনা, বৌদ্ধিক সম্পত্তি (আইপি), ইত্যাদি প্রতিটি পৃথক সাবনেটে on সাবনেটগুলির পরিবর্তে ভিএলএএন তৈরি করা কি আরও উপকারী হবে?

আমাদের সাধারণ লক্ষ্য হ'ল প্রতিবন্ধকতা রোধ করা, সুরক্ষার জন্য পৃথক ট্র্যাফিক এবং আরও সহজেই ট্র্যাফিক পরিচালনা করা manage

ভিএলএএন এবং সাবনেট বিভিন্ন সমস্যা সমাধান করে। ভিএলএএনরা স্তর 2 এ কাজ করে , যার ফলে সম্প্রচারের ডোমেনগুলিতে পরিবর্তন হয় (উদাহরণস্বরূপ)। যেখানে সাবনেটগুলি বর্তমান প্রসঙ্গে লেয়ার 3

একটি পরামর্শ আসলে উভয় বাস্তবায়ন করা হবে

উদাহরণস্বরূপ, আপনার বিভিন্ন ডিভাইসের ধরণের (দেব, পরীক্ষা, উত্পাদন, ব্যবহারকারী, ইত্যাদি) জন্য ভিএলএএন 10 - 15 করুন

ভিএলএএন 10, আপনার 192.168.54.x / 24 ভিএলএএন 11 সাবনেট থাকতে পারে, আপনার 192.168.55.x / 24 সাবনেট থাকতে পারে

ইত্যাদি

যদিও এটি আপনার নেটওয়ার্কের মধ্যে একটি রাউটার থাকা দরকার

আপনি কোন পথে নেমে যাবেন এটি একধরনের বিষয় (আপনি নিজের নেটওয়ার্কটি আমার চেয়ে আরও ভাল জানেন)। আপনি যদি মনে করেন যে আপনার সম্প্রচারিত ডোমেনের আকারটি কোনও একরকম সমস্যা হবে তবে ভিএলএএন ব্যবহার করুন। আপনি যদি মনে করেন যে আপনার নেটওয়ার্ক পরিচালনার ডোমেনগুলির আকার (উদাহরণস্বরূপ, আপনার পরিচালন নেটওয়ার্ক) তবে সম্ভবত একটি 24/24-র উপরে সম্ভবত একটি নেটওয়ার্ক ব্যবহার করুন

আপনার 200 নোডগুলি একটি 24/24 এ ফিট হবে তবে এটি অবশ্যই আপনাকে বৃদ্ধির খুব বেশি সুযোগ দেয় না

এর শব্দে আপনি ইতিমধ্যে বিভিন্ন ডিভাইসের ধরণের জন্য বিভিন্ন সাবনেট ব্যবহার করছেন using তাহলে, কেন যে এই না? আপনি চাইলে প্রতিটি সাবনেটকে একটি ভিএলএএন-তে বেঁধে রাখতে পারেন। স্তর 2 বিভাগকরণের ফলস্বরূপ আপনার নেটওয়ার্কের আচরণটি বর্তমানে এটি কীভাবে আচরণ করে তা থেকে পরিবর্তিত হবে

আপনি এর সম্ভাব্য প্রভাব তদন্ত করতে হবে

(আমি সারাদিন রাস্তায় ছিলাম এবং এইটিতে ঝাঁপ দেওয়া মিস করেছি ... তবুও, খেলায় দেরি হয়ে গেছে আমি কী করতে পারি তা দেখতে পাচ্ছি।)

সাধারণত আপনি ইথারনেটে ভিএলএএন তৈরি করেন এবং ম্যাপ করুন আইপি তাদের উপর 1-থেকে -1 সাবনেট করে। এটি না করার উপায় রয়েছে তবে কঠোরভাবে "সরল ভ্যানিলা" বিশ্বে আপনি একটি ভিএলএএন তৈরি করতে চান, ভিএলএএন-তে ব্যবহারের জন্য একটি আইপি সাবনেট ভাবেন, সেই রাউটারের সাথে কোনও রাউটারকে একটি আইপি ঠিকানা নির্ধারণ করুন, সেই রাউটারটি সংযুক্ত করুন ভিএলএএন (হয় কোনও দৈহিক ইন্টারফেস বা রাউটারের ভার্চুয়াল সাবিনটারফেস সহ), কিছু হোস্টকে ভিএলএএন-এর সাথে সংযুক্ত করুন এবং আপনার সংজ্ঞায়িত সাবনেটে তাদের আইপি ঠিকানাগুলি বরাদ্দ করুন এবং তাদের ট্র্যাফিকটি ভিএলএএন-এর ভিতরে এবং বাইরে চালিত করুন।

আপনার যদি কোনও ইথারনেট ল্যান করার উপযুক্ত কারণ না থাকে তবে সাবনেটিং শুরু করা উচিত নয়। সেরা দুটি কারণ হ'ল:

• কর্মক্ষমতা সমস্যা হ্রাস। ইথারনেট ল্যানগুলি অনির্দিষ্টকালের জন্য স্কেল করতে পারে না। অতিরিক্ত সম্প্রচার বা অজানা গন্তব্যে ফ্রেমের বন্যা তাদের স্কেলকে সীমাবদ্ধ করবে। এই শর্তগুলির মধ্যে যে কোনও একটি ইথারনেট ল্যানে একটি একক সম্প্রচার ডোমেন তৈরি করে কারণ হতে পারে। সম্প্রচার ট্রাফিক বোঝা সহজ, তবে অজানা গন্তব্যগুলিতে ফ্রেমের বন্যা কিছুটা অস্পষ্ট। যদি আপনি এতগুলি ডিভাইস পান যে আপনার স্যুইচ ম্যাক টেবিলগুলি উপচে পড়া সুইচগুলি ফ্রেমটির গন্তব্য ম্যাক টেবিলের কোনও প্রবেশপথের সাথে মেলে না, তবে সমস্ত পোর্ট বহির্ভূত ফ্রেমগুলি বন্যার জন্য বাধ্য করা হবে। আপনার যদি ট্র্যাফিক প্রোফাইল সহ ইথারনেট ল্যানে একটি বিশাল পরিমাণ একক সম্প্রচার ডোমেন থাকে যা প্রায়শই আলোচনার আয়োজন করে (এটি,

• স্তর 3 বা ততোধিক স্তরে হোস্টগুলির মধ্যে চলাচল সীমাবদ্ধ / নিয়ন্ত্রণ করার একটি ইচ্ছা। আপনি লেয়ার 2 এ ট্রাফিক পরীক্ষা করে কিছু হ্যাকারি করতে পারেন (আলা লিনাক্স ইবটবেবলস) তবে এটি পরিচালনা করা কঠিন (কারণ ম্যাক অ্যাড্রেসগুলির সাথে নিয়মগুলি আবদ্ধ থাকে এবং এনআইসিকে নিয়মের পরিবর্তনের প্রয়োজন হয়) যা সত্যই সত্যই অদ্ভুত আচরণ বলে মনে হতে পারে (করছেন উদাহরণস্বরূপ, লেয়ার ২ এ এইচটিটিপির স্বচ্ছ প্রক্সিং, উদাহরণস্বরূপ, নির্মল ও মজাদার, তবে এটি সম্পূর্ণ অপ্রাকৃত এবং সমস্যা সমাধানে খুব স্বজ্ঞাত হতে পারে), এবং সাধারণত নিম্ন স্তরগুলিতে করা কঠিন (কারণ স্তর 2 সরঞ্জামগুলি লাঠির মতো হয়) এবং স্তর 3+ উদ্বেগের সাথে মোকাবেলায় শিলা)। যদি আপনি হোস্টের মধ্যে আইপি (বা টিসিপি, বা ইউডিপি, ইত্যাদি) ট্র্যাফিক নিয়ন্ত্রণ করতে চান তবে লেয়ার 2 এ সমস্যাটি আক্রমণ করার পরিবর্তে সাবনেটগুলির মধ্যে এসিএল সহ ফায়ারওয়াল / রাউটারগুলি সাবनेट এবং স্টিক করা উচিত।

ব্যান্ডউইথ ক্লান্তি সমস্যা (যদি না তারা ব্রডকাস্ট প্যাকেট বা ফ্রেমের বন্যার কারণে সৃষ্টি হয়) তবে ভিএলএএন এবং সাবনেটিংয়ের মাধ্যমে সাধারণত সমাধান করা হয় না। এগুলি শারীরিক সংযোগের অভাবের কারণে ঘটে (কোনও সার্ভারে খুব কম এনআইসি, খুব কম কিছু বন্দর একটি সমষ্টি গ্রুপে, একটি দ্রুত বন্দর গতির দিকে এগিয়ে যাওয়ার প্রয়োজন) এবং ভিএলএএনএস সাবনেটিং বা মোতায়েনের মাধ্যমে সমাধান করা যায় না যেহেতু এটি জিতেছে উপলব্ধ ব্যান্ডউইথের পরিমাণ বাড়িয়ে তুলবে না।

আপনি MRTG মত এমনকি কিছু সহজ না থাকে তাহলে চলমান সত্যিই আপনার ব্যবসায়ের প্রথম আদেশ যে সামনে আপনি সম্ভাব্য শুরু আপনার সুইচ উপর প্রতি-বন্দর ট্রাফিক পরিসংখ্যান গ্রাফিং উপস্থাপক সদুদ্দেশ্যে কৃত কিন্তু অজ্ঞ subnetting সঙ্গে bottlenecks। কাঁচা বাইট গণনা একটি ভাল শুরু, তবে ট্র্যাফিক প্রোফাইল সম্পর্কে আরও বিশদ পেতে আপনার লক্ষ্যযুক্ত স্নিফিংয়ের সাথে এটি অনুসরণ করা উচিত।

একবার আপনি যখন জানবেন ট্র্যাফিক কীভাবে আপনার ল্যানে চলাফেরা করে আপনি পারফরম্যান্সের কারণে সাবনেটিংয়ের বিষয়ে ভাবতে শুরু করতে পারেন।

"সুরক্ষা" যতদূর যায় আপনার অ্যাপ্লিকেশন সফ্টওয়্যার এবং আপনার এগিয়ে যাওয়ার আগে এটি কীভাবে কথা বলে সে সম্পর্কে আপনার অনেক কিছু জানতে হবে।

আমি কয়েক বছর আগে একটি মিডিয়াল গ্রাহকের জন্য একটি রজনীয় আকারের ল্যান / ওয়ানের জন্য একটি নকশা তৈরি করেছি এবং সাবনেটগুলির মধ্যে ট্র্যাফিক চলমান নিয়ন্ত্রণের জন্য আমাকে স্তর 3 সত্তার (একটি সিসকো ক্যাটালিস্ট 6509 তত্ত্বাবধায়ক মডিউল) অ্যাক্সেস তালিকা রাখতে বলা হয়েছিল " প্রকৌশলী "যার আসলে এটি কী ধরণের লেগওয়ার্কের প্রয়োজন তা সম্পর্কে খুব কমই ধারণা ছিল তবে তিনি" সুরক্ষা "সম্পর্কে খুব আগ্রহী ছিলেন। প্রয়োজনীয় টিসিপি / ইউডিপি বন্দর এবং গন্তব্য হোস্টগুলি নির্ধারণ করার জন্য যখন আমি প্রতিটি অ্যাপ্লিকেশন অধ্যয়ন করার প্রস্তাব নিয়ে ফিরে এলাম তখন "ইঞ্জিনিয়ার" এর কাছ থেকে আমি একটি হতবাক প্রতিক্রিয়া পেয়েছিলাম যে বলা উচিত যে এটি কঠিন নয়। সর্বশেষে আমি শুনেছি যে তারা অ্যাক্সেসের তালিকা ছাড়াই স্তর 3 সত্তা চালাচ্ছে কারণ তারা তাদের সমস্ত সফ্টওয়্যার নির্ভরযোগ্যভাবে কাজ করতে পারে নি।

নৈতিক: আপনি যদি সত্যিই প্যাকেটটি বাটন ডাউন করতে যাচ্ছেন এবং ভিএলএএনদের মধ্যে স্ট্রিম-লেভেল অ্যাক্সেসটি অ্যাপ্লিকেশন সফ্টওয়্যার এবং শিখতে / বিপরীত ইঞ্জিনিয়ারিংয়ের সাথে কীভাবে তারের সাথে কথা বলে তা নিয়ে প্রচুর লেগওয়ার্ক করতে প্রস্তুত হন। সার্ভারগুলিতে হোস্ট দ্বারা অ্যাক্সেস সীমাবদ্ধ করা প্রায়শই সার্ভারগুলিতে ফিল্টারিং কার্যকারিতা দিয়ে সম্পন্ন করা যায়। তারে অ্যাক্সেস সীমাবদ্ধ করা সুরক্ষা এবং নিখুঁত প্রশাসকদের একটি ভ্রান্ত ধারণা তৈরি করতে পারে যেখানে তারা মনে করে "ভাল, আমার অ্যাপ্লিকেশনটি কনফিগার করার দরকার নেই। নিরাপদে কারণ অ্যাপ্লিকেশনটিতে কথা বলতে পারে এমন হোস্টগুলি 'দ্বারা সীমাবদ্ধ রয়েছে অন্তর্জাল'." আমি তারে হোস্ট-টু-হোস্ট যোগাযোগ সীমাবদ্ধ করা শুরু করার আগে আপনাকে আপনার সার্ভার কনফিগারেশনের সুরক্ষা অডিট করতে উত্সাহিত করব।

99% সময়, একটি সাবনেট একটি ভিএলএএন এর সমতুল্য হওয়া উচিত (অর্থাত প্রতিটি অ্যাক্সেস সাবনেটের একটিতে এবং কেবল একটি ভিএলএনের মানচিত্র হওয়া উচিত)।

যদি আপনার একই ভিএলএনে একাধিক আইপি সাবনেট থেকে হোস্ট থাকে তবে আপনি ভিএলএএনসের উদ্দেশ্যকে পরাস্ত করবেন, কারণ দুটি (বা আরও) সাবনেট একই সম্প্রচার ডোমেনে থাকবে।

বিকল্পভাবে, আপনি যদি একাধিক ভিএলএএন-তে একটি আইপি সাবনেট রাখেন, আপনার রাউটারের প্রক্সি এআরপি সক্ষম না করা থাকলে আইপি সাবনেটে হোস্টগুলি অন্য ভিএলএএন-তে হোস্টের সাথে যোগাযোগ করতে সক্ষম হবে না ।

আমি বেশিরভাগ ক্ষেত্রে ডেভিড পাশলির সাথে একমত :

1. আমি সব কিছুর জন্য একক / 16 ব্যবহার করি।
   • তবে এটি লিনাক্স মেশিনের একটি সফ্টওয়্যার ব্রিজের সাথে যুক্ত বেশ কয়েকটি ভিএলএএন-তে বিভক্ত।
   • এই সেতুর উপর, আমার গোষ্ঠীগুলির মধ্যে অ্যাক্সেস ফিল্টার করার জন্য বেশ কয়েকটি iptables নিয়ম রয়েছে।
   • আপনি যেভাবেই সেগমেন্ট করেন না কেন, গ্রুপিংয়ের জন্য আইপি রেঞ্জ ব্যবহার করুন, এটি পুনর্গঠন এবং বিশেষ ক্ষেত্রে সহজ করে তোলে।