Зачем разделять IPv4 сети на подсети

Предположим, что у вас есть своя сеть класса B (префикс /16). Публичная сеть, или вам вышестоящие админы выдали такую приватную — в данном случае не важно. Вы имеете в своём распоряжении 216-2=65534 адреса. Как же ими распорядиться? Раздать всем пользователям и воткнуть их в огромную цепочку коммутаторов? Это плохое решение. Сеть такого размера обычно разбивают на несколько более мелких и для этого есть ряд причин.

Разбиение домена широковещания.

Первая причина разбиения сети на подсети заключается в том, чтобы не получить огромный broadcast домен. В современных IPv4 сетях широковещательный (broadcast) трафик является необходимым злом. Например, при помощи широковещательных запросов работает протокол ARP, операционная система Windows постоянно что-то рассылает в сеть, чтобы обнаружить другие компьютеры и т.п. Если мы подключим в одну сеть 65 тысяч устройств, то получится, что каждый квант времени кто-то что-то да отправит широковещательного. Такая сеть совершенно не сможет работать, потому что все будут заняты получением широковещательных пакетов. Если мы разобьём такую сеть, например, на 256 сетей в каждой из которых 254 хоста, то мы получим 256 отдельных небольших broadcast доменов, в каждом из которых действует сравнительно небольшое (254) количество источников широковещательного трафика. Такие сети уже смогут работать нормально.

На самом деле, объём широковещательного трафика является основным ограничителем, не позволяющим делать большие сети. Сеть на 254 хоста (/24) работает хорошо, на 510 (/23) средненько и сильно зависит от приложений, которые ней крутятся. На 1022 хоста (/22) сеть можно сделать, но лучше не помещать туда компьютеры. Например, такого размера может быть сеть, в которую подключено 1022 маршрутизатора, использующихся для подключения к удалённым филиалам. Обязательное условие — на этих маршрутизаторах необходимо контролировать каждый чих. Потому что если они начнут слать брудкасты, то сеть перестанет работать. К слову сказать, бывают безбрудкастовые сети с множественным доступом (NBMA сети). Но это, пожалуй, тема для отдельной статьи

Безопасность при разделении сети на подсети

Второй немаловажной причиной разделения сети на подсети является обеспечение определённого уровня безопасности. Дело в том, что в пределах локальной сети у нас сравнительно мало возможностей обеспечения контроля за трафиком. Мы можем, конечно, контролировать на коммутаторах MAC адреса, можем довольно много чего настроить наконечных устройствах (например, сложные правила файрвола на компьютерах). Но лучше всего этим заниматься централизованно при переходе трафика из одной сети в другую. На маршрутизаторе настраивается централизованная фильтрация, можно даже настроить Firewall на маршрутизаторе.

Например, вы планируете разместить в сети камеры видеонаблюдения, бухгалтерию, сервера организации, компьютеры программистов и менеджеров. Совершенно логичным шагом видится разбить сеть на подсети, чтобы в каждой сети были устройства определённого типа. Тогда у нас появляется возможность запретить доступ программистов к бухгалтерии, всем — к камерам видеонаблюдения. При этом разрешить доступ из всех сетей к корпоративным серверам.

Добавить комментарий