Problemas potenciais de tráfego em uma sub-rede grande (ger)

Já passou algum tempo desde que trabalhei no lado da administração de redes, mas eis o que penso sobre isso:

200+ clients on a subnet wasn't a real issue 10 years ago and it won't be now, you can still read all the broadcasts

Isso é mais ou menos verdade. Voltar antes de mudar de sub-tecnologia para contabilizar a quantidade total de tráfego de transmissão foi uma preocupação séria. Hoje em dia, embora os switches sejam muito mais eficientes em termos de arquitetura geral em comparação com os hubs (ou seja, eles não encaminham EVERY pacote para EVERY porta) e eles são melhores com o tráfego de transmissão que eles têm.

Eu ouvi que WAG indica que 500 clientes por sub-rede são sobre onde você deveria começaremos a considerar a criação de sub-redes com base apenas em questões de domínio de tráfego e transmissão, mas não ficaria surpreso se o hardware de comutação de classe empresarial pudesse lidar com muito mais. Obviamente, teste e teste novamente, pois a carga de trabalho de todos é diferente.

you can still read all the broadcasts with a (non-promisc) tcpdump without it becoming a blur

Se o seu IDS / IPS exigir que você leia o tráfego de transmissão manualmente, provavelmente deverá procurar um produto IDS / IPS diferente. Eu realmente não vejo isso como uma preocupação válida em decidir qual deve ser o tamanho da sua sub-rede.

If all you have is 50 clients, then it would not make a difference if the subnet was /8 or /24. Its the same number of clients, same amount of traffic.

Parece lógico para mim. O espaço de rede à parte, você só tem muitos clientes e eles só podem produzir muito tráfego.

my current 10.0.0.0/8 subnet (with about 20 clients and 2 servers all hooked to the same switch) was vulnerable to overloading should a client be compromised by malware, because broadcast traffic would be orders of magnitude higher than, say, on a 192.168.0.0/24 subnet

Uau. Gostaria de dimensionar corretamente sua sub-rede, como agora!

Vou copiar / colar isso da minha outra resposta, mas é muito relevante aqui: você não está gerenciando centenas de hosts. A complexidade da sua solução deve refletir a complexidade do ambiente. Resista à tentação de ser excessivamente inteligente. Você vai se agradecer depois.

Em segundo lugar, não sei como seria mais vulnerable to overloading em relação ao tráfego de transmissão, pois há apenas 20 clientes para transmitir. Quando você pensa em ataque de broadcast ou fan-outs de broadcast, o fator limitante geralmente não é o domínio de broadcast, mas os nós que geram o tráfego, assim se seus 20 nós estiverem tentando transmitir para 252 endereços IP ou 16.777.212 endereços IP (16.777.192 dos quais estão desocupados) ) o mesmo número de transmissões está saindo. Agora, se o malware fizer algum tipo de ataque de amplificação onde ele começa a criar endereços IP, sim, você deu ao seu invasor muito mais espaço para jogar. Talvez seja isso que o seu segurança estava chegando. A segurança das informações é complicada e eu só tenho um conhecimento superficial do campo, portanto, se você quiser explorar essa questão com mais detalhes, talvez Security.SE seria mais apropriado.

Existem muitos "depende" que acompanham esta questão.

Segurança

Tempestades de transmissão, inundações e a laia são certamente uma preocupação se você estiver usando equipamentos de redes de consumidores. A maioria dos equipamentos de rede da empresa tem maneiras de lidar com isso, no entanto. Dependendo do seu fornecedor, você pode ter opções para "Controle de tempestade". Como com qualquer coisa, essas opções exigem testes e também podem ter seu próprio comportamento operacional (boas e ruins).

Outro aspecto da segurança está relacionado à capacidade de separar sistemas por sua função e manter o tráfego isolado. Este conceito também está evoluindo com o tempo, especialmente em torno de SDN, virtualização, etc. A segmentação de VLAN por si só pode ou não ser isolamento de segurança suficiente, dependendo das necessidades de sua organização. Existem muitas condições específicas para a sua organização para responder corretamente.

Tamanho da rede

A / 8 para 20 hosts é um pouco grande, mas tecnicamente não há nada que impeça você de fazer isso. Minha preocupação seria o crescimento da rede. Em algum momento, você pode querer conectar essa rede a outras redes, datacenters, escritórios, etc. Usando todo o / 8 em sua localização, você terá que NAT todo o seu tráfego para acessar outras redes em 10/8. Normalmente, as pessoas dimensionam suas redes para poderem alocar uma sub-rede de "tamanho padrão" para cada local e usar uma malha WAN ou VPN para interconectá-las, tendo regras de firewall em cada local que permitem que serviços específicos atinjam destinos específicos com base em funções etc.

Se você realmente começar a preencher uma grande LAN, em algum momento precisará aumentar os limites em seus servidores e estações de trabalho para permitir tabelas ARP maiores e minimizar a coleta de lixo de entradas ARP para evitar atualizações excessivas de ARP. O mesmo vale para todos os switches de acesso e distribuição na sua rede. Cada sistema operacional de estação de trabalho / servidor e cada fornecedor de rede exibirá um comportamento diferente à medida que você começar a preencher um domínio de transmissão muito grande.

Minha própria experiência com grandes VLANs

A maior rede totalmente povoada com a qual eu me envolvi foi a / 22. Os únicos problemas que encontramos foram os serviços que dependiam de respostas rápidas do tráfego multicast. Mesmo aumentando os limites de ARP nos servidores não foi suficiente para resolver isso. Tivemos que redimensionar nossas redes em VLANs menores e alterar a configuração de nossos aplicativos para depender menos do multicast.