(Aku sudah berada di jalan sepanjang hari dan melewatkan lompatan yang satu ini ... Tetap saja, terlambat ke permainan aku akan melihat apa yang bisa kulakukan.)
Biasanya Anda membuat VLAN di Ethernet dan memetakan subnet IP 1-ke-1 ke dalamnya. Ada beberapa cara untuk tidak melakukan ini, tetapi dengan tetap berada di dunia "vanilla biasa" yang ketat, Anda akan membuat VLAN, pikirkan subnet IP untuk digunakan dalam VLAN, tetapkan beberapa router alamat IP di VLAN itu, pasang router itu ke VLAN (baik dengan antarmuka fisik atau subinterface virtual pada router), sambungkan beberapa host ke VLAN dan tetapkan alamat IP-nya di subnet yang Anda tentukan, dan rutekan traffic mereka masuk dan keluar dari VLAN.
Anda seharusnya tidak memulai subnetting Ethernet LAN kecuali Anda memiliki alasan yang bagus untuk melakukannya. Dua alasan terbaik adalah:
Mengurangi masalah kinerja. LAN Ethernet tidak dapat diskalakan tanpa batas. Siaran berlebihan atau membanjiri frame ke tujuan yang tidak diketahui akan membatasi skalanya. Salah satu dari kondisi ini dapat disebabkan karena membuat domain siaran tunggal dalam LAN Ethernet terlalu besar. Lalu lintas siaran mudah dipahami, tetapi membanjiri frame ke tujuan yang tidak diketahui sedikit lebih tidak jelas. Jika Anda mendapatkan begitu banyak perangkat sehingga tabel MAC switch Anda beralih berlebihan akan dipaksa untuk membanjiri frame non-broadcast keluar semua port jika tujuan frame tidak cocok dengan entri dalam tabel MAC. Jika Anda memiliki domain siaran tunggal yang cukup besar di LAN Ethernet dengan profil lalu lintas yang jarang berbicara (yaitu,
Keinginan untuk membatasi / mengontrol lalu lintas yang bergerak di antara host pada layer 3 atau lebih. Anda dapat melakukan beberapa peretasan memeriksa lalu lintas pada lapisan 2 (ala Linux ebtables) tetapi ini sulit untuk dikelola (karena aturan yang dikaitkan dengan alamat MAC dan mengganti NIC mengharuskan perubahan aturan) dapat menyebabkan apa yang tampak sebagai perilaku yang benar-benar aneh (melakukan proxy transparan HTTP pada lapisan 2, misalnya, aneh dan menyenangkan, tetapi sama sekali tidak alami dan bisa sangat tidak intuitif untuk memecahkan masalah), dan umumnya sulit dilakukan pada lapisan bawah (karena alat lapisan 2 seperti tongkat) dan batu di berurusan dengan layer 3+ keprihatinan). Jika Anda ingin mengontrol lalu lintas IP (atau TCP, atau UDP, dll) di antara host, daripada menyerang masalah pada layer 2, Anda harus menggunakan subnet dan menempelkan firewall / router dengan ACL di antara subnet.
Masalah kelelahan bandwidth (kecuali disebabkan oleh paket broadcast atau membanjirnya frame) tidak diselesaikan dengan VLAN dan subnetting biasanya. Mereka terjadi karena kurangnya konektivitas fisik (terlalu sedikit NIC pada server, terlalu sedikit port dalam grup agregasi, kebutuhan untuk naik ke kecepatan port yang lebih cepat) dan tidak dapat diselesaikan dengan men-subnetting atau menggunakan VLAN sejak menang dapat meningkatkan jumlah bandwidth yang tersedia.
Jika Anda tidak memiliki bahkan sesuatu yang sederhana seperti MRTG berjalan grafik statistik per-port lalu lintas di switch Anda yang benar-benar urutan pertama Anda bisnis sebelum Anda mulai berpotensi memperkenalkan kemacetan dengan bermaksud baik tapi kurang informasi subnetting. Hitungan byte mentah adalah awal yang baik, tetapi Anda harus menindaklanjutinya dengan mengendus yang ditargetkan untuk mendapatkan detail lebih lanjut tentang profil lalu lintas.
Setelah Anda tahu bagaimana lalu lintas bergerak di LAN Anda, Anda dapat mulai berpikir tentang subnetting karena alasan kinerja.
Sejauh "keamanan" Anda akan perlu tahu banyak tentang perangkat lunak aplikasi Anda dan bagaimana itu berbicara sebelum Anda dapat melanjutkan.
Saya melakukan desain untuk LAN / WAN berukuran resonansi untuk Pelanggan medikal beberapa tahun yang lalu dan saya diminta untuk meletakkan daftar akses pada entitas layer 3 (modul supervisor Cisco Catalyst 6509) untuk mengontrol lalu lintas yang bergerak antara subnet dengan " Insinyur "yang memiliki sedikit pemahaman tentang jenis kerja keras apa yang sebenarnya dibutuhkan tetapi sangat tertarik pada" keamanan ". Ketika saya kembali dengan proposal untuk mempelajari setiap aplikasi untuk menentukan port TCP / UDP dan host tujuan yang diperlukan, saya mendapat respons yang mengejutkan dari "insinyur" yang menyatakan bahwa seharusnya tidak terlalu sulit. Yang terakhir yang saya dengar mereka menjalankan entitas layer 3 tanpa daftar akses karena mereka tidak bisa mendapatkan semua perangkat lunak mereka bekerja dengan andal.
Moral: Jika Anda benar-benar akan mencoba dan mengecilkan paket dan akses stream-level antara VLAN bersiaplah untuk melakukan banyak kerja keras dengan perangkat lunak aplikasi dan belajar / rekayasa balik cara berbicara melalui kabel. Membatasi akses oleh host ke server seringkali dapat dilakukan dengan fungsionalitas penyaringan pada server. Membatasi akses pada kabel dapat memberikan rasa aman yang salah dan administrator menidurkan ke dalam kepuasan di mana mereka berpikir "Yah, saya tidak perlu mengkonfigurasi aplikasi. Aman karena host yang dapat berbicara dengan aplikasi. Dibatasi oleh 'itu jaringan'." Saya mendorong Anda untuk mengaudit keamanan konfigurasi server Anda sebelum saya mulai membatasi komunikasi host-ke-host pada kabel.