KEY-IOT
بحث
— 葡萄酒 | 威士忌 | 白兰地 | 啤酒 —
لماذا تجزئة الشبكات حتى عندما تكون عناوين IP كافية؟
غالبًا ما يتساءل العديد من الأشخاص الذين يتعلمون الشبكات الذين يصلون إلى موضوع عنونة بروتوكول الإنترنت:
"شركتي لديها بضع عشرات من الأجهزة فقط، وشريحة شبكة واحدة تكفي لجميع عناوين IP الخاصة بنا. فلماذا التقسيم إلى العديد من الشبكات الفرعية؟"
لا تضحك - هذا ليس مجرد سؤال للمبتدئين. يقع العديد من مهندسي الشبكات الذين يتمتعون بسنوات من الخبرة في هذا الفخ: وجود عناوين IP كافية ≠ تجزئة الشبكة بشكل صحيح.
لذا، دعونا نوضح اليوم: لماذا تقسم الشبكات عندما يكون لديك ما يكفي من عناوين IP؟
I. النقطة الأساسية: تقسيم الشبكة لا يتعلق بـ "حفظ عناوين IP"
يتعلق الأمر بالتحكم في حركة المرور والأذونات والمخاطر!
لا يتعلق تقسيم الشبكة في جوهره بالحفاظ على الموارد بل بإدارة الشبكة.
هل تبدو هذه السيناريوهات مألوفة؟
- جهاز كمبيوتر مكتبي مصاب يشن هجمات ARP ضد طابق كامل من الأجهزة
- يمكن لأجهزة الضيوف الاتصال مباشرة بخوادم الأعمال الأساسية
- تنتشر حزم DHCP في كل مكان، مع حصول الأجهزة في شبكة محلية ظاهرية خاطئة على عناوين IP غير صحيحة
- تطغى الخدمات على الروابط مع حركة المرور العابرة بينما تكافح تكنولوجيا المعلومات لتحديد المصدر
لا تكمن المشكلة الأساسية في وجود الكثير من الأجهزة، بل في عدم وجود تجزئة للشبكة مما يخلق بيئات بلا حدود.
II. الشبكة غير المجزأة مثل المهجع الكبير
قل وداعاً للأمان والكفاءة وسهولة الإدارة!
فكّر في الأمر بهذه الطريقة:
★ لا يوجد تقسيم = جميع أجهزة الشركة تعيش في "مهجع" واحد. عندما يسعل أحدهم، يسمعه الجميع؛ وعندما يشعل أحدهم حريقًا، يحترق المهجع بأكمله.
وبتفصيل ذلك أكثر، ستواجه هذه المزالق:
1. فيضانات البث وعواصف ARP المفاجئة
لا يتم عزل عمليات البث من الطبقة الثانية (ARP، DHCP، البث المتعدد) مع وجود العديد من الأجهزة، يقوم كل جهاز كمبيوتر جديد بالبث إلى الشبكة بأكملها متسائلاً "من أنت؟ في أفضل الحالات: استخدام عالي لبطاقة NIC؛ في أسوأ الحالات: زمن انتقال على مستوى الخدمة لا تعتقد أن "بضع عشرات من الأجهزة" لن تكون ذات أهمية - بمجرد إضافة أجهزة إنترنت الأشياء أو كاميرات الأمان، ستصل بسرعة إلى آلاف نقاط النهاية.
2. تصبح أذونات الأمان غير قابلة للإدارة - لا حدود تعني عدم وجود قواعد
على سبيل المثال:
تشترك جميع الأنظمة المالية وشبكات الضيوف وأجهزة الكمبيوتر المكتبية في جزء واحد كبير من الشبكة يقوم أحد المخترقين بإحضار جهاز خارجي ويقوم بمسح 192.168.1.0.0/24 بالكامل، ويعرف على الفور تخطيط الأصول الخاصة بك كيف تمنع ذلك؟ تصبح ACLs صعبة الكتابة، وتصبح قواعد جدار الحماية معقدة.
باستخدام التجزئة المناسبة، يمكنك تطبيق ACLs أو قيود VLAN مباشرةً:
جافا سكريبت
رفض finance_vlan إلى زائر_vlan
تمكّن الحدود من التحكم.
3. يصبح استكشاف الأعطال وإصلاحها عملاً تخمينياً - حتى التقاط الحزمة أمر صعب
عند التحقق من فقدان الحزمة على جهاز معين، فإن مقطع الشبكة بالكامل يحتوي على حركة مرور مختلطة:
- ما هي حركة المرور الخاصة بكاميرات المراقبة؟
- أيهما ينتمي إلى أنظمة المكاتب؟
- أيهما من المديرين التنفيذيين الذين يستخدمون Zoom؟
تمتلئ حزمك الملتقطة برسائل البث، مما يجعل التحليل شبه مستحيل.
باستخدام التجزئة المناسبة، يمكنك تحديد المشكلات حسب "خط العمل"، مما يجعل عمليات الالتقاط أكثر دقة ويجعل استكشاف الأخطاء وإصلاحها أسرع.
4. تواجه أجهزة الطبقة العليا ضغطاً عالياً وكفاءة إعادة توجيه منخفضة
يؤدي تكدس آلاف الأجهزة في مقطع واحد إلى تحويل جداول ARP وجداول MAC الخاصة بجهازك من الطبقة الثالثة إلى منطقة كوارث:
- تنفجر إدخالات ARP
- تتقلب جداول MAC بشكل كبير
- تحدث تعارضات عناوين DHCP بشكل متكرر
لا تصبح المشكلة بعد ذلك "هل الشبكة متصلة؟" ولكن "لماذا الشبكة بطيئة جدًا لدرجة أنك تشعر أنها غير متصلة؟
ثالثًا. كيف يمكن تقسيم الشبكات بشكل صحيح؟
على الرغم من عدم وجود إجابة موحدة، إليك بعض الأساليب العملية المتفق عليها:
1. التقسيم حسب الوظيفة/الخدمة
بعض مناهج التجزئة النموذجية:
- شبكة محلية ظاهرية للإدارة لمعدات الشبكة (الموجهات الصناعيةومفاتيح التبديل، ونقاط الوصول إلى نقطة الوصول)
- الشبكة المحلية الافتراضية للخوادم التجارية
- شبكة محلية ظاهرية VLAN مكتبية لمحطات عمل الموظفين
- شبكة محلية محلية ظاهرية للضيوف للزوار
- شبكة محلية ظاهرية لإنترنت الأشياء للكاميرات والمستشعرات والأجهزة الذكية الأخرى
2. يعمل التقسيم حسب الطابق/المنطقة أيضًا
- يحصل الطابق الأول على جزء واحد، والطابق الثاني على جزء آخر
- منطقة المكتب الشرقي تحصل على جزء واحد، ومنطقة المكتب الغربي تحصل على جزء آخر
يتماشى هذا النهج مع توزيع المفاتيح، مما يجعل الإدارة أكثر وضوحًا ويمكن التعرف على مشكلات الربط على الفور.
3. يجب ألا يتجاوز كل جزء من أجزاء الشبكة 200 جهاز
شبكة /24 (254 عنوان IP كحد أقصى) هي الأكثر شيوعاً؛ فكر في تقسيم الشبكة الفرعية عند تجاوز هذا الحد. بدلاً من ذلك، قم بتنفيذ بوابات الطبقة الثالثة لتقسيم نطاقات البث ومنع عواصف البث.
الخلاصة:
ما إذا كان لديك ما يكفي من عناوين IP هي مشكلة موارد؛ وما إذا كان لديك ما يكفي من عناوين IP هي مشكلة حوكمة.
لا تعتقد أنك انتهيت لمجرد أنك قمت بتخصيص جميع عناوين IP الخاصة بك. ما يجعل نظامك مستقرًا وآمنًا ويمكن التحكم فيه حقًا هو ما إذا كنت قد قسمت شبكتك بوضوح بحدود مناسبة.
التوصيات ذات الصلة
-
أجهزة التوجيه الصناعية من الجيل الرابع 4G: الوظائف ودليل الاختيار
353مع تطور الإنترنت الصناعي، يزداد استخدام أجهزة التوجيه الصناعية من الجيل الرابع 4G على نطاق واسع. ومع ذلك ، فإن كيفية اختيار جهاز توجيه صناعي 4G مناسب بناءً على الاحتياجات الفعلية هو مصدر قلق للعديد من المستخدمين. ستحلل هذه المقالة بعمق طريقة عمل أجهزة التوجيه...
عرض التفاصيل -
ممارسة التصميم 16: الاعتبارات الرئيسية لتصميم تطبيقات ناقل CAN
287شبكة منطقة التحكم (CAN) هي تقنية ناقل ميداني تم تطويرها من قبل بوش، وهي في الأساس ناقل اتصالات تسلسلي غير متزامن. وتُستخدم على نطاق واسع في أنظمة التحكم الإلكتروني في السيارات وسيناريوهات التحكم الصناعي.
عرض التفاصيل -
-
ما هي تقنية 2CC؟
2992CC، وهي اختصار لتكنولوجيا تجميع الناقل المزدوج، هي واحدة من التطورات الأساسية في تقنية 5G-A (5G-Advanced، أو 5.5G). فكر في الأمر على أنه دمج "ساقي" تردد لتعزيز أداء الشبكة. تُستخدم هذه التقنية الآن على نطاق واسع في شبكات الجيل الخامس 5G اليوم، ما...
عرض التفاصيل
