キーIOT
検索
- 葡萄酒|威士忌|白兰地|啤酒-。
IPアドレスで十分なのに、なぜネットワークをセグメント化するのか?
ネットワーキングを学ぶ人の多くが、IPアドレスのトピックにたどり着くと、しばしば疑問に思う:
「私の会社には数十台のデバイスしかありませんし、IPアドレスは1つのネットワークセグメントで十分です。なぜそんなに多くのサブネットに分けるのですか?"
笑ってはいけない。これは単なる初心者の質問ではない。十分なIPアドレスを持つこと≠適切なネットワーク・セグメンテーション。
IPアドレスは十分にあるのに、なぜネットワークをセグメント化するのか?
I.重要なポイントネットワーク・セグメンテーションは "IPの節約 "ではない
トラフィック、パーミッション、リスクをコントロールすることだ!
ネットワーク・セグメンテーションの核心は、リソースの節約ではなく、ネットワーク・ガバナンスである。
これらのシナリオに聞き覚えはないだろうか?
- 感染したオフィスのコンピュータが、フロア全体のデバイスに対してARP攻撃を開始する。
- ゲスト・デバイスはコア・ビジネス・サーバーに直接pingを送信できる
- DHCPパケットがあちこちに浮遊し、間違ったVLANのデバイスが間違ったIPを取得する
- サービスがクロストラフィックでリンクを圧迫する一方で、IT部門はソースの特定に苦労している。
根本的な問題は、デバイスが多すぎることではなく、境界のない環境を作り出すネットワーク・セグメンテーションの欠如である。
II.セグメント化されていないネットワークは大きな寮のようなもの
セキュリティ、効率性、管理性に別れを告げよう!
こう考えてみよう:
セグメンテーションがない。誰かが咳をすれば全員に聞こえ、誰かが火事を起こせば寮全体が燃える。
さらに細分化すると、こんな落とし穴がある:
1.ブロードキャスト・フラッドと突然のARPストーム
レイヤー2ブロードキャスト(ARP、DHCP、マルチキャスト)は分離されていない 多数のデバイスがあると、新しいコンピューターはそれぞれネットワーク全体にブロードキャストして、"あなたは誰ですか?"と尋ねてくる。最良のケース:NICの高い使用率、最悪のケース:サービス全体の待ち時間 IoTデバイスやセキュリティカメラが追加されれば、すぐに何千ものエンドポイントに到達します。
2.セキュリティ権限が管理不能に-境界がないことはルールがないことを意味する
例えば、こうだ:
金融システム、ゲスト・ネットワーク、オフィスのPCが、すべて1つの大きなネットワーク・セグメントを共有している ハッカーが外部デバイスを持ち込んで、192.168.1.0/24全体をスキャンし、すぐに資産のレイアウトがわかってしまう どうすればこれを防げるだろうか?ACLの記述が難しくなり、ファイアウォールのルールが複雑になる。
適切なセグメンテーションがあれば、ACLやVLAN制限を直接適用できる:
ジャバスクリプト
deny finance_vlan to visitor_vlan
境界線はコントロールを可能にする。
3.トラブルシューティングが当てずっぽうに-パケットキャプチャーさえ困難
特定のデバイスのパケット・ロスを調査する場合、ネットワーク・セグメント全体が混在したトラフィックを含んでいる:
- どのトラフィックが監視カメラに属するのか?
- どちらがオフィスシステムに属するのか?
- Zoomを使っているエグゼクティブの意見ですか?
パケットキャプチャはブロードキャストメッセージで埋め尽くされ、解析はほとんど不可能だ。
適切なセグメンテーションにより、「ビジネスライン」ごとに問題を特定することができ、キャプチャがより正確になり、トラブルシューティングがより迅速になります。
4.上位層デバイスは高い圧力と低い転送効率に直面する
1つのセグメントに何千台ものデバイスを詰め込むと、レイヤー3デバイスのARPテーブルとMACテーブルが災害地帯になる:
- ARPエントリーが爆発する
- MACテーブルの変動が激しい
- DHCPアドレスの競合が頻発
そうなると、問題は "ネットワークに接続されているか?"ではなく、"ネットワークが切断されたように感じるほど遅いのはなぜか?"となる。
III.ネットワークを適切にセグメント化するには?
標準的な答えはないが、ここでは実践的なコンセンサス・アプローチを紹介する:
1.機能/サービス別セグメント
いくつかの典型的なセグメンテーション・アプローチ:
- ネットワーク機器の管理VLAN産業用ルータースイッチ、AP)
- ビジネスサーバー用サーバーVLAN
- 従業員ワークステーション用オフィスVLAN
- ビジター用ゲストVLAN
- カメラ、センサー、その他のスマートデバイス用のIoT VLAN
2.フロア/エリアによるセグメンテーションも有効
- 1階はワンセグ、2階は別セグ
- 東オフィスエリアはワンセグ、西オフィスエリアは別セグ
このアプローチは、スイッチの分配と整合し、管理を明確にし、リンクの問題を即座に特定できるようにする。
3.各ネットワーク・セグメントは200台を超えないこと。
24ネットワーク(最大254IP)が最も一般的だが、この制限を超える場合はさらなるサブネット分割を検討する。また、レイヤー3ゲートウェイを導入してブロードキャストドメインを分割し、ブロードキャストストームを防ぐこともできます。
結論
十分なIPアドレスがあるかどうかはリソースの問題であり、ネットワークをセグメント化するかどうかはガバナンスの問題である。
すべてのIPを割り当てたからといって、それで終わりだと思わないでください。システムの安定性、安全性、制御性を真に高めるのは、ネットワークを適切な境界で明確にセグメント化できているかどうかです。
関連推奨品
-
4G LTEルーター:インターネットアクセス、ネットワーキング、壁透過、リモートコントロールの完全ガイド
323こんにちは、今日は4G LTEルーターについての実用的なガイドをお届けします。この記事は、純粋に私の個人的なユーザー体験に基づいており、広告コンテンツはありません。必要な方のお役に立てれば幸いです。
詳細を見る -
ATMルーターの特徴
301ATMルーターの特殊性について皆さんと議論するために銭老がここにいます。右山無線フォーラムで長年活動してきた者として、私は最近、数多くの銀行ネットワーク機器の導入ソリューションを研究し、発見しました。
詳細を見る -
車両ゲートウェイとは?車両ゲートウェイは通常どこにあるのか?
327今日の自動車産業では、インテリジェンスとコネクティビティへの要求が高まり続けている。車両と外部ネットワーク間の通信とデータ交換を可能にするために、車両ゲートウェイが登場しました。
詳細を見る -
SIM CPE完全ガイド:産業シナリオのための魔法のワイヤレスネットワークソリューション
320フォーラムの皆さん、こんにちは!私はKEY-IOTのオールド・ガオと申します。長年ネットワーク技術に携わり、様々な産業用制御機器やIoT機器と日々仕事をしています。本日は、SIMカードとIoTデバイスに関する実践的な洞察とチームの実地経験を共有したいと思います。
詳細を見る
