网络架构的基本步骤

每个人都见过机场的安检口. 他们确保只有那些属于大门的人能到达他们, 而且飞机上没有坏人. 但是为什么会有这么多门? 幸运的是，它们以顺序和逻辑的方式进行了标记. 所以在机场, 多个安全检查点保证了安全, 上锁的门确保我无法进入不属于我的区域, 准确的标签有助于指引每个人去他们需要去的地方, 安全.

网络分割的工作原理类似于网络流量上的安全检查点和门.

什么是网络分割?

在很短的时间内, 网络分割是将计算机网络分解的概念, 无论是逻辑上还是物理上, 分成多个更小的碎片. 物理分割涉及到将网络分解成更小的物理组件. 它涉及投资额外的硬件，如交换机、路由器和接入点.

而物理分割似乎是打破一个网络的简单方法, 这通常代价高昂，还可能导致意外的问题. 想象一下，两个Wi-Fi接入点就在彼此旁边, 每个广播不同的ssid. 这将是低效的，并导致许多冲突.

逻辑分段是将网络分割成可管理的块的更流行的方法. 通常, 逻辑分割不需要新的硬件, 前提是基础设施已经被管理. 而不是, 逻辑分段使用网络设备中已经内置的概念, 例如创建共享一个物理交换机的单独的虚拟局域网(vlan), 或者将不同的资产类型划分为不同的子网，并使用路由器在各个子网之间传递数据.

网段实现以下目的:

增强的安全

通过确保不同的设备组通过防火墙, 您可以对流量应用访问控制列表，并启用最小权限的概念. 它还允许安全工具检查流量，以发现潜在的威胁. 在一个没有任何差错的世界里，没有必要去控制一个缺口或攻击. 但现实情况是，攻击者可以影响整个网络, 除非它们仅限于本地子网. 当事情真的出错的时候, 分割通过缩小故障排除和保护工作的重点区域，显著减少了解决问题的平均时间.

提高性能

子网越小，每个子网中的设备越少. 更少的设备意味着您可以构建和执行更细粒度的策略, 像访问规则, 和文件权限. 更少的主机也意味着更少的流量和更小的广播域. 减小广播域可以降低噪声.的所有, 网络分段有助于提高整个网络及其分段的性能.

下面是一些常见的网络分割方法:

创建来宾无线网络

理论上，客户的客户网络可以是有线和无线的，但是, 几乎总是, 访客网络主要是无线的. 实现新的客户SSID并确保将其配置为提供无线隔离, 您有效地为客户Wi-Fi的每个用户创建了一个细分, 允许他们在不访问其他网络的情况下访问互联网.

创建语音网络

与通常无线的客户网络不同，语音网络通常是有线的. 低延迟和低抖动是非常重要的VoIP电话(VoIP)得到最好的通话质量, 而将其与数据流量混在一起会降低其质量. 语音网络通常划分为单独的VLAN，使用专用的IP子网范围, 远离常规的数据流量.

用户组与业务分离

是否每个用户都需要访问整个网络? 客户办公室的接待员是否应该能够从会计系统中提取报告? 可能不是. 通过将用户组和服务划分为各自的网段或子网, 您可以创建相似用户和服务的分组. 然后，您可以围绕这些组构建数据流量, 确保合适的人能够获得合适的东西.

如果您遇到网络问题，SOS可以帮助您到达需要的位置.