När datornätverk växer och fler enheter ansluts, ökar mängden trafik som alla måste hantera. En särskild typ av trafik är broadcast, som skickas till alla enheter i samma nätverk. Även om broadcast är nödvändigt för vissa funktioner, kan för stora nätverk leda till problem:

• mycket onödig trafik,
• långsammare nät,
• och svårare felsökning.

Lösningen är nätverkssegmentering. Genom att dela upp ett stort nätverk i mindre delnät (subnets) skapas flera, mindre broadcast-domäner. Denna process kallas på engelska subnetting.

I det här avsnittet går vi igenom grundläggande begrepp såsom broadcast-domän, segmentering och hur switchar och routrar hanterar broadcast.

Broadcast-domäner och segmentering

Har du någon gång fått ett e-postmeddelande som var adresserat till alla på jobbet eller i skolan? Det är ett exempel på ett broadcast-meddelande. Förhoppningsvis innehöll det information som var relevant för alla mottagare. Men ofta gäller inte meddelandet alla, utan bara en viss grupp eller ett segment av användarna. På samma sätt fungerar det i ett nätverk.

I ett Ethernet LAN används broadcast och protokoll som ARP (Address Resolution Protocol) för att hitta andra enheter. ARP skickar ett lager 2-broadcast till alla enheter i det lokala nätverket för att ta reda på vilken MAC-adress som hör till en viss IPv4-adress.

Enheter i Ethernet-LAN kan också använda andra tjänster som bygger på broadcast. Ett exempel är DHCP (Dynamic Host Configuration Protocol). När en host behöver en IP-adress skickar den ut ett broadcast-meddelande för att hitta en DHCP-server som kan ge den nödvändig konfiguration.

Switchar hanterar broadcast på ett särskilt sätt: de skickar vidare broadcast-trafik ut på alla portar utom den port där meddelandet togs emot. På så sätt sprids ett broadcast-meddelande till alla andra switchar och användare i det lokala nätverket.

Med andra ord är en broadcast-domän den del av ett nätverk där alla enheter kan ta emot ett broadcast-meddelande som skickas av en annan enhet.

Routrar segmenterar broadcast-domäner

Routrar vidarebefordrar inte broadcast. När en router tar emot ett broadcast-paket på t.ex. GigabitEthernet0/0 så skickar den inte vidare paketet ut på andra interface.
Konsekvensen blir att varje router-interface utgör gränsen för en broadcast-domän. Broadcast-trafik stannar alltså inom sin egen domän och sprids inte över routern.

Problem med stora broadcast-domäner

En stor broadcast-domän innebär att många hostar delar samma lager-2-nät. Då kan mängden broadcast-trafik bli hög. Alla hostar måste dessutom ta emot och processa varje broadcast, vilket ökar den totala trafikmängden i nätet (kan göra nätet ”trögt”), belastar klienter och andra enheter (onödigt CPU-arbete).

I figuren LAN 1 med 400 användare kan mängden broadcast vara betydande och påverka prestanda.

Lösningen: dela upp nätet i mindre broadcast-domäner (subnetting)

Genom subnetting delar vi nätet i mindre delar, delnät, så att broadcast bara sprids inom respektive delnät.

Exempel: I figuren delas 172.16.0.0/16 (LAN 1 med ~400 användare) upp i två subnät med ~200 användare i varje:

• 172.16.0.0/24
• 172.16.1.0/24

Nu propageras broadcast endast inom respektive /24-domän. Ett broadcast i LAN 1 når inte LAN 2.

Lägg märke till att prefixlängden ändras från /16 till /24.
Det är själva grunden i subnetting: vi ”lånar” host-bitar för att skapa fler nät (längre prefix ger fler delnät, färre host-adresser per delnät).

Obs! Begreppen delnät och nät används ofta som synonymer. I praktiken är de flesta ”nät” du arbetar med delnät av ett större adressutrymme.

Varför segmentera nät?

Det finns flera anledningar till att dela upp ett större nät i mindre delar. En av de viktigaste är att minska mängden broadcast-trafik. När färre enheter delar samma broadcast-domän blir nätet mer effektivt och prestandan förbättras.

En annan anledning är att begränsa effekten av fel. Om en dator skickar ut felaktiga broadcast eller om ett angrepp sker i nätet, kommer endast de enheter som finns inom samma delnät att påverkas. Resten av nätverket fortsätter att fungera normalt.

Segmentering används också för att införa säkerhetspolicys. Med hjälp av t.ex. åtkomstlistor (ACL) och brandväggs regler kan en nätverksadministratör styra vilka delnät som får kommunicera med varandra och vilka som ska vara isolerade.

Dessutom ger segmentering en tydligare organisatorisk struktur. Delnät kan skapas efter olika behov, till exempel baserat på plats (en viss våning eller byggnad), efter grupp eller funktion (t.ex. Administration, HR, Students, Accounting), eller efter enhetstyp (IP-telefoner, skrivare, IoT). På så sätt blir det enklare att både hantera och felsöka nätverket.

Segmentering via VLAN

Två vanliga tekniker för segmentering är subnetting och VLAN (Virtual LAN). Subnetting bygger på att dela upp IP-adressrymden i mindre delar genom att använda längre prefix, till exempel ett /24-nät i stället för ett /16-nät. VLAN däremot fungerar på lager 2 och gör det möjligt att logiskt separera nätverk även om enheterna är fysiskt anslutna till samma switch. I praktiken används ofta båda metoderna tillsammans för att uppnå både effektivitet och säkerhet.

Obs! VLAN-teknik är också en form av segmentering, men den behandlas först i CCNA 2. I det här avsnittet fokuserar vi enbart på subnetting.