VLAN-规划?

8

我们的网络是平面L2。

在某个时候,我们需要(我想,但严格来说,这不是我的责任)开始对其进行VLAN划分,因为显然我们将要进行大量广播聊天,并且最近我们的防火墙之一已达到其arp表限制(可以说防火墙的arp表限制很低,但是我们在那儿)。

那么,您如何提出将VLAN沿LAN下行的方法呢?

在我们的情况下,我们是一个站点,但是只有一个小镇的大小(我想是校园)。

我们有一个非常典型的集线器/分支LAN,其中有几个核心交换机,边缘交换机直接连接到其中,有些通过光纤到铜缆转换器直接连接。

我们的边缘套件是Procurve,Prosafe和一些较旧的Baystack等的组合。

我们的大多数客户端都使用DHCP,一些客户端使用静态IP,但是我们可以处理这些问题,网络打印机也使用静态IP。

正如我所看到的,基于园区中的物理位置,VLAN有很多选择,即建筑物A和B中的任何边缘交换机都位于VLAN xx上,或者它可以基于其他因素。

简而言之,我以前没有做过,很容易潜入并快速进行操作,然后后悔。

请问如何处理?

networking  vlan 
易碎的
source

Answers:

6

通常,已经发生了一些直接的明显划分,您将其用作分割网络的基础。听起来比vlan更像是您要对网络进行子网划分。VLAN通常基于管理要求,例如管理网络,SAN或VoIP等。子网遵循这些VLAN,但通常还会划分各种物理差异(每个建筑物,楼层或其他物理结构一个)。

在不了解您的网络的情况下,很难推荐任何特定的东西。

克里斯·S
source
+1用于跟随明显的除法。我有一些网络,其中“工作站”和“服务器” VLAN可以正常工作,并且为客户端提供了两年的喘息机会,并且可能还可以继续使用。我还让客户自己在工作站内部进行明确的职责划分,并且出于安全原因,将VLAN划分为多个“团队”。
gravyface 2010年
AIUI子网会减少广播域,但不会做任何限制ARP表所来自的L2域的问题,VLAN将解析什么?
flooble 2010年
1
VLAN是创建可对物理交换机进行分区和/或跨越的虚拟交换机的一种方式。它们不会以任何方式替换子网,相反,它们需要其他子网。他们只是从物理实现中抽象功能。
克里斯·S
4

@minarnhere描述的方式绝对是正确的方法,而不仅仅是按功能划分,添加安全性,物理位置和主机数量等因素,并根据所有这些因素将网络划分为所需的VLAN。

假设适当的交换机和路由器就位,那么拥有多个VLAN并没有成本,而且好处是巨大的,如果正确计划,管理开销也将降至最低。对于将所有学生或导师或任何组用户或主机放入单个VLAN的人为限制,不要束手无策,您为什么仍要这样做?请记住,流量只能在第3层进行控制,因此请拆分网络,以便可以限制和控制VLAN间的流量,而VLAN中的流量则没有机会。

设计园区局域网的经典方法是将网络分为访问,分发和核心。许多访问第2层交换机(每个都承载来自一个或多个VLAN的流量)将连接到一些第3层分发交换机,这些交换机将流量路由到少量的第3层核心交换机。

您所有的主机都必须连接到Access层,Access层根据上述因素分为VLAN。每个访问层VLAN在可能的情况下应限制为一台物理交换机(仅当您有双宿主服务器可能需要故障转移到同一VLAN中的另一台交换机时,才需要打破此规则)。请记住,每个VLAN都是一个广播域,并且您要尽可能限制每个VLAN的广播流量。考虑仅将/ 24子网用于您的访问层,为什么要在单个广播域中使用超过250个主机?

在某些情况下,VLAN需要分布在多个交换机上,但这些情况非常专业,交换机管理也许是其中一种(但这值得商)),其他情况很少。

一个好的起点是您的服务器。如果它们位于相同的物理位置(房间,而不是建筑物),则可能需要根据功能将它们拆分为VLAN,但是每200台主机只有一个VLAN是可以的。显然(?)面向Internet的服务器应该是独立于校园的防火墙,最好是物理上分开的网络(DMZ设计本身就是另一个专长,因此我在这里不再赘述)。您的内部服务器也应该分为供学生使用的服务器和仅供内部管理员使用的服务器,并将它们适当地分为VLAN。如果某些服务器属于特定部门(例如HR),则可能需要控制到这些服务器的通信量,请考虑为其专门设置一个VLAN。

如果将服务器分散开,然后根据位置和功能将它们放置在单独的VLAN中,则无需仅因为“它们是服务器”或“因为它们都是Web服务器”而将它们放在同一个VLAN中。

继续关注您的学生和员工用户。首先,应将非IT人员可以访问或可以访问的每个端口或访问点都视为安全隐患,并且源自该端口或访问点的所有流量都应视为不可信。根据可能的主机数量以及您的用户组(取决于情况)将您的教室置于VLAN中,但不要犯“信任”特定端口的错误,如果导师需要从教室进入您的管理网络,则应给他们就像他们在家还是在公共咖啡店一样的访问方法(VPN?)。

无线网络应与有线网络位于不同的VLAN上,但有相同的限制,如果可以避免(但有时无法避免),则不要将所有AP都放入校园范围的VLAN中,使用相同的方法将它们分开,出于与有线相同的原因。

IP电话应该惊奇地与其他地方位于单独的VLAN上,这在某些品牌(以我的经验为思科)中得以实现,这是因为电话与接入交换机进行了协商,以将流量放入适当的VLAN中,但这显然要求交换机正确配置。

局域网设计还有很多,但是以上只是一个开始。最后一点,就DHCP而言,将其用于包括服务器和打印机在内的每个主机,这两个主机都应根据其MAC地址静态分配IP地址。前者的作用域(或多个作用域)不应具有备用地址,这可以防止在某种程度上将设备随意插入服务器VLAN,但这也适用于打印机,关键是您可以对设备进行集中控制而且任何更改都将集中处理,而不是依靠徘徊在校园中正确找到地址的工程师。

好吧,就目前而言,我希望能有所帮助。

空白区
source
重新阅读问题后,我意识到OP可能不会管理实际的学校/学院校园,而只是管理类似校园的环境,如果是这种情况,则应将“教室”替换为“办公室”,并尽可能地控制不受信任的访问量如果适用,那么这适用于任何可能不被故意或偶然遵守本地PC和网络安全策略的任何人访问的任何端口。关于拆分网络的所有其他原则均保持不变。
Blankabout 2011年
1

正如Chris S提到的,VLAN和子网是不同的东西。但是,我们只是为学校校园内的每个VLAN分配了一个单独的子网和DHCP作用域。每个建筑物都有自己的VLAN /子网/ DHCP作用域。这使管理更加容易,但是如果您的校园比我们大,则可能无法正常工作。我们还将单独的VLAN用于交换机管理,物理服务器,VOIP电话,学生无线,教室无线,学生实验室,虚拟服务器,商务办公,SAN,VPN。基本上,我们足够小,任何可能的差异都可以得到自己的VLAN。(我们最多只能有25个VLAN,我只是为了将某些组与网络的其余部分隔离开来而开始建立新的部门...)

为每个VLAN创建单独的子网可能很浪费,但是如果需要,它可以简化管理,并允许您轻松进行IP-> VLAN转换。

我们对IP使用10.xxx,因此VLAN1获得10.1.xx,VLAN8获得10.8.xx,等等。每个需要DHCP的VLAN都有自己的作用域,但是我们不为不需要它们的VLAN创建作用域,例如交换机管理。

在这里
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.