多少个VLAN太少又太多？

我们目前正在运行800多台PC和20多台服务器的网络，其网络基础设施包括Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop。所有正在运行的3Com设备（1）。

我们有3个用于四个区域的区域交换机（A，B，C，D与核心合并），每个区域交换机将有10到20个本地交换机连接到这些区域。还有一个备用核心交换机，其功率较低，但与主核心交换机一样连接。

我们也有IP电话系统。计算机/服务器和交换机的IP地址范围为10.x，电话为192.168.x。除了在计算机实验室外，计算机通常不需要相互通信，但是它们确实需要能够与我们的大多数服务器（AD，DNS，Exchange，文件存储等）进行通信。

设置时，我们决定要有3个VLAN，一个用于交换机和计算机，一个用于电话，一个用于服务器复制（这违反了3Com工程师的建议）。从这一点（2）开始，网络一直稳定并且可以正常工作，但是我们现在已经开始升级到SAN和虚拟化环境。现在，将这种新的基础架构拆分为单独的VLAN是有意义的，并且重新修改我们的VLANS的设置似乎是明智的。

现在建议在每个房间的每个房间内设置VLAN，即一个拥有5台以上PC的计算机实验室应该是它自己的VLAN，但是如果遵循此模型，我们将至少查看25个“新” VLAN。 ，以及用于SAN /虚拟服务器的VLAN。在我看来这将增加过多的管理工作，尽管我很高兴被证明是错误的。

最佳实践似乎暗示了什么？是否建议一定数量的PC不在VLAN中/在VLAN中穿越。

（1）3Com交换机（3870和8800）在VLAN之间的路由方式与其他方式不同，它不需要第3层的单独路由器。

（2）我们有时确实会获得较高的丢弃率或STP更改，并且3Com Network Director报告交换机处于欠载状态且响应ping缓慢，或者发生故障的交换机设法断开了网络（所有电话和计算机VLAN！ ，一次，不知道为什么）

听起来您组织中的某人想要创建VLAN，而又不了解您这样做的原因以及与之相关的优缺点。听起来您需要进行一些测量，并提出一些真正的理由，然后再继续前进，至少要做到疯狂的“ VLAN for a room”愚蠢。

除非有充分的理由，否则您不应该开始将以太网LAN划分为VLAN。最好的两个原因是：

• 缓解性能问题。以太网LAN不能无限扩展。广播过多或帧泛滥到未知目的地将限制其规模。这两种情况中的任何一种都可能由于使以太网LAN中的单个广播域太大而引起。广播流量很容易理解，但是将帧泛洪到未知目的地会更加晦涩（如此之多，以至于这里没有其他张贴者提到它！）。如果设备太多，导致交换机MAC表溢出，则如果帧的目的地与MAC表中的任何条目都不匹配，则交换机将被迫将非广播帧泛洪到所有端口。如果您在以太网LAN中有一个足够大的单个广播域，且其流量配置文件很少进行主机对话（即，频率不高，以至于其条目已在交换机的MAC表中老化），那么您也可能会收到过多的帧。

• 限制/控制在第3层或更高层的主机之间移动的流量的需求。您可以做一些黑客检查第2层（ala Linux ebtables）上的流量，但这很难管理（因为规则绑定到MAC地址，而更改NIC则需要更改规则）可能会导致看起来非常非常奇怪的行为（这样做例如，第2层的HTTP透明代理是古怪有趣的，但是完全不自然，对故障排除可能是非常不直观的，并且通常很难在较低层进行（因为第2层工具就像棍子一样）以及处理第3层以上关注的问题）。如果要控制主机之间的IP（或TCP或UDP等）流量，而不是在第2层上攻击问题，则应建立子网，并在子网之间使用ACL固定防火墙/路由器。

带宽耗尽问题（除非它们是由广播数据包或帧泛滥引起的）通常无法通过VLAN来解决。之所以发生这种情况，是因为缺乏物理连接（服务器上的NIC太少，聚合组中的端口太少，需要提升到更快的端口速度），并且无法通过子网划分或部署VLAN来解决，因为这赢得了不会增加可用的带宽量。

如果你没有，甚至一些简单的像MRTG绘图运行在你的交换机每个端口的流量统计这真的是你的首要任务，你可能开始之前引入具有故意但不明智的VLAN分段的瓶颈时。原始字节数是一个不错的开始，但是您应该在目标嗅探之后进行后续操作，以获取有关流量配置文件的更多详细信息。

一旦了解了流量如何在LAN上移动，就可以出于性能原因开始考虑对LAN进行分段。

如果您真的要尝试限制VLAN之间的数据包和流级别访问，请准备好使用应用程序软件进行大量工作，并学习/逆向工程如何通过网络进行通信。通常，可以通过服务器上的筛选功能来实现主机对服务器的访问限制。限制对网络的访问会带来错误的安全感，并使管理员感到很自满，他们认为“嗯，我不需要安全地配置应用程序。因为可以与该应用程序进行通信的主机受到'the网络'。” 我建议您先审核服务器配置的安全性，然后再开始限制网络上的主机到主机通信。

通常，您在以太网中创建VLAN，并将IP子网一对一映射到它们上。您将要描述的内容需要很多 IP子网，并可能需要很多路由表条目。使用VLSM更好地计划那些子网以汇总您的路由表条目，是吗？

（是的，是的。有一种方法不为每个VLAN使用单独的子网，而是坚持使用您要创建VLAN的严格的“普通香草”世界，想出要在VLAN中使用的IP子网，分配一些路由器该VLAN中的IP地址，通过路由器上的物理接口或虚拟子接口将该路由器连接到VLAN，将某些主机连接到VLAN并在您定义的子网中为其分配IP地址，并在和超出VLAN。）

VLAN仅对限制广播流量非常有用。如果要进行大量广播，则将其分成自己的VLAN，否则我不会打扰。您可能希望在同一网络上虚拟复制一个实时系统，并希望使用相同的地址范围，那么，值得再加上一个单独的VLAN。

VLAN可以作为额外的安全级别。我不知道3Com如何处理它，但是通常您可以将不同的功能组划分为不同的VLAN（例如，记帐，WLAN等）。然后，您可以控制谁有权访问特定的VLAN。

我不相信如果同一VLAN中有很多计算机，则不会有任何明显的性能损失。我确实发现逐个房间地划分LAN是不切实际的，但是同样，我也不知道3Com如何处理它。通常，准则不是规模，而是安全性或操作性。

实际上，如果没有安全性或运营收益，我什至没有理由将LAN划分为不同的VLAN。

除非您有25个测试和开发小组经常通过广播洪流杀死网络，否则25个每个房间的VLAN太多了24个。

显然，您的SAN需要自己的VLAN，而不是与虚拟系统LAN和Internet访问相同的VLAN！所有这些都可以通过主机系统上的单个以太网端口完成，因此不必担心拆分这些功能。

如果您缺乏性能，请考虑将您的电话和SAN放在单独的网络硬件上，而不仅仅是VLAN。

无论名称解析广播还是ARP广播，​​总会有广播流量。重要的是监视广播流量。如果它超过总流量的3-5％，那就是一个问题。

VLAN有利于减少广播域的大小（如David所述），安全性或创建专用备份网络。它们并不是真正的“管理”域。另外，您将通过实现VLAN来增加网络的路由复杂性和开销。

通常，仅在需要隔离设备（例如用户可以携带自己的笔记本电脑的区域，或者必须保护重要的服务器基础结构）时才考虑使用VLAN。太高。

在开始看到100Mbit网络上的问题之前，广播域通常大约有1000台设备，但是如果您要处理相对嘈杂的Windows区域，我会把广播域减少到250台设备。

在大多数情况下，现代网络不需要VLAN，除非您要进行隔离（当然要使用ACL进行适当的防火墙）或广播限制。

它们对于防止DHCP广播到达不需要的网络设备也很有用。