多少个VLAN太少又太多?


23

我们目前正在运行800多台PC和20多台服务器的网络,其网络基础设施包括Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop。所有正在运行的3Com设备(1)。

我们有3个用于四个区域的区域交换机(A,B,C,D与核心合并),每个区域交换机将有10到20个本地交换机连接到这些区域。还有一个备用核心交换机,其功率较低,但与主核心交换机一样连接。

我们也有IP电话系统。计算机/服务器和交换机的IP地址范围为10.x,电话为192.168.x。除了在计算机实验室外,计算机通常不需要相互通信,但是它们确实需要能够与我们的大多数服务器(AD,DNS,Exchange,文件存储等)进行通信。

设置时,我们决定要有3个VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这违反了3Com工程师的建议)。从这一点(2)开始,网络一直稳定并且可以正常工作,但是我们现在已经开始升级到SAN和虚拟化环境。现在,将这种新的基础架构拆分为单独的VLAN是有意义的,并且重新修改我们的VLANS的设置似乎是明智的。

现在建议在每个房间的每个房间内设置VLAN,即一个拥有5台以上PC的计算机实验室应该是它自己的VLAN,但是如果遵循此模型,我们将至少查看25个“新” VLAN。 ,以及用于SAN /虚拟服务器的VLAN。在我看来这将增加过多的管理工作,尽管我很高兴被证明是错误的。

最佳实践似乎暗示了什么?是否建议一定数量的PC不在VLAN中/在VLAN中穿越。

(1)3Com交换机(3870和8800)在VLAN之间的路由方式与其他方式不同,它不需要第3层的单独路由器。

(2)我们有时确实会获得较高的丢弃率或STP更改,并且3Com Network Director报告交换机处于欠载状态且响应ping缓慢,或者发生故障的交换机设法断开了网络(所有电话和计算机VLAN! ,一次,不知道为什么)

Answers:


36

听起来您组织中的某人想要创建VLAN,而又不了解您这样做的原因以及与之相关的优缺点。听起来您需要进行一些测量,并提出一些真正的理由,然后再继续前进,至少要做到疯狂的“ VLAN for a room”愚蠢。

除非有充分的理由,否则您不应该开始将以太网LAN划分为VLAN。最好的两个原因是:

  • 缓解性能问题。以太网LAN不能无限扩展。广播过多或帧泛滥到未知目的地将限制其规模。这两种情况中的任何一种都可能由于使以太网LAN中的单个广播域太大而引起。广播流量很容易理解,但是将帧泛洪到未知目的地会更加晦涩(如此之多,以至于这里没有其他张贴者提到它!)。如果设备太多,导致交换机MAC表溢出,则如果帧的目的地与MAC表中的任何条目都不匹配,则交换机将被迫将非广播帧泛洪到所有端口。如果您在以太网LAN中有一个足够大的单个广播域,且其流量配置文件很少进行主机对话(即,频率不高,以至于其条目已在交换机的MAC表中老化),那么您也可能会收到过多的帧。

  • 限制/控制在第3层或更高层的主机之间移动的流量的需求。您可以做一些黑客检查第2层(ala Linux ebtables)上的流量,但这很难管理(因为规则绑定到MAC地址,而更改NIC则需要更改规则)可能会导致看起来非常非常奇怪的行为(这样做例如,第2层的HTTP透明代理是古怪有趣的,但是完全不自然,对故障排除可能是非常不直观的,并且通常很难在较低层进行(因为第2层工具就像棍子一样)以及处理第3层以上关注的问题)。如果要控制主机之间的IP(或TCP或UDP等)流量,而不是在第2层上攻击问题,则应建立子网,并在子网之间使用ACL固定防火墙/路由器。

带宽耗尽问题(除非它们是由广播数据包或帧泛滥引起的)通常无法通过VLAN来解决。之所以发生这种情况,是因为缺乏物理连接(服务器上的NIC太少,聚合组中的端口太少,需要提升到更快的端口速度),并且无法通过子网划分或部署VLAN来解决,因为这赢得了不会增加可用的带宽量。

如果你没有,甚至一些简单的像MRTG绘图运行在你的交换机每个端口的流量统计这真的是你的首要任务,你可能开始之前引入具有故意但不明智的VLAN分段的瓶颈时。原始字节数是一个不错的开始,但是您应该在目标嗅探之后进行后续操作,以获取有关流量配置文件的更多详细信息。

一旦了解了流量如何在LAN上移动,就可以出于性能原因开始考虑对LAN进行分段。

如果您真的要尝试限制VLAN之间的数据包和流级别访问,请准备好使用应用程序软件进行大量工作,并学习/逆向工程如何通过网络进行通信。通常,可以通过服务器上的筛选功能来实现主机对服务器的访问限制。限制对网络的访问会带来错误的安全感,并使管理员感到很自满,他们认为“嗯,我不需要安全地配置应用程序。因为可以与该应用程序进行通信的主机受到'the网络'。” 我建议您先审核服务器配置的安全性,然后再开始限制网络上的主机到主机通信。

通常,您在以太网中创建VLAN,并将IP子网一对一映射到它们上。您将要描述的内容需要很多 IP子网,并可能需要很多路由表条目。使用VLSM更好地计划那些子网以汇总您的路由表条目,是吗?

(是的,是的。有一种方法不为每个VLAN使用单独的子网,而是坚持使用您要创建VLAN的严格的“普通香草”世界,想出要在VLAN中使用的IP子网,分配一些路由器该VLAN中的IP地址,通过路由器上的物理接口或虚拟子接口将该路由器连接到VLAN,将某些主机连接到VLAN并在您定义的子网中为其分配IP地址,并在和超出VLAN。)


2
这是一个很好的解释。我只想补充一点,对于大多数现代硬件,分段并没有那么复杂,只要您意识到VLAN之间需要路由。拥有超高效的VLAN设置并在棒上使用严重超支的路由器来在网段之间传递流量,对您没有多大好处。
Greeblesnort

2

VLAN仅对限制广播流量非常有用。如果要进行大量广播,则将其分成自己的VLAN,否则我不会打扰。您可能希望在同一网络上虚拟复制一个实时系统,并希望使用相同的地址范围,那么,值得再加上一个单独的VLAN。


目前,我们正在运行没有WINS的XP-执行nbtstat -r似乎暗示我们正在获得大量广播流量。
浴缸2009年

1
用Wireshark之​​类的工具进行测量,然后看看发生了什么。WINS不是一件可怕的事情。如果发现收到许多NetBIOS名称查询请求,请尝试将正确的名称输入DNS以阻止请求,或者只是运行WINS。
埃文·安德森

2

VLAN可以作为额外的安全级别。我不知道3Com如何处理它,但是通常您可以将不同的功能组划分为不同的VLAN(例如,记帐,WLAN等)。然后,您可以控制谁有权访问特定的VLAN。

我不相信如果同一VLAN中有很多计算机,则不会有任何明显的性能损失。我确实发现逐个房间地划分LAN是不切实际的,但是同样,我也不知道3Com如何处理它。通常,准则不是规模,而是安全性或操作性。

实际上,如果没有安全性或运营收益,我什至没有理由将LAN划分为不同的VLAN。


1

除非您有25个测试和开发小组经常通过广播洪流杀死网络,否则25个每个房间的VLAN太多了24个。

显然,您的SAN需要自己的VLAN,而不是与虚拟系统LAN和Internet访问相同的VLAN!所有这些都可以通过主机系统上的单个以太网端口完成,因此不必担心拆分这些功能。

如果您缺乏性能,请考虑将您的电话和SAN放在单独的网络硬件上,而不仅仅是VLAN。


0

无论名称解析广播还是ARP广播,​​总会有广播流量。重要的是监视广播流量。如果它超过总流量的3-5%,那就是一个问题。

VLAN有利于减少广播域的大小(如David所述),安全性或创建专用备份网络。它们并不是真正的“管理”域。另外,您将通过实现VLAN来增加网络的路由复杂性和开销。


我一直在和您在一起,直到您提到路由开销。路由选择要付出代价,但是通常,执行L2 / L3的硬件会以与通过L2转发相同的速度将数据包从一个VLAN转发到另一个(从一个端口转发到另一个)。
克里斯,

没错,我没有在原始帖子中找到有关3COM交换机无需路由器即可在VLAN之间路由流量的内容(因此,我假设它们是L3交换机)。谢谢。
joeqwerty

它们可能以线速运行,但即使它们只是交换机内部的第3层实体,它们仍然是配置和管理的路由器。如果它们在第3层“交换”数据包,则它们就是路由器。
埃文·安德森

0

通常,仅在需要隔离设备(例如用户可以携带自己的笔记本电脑的区域,或者必须保护重要的服务器基础结构)时才考虑使用VLAN。太高。

在开始看到100Mbit网络上的问题之前,广播域通常大约有1000台设备,但是如果您要处理相对嘈杂的Windows区域,我会把广播域减少到250台设备。

在大多数情况下,现代网络不需要VLAN,除非您要进行隔离(当然要使用ACL进行适当的防火墙)或广播限制。


1
它们有助于防止核算人员通过邮件服务器的IP设置网络摄像头...
chris

0

它们对于防止DHCP广播到达不需要的网络设备也很有用。


1
已经提到了缓解性能问题的方法,谢谢。
克里斯·S
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.