Vlan có cần thiết cho môi trường của tôi không?

10

Tôi là người quản lý mạng mới cho một trường học. Tôi đã thừa hưởng một môi trường được tạo thành từ một số máy chủ Windows, khoảng 100 máy khách Windows, 10 máy in, 1 bộ định tuyến của Cisco, 6 thiết bị chuyển mạch của Cisco và 1 công tắc HP. Ngoài ra, chúng tôi đang sử dụng VoIP.

Có bốn tầng trong tòa nhà của chúng tôi. Các máy chủ trên mỗi tầng được gán cho một Vlan riêng. Một văn phòng ở tầng đầu tiên có Vlan riêng. Tất cả các thiết bị chuyển mạch đều nằm trên Vlan của riêng chúng. Các điện thoại IP là trên Vlan riêng của họ. Và các máy chủ đang ở trên Vlan của riêng họ.

Đối với số lượng máy chủ lưu trữ trên mạng, tất cả các Vlan này có thực sự mua cho tôi không? Tôi chưa quen với khái niệm Vlan nhưng nó có vẻ quá phức tạp đối với môi trường này. Hay đó là thiên tài và tôi không hiểu điều đó?

— kleefaj
nguồn

Câu hỏi khác này có thể hữu ích cho bạn khi nó thảo luận về giá trị của việc thuê lại. Các vấn đề tương tự cũng được xem xét và bạn có thể tìm thấy câu trả lời hữu ích: serverfault.com/questions/2591/ Khăn

— Tall Jeff

0

IME bạn đang ở trong công viên bóng nơi sự phân chia lưu lượng trên các mạng sẽ cải thiện hiệu suất. Tuy nhiên, việc phân chia các Vlan dường như đã được quyết định trên cơ sở chức năng của các nút thành viên thay vì bất kỳ nỗ lực nào để quản lý băng thông. Chắc chắn với số lượng nút này, bạn có thể có cùng băng thông tổng hợp bằng cách lập kế hoạch thông minh nơi bạn đặt công tắc thay vì sử dụng vlans.

Không thể nhìn thấy một sơ đồ đã bị loại bỏ và nhận được một số phép đo thực sự rất khó để nói chắc chắn, nhưng tôi nghi ngờ rằng thiết lập mà bạn mô tả là không mang lại cho bạn lợi ích hiệu suất và nhiều vấn đề đau đầu của quản trị viên.

bạn có thể thực thi Danh sách điều khiển truy cập trên bộ định tuyến

Không phải là một lý do tốt để sử dụng vlans - sử dụng mạng con, tường lửa và công tắc.

— cây đậu tương
nguồn

Làm thế nào để bạn thấy nó cải thiện hiệu suất? Điều gì đặc biệt về Vlan cải thiện hiệu suất? Cảm ơn.

— joeqwerty

1

Điều gì đặc biệt về Vlan cải thiện hiệu suất? Không có gì. Truyền lưu lượng CSMA / CD qua nhiều dây song song (dễ thực hiện nhất dựa trên src / dst) làm giảm va chạm, tăng băng thông tối ưu và hiệu quả.

— symcbean

Đó là những gì tôi nghĩ bạn có nghĩa là; rằng Vlan giúp loại bỏ các điều kiện dẫn đến giảm hiệu suất, nhưng chúng không chủ động tăng hiệu suất. Cảm ơn đã làm rõ.

— joeqwerty

5

Hầu hết các Vlan đó có ý nghĩa với tôi. Thật tốt khi phân chia theo chức năng để Vlan cho máy chủ, một cho điện thoại và một cho các máy trạm có ý nghĩa tốt. Sau đó, bạn có thể kiểm soát tốt lưu lượng truy cập giữa các máy trạm và máy chủ.

Những gì tôi không thấy nhiều điểm là có Vlan cho các máy trạm ở mỗi tầng. Một Vlan duy nhất cho tất cả các máy trạm sẽ giữ mọi thứ tốt đẹp và đơn giản. Các Vlan kéo dài trên nhiều thiết bị chuyển mạch / trung kế có thể sẽ không phải là vấn đề đối với một mạng nhỏ.

Việc duy trì một Vlan riêng biệt để quản lý chuyển đổi cũng khá vô nghĩa. Họ có thể ngồi hạnh phúc trên máy chủ Vlan.

Không có gì kỳ diệu về Vlan BTW ... chỉ cần phân tách các phân đoạn mạng quảng bá với mỗi phân đoạn yêu cầu một cổng mặc định và cấu hình ACL phù hợp trên các cổng mạng.

— Chris Thorpe
nguồn

Trên thực tế, một mạng riêng để quản lý là điều bắt buộc trên hầu hết các mạng kinh doanh để ngăn chặn các cuộc tấn công bên trong thiết bị. Chỉ thiết lập một cổng để quản lý rất dễ dàng và

— imho

4

Chà, có thể hữu ích khi có các Vlan riêng cho dữ liệu (máy tính) và VoIP, vì vậy bạn có thể áp dụng một số loại ưu tiên lưu lượng. Vlan riêng để quản lý các thiết bị chuyển mạch, nó cũng hữu ích. Các Vlan riêng biệt cho mỗi tầng dường như có thể quá nhiều cho 100 chiếc, trừ khi bạn có kế hoạch mở rộng trong tương lai.

— Ông Shunz
nguồn

Hoàn toàn đồng ý. Chắc chắn bạn nên tách ra VOIP của bạn. Tách máy chủ của bạn và quản lý mạng là tốt. Một Vlan máy in có thể được tranh luận một trong hai cách. Tách biệt bởi sàn là quá mức ở kích thước môi trường của bạn.

— gWaldo

1

Vlan cho phép bạn chia mạng của bạn thành các phân đoạn logic nhỏ hơn; điều này giúp cả hai trong việc cải thiện khả năng quản lý và hạn chế lưu lượng phát sóng không cần thiết.

Đối với một mạng nhỏ như vậy, nó thực sự có thể là quá mức cần thiết: bạn có thể dễ dàng xử lý ~ 100 đối tượng mạng với một mạng con Vlan và IP. Nhưng tôi nghĩ bạn nên giữ nguyên cấu hình này, vì hai lý do chính:

1) Nó cải thiện khả năng quản lý; nếu bạn biết rằng các máy chủ nằm trong 192.168.1.X và các máy khách ở 192.168.100.Y, việc quản lý chúng sẽ dễ dàng hơn. Nếu tất cả các địa chỉ của bạn nằm trong mạng con 192.168.42.Z, làm thế nào bạn có thể (dễ dàng) phân biệt giữa chúng?
2) Nó quy mô tốt hơn rất nhiều. Nếu bạn từng di chuyển từ ~ 100 đến> 200 đối tượng mạng, một mạng con / 24 IP sẽ đột nhiên trông nhỏ hơn rất nhiều và một mạng lớn hơn sẽ rất dễ trở thành một mớ hỗn độn.

Đối với những người theo chủ nghĩa thuần túy: có, tôi biết rất rõ rằng các mạng con Vlan và IP không nhất thiết phải có ánh xạ 1: 1 nghiêm ngặt; đây chỉ là cách sử dụng phổ biến nhất đối với họ, dường như đó là những gì OP đang đề cập.

— Massimo
nguồn

2

Mạng con IP là một cách để ngăn chặn các mạng logic - cũng như các vlans. Sử dụng cả hai là không cần thiết và quá phức tạp tình hình. Đối với mạng IP, có những lợi thế bổ sung cho việc sử dụng mạng con so với vlans - vì vậy, cái sau là dự phòng IMHO.

— symcbean

1

Và chính xác thì bạn sẽ sử dụng mạng con IP như thế nào nếu không có Vlan và chuyển mạch lớp 3, nếu bạn không có một số bộ định tuyến xung quanh?

— Massimo

@symcbean: Vâng-- những gì Massimo nói. Tôi là tất cả tai.

— Evan Anderson

công tắc lớp 3? không có bộ định tuyến? - Tôi chắc chắn rằng bạn thêm phần tô điểm cho câu hỏi ban đầu trong những ngày mà câu trả lời của tôi không giải quyết được.

— symcbean

1

@symcbean, nếu bạn muốn chia mạng của mình thành nhiều mạng con IP, bạn cũng sẽ cần một cái gì đó để phân chia chúng ở lớp 2, trừ khi bạn muốn chạy nhiều mạng con IP trên cùng một phân đoạn Ethernet; và, ngay cả khi bạn muốn làm điều đó, bạn vẫn cần một cái gì đó để khiến họ nói chuyện, tức là bộ định tuyến (hoặc tường lửa). Một bộ chuyển mạch tốt, giống như một thiết bị của Cisco, có thể thực hiện cả việc sử dụng Vlan cho phân đoạn Ethernet và giao diện Vlan IP để định tuyến; nhưng nếu bạn không muốn sử dụng chúng (tại sao?), bạn sẽ cần các công tắc vật lý khác nhau và ít nhất một bộ định tuyến vật lý.

— Massimo

0

Ưu điểm khác của thiết kế này là bạn có thể thực thi Danh sách điều khiển truy cập trên bộ định tuyến, do đó việc liên lạc giữa các Vlan bị hạn chế và bạn có thể bảo vệ máy chủ Windows khỏi những sinh viên nhiệt tình.

— Mitch Miller
nguồn

0

Tôi đồng ý với câu trả lời bạn đã có.

Bạn có cần Vlan không? Nói cách khác, chúng có "cần thiết" không nếu chúng ta muốn gắn bó với những gì bạn hỏi trong tiêu đề câu hỏi của bạn? Chắc là không. Đó có phải là một ý tưởng tốt cho sự đa dạng của lưu lượng truy cập bạn có? Chắc là đúng.

Không có câu trả lời đúng hay sai, đó là câu hỏi về các thiết kế khác nhau và những gì nhà thiết kế đang hy vọng đạt được ...

Dựa trên những gì bạn đã nói, tôi đồng ý với các ý kiến về việc không cần Vlan "mỗi tầng", nhưng không biết thêm về thiết lập của bạn (mặc dù tôi là người quản lý mạng đại học nên tôi có một số ý tưởng chung) có thể cho tất cả chúng ta biết rằng bạn có tất cả các lớp lập trình trên một tầng, văn phòng quản trị ở tầng khác, v.v. và các Vlan của máy trạm hiện tại không phải về việc tách các tầng mà là về việc tách các chức năng , vì vậy các lớp lập trình không thể phá vỡ việc sử dụng mạng LAN để xử lý văn bản trong các bài học khác, sinh viên không thể dễ dàng kết nối với các máy trạm hành chính, có thể bạn có yêu cầu về PC chuyên dụng cho các bài kiểm tra điện tử, v.v. Nếu một cái gì đó như thế đang diễn ra thì có lẽ các Vlan máy trạm phụ bắt đầu có ý nghĩa hơn.

Tôi không cho rằng có bất kỳ tài liệu nào tồn tại giải thích các lựa chọn thiết kế được thực hiện bởi người ban đầu thiết lập tất cả?

— Rob Moir
nguồn

Không có tài liệu nào cả. Không ai. Số không. Tôi phải đoán tại sao nó lại được thiết lập như vậy. Có lẽ khi tôi biết nhiều hơn về Vlan, logic (hoặc thiếu) sẽ được tôi biết đến. Một số rõ ràng: văn phòng kinh doanh, thiết bị chuyển mạch, máy chủ, điện thoại, nhưng nếu không thì theo tầng.

— kleefaj

Có lẽ người thiết lập nó đã học được cách tạo Vlan cho các phần mà nó có ý nghĩa sau đó trở nên hơi điên rồ. Bạn biết nó như thế nào, khi tất cả những gì bạn có là một cái búa và rất nhiều nhiệt huyết, sẽ không mất nhiều thời gian để mọi thứ bắt đầu trông giống như một cái đinh. Tôi đoán câu hỏi tại thời điểm này có thể là: Nó sẽ gây khó chịu / phiền toái hơn / bất cứ điều gì để thay đổi nó hoặc để nó như vậy?

— Rob Moir

@kleefaj - thực sự việc thiếu tài liệu trong trường hợp của bạn có thể giúp bạn hiểu rõ hơn về thiết lập vì bạn sẽ phải vạch ra tất cả và tự viết tài liệu (mà bạn chắc chắn nên làm) và tìm hiểu cách các phân đoạn khác nhau nói chuyện với nhau . Vì kiến thức hiện tại của bạn về Vlan còn hạn chế, đây sẽ là cơ hội học tập tuyệt vời cho bạn và sẽ giúp bạn thiết kế cấu hình mạng tốt hơn cho tổ chức của bạn một khi bạn hoàn toàn hiểu được thiết lập hiện tại.

— tháng 8

0

Vlan phân tách lưu lượng phát sóng. Bạn không có đủ máy tính để lo lắng về điều đó. Vlan thường xuyên nhưng không phải lúc nào cũng thẳng hàng với mạng con. Vlan cũng cho phép bạn áp dụng một số ACL giới hạn Chuyển đổi ACL có thể được bảo trì rất nhiều với rất ít lợi ích. Tường lửa phân luồng giao thông tốt hơn, ACL trên các cổng chuyển đổi có thể bị lộn xộn.

Đối số duy nhất tôi thấy để thêm Vlan là nếu bạn cũng thay đổi lược đồ địa chỉ IP của mình. Bây giờ, tôi nghĩ chỉ với 4 tầng có thể là quá mức cần thiết.

Trong một công ty tôi sử dụng để làm việc cho chúng tôi có hàng tá tòa nhà tại cơ sở chính của chúng tôi và một vài cơ sở vệ tinh, vì vậy chúng tôi có sơ đồ địa chỉ IP, cho phép chúng tôi cho biết địa chỉ IP xây dựng thiết bị ở đâu. Đó là của tôi 2 xu, cho những gì nó có giá trị.

— JamesBarnett
nguồn