Vlan's - Lập kế hoạch?

Mạng của chúng tôi là một L2 phẳng.

Tại một số điểm chúng tôi cần (tôi muốn, nhưng đó không phải là trách nhiệm của tôi) bắt đầu Vlan nó xuống vì rõ ràng chúng tôi sẽ có rất nhiều cuộc trò chuyện phát sóng đang diễn ra, và gần đây một trong những tường lửa của chúng tôi đã đạt đến bảng arp của nó giới hạn (có thể là tường lửa có giới hạn bảng arp thấp nhưng chúng tôi đang ở đó với chúng tôi).

Vì vậy, làm thế nào để bạn đưa ra một phương pháp cho Vlan xuống mạng LAN của bạn?

Trong trường hợp của chúng tôi, chúng tôi là một trang web, nhưng kích thước của một thị trấn nhỏ (nghĩ rằng khuôn viên tôi đoán).

Chúng tôi có một mạng LAN trung tâm / nói khá điển hình với một vài công tắc lõi mà trên đó các công tắc cạnh kết nối với nhau, một số trực tiếp, một số thông qua bộ chuyển đổi sợi sang đồng.

Bộ dụng cụ cạnh của chúng tôi là hỗn hợp của Procurve's, Prosafes, một số Baystacks cũ hơn, v.v.

Hầu hết các khách hàng của chúng tôi đều sử dụng DHCP, một số ít sử dụng IP tĩnh nhưng chúng tôi có thể xử lý các máy in được nối mạng cũng trên IP tĩnh.

Như tôi thấy, có rất nhiều tùy chọn cho Vlan dựa trên vị trí thực tế trong khuôn viên, tức là bất kỳ công tắc cạnh nào trong các tòa nhà A & B đều đi trên Vlan xx, hoặc nó có thể dựa trên các yếu tố khác.

Đơn giản chỉ cần đặt tôi chưa làm điều này trước đây và thật dễ dàng để lao vào và làm mọi thứ nhanh chóng và sau đó hối tiếc.

Làm thế nào bạn sẽ đi về nó xin vui lòng?

Thông thường có một số phân chia rõ ràng về phía trước đã xảy ra và bạn sử dụng nó làm cơ sở để phân chia mạng. Âm thanh giống như bạn muốn mạng con hơn là vlan mặc dù. vlans thường dựa trên các yêu cầu quản trị, như mạng quản lý, SAN hoặc VoIP, v.v.

Thật sự rất khó để giới thiệu bất cứ điều gì cụ thể mà không biết gì về mạng của bạn.

Cách @minarnhere mô tả hoàn toàn là cách để đi nhưng không chỉ phân chia theo chức năng, thêm các yếu tố bảo mật, vị trí thực tế và số lượng máy chủ, chia mạng của bạn thành nhiều Vlan theo yêu cầu dựa trên tất cả các yếu tố này.

Giả sử các bộ chuyển mạch & bộ định tuyến thích hợp được đặt ra thì sẽ không có chi phí để có nhiều Vlan và lợi ích là rất lớn, nếu nó được lên kế hoạch chính xác thì chi phí quản trị cũng rất nhỏ. Đừng giới hạn bản thân với những ràng buộc giả tạo về việc đưa tất cả học sinh hoặc gia sư hoặc bất kỳ nhóm người dùng hoặc máy chủ lưu trữ nào vào một Vlan, tại sao bạn lại muốn làm điều đó? Hãy nhớ rằng lưu lượng chỉ có thể được kiểm soát ở lớp 3, vì vậy hãy chia nhỏ mạng của bạn để bạn có thể giới hạn và kiểm soát lưu lượng giữa các Vlan, bạn không có cơ hội với lưu lượng trong Vlan.

Cách cổ điển để thiết kế mạng LAN trường là chia mạng thành Truy cập, Phân phối và Lõi. Nhiều công tắc truy cập lớp 2, mỗi công tắc mang lưu lượng truy cập từ một hoặc nhiều Vlan, sẽ kết nối với một vài công tắc phân phối lớp 3 để định tuyến lưu lượng đến một số lượng nhỏ các công tắc lõi lớp 3.

Tất cả các máy chủ của bạn phải được kết nối với lớp Access được chia thành các Vlan dựa trên các yếu tố được mô tả ở trên. Mỗi Vlan lớp truy cập, nếu có thể, được giới hạn ở một công tắc vật lý (quy tắc này chỉ cần được phá vỡ nếu bạn có các máy chủ homed kép có thể cần chuyển đổi sang một công tắc khác trong cùng một Vlan). Hãy nhớ rằng mỗi Vlan là một miền quảng bá và bạn muốn giới hạn lưu lượng phát trên mỗi mạng này càng nhiều càng tốt. Cân nhắc sử dụng chỉ / 24 mạng con cho lớp truy cập của bạn, tại sao bạn muốn> 250 máy chủ trong một miền quảng bá?

Sẽ có một số, rất, rất ít trường hợp khi một Vlan cần trải rộng trên nhiều thiết bị chuyển mạch nhưng chúng sẽ rất chuyên nghiệp, quản lý chuyển đổi có thể là một (nhưng điều đó còn gây tranh cãi), có rất ít vấn đề khác.

Một điểm khởi đầu tốt sẽ là máy chủ của bạn. Nếu chúng ở cùng một vị trí thực tế (phòng, không phải tòa nhà) thì bạn có thể muốn chia chúng thành các Vlan dựa trên chức năng nhưng nếu không thì một Vlan trên mỗi ~ 200 máy chủ sẽ ổn. Rõ ràng (?) Các máy chủ phải đối mặt với Internet nên tự mình, tốt nhất là tách biệt về mặt vật lý, mạng, được tường lửa từ khuôn viên (thiết kế DMZ là một chuyên ngành khác, vì vậy tôi sẽ không tham gia vào đó). Các máy chủ nội bộ của bạn cũng nên được chia thành các máy chủ để sử dụng cho sinh viên và những máy chủ chỉ dành cho quản trị viên nội bộ, tách chúng thành các Vlan một cách thích hợp. Nếu một số máy chủ thuộc về các bộ phận cụ thể (Ví dụ: HR), nếu bạn có thể cần kiểm soát lưu lượng truy cập đến các máy chủ đó, hãy xem xét việc có Vlan chỉ dành cho họ.

Nếu các máy chủ được trải ra rồi đặt chúng vào các Vlan riêng biệt dựa trên vị trí cũng như chức năng, thì chúng không cần phải ở cùng một Vlan chỉ vì chúng là máy chủ 'hoặc chỉ' vì tất cả chúng đều là máy chủ web '.

Chuyển sang người dùng sinh viên và nhân viên của bạn. Để bắt đầu, mỗi cổng hoặc điểm truy cập duy nhất, hoặc có thể được truy cập bởi các nhân viên không phải CNTT có thể được coi là rủi ro bảo mật và tất cả lưu lượng truy cập có nguồn gốc từ đó nên được coi là không đáng tin cậy. Đặt các lớp học của bạn vào Vlan dựa trên số lượng máy chủ có thể và tùy thuộc vào hoàn cảnh, các nhóm người dùng nhưng đừng phạm sai lầm 'tin tưởng' các cổng cụ thể, nếu gia sư cần truy cập mạng quản trị của bạn từ một lớp học thì họ nên được cung cấp cùng một phương thức truy cập (VPN?) như thể họ đang ở nhà hoặc một quán cà phê công cộng.

Mạng không dây phải ở trên các Vlan riêng biệt với các mạng có dây nhưng với cùng một điều kiện, nếu có thể tránh được (nhưng đôi khi không thể) không đặt tất cả các AP vào Vlan rộng của trường, tách chúng bằng cùng một phương pháp và cho cùng một lý do như có dây.

Điện thoại IP nên, bất ngờ, ngạc nhiên, trên các Vlan riêng biệt với mọi thứ khác, điều này được tạo điều kiện thuận lợi cho một số nhà sản xuất (Cisco theo kinh nghiệm của tôi) bằng cách điện thoại đàm phán với công tắc truy cập để đưa lưu lượng truy cập vào Vlan phù hợp nhưng điều này rõ ràng cần phải chuyển sang được cấu hình chính xác.

Có nhiều hơn nữa về thiết kế mạng LAN nhưng ở trên là một sự khởi đầu. Lưu ý cuối cùng, liên quan đến DHCP, hãy sử dụng nó cho mọi máy chủ duy nhất bao gồm máy chủ và máy in, cả hai đều phải có địa chỉ IP được gán tĩnh dựa trên địa chỉ MAC của chúng. Phạm vi (hoặc phạm vi) trước đây không nên có địa chỉ dự phòng, điều này có một số cách để ngăn chặn việc cắm thông thường các thiết bị vào Vlan máy chủ, nhưng điều này cũng áp dụng cho máy in, điều quan trọng là bạn có quyền kiểm soát trung tâm các thiết bị và bất kỳ thay đổi nào cũng được xử lý tập trung thay vì dựa vào các kỹ sư lang thang về khuôn viên để có địa chỉ ngay.

Được rồi, đủ cho bây giờ, tôi hy vọng điều đó sẽ giúp một chút.

Như Chris S đã đề cập, Vlan và mạng con là những thứ khác nhau. NHƯNG, chúng tôi chỉ định một phạm vi mạng con và DHCP riêng cho mọi Vlan trong khuôn viên trường học của chúng tôi. Mỗi tòa nhà có phạm vi Vlan / Subnet / DHCP riêng. Điều này làm cho việc quản lý dễ dàng hơn nhiều, nhưng có thể không hoạt động nếu bạn có một khuôn viên rộng hơn chúng tôi. Chúng tôi cũng sử dụng các Vlan riêng cho Quản lý chuyển mạch, Máy chủ vật lý, điện thoại VOIP, Không dây sinh viên, Không dây lớp học, Phòng thí nghiệm sinh viên, Máy chủ ảo, Văn phòng doanh nghiệp, SAN, VPN. Về cơ bản, chúng tôi đủ nhỏ để bất kỳ sự khác biệt nào có thể có Vlan của riêng nó. (Chúng tôi chỉ có tối đa 25 Vlan và tôi bắt đầu tạo ra các bộ phận mới chỉ vì tôi muốn cách ly một số nhóm nhất định với phần còn lại của mạng ...)

Tạo các mạng con riêng biệt cho mọi Vlan có thể gây lãng phí, nhưng nó giúp quản lý dễ dàng hơn và cho phép chuyển đổi IP -> Vlan dễ dàng trong đầu bạn, nếu bạn cần phải làm điều đó.

Chúng tôi sử dụng 10.xxx cho IP, vì vậy Vlan1 nhận 10.1.xx, Vlan8 được 10.8.xx, v.v ... Mỗi Vlan cần DHCP đều có phạm vi riêng, nhưng chúng tôi không tạo phạm vi cho Vlan không cần chúng, như Quản lý chuyển mạch.