Có bao nhiêu Vlan là quá ít và quá nhiều?

Chúng tôi hiện đang chạy hơn 800 máy tính PC và hơn 20 máy chủ, cơ cấu hạ tầng mạng nằm dọc theo dòng của Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop. Tất cả chạy thiết bị 3Com (1).

Chúng tôi có 3 công tắc khu vực cho bốn khu vực (A, B, C, D được hợp nhất với lõi), mỗi công tắc khu vực sẽ có từ 10 đến 20 công tắc cục bộ được kết nối với các khu vực này. Ngoài ra còn có một công tắc lõi dự phòng, ít năng lượng hơn nhưng được kết nối như công tắc lõi chính.

Chúng tôi cũng có một hệ thống điện thoại IP. Các máy tính / máy chủ và swicthes nằm trên dải ip 10.x, điện thoại trên dải 192.168.x. Các máy tính thường không phải nói chuyện với nhau ngoại trừ trong phòng thí nghiệm máy tính, nhưng chúng cần có thể nói chuyện với hầu hết các máy chủ của chúng tôi (AD, DNS, Exchange, Lưu trữ tệp, v.v.)

Khi chúng tôi thiết lập, chúng tôi đã quyết định rằng chúng tôi sẽ có 3 Vlan, một cho Switch và Máy tính, một cho Điện thoại và một cho sao chép máy chủ (điều này trái với lời khuyên của các kỹ sư 3Com). Mạng đã ổn định và hoạt động kể từ thời điểm này (2), nhưng giờ chúng tôi đã bắt đầu nâng cấp lên môi trường SAN và Virtualisation. Bây giờ việc phân chia cơ sở hạ tầng mới này thành các Vlan riêng biệt có ý nghĩa và cho biết cách thức thiết lập VLans của chúng tôi có vẻ hợp lý.

Hiện tại, người ta đang đề xuất rằng các Vlan nên được thiết lập trong phòng theo từng phòng, tức là một phòng máy tính có trên 5 PC nên là Vlan của riêng họ, nhưng nếu chúng ta theo mô hình này, chúng ta sẽ tìm kiếm ít nhất 25 VLans "mới" , cộng với các VLans cho máy chủ SAN / Virtual. Mà dường như tôi sẽ thêm một lượng quản trị quá mức, mặc dù tôi khá vui khi được chứng minh là sai.

Điều gì sẽ được thực hành tốt nhất dường như đề nghị? Có một số lượng PC nhất định không nên vượt quá / thấp hơn trong Vlan.

(1) Tuyến chuyển mạch 3Com (3870 & 8800) giữa các Vlan khác với cách một số người khác thực hiện, nó không yêu cầu bộ định tuyến riêng vì chúng là lớp 3.

(2) Đôi khi chúng tôi nhận được tỷ lệ loại bỏ cao hoặc thay đổi STP và tại thời điểm báo cáo của giám đốc mạng 3Com rằng các thiết bị chuyển mạch đang bị quá tải và chậm phản ứng với ping, hoặc một công tắc thất bại trong việc quản lý để hạ mạng (tất cả các điện thoại và máy tính VLans! , một lần, không biết tại sao)

Có vẻ như ai đó trong tổ chức của bạn muốn tạo Vlan không hiểu lý do tại sao bạn làm điều đó và những ưu / nhược điểm liên quan. Có vẻ như bạn cần phải thực hiện một số phép đo và đưa ra một số lý do thực sự để làm điều này trước khi tiến về phía trước, ít nhất là với sự điên cuồng "Vlan cho một căn phòng".

Bạn không nên bắt đầu phá vỡ mạng LAN Ethernet thành Vlan trừ khi bạn có lý do chính đáng để làm điều đó. Hai lý do tốt nhất là:

• Giảm thiểu các vấn đề hiệu suất. Ethernet LAN không thể mở rộng vô hạn. Phát sóng quá mức hoặc tràn ngập các khung hình đến các điểm đến chưa biết sẽ giới hạn quy mô của chúng. Một trong những điều kiện này có thể được gây ra bằng cách tạo một miền quảng bá trong Ethernet LAN quá lớn. Lưu lượng phát sóng rất dễ hiểu, nhưng việc tràn ngập các khung hình đến các điểm đến không xác định thì khó hiểu hơn một chút ( đến nỗi không có áp phích nào khác ở đây thậm chí đề cập đến nó!). Nếu bạn nhận được nhiều thiết bị đến mức các bảng MAC chuyển đổi của bạn bị tràn, các công tắc sẽ buộc phải tràn các khung không phát ra khỏi tất cả các cổng nếu đích của khung không khớp với bất kỳ mục nào trong bảng MAC. Nếu bạn có một miền quảng bá đơn đủ lớn trong Ethernet LAN có cấu hình lưu lượng lưu trữ nói chuyện không thường xuyên (nghĩa là không thường xuyên đến mức các mục của chúng bị lệch khỏi bảng MAC trên thiết bị chuyển mạch của bạn) thì bạn cũng có thể bị ngập quá nhiều khung hình .

• Mong muốn hạn chế / kiểm soát lưu lượng di chuyển giữa các máy chủ ở lớp 3 trở lên. Bạn có thể thực hiện một số tin tặc kiểm tra lưu lượng ở lớp 2 (ala Linux ebtables) nhưng điều này rất khó quản lý (vì các quy tắc được gắn với địa chỉ MAC và thay đổi các NIC đòi hỏi phải thay đổi quy tắc) có thể gây ra những hành vi thực sự kỳ lạ (thực hiện Ví dụ, việc ủy ​​quyền minh bạch của HTTP ở lớp 2 rất kỳ quặc và thú vị, nhưng hoàn toàn không tự nhiên và có thể rất không trực quan để khắc phục sự cố) và thường khó thực hiện ở các lớp thấp hơn (vì các công cụ của lớp 2 giống như gậy và đá tại xử lý các mối quan tâm lớp 3+). Nếu bạn muốn kiểm soát lưu lượng IP (hoặc TCP hoặc UDP, v.v.) giữa các máy chủ, thay vì tấn công sự cố ở lớp 2, bạn nên mạng con và dán tường lửa / bộ định tuyến bằng ACL giữa các mạng con.

Các vấn đề cạn kiệt băng thông (trừ khi chúng được gây ra bởi các gói phát sóng hoặc làm ngập khung hình) thường không được giải quyết bằng Vlan. Chúng xảy ra do thiếu kết nối vật lý (quá ít NIC trên máy chủ, quá ít cổng trong một nhóm tổng hợp, cần phải tăng tốc độ cổng nhanh hơn) và không thể giải quyết bằng cách chia nhỏ hoặc triển khai Vlan kể từ khi chiến thắng 't tăng lượng băng thông có sẵn.

Nếu bạn thậm chí không có thứ gì đơn giản như MRTG chạy biểu đồ thống kê lưu lượng truy cập trên mỗi cổng trên các thiết bị chuyển mạch của bạn thì đó thực sự là đơn hàng đầu tiên của bạn trước khi bạn bắt đầu có khả năng đưa ra các nút cổ chai với phân đoạn Vlan có chủ đích nhưng không được thông báo. Tổng số byte thô là một khởi đầu tốt, nhưng bạn nên theo dõi nó với việc đánh hơi được nhắm mục tiêu để có thêm thông tin chi tiết về hồ sơ lưu lượng.

Khi bạn biết cách lưu lượng di chuyển xung quanh mạng LAN của mình, bạn có thể bắt đầu suy nghĩ về việc phân chia mạng LAN vì lý do hiệu suất.

Nếu bạn thực sự sẽ cố gắng giảm nút truy cập gói và cấp độ giữa các Vlan, hãy chuẩn bị sẵn sàng để thực hiện nhiều công việc với phần mềm ứng dụng và học / kỹ thuật đảo ngược cách nó nói chuyện qua dây. Giới hạn truy cập của máy chủ đến máy chủ thường có thể được thực hiện bằng chức năng lọc trên máy chủ. Hạn chế quyền truy cập trên dây có thể mang lại cảm giác an toàn sai lầm và khiến các quản trị viên phải tự mãn khi họ nghĩ rằng "Chà, tôi không cần định cấu hình ứng dụng một cách an toàn vì các máy chủ có thể nói chuyện với ứng dụng bị giới hạn bởi ' mạng '. " Tôi khuyến khích bạn kiểm tra tính bảo mật của cấu hình máy chủ của bạn trước khi tôi bắt đầu hạn chế giao tiếp giữa máy chủ với máy chủ.

Thông thường, bạn tạo Vlan trong Ethernet và ánh xạ các mạng con IP 1-1 thành chúng. Bạn sẽ cần RẤT NHIỀU mạng con IP cho những gì bạn mô tả và có khả năng rất nhiều mục nhập bảng định tuyến. Lập kế hoạch tốt hơn cho các mạng con với VLSM để tóm tắt các mục trong bảng định tuyến của bạn, eh?

(Vâng, vâng-- có nhiều cách không sử dụng một mạng con riêng cho mỗi Vlan, nhưng gắn bó trong một thế giới "vanilla đơn giản", bạn sẽ tạo Vlan, nghĩ ra một mạng con IP để sử dụng trong Vlan, gán một số bộ định tuyến một địa chỉ IP trong Vlan đó, gắn bộ định tuyến đó vào Vlan, với giao diện vật lý hoặc giao diện con ảo trên bộ định tuyến, kết nối một số máy chủ với Vlan và gán cho chúng địa chỉ IP trong mạng con bạn đã xác định và định tuyến lưu lượng truy cập của chúng vào và ra khỏi Vlan.)

Vlan chỉ thực sự hữu ích cho việc hạn chế lưu lượng phát sóng. Nếu có thứ gì đó sẽ phát sóng nhiều, thì hãy tách nó thành Vlan của riêng nó, nếu không tôi sẽ không làm phiền. Bạn có thể muốn có một bản sao ảo hóa của một hệ thống trực tiếp trên cùng một mạng và muốn sử dụng cùng một dải địa chỉ, sau đó, một lần nữa, đó có thể là giá trị của một Vlan riêng biệt.

Vlan là tốt như một mức độ bảo mật bổ sung. Tôi không biết 3Com xử lý nó như thế nào nhưng thông thường bạn có thể phân đoạn các nhóm chức năng khác nhau thành các Vlan khác nhau (ví dụ: Kế toán, WLAN, v.v.). Sau đó, bạn có thể kiểm soát ai có quyền truy cập vào một Vlan cụ thể.

Tôi không tin rằng có bất kỳ mất hiệu năng đáng kể nào nếu có nhiều máy tính trong cùng một Vlan. Tôi thấy việc phân chia mạng LAN trong phòng theo từng phòng là không thực tế, nhưng một lần nữa, tôi không biết 3Com xử lý nó như thế nào. Thông thường hướng dẫn không phải là kích thước, mà là bảo mật hoặc hoạt động.

Trong thực tế, tôi không thấy bất kỳ lý do nào để thậm chí phân đoạn LAN thành các Vlan khác nhau nếu không có lợi ích bảo mật hoặc hoạt động.

Trừ khi bạn có 25 nhóm thử nghiệm và phát triển thường xuyên giết chết mạng với lũ lụt phát sóng, 25 Vlan mỗi phòng là 24 quá nhiều.

Rõ ràng SAN của bạn cần Vlan của riêng nó chứ không phải Vlan giống như truy cập Internet và hệ thống ảo! Tất cả điều này có thể được thực hiện thông qua một cổng ethernet duy nhất trên hệ thống máy chủ, vì vậy không phải lo lắng về việc phân chia các chức năng đó.

Nếu bạn có hiệu suất tào lao, hãy xem xét đặt Điện thoại và SAN trên phần cứng mạng riêng biệt, không chỉ Vlan.

Luôn luôn có lưu lượng phát sóng, cho dù đó là phát sóng độ phân giải tên, phát sóng ARP, v.v. Điều quan trọng là theo dõi lượng lưu lượng phát sóng. Nếu vượt quá 3 - 5% tổng lưu lượng thì đó là một vấn đề.

Vlan rất tốt cho việc giảm kích thước của các miền quảng bá (như David đã nêu) hoặc để bảo mật hoặc để tạo các mạng dự phòng chuyên dụng. Chúng không thực sự có nghĩa là miền "quản lý". Ngoài ra, bạn sẽ thêm độ phức tạp định tuyến và chi phí cho mạng của mình bằng cách triển khai Vlan.

Nói chung, bạn chỉ muốn xem xét sử dụng Vlan khi bạn cần cách ly thiết bị (chẳng hạn như khu vực mà người dùng có thể mang theo máy tính xách tay của họ hoặc khi bạn có cơ sở hạ tầng máy chủ quan trọng phải được bảo vệ) hoặc nếu miền quảng bá của bạn là quá cao.

Các miền quảng bá thường có thể lớn khoảng 1000 thiết bị trước khi bạn bắt đầu thấy sự cố trên mạng 100Mbit, mặc dù tôi sẽ giảm xuống 250 thiết bị nếu bạn đang xử lý các khu vực Windows tương đối ồn.

Đối với hầu hết các phần, các mạng hiện đại không cần Vlan trừ khi bạn thực hiện cách ly này (với tường lửa thích hợp sử dụng ACL, tất nhiên) hoặc giới hạn phát sóng.

Chúng cũng hữu ích trong việc ngăn chặn phát sóng DHCP để tiếp cận các thiết bị mạng không mong muốn.