Le VLAN sono necessarie per il mio ambiente?

Sono il nuovo gestore della rete per una scuola. Ho ereditato un ambiente composto da diversi server Windows, circa 100 client Windows, 10 stampanti, 1 router Cisco, 6 switch Cisco e 1 switch HP. Inoltre, stiamo usando VoIP.

Ci sono quattro piani nel nostro edificio. Gli host su ciascun piano sono assegnati a una VLAN separata. Un ufficio al primo piano ha una propria VLAN. Tutti gli switch sono sulla propria VLAN. I telefoni IP sono sulla propria VLAN. E i server sono sulla propria VLAN.

Per il numero di host sulla rete, tutte queste VLAN mi stanno davvero comprando qualcosa? Sono nuovo nel concetto di VLAN ma sembra eccessivamente complicato per questo ambiente. O è geniale e io proprio non capisco?

IME sei nel parco palla dove la segregazione del traffico attraverso le reti migliorerà le prestazioni. Tuttavia, la divisione delle VLAN sembra essere stata decisa sulla base della funzione dei nodi membri piuttosto che di qualsiasi sforzo per gestire la larghezza di banda. Certamente con questo numero di nodi è possibile ottenere la stessa larghezza di banda aggregata pianificando in modo intelligente dove posizionare gli switch anziché utilizzare i vlan.

Senza vedere un diagramma dettagliato e ottenere alcune misurazioni reali è difficile da dire con certezza, ma sospetto che l'installazione che descrivi non ti dia alcun vantaggio in termini di prestazioni e molti mal di testa da amministratore.

è possibile applicare gli elenchi di controllo di accesso sul router

Non è un buon motivo per usare i Vlan - usa sottoreti, firewall e switch.

La maggior parte di quelle VLAN ha senso per me. È utile suddividere in base alla funzione, quindi una VLAN per server, una per telefoni e un'altra per workstation ha un buon senso. È quindi possibile ottenere un controllo accurato sul traffico che scorre tra workstation e server.

Quello che non vedo molto in proposito è avere VLAN per workstation su ogni piano. Una singola VLAN per tutte le workstation manterrebbe le cose belle e semplici. La diffusione di VLAN su più switch / trunk probabilmente non sarà un problema per una rete così piccola.

È anche inutile mantenere una VLAN separata per la gestione degli switch. Possono sedere felicemente sulla VLAN del server.

Niente di magico in merito alle VLAN BTW ... basta separare i segmenti della rete di trasmissione, ognuno dei quali richiede un gateway predefinito e la configurazione ACL appropriata sulle porte di rete.

Bene, potrebbe essere utile avere VLAN separate per dati (computer) e VoIP, in modo da poter applicare una sorta di prioritizzazione del traffico. VLAN separate per la gestione degli switch è anche utile. VLAN separate per piano sembrano forse troppo per 100 pezzi, a meno che non si preveda di espandersi in futuro.

Le VLAN ti consentono di dividere la tua rete in segmenti logici più piccoli; ciò aiuta sia a migliorare la gestibilità sia a limitare il traffico di trasmissione non necessario.

Per una rete così piccola potrebbe effettivamente essere eccessivo: potresti facilmente gestire ~ 100 oggetti di rete con una singola VLAN e sottorete IP. Ma penso che dovresti attenersi a questa configurazione, per due motivi principali:

1) migliora la gestibilità; se sai che i server sono in 192.168.1.X e i client in 192.168.100.Y, è più facile gestirli. Se tutti i tuoi indirizzi fossero nella sottorete 192.168.42.Z, come potresti (facilmente) distinguerli?
2) Ridimensiona molto meglio. Se mai passi da ~ 100 a> 200 oggetti di rete, una singola sottorete IP / 24 sembrerà improvvisamente molto più piccola e una singola più grande diventerà molto facilmente un disastro.

Per i puristi: sì, so benissimo che le VLAN e le sottoreti IP non hanno necessariamente una rigida mappatura 1: 1; questo è solo l'uso più comune per loro, che sembra essere ciò a cui si riferisce l'OP.

L'altro vantaggio di questo design è che è possibile applicare gli elenchi di controllo di accesso sul router, in modo che le comunicazioni tra VLAN siano limitate e che sia possibile proteggere i server Windows da studenti entusiasti.

Concordo con le risposte che hai già.

Hai bisogno di VLAN? In altre parole, sono "necessari" se vogliamo attenerci pedanticamente a ciò che chiedi nel titolo della tua domanda? Probabilmente no. È una buona idea vista la varietà del traffico che hai? Probabilmente sì.

Non esiste una risposta giusta o sbagliata, è una questione di diversi design e ciò che il designer sperava di ottenere ...

Sulla base di quello che hai detto sono d'accordo con i commenti sul non aver bisogno di una VLAN "per piano", ma senza sapere di più sulla tua configurazione (anche se sono un gestore di rete del college quindi ho qualche idea generale) è possibile per tutto ciò che sappiamo che hai classi di programmazione tutte su un piano, ufficio amministrativo su un altro, ecc. e le attuali VLAN workstation non riguardano la separazione dei piani ma piuttosto le funzioni di separazione , quindi le classi di programmazione non possono interrompere l'utilizzo della LAN per l'elaborazione di testi in altre lezioni, gli studenti non possono collegarsi facilmente alle workstation amministrative, forse hai un requisito per PC dedicati per gli esami elettronici e così via. Se sta succedendo qualcosa del genere, forse le VLAN della workstation extra iniziano a dare più senso.

Suppongo che non esista alcuna documentazione che spieghi le scelte progettuali fatte dalla persona che inizialmente ha impostato tutto questo?

Le VLAN separano il traffico di trasmissione. Non hai abbastanza computer di cui preoccuparti. Le VLAN si allineano spesso ma non sempre alle sottoreti. Le VLAN consentono inoltre di applicare alcuni ACL limitati. Switch ACL può essere molto manutentivo con pochi vantaggi. I firewall separano meglio il traffico, ACL sulle porte dello switch che possono diventare disordinati.

L'unico argomento che vedo per l'aggiunta di VLAN è se si modifica anche lo schema di indirizzamento IP. Ora, penso con solo 4 piani che potrebbero essere eccessivi.

In un'azienda in cui lavoro per cui avevamo una dozzina di edifici nel nostro campus principale e alcuni campus satellitari, quindi avevamo uno schema di indirizzamento IP, che ci ha permesso di dire tramite un indirizzo IP in quale edificio si trovava un dispositivo. Questo è il mio 2 centesimi, per quello che vale.