VLAN - Pianificazione?

8

La nostra rete è un L2 piatto.

Ad un certo punto dobbiamo (voglio farlo, ma non è strettamente mia responsabilità) iniziare a VLAN giù poiché ovviamente avremo un sacco di chiacchiere di trasmissione in corso, e recentemente uno dei nostri firewall ha raggiunto il suo tavolo arp limite (probabilmente il firewall ha un limite di tabella arp basso ma noi siamo dove siamo con quello).

Quindi, come ti viene in mente una metodologia per la VLAN downing della tua LAN?

Nel nostro caso siamo un sito, ma le dimensioni di una piccola città (credo che il campus immagino).

Abbiamo una LAN hub / raggio abbastanza tipica con un paio di switch core su cui gli switch edge si collegano, alcuni direttamente, altri tramite convertitori da fibra a rame.

Il nostro kit per bordi è una miscela di Procurve, Prosafes, alcuni vecchi Baystacks ecc.

La maggior parte dei nostri clienti è su DHCP, alcuni sono su IP statici ma potremmo gestirli, anche le stampanti di rete sono su IP statici.

A mio avviso, ci sono molte opzioni per la VLAN basate sulla posizione fisica nel campus, vale a dire che tutti gli interruttori di bordo negli edifici A e B vanno su VLAN xx, oppure potrebbero essere basati su altri fattori.

In poche parole, non l'ho mai fatto prima ed è facile immergersi e fare cose rapidamente e poi pentirle.

Come faresti per favore?

networking  vlan 
flooble
fonte

Risposte:

6

Di solito c'è già una divisione evidente e diretta e la usi come base per segmentare la rete. Sembra più che tu voglia subnetare la rete piuttosto che vlan. i vlan si basano solitamente su requisiti amministrativi, come una rete di gestione, SAN o VoIP, ecc. Le sottoreti seguono quei vlan, ma anche comunemente dividono varie differenze fisiche (una per edificio, piano o altro costrutto fisico).

È davvero difficile consigliare qualcosa di specifico senza sapere nulla della tua rete.

Chris S
fonte
+1 per la seguente divisione evidente. Ho avuto alcune reti in cui una VLAN "workstation" e "server" funzionava bene e dava al cliente un po 'di respiro per un paio d'anni e probabilmente andrà bene per molto altro. Ho anche avuto clienti con chiare divisioni di responsabilità all'interno delle workstation stesse e per motivi di sicurezza, VLAN li ha trasferiti nei vari "team".
gravyface,
Le sottoreti AIUI ridurrebbero il dominio di trasmissione, ma non farebbero nulla per limitare il dominio L2 che è da dove proviene la tabella ARP ed è ciò che la VLAN risolverebbe?
flooble
1
Le VLAN sono un modo per creare switch virtuali in grado di partizionare e / o estendere switch fisici. Non sostituiscono le sottoreti in alcun modo, al contrario, richiedono sottoreti aggiuntive. Estraggono semplicemente la funzionalità dall'implementazione fisica.
Chris S,
4

Il modo in cui @minarnhere descrive è assolutamente la strada da percorrere, ma non solo dividere per funzionalità, aggiungere fattori di sicurezza, posizione fisica e numero di host, dividere la rete in tutte le VLAN richieste in base a tutti questi fattori.

Supponendo che siano installati gli switch e i router appropriati, non ci sono costi per avere molte VLAN e i vantaggi sono enormi, se è pianificato correttamente anche l'overhead dell'amministratore è minimo. Non limitarti con vincoli artificiali a mettere tutti gli studenti o tutor o qualsiasi gruppo di utenti o host in una singola VLAN, perché dovresti farlo comunque? Ricorda che il traffico può essere controllato solo al livello 3, quindi suddividi la tua rete in modo da poter limitare e controllare il traffico inter-VLAN, non hai alcuna possibilità con il traffico all'interno di una VLAN.

Il modo classico di progettare una LAN del campus è di dividere la rete in Access, Distribution e Core. Molti switch di livello 2 di Access, ciascuno dei quali trasporta traffico da una o più VLAN, si collegheranno a pochi switch di distribuzione di livello 3 che instradano il traffico verso un numero ridotto di switch di livello 3.

Tutti i tuoi host devono essere collegati al livello Access che è suddiviso in VLAN in base ai fattori sopra descritti. Ogni VLAN del livello di accesso dovrebbe, ove possibile, essere limitata a uno switch fisico (questa regola deve essere violata solo se si hanno server dual homed che potrebbero dover eseguire il failover su un altro switch nella stessa VLAN). Ricorda che ogni VLAN è un dominio di trasmissione e desideri limitare il più possibile il traffico di trasmissione su ciascuno di essi. Prendi in considerazione l'utilizzo di solo / 24 subnet per il tuo livello di accesso, perché dovresti desiderare> 250 host in un singolo dominio di trasmissione?

Ci saranno alcune, pochissime, circostanze in cui una VLAN deve diffondersi su più switch, ma questi saranno molto specialistici, forse la gestione degli switch (ma è discutibile), ce ne sono pochissime altre.

Un buon punto di partenza sarebbero i tuoi server. Se si trovano nella stessa posizione fisica (stanza, non edificio), è possibile dividerli in VLAN in base alla funzionalità, ma altrimenti andrà bene una singola VLAN per ~ 200 host. Ovviamente (?) I server che si affacciano su Internet dovrebbero essere da soli, preferibilmente separati fisicamente, dalla rete, protetti dal firewall dal campus (il design DMZ è un'altra specialità in sé, quindi non entrerò qui). I server interni dovrebbero anche essere suddivisi in quelli destinati all'uso degli studenti e quelli destinati esclusivamente all'amministratore interno, suddividendoli in VLAN in modo appropriato. Se alcuni server appartengono a dipartimenti particolari (ad es. HR), quindi, se potrebbe essere necessario controllare il traffico verso tali server, considerare di avere una VLAN solo per loro.

Se i server sono distribuiti, quindi inseriscili in VLAN separate in base alla posizione e alle funzionalità, non è necessario che si trovino nella stessa VLAN solo "perché sono server" o semplicemente "perché sono tutti web server".

Passare agli utenti dello studente e del personale. Innanzitutto ogni singolo porto o punto di accesso che è o potrebbe essere accessibile da personale non IT dovrebbe essere considerato un rischio per la sicurezza e tutto il traffico proveniente da lì dovrebbe essere considerato non attendibile. Metti le tue classi in VLAN in base al possibile numero di host e, a seconda delle circostanze, gruppi di utenti ma non commettere l'errore di "fidarsi" di determinate porte, se i tutor devono accedere alla tua rete di amministrazione da un'aula, allora dovrebbero essere dati lo stesso metodo di accesso (VPN?) come se fossero a casa o in una caffetteria pubblica.

La rete wireless dovrebbe trovarsi su VLAN separate da quelle cablate ma con gli stessi contorni, se può essere evitata (ma a volte non può) non mettere tutti gli AP in una VLAN a livello di campus, dividerli usando la stessa metodologia e per lo stesso motivo del cavo.

I telefoni IP dovrebbero sorprendere, sorprendere, essere su VLAN separate da tutto il resto, questo è facilitato in alcune marche (Cisco nella mia esperienza) dal telefono che negozia con l'interruttore di accesso per inserire il traffico nella VLAN appropriata, ma ciò ovviamente richiede il passaggio a essere configurato correttamente.

C'è molto di più nel design della LAN ma quanto sopra è un inizio. Come nota finale, per quanto riguarda il DHCP, utilizzalo per ogni singolo host inclusi server e stampanti, entrambi dovrebbero avere indirizzi IP assegnati staticamente in base ai loro indirizzi MAC. L'ambito (o gli ambiti) per il primo non dovrebbe avere indirizzi di riserva, questo in qualche modo impedisce la connessione casuale dei dispositivi alle VLAN del server ma, e questo vale anche per le stampanti, il punto è che hai il controllo centrale dei dispositivi e qualsiasi modifica viene gestita a livello centrale anziché affidarsi agli ingegneri che vagano per il campus per ottenere gli indirizzi giusti.

Ok, abbastanza per ora, spero che ti aiuti un po '.

blankabout
fonte
Rileggendo la domanda, mi rendo conto che l'OP potrebbe non gestire un vero campus scolastico / universitario, ma solo un ambiente simile a un campus, in tal caso le "aule" dovrebbero essere sostituite con "uffici" e per quanto riguarda il traffico non attendibile vale, quindi ciò vale per tutte le porte a cui può accedere chiunque non abbia la probabilità di conformarsi, intenzionalmente o accidentalmente, alle politiche locali di sicurezza del PC e della rete. Tutti gli altri principi sulla divisione della rete rimangono invariati.
blankabout
1

Come menzionato da Chris S, VLAN e sottoreti sono cose diverse. MA, abbiamo appena assegnato una subnet separata e un ambito DHCP a ogni VLAN nel campus della nostra scuola. Ogni edificio ha il proprio ambito VLAN / Subnet / DHCP. Questo rende la gestione molto più semplice, ma potrebbe non funzionare se hai un campus più grande di noi. Utilizziamo anche VLAN separate per Switch Management, server fisici, telefoni VOIP, Student Wireless, Classroom Wireless, Student Labs, Virtual Server, Business Office, SAN, VPN. Fondamentalmente, siamo abbastanza piccoli che ogni possibile differenziazione ottiene la propria VLAN. (Siamo solo fino a 25 VLAN e ho iniziato a creare nuove divisioni solo perché volevo isolare determinati gruppi dal resto della rete ...)

La creazione di sottoreti separate per ogni VLAN potrebbe essere dispendiosa, ma semplifica la gestione e consente facili conversioni IP -> VLAN nella tua testa, se mai dovessi farlo.

Usiamo 10.xxx per gli IP, quindi VLAN1 ottiene 10.1.xx, VLAN8 ottiene 10.8.xx, ecc. Ogni VLAN che necessita di DHCP ha il proprio ambito, ma non creiamo ambiti per VLAN che non ne hanno bisogno, come Cambia gestione.

minamhere
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.