Нужны ли VLAN для моей среды?

10

Я новый сетевой менеджер для школы. Я унаследовал среду, состоящую из нескольких серверов Windows, около 100 клиентов Windows, 10 принтеров, 1 маршрутизатора Cisco, 6 коммутаторов Cisco и 1 коммутатора HP. Также мы используем VoIP.

В нашем здании четыре этажа. Хосты на каждом этаже назначены отдельной VLAN. Офис на первом этаже имеет собственную сеть VLAN. Все коммутаторы находятся в собственной VLAN. IP-телефоны находятся в собственной сети VLAN. И серверы находятся на собственной VLAN.

Что касается количества хостов в сети, все эти VLAN действительно покупают мне что-нибудь? Я новичок в концепции VLAN, но она кажется слишком сложной для этой среды. Или это гений, а я просто не понимаю?

cisco switch vlan network-design kleefaj
источник
Этот другой вопрос может быть полезен для вас, когда он обсуждал преимущества подсетей. Подобные проблемы возникают, и вы можете найти ответы на них полезными: serverfault.com/questions/2591/…
Высокий Джефф,

Ответы:

0

IME вы находитесь в Ball Park, где разделение трафика между сетями улучшит производительность. Однако разделение VLAN, по-видимому, было решено на основе функции узлов-участников, а не каких-либо усилий по управлению полосой пропускания. Конечно, с таким количеством узлов вы можете получить одинаковую совокупную пропускную способность, разумно спланировав, где вы устанавливаете коммутаторы, а не используете vlans.

Без детальной диаграммы и реальных измерений трудно сказать наверняка, но я подозреваю, что описанная вами установка не дает вам никаких преимуществ в плане производительности и многих проблем с администратором.

Вы можете использовать списки контроля доступа на маршрутизаторе

Не очень хорошая причина для использования vlans - используйте подсети, брандмауэры и коммутаторы.

symcbean
источник
Как вы видите это улучшение производительности? Что конкретно в VLAN улучшает производительность? Спасибо.
Joeqwerty
1
Что конкретно в VLAN улучшает производительность? Ничего. Передача трафика CSMA / CD через несколько проводов параллельно (что проще всего сделать на основе src / dst) уменьшает коллизии, увеличивает оптимальную и эффективную пропускную способность.
Symcbean
Это то, что я думал, ты имел в виду; эта VLAN помогает устранить условия, которые приводят к снижению производительности, но они активно не увеличивают производительность. Спасибо за разъяснения.
Joeqwerty
5

Большинство из этих VLAN имеют смысл для меня. Полезно разделить по функциям, чтобы иметь смысл использовать сеть VLAN для серверов, одну для телефонов и другую для рабочих станций. После этого вы сможете точно контролировать трафик, проходящий между рабочими станциями и серверами.

То, что я не вижу особого смысла в том, чтобы иметь VLAN для рабочих станций на каждом этаже. Единая сеть VLAN для всех рабочих станций обеспечит простоту и удобство. Объединение VLAN между несколькими коммутаторами / транками, вероятно, не будет проблемой для такой маленькой сети.

Также довольно бессмысленно поддерживать отдельную VLAN для управления коммутатором. Они могут счастливо сидеть на сервере VLAN.

Ничего волшебного в сетях VLAN. Кстати, просто отдельные сегменты широковещательной сети, каждый из которых требует шлюза по умолчанию и соответствующей конфигурации ACL на сетевых портах.

Крис Торп
источник
На самом деле отдельная сеть для управления является обязательной для большинства бизнес-сетей, чтобы предотвратить внутренние атаки на оборудование.
Настроить
4

Что ж, может быть полезно иметь отдельные VLAN для данных (компьютеров) и VoIP, чтобы вы могли применить какой-либо вид приоритетов трафика. Отдельные VLAN для управления коммутаторами также полезны. Отдельные VLAN на этаж кажутся слишком большими для 100 ПК, если только вы не планируете расширяться в будущем.

Мистер Шунц
источник
Полностью согласен. Конечно, вы должны выделить свой VOIP. Разделение серверов и управление сетью в порядке. VLAN для принтера можно утверждать в любом случае. Разделение по полу является излишним при ваших размерах окружающей среды.
gWaldo
1

VLAN позволяют вам разделить вашу сеть на меньшие логические сегменты; это помогает как в улучшении управляемости, так и в ограничении ненужного широковещательного трафика.

Для такой маленькой сети это может оказаться излишним: вы можете легко обработать ~ 100 сетевых объектов с одной VLAN и IP-подсетью. Но я думаю, что вы должны придерживаться этой конфигурации по двум основным причинам:

1) улучшает управляемость; если вы знаете, например, что серверы находятся в 192.168.1.X, а клиенты в 192.168.100.Y, ими легче управлять. Если все ваши адреса были в подсети 192.168.42.Z, как бы вы (легко) могли различить их?
2) Масштабируется намного лучше. Если вы когда-нибудь переместитесь от ~ 100 до> 200 сетевых объектов, одна / 24 IP-подсеть внезапно окажется намного меньше, а одна большая подсеть очень легко станет беспорядком.

Для пуристов: да, я очень хорошо знаю, что VLAN и IP-подсети не обязательно имеют строгое отображение 1: 1; это только наиболее распространенное использование для них, что, по-видимому, и есть то, на что ссылается OP.

Massimo
источник
2
IP-подсети - это способ разделения логических сетей, как и vlans. Использование обоих излишне и усложняет ситуацию. Для IP-сети есть дополнительные преимущества использования подсетей по сравнению с vlans - так что последний является IMHO избыточным.
Symcbean
1
И как именно вы будете использовать IP-подсети без VLAN и коммутаторов уровня 3, если у вас нет маршрутизаторов?
Массимо
@symcbean: Да, - сказал Массимо. Я весь во внимании.
Эван Андерсон
Коммутаторы уровня 3? нет роутеров? - Я уверен, что вы добавляете украшения к первоначальному вопросу на несколько дней, на которые мой ответ не адресован.
Symcbean
1
@symcbean, если вы хотите разделить свою сеть на несколько IP-подсетей, вам также понадобится кое-что разделить их на уровне 2, если вы не хотите запускать много IP-подсетей в одном и том же сегменте Ethernet; и даже если вы захотите это сделать, вам все равно понадобится что-то, что заставит их говорить, например, маршрутизатор (или брандмауэр). Один хороший коммутатор, такой как Cisco, может использовать как VLAN для сегментации Ethernet, так и VLAN IP-интерфейсы для маршрутизации; но если вы не хотите их использовать (почему?), вам понадобятся разные физические коммутаторы и хотя бы один физический маршрутизатор.
Массимо
0

Другое преимущество этой конструкции заключается в том, что вы можете применять Списки контроля доступа на маршрутизаторе, чтобы ограничить обмен данными между виртуальными локальными сетями и защитить серверы Windows от энтузиастов.

Митч Миллер
источник
0

Я согласен с ответами, которые у вас уже есть.

Вам нужны VLAN? Другими словами, они «необходимы», если мы хотим педантично придерживаться того, что вы спрашиваете в заголовке вашего вопроса? Возможно нет. Это хорошая идея, учитывая разнообразие вашего трафика? Вероятно, да.

Нет правильного или неправильного ответа, это вопрос разных дизайнов и того, чего дизайнер надеялся достичь ...

Исходя из того, что вы сказали, я согласен с комментариями о том, что VLAN не нужна «на этаж», но, не зная больше о вашей настройке (хотя я менеджер сети колледжа, так что у меня есть общее представление), это возможно для всех, кого мы знаем что у вас есть все классы программирования на одном этаже, административный офис на другом и т. д., и текущие виртуальные локальные сети рабочей станции имеют дело не с разделением этажей, а с разделением функций , поэтому классы программирования не могут нарушить использование локальной сети для обработки текста в на других уроках студенты не могут легко подключиться к административным рабочим станциям, может быть, у вас есть потребность в выделенных компьютерах для электронных экзаменов и так далее. Если что-то подобное происходит, то, возможно, дополнительные VLAN для рабочих станций начинают приобретать больше смысла.

Я не думаю, что существует какая-либо документация, объясняющая выбор дизайна, сделанный человеком, который изначально все это настроил?

Роб Моир
источник
Нет документации вообще. Никто. Нуль. Я должен догадаться, почему это так. Возможно, когда я узнаю больше о VLAN, логика (или ее отсутствие) станет мне известна. Некоторые из них понятны: бизнес-офис, коммутаторы, серверы, телефоны, но в остальном это по полу.
kleefaj
Может быть, человек, который его настраивал, научился создавать VLAN для частей, где это имело смысл, а потом просто сошел с ума. Вы знаете, как это происходит, когда все, что у вас есть, это молоток и большой энтузиазм, не так много времени, чтобы все стало выглядеть как гвоздь. Я предполагаю, что вопрос на данный момент может быть следующим: будет ли это более разрушительным / раздражающим / каким-либо другим образом изменить его или оставить все как есть?
Роб Мойр
@kleefaj - фактически отсутствие документации в вашем случае может помочь вам лучше понять настройку, так как вам придется составить карту и документировать ее самостоятельно (что вам определенно следует сделать) и выяснить, как различные сегменты взаимодействуют друг с другом , Поскольку ваши текущие знания о VLAN ограничены, это будет отличной возможностью для вас и поможет вам разработать лучшую конфигурацию сети для вашей организации, как только вы полностью поймете текущую настройку.
Август
0

VLAN выделяют широковещательный трафик. У вас недостаточно компьютеров, чтобы беспокоиться об этом. VLAN часто, но не всегда совпадают с подсетями. VLAN также позволяют применять некоторые ограниченные ACL-списки. ACL-коммутаторы могут быть в значительной степени поддержаны с небольшим преимуществом. Брандмауэры лучше разделяют трафик, списки ACL на портах коммутатора могут стать беспорядочными.

Единственный аргумент, который я вижу для добавления VLAN - это если вы также измените схему IP-адресации. Теперь, я думаю, только с 4 этажа, которые могут быть излишними.

В компании, которую я использую для работы, у нас было дюжина зданий в нашем главном кампусе и несколько спутниковых кампусов, поэтому у нас была схема IP-адресации, которая позволяла нам узнать по IP-адресу, в каком здании было устройство. 2 цента, за что стоит.

JamesBarnett
источник