Filozofia przypisywania VLAN

10

Mam kilka przełączników / routerów warstwy 3, z których wszystkie są połączone za pośrednictwem sieci routowanej OSPF. Do każdego przełącznika podłączone są również dwie inne sieci. Muszę przypisać VLAN do każdej z tych sieci, myślę, że mogę po prostu ponownie użyć tych samych dwóch VLAN na każdym przełączniku, ponieważ cały ruch wychodzący z przełącznika jest nieoznaczony (ponieważ jest kierowany, a nie na łączu VLAN) - czy jest jakiś dlaczego nie powinienem tego robić i nadawać każdej sieci inny VLAN? Na przykład:

przykład

vlan design Raggles
źródło
1
Problemy: a) czynnik zamieszania, b) bałagan powstaje, gdy jedno z tych łączy staje się łączem warstwy 2. (i są to najpierw interfejsy warstwy 2, chyba że no switchportje masz )
Ricky Beam
Ponadto, jeśli wszystkie przełączniki to Cisco i CDP, będzie wymagać, aby nawet nieoznakowane porty miały pasujące sieci na obu końcach. (kulawy, ale będzie)
Ricky Beam
@ricky punkty zauważyły ​​dzięki, ale nie ma tutaj cisco, interfejsy ospf nigdy nie będą trunkami (i są no switchport), ponieważ są to geograficznie zróżnicowane strony połączone za pomocą urządzeń radiowych, które nie dbają o vlany.
Raggles

Odpowiedzi:

10

Można ponownie wykorzystać sieci VLAN na segmentach, które nigdy nie spotkają się na warstwie 2.

bahamat
źródło
9
Istnieje powód: ponowne użycie identyfikatorów VLAN może prowadzić do zamieszania, szczególnie o 3 rano, kiedy jesteś na dyżurze i musisz naprawić awarię.
Jens Link
4
Dostępnych jest ponad 4000 identyfikatorów VLAN. Pytam, czy jest jakiś powód, abyś używał go ponownie? Jak powiedział @JensLink, potrzebujesz jasności podczas rozwiązywania problemów, a ponowne użycie VLAN ID zwróci uwagę na pomoc.
KorXo
2
Myślę, że jest to prawdopodobnie najbardziej odpowiednia odpowiedź na tę sytuację. Sieci nigdy się nie spotkają na warstwie 2, a na pewno jest możliwe, że za 10 lat będziemy mieli kilkaset takich witryn, co może powodować potencjalne problemy z przeciążeniem sieci Vlan. Widząc, że tylko jedna lub dwie osoby odpowiedzialne za to zamieszanie w sieci powinny być minimalne (a jeśli pęknie o 3 nad ranem, może poczekać do śniadania, zanim zostanie naprawione - tutaj nie ma
przykrych
5
Posiadanie tych samych identyfikatorów vlan w wielu witrynach z różnymi podsieciami IP i routowanymi połączeniami zdecydowanie nie jest rzadką konfiguracją. A o 3 nad ranem może również zapobiec nieporozumieniom, wiedząc, że vlan 15 to vlan drukarki, niezależnie od tego, w jakim położeniu się patrzysz ...
Gerben
@Gerben ma wielką zaletę: jednym z głównych zastosowań vlana jest rozdzielanie rzeczy ze względów bezpieczeństwa (lub przepustowości), więc posiadanie tego samego numeru VLAN dla tego samego rodzaju „treści” bardzo pomaga. W ten sposób ponownie używasz tego VLAN # wszędzie tam, gdzie występuje ten sam rodzaj „treści / poświadczeń bezpieczeństwa”. Ponowne użycie tutaj pomaga upewnić się, że znajdują się one w „właściwej” sieci VLAN i jest mniej mylące, imo, niż zmiana nazwy sieci VLAN w każdej witrynie. Ale to może nie być sytuacja OP
Olivier Dulac
8

Nie ma istotnych powodów, aby używać innej sieci vlan w twojej sytuacji, ale niektórzy dostawcy (przynajmniej cisco) zalecają korzystanie z tego sposobu:

na przykład mamy N gałęzi i potrzebujemy czterech trasowanych domen rozgłoszeniowych (LAN) na każdej, obliczmy je:

gałąź 1 = 1 gałąź 2 = 2 ... gałąź N = N

  • worstations - ip: 10.N.0.0 / 24, vlan 100 + N
  • serwery - 10.N.64.0 / 24, vlan 200 + N
  • głos - 10.N.128.0 / 24, vlan 300 + N
  • mgmt - 10.N.192.0 / 24, vlan 400 + N

dla sieci interfejsów tunelowych (jesteśmy) jak zwykle używa sieci 172.16.0.0, z tą samą regułą: 172.16.N.0 / 30 - lewa strona pierścienia (lub głównego łącza w górę) 172.16.N.5 - prawa strona dzwonek (lub rezerwowy łącze nadrzędne)

jeśli masz więcej niż 255 oddziałów, musisz po prostu użyć obliczeń binarnych, a uzyskasz znacznie bardziej ekonomiczne wykorzystanie przestrzeni adresowej (powiedz, że jeśli potrzebujesz formuły, mogę ją dla ciebie zapewnić).

imho, to dobry sposób, ponieważ zawsze wiesz jednym spojrzeniem, jaka sieć oddziałów, jaki oddział vlan i jaki tunel szukasz.

pyatka
źródło
4

Oto inne podejście w przeciwnym kierunku - powód do ponownego wykorzystania numerów VLAN, ponieważ możesz. Miałem sytuację, w której pracowałem z niektórymi telefonami IP niskiej jakości, które pobierałyby ich konfigurację z serwera TFTP, a nie z opcji DHCP. Chciałem móc odebrać telefon w dowolnym miejscu i wpaść w inne miejsce bez konieczności ponownej konfiguracji, a telefony wymagały statycznego skonfigurowania adresu IP i nazwy pliku konfiguracji TFTP w telefonie. Plik konfiguracyjny musiał określać oznaczony numer VLAN, na który powinny skakać telefony.

Tak więc, aby te okropne telefony działały tak, jak chciałem, musiałem nadać głosowi VLAN taki sam numer VLAN w każdym miejscu. Jasne, że mogłem skonfigurować kilka różnych serwerów TFTP i / lub plików konfiguracyjnych oraz zaprogramować każdy telefon osobno i przeprogramować je przy każdym ruchu telefonu. Chciałem tylko zauważyć, że może istnieć wiele innych sytuacji, w których ponowne użycie numerów VLAN pomoże rozwiązać inny problem.

Todd Wilcox
źródło
2
Jeśli, jak stwierdza komentarz PO, są to witryny zróżnicowane geograficznie, wówczas ponowne użycie numerów VLAN ma sens. Spójny, dla każdej witryny, system numeracji VLAN pomoże w rozwiązywaniu problemów i zmianach. Ktoś podróżujący do witryny, aby coś naprawić lub zmienić, będzie wiedział na przykład, że VLAN 10 to zawsze dane, a VLAN 11 to zawsze VoIP.
Ron Maupin
Czy twój komentarz miał być zgodny z moją odpowiedzią? Ton brzmi jak nieporozumienie, ale treść jest zgodna. W czasie, gdy pisałem tę odpowiedź, większość komentarzy mówiła NIE używać ponownie numerów VLAN, a moja odpowiedź miała na celu uzasadnienie ponownego użycia ich w niektórych sytuacjach.
Todd Wilcox,
Bez porozumienia, bez konkretnego tonu. Całkowicie zgodziłem się z tym, co mówiłeś. Chciałem tylko podkreślić Twoją odpowiedź, że możesz stworzyć spójny schemat dla poszczególnych witryn (dane, VoIP itp.) Dla oddzielnych witryn. Bez obrazy.
Ron Maupin
Och, nie obraziłem się. Otrzymałem głos głosowania na tę odpowiedź mniej więcej w tym samym czasie, co twój komentarz i nie byłem pewien, czy ma to związek z twoim komentarzem, a ponieważ inne odpowiedzi i komentarze zmieniły się w ciągu ostatnich sześciu miesięcy, wyrażenie „alternatywne ujęcie” brzmi inaczej teraz i może być mylące.
Todd Wilcox,
Nie głosowałem na ciebie. Tęskniłem za tym i nie jestem pewien, dlaczego ktoś to zrobiłby, chyba że ktoś zdecydowanie nie zgadza się z twoją odpowiedzią.
Ron Maupin
3

Nie ma w tym nic technologicznie złego, ale nie jest to idealne. Z punktu widzenia projektowania jest podatny na problemy na drodze. Komentarz Jensa Link jest bardzo dokładny; jeśli masz problem, będzie to komplikować problem i złożoność próby ustalenia, co jest nie tak. Byłoby to jeszcze bardziej zaostrzone podczas intensywnych awarii na dużą skalę.

Chociaż nie wspomniałeś o rozwoju sieci w swoim OP, rozsądnie jest założyć, że ostatecznie wdrożysz przełącznik poniżej jednego z głównych routerów. Gdy dopasujesz VLAN-id w sąsiednich obszarach, eliminuje to możliwość (no cóż, czyni to PITA) połączeń podwójnego bazowania z wieloma routerami nadrzędnymi. Być może nie przewidujesz tego teraz, ale najlepiej jest przygotować się na przyszły sukces, gdy jest to opcja, a nie konieczność.

Ryan Foley
źródło