Czy sieci VLAN są niezbędne w moim środowisku?

10

Jestem nowym menedżerem sieci dla szkoły. Dziedziczyłem środowisko złożone z kilku serwerów Windows, około 100 klientów Windows, 10 drukarek, 1 routera Cisco, 6 przełączników Cisco i 1 przełącznika HP. Ponadto korzystamy z VoIP.

W naszym budynku są cztery piętra. Hosty na każdym piętrze są przypisane do osobnej sieci VLAN. Biuro na pierwszym piętrze ma własną sieć VLAN. Wszystkie przełączniki mają własną sieć VLAN. Telefony IP działają we własnej sieci VLAN. A serwery działają we własnej sieci VLAN.

Jeśli chodzi o liczbę hostów w sieci, czy wszystkie te sieci VLAN naprawdę coś kupują? Jestem nowy w koncepcji VLAN, ale wydaje się to zbyt skomplikowane dla tego środowiska. Czy to genialne i po prostu tego nie rozumiem?

cisco switch vlan network-design kleefaj
źródło
To inne pytanie może być przydatne, gdy omawia zalety podsieci. Pod uwagę brane są podobne problemy i możesz znaleźć tam pomocne odpowiedzi: serverfault.com/questions/2591/…
Tall Jeff

Odpowiedzi:

0

IME jesteś w parku, gdzie segregacja ruchu pomiędzy sieciami poprawi wydajność. Wydaje się jednak, że podział sieci VLAN został ustalony na podstawie funkcji węzłów członkowskich, a nie wysiłku w zakresie zarządzania przepustowością. Z pewnością dzięki tej liczbie węzłów można uzyskać taką samą łączną przepustowość, inteligentnie planując miejsce umieszczenia przełączników zamiast korzystania z sieci vlan.

Trudno powiedzieć na pewno bez zobaczenia szczegółowego diagramu i uzyskania prawdziwych pomiarów, ale podejrzewam, że opisana konfiguracja nie daje żadnych korzyści w zakresie wydajności i wielu problemów administracyjnych.

możesz wymusić listy kontroli dostępu na routerze

Nie jest to dobry powód do korzystania z sieci vlan - używaj podsieci, zapór i przełączników.

symcbean
źródło
Jak oceniasz poprawę wydajności? Co konkretnie w sieci VLAN poprawia wydajność? Dzięki.
joeqwerty
1
Co konkretnie w sieci VLAN poprawia wydajność? Nic. Przekazywanie ruchu CSMA / CD przez więcej niż jeden przewód równolegle (co jest najłatwiejsze w oparciu o src / dst) zmniejsza kolizje, zwiększa optymalną i efektywną szerokość pasma.
symcbean
To właśnie myślałem, że masz na myśli; że sieć VLAN pomaga wyeliminować warunki, które prowadzą do zmniejszenia wydajności, ale nie aktywnie zwiększają wydajność. Dzięki za wytłumaczenie.
joeqwerty
5

Większość tych sieci VLAN ma dla mnie sens. Dobrze jest podzielić według funkcji, więc sieć VLAN dla serwerów, jedna dla telefonów, a druga dla stacji roboczych ma sens. Następnie możesz uzyskać dokładną kontrolę nad ruchem przepływającym między stacjami roboczymi a serwerami.

Nie widzę większego sensu w posiadaniu sieci VLAN dla stacji roboczych na każdym piętrze. Pojedyncza sieć VLAN dla wszystkich stacji roboczych sprawi, że wszystko będzie przyjemne i proste. Rozpinanie sieci VLAN na wielu przełącznikach / łączach głównych prawdopodobnie nie będzie problemem dla tak małej sieci.

Nie ma również sensu utrzymywanie oddzielnej sieci VLAN do zarządzania przełącznikami. Mogą szczęśliwie siedzieć na serwerze VLAN.

W sieciach VLAN BTW nie ma nic magicznego ... po prostu oddzielaj segmenty rozgłoszeniowej sieci, z których każdy wymaga domyślnej bramy i odpowiedniej konfiguracji ACL na portach sieciowych.

Chris Thorpe
źródło
W rzeczywistości w większości sieci biznesowych niezbędna jest oddzielna sieć do zarządzania, aby zapobiec atakom wewnętrznym na sprzęt. Utworzenie portu tylko do zarządzania jest łatwe i zdecydowanie polecam
morleyc
4

Przydatne może być posiadanie osobnych sieci VLAN dla danych (komputerów) i VoIP, dzięki czemu można zastosować pewnego rodzaju priorytetyzację ruchu. Przydatne są również oddzielne sieci VLAN do zarządzania przełącznikami. Oddzielne sieci VLAN na piętro wydają się być może za dużo dla 100 sztuk, chyba że planujesz rozbudowę w przyszłości.

Pan Shunz
źródło
Kompletnie się zgadzam. Z pewnością powinieneś wydzielić VOIP. Rozdzielenie serwerów i zarządzania siecią jest w porządku. VLAN drukarki można argumentować w obu kierunkach. Separacja według podłogi jest nadmierna w zależności od wielkości środowiska.
gWaldo,
1

Sieci VLAN umożliwiają podział sieci na mniejsze logiczne segmenty; pomaga to zarówno poprawić zarządzanie, jak i ograniczyć niepotrzebny ruch rozgłoszeniowy.

W przypadku tak małej sieci może to w rzeczywistości być przesada: możesz łatwo obsłużyć ~ 100 obiektów sieciowych za pomocą pojedynczej podsieci VLAN i IP. Myślę jednak, że powinieneś trzymać się tej konfiguracji z dwóch głównych powodów:

1) Poprawia zarządzanie; jeśli wiesz, że serwery są w wersji 192.168.1.X, a klienci w wersji 192.168.100.Y, łatwiej nimi zarządzać. Jeśli wszystkie adresy znajdowały się w podsieci 192.168.42.Z, jak (łatwo) można je rozróżnić?
2) Skaluje się znacznie lepiej. Jeśli kiedykolwiek przejdziesz z ~ 100 do> 200 obiektów sieciowych, pojedyncza podsieć / 24 IP nagle będzie wydawać się znacznie mniejsza, a jedna większa bardzo łatwo stanie się bałaganem.

Dla purystów: tak, wiem bardzo dobrze, że sieci VLAN i podsieci IP niekoniecznie mają ścisłe mapowanie 1: 1; jest to tylko ich najczęstsze zastosowanie, które wydaje się być tym, o czym mówi PO.

Massimo
źródło
2
Podsieci IP są sposobem dzielenia sieci logicznych na przedziały - podobnie jak sieci VLAN. Korzystanie z obu jest niepotrzebne i nadmiernie komplikuje sytuację. W przypadku sieci IP korzystanie z podsieci ma dodatkowe zalety w porównaniu z sieciami vlans - więc ta ostatnia jest nadmiarowa IMHO.
symcbean
1
A jak dokładnie użyłbyś podsieci IP bez sieci VLAN i przełączników warstwy 3, jeśli nie masz w pobliżu routerów?
Massimo,
@symcbean: Tak - co powiedział Massimo. Zamieniam się w słuch.
Evan Anderson
przełączniki warstwy 3? żadnych routerów? - Jestem pewien, że dodasz ozdoby do oryginalnego pytania na dni, których moja odpowiedź nie dotyczy.
symcbean
1
@symcbean, jeśli chcesz podzielić swoją sieć na wiele podsieci IP, będziesz również potrzebować czegoś, aby podzielić je na warstwie 2, chyba że chcesz uruchomić wiele podsieci IP w tym samym segmencie Ethernet; i nawet jeśli chcesz to zrobić, nadal potrzebujesz czegoś, co sprawi, że zaczną mówić, np. router (lub zapora ogniowa). Pojedynczy dobry przełącznik, podobnie jak Cisco, może zarówno używać VLAN do segmentacji Ethernet, jak i interfejsów VLAN IP do routingu; ale jeśli nie chcesz ich używać (dlaczego?), potrzebujesz różnych fizycznych przełączników i co najmniej jednego fizycznego routera.
Massimo,
0

Inną zaletą tego projektu jest wymuszanie list kontroli dostępu na routerze, dzięki czemu komunikacja między sieciami VLAN jest ograniczona, a serwery systemu Windows można chronić przed entuzjastycznymi studentami.

Mitch Miller
źródło
0

Zgadzam się z odpowiedziami, które już masz.

Czy potrzebujemy sieci VLAN? Innymi słowy, czy są one „konieczne”, jeśli chcemy pedantycznie trzymać się tego, o co pytasz w tytule pytania? Prawdopodobnie nie. Czy to dobry pomysł, biorąc pod uwagę różnorodność ruchu? Prawdopodobnie tak.

Nie ma dobrej lub złej odpowiedzi, to kwestia różnych wzorów i tego, co projektant miał nadzieję osiągnąć ...

W oparciu o to, co powiedziałeś, zgadzam się z komentarzami na temat niepotrzebowania sieci VLAN „na piętro”, ale bez wiedzy na temat twojej konfiguracji (chociaż jestem menedżerem sieci uczelni, więc mam pewien ogólny pomysł), jest to możliwe z tego co wiemy że masz klasy programowania na jednym piętrze, biuro administracyjne na drugim itd., a obecne sieci VLAN stacji roboczej nie dotyczą oddzielania pięter, ale raczej funkcji rozdzielania , więc klasy programowania nie mogą zakłócać korzystania z sieci LAN do przetwarzania tekstu w inne lekcje, uczniowie nie mogą łatwo połączyć się z administracyjnymi stacjami roboczymi, być może masz wymóg posiadania dedykowanych komputerów do egzaminów elektronicznych i tak dalej. Jeśli coś takiego się dzieje, być może dodatkowe sieci VLAN na stacji roboczej mają większy sens.

Nie sądzę, żeby istniała jakaś dokumentacja wyjaśniająca wybory projektowe dokonane przez osobę, która początkowo to wszystko konfigurowała?

Rob Moir
źródło
Brak dokumentacji. Żaden. Zero. Muszę zgadnąć, dlaczego jest tak, jak jest. Być może, gdy dowiem się więcej o sieciach VLAN, logika (lub jej brak) stanie się mi znana. Niektóre są jasne: biuro biznesowe, przełączniki, serwery, telefony, ale poza tym jest to podłoga.
kleefaj,
Być może osoba, która go skonfigurowała, nauczyła się tworzyć sieci VLAN dla części, w których miało to sens, po prostu trochę oszalała. Wiesz, jak to jest, kiedy wszystko, co masz, to młotek i duży entuzjazm, nie wszystko długo zaczyna wyglądać jak gwóźdź. Wydaje mi się, że pytanie w tym momencie może brzmieć: czy będzie bardziej destrukcyjne / denerwujące / cokolwiek zmienić lub pozostawić bez zmian?
Rob Moir
@kleefaj - w rzeczywistości brak dokumentacji w twoim przypadku może pomóc ci lepiej zrozumieć konfigurację, ponieważ będziesz musiał ją wszystko zmapować i sam ją udokumentować (co zdecydowanie powinieneś zrobić) i dowiedzieć się, jak różne segmenty rozmawiają ze sobą . Ponieważ Twoja aktualna wiedza na temat sieci VLAN jest ograniczona, będzie to świetna okazja do nauki i pomoże ci zaprojektować lepszą konfigurację sieci dla twojej organizacji, gdy w pełni zrozumiesz obecną konfigurację.
sierpień
0

Sieci VLAN generują duży ruch rozgłoszeniowy. Nie masz wystarczającej liczby komputerów, aby się tym martwić. Sieci VLAN często, ale nie zawsze, są dopasowane do podsieci. Sieci VLAN pozwalają również na stosowanie niektórych ograniczonych list ACL. Listy ACL mogą być bardzo konserwowane i przynoszą niewielkie korzyści. Zapory ogniowe lepiej oddzielają ruch, listy ACL na portach przełączników, które mogą być nieuporządkowane.

Jedyny argument, jaki widzę przy dodawaniu sieci VLAN, dotyczy zmiany schematu adresowania IP. Teraz myślę, że tylko 4 piętra, które mogą być przesadzone.

W firmie, w której pracuję, mieliśmy kilkanaście budynków w naszym głównym kampusie i kilka kampusów satelitarnych, więc mieliśmy schemat adresowania IP, który pozwalał nam na podstawie adresu IP stwierdzić, w którym budynku było urządzenie. To moja 2 centy za to, co jest warte.

JamesBarnett
źródło