Наша сеть - это плоский L2.
В какой-то момент нам нужно (я хочу, но это не совсем моя ответственность) начать отключать VLAN, так как у нас, очевидно, будет много широковещательной болтовни, и недавно один из наших межсетевых экранов достиг своей таблицы arp limit (возможно, брандмауэр имеет низкий предел таблицы arp, но мы находимся там, где мы находимся).
Итак, как вы придумали методологию VLAN для вашей локальной сети?
В нашем случае мы - одно место, но размером с небольшой город (думаю, кампус).
У нас есть довольно типичная локальная сеть концентратора / луча с парой основных коммутаторов, к которым подключаются граничные коммутаторы, некоторые напрямую, некоторые через преобразователи волокна в медь.
Наш крайний комплект представляет собой смесь Procurve, Prosafes, некоторых более старых Baystacks и т. Д.
Большинство наших клиентов используют DHCP, некоторые - статические IP-адреса, но мы можем справиться с ними, сетевые принтеры также имеют статические IP-адреса.
Насколько я понимаю, для VLAN существует множество вариантов, основанных на физическом расположении в кампусе, то есть любые граничные коммутаторы в зданиях A и B переходят в VLAN xx, или это может быть основано на других факторах.
Проще говоря, я не делал этого раньше, и легко погрузиться и сделать что-то быстро, а затем пожалеть об этом.
Как бы вы это сделали, пожалуйста?
Обычно уже происходит какое-то прямое очевидное разделение, и вы используете его как основу для сегментации сети. Похоже, вы больше хотите разделить сеть на подсети, чем использовать vlan. vlan обычно основаны на административных требованиях, таких как сеть управления, SAN или VoIP и т. д. Подсети следуют за этими vlan, но также обычно разделяют различные физические различия (по одному на здание, этаж или другую физическую конструкцию).
Очень сложно рекомендовать что-то конкретное, ничего не зная о вашей сети.
Способ, который описывает @minarnhere, - это абсолютно правильный путь, но он не просто разбивается по функциональности, а также добавляет факторы безопасности, физическое местоположение и количество хостов, делит вашу сеть на столько VLAN, сколько требуется, на основе всех этих факторов.
Предполагая, что соответствующие коммутаторы и маршрутизаторы установлены, наличие большого количества виртуальных локальных сетей не требует затрат, а преимущества огромны, если все спланировано правильно, накладные расходы администратора также минимальны. Не ограничивайте себя искусственными ограничениями по объединению всех студентов или преподавателей или любой группы пользователей или хостов в единую VLAN, зачем вам это делать? Помните, что трафик можно контролировать только на уровне 3, поэтому разделите вашу сеть, чтобы вы могли ограничивать и контролировать трафик между VLAN, у вас нет шансов на трафик внутри VLAN.
Классический способ создания локальной сети кампуса - разделить сеть на доступ, распределение и ядро. Многие коммутаторы уровня доступа 2, каждый из которых передает трафик из одной или нескольких VLAN, будут подключаться к нескольким коммутаторам распределения уровня 3, которые направляют трафик к небольшому количеству базовых коммутаторов уровня 3.
Все ваши хосты должны быть подключены к уровню доступа, который разделен на VLAN в зависимости от факторов, описанных выше. Каждую виртуальную локальную сеть уровня доступа по возможности следует ограничивать одним физическим коммутатором (это правило необходимо нарушать только в том случае, если у вас есть серверы с двойным подключением, которым может потребоваться переключение на другой коммутатор в той же VLAN). Помните, что каждая VLAN - это широковещательный домен, и вы хотите максимально ограничить широковещательный трафик на каждом из них. Рассмотрите возможность использования только подсетей / 24 для вашего уровня доступа, зачем вам нужно> 250 хостов в одном широковещательном домене?
Там будут какие-то, очень, очень мало, обстоятельства, когда VLAN необходимо распространение на несколько коммутаторов, но это будет очень, специалист управления коммутатором может быть один (но это спорно), существует очень мало других.
Хорошей отправной точкой будут ваши серверы. Если они находятся в одном физическом месте (комнате, а не здании), вы можете разделить их на VLAN в зависимости от функциональности, но в противном случае подойдет одна VLAN на ~ 200 хостов. Очевидно (?) Серверы с выходом в Интернет должны быть автономными, желательно физически отдельными, сетевыми, огороженными брандмауэром от университетского городка (дизайн DMZ - это еще одна особенность, поэтому я не буду здесь вдаваться в подробности). Ваши внутренние серверы также должны быть разделены на серверы для использования студентами и серверы для использования только внутренним администратором, соответствующим образом разделив их на VLAN. Если некоторые серверы принадлежат определенным отделам (например, HR), тогда, если вам может потребоваться контролировать трафик на эти серверы, подумайте о создании VLAN только для них.
Если серверы распределены по разным адресам, поместите их в отдельные VLAN в зависимости от местоположения, а также функциональности, нет необходимости, чтобы они находились в одной VLAN только «потому что они серверы» или просто «потому что все они являются веб-серверами».
Переходим к вашим студентам и сотрудникам. Для начала каждый отдельный порт или точка доступа, которые доступны или могут быть доступны не-ИТ-персоналу, следует рассматривать как угрозу безопасности, а весь исходящий оттуда трафик следует рассматривать как ненадежный. Поместите свои классы в сети VLAN на основе возможного количества хостов и, в зависимости от обстоятельств, групп пользователей, но не допускайте ошибки, связанной с «доверием» определенным портам, если преподавателям необходимо попасть в вашу административную сеть из класса, то их следует предоставить. тот же метод доступа (VPN?), как если бы они были дома или в общественном кафе.
Беспроводная сеть должна находиться в отдельных виртуальных локальных сетях от проводной, но с теми же ограничениями, если этого можно избежать (но иногда это невозможно), не помещайте все точки доступа в общую виртуальную локальную сеть кампуса, разделите их с использованием той же методологии и по той же причине, что и проводной.
Как ни странно, удивительно, что IP-телефоны должны находиться в отдельных сетях VLAN от всего остального, на некоторых моделях (Cisco по моему опыту) это облегчается тем, что телефон договаривается с коммутатором доступа, чтобы направить трафик в соответствующую VLAN, но для этого, очевидно, требуется, чтобы коммутатор быть настроенным правильно.
О дизайне ЛВС еще много, но сказанное выше - это только начало. В качестве последнего примечания, что касается DHCP, используйте его для каждого отдельного хоста, включая серверы и принтеры, оба из них должны иметь статически назначенные IP-адреса на основе их MAC-адресов. В области (или областях) для первого не должно быть запасных адресов, это в некоторой степени предотвращает случайное подключение устройств к серверным VLAN, но, и это также относится к принтерам, дело в том, что у вас есть централизованное управление устройствами. и любые изменения обрабатываются централизованно, а не полагаются на инженеров, блуждающих по университетскому городку, чтобы правильно определить адреса.
Ладно, пока достаточно, надеюсь, это немного поможет.
Как сказал Крис С., VLAN и подсети - это разные вещи. НО, мы просто назначили отдельную подсеть и область DHCP для каждой VLAN в кампусе нашей школы. Каждое здание имеет свою собственную область VLAN / Subnet / DHCP. Это значительно упрощает управление, но может не работать, если у вас кампус больше, чем у нас. Мы также используем отдельные сети VLAN для управления коммутаторами, физических серверов, телефонов VOIP, беспроводной связи для студентов, беспроводной сети в классе, лабораторий для студентов, виртуальных серверов, бизнес-офиса, SAN, VPN. По сути, мы достаточно малы, чтобы любое возможное различие получило свою собственную VLAN. (У нас всего 25 VLAN, и я начал создавать новые подразделения только потому, что хотел изолировать определенные группы от остальной сети ...)
Создание отдельных подсетей для каждой VLAN может быть расточительным, но это упрощает управление и позволяет легко выполнять преобразование IP -> VLAN в вашей голове, если вам когда-либо понадобится это сделать.
Мы используем 10.xxx для IP-адресов, поэтому VLAN1 получает 10.1.xx, VLAN8 получает 10.8.xx и т. Д. Каждая VLAN, которая нуждается в DHCP, получает свою собственную область действия, но мы не создаем области для сетей VLAN, которым они не нужны, например Управление переключением.