Как настроить сеть VLAN

Как уже отмечал Джекверти, вы подходите к этому с недостаточным фундаментальным пониманием в сочетании с расплывчато определенными целями. Вы настраиваете себя на сбои, простои и дыры в безопасности. Вместо того, чтобы просто отвечать на ваши вопросы, я собираюсь посвятить себя небольшому руководству "vLAN 101", которое может быть для вас немного более полезным.

Похоже, у вас есть несколько фундаментальных заблуждений о сегментации vLAN и о том, как она вписывается в сетевую архитектуру, поэтому давайте на минутку вернем ALLLLLLL к началу:

На уровне сетевой архитектуры вы можете принять очень упрощенное представление о том, что vLAN - это не что иное, как отдельный коммутатор, не подключенный к какому-либо другому коммутатору (vLAN).

Если вы посмотрите на vLAN с этой точки зрения, станет относительно ясно, как их использовать: когда вы не хотите, чтобы машины Group A чтобы иметь возможность разговаривать с машинами в Group B вы помещаете их в отдельные виртуальные локальные сети и заставляете их проходить через маршрутизатор (в идеале - с функцией межсетевого экрана), чтобы общаться друг с другом.
Практически при любых обстоятельствах лучше (и проще) сделать это, разместив машины в разных IP-сетях (подсетях) - машины внутри vLAN находятся в одной подсети и могут общаться между собой сколько угодно, но если они хотят поговорить с кем-то за пределами своей виртуальной локальной сети, это также будет за пределами их подсети, поэтому они будут переданы на свой шлюз по умолчанию, который может решить проблему безопасности, связанную с тем, кто может с кем разговаривать при каких обстоятельствах.

Итак, архитектура vLAN за 11 простых шагов:

1. Выясните, какие машины образуют логические группы. Это ваши vLAN
   В очень простой среде это может быть Web Servers и Database Servers.
   В более сложных средах у вас может быть много групп, и вы можете объединить несколько групп в одну vLAN - это архитектурное решение, которое вы должны принять.

2. Определите схему адресации, подходящую для ваших виртуальных локальных сетей.
   Если вам в высшей степени повезет, каждая vLAN поместится в / 24, и вы сможете построить топологию на основе этого. Если вам не повезло, выясните, для каких vLAN нужны блоки большего (или меньшего) размера.

3. Нарисуйте на бумаге то, что вы сделали до сих пор.

4. Выясните, какие виртуальные локальные сети должны взаимодействовать друг с другом.
   Какие порты / службы должны быть открыты между vLAN / сетями?
   Какие еще условия должны существовать для функционирования вашей среды?

5. Нарисуйте на бумаге то, что вы придумали. Убедитесь, что это нормально, затем преобразуйте его в политику брандмауэра / маршрутизатора.

6. Составьте проект конфигурации брандмауэра / маршрутизатора. В идеале поиграйте с ним в тестовой среде.

7. Нарисуйте свой коммутатор на бумаге и нарисуйте, какие порты будут подключаться к каким vLAN.
   Полезно физически группировать соединения, чтобы они находились в одной логической vLAN, но это не является строго необходимым.

8. Превратите свой рисунок переключателя в конфигурацию переключателя. В идеале поиграйте с ним в тестовой среде.

9. Очистите свои рисунки на бумаге. Логический рисунок должен выглядеть примерно так:
   
   (Изображение уменьшено, чтобы скрыть то, что вам не нужно читать)

10. Попросите кого-нибудь взглянуть на ваш дизайн.
    Вы можете спросить о сбое сервера, но лучше, если кто-то, знакомый с вашей средой, изучит его, так как он с большей вероятностью обнаружит потенциальную поломку.

11. Проведите выходные и превратите свой логический замысел в физическую реальность.
    (Само собой разумеется, что у вас должен быть план отката на случай, если что-то пойдет не так, но я все равно это говорю.)

(Если ты ОЧЕНЬ хорошо, возможно, вы сможете пропустить некоторые из шагов, описанных выше, «Нарисуйте это на бумаге», но я не рекомендую пропускать это в первый раз.)

Re: два конкретных вопроса, которые вы задали:

1) Как я могу сегментировать эту сеть с минимальным временем простоя устройств, уже подключенных к сети?

Вы не можете. Разделение вашей сети на vLAN потребует окна простоя - вам придется перенастроить коммутатор, переместить машины в другие логические сети, настроить маршрутизацию, возможно, переместить некоторые кабели и т. Д. И т. Д.
Запланируйте отключение, которое начнется в 17:00 пятницы и продлится до выходных, ОСОБЕННО, если вы впервые проектируете правильно сегментированную сеть - вы потратите некоторое время на отладку того, что ломается.

2) Могу я просто создать Vlan и оставить все эти Vlan в одной сети уровня 3, чтобы они могли выходить из сети (меня не беспокоит маршрутизация Vlan), или мне нужно создать подсети, что означает перенастройку существующих устройств ( то я не хочу)

Ты можешь? Да.
Будет ли это покупать вам что-нибудь с точки зрения безопасности? На самом деле, нет.
Не усложнит ли это весь проект в 10 раз? Абсолютно.
Стоит ли проектировать сеть таким образом? Нет.

Как я могу сегментировать эту сеть с минимальным временем простоя на устройствах, уже подключенных к сети?

Оставьте текущую сеть в качестве VLan по умолчанию. Для каждого устройства, которое перемещается в новый VLan, перенастройте его порт и измените его адресную информацию на соответствующую подсеть по одному устройству за раз.

Могу ли я просто создать Vlan и оставить все эти Vlan в одной сети уровня 3

Нет. Это полностью противоречит самой концепции VLan.

(Меня не беспокоит маршрутизация Vlan)

Вы должен обеспечение маршрутизации между виртуальными локальными сетями для связи устройств в разных виртуальных локальных сетях.

или [сделать] мне нужно создать подсети, что означает перенастройку существующих устройств (чего я не хочу)

Тогда вы можете не захотеть иметь VLAN.