Недавно я столкнулся с сетевым дизайном, который в значительной степени реализует VLAN, но не использует выделенную систему управления идентификацией и доступом, такую как Active Directory или OpenLDAP. И еще один проект предусматривает использование Active Directory, но с простым древовидным разделением подсетей для сети. Мои вопросы:
Дальнейшие вопросы:
Любые идеи, советы, ссылки или советы приветствуются.
Является ли VLAN единственным способом улучшить управляемую сеть? Всегда ли это лучший способ проектирования сетей для крупных компаний?
Они подходят, когда имеют смысл, любого размера.
Однажды я был в университете, который использует AD и (я думаю) VLAN. Является ли это «стандартным дизайном», когда мы хотим обеспечить безопасность и хорошее управление пользователями?
Сами по себе VLAN - это не границы безопасности, а только широковещательные границы. Однако, разделяя логические группы на VLAN, вы даете себе возможность размещать между ними списки управления доступом, если хотите.
Конечно, AD предназначена для «хорошего» управления пользователями. Это сервис авторизации и аутентификации. Вот для чего он был разработан.
Распространено ли (в наши дни на крупных предприятиях) иметь AD / OpenLDAP без VLAN? Или, наоборот, VLAN без AD / OpenLDAP?
Нет. Крупные предприятия обычно используют VLAN. Впрочем, дело не в AD или OpenLDAP.
Являются ли VLAN и AD / OpenLDAP двумя полностью ортогональными понятиями? И, следовательно, дополнительные? Если это так, я думаю, что командам двух вышеперечисленных разработчиков нужно поговорить.
Зачем двум «дизайнерским командам», как вы это выразились, говорить? Один работает на уровне 2, другой - на уровне 7. Они совершенно не связаны. Почему конфигурация порта коммутатора имеет какое-либо отношение к серверу аутентификации?
При использовании VLAN обычно используются отдельные сети VLAN на основе отделов (бухгалтерия, HR и т. Д.). Добавьте к нему AD, должны ли мы делать разные домены, основанные (тоже) на отделах?
Для VLAN, возможно, в зависимости от среды. Для AD нет. Не рекомендуется использовать дочерние домены, если вам не нужно вводить жесткую границу управления между ресурсами AD. В большинстве случаев дочерние домены не рекомендуются. Один домен, чтобы управлять ими всеми.
Как насчет проектирования AD на основе зданий и одновременно для VLAN? Короче говоря, как лучше всего реализовать вместе подсети, VLAN и AD?
Реализуйте сети VLAN в соответствии с вашими потребностями в коммутации уровня 2. Внедрите AD в соответствии с вашими потребностями AD. На самом деле, пока клиентские машины подключены к различным VLAN, могут связываться с AD, думать больше не о чем.
Кажется, у вас есть какая-то глупая идея, что VLAN и AD каким-то образом напрямую дополняют друг друга. Они полностью независимы. Во многих организациях вы видите развернутые обе технологии, потому что они обе являются полезными отраслевыми стандартами. Это не означает, что они каким-то образом влюбленные, которые должны сосуществовать, чтобы другой не умер от разбитого сердца.
AD выполняет авторизацию и аутентификацию. Сети VLAN выполняют логическое разделение уровня 2 на одном коммутирующем оборудовании. Они похожи друг на друга, как ботинок и солонка.