Назад | Перейти на главную страницу

сегментация vlan для разработчиков и серверов контроля версий

Предположим, что есть 50 разработчиков, которые обращаются к серверу, на котором размещена система контроля версий (например, Subversion). Поместите ли вы разработчиков и svn-сервер в один и тот же vlan (поскольку это общение очень распространено, а доступ к svn за пределами этой группы осуществляется очень редко) или в отдельные vlan (поскольку svn-сервер является сервером, а не пользователем)? Что послужило причиной такого решения?

Спасибо.

VLAN обычно предназначена для разделения сетевого трафика для облегчения широковещательной передачи. Его можно использовать для обеспечения безопасности, когда вам действительно нужно изолировать трафик. Но SVN сам по себе имеет некоторую безопасность. Если вы не кодируете новую версию Windows и не должны проявлять паранойю, чтобы предотвратить утечку информации - VLAN слишком много для ваших целей.

Шутки в сторону? Учитывая, что минимальная скорость для разумно настроенной локальной сети в любом случае составляет гигабит и что нет никакой выгоды в управлении конфликтом ЧИСТОЙ из VLAN (без дополнительной настройки), зачем беспокоиться? Безопасность может иметь значение, но для большинства сценариев ее недостаточно для дополнительной работы.

На сайте или в офисе такого большого размера, как ваш, я бы рекомендовал отделить клиентов (рабочие станции и т. Д.) От ваших серверов. В зависимости от уровней доверия вы можете присоединиться к этим сетям с помощью маршрутизатора (коммутатор уровня 3) или брандмауэра. Основная причина такого разделения заключается в том, что оно дает возможность контролировать и проверять, если это необходимо. Вы можете блокировать отдельные IP-адреса или протоколы по TCP-порту, а также сообщать об этой активности. Даже если вы ничего не применяете в обычном режиме, у вас есть возможность легко это сделать, когда вам нужно. Если в вашей сети происходит что-то ненормальное, и вы хотите начать преследование, вы можете сделать это проще всего через интерфейс маршрутизатора или брандмауэра. Конечно, это также позволяет вам иметь серверы с ограниченным доступом под более строгим контролем, например, ваши финансовые серверы или серверы резервного копирования.

В наши дни даже коммутаторы среднего уровня имеют возможность маршрутизации уровня 3, и все они могут выполнять маршрутизацию так же быстро, как обычное переключение, с помощью своих специализированных микросхем ASIC.