Назад | Перейти на главную страницу

Сегментация VLAN в кампусе - по ОС?

Мы долго думали над изменением конфигурации нашей сети и VLAN. Вот такая ситуация.

У нас уже есть наши серверы, VoIP-телефоны и принтеры в их собственных VLAN, но наша проблема связана с устройствами конечных пользователей. Их слишком много, чтобы объединить их в одну и ту же VLAN, не забиваясь широковещательными рассылками! Наша текущая стратегия сегментации разделяет их на VLAN следующим образом:

** Обратите внимание, что в нашей сети гораздо больше iPad и MacBook, чем большинство. *

Поскольку основная причина, по которой мы их разделяем, состоит в том, чтобы просто разделить их на более мелкие группы, это сработало для нас (по большей части). Однако это потребовало от наших сотрудников ведения списков контроля доступа (MAC-адресов) всех устройств, принадлежащих к этим группам. Это также имеет неприятный побочный эффект в виде нелогичной группировки широковещательного трафика. Например, используя эту настройку, студенты на противоположных концах кампуса, использующие iPad, будут совместно использовать широковещательные передачи, но два устройства, принадлежащие одному пользователю (в одной комнате), скорее всего, будут находиться в совершенно разных VLAN.

Я чувствую, что должен быть лучший способ сделать это.

Я провел много исследований, и у меня возникли проблемы с поиском рекомендуемых примеров такого рода сегментации. Отзыв о самый актуальный вопрос SO похоже, указывает на сегментацию VLAN по зданиям / физическому местоположению. Я считаю, что это имеет смысл, потому что логически, по крайней мере, среди разных конечных пользователей, широковещательные передачи обычно предназначены для близлежащих устройств.

РЕДАКТИРОВАТЬ: Мне сказали, что скоро мы сможем динамически определять ОС устройства без поддержки списков доступа, хотя я не уверен, насколько это влияет на ответы на вопросы.

Я думаю, что сегментация пользовательских подсетей по ОС - это больше работы, чем она того стоит, и, честно говоря, во всех моих взаимодействиях с ИТ-специалистами HiEd я никогда не слышал, чтобы кто-то говорил о сегментации по ОС. Какую выгоду вы получите от этого? Кроме того, что вы делаете, когда операционная система определенной машины изменяется или, возможно, более распространенная ситуация - что делать с компьютером, который загружается с двойной загрузкой, например, OSX и Windows?

У нас есть около шести различных "зон" безопасности на территории кампуса:

  1. Обычные (непривилегированные) преподаватели / сотрудники в офисе Ethernet сбрасывают
  2. Отключение Ethernet в офисе привилегированного персонала (в основном персонал ИТС)
  3. Гостевой Wi-Fi (есть только доступ в Интернет)
  4. ResNet (сеть общежитий)
  5. Безопасный Wi-Fi (WPA2 / 802.1x, пользователи попадают в определенную VLAN в зависимости от роли)
  6. Серверные комнаты

Каждая из вышеперечисленных разделена на более мелкие подсети, обычно по построению, а затем по коммутационному шкафу, к которому они подключаются. Для беспроводной сети у нас есть несколько подсетей, которым случайным образом назначаются непривилегированные пользователи. Что касается серверных комнат, мы группируем их по ОС (в основном для разделения безопасности между Windows и Linux), а также для дальнейшего разделения внутри групп ОС для серверов ITS и серверов, принадлежащих отделу. Мы поддерживаем ACL подсети для каждой подсети с политикой запрета по умолчанию, разрешая только трафик, через который мы явно разрешаем. В дополнение к брандмауэрам подсети мы внедряем брандмауэры хоста на всех наших серверах, будь то Linux или Windows. Существует также несколько специализированных VLAN для таких вещей, как управление серверами, управление сетью, iSCSI, оборудование HVAC, дверные панели доступа, камеры безопасности и т. Д.

Ваша цель - сохранить небольшой размер широковещательных доменов - это хорошая цель. Честно говоря, на самом деле не имеет значения, находятся ли два человека, сидящие рядом друг с другом, в одном и том же широковещательном домене L2.

Похоже, ИТ-отделу предстоит ОЧЕНЬ много работы по организации и отслеживанию MAC-адресов и устройств, с которыми они связаны.

Самым большим побочным эффектом, о котором я подумал, было «два устройства, принадлежащие одному пользователю (в одной комнате), скорее всего, будут находиться в совершенно разных VLAN». Многие люди, звонящие в службу поддержки ИТ, задаются вопросом, почему они не видят устройства друг друга в iTunes. :)

Я по-прежнему считаю, что лучшим решением является сегментирование по зданиям, затем по официальным устройствам кампуса и, наконец, по устройствам для студентов. Таким образом, вы можете убедиться, что все устройства могут разговаривать друг с другом, которые должны разговаривать друг с другом, и при этом защитить студентов от взлома официальных устройств кампуса.

Что вы думаете?

Я согласен с тем, что сказал ErikA: разбейте VLAN на функциональные группы:

  • SERVER1, SERVER2, SERVER3 и т. Д. (Скажем, все под 10.2.0.0/16: Windows в 10.2.0.0/17, Unix в 10.2.128 / 16)
  • DMZ1, DMZ2 и т. Д. (Все под 10.3.0.0/16)
  • WIRELESS1, WIRELESS2, (все до 10,4 / 16)
  • ГОСТЬ1, ГОСТЬ2, (10.5 / 16)
  • UNDERGRAD1, UNDERGRAD2, (10.6 / 16)
  • ГРАДЫ1, ГРАДЫ2, (10.7)
  • ФАКУЛЬТЕТ, (10.8)
  • ПРИНТЕРЫ (10.9)
  • СЕТЬ (10.10.x.y)

Иногда отдельные исследовательские группы также могут иметь свои собственные VLAN. Точно так же у вас могут быть «частные» VLAN, которые не маршрутизируются в остальную сеть для таких вещей, как хранилище (NFS, iSCSI); у них также часто были включены Jumbo Frames, тогда как везде было MTU по умолчанию 1500.

Если вы хотите предоставить пользователям сети некоторую гибкость, вы можете использовать так называемые «динамические VLAN»: это то место, где, когда машина подключена, коммутатор берет его MAC-адрес и запрашивает RADIUS-сервер, и он сообщает, какую VLAN сделать порт. Проверьте атрибуты RADIUS «Тип туннеля», «Тип туннельной среды» и «ID частной группы туннеля». Аналогично для Wi-Fi, когда пользователь входит в систему через WPA2, а точка доступа обращается к серверу RADIUS, в дополнение к разрешению / запрету ответа для имени пользователя и пароля, сервер RADIUS может ответить VLAN, что точка доступа должна поставить пользователь в.

Незарегистрированным MAC-адресам хоста и пользователям может быть отказано в доступе (заблокированный порт) или помещено в стандартную (гостевую) VLAN, в зависимости от вашей политики безопасности. Коммутаторы HP (и другие?) Также могут выполнять двухуровневую работу: по умолчанию предоставляется доступ на уровне MAC, но если пользователь запускает программу 802.1x и аутентифицирует себя (в отличие от простой аутентификации хоста - -с кем-нибудь на самом деле за клавиатурой), коммутатор может затем подключить порт к VLAN, привязанный к индивиду.

Кроме того, привязка функциональных виртуальных локальных сетей к диапазонам подсетей во многих случаях помогает упростить правила брандмауэра, а также отладку источников странных пакетов (хосты Windows статистически больше подвержены атаке / компрометации, поэтому размещение этих серверов в любом простом для сегментная сеть, возможно, стоит рассмотреть).

Когда вы предоставляете пользователям / устройствам доступ к Wi-Fi (Macbook, iPad, iPod), вы должны чередовать подсети / VLAN, в которые они будут помещены: studentA будет находиться в WIRELESS1 / 10.4.1.0, studentB в WIRELESS2 / 10.4.2.0, studentC снова в WIRELESS1 / 10.4.1.0 и т. Д. Добавьте дополнительные подсети / VLANS по мере необходимости, чтобы «сбалансировать» нагрузку пользователя. Аналогично для факультета А, факультета В, факультета С. Если вы заметили дисбаланс в распределении из-за выпуска / отсева / ухода персонала, вы всегда можете перебалансировать с помощью простого скрипта, который обновляет базу данных (SQL, LDAP, что угодно).

Конечно, вы также можете сделать это путем строительства, но в каждом здании у вас также будет функциональное разделение: BLDA_SERVER_HR, BLDA_SERVER_FINANCE, BLDA_WIFI_STAFF, BLDA_WIFI_GUEST, BLDA_PRINTERS, BLDB_WIFI_GUEST, BLDB_PRINTERS и т. Д.