Назад | Перейти на главную страницу

Несколько VLAN, один сервер - Минимальное необходимое оборудование

В небольшой школе в настоящее время есть 30 компьютеров, подключенных через точки доступа Wi-Fi к Интернету (3 WAN), но на данный момент нет реальной локальной сети, кроме примерно 8 кабелей, идущих от точек доступа к модемам. Наконец, план состоит в следующем: - купить коммутатор 24p - купить Windows Server 2012 - купить агрегатор переключения / балансировки пропускной способности сети.

Схема:

-----------          ----------           ------------           ----------------- 
| 5 VLANs | <------> | Switch |  <------> | Failover |  <------> |  3 modems     |
-----------          ----------           ------------           -----------------

Требования:

Вопросы:

  1. Достаточно ли для этой задачи управляемого коммутатора L2?
  2. Требуется ли серверу несколько сетевых адаптеров?

Ответы на оригинальные вопросы:

  1. Управляемого коммутатора L2 с поддержкой 802.1q VLAN достаточно, если вся маршрутизация между подсетями выполняется в другой системе (на вашем маршрутизаторе, на вашем сервере или на другом компьютере с сетевой картой, совместимой с 802.1q, и программным обеспечением). Если вы хотите выполнить маршрутизацию на коммутаторе, вам нужно купить коммутатор с поддержкой L3. Это в основном зависит от ваших потребностей в производительности (узким местом будет одна система, поскольку весь трафик со всех портов должен проходить через нее).
  2. Если сетевая карта поддерживает теги 802.1q VLAN, вы можете сделать это с помощью одной сетевой карты. В зависимости от операционной системы может быть проще настроить разные сетевые адаптеры, а стоимость оборудования относительно невысока. Также от ваших шаблонов трафика зависит, будут ли более эффективными 4 одиночных или 4 агрегированных сетевых адаптера.

Помогают ли VLAN с безопасностью?

  • Они могут помочь, разделяя трафик по разным подсетям, но это следует сочетать с другими вещами. Например, при использовании 802.1q и 802.1x (RADIUS) новое устройство может аутентифицировать себя (с помощью пароля или сертификата) при первом контакте (через беспроводное соединение или кабель), а затем будет назначено VLAN в зависимости от ваших правил настройки. (гостевая VLAN, учительская VLAN и т. д.). Точно так же, если вы объедините их с IPSec или любым другим решением VPN, у вас будет зашифрованный трафик, и даже в той же подсети никто не сможет прочитать / понять трафик, не предназначенный для него. Можно и нужно комбинировать разные технологии.
  • Существуют сценарии атак, цель которых состоит в том, чтобы вырваться из сети VLAN (из-за ошибки / эксплойта или использования плохо настроенных настроек VLAN). Если вы правильно настроите свои VLAN, у вас, скорее всего, все будет хорошо. При желании очень важной информацией можно управлять отдельно (воздушный зазор или отдельное оборудование).
  • Управление и настройка связаны с накладными расходами, поэтому вам следует решить, стоит ли потратить время на ее правильную настройку. Вы получите максимальную отдачу, если желаемая топология сети
    • часто меняется, но оборудование остается неизменным, или
    • сложен и отличается от вашего физического расположения, или
    • физически моделировать невозможно.