Назад | Перейти на главную страницу

Планирование VLAN и вопросы

В настоящее время я управляю средой с IP-адресом 10.10.10.x / 23. У нас настроено 3 виртуальных локальной сети, и я использую этот термин очень свободно. Причина, по которой я говорю, что я использую этот термин свободно, заключается в том, что 3 VLANS имеют полный доступ друг к другу. VLAN10 - это наша внутренняя сеть, VLAN20 - это гостевой Wi-Fi, а VLAN30 - наша DMZ. В среде есть ваш типичный сервер, рабочие станции, принтеры, плюс у нас есть камеры видеонаблюдения, но нет VOIP. У нас около 200 рабочих станций, 29 принтеров, 20 серверов, 40 камер видеонаблюдения.

У гостевого Wi-Fi должен быть только доступ к Интернету, а не моя внутренняя сеть. Некоторые из вопросов, которые у меня возникают при планировании нашей настройки VLAN, заключаются в том, что в настоящее время наш ASA5505 «маршрутизирует» трафик и имеет списки ACL для VLANS, следует ли мне оставить это так или списки ACL следует перенести на коммутаторы cisco 3750X? Прямо сейчас я должен был настроить VLANS следующим образом:

VLAN      
10      Servers            10.10.10.x/24

20      Workstations       10.10.20.x/24

30      Internal Wifi      10.10.30.x/24

40      Cameras and Server 10.10.40.x/24

100     DMZ                192.168.100.x/24

110     Guest WiFi         192.168.110.x/24

Я также не уверен, следует ли держать принтеры в той же VLAN, что и рабочие станции, серверы, или отделять их от их собственной VLAN? если они находятся в своей собственной VLAN, должен ли сервер печати также быть в этой VLAN?

Я думаю, тебе стоит подумать о почему вы можете использовать VLAN для начала.

Похоже, у вас есть причины ограничивать / сегментировать трафик, но я бы хотел спросить, действительно ли вы собираетесь выполнять домашнюю работу, необходимую для создания списков ACL, чтобы иметь точный контроль трафика между ПК, серверами и принтерами. Во всех случаях, которые я видел, администратор в конечном итоге сдавался и просто открывал весь трафик (allow ip any any) между «серверной VLAN» и «рабочей станцией VLAN», потому что они не могут заставить поставщиков программного обеспечения раскрывать, какие порты / протоколы необходимы для работы приложений (или потому что приложения используют динамические порты, которые не обрабатываются обработчиками протоколов в маршрутизатор между VLAN).

Типичный компромисс между использованием коммутатора уровня 3 и устройства, более похожего на маршрутизатор, такого как Cisco ASA, - это выразительность системы ACL по сравнению с производительностью маршрутизации. Коммутатор уровня 3 обычно может маршрутизировать со скоростью проводной сети, однако он может не поддерживать ACL с достаточной выразительностью, чтобы делать то, что вам нужно. В некоторых случаях система ACL коммутатора уровня 3 действительно обладает выразительностью, но использование этих выразительных функций может привести к тому, что маршрутизация будет проходить через ЦП, а не через ASIC, что снижает производительность.

Я бы начал с создания списка ACL, которые я намереваюсь иметь, а затем оценил, способны ли они коммутаторы уровня 3 обрабатывать их, и, если да, поддерживая при этом трафик по «быстрому пути». Вы получите самую высокую производительность маршрутизации в коммутаторах уровня 3, но (особенно с вашей гостевой Wi-Fi VLAN) ASA может лучше подходить с точки зрения выразительности правил.

Что касается ваших принтеров: если вы хотите ограничить доступ к принтерам только авторизованным администраторам и серверам, стоящим в очереди, тогда вы можете захотеть перебросить их в VLAN. Некоторых людей устраивает прямой доступ к принтерам с клиентских компьютеров, но в других средах (где печатаемые элементы имеют конфиденциальный характер или где программное обеспечение для выставления счетов требует арбитража доступа к принтерам) выигрывают от изоляции принтеров и строгого ограничения хостов, которые можно к ним подключиться. Здесь вам нужно будет оценить свои потребности. Какая степень ответственности вам нужна, например, в отношении аудита заданий на печать?

Вам не «нужна» VLAN только для принтеров, но поскольку вы планируете свою сеть сейчас и создаете VLAN, я бы ее сделал. Сервер печати обычно не обязательно должен находиться в той же VLAN, что и принтеры, поскольку ему не нужно общаться с ними с использованием уровня 2, а подключается с помощью TCP / IP. Таким образом, вы можете сохранить его в VLAN серверов.

edit: о, мне не хватало другого вопроса. Я бы также продолжил маршрутизацию на ASA, потому что здесь вы можете более точно настроить ACL, чем переключатели. Учитывая вашу настройку VLAN, я бы также НЕ стал маршрутизировать с помощью коммутаторов.

Если на ваших коммутаторах включена IP-маршрутизация, вы ДОЛЖНЫ поставить ACL на коммутаторы. Если ваш ASA подключен к вашим коммутаторам с помощью магистрали и настроен с IP-адресом в каждой VLAN, вам также придется применить там ACL, чтобы предотвратить маршрутизацию ASA.

Моя рекомендация:

  1. Не используйте магистральный порт с ASA. Используйте один интерфейс для каждой сети (DMZ, внутри, снаружи, гостевой Интернет).
  2. Сделайте маршрутизацию на переключателях.
  3. Примените ACL к коммутаторам, чтобы предотвратить маршрутизацию между DMZ, внутренней и гостевой сетями.
  4. Не используйте отдельную VLAN для принтеров. Храните их в VLAN вашей рабочей станции. Если вы переместите их в отдельную VLAN, тогда для перемещения принтеров и компьютеров потребуется изменить коммутатор. Я обычно использую VLAN в своих сетях, чтобы все внутри серверной комнаты требовало настройки порта коммутатора, но все порты в пользовательском пространстве настроены точно так же, чтобы облегчить перемещение пользовательских устройств.