Я новый сетевой менеджер школы. Я унаследовал среду, состоящую из нескольких серверов Windows, около 100 клиентов Windows, 10 принтеров, 1 маршрутизатора Cisco, 6 коммутаторов Cisco и 1 коммутатора HP. Также мы используем VoIP.
В нашем здании четыре этажа. Хосты на каждом этаже закреплены за отдельной VLAN. Офис на первом этаже имеет собственный VLAN. Все коммутаторы находятся в собственной VLAN. IP-телефоны находятся в собственной VLAN. И серверы находятся в своей собственной VLAN.
Что касается количества хостов в сети, действительно ли все эти VLAN что-нибудь мне дают? Я новичок в концепции VLAN, но для данной среды она кажется слишком сложной. Или это гениально, и я просто не понимаю?
Для меня большинство этих VLAN имеют смысл. Хорошо разделить по функциям, так что VLAN для серверов, один для телефонов, а другой для рабочих станций, имеет смысл. Затем вы можете получить точный контроль над трафиком, передаваемым между рабочими станциями и серверами.
В чем я не вижу особого смысла, так это иметь VLAN для рабочих станций на каждом этаже. Единая VLAN для всех рабочих станций упростит и упростит работу. Распределение виртуальных локальных сетей между несколькими коммутаторами / транками, вероятно, не будет проблемой для такой небольшой сети.
Также довольно бессмысленно поддерживать отдельную VLAN для управления коммутатором. Они могут спокойно сидеть в серверной VLAN.
Ничего волшебного в VLAN BTW ... просто отдельные сегменты широковещательной сети, каждый из которых требует шлюза по умолчанию и соответствующей конфигурации ACL на сетевых портах.
Что ж, было бы полезно иметь отдельные VLAN для данных (компьютеров) и VoIP, чтобы вы могли применить какую-то приоритизацию трафика. Отдельные VLAN для управления коммутаторами тоже пригодятся. Отдельных виртуальных локальных сетей на каждом этаже может оказаться слишком много для 100 ПК, если вы не планируете расширяться в будущем.
VLAN позволяют разделить сеть на более мелкие логические сегменты; это помогает как в улучшении управляемости, так и в ограничении ненужного широковещательного трафика.
Для такой маленькой сети это мощь на самом деле будет излишним: вы можете легко обработать ~ 100 сетевых объектов с одной VLAN и IP-подсетью. Но я думаю, вам следует придерживаться этой конфигурации по двум основным причинам:
1) Улучшает управляемость; если вы знаете, например, что серверы находятся в 192.168.1.X, а клиенты - в 192.168.100.Y, ими проще управлять. Если бы все ваши адреса находились в подсети 192.168.42.Z, как бы вы (легко) могли их различить?
2) Масштабируется намного лучше. Если вы когда-нибудь перейдете от ~ 100 к> 200 сетевых объектов, одна / 24 IP-подсети внезапно покажется много поменьше, а один побольше очень легко превратится в беспорядок.
Для пуристов: да, я очень хорошо знаю, что VLAN и IP-подсети не обязательно имеют строгое отображение 1: 1; это только наиболее распространенное использование для них, о котором, похоже, говорит OP.
IME, вы находитесь в парке мячей, где разделение трафика по сетям улучшит производительность. Однако разделение VLAN, по-видимому, было принято на основе функции узлов-членов, а не каких-либо усилий по управлению полосой пропускания. Конечно, с таким количеством узлов вы могли бы получить такую же совокупную пропускную способность, грамотно спланировав, где вы размещаете коммутаторы, вместо использования виртуальных локальных сетей.
Не видя подробной диаграммы и не получая реальных измерений, трудно сказать наверняка, но я подозреваю, что описываемая вами установка не дает вам никаких преимуществ в производительности и не дает администратору проблем.
вы можете применить списки контроля доступа на маршрутизаторе
Не лучший повод для использования vlan - используйте подсети, межсетевые экраны и коммутаторы.
Другим преимуществом этой конструкции является то, что вы можете принудительно использовать списки управления доступом на маршрутизаторе, чтобы ограничить обмен данными между VLAN, и вы можете защитить серверы Windows от энтузиастов-студентов.
Я согласен с уже имеющимися ответами.
Вы необходимость VLAN? Другими словами, являются ли они «необходимыми», если мы хотим педантично придерживаться того, что вы задаете в заголовке своего вопроса? Возможно нет. Это хорошая идея, учитывая разнообразие вашего трафика? Возможно - да.
Нет правильного или неправильного ответа, это вопрос разных дизайнов и того, чего дизайнер надеялся достичь ...
Основываясь на том, что вы сказали, я согласен с комментариями об отсутствии необходимости в VLAN «на этаж», но не зная больше о вашей настройке (хотя я администратор сети в колледже, поэтому у меня есть некоторое общее представление), это возможно, насколько мы знаем что у вас есть классы программирования на одном этаже, административный офис на другом и т. д. и текущие виртуальные локальные сети рабочих станций не предназначены для разделения этажи а скорее о разделении функции, поэтому классы программирования не могут нарушить использование локальной сети для обработки текстов на других уроках, студенты не могут легко подключиться к административным рабочим станциям, возможно, у вас есть потребность в выделенных ПК для электронных экзаменов и так далее. Если что-то подобное происходит, возможно, дополнительные виртуальные локальные сети для рабочих станций имеют больше смысла.
Я не думаю, что существует какая-либо документация, объясняющая выбор дизайна, сделанный человеком, который изначально все это настраивал?
Сети VLAN выделяют широковещательный трафик. У вас недостаточно компьютеров, чтобы об этом беспокоиться. VLAN часто, но не всегда, совпадают с подсетями. Сети VLAN также позволяют применять некоторые ограниченные списки контроля доступа. Списки контроля доступа могут потребовать значительных усилий с небольшой пользой. Межсетевые экраны лучше разделяют трафик, списки ACL на портах коммутатора могут стать беспорядочными.
Единственный аргумент, который я вижу для добавления виртуальных локальных сетей, - это изменение схемы IP-адресации. Теперь я думаю, что всего 4 этажа, что может быть излишним.
В компании, в которой я работал, у нас было дюжина зданий в нашем главном кампусе и несколько вспомогательных кампусов, поэтому у нас была схема IP-адресации, которая позволяла нам определять по IP-адресу, в каком здании находится устройство. Это мое 2 цента, чего стоит.