VLAN's - Planejamento?


8

Nossa rede é uma L2 plana.

Em algum momento, precisamos (eu quero, mas não é estritamente minha responsabilidade) começar a reduzir a VLAN, pois obviamente teremos muitas conversas de difusão em andamento, e recentemente um de nossos firewalls alcançou sua tabela arp limit (sem dúvida o firewall tem um limite baixo de tabela arp, mas estamos onde estamos com isso).

Então, como você cria uma metodologia para fazer VLAN na sua LAN?

No nosso caso, somos um site, mas do tamanho de uma cidade pequena (acho que o campus, eu acho).

Temos uma LAN hub / spoke bastante típica com alguns comutadores principais nos quais os comutadores de borda se conectam, alguns diretamente, outros via conversores de fibra para cobre.

Nosso kit de borda é uma mistura de Procurve, Prosafes, alguns Baystacks mais antigos etc.

A maioria dos nossos clientes está no DHCP, alguns estão em IPs estáticos, mas podemos lidar com eles. As impressoras em rede também estão em IPs estáticos.

A meu ver, existem muitas opções para a VLAN com base na localização física no campus, ou seja, qualquer switch de borda nos prédios A e B segue a VLAN xx, ou pode ser com base em outros fatores.

Simplificando, eu nunca fiz isso antes e é fácil mergulhar e fazer coisas rapidamente e depois me arrepender.

Como você faria isso por favor?

Respostas:


6

Normalmente, já existe alguma divisão óbvia direta e você a usa como base para segmentar a rede. Parece mais que você deseja sub-rede da rede do que vlan. As vlans geralmente são baseadas em requisitos administrativos, como uma rede de gerenciamento, SAN ou VoIP, etc. As sub-redes seguem essas vlans, mas também geralmente dividem várias diferenças físicas (uma por edifício, andar ou outra construção física).

É realmente difícil recomendar algo específico sem saber nada sobre sua rede.


+1 para seguir a divisão óbvia. Eu tive algumas redes nas quais uma VLAN de "estações de trabalho" e "servidores" funcionou bem e deu ao cliente algum espaço para respirar por alguns anos e provavelmente será bom para muito mais. Também tive clientes com divisões claras de responsabilidade nas próprias estações de trabalho e, por razões de segurança, os distribuímos pela VLAN nas várias "equipes".
gravyface

As sub-redes AIUI reduziriam o domínio de transmissão, mas não fariam nada para restringir o domínio L2, de onde a tabela ARP se origina e é o que as VLANs resolveriam?
flooble

1
As VLANs são uma maneira de criar comutadores virtuais que podem particionar e / ou expandir comutadores físicos. Eles não substituem sub-redes de forma alguma, pelo contrário, exigem sub-redes adicionais. Eles simplesmente abstraem a funcionalidade da implementação física.
Chris S

4

A maneira como o @minarnhere descreve é ​​absolutamente o caminho a percorrer, mas não se divida apenas pela funcionalidade, adicione fatores de segurança, localização física e número de hosts, divida sua rede em quantas VLANs forem necessárias, com base em todos esses fatores.

Assumindo que os switches e roteadores apropriados estejam em vigor, não há custo para ter muitas VLANs e os benefícios são enormes, se for planejado corretamente, a sobrecarga administrativa também será mínima. Não se limite a restrições artificiais sobre colocar todos os alunos ou tutores ou qualquer grupo de usuários ou hosts em uma única VLAN, por que você faria isso de qualquer maneira? Lembre-se de que o tráfego só pode ser controlado na camada 3; portanto, divida sua rede para limitar e controlar o tráfego entre VLANs, sem chance de tráfego dentro de uma VLAN.

A maneira clássica de projetar uma LAN do campus é dividir a rede em Acesso, Distribuição e Núcleo. Muitos switches da camada 2 do Access, cada um transportando tráfego de uma ou mais VLANs, se conectam a alguns switches de distribuição da camada 3 que direcionam o tráfego para um pequeno número de switches principais da camada 3.

Todos os seus hosts devem estar conectados à camada de acesso que é dividida em VLANs com base nos fatores descritos acima. Cada VLAN da camada de acesso deve, sempre que possível, limitar-se a um comutador físico (essa regra só precisa ser violada se você tiver servidores com hospedagem dupla que talvez precisem de failover para outro comutador na mesma VLAN). Lembre-se de que cada VLAN é um domínio de broadcast e você deseja limitar o tráfego de broadcast em cada um deles o máximo possível. Considere usar apenas / 24 sub-redes para sua camada de acesso, por que você deseja> 250 hosts em um único domínio de broadcast?

Haverá algumas, muito, muito poucas circunstâncias em que uma VLAN precisará se espalhar por vários comutadores, mas elas serão muito especializadas, talvez o gerenciamento de comutadores (mas isso é discutível), existem muito poucas outras.

Um bom ponto de partida seria seus servidores. Se eles estiverem no mesmo local físico (sala, não prédio), convém dividi-los em VLANs com base na funcionalidade, mas, caso contrário, uma única VLAN por ~ 200 hosts será adequada. Obviamente (?) Os servidores voltados para a Internet devem estar por conta própria, de preferência fisicamente separados, em rede, protegidos por firewall no campus (o design da DMZ é outra especialidade em si, por isso não vou falar disso aqui). Seus servidores internos também devem ser divididos em servidores para uso dos alunos e somente para administradores internos, dividindo-os em VLANs adequadamente. Se alguns servidores pertencem a departamentos específicos (por exemplo, RH), se você precisar controlar o tráfego para esses servidores, considere ter uma VLAN apenas para eles.

Se os servidores estiverem espalhados, coloque-os em VLANs separadas, com base no local e na funcionalidade, não é necessário que eles estejam na mesma VLAN apenas 'porque são servidores' ou 'porque são todos servidores da Web'.

Passando para os alunos e funcionários. Para começar, cada porta ou ponto de acesso que é, ou pode ser, acessado por pessoas que não são de TI deve ser considerado um risco de segurança e todo o tráfego originado por ela deve ser tratado como não confiável. Coloque suas salas de aula em VLANs com base no número possível de hosts e, dependendo das circunstâncias, grupos de usuários, mas não cometa o erro de 'confiar' em determinadas portas, se os tutores precisarem acessar sua rede de administração de uma sala de aula, eles deverão receber o mesmo método de acesso (VPN?) como se estivessem em casa ou em uma cafeteria pública.

A rede sem fio deve estar em VLANs separadas da com fio, mas com as mesmas restrições, se for possível evitar (mas às vezes não) não colocar todos os pontos de acesso em uma VLAN em todo o campus, dividi-los usando a mesma metodologia e pelo mesmo motivo que o com fio.

Os telefones IP devem, surpresa, surpresa, estar em VLANs separadas de tudo o mais, isso é facilitado em algumas marcas (Cisco na minha experiência) pelo telefone negociando com o switch de acesso para colocar o tráfego na VLAN apropriada, mas isso obviamente exige que o switch seja esteja configurado corretamente.

Há muito mais sobre o design da LAN, mas o acima é um começo. Como observação final, no que diz respeito ao DHCP, use-o para todos os hosts, incluindo servidores e impressoras, ambos devem ter endereços IP atribuídos estaticamente com base em seus endereços MAC. O escopo (ou escopos) do primeiro não deve ter endereços sobressalentes, isso ajuda a impedir a conexão casual de dispositivos às VLANs do servidor, mas, e isso também se aplica às impressoras, o ponto é que você tem controle central dos dispositivos e quaisquer alterações são tratadas centralmente, em vez de depender de engenheiros que vagam pelo campus, acertando os endereços.

Ok, por enquanto, espero que ajude um pouco.


Depois de reler a pergunta, percebo que o OP pode não estar gerenciando um campus real de escola / faculdade, apenas um ambiente semelhante ao campus, se esse for o caso, as 'salas de aula' devem ser substituídas por 'escritórios' e até o tráfego não confiável , aplica-se a todas as portas que possam ser acessadas por qualquer pessoa que provavelmente não cumpra, de propósito ou por acidente, as políticas locais de segurança de PC e rede. Todos os outros princípios sobre a divisão da rede permanecem inalterados.
precisa saber é o seguinte

1

Como Chris S mencionou, VLANs e sub-redes são coisas diferentes. MAS, acabamos de atribuir um escopo de sub-rede e DHCP separado para cada VLAN no campus da nossa escola. Cada edifício tem seu próprio escopo de VLAN / Sub-rede / DHCP. Isso facilita muito o gerenciamento, mas pode não funcionar se você tiver um campus maior do que o nosso. Também usamos VLANs separadas para Gerenciamento de Switch, servidores físicos, telefones VOIP, Student Wireless, Classroom Wireless, Student Labs, Servidores Virtuais, Business Office, SAN, VPN. Basicamente, somos pequenos o suficiente para que qualquer diferenciação possível obtenha sua própria VLAN. (Temos apenas 25 VLANs e comecei a criar novas divisões apenas porque queria isolar certos grupos do restante da rede ...)

Criar sub-redes separadas para cada VLAN pode ser um desperdício, mas facilita o gerenciamento e permite conversões fáceis de IP -> VLAN em sua cabeça, se você precisar fazer isso.

Usamos 10.xxx para IPs; portanto, a VLAN1 obtém 10.1.xx, a VLAN8 obtém 10.8.xx etc. Toda VLAN que precisa de DHCP tem seu próprio escopo, mas não criamos escopos para VLANs que não precisam deles, como Gerenciamento de Switch.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.