Sind VLANs für meine Umgebung erforderlich?

Ich bin der neue Netzwerkmanager für eine Schule. Ich habe eine Umgebung geerbt, die aus mehreren Windows-Servern, etwa 100 Windows-Clients, 10 Druckern, 1 Cisco-Router, 6 Cisco-Switches und 1 HP-Switch besteht. Außerdem verwenden wir VoIP.

Es gibt vier Stockwerke in unserem Gebäude. Die Hosts auf jeder Etage sind einem separaten VLAN zugeordnet. Ein Büro im ersten Stock verfügt über ein eigenes VLAN. Alle Switches befinden sich in einem eigenen VLAN. Die IP-Telefone befinden sich in einem eigenen VLAN. Und die Server befinden sich in einem eigenen VLAN.

Kaufen mir all diese VLANs für die Anzahl der Hosts im Netzwerk wirklich etwas? Ich bin neu im VLAN-Konzept, aber es scheint für diese Umgebung zu kompliziert. Oder ist es genial und ich verstehe es einfach nicht?

IME befinden Sie sich im Ball Park, wo die Trennung des Datenverkehrs über Netzwerke die Leistung verbessert. Die Aufteilung der VLANs scheint jedoch eher auf der Grundlage der Funktion der Mitgliedsknoten als auf der Grundlage der Verwaltung der Bandbreite entschieden worden zu sein. Mit dieser Anzahl von Knoten könnten Sie sicherlich die gleiche Gesamtbandbreite erhalten, indem Sie intelligent planen, wo Sie Switches platzieren, anstatt vlans zu verwenden.

Ohne ein detailliertes Diagramm zu sehen und einige echte Messungen zu erhalten, ist es schwer zu sagen, aber ich vermute, dass das von Ihnen beschriebene Setup Ihnen keine Leistungsvorteile und viele Probleme mit dem Administrator bringt.

Sie können Zugriffssteuerungslisten auf dem Router erzwingen

Kein guter Grund für die Verwendung von vlans - verwenden Sie Subnetze, Firewalls und Switches.

Die meisten dieser VLANs sind für mich sinnvoll. Es ist gut, nach Funktionen aufzuteilen, daher ist ein VLAN für Server, eines für Telefone und eines für Workstations sinnvoll. Sie können dann den Datenverkehr zwischen Workstations und Servern genau steuern.

Ich sehe nicht viel Sinn darin, VLANs für Workstations auf jeder Etage zu haben. Ein einziges VLAN für alle Workstations würde die Dinge schön und einfach halten. Das Überspannen von VLANs über mehrere Switches / Trunks ist für ein so kleines Netzwerk wahrscheinlich kein Problem.

Es ist auch ziemlich sinnlos, ein separates VLAN für die Switch-Verwaltung zu verwalten. Sie können glücklich im Server-VLAN sitzen.

Übrigens nichts Magisches an VLANs ... nur separate Broadcast-Netzwerksegmente, für die jeweils ein Standard-Gateway und die entsprechende ACL-Konfiguration an den Netzwerkports erforderlich sind.

Es könnte nützlich sein, separate VLANs für Daten (Computer) und VoIP zu haben, damit Sie eine Art Verkehrspriorisierung anwenden können. Separate VLANs für die Verwaltung von Switches sind ebenfalls nützlich. Separate VLANs pro Etage scheinen für 100 Pcs möglicherweise zu viel zu sein, es sei denn, Sie planen eine zukünftige Erweiterung.

Mit VLANs können Sie Ihr Netzwerk in kleinere logische Segmente unterteilen. Dies hilft sowohl bei der Verbesserung der Verwaltbarkeit als auch bei der Begrenzung unnötigen Broadcast-Verkehrs.

Für ein so kleines Netzwerk könnte es tatsächlich ein Overkill sein: Sie könnten problemlos ~ 100 Netzwerkobjekte mit einem einzigen VLAN- und IP-Subnetz verarbeiten. Aber ich denke, Sie sollten sich aus zwei Hauptgründen an diese Konfiguration halten:

1) Es verbessert die Verwaltbarkeit; Wenn Sie wissen, dass sich Server in 192.168.1.X und Clients in 192.168.100.Y befinden, ist es einfacher, sie zu verwalten. Wenn alle Ihre Adressen im Subnetz 192.168.42.Z wären, wie könnten Sie sie (leicht) unterscheiden?
2) Es skaliert viel besser. Wenn Sie jemals von ~ 100 auf> 200 Netzwerkobjekte wechseln, erscheint ein einzelnes / 24-IP-Subnetz plötzlich viel kleiner, und ein einzelnes größeres wird sehr leicht zu einem Chaos.

Für die Puristen: Ja, ich weiß sehr gut, dass VLANs und IP-Subnetze nicht unbedingt eine strikte 1: 1-Zuordnung haben. Dies ist nur die häufigste Verwendung für sie, auf die sich das OP zu beziehen scheint.

Der andere Vorteil dieses Entwurfs besteht darin, dass Sie Zugriffssteuerungslisten auf dem Router erzwingen können, sodass die Kommunikation zwischen VLANs eingeschränkt ist, und dass Sie die Windows-Server vor begeisterten Schülern schützen können.

Ich würde den Antworten zustimmen, die Sie bereits haben.

Haben Sie benötigen VLANs? Mit anderen Worten, sind sie "notwendig", wenn wir uns pedantisch an das halten wollen, was Sie im Titel Ihrer Frage fragen? Wahrscheinlich nicht. Ist es eine gute Idee angesichts der Vielfalt des Verkehrs, den Sie haben? Wahrscheinlich ja.

Es gibt keine richtige oder falsche Antwort, es geht um verschiedene Designs und darum, was der Designer erreichen wollte ...

Basierend auf dem, was Sie gesagt haben, stimme ich den Kommentaren zu, dass kein VLAN "pro Etage" benötigt wird, aber ohne mehr über Ihr Setup zu wissen (obwohl ich ein College-Netzwerkmanager bin, also habe ich eine allgemeine Vorstellung), ist es nach allem, was wir wissen, möglich Sie haben Programmierklassen auf einer Etage, ein Verwaltungsbüro auf einer anderen Etage usw. und in den aktuellen Workstation-VLANs geht es nicht um das Trennen von Etagen , sondern um das Trennen von Funktionen , sodass die Programmierklassen die Verwendung des LAN für die Textverarbeitung möglicherweise nicht stören können In anderen Lektionen können die Schüler keine einfache Verbindung zu Verwaltungsarbeitsplätzen herstellen. Möglicherweise benötigen Sie dedizierte PCs für elektronische Prüfungen usw. Wenn so etwas passiert, sind die zusätzlichen Workstation-VLANs möglicherweise sinnvoller.

Ich nehme an, es gibt keine Dokumentation, in der die Designentscheidungen der Person erläutert werden, die dies ursprünglich eingerichtet hat.

VLANs trennen den Broadcast-Verkehr. Sie haben nicht genug Computer, um sich darüber Sorgen zu machen. VLANs werden häufig, aber nicht immer mit Subnetzen ausgerichtet. Mit VLANs können Sie auch einige eingeschränkte ACLs anwenden. Switch-ACLs können mit geringem Nutzen viel Wartung leisten. Firewalls trennen den Datenverkehr besser, ACLs an Switch-Ports können unordentlich werden.

Das einzige Argument, das ich zum Hinzufügen von VLANs sehe, ist, wenn Sie auch Ihr IP-Adressierungsschema ändern. Jetzt denke ich mit nur 4 Etagen, die übertrieben sein können.

In einer Firma, für die ich früher gearbeitet habe, hatten wir ein Dutzend Gebäude auf unserem Hauptcampus und einige Satellitencampusse, also hatten wir ein IP-Adressierungsschema, mit dem wir anhand einer IP-Adresse erkennen konnten, in welchem ​​Gebäude sich ein Gerät befand 2 Cent für das, was es wert ist.