VLANs - Planung?


8

Unser Netzwerk ist eine flache L2.

Irgendwann müssen wir (ich möchte, aber es liegt nicht ausschließlich in meiner Verantwortung) damit beginnen, das VLAN herunterzufahren, da offensichtlich viel Broadcast-Chatter stattfinden wird und kürzlich eine unserer Firewalls ihren Arp-Tisch erreicht hat limit (wohl hat die Firewall ein niedriges Arp-Tabellenlimit, aber wir sind da, wo wir damit sind).

Wie kommen Sie auf eine Methode zum VLANing Ihres LAN?

In unserem Fall sind wir ein Standort, aber so groß wie eine kleine Stadt (denken Sie an den Campus, denke ich).

Wir haben ein ziemlich typisches Hub / Spoke-LAN mit einigen Core-Switches, an die die Edge-Switches angeschlossen sind, einige direkt, andere über Glasfaser-Kupfer-Konverter.

Unser Edge-Kit ist eine Mischung aus Procurve's, Prosafes, einigen älteren Baystacks usw.

Die meisten unserer Kunden haben DHCP, einige haben statische IPs, aber wir könnten damit umgehen, vernetzte Drucker haben auch statische IPs.

Aus meiner Sicht gibt es viele Optionen für VLAN basierend auf dem physischen Standort auf dem Campus, dh alle Edge-Switches in den Gebäuden A und B gehen auf VLAN xx, oder es könnte auf anderen Faktoren basieren.

Einfach gesagt, ich habe das noch nie gemacht und es ist einfach, schnell einzutauchen und Dinge zu erledigen und es dann zu bereuen.

Wie würden Sie bitte vorgehen?

Antworten:


6

Normalerweise gibt es bereits eine direkte Trennung, die Sie als Grundlage für die Segmentierung des Netzwerks verwenden. Klingt eher so, als ob Sie das Netzwerk subnetzieren möchten, als als vlan. vlans basieren normalerweise auf administrativen Anforderungen wie einem Verwaltungsnetzwerk, SAN oder VoIP usw. Subnetze folgen diesen vlans, teilen jedoch häufig verschiedene physische Unterschiede (einen pro Gebäude, Stockwerk oder anderes physisches Konstrukt).

Es ist wirklich schwer, etwas Bestimmtes zu empfehlen, ohne etwas über Ihr Netzwerk zu wissen.


+1 für folgende offensichtliche Teilung. Ich hatte einige Netzwerke, in denen ein "Workstations" - und "Server" -VLAN gut funktionierte und dem Client seit ein paar Jahren etwas Luft zum Atmen gab und wahrscheinlich für viel mehr in Ordnung sein wird. Ich hatte auch Kunden mit klaren Verantwortungsbereichen innerhalb der Workstations selbst und aus Sicherheitsgründen habe VLAN sie in die verschiedenen "Teams" aufgeteilt.
Saucengesicht

AIUI-Subnetze würden die Broadcast-Domäne reduzieren, aber nichts tun, um die L2-Domäne einzuschränken, aus der die ARP-Tabelle stammt, und was würden VLANs auflösen?
Flooble

1
VLANs sind eine Möglichkeit, virtuelle Switches zu erstellen, die physische Switches partitionieren und / oder überspannen können. Sie ersetzen Subnetze in keiner Weise, im Gegenteil, sie benötigen zusätzliche Subnetze. Sie abstrahieren einfach die Funktionalität von der physischen Implementierung.
Chris S

4

Die Art und Weise, wie @minarnhere beschreibt, ist absolut der richtige Weg, aber nicht nur nach Funktionen aufzuteilen, sondern auch Sicherheitsfaktoren, physischen Standort und Anzahl der Hosts hinzuzufügen. Teilen Sie Ihr Netzwerk auf der Grundlage all dieser Faktoren in so viele VLANs auf, wie erforderlich sind.

Vorausgesetzt, die entsprechenden Switches und Router sind vorhanden, entstehen für viele VLANs keine Kosten, und die Vorteile sind enorm. Wenn dies richtig geplant ist, ist auch der Verwaltungsaufwand minimal. Beschränken Sie sich nicht auf künstliche Einschränkungen, wenn Sie alle Schüler oder Tutoren oder eine Gruppe von Benutzern oder Hosts in einem einzigen VLAN zusammenfassen. Warum sollten Sie das überhaupt tun? Denken Sie daran, dass der Datenverkehr nur auf Schicht 3 gesteuert werden kann. Teilen Sie Ihr Netzwerk auf, damit Sie den Datenverkehr zwischen VLANs begrenzen und steuern können. Sie haben keine Chance mit Datenverkehr innerhalb eines VLANs.

Die klassische Methode zum Entwerfen eines Campus-LAN besteht darin, das Netzwerk in Access, Distribution und Core aufzuteilen. Viele Access Layer 2-Switches, die jeweils Datenverkehr von einem oder mehreren VLANs übertragen, stellen eine Verbindung zu einigen Layer 3-Verteilungs-Switches her, die den Datenverkehr an eine kleine Anzahl von Layer 3-Core-Switches weiterleiten.

Alle Ihre Hosts müssen mit der Zugriffsschicht verbunden sein, die basierend auf den oben beschriebenen Faktoren in VLANs aufgeteilt wird. Jedes Zugriffsschicht-VLAN sollte nach Möglichkeit auf einen physischen Switch beschränkt sein (diese Regel muss nur verletzt werden, wenn Sie über Dual-Homed-Server verfügen, die möglicherweise ein Failover auf einen anderen Switch im selben VLAN durchführen müssen). Denken Sie daran, dass jedes VLAN eine Broadcast-Domäne ist und Sie den Broadcast-Verkehr auf jeder dieser Domänen so weit wie möglich begrenzen möchten. Verwenden Sie nur / 24 Subnetze für Ihre Zugriffsschicht. Warum sollten Sie> 250 Hosts in einer einzelnen Broadcast-Domäne verwenden?

Es wird einige, sehr, sehr wenige Umstände geben, unter denen ein VLAN über mehrere Switches verteilt werden muss, aber diese sind sehr spezialisiert, das Switch-Management vielleicht einer (aber das ist umstritten), es gibt nur sehr wenige andere.

Ein guter Ausgangspunkt wären Ihre Server. Wenn sie sich am selben physischen Standort befinden (Raum, nicht Gebäude), möchten Sie sie möglicherweise basierend auf der Funktionalität in VLANs aufteilen. Andernfalls ist ein einzelnes VLAN pro ~ 200 Hosts in Ordnung. Offensichtlich sollten (?) Server mit Internetanschluss ein eigenes, vorzugsweise physisch getrenntes Netzwerk sein, das vom Campus durch eine Firewall geschützt ist (DMZ-Design ist eine weitere Spezialität an sich, daher werde ich hier nicht darauf eingehen). Ihre internen Server sollten auch in solche für die Verwendung durch Schüler und solche nur für den internen Administrator aufgeteilt werden, um sie entsprechend in VLANs aufzuteilen. Wenn einige Server zu bestimmten Abteilungen gehören (z. B. HR), sollten Sie ein VLAN nur für diese Server in Betracht ziehen, wenn Sie möglicherweise den Datenverkehr zu diesen Servern steuern müssen.

Wenn die Server verteilt sind und dann je nach Standort und Funktionalität in separate VLANs gestellt werden, müssen sie sich nicht im selben VLAN befinden, nur weil sie Server sind oder nur weil sie alle Webserver sind.

Weiter zu Ihren Schülern und Mitarbeitern. Zunächst sollte jeder einzelne Port oder Zugangspunkt, auf den Nicht-IT-Mitarbeiter zugreifen können oder könnten, als Sicherheitsrisiko betrachtet werden, und der gesamte von dort stammende Datenverkehr sollte als nicht vertrauenswürdig behandelt werden. Platzieren Sie Ihre Klassenzimmer in VLANs basierend auf der möglichen Anzahl von Hosts und abhängig von den Umständen, Benutzergruppen, aber machen Sie nicht den Fehler, bestimmten Ports zu vertrauen. Wenn Tutoren von einem Klassenzimmer aus zu Ihrem Administrationsnetzwerk gelangen müssen, sollten sie angegeben werden die gleiche Zugriffsmethode (VPN?), als ob sie zu Hause oder in einem öffentlichen Café wären.

Das drahtlose Netzwerk sollte sich in getrennten VLANs von den verkabelten befinden, jedoch mit denselben Einschränkungen. Wenn dies vermieden werden kann (aber manchmal nicht möglich ist), sollten Sie nicht alle APs in ein campusweites VLAN einbinden, sondern sie nach derselben Methode aufteilen und aus dem gleichen Grund wie die verdrahtete.

IP-Telefone sollten sich überraschenderweise in getrennten VLANs von allem anderen befinden. Dies wird bei einigen Marken (meiner Erfahrung nach bei Cisco) dadurch erleichtert, dass das Telefon mit dem Zugriffsschalter verhandelt, um Datenverkehr in das entsprechende VLAN zu leiten, dies erfordert jedoch offensichtlich den Wechsel zu richtig konfiguriert sein.

Es gibt viel mehr über LAN-Design, aber das Obige ist ein Anfang. Als letzte Anmerkung, was DHCP betrifft, verwenden Sie es für jeden einzelnen Host, einschließlich Server und Drucker. Beide sollten statisch zugewiesene IP-Adressen basierend auf ihren MAC-Adressen haben. Der Bereich (oder die Bereiche) für die ersteren sollten keine Ersatzadressen haben. Dies verhindert in gewisser Weise das gelegentliche Anschließen von Geräten an Server-VLANs. Dies gilt jedoch auch für Drucker. Der Punkt ist, dass Sie die Geräte zentral steuern können Änderungen werden zentral behandelt, anstatt sich darauf zu verlassen, dass Ingenieure auf dem Campus herumwandern und die richtigen Adressen finden.

Okay, genug fürs Erste, ich hoffe das hilft ein bisschen.


Nachdem ich die Frage noch einmal gelesen habe, stelle ich fest, dass das OP möglicherweise keinen tatsächlichen Schul- / College-Campus verwaltet, sondern nur eine campusähnliche Umgebung. Wenn dies der Fall ist, sollten „Klassenzimmer“ durch „Büros“ und so weit wie nicht vertrauenswürdiger Verkehr ersetzt werden Dies gilt dann für alle Ports, auf die jeder zugreifen kann, der die lokalen PC- und Netzwerksicherheitsrichtlinien weder absichtlich noch versehentlich einhält. Alle anderen Prinzipien zur Aufteilung des Netzwerks bleiben unverändert.
Blankabout

1

Wie Chris S erwähnte, sind VLANs und Subnetze verschiedene Dinge. ABER wir haben gerade jedem VLAN auf dem Campus unserer Schule ein separates Subnetz und einen separaten DHCP-Bereich zugewiesen. Jedes Gebäude verfügt über einen eigenen VLAN / Subnetz / DHCP-Bereich. Dies erleichtert das Management erheblich, funktioniert jedoch möglicherweise nicht, wenn Sie einen größeren Campus als wir haben. Wir verwenden auch separate VLANs für Switch Management, physische Server, VoIP-Telefone, Student Wireless, Classroom Wireless, Student Labs, virtuelle Server, Business Office, SAN, VPN. Grundsätzlich sind wir klein genug, dass jede mögliche Differenzierung ein eigenes VLAN erhält. (Wir haben nur bis zu 25 VLANs und ich habe angefangen, neue Abteilungen aufzubauen, nur weil ich bestimmte Gruppen vom Rest des Netzwerks isolieren wollte ...)

Das Erstellen separater Subnetze für jedes VLAN ist zwar verschwenderisch, erleichtert jedoch die Verwaltung und ermöglicht einfache IP-> VLAN-Konvertierungen in Ihrem Kopf, falls dies jemals erforderlich sein sollte.

Wir verwenden 10.xxx für IPs, also erhält VLAN1 10.1.xx, VLAN8 10.8.xx usw. Jedes VLAN, das DHCP benötigt, erhält seinen eigenen Bereich, aber wir erstellen keine Bereiche für VLANs, die diese nicht benötigen, wie z Switch Management.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.