Soru VLAN'lar - Planlama?


Ağımız düz bir L2'dir.

Bir noktada, (ben istiyorum, ama kesinlikle benim sorumluluğum değil) ihtiyacımız var. VLAN'ımızın çok fazla yayın sohbeti sürdüğünden, ve son zamanlarda güvenlik duvarlarımızdan birinin arp tablosuna ulaştığından VLAN'a başlıyoruz. limit (muhtemelen güvenlik duvarı düşük bir arp çizelgesi sınırına sahiptir, fakat biz bunun içindeyiz).

Öyleyse, LAN'ınızı VLAN'ing için nasıl bir metodoloji geliştiriyorsunuz?

Bizim durumumuzda tek bir sitemiz var, ama küçük bir kasabanın büyüklüğü (sanırım sanırım kampüs).

Oldukça tipik bir hub / bağlantı LAN'ına sahibiz. Bu kartların üzerinde, kenarların bir kısmı doğrudan, bazıları ise fiberden bakır dönüştürücülere bağlandığı bir çift ana şalter bulunmaktadır.

Kenar takımımız Procurve's, Prosafes, bazı eski Baystacks vb.

Müşterilerimizin çoğu DHCP'de, birkaçı statik IP'lerde, ancak bunlarla başa çıkabiliriz, ağ bağlantılı yazıcılar da statik IP'lerde.

Gördüğüm gibi, VLAN'da kampüste fiziksel konuma göre çok sayıda seçenek var, yani A & B binalarındaki herhangi bir kenar anahtarı VLAN xx'e gidiyor ya da diğer faktörlere dayanıyor olabilir.

Basitçe bunu daha önce yapmadım ve çabucak bir şeyler yapıp sonra da pişmanlık duymak kolay.

Bunun için nasıl giderdin lütfen?


8
2017-12-08 20:32


Menşei




Cevaplar:


Genelde, şimdiden gerçekleşen belli bir açık bölüm var ve bunu ağın bölümlendirilmesi için bir temel olarak kullanıyorsunuz. Daha çok, ağın altını ağlamak istediğiniz gibi geliyor. vlans genellikle bir yönetim ağı, SAN veya VoIP, vb. gibi yönetimsel gereksinimlere dayanır. Alt ağlar bu vlansları izler, ancak aynı zamanda genellikle çeşitli fiziksel farklılıkları (bina başına, kat veya diğer fiziksel yapılardan biri) böler.

Ağınız hakkında hiçbir şey bilmeden özel bir şey önermek gerçekten zor.


6
2017-12-08 20:48



Aşağıdaki açık bölümü için +1. "İş istasyonları" ve "sunucu" VLAN'ın iyi çalıştığı ve müşteriye birkaç yıldır nefes alan bir oda verdiği bazı ağlarım var ve muhtemelen daha fazla para cezası alacaktır. Ayrıca iş istasyonlarında kendileri ve güvenlik nedenleriyle açık sorumluluk sorumlulukları olan müşterilerim vardı, VLAN onları çeşitli "ekiplere" gönderdi. - gravyface
AIUI alt ağları yayın etki alanını azaltacaktır, ancak ARP tablosunun nereden kaynaklandığı ve VLAN'ların çözeceği L2 alanını kısıtlayacak hiçbir şey yapmaz mı? - flooble
VLAN'lar, fiziksel anahtarları bölümlendirebilen ve / veya ayırabilen sanal anahtarlar oluşturmanın bir yoludur. Alt ağları hiçbir şekilde değiştirmezler, aksine, ek alt ağlar gerektirirler. Fiziksel uygulamadan işlevselliği soyutlarlar. - Chris S


@Minarnhere'in tarif ettiği yol kesinlikle gitmenin yoludur, ancak sadece işlevsellikle bölünmez, güvenlik faktörleri, fiziksel konum ve ana bilgisayarların sayısı da eklenir, ağınızı tüm bu faktörlere bağlı olarak gerektiği kadar VLAN'a bölün.

Uygun anahtarların ve yönlendiricilerin bulunduğunu varsayarsak, birçok VLAN'a sahip olmanın ve faydaların çok büyük olmasının maliyeti yoktur, eğer doğru şekilde planlanırsa, yönetim yükü de minimumdur. Tüm öğrencileri veya öğretmenleri veya herhangi bir grup kullanıcıyı veya ana bilgisayarı tek bir VLAN'a yerleştirmekle ilgili yapay kısıtlamalarla kendinizi sınırlama. Neden bunu yapmak istesin? Trafiğin yalnızca 3. katmandan kontrol edilebileceğini unutmayın, böylece VLAN trafiğini sınırlandırabilir ve kontrol edebilirsiniz, böylece VLAN içinde trafik ile şansınız yoktur.

Bir kampüs LAN'ı tasarlamanın klasik yolu, ağı Access, Distribution ve Core'a ayırmaktır. Her biri bir veya daha fazla VLAN'dan gelen trafiği taşıyan birçok Erişim katmanı 2 anahtarı, trafiği az sayıdaki katman 3 çekirdek anahtarına yönlendiren birkaç katman 3 dağıtım anahtarına bağlanacaktır.

Tüm sunucularınız, yukarıda açıklanan faktörlere göre VLAN'lara ayrılan Erişim katmanına bağlanmalıdır. Her erişim katmanı VLAN, mümkünse, tek bir fiziksel anahtarla sınırlandırılmalıdır (bu kural, aynı VLAN'da başka bir anahtara yeniden yüklenmeye ihtiyaç duyabilecek çift bağlantılı sunucularınız varsa, yalnızca kırılması gerekir). Her bir VLAN'ın bir yayın alanı olduğunu ve yayın trafiğini mümkün olduğu kadar sınırlandırmak istediğinizi unutmayın. Erişim katmanınız için yalnızca / 24 alt ağ kullanmayı düşünün. Neden tek bir yayın alanında> 250 ana bilgisayar istersiniz?

Bir VLAN'ın birden çok anahtarın üzerine yayılması gerektiğinde bazı, çok az, birkaç durum olacaktır, ancak bunlar çok uzman, anahtar yönetimi belki de birdir (ama tartışılabilir), çok azı vardır.

İyi bir başlangıç ​​noktası sunucularınız olacaktır. Aynı fiziksel konumda (oda, bina değil) ise, bunları işlevselliğe bağlı olarak VLAN'lara bölmek isteyebilirsiniz, ancak aksi halde ~ 200 ana bilgisayar için tek bir VLAN iyi olacaktır. Açıkça görüldüğü gibi (?) İnternete bakan sunucular kendi başına, tercihen fiziksel olarak ayrı olan, kampüsten güvenlikli bir ağ olmalıdır (DMZ tasarımı kendi içinde başka bir uzmanlık alanıdır, bu yüzden buraya girmeyeceğim). Dahili sunucularınız da, öğrencilerin kullanımı için ve iç yönetici kullanımı için olanlara, VLAN'lara uygun şekilde ayrılarak ayrılmalıdır. Eğer bazı sunucular belirli departmanlara aitse (E.g HR), o zaman bu sunuculara giden trafiği kontrol etmeniz gerekiyorsa, sadece onlar için bir VLAN'a sahip olmayı düşünün.

Sunucular yayıldıkları takdirde, işleve bağlı olarak ayrı ayrı VLAN'lara koyarlarsa, aynı VLAN'da "sunucu oldukları için" ya da "hepsi de web sunucuları oldukları için" olmalarına gerek yoktur.

Öğrenci ve çalışanlarınızın kullanıcılarına geçiyoruz. Bir başlangıç ​​için, BT dışındaki personel tarafından erişilebilen veya erişilebilen her bir port veya erişim noktası bir güvenlik riski olarak düşünülmeli ve buradan kaynaklanan tüm trafik güvenilmez olarak değerlendirilmelidir. Sınıflarınızı, olası host sayısına göre VLAN'lara yerleştirin ve koşullara bağlı olarak, kullanıcı gruplarına, fakat belirli portlara 'güvenme' yapma hatası yapmayın, eğer öğretmenler bir sınıfa ait yönetici ağınıza ulaşacaksa, o zaman Aynı erişim yöntemi (VPN?) evde ya da halka açık bir kahve dükkanındaymış gibi.

Kablosuz ağ, kabloludan ayrı VLAN'larda olmalı, ancak aynı engellerle, önlenebiliyorsa (ancak bazen yapamaz) tüm AP'leri kampüs çapında bir VLAN'a yerleştirmeyin, aynı metodolojiyi kullanarak bölün ve kablolu ile aynı sebepten dolayı.

IP telefonlar, sürpriz, sürpriz, her şeyden ayrı VLAN'larda olmalı, bu uygun VLAN'a trafik koymak için erişim anahtarı ile müzakere telefonun bazı markaları (benim deneyimimde Cisco) kolaylaştırılır, ancak bu açıkça anahtarı gerektirir doğru şekilde yapılandırılmalıdır.

LAN tasarımında çok daha fazlası var ama yukarıda bir başlangıç. Son bir not olarak, DHCP ile ilgili olarak, sunucular ve yazıcılar dahil olmak üzere her bir ana bilgisayar için kullanın, bunların her ikisi de MAC adreslerine göre statik olarak atanmış IP adreslerine sahip olmalıdır. Birincinin kapsamı (veya kapsamları) boş adreslere sahip olmamalıdır, bu da aygıtların sunucu VLAN'larına sıradan takılmasını engellemenin bir yoludur, ancak bu yazıcılar için de geçerlidir, konu, aygıtların merkezi denetiminin olmasıdır. ve herhangi bir değişiklik, kampüse doğru adres alma konusunda dolaşan mühendislere güvenmek yerine merkezi olarak ele alınır.

Tamam, şimdilik yeterli, umarım biraz yardımcı olur.


4
2018-04-14 06:15



OP'nin gerçek bir okul / kolej kampüsünü, sadece kampüs gibi bir ortamı yönetemediğini anladığım soruyu yeniden okudum, bu durumda 'sınıflar', 'ofisler' ile ve güvenilmeyen trafikle değiştirilmelidir. gider, o zaman yerel PC ve ağ güvenlik politikaları ile, ya amaç veya kaza ile uyması muhtemel olmayan herkes tarafından erişilebilen herhangi bir port için geçerlidir. Ağı bölme ile ilgili tüm diğer ilkeler değişmeden kalır. - blankabout


Chris S'nin bahsettiği gibi, VLAN'lar ve alt ağlar farklı şeylerdir. AMA, okulumuzun kampüsündeki her bir VLAN'a ayrı bir alt ağ ve DHCP alanı tahsis ettik. Her binanın kendi VLAN / Alt ağ / DHCP kapsamı vardır. Bu, yönetimi daha kolay hale getirir, ancak bizim yaptığımızdan daha büyük bir kampüsünüz varsa, çalışmayabilir. Ayrıca Anahtar Yönetimi, Fiziksel sunucular, VOIP telefonlar, Öğrenci Kablosuz, Sınıf Kablosuz, Öğrenci Laboratuvarları, Sanal Sunucular, İş Ofisi, SAN, VPN için ayrı VLAN'lar kullanıyoruz. Temel olarak, olası herhangi bir farklılaşmanın kendi VLAN'ını alması için yeterince küçüküz. (Sadece 25 VLAN'a sahibiz ve yeni bölümler oluşturmaya başladım çünkü ağın geri kalanından belirli grupları ayırmak istedim ...)

Her VLAN için ayrı alt ağlar oluşturmak kaygılı olabilir, ancak yönetimi daha kolay hale getirir ve bunu yapmak için ihtiyacınız olduğunda kafanızda kolay IP -> VLAN dönüşümleri sağlar.

IP'ler için 10.xxx kullanıyoruz, böylece VLAN1 10.1.xx, VLAN8 10.8.xx, vb. Alıyor. DHCP'ye ihtiyaç duyan her VLAN kendi kapsamına giriyor, ama biz bunlara ihtiyaç duymayan VLAN'lar için kapsam oluşturmuyoruz. Anahtar Yönetimi


1
2017-12-09 03:03