Kaç tane VLAN çok az ve çok fazla?

Şu anda 800+ PC ve 20+ sunucudan oluşan bir netwok kullanıyoruz, ağ altyapısı Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop hatlarında. Tüm 3Com ekipmanı (1) çalışıyor.

Dört alan için 3 Alan anahtarımız var (A, B, C, D çekirdekle birleştirildi), her alan anahtarının bunlara bağlı 10 ila 20 yerel anahtarı olacaktır. Ayrıca, daha az güçlü ancak ana çekirdek anahtarı gibi bağlı olan bir yedek çekirdek anahtarı vardır.

Ayrıca bir IP telefon sistemimiz var. Bilgisayarlar / sunucular ve swicth'ler, telefonlar bir 192.168.x aralığındaki 10.x ip aralığındadır. Bilgisayarların genellikle bilgisayar laboratuarları dışında birbirleriyle konuşması gerekmez, ancak sunucularımızın çoğuyla (AD, DNS, Exchange, Dosya depolama vb.) Konuşabilmeleri gerekir.

Kurulduğumuzda, biri Switchs & Computers için, biri Telefonlar ve diğeri sunucu çoğaltması için 3 VLAN'ımız olduğuna karar verildi (bu, 3Com mühendislerinin tavsiyesine aykırıydı). Ağ bu noktadan bu yana kararlı ve çalışıyor (2), ancak şimdi SAN ve Sanallaştırma ortamına geçmeye başladık. Şimdi bu yeni altyapının ayrı VLAN'lara bölünmesi mantıklı ve VLANS'ımızın nasıl kurulduğunu ortaya koymak mantıklı görünüyor.

VLAN'ların bir odaya oda bazında ayarlanması önerilmektedir, yani 5+ bilgisayarlı bir bilgisayar laboratuvarı kendi VLAN'sı olmalıdır, ancak bu modeli izlersek en az 25 adet "yeni" VLANS'a bakıyor olacağız , ayrıca SAN / Sanal sunucular için VLANS. Bana öyle geliyor ki, yanlış olduğum için çok mutluyum, ancak aşırı miktarda idare ekleyeceğim.

En iyi uygulamanın önerdiği şey ne olabilir? Bir VLAN'da aşağı / yukarı gitmemesi tavsiye edilen belli sayıda PC var mı?

(1) 3Com anahtarları (3870 ve 8800) VLAN'lar arasında, bazılarının yaptığı gibi farklı şekilde yönlendirir, katman3 oldukları için ayrı bir yönlendirici gerektirmez.

(2) Bazen yüksek atma oranlarını veya STP değişikliklerini alıyoruz ve zaman zaman 3Com Ağ yöneticisi, anahtarların ping'lere yanıt vermenin yetersiz ve yavaş olduğunu ya da ağı ele geçirmeyi başaramayan bir anahtarın (tüm telefon ve bilgisayar VLANS! , bir kere, neden bilmiyorum)

Kuruluşunuzdaki bir kişi neden yaptığınızı ve bununla ilişkili avantajları / eksileri anlamak zorunda olmayan VLAN'lar oluşturmak istiyor gibi görünüyor. Bazı ölçümler yapmanız ve ilerlemeden önce bunu yapmak için gerçek sebepler bulmanız, en azından çılgın "bir oda için VLAN" saçmalıkları ile gelmeniz gerekiyor gibi geliyor.

Ethernet LAN'ı VLAN'lara bölmeye başlamamalısınız, aksi halde yapmadığınız için iyi nedenleriniz yok. En iyi iki sebep:

• Azaltılması performans sorunları. Ethernet LAN'ları süresiz olarak ölçeklenemez. Aşırı yayınlar veya karelerin bilinmeyen yerlere taşması ölçeklerini sınırlar. Bu koşullardan herhangi biri, Ethernet LAN'ındaki tek bir yayın etki alanını çok büyük yapmaktan kaynaklanabilir. Yayın trafiğinin anlaşılması kolaydır, ancak karelerin bilinmeyen yerlere taşması biraz daha belirsizdir ( öyle ki, buradaki diğer posterlerden hiçbiri bundan bahsetmiyor bile!)). Anahtar MAC tablolarınız taşmakta olduğu kadar çok cihaz alırsanız, anahtarların hedefi MAC tablosundaki herhangi bir girişle eşleşmiyorsa, anahtarların yayınlanmayan kareleri tüm bağlantı noktalarına taşması gerekir. Ethernet LAN'da yeterince konuşulan bir trafik profiline sahip yeterince büyük tek bir yayın etki alanınız varsa (bu, girişlerinin anahtarlarınızdaki MAC tablolarından eskimiş olması için yeterince nadirdir), o zaman karelerin aşırı sesini alabilirsiniz .

• 3. ve daha üst kattaki ana bilgisayarlar arasında hareket eden trafiği sınırlama / kontrol etme isteği. Trafik katmanlarını katman 2'de (ala Linux ebbibleri) inceleyen bazı korsanlıklar yapabilirsiniz (bunun nedeni kuralların MAC adreslerine bağlanması ve NIC'lerin değiştirilmesinin kural değişikliklerini gerektirmesidir) çünkü gerçekte garip davranışların ortaya çıkmasına neden olabilir. Kat 2'de HTTP'nin saydam proxy'si, örneğin, garip ve eğlencelidir, ancak tamamen doğal değildir ve sorun giderme konusunda sezgisel olmayabilir) ve genellikle alt katmanlarda yapmak zordur (çünkü 2. katman araçları çubuklara benzer. ve katman 3 + endişeleriyle ilgili kayaçlar). 2. katmandaki soruna saldırmak yerine, ana bilgisayarlar arasındaki IP (veya TCP veya UDP vb.) Trafiğini kontrol etmek istiyorsanız, alt ağa bağlanmalı ve güvenlik duvarlarını / yönlendiricileri alt ağlar arasında ACL'lerle yapıştırmalısınız.

Bant genişliği tükenme sorunları (yayın paketlerinden veya çerçeve taşmalarından kaynaklanmadıkları sürece) tipik olarak VLAN'larla çözülmez. Fiziksel bağlantı eksikliği (bir sunucuda çok az NIC, bir toplama grubunda çok az bağlantı noktası, daha hızlı bir bağlantı noktası hızına geçme ihtiyacı) nedeniyle oluşur ve kazandıklarından bu yana VLAN'ları alt ağlayarak ya da dağıtarak çözemezler. Kullanılabilir bant genişliği miktarını artırmayın.

Anahtarlarınızda port başına trafik grafiğini çalıştıran MRTG gibi basit bir şeye sahip değilseniz bile, potansiyel olarak iyi niyetli ancak bilgisiz VLAN segmentasyonuna sahip potansiyel olarak darboğazları takmaya başlamadan önce ilk iş sıranız. Ham bayt sayısı iyi bir başlangıçtır, ancak trafik profilleri hakkında daha fazla bilgi edinmek için hedeflenmiş koklama ile takip etmelisiniz.

Trafiğin LAN üzerinde nasıl dolaştığını öğrendikten sonra, performans nedenleriyle LAN'ı segmentlere ayırmayı düşünmeye başlayabilirsiniz.

Gerçekten VLAN'lar arasında paket ve akış düzeyindeki erişimi denemek ve bir düğmeye basmaya devam edecekseniz, uygulama yazılımı ve tel üzerinden nasıl konuşulduğunu öğrenme / tersine mühendislik ile çok fazla çalışma yapmaya hazır olun. Ana bilgisayarların sunuculara erişimi sınırlandırması çoğu zaman sunuculardaki filtreleme işleviyle sağlanabilir. Kablonun erişimini sınırlamak, yanlış bir güvenlik hissi sağlayabilir ve yöneticilerin, "Uygulamayı güvenli bir şekilde yapılandırmama gerek kalmaz, çünkü uygulama ile konuşabilen ana bilgisayarlar tarafından sınırlandırılır." ağ'." Kablo üzerindeki ana bilgisayardan ana bilgisayara iletişimi sınırlamaya başlamadan önce sunucu yapılandırmanızın güvenliğini denetlemenizi öneririm.

Genellikle Ethernet'te VLAN oluşturur ve IP alt ağlarını 1'e 1 oranında eşlersiniz. Tanımladığınız şey için bir LOT IP alt ağına ve potansiyel olarak birçok yönlendirme tablosu girişine ihtiyacınız olacak. Yönlendirme tablosu girişlerinizi özetlemek için VLSM ile bu alt ağları daha iyi planlayın, ha?

(Evet, evet, her VLAN için ayrı bir alt ağ kullanmamanın yolları vardır, ancak VLAN'da oluşturacağınız bir IP alt ağını düşünerek, VLAN'da kullanmak için bir IP alt ağı düşünerek, biraz yönlendirici atamak zorundasınız. Bu VLAN’daki bir IP adresini, yönlendiricideki fiziksel bir arabirim veya sanal bir alt arabirim ile bu yönlendiriciyi VLAN'a ekleyin, bazı ana bilgisayarları VLAN'a bağlayın ve tanımladığınız alt ağdaki IP adreslerini atayın ve trafiğini buraya yönlendirin. VLAN dışında.)

VLAN'lar yalnızca yayın trafiğini kısıtlamak için kullanışlıdır. Bir şey çok fazla yayın yapacaksa, onu kendi VLAN'ına ayırın, aksi halde rahatsız etmem. Aynı ağ üzerinde canlı bir sistemin sanallaştırılmış bir kopyasına sahip olmak isteyebilir ve aynı adres aralığını kullanmak isteyebilirsiniz, daha sonra bu ayrı bir VLAN'a değer olabilir.

VLAN'lar ek bir güvenlik seviyesi olarak iyidir. 3Com bunu nasıl yönetiyor bilmiyorum ama genellikle farklı fonksiyonel grupları farklı VLAN'lara (örneğin Muhasebe, WLAN vb.) Bölümlendirebilirsiniz. Belirli bir VLAN'a kimin erişimi olduğunu kontrol edebilirsiniz.

Aynı VLAN'da çok fazla bilgisayar varsa, önemli bir performans kaybı olduğuna inanmıyorum. LAN'ı bir odaya oda bazında ayırmanın pratik olmadığını düşünüyorum, ancak yine de, 3Com'un nasıl işlediğini bilmiyorum. Genellikle kılavuz boyut değil, güvenlik veya operasyondur.

Aslında, güvenlik ya da operasyonel kazançlar yoksa LAN'ı farklı VLAN'lara bile bölmek için hiçbir neden görmüyorum.

Yaygın su baskınlarıyla ağı düzenli olarak öldüren 25 test ve geliştirme grubunuz yoksa, oda başına 25 VLAN'ın sayısı 24'tür.

Açıkçası SAN'ınızın kendi VLAN'ına ihtiyacı var, sanal sistemlerdeki LAN ve Internet erişimi ile aynı VLAN'a değil! Bunların hepsi ana sistemdeki tek bir ethernet portu aracılığıyla yapılabilir, bu yüzden bu fonksiyonları bölmek konusunda endişelenmeyin.

Performans düşüklüğünüz varsa, Telefonunuzu ve SAN'ınızı yalnızca VLAN'lar için değil, ayrı bir ağ donanımına koymayı düşünün.

Her zaman isim trafiği yayınları, ARP yayınları vb. Yayın trafiği olacak. Önemli olan yayın trafiği miktarını izlemektir. Toplam trafiğin% 3 - 5'ini aşıyorsa sorun olur.

VLAN'lar, yayın alanlarının boyutunu azaltmak (David'in söylediği gibi) veya güvenlik için veya özel yedekleme ağları oluşturmak için iyidir. Gerçekten "yönetim" alan adı anlamına gelmezler. Ek olarak, VLAN'ları uygulayarak ağınıza yönlendirme karmaşıklığı ve ek yük ekleyeceksiniz.

Genel olarak, VLAN'ları yalnızca aygıtları karantinaya almanız gerektiğinde (kullanıcıların kendi dizüstü bilgisayarlarını getirebilecekleri bir alan veya veya korunması gereken kritik bir sunucu altyapısına sahip olduğunuzda) veya yayın alanınızdayken kullanmayı düşünebilirsiniz. çok yüksek.

Yayın alanları, 100Mbit ağlardaki sorunları görmeye başlamadan önce tipik olarak yaklaşık 1000 cihaz olabilir, ancak nispeten gürültülü Windows alanlarıyla uğraşıyorsanız, 250 cihazdan aşağı indireceğim.

Çoğu zaman, bu karantinaya alma (tabii ki ACL kullanarak uygun güvenlik duvarı ile) veya yayın sınırlaması yapmıyorsanız, modern ağların VLAN'a ihtiyacı yoktur.

Ayrıca, istenmeyen ağ cihazlarına ulaşmak için DHCP yayınlarını önlemek için de kullanışlıdır.