服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何build立VLANnetworking
Intereting Posts
IBM ServeRAID坏条纹和同步 如何阻止在Apache的IP地址? OSX 10.8 w / OpenDirectory – pipe理员以用户身份login? 并切换到pipe理员? 远程升级ProLiant ML370 G5固件的步骤是什么? 我正在考虑通过其iLO,如果是的话,我可以在哪里进行升级 Amazon EC2 EBS卷使用木偶/类似工具计划备份/快照 如何将其从nginx转换为haproxy 从根组中删除用户 通过SNMP监视ASA数据包丢失 使用Apache反向代理和Postgresql调整Tomcat Java应用程序 我可以有一个域有两个不同的MXlogging吗? 在没有ISA服务器的情况下,在Exchange 2007上安全发布Outlook Web Access Nginx + php5-fpm =“文件未find” 如何在CentOS机器上find依赖Python的已安装软件包? MySQL的持久性tmpd​​ir在奴隶:只使用tmpdir或slave_load_tmpdir? file.append的必备条件

如何build立VLANnetworking

我正在改变我的networking,从平面networking上的每台设备到使用VLans。 我的问题是,我们已经在这个networking上有很多设备(192.168.20.0/24)。 从理论上讲,我知道每个Vlan必须是一个不同的子网,然后我需要在我的Cisco路由器上configuration虚拟接口来迎合VLAN间的路由。

1)如何在networking上已有的设备上以最短停机时间分割此networking?

2)我可以创buildVlans并将所有这些Vlans保留在同一个第3层networking中,以便它们可以离开networking(我不太关心Vlan间的路由),或者我必须创build子网,这意味着重新configuration现有的设备(我不想要的东西)。

正如Joeqwerty已经指出的那样,你的基本理解不够充分,加上模糊的目标。 您正在设置自己的故障,停机时间和安全漏洞。 而不仅仅是回答你的问题,我会沉迷于一个“vLAN 101”教程,这对你来说可能更有用。

您似乎对vLAN分段有一些基本的误解,以及它如何适应networking体系结构,所以让我们把ALLLLLLL推回到开始一段时间:

从networking架构层面来看,您可以非常简单地认为vLAN不过是一个单独的交换机,而不是连接到任何其他交换机(vLAN)。

如果以这种方式查看VLAN,则相对清楚地知道如何使用它们:当您不希望Group A机器能够与Group B机器对话时,将它们放入单独的vLAN中,并强制它们遍历路由器(理想情况下与防火墙function之一)相互交谈。
在几乎所有情况下,通过将机器放置在不同的IPnetworking(子网)中,这样做也会更好(也更容易) – vLAN中的机器位于同一个子网中,并且可以根据自己的意愿自行聊天,但是如果他们想和他们的vLAN外面的人交谈,他们也会在他们的子网之外,这样他们就会被移交给他们的默认网关,这可以处理在什么情况下可以与谁交谈的安全问题。

所以在11个简单的步骤vLAN架构:

  1. 找出哪些机器形成逻辑组。 这些是你的vLAN
    在一个非常简单的环境中,这可能是Web ServersDatabase Servers
    在更复杂的环境中,您可能会有很多组,并且您可能将多个组合在一个vLAN中 – 这是您必须作出的体系结构决策。

  2. 找出适合您的vLAN的寻址scheme。
    如果你非常幸运的话,每一个vLAN都可以适应一个/ 24,你就可以build立一个基于这个的拓扑结构。 如果你不是那么幸运的话,哪个vLAN需要更大(或更小)的块。

  3. 画出你迄今为止在纸上所做的一切。

  4. 找出哪些vLAN需要彼此交谈。
    vLAN /networking之间应该打开哪些端口/服务?
    还有什么其他的条件需要你的环境来运作?

  5. 画出你在纸上写出的内容。 确保它是正常的,然后将其转换成防火墙/路由器策略。

  6. 起草防火墙/路由器configuration。 理想情况下,在testing环境中使用它。

  7. 在纸上绘制交换机并映射哪些端口将转到哪些vLAN。
    将连接进行物理分组对于它们处于相同的逻辑VLAN中是有帮助的,但这不是绝对必要的。

  8. 将您的交换机绘制成交换机configuration。 理想情况下,在testing环境中使用它。

  9. 清理纸上的图纸。 逻辑图应该看起来像这样:
    网络图
    (图像已经缩小,以掩盖你不需要阅读的东西)

  10. 让其他人看看你的devise。
    你可以询问服务器故障,但是如果熟悉你的环境的人看起来更好,因为他们更可能发现潜在的破坏。

  11. 花一个周末,把你的逻辑devise变成一个物理现实。
    (不言而喻,如果事情发生严重错误,你应该有一个回滚计划,但我仍然要说。)

(如果你非常好,你可能会跳过上面的一些“在纸上绘制”步骤,但我不build议你第一次跳过)。

Re:你问的两个具体问题:

1)如何在networking上已有的设备上以最短停机时间分割此networking?

你不能。 将networking分成vLAN将需要中断窗口 – 您将不得不重新configuration交换机,将机器移动到不同的逻辑networking,configuration路由,可能移动一些电缆等等。
如果这是您第一次devise一个正确分段的networking,您将花一些时间debugging那些中断的事情,特别是周五下午5点开始计划停机并延长一个周末。

2)我可以创buildVlans并将所有这些Vlans放在同一个laye 3networking中,以便它们可以离开networking(我不关心Vlan路由),或者我必须创build子网,这意味着重新configuration现有设备我不想要的东西)

你可以吗? 是。
它会在安全方面购买任何东西吗? 不是真的。
它会使整个项目难度增加10倍吗? 绝对。
你应该如何devise一个networking? 没有。

如何在networking上已有的设备上以最短的停机时间分割networking?

将当前networking保留为默认VLan。 对于要移动到新VLan的每个设备,请重新configuration其端口,并一次将其地址信息更改为相应子网的一个设备。

我可以创buildVlans并将所有这些Vlans保留在同一个第3层networking中

不,这完全违背了VLan的概念。

(我不关心Vlan路由)

必须在不同VL的设备之间提供VLans之间的路由才能进行通信。

或[做]我必须创build子网,这意味着重新configuration现有的设备(我不想要的东西)

那么你可能不希望有VLans。