服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 有多less个VLAN太less太多?
Intereting Posts
Nginx如何使用auth_basic上的limit_req_zone来抵御暴力攻击? 如何在AWS上实现虚拟IP? AD FS安装先决条件检查失败 – 目标计算机未join域 login进程进程名称RASMAN 数据复制工具/方法 使用Logstash对单个Cookie进行索引 设置Jenkins使用Crowd的OpenID for SSO? 弄乱了DNS的logging! 确定SQL Server 2005数据库的最后一个连接源和date的方法? 在几台服务器的dmesg中出现同样的硬盘问题 当我只有磁盘文件时,如何从快照的vmware虚拟磁盘获取最新版本的磁盘? OSPF和RIP有什么区别? Cisco ASA 5510 VPN丢弃RDP会话 Apache:REMOTE服务器上的多个虚拟主机 有没有人使用像(厨师,盐,傀儡,CfEngine)的工具来configuration一个2008 Win Server的Sql?

有多less个VLAN太less太多?

目前,我们正在运行800多台个人电脑和20多台服务器的networking,networking基础架构与Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop一致。 所有运行3Com设备(1)。

我们有4个区域的3个区域开关(A,B,C,D与核心合并),每个区域开关将连接10到20个本地开关。 还有一个备份核心交换机,主要核心交换机是较less的供电,但连接。

我们也有一个IP电话系统。 电脑/服务器和智能手机的IP地址范围是10.x,电话范围是192.168.x。 除了计算机实验室之外,计算机通常不需要彼此交谈,但是他们确实需要能够与我们的大多数服务器(AD,DNS,Exchange,文件存储等)交谈。

当我们build立起来的时候,我们决定要有3个VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这是违反3Com工程师的build议)。 从这一点(2),networking已经稳定运行,但现在我们已经开始升级到SAN和虚拟化环境。 现在把这个新的基础设施分成单独的VLAN是有意义的,而且重新设置我们的VLAN如何设置似乎是合理的。

现在提出的VLAN应该build立在一个房间的基础上,即具有5个以上PC的计算机实验室应该是它自己的VLAN,但是如果我们遵循这个模型,我们将至less看到25个“新”VLANS ,加上用于SAN /虚拟服务器的VLANS。 在我看来,会增加过多的pipe理,尽pipe我很高兴被certificate是错误的。

什么是最好的做法似乎表明? 是否有一定数量的PCbuild议不要在VLAN中越过/下面。

(1)3Com交换机(3870和8800)在VLAN之间路由的方式与其他方式不同,不需要单独的路由器,因为它们是第3层。

(2)我们有时会得到很高的丢弃率或STP的变化,而3Com Network Director在时间报告交换机负载过低,响应速度慢,或者是一个失败的交换机pipe理着networking(所有的电话和计算机VLAN! ,曾经,不知道为什么)

这听起来像你组织中的某个人想要创buildVLAN而不理解你为什么要这样做的原因以及与之相关的利弊。 这听起来像你需要做一些测量,并提出了一些真正的理由这样做之前,至less在疯狂的“虚拟空间VLAN”的愚蠢。

除非有足够的理由,否则不应该开始将以太网局域网划分为VLAN。 最好的两个原因是:

  • 缓解性能问题。 以太局域网不能无限缩放。 过度的广播或帧到未知目的地的泛滥将限制其规模。 以太网LAN中的单个广播域太大可能导致这两种情况之一。 广播的stream量很容易理解,但是对于未知目的地的帧的泛滥是比较模糊的( 所以这里其他的海报都没有提到它! )。 如果设备数量太多,交换机MAC表溢出,交换机将被迫将所有端口的非广播帧泛洪,如果帧的目的地不匹配MAC表中的任何条目的话。 如果在以太网LAN中具有足够大的单个广播域,并且stream量configuration文件不频繁地主持对话(即不足以使其条目超出交换机上的MAC表),那么您也可以获得过多的帧泛滥。

  • 希望限制/控制三层或三层以上主机之间的stream量。 你可以在第二层(ala Linux ebtables)做一些hackery检查stream量,但是这很难pipe理(因为规则与MAC地址绑定在一起,而改变网卡需要修改规则)会导致看起来真的很奇怪的行为例如,在第2层HTTP的透明代理是非常怪异和有趣的,但是完全不自然,可能对于故障排除来说非常不直观),并且通常在较低层次上很难做到(因为第2层工具像棒和岩石在处理第3层+关注)。 如果要控制主机之间的IP(或TCP或UDP等)stream量,而不是攻击第2层的问题,则应在子网之间划分子网并粘贴具有ACL的防火墙/路由器。

带宽耗尽问题(除非它们是由广播数据包或泛洪引起的)通常不能用VLAN来解决。 这是由于缺乏物理连接(服务器上的NIC太less,汇聚组中的端口太less,需要移动到更快的端口速度),并且无法通过子网划分或部署VLAN来解决不会增加可用的带宽量。

如果您甚至没有像MRTG那样简单的事情,那么在您开始潜在地引入瓶颈,并且有意或无意的VLAN分割之前,您的交换机上的每个端口的stream量统计数据图表就是您的第一个业务订单。 原始字节计数是一个好的开始,但是您应该通过目标嗅探来获取更多关于stream量configuration文件的详细信息。

一旦你知道局域网上的stream量是如何移动的,你就可以开始考虑分段局域网的性能问题了。

如果你真的要尝试按下数据包,并在VLAN之间进行stream级别的访问,就要准备好使用应用软件进行大量的工作,并学习/逆向工程,通过networking进行交stream。 主机限制访问服务器通常可以通过服务器上的过滤function来完成。 限制对networking的访问可能会带来虚假的安全感,并让pipe理员陷入自满的地步,他们认为:“我不需要安全地configuration应用程序,因为可以与应用程序交谈的主机受到networking'。” 我鼓励你在开始限制主机到主机通信之前审核你的服务器configuration的安全性。

通常,您可以在以太网中创buildVLAN,并将IP子网1对1映射到它们上面。 您将需要大量的IP子网来描述您所描述的内容,以及潜在的大量路由表条目。 用VLSM更好地规划这些子网来总结你的路由表条目,呃?

(是的,是的 – 有办法不要为每个VLAN使用一个单独的子网,而是坚持一个严格的“普通的香草”的世界,你会创build一个VLAN,想一个IP子网在VLAN中使用,分配一些路由器在该VLAN中的一个IP地址,将该路由器连接到该VLAN,或者使用路由器上的物理接口或虚拟子接口,将某些主机连接到该VLAN,并在您定义的子网中为其分配IP地址,并将其路由到在VLAN之外。)

VLAN只对限制广播stream量非常有用。 如果有什么事要做很多的广播,那就把它分成自己的VLAN,否则我就不打扰了。 您可能希望在同一networking上实时复制系统,并希望使用相同的地址范围,然后可能需要单独的VLAN。

VLAN作为附加的安全级别是很好的。 我不知道3Com如何处理它,但通常你可以将不同的function组划分成不同的VLAN(例如会计,WLAN等)。 然后,您可以控制谁可以访问特定的VLAN。

如果在同一个VLAN中有很多计算机,我不相信会有明显的性能损失。 我发现在一个房间内分割局域网是不切实际的,但我不知道3Com如何处理它。 通常指导方针不是规模,而是安全或操作。

实际上,如果没有任何安全或运营收益的话,我甚至都没有理由甚至把局域网划分成不同的VLAN。

除非有25个testing和开发团队定期使用广播洪stream来扼杀networking,否则每个房间25个VLAN太多了。

很明显,您的SAN需要自己的VLAN,而不是虚拟系统LAN和Internet访问的VLAN! 这一切都可以通过主机系统上的一个以太网端口来完成,所以不用担心分裂这些function。

如果您有性能问题,请考虑将您的电话和SAN放在单独的networking硬件上,而不仅仅是VLAN。

总是会有广播stream量,不pipe是名字parsing广播,ARP广播等。重要的是监视广播stream量。 如果它超过总stream量的3 – 5%,那么这是一个问题。

VLAN可以减less广播域的大小(如David所说)或安全性,或者用于创build专用的备份networking。 他们并不是真正意义上的“pipe理”领域。 另外,通过实施VLAN,您将增加路由的复杂性和开销。

通常情况下,您只需要在需要隔离设备时考虑使用VLAN(例如,用户可以携带笔记本电脑的区域,或者必须保护关键服务器基础设施的区域),或者您的广播域是太高。

在你开始在100Mbitnetworking上看到问题之前,广播域通常可能大约有1000个设备,但是如果你正在处理相对嘈杂的Windows区域,我会把这个问题降低到250个设备。

大多数情况下,现代networking不需要VLAN,除非您正在进行隔离(当然,使用ACL进行适当的防火墙)或广播限制。

它们对防止DHCP广播到达不需要的networking设备也很有用。