服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 园区VLAN分段 – 按操作系统?
Intereting Posts
MySQL:5000核心用户,2GB表重写/读:如何防止崩溃 将具有操作系统分区的SAS RAID1arrays克隆到新的SATAarrays? 尝试查询SNMP服务器时超时 有多less个域可以同时与一个EC2实例关联? 网卡上的多个IP地址Win2003 nginx可以循环到不同的端口上的服务器列表吗? PHP代码以明文forms显示? ML350 G5 – 将热插拔驱动器升级到6 Gb / s? 不能RDP到Azure虚拟机(Ubuntu 16.04LTS) 导出导入sql数据库而不下载 阻止用户通过互联网loginterminal服务器 如何将打印驱动程序从64位Windows服务器共享到32位客户机 据了解,apacheparsingfoo.com即使命名虚拟主机只有beta.foo.com存在? 停止Sun Java System Web Server 7反向代理重新发送长时间运行的请求 尝试删除大型全文索引时发生MySQL死锁

园区VLAN分段 – 按操作系统?

我们一直在考虑重新安排我们的networking和VLANconfiguration。 这是情况。

我们已经在自己的VLAN上安装了服务器,VoIP电话和打印机,但是我们的问题在于terminal用户设备。 有太多的东西不能在同一个VLAN上播放! 我们目前的分割策略已经将它们分割成如下这样的VLAN:

  • 学生iPad
  • 工作人员的iPad
  • 学生的MacBook
  • 职员Macbook
  • 游戏设备
  • 员工(其他)
  • 学生(其他)

**请注意,我们的networking拥有比大多数更多的iPad和MacBook。*

由于我们分裂他们的主要原因只是把他们放在较小的群体,这一直在为我们(大部分)工作。 但是,这要求我们的工作人员维护属于这些组的所有设备的访问控制列表(MAC地址)。 它也有不合逻辑的广播stream量分组的不良副作用。 例如,使用此设置,使用iPad的校园对面的学生将共享广播,但属于同一用户(在同一个房间内)的两台设备可能位于完全独立的VLAN中。

我觉得这样做一定有更好的方法。

我已经做了大量的研究,而且我很难find推荐的这种分割的例子。 关于最相关的SO问题的反馈似乎指向了通过build立/物理位置划分VLAN。 我觉得这是有道理的,因为逻辑上,至less在其他最终用户中,广播通常将用于附近的设备。

  • 还有其他校园/大规模networking在那里分割基于terminal系统操作系统的VLAN吗?
  • 这是一个典型的configuration?
  • 基于物理位置(或其他标准)的VLAN分段会更有效吗?

编辑:有人告诉我们,我们很快就能够dynamic地确定设备操作系统,而不需要维护访问列表,尽pipe我不知道影响问题的答案有多less。

我认为按操作系统划分用户子网是比它的价值更多的工作,而且,在我与HiEd IT人员的所有交互中,我从来没有听说过任何人谈论操作系统分割。 你会得到什么好处呢? 另外,当某台机器的操作系统发生变化,或者更常见的情况是用双启动OSX和Windows的计算机怎么办?

校园里有大约六个不同的安全“区域”

  1. 一般(非特权)教职员工办公室以太网下降
  2. 特权员工办公室以太网(主要是ITS员工)
  3. 客房Wifi(只能上网)
  4. ResNet(宿舍networking)
  5. 安全的Wifi(WPA2 / 802.1x,用户根据angular色获得特定的VLAN)
  6. 服务器房间

上面的每一个都被分成较小的子网,通常是通过build设,然后通过它们连接的配线间。 对于无线,我们有几个非特权用户随机分配的子网。 对于服务器机房,我们按操作系统进行分组(主要用于Windows和Linux之间的安全分离),以及进一步细分ITS服务器与部门拥有的服务器的操作系统组。 我们使用默认的拒绝策略维护每个子网的子网ACL,只允许通过我们明确允许的stream量。 除了子网防火墙之外,我们还在所有服务器上实现主机防火墙,无论是Linux还是Windows。 还有几个特殊用途的VLAN正在为服务器pipe理,networkingpipe理,iSCSI,HVAC设备,门禁面板,安全摄像机等应用而展开。

保持广播域的目标是一个很好的目标。 老实说,如果两个坐在一起的人在同一个L2广播域中,这并不重要。

似乎IT部门需要组织和跟踪与其相关联的MAC地址和设备的许多工作。

我想到的最大的副作用是“属于同一个用户(在同一个房间)的两个设备可能在完全独立的VLAN上”。 你会有很多人打电话给IT支持,想知道为什么他们不能在iTunes中看到其他设备。 🙂

我仍然认为最好的解决scheme是通过build立,然后由官方校园设备,最后是学生设备进行细分。 通过这种方式,您可以确保所有设备都可以互相通话,以避免学生受到黑客入侵。

你怎么看?

我同意ErikA所说的:把VLAN分成function组:

  • SERVER1,SERVER2,SERVER3等(例如,10.2.0.0/16下的所有:10.2.0.0/17中的Windows,10.2.128/16中的Unix)
  • DMZ1,DMZ2等(全部在10.3.0.0/16下)
  • WIRELESS1,WIRELESS2,(全部在10.4 / 16下)
  • GUEST1,GUEST2,(10.5 / 16)
  • UNDERGRAD1,UNDERGRAD2,(10.6 / 16)
  • GRADS1,GRADS2,(10.7)
  • 教师(10.8)
  • 打印机(10.9)
  • NETWORKING(10.10.xy)

有时特定的研究组也可能会获得自己的VLAN。 同样的,你可能有一些“私有”的VLAN,这些VLAN不能通过networking的其他部分进行存储(NFS,iSCSI)。 他们通常也启用巨帧,而其他地方的默认MTU为1500。

如果想给networking用户一些灵活性,你可以使用一些叫做“dynamicVLAN”的东西:这就是当一台机器插入时,交换机使用它的MAC地址和查询一个RADIUS服务器,它告诉哪个VLAN要做港口。 查看“Tunnel Type”,“Tunnel Medium Type”和“Tunnel Private Group ID”的RADIUS属性。 对于WiFi同样如此,当用户通过WPA2login,并且AP与RADIUS服务器对话时,除了对用户名和密码的允许/拒绝响应之外,RADIUS服务器还可以用AP应该放回的VLAN进行响应用户在。

未注册的主机MAC和用户可以拒绝任何访问(阻止的端口),也可以将其置于默认(访客)VLAN中,具体取决于您的安全策略。 惠普交换机(和其他?)也可以做两层的东西:默认情况下MAC级别的访问是给出的,但是如果用户运行802.1x程序并authentication自己(而不是主机“authentication”自己 – 与任何人在键盘上),交换机可以将端口连接到与个人绑定的VLAN。

此外,将functionVLAN与子网范围绑定在一起,有助于在许多情况下使防火墙规则更容易,以及debugging奇怪的数据包来自哪里(Windows主机在统计上更像是被攻击/被攻破,所以把这些服务器放在任何地方细分networking可能值得考虑)。

当您configuration用户/设备访问WiFi(Macbook,iPad,iPod)时,您需要旋转他们将要放置的子网/ VLAN:studentA将放置在WIRELESS1 / 10.4.1.0中,studentB放置在WIRELESS2 / 10.4.2.0,studentC回到WIRELESS1 / 10.4.1.0等。根据需要添加更多的子网/ VLANs来“负载均衡”用户负载。 对于教师A,教师B,教师C也是如此。 如果由于gradle/退学/员工stream失而发现分销不均衡,则可以使用更新数据库(SQL,LDAP等)的简单脚本进行重新平衡。

你当然也可以通过构build来实现,但是在每个构build中你也会有function分离:BLDA_SERVER_HR,BLDA_SERVER_FINANCE,BLDA_WIFI_STAFF,BLDA_WIFI_GUEST,BLDA_PRINTERS,BLDB_WIFI_GUEST,BLDB_PRINTERS等