我目前正在pipe理一个IP地址为10.10.10.x / 23的环境。 我们有3个VLAN设置,我用这个术语非常松散。 我之所以说松散地使用这个术语,是因为3个VLAN之间可以完全访问。 VLAN10是我们的内部networking,VLAN20是客户Wifi,VLAN30是我们的DMZ。 环境有你的典型的服务器,工作站,打印机加上我们有安全摄像头,但没有VOIP。 我们有近200个工作站,29台打印机,20台服务器,40台安全摄像机。
客人的WiFi只能访问互联网,就是这样,而不是我的内部networking。 我在规划VLAN设置时遇到的一些问题是,目前我们的ASA5505是“路由”stream量,并且具有VLAN的ACL,我应该这样保留还是应该将ACL移到我的Cisco 3750X交换机上? 现在我的心情是设置VLANS如下:
VLAN 10 Servers 10.10.10.x/24 20 Workstations 10.10.20.x/24 30 Internal Wifi 10.10.30.x/24 40 Cameras and Server 10.10.40.x/24 100 DMZ 192.168.100.x/24 110 Guest WiFi 192.168.110.x/24 我也不知道是否应该保持打印机在工作站,服务器相同的VLAN或将他们分开到自己的VLAN? 如果他们在自己的VLAN中,打印机服务器是否也在该VLAN上?
我想你应该考虑一下为什么你可以使用VLAN来开始 。
这听起来像是你有限制/细分stream量的原因,但是我会怀疑你是否真的要做一些必要的功课来构buildACL,以便对PC,服务器和打印机之间的stream量进行细化控制。 在任何情况下,我已经看到,pipe理员最终放弃了,只是打开“服务器VLAN”和“工作站VLAN”之间的所有stream量( allow ip any any ),因为他们无法让软件供应商披露什么端口/协议是使应用程序正常工作所必需的(或者是因为应用程序使用dynamic端口,而不是VLAN间路由器中协议处理程序所处理的dynamic端口)。
使用第3层交换机与思科ASA等更类似路由器的设备之间的典型折衷是ACL系统与路由性能之间的performance力。 第3层交换机通常可以以线速路由,但是它可能不支持具有足够performance力的ACL来执行所需的操作。 在某些情况下,第三层交换机ACL系统确实具有performance力,但是使用这些performance性function可能会导致路由通过CPU而不是ASIC,从而降低性能。
首先,我将build立一个我想要的ACL列表,然后评估它们是否能够处理它们,如果是的话,在这样做的时候让stream量保持在“快速path”。 在三层交换机中,您将获得最高性能的路由,但是(尤其是在您的guest虚拟机VLAN中),从规则expression的angular度来看,ASA可能更适合。
就您的打印机而言:如果您打算将打印机的访问权限限制在授权pipe理员和排队他们的服务器上,那么您可能希望将其投入到VLAN中。 有些人可以使用客户端计算机直接访问的打印机,但是其他环境(打印的项目具有敏感性,或者计费软件需要仲裁打印机的访问权限)可以从隔离打印机和严格限制打印机可以连接到他们。 你必须在那里衡量你的需求。 例如,您需要多less责任来审计打印作业?
你不需要为打印机“需要”一个VLAN,但是由于你现在正在规划你的networking并创build了VLAN,所以我将创build一个VLAN。 打印机服务器通常不需要与打印机位于同一个VLAN中,因为它不需要使用第2层与它们对话,而是使用TCP / IP进行连接。 所以你可以保留在服务器VLAN中。
编辑:哦,我错过了另一个问题。 我也会继续在ASA上进行路由,因为在这里可以比交换机在ACL上做更多的微调。 考虑到你的VLAN设置,我也不会使用交换机进行路由。
如果您的交换机打开了IP路由,那么您必须在交换机上放置ACL。 如果您的ASA通过中继连接到您的交换机,并且在每个VLAN中都configuration了IP,那么您还必须在那里应用ACL以防止ASA路由。
我的推荐: