我们的networking是一个扁平的L2。
在某些时候,我们需要(我想,但是这不是我的责任)开始将其VLAN化,因为我们显然会有大量的广播喋喋不休,最近我们的一个防火墙已经到达了它的ARP表限制(可以说防火墙的ARP表限制很低,但是我们在这个位置)。
那么,你如何提出一种VLAN划分你的局域网的方法?
在我们的情况下,我们是一个网站,但是一个小镇的大小(我想是想到校园)。
我们有一个相当典型的集线器/辐射式局域网,有一些核心交换机,边缘交换机连接在一起,有些交换机直接连接,有些交换机通过光纤连接到铜线转换器。
我们的边缘套件是Procurve的,Prosafes,一些旧的Baystacks等的混合物
我们的大部分客户都在使用DHCP,有些使用静态IP,但我们可以处理这些,联网的打印机也使用静态IP。
正如我所看到的,基于校园物理位置的VLAN有很多选项,即build筑物A和B中的任何边缘交换机都在VLAN xx上,或者可能基于其他因素。
简单地说,我之前没有这样做过,很容易就潜入并快速做一些事情,然后后悔。
你会怎么做?
通常情况下,有一些明显的分歧已经发生,你用它作为分割networking的基础。 听起来更像是你想要子网的networking比vlan它。 vlans通常基于pipe理要求,如pipe理networking,SAN或VoIP等。子网遵循这些vlans,但通常还会划分各种物理差异(每个build筑物,楼层或其他物理结构)。
不知道你的networking有什么特别的事情是很难推荐的。
@minarnhere描述的方式绝对是要走的路,但不要仅仅依据function划分,还要增加安全因素,物理位置和主机数量,根据所有这些因素将networking分成尽可能多的VLAN。
假设有适当的交换机和路由器,那么有许多VLAN是没有成本的,并且好处是巨大的,如果计划正确的话,pipe理开销也是最小的。 不要把所有的学生或导师或任何一组用户或主机放在一个单独的VLAN中,而不去限制自己,为什么要这么做呢? 请记住,stream量只能在第3层进行控制,因此可以分割您的networking,从而可以限制和控制VLAN间的stream量,在VLAN内不可能有stream量。
devise园区局域网的经典方法是将networking分为接入,分配和核心。 许多接入第二层交换机,每个交换机承载来自一个或多个VLAN的stream量,将连接到几个第三层分布式交换机,这些交换机将stream量路由到less量的第三层核心交换机。
所有的主机必须连接到基于上述因素分成VLAN的接入层。 每个接入层VLAN应尽可能限制为一个物理交换机(如果双宿主服务器可能需要故障切换到同一VLAN中的另一台交换机,则只需要中断此规则)。 请记住,每个VLAN都是一个广播域,您希望尽可能地限制每个VLAN上的广播stream量。 考虑只为你的访问层使用/ 24个子网,你为什么要在单个广播域中> 250个主机?
当一个VLAN需要分布在多个交换机上时,会有一些非常less的情况,但是这些交换机将是非常专业的,交换机pipe理可能只有一个(但是这是有争议的),其他的很less。
一个好的起点将是你的服务器。 如果他们在同一个物理位置(房间,而不是build筑物),那么你可能希望根据function将它们分成VLAN,否则每个〜200个主机的单个VLAN就可以。 显然(?)面向服务器的互联网应该是独立的,最好在物理上分开,networking,从校园防火墙(DMZdevise本身是另一个专业,所以我不会在这里进入)。 你的内部服务器也应该分成那些供学生使用的服务器和那些仅供内部pipe理员使用的服务器,并将它们适当地分成VLAN。 如果某些服务器属于特定部门(例如HR),那么如果您需要控制这些服务器的stream量,请考虑为他们设置一个VLAN。
如果服务器分散开来,然后根据位置和function将它们分成不同的VLAN,则不需要仅仅因为它们是服务器就是在同一个VLAN中,或者只是因为它们都是Web服务器。
转到你的学生和工作人员用户。 一开始,每个单独的端口或接入点都是非IT人员可以访问的,应该被视为安全风险,所有来自那里的stream量应该被视为不可信。 根据可能的主机数量,根据具体情况,把你的教室划分成VLAN,根据具体情况,用户组别不要犯“信任”特定端口的错误,如果导师需要从教室进入pipe理networking,则应该给予与在家或公共咖啡店相同的访问方法(VPN?)。
如果可以避免(但有时不能)不把所有的AP都放到一个校园范围内的VLAN中,那么无线networking应该在有线但是有相同的限制的独立VLAN上,使用相同的方法进行拆分出于与有线相同的原因。
IP电话应该令人惊讶的是,在单独的VLAN上,而不是其他任何东西,这是通过电话与接入交换机协商将一个stream量放入合适的VLAN中的某些产品(根据我的经验)促进的,但是这显然要求交换机configuration正确。
局域网devise还有很多,但上面是一个开始。 最后要说明的是,就DHCP而言,将其用于包括服务器和打印机在内的每台主机,两者都应根据其MAC地址静态分配IP地址。 前者的范围(或多个范围)不应该有备用地址,这样可以防止设备随意插入到服务器VLAN中,而这也适用于打印机,重要的是您可以集中控制设备任何变化都是集中处理的,而不是依靠在校园里闲逛的工程师获得正确的地址。
好了,现在够了,我希望能有所帮助。
正如Chris S所说,VLAN和子网是不同的东西。 但是,我们刚刚为我们学校的每个VLAN分配了一个单独的子网和DHCP范围。 每个build筑都有自己的VLAN /子网/ DHCP范围。 这使pipe理变得更容易,但是如果你的校园比我们大,那么可能就不pipe用了。 我们还为交换机pipe理,物理服务器,VOIP电话,学生无线,教室无线,学生实验室,虚拟服务器,商务办公室,SAN,VPN使用单独的VLAN。 基本上,我们足够小,任何可能的区别都有自己的VLAN。 (我们只有25个VLAN,而且我开始组build新的部门,只是因为我想将某些组与networking的其他部分隔离…)
为每个VLAN创build单独的子网可能是浪费的,但它使得pipe理更容易,并且如果您需要这么做,则可以轻松实现IP – > VLAN转换。
我们使用10.xxx作为IP地址,所以VLAN1获得10.1.xx,VLAN8获得10.8.xx等等。每个需要DHCP的VLAN都有自己的作用域,但是我们不为不需要它们的VLAN创build作用域,比如交换机pipe理。