我最近遇到了一个严重实现VLAN的networkingdevise,但没有使用专用的身份和访问pipe理系统,如Active Directory或OpenLDAP。 另一个devise计划使用活动目录,但使用简单的树状子网划分networking。 我的问题:
进一步的问题:
任何见解,提示,链接或build议是受欢迎的。
VLAN是唯一能够更好地pipe理networking的方法吗? 对于大公司的networkingdevise来说,这是否是最佳做法?
无论何时,只要他们在任何规模上有意义
我曾经在一所使用AD和(我认为)VLAN的大学里。 当我们想要确保安全性和良好的用户pipe理时,它是一个“标准devise”吗?
VLAN本身不是安全边界,而是广播边界。 但是,通过将逻辑组分隔成VLAN,您可以根据自己的愿望,在自己之间放置ACL。
当然AD是为了“好”的用户pipe理。 这是一个授权和authentication服务。 这就是它的devise目的。
AD / OpenLDAP没有VLAN是否很常见(现在,在大型企业环境中)? 或者,相反,没有AD / OpenLDAP的VLAN?
不。大型企业通常使用VLAN。 虽然,这个原因与AD或OpenLDAP无关。
VLAN和AD / OpenLDAP两个完全正交的概念? 因此是互补的? 如果是这样,我想上面两个devise的团队需要谈论。
为什么两个“devise团队”如你所说,需要谈谈? 一个在第二层工作,另一个在第七层工作。他们完全不相关。 为什么交换机端口configuration与authentication服务器有什么关系?
在使用VLAN时,通常是基于部门(Accounting,HR等)的单独的VLANnetworking。 把AD添加到它,我们应该build立不同的领域,还(基于)部门?
对于VLAN,可能取决于环境。 对于AD,没有。 除非需要在AD资源之间引入硬pipe理边界,否则使用子域名不是最佳实践。 在大多数情况下,子域不是推荐的devise。 一个领域统治他们。
如何devise基于build筑物的AD,并模拟VLAN? 总之,如何最好地实现子网,VLAN和AD在一起?
根据您的第2层交换需求实施VLAN。 根据您的AD需求实施AD。 实际上,只要连接不同VLAN的客户端计算机可以与AD通信,就没有什么可考虑的了。
看来你有一些愚蠢的想法,VLAN和AD在某种程度上直接相辅相成。 他们完全独立。 在许多组织中,您都看到都部署了它们,因为它们都是符合行业标准的有用技术。 这并不意味着他们是某个明星交错的恋人,必须共存,以免另一个人心碎。
AD做授权和authentication。 VLAN在单个交换硬件上进行逻辑层2分离。 这两个与靴子和盐瓶相关。