我们目前运行着一个由 800 多台 PC 和 20 多台服务器组成的网络,网络基础设施的架构如下:核心交换机 10Gb-> 区域交换机 2GB-> 本地交换机 1GB-> 桌面。所有设备均运行 3Com 设备 (1)。
我们有 3 个区域交换机,用于四个区域(A、B、C、D 与核心合并),每个区域交换机将有 10 到 20 个本地交换机与其连接。还有一个备用核心交换机,功率较小,但连接方式与主核心交换机相同。
我们还有一个 IP 电话系统。计算机/服务器和交换机位于 10.x IP 范围内,电话位于 192.168.x 范围内。除了在计算机实验室中,计算机通常不需要相互通信,但它们确实需要能够与我们的大多数服务器(AD、DNS、Exchange、文件存储等)通信。
当我们设置时,我们决定设置 3 个 VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这违背了 3Com 工程师的建议)。从此时起,网络一直稳定运行(2),但现在我们已开始升级到 SAN 和虚拟化环境。现在将这个新的基础设施分成单独的 VLAN 是有意义的,重新审视我们的 VLAN 的设置方式似乎很合理。
现在有人提议按房间设置 VLAN,也就是说,拥有 5 台以上 PC 的计算机实验室应该有自己的 VLAN,但如果我们遵循这种模式,我们将至少看到 25 个“新”VLAN,外加用于 SAN/虚拟服务器的 VLAN。在我看来,这会增加过多的管理工作,尽管我很高兴事实证明我错了。
最佳实践似乎建议是什么?是否有一定数量的 PC 建议不要超过/低于 VLAN 的数量。
(1) 3Com 交换机(3870 和 8800)在 VLAN 之间的路由与其他交换机不同,它不需要单独的路由器,因为它们是第 3 层。
(2)我们有时会得到较高的丢弃率,或 STP 变化,有时 3Com 网络主管报告说交换机负载不足,对 ping 的响应很慢,或者某个交换机发生故障导致网络瘫痪(所有电话和计算机 VLAN!有一次,不知道为什么)
答案1
听起来你们公司里有人想要创建 VLAN,却不了解这样做的原因以及相关利弊。听起来你们需要做一些测量,并找出这样做的真正原因,然后再继续,至少不要考虑“为房间创建 VLAN”这种愚蠢的愚蠢做法。
除非有充分的理由,否则不应开始将以太网 LAN 划分为 VLAN。最好的两个理由是:
缓解性能问题。以太网 LAN 无法无限扩展。过多的广播或向未知目的地泛洪帧将限制其规模。这两种情况都可能是由于以太网 LAN 中的单个广播域太大而导致的。广播流量很容易理解,但向未知目的地泛洪帧则有点难以理解(以至于这里的其他海报都没有提到它!)。如果设备数量过多,导致交换机 MAC 表溢出,交换机将被迫将非广播帧从所有端口泛洪,前提是帧的目的地与 MAC 表中的任何条目都不匹配。如果以太网 LAN 中有一个足够大的单个广播域,并且流量配置文件显示主机通信频率不高(即,通信频率低到其条目已从交换机的 MAC 表中过期),那么您也可能会遇到过多的帧泛洪。
希望限制/控制第 3 层或以上主机之间的流量。您可以做一些黑客行为来检查第 2 层的流量(ala Linux ebtables),但这很难管理(因为规则与 MAC 地址绑定,而更换 NIC 需要更改规则)可能会导致看起来非常非常奇怪的行为(例如,在第 2 层执行 HTTP 的透明代理很奇怪也很有趣,但完全不自然,并且排除故障非常不直观),并且通常很难在较低层执行(因为第 2 层工具在处理第 3 层以上问题时就像棍棒和石头一样)。如果您想控制主机之间的 IP(或 TCP、UDP 等)流量,而不是攻击第 2 层的问题,您应该划分子网并在子网之间使用带有 ACL 的防火墙/路由器。
带宽耗尽问题(除非是由广播数据包或帧泛滥引起的)通常不能通过 VLAN 解决。这些问题的发生是因为物理连接不足(服务器上的 NIC 太少、聚合组中的端口太少、需要提高端口速度),并且无法通过子网划分或部署 VLAN 来解决,因为这不会增加可用带宽量。
如果你没有像 MRTG 这样简单的东西来在你的交换机上运行图形化的每个端口流量统计,那么这实际上是你开始之前要做的首要任务介绍用心良苦但缺乏了解的 VLAN 分段会造成瓶颈。原始字节计数是一个好的开始,但您应随后进行有针对性的嗅探,以获取有关流量配置文件的更多详细信息。
一旦您了解了 LAN 上的流量流动方式,您就可以开始考虑出于性能原因对 LAN 进行分段。
如果您真的要尝试控制 VLAN 之间的数据包和流级访问,请准备好对应用软件进行大量工作,并学习/逆向工程其如何通过网络进行通信。限制主机对服务器的访问通常可以通过服务器上的过滤功能来实现。限制网络访问可能会给人一种虚假的安全感,并使管理员陷入自满情绪,认为“好吧,我不需要安全地配置应用程序,因为可以与应用程序通信的主机受到‘网络’的限制。”在我开始限制网络主机到主机的通信之前,我建议您审核服务器配置的安全性。
通常,您会在以太网中创建 VLAN,并将 IP 子网 1 对 1 映射到它们上。您需要一个很多您所描述 IP 子网的数量,以及可能大量的路由表条目。最好使用 VLSM 来规划这些子网,以汇总您的路由表条目,是吗?
(是的,是的 - 有办法不为每个 VLAN 使用单独的子网,但是坚持在严格的“普通”世界中,您需要创建一个 VLAN,考虑在该 VLAN 中使用的 IP 子网,为某个路由器分配该 VLAN 中的 IP 地址,将该路由器连接到 VLAN,使用路由器上的物理接口或虚拟子接口,将某些主机连接到 VLAN 并为它们分配您定义的子网中的 IP 地址,并将它们的流量路由进出 VLAN。)
答案2
VLAN 仅对限制广播流量有用。如果某项服务要进行大量广播,则将其分离到自己的 VLAN 中,否则我不会费心。您可能希望在同一网络上拥有实时系统的虚拟化副本,并希望使用相同的地址范围,那么这可能值得使用单独的 VLAN。
答案3
VLAN 可以作为额外的安全级别。我不知道 3Com 如何处理它,但通常您可以将不同的功能组划分为不同的 VLAN(例如会计、WLAN 等)。然后您可以控制谁有权访问特定的 VLAN。
我认为,如果同一 VLAN 中有许多计算机,性能不会有任何显著损失。我确实发现按房间划分 LAN 是不切实际的,但同样,我不知道 3Com 如何处理它。通常指导原则不是大小,而是安全性或操作。
实际上,如果没有安全性或操作优势,我看不出将 LAN 划分为不同 VLAN 的任何理由。
答案4
总是会有广播流量,无论是名称解析广播、ARP 广播等。重要的是监控广播流量。如果超过总流量的 3-5%,那就有问题了。
VLAN 有利于减少广播域的大小(正如 David 所述)或提高安全性,或创建专用备份网络。它们实际上并不是“管理”域。此外,实施 VLAN 还会增加网络的路由复杂性和开销。