所以我们最终到了需要拆分简单、单一子网的地步。假设有销售/管理端和开发端。我应该在哪里找到通用文件服务器?
一个独立的子网?
在一个子网还是另一个子网?
多宿主且在两侧?
性能并不重要,而且无论如何都可以让它发挥作用。更感兴趣的是其基本原理以及未来最有意义的事情。
答案1
既然您现在正在隔离网络,那么第一次就应该做好。现在,您的实际最终设计将取决于您的业务需求,但一般来说,您应该具有以下“类别”的网络:
- 服务器
- 基础设施
- 客户端(根据您的情况,可以是子网,也可以是两个独立的)
- 销售/行政
- 发展
- 非军事区
- 备份
- 测试/实验室
- 可能是内部高安全性部分(PCI、HIPPA 等)
- 可能是客户/供应商 DMZ
通过这种方式对您的网络进行分段将有助于将来的增长,同时还可以防止您在管理员不需要时授予他们访问开发人员段的权限。
如果您在经历迁移的痛苦时真正考虑服务器的放置,并为将来的使用做好准备,那么当您需要充分利用此设置时,您将不必再次完全重新配置您的网络。
答案2
确实取决于使用情况。如果一个团队比另一个团队使用得更多,则将其放在该子网上。如果两个团队使用相同,并且您有备用防火墙/路由器,则将其放在自己的子网上。如果没有备用防火墙或路由器,您可以将其放在后面,或者流量非常大,则将其双主机化。
如果您对其进行双重管理,则必须考虑每个组的 DNS/访问方法,以确保它们使用正确的接口,而不是被路由到它。
答案3
基本上这只是我个人的观点...
如果您预计未来两个 VLAN 之间的“共享”网络资源会增多,您可以考虑创建专门针对这些共享资源的第 3 个 VLAN。
这个 Vlan 现在可以容纳您的文件服务器,以后还可以容纳任何其他共享资源(更多服务器/打印机/等)
我们对服务器进行划分,一方面是为了组织,另一方面也是为了隔离备份流量。
Vlan 之间的路由也是使用 VLan 特定 ACL 控制访问的另一种方式。
答案4
用户很有可能会使用相同的协议访问“通用文件服务器”。假设您正在转向多子网架构以使用 ACL 来限制子网之间的流量,那么从协议级别来看,“销售/管理”与“开发”访问文件服务器的需求将是相同的。从 ACL 的角度来看,最终结果是“六个一个,六个另一个”。
我会将它放在“公共服务器子网”中,并将 ACL 应用于该子网的入站/出站流量,无论源子网如何,该 ACL 都会对所有流量进行相同的处理。
我很想知道您为什么认为您的网络“想要被拆分”。除非您有充分的理由,否则您不应该开始对以太网 LAN 进行子网划分。最好的两个理由是:
减轻性能问题。
希望限制/控制在第 3 层或以上主机之间移动的流量。
我有评分相当高的答案我建议你参考一下以获得更多评论。