我们的网络是扁平的 L2。
在某个时候我们需要(我想这样做,但这并不是我的职责)开始将其划分为 VLAN,因为我们显然会有很多广播聊天,并且最近我们的一个防火墙已经达到了它的 arp 表限制(可以说防火墙的 arp 表限制很低,但我们就是这样的)。
那么,您如何提出一种在 LAN 上实现 VLAN 的方法呢?
在我们的案例中,我们是一个站点,但规模却与一个小镇相当(我想应该是校园)。
我们有一个相当典型的集线器/辐射型局域网,其中有几个核心交换机,边缘交换机连接到这些核心交换机,一些直接连接,一些通过光纤到铜转换器连接。
我们的边缘套件是 Procurve、Prosafes 以及一些较旧的 Baystacks 等的混合体。
我们的大多数客户端都使用 DHCP,少数客户端使用静态 IP,但我们可以处理这些,联网打印机也使用静态 IP。
据我所知,根据校园内的物理位置,VLAN 有很多选项,例如,A 和 B 楼中的任何边缘交换机都运行在 VLAN xx 上,或者可以基于其他因素。
简单地说,我以前没有这样做过,而且很容易全身心投入并快速完成事情,然后后悔。
请问您将如何做呢?
答案1
通常,已经存在一些直接明显的划分,您可以将其用作划分网络的基础。听起来更像是您想对网络进行子网划分,而不是对其进行 VLAN 划分。VLAN 通常基于管理要求,如管理网络、SAN 或 VoIP 等。子网遵循这些 VLAN,但通常也会划分各种物理差异(每个建筑物、楼层或其他物理结构一个)。
如果对您的网络一无所知,就很难推荐任何具体的东西。
答案2
@minarnhere 描述的方式绝对是正确的选择,但不要仅仅按功能进行划分,还要添加安全性、物理位置和主机数量等因素,根据所有这些因素将您的网络划分为所需数量的 VLAN。
假设安装了适当的交换机和路由器,那么拥有多个 VLAN 就没有任何成本,而且好处多多,如果规划正确,管理开销也很小。不要用人为的限制来限制自己,将所有学生或导师或任何用户或主机组放入单个 VLAN,你为什么要这样做呢?请记住,流量只能在第 3 层进行控制,因此请拆分您的网络,以便限制和控制 VLAN 间流量,VLAN 内的流量则毫无机会。
设计校园局域网的传统方法是将网络分为接入、分布和核心。许多接入第 2 层交换机(每个交换机承载来自一个或多个 VLAN 的流量)将连接到几个第 3 层分布交换机,这些分布交换机将流量路由到少数第 3 层核心交换机。
所有主机都必须连接到接入层,该层根据上述因素分为 VLAN。每个接入层 VLAN 应尽可能限制为一个物理交换机(如果您有双宿主服务器,可能需要故障转移到同一 VLAN 中的另一个交换机,则只需打破此规则)。请记住,每个 VLAN 都是一个广播域,您希望尽可能限制每个广播域上的广播流量。考虑仅使用 /24 子网作为接入层,为什么您希望单个广播域中有超过 250 个主机?
在极少数情况下,VLAN 需要分布在多个交换机上,但这些情况将非常专业,交换机管理可能就是其中之一(但这是有争议的),其他情况则很少。
一个好的起点是您的服务器。如果它们位于同一物理位置(房间,而不是建筑物),那么您可能希望根据功能将它们分成 VLAN,否则每 ~200 台主机一个 VLAN 就可以了。显然 (?) 面向 Internet 的服务器应该独立运行,最好是物理上分开的,网络与校园之间有防火墙(DMZ 设计本身是另一项专长,因此我不会在这里讨论它)。您的内部服务器也应该分为供学生使用的服务器和仅供内部管理员使用的服务器,并将它们适当地分成 VLAN。如果某些服务器属于特定部门(例如人力资源部),那么,如果您可能需要控制到这些服务器的流量,请考虑为它们设置一个 VLAN。
如果服务器分散,则根据位置和功能将它们放入单独的 VLAN,而不需要仅仅因为“它们是服务器”或“因为它们都是 Web 服务器”而将它们放在同一个 VLAN 中。
继续讨论您的学生和教职员工用户。首先,非 IT 人员可以访问或可以访问的每个端口或接入点都应被视为安全风险,并且来自那里的所有流量都应被视为不受信任。根据可能的主机数量和用户组(视情况而定)将您的教室划分到 VLAN 中,但不要犯“信任”特定端口的错误,如果导师需要从教室访问您的管理网络,那么他们应该获得与在家或公共咖啡店相同的访问方法(VPN?)。
无线网络应与有线网络位于不同的 VLAN 上,但具有相同的限制,如果可以避免(但有时无法避免),请不要将所有 AP 放入校园范围的 VLAN 中,而是使用与有线网络相同的方法和出于相同的原因对其进行拆分。
令人惊奇的是,IP 电话应该与其他设备位于不同的 VLAN 上,有些品牌(以我的经验是思科)可以通过电话与接入交换机协商将流量放入适当的 VLAN 来实现这一点,但这显然需要正确配置交换机。
关于 LAN 设计还有很多内容,但以上内容只是一个开始。最后要说的是,就 DHCP 而言,应将其用于包括服务器和打印机在内的每台主机,这两台主机都应根据其 MAC 地址静态分配 IP 地址。前者的范围(或范围)不应有备用地址,这在某种程度上可以防止随意将设备插入服务器 VLAN,但这也适用于打印机,重点是您可以集中控制设备,并且任何更改都由中央处理,而不是依靠在校园里四处游荡的工程师获取正确的地址。
好的,现在就说这么多,希望对您有所帮助。
答案3
正如 Chris S 所提到的,VLAN 和子网是不同的东西。但是,我们只是为学校校园中的每个 VLAN 分配了一个单独的子网和 DHCP 范围。每栋建筑都有自己的 VLAN/子网/DHCP 范围。这使管理变得更加容易,但如果您的校园比我们大,则可能行不通。我们还使用单独的 VLAN 进行交换机管理、物理服务器、VOIP 电话、学生无线、教室无线、学生实验室、虚拟服务器、商务办公室、SAN、VPN。基本上,我们的规模足够小,以至于任何可能的差异都有自己的 VLAN。(我们最多只有 25 个 VLAN,我开始创建新的部门只是因为我想将某些组与网络的其余部分隔离开来……)
为每个 VLAN 创建单独的子网可能会造成浪费,但是它可以简化管理,并且如果您需要的话,可以在脑海中轻松地进行 IP -> VLAN 转换。
我们使用 10.xxx 作为 IP,因此 VLAN1 获取 10.1.xx,VLAN8 获取 10.8.xx,等等。每个需要 DHCP 的 VLAN 都有自己的范围,但我们不会为不需要它们的 VLAN 创建范围,例如交换机管理。