我们一直在考虑重新安排我们的网络和 VLAN 配置。情况如下。
我们的服务器、VoIP 电话和打印机已经拥有各自的 VLAN,但我们的问题在于最终用户设备。这些设备太多了,无法集中到同一个 VLAN 上,否则会受到广播的干扰!我们当前的分段策略是将它们分成以下 VLAN:
- 学生 iPad
- 员工 iPad
- 学生用 Macbook
- 员工 Macbook
- 游戏设备
- 工作人员(其他)
- 学生(其他)
**请注意,我们的网络拥有的 iPad 和 MacBook 比大多数网络都多。*
由于我们将它们拆分的主要原因只是为了将它们放入较小的组中,因此这种方法对我们来说一直很有效(大部分情况下)。但是,这要求我们的员工维护属于这些组的所有设备的访问控制列表(MAC 地址)。它还带来了不良的副作用,即不合逻辑地对广播流量进行分组。例如,使用这种设置,校园两端使用 iPad 的学生将共享广播,但属于同一用户(在同一房间)的两台设备可能会位于完全独立的 VLAN 上。
我觉得一定有更好的方法来做到这一点。
我做了很多研究,但找不到推荐这种细分的例子。最相关的问题似乎指向按建筑物/物理位置划分 VLAN。我觉得这很有道理,因为从逻辑上讲,至少在杂项最终用户中,广播通常针对的是附近的设备。
- 是否有其他校园/大型网络根据端系统操作系统划分 VLAN?
- 这是一个典型配置吗?
- 基于物理位置(或其他标准)的 VLAN 划分是否更有效?
编辑:有人告诉我,我们很快就能动态确定设备操作系统而无需维护访问列表,尽管我不确定这会对问题的答案产生多大影响。
答案1
我认为按操作系统划分用户子网的工作量大于其价值,而且坦白地说,在我与 HiEd IT 人员的所有互动中,我从未听到任何人谈论按操作系统划分。这样做有什么好处?此外,当某台机器的操作系统发生变化时,你会怎么做?或者更常见的情况是,当一台双启动的计算机(例如 OSX 和 Windows)时,你会怎么做?
我们的校园内有大约六个不同的安全“区域”:
- 一般(非特权)教职员工办公室以太网接口
- 特权员工办公室以太网掉线(主要是 ITS 员工)
- 宾客 Wifi(仅可访问互联网)
- ResNet(宿舍网络)
- 安全 Wifi(WPA2/802.1x,用户根据角色进入特定 VLAN)
- 服务器机房
上述每个子网通常按建筑物划分,然后按它们所连接的配线间划分为较小的子网。对于无线,我们有几个子网,非特权用户会随机分配到这些子网。对于服务器机房,我们按操作系统分组(主要是为了在 Windows 和 Linux 之间进行安全隔离),并在操作系统组内进一步细分 ITS 服务器和部门拥有的服务器。我们为每个子网维护子网 ACL,并采用默认拒绝策略,只允许我们明确允许的流量通过。除了子网防火墙外,我们还在所有服务器(无论是 Linux 还是 Windows)上实施主机防火墙。还有几个专用 VLAN 用于服务器管理、网络管理、iSCSI、HVAC 设备、门禁面板、安全摄像头等。
保持广播域较小是一个好目标。不过说实话,如果坐在一起的两个人处于同一个 L2 广播域中,那其实并不重要。
答案2
看来 IT 部门需要做大量工作来组织和跟踪与其关联的 MAC 地址和设备。
我认为最大的副作用是“属于同一用户(在同一个房间)的两台设备可能位于完全不同的 VLAN 上。”很多人会打电话给 IT 支持人员,想知道为什么他们在 iTunes 中看不到彼此的设备。:)
我仍然认为最好的解决方案是按建筑物进行划分,然后按校园官方设备进行划分,最后按学生设备进行划分。这样,您可以确保所有需要相互通信的设备都可以相互通信,同时减轻学生对校园官方设备的黑客攻击。
你怎么认为?
答案3
我同意 ErikA 所说的:将 VLAN 划分为功能组:
- SERVER1、SERVER2、SERVER3 等(例如,全部在 10.2.0.0/16 下:Windows 在 10.2.0.0/17,Unix 在 10.2.128/16)
- DMZ1、DMZ2 等(均在 10.3.0.0/16 下)
- 无线 1、无线 2、(均低于 10.4/16)
- 嘉宾1,嘉宾2,(10.5/16)
- 本科1,本科2,(10.6/16)
- 年级 1,年级 2,(10.7)
- 教师,(10.8)
- 打印机 (10.9)
- 网络 (10.10.xy)
有时,特定的研究小组也可能拥有自己的 VLAN。同样,您可能拥有“私有”VLAN,这些 VLAN 无法路由到网络的其余部分,例如存储(NFS、iSCSI);它们通常也启用了巨型帧,而其他地方的默认 MTU 为 1500。
如果想为网络用户提供一些灵活性,可以使用所谓的“动态 VLAN”:当一台机器插入时,交换机会获取其 MAC 地址并查询 RADIUS 服务器,并告知端口应属于哪个 VLAN。查看“隧道类型”、“隧道介质类型”和“隧道专用组 ID”的 RADIUS 属性。对于 WiFi 也类似,当用户通过 WPA2 登录时,AP 与 RADIUS 服务器通信,除了允许/拒绝用户名和密码的响应外,RADIUS 服务器还可以使用 AP 应将用户放入的 VLAN 进行响应。
未注册的主机 MAC 和用户可能会被拒绝任何访问(阻止端口),或被放入默认(来宾)VLAN,具体取决于您的安全策略。HP 交换机(和其他交换机?)也能够执行两级操作:默认情况下,提供 MAC 级访问权限,但如果用户运行 802.1x 程序并进行身份验证(而不是主机“验证”自己——实际上任何在键盘上的人都可以),交换机就可以将端口连接到与个人绑定的 VLAN。
此外,将功能性 VLAN 与子网范围绑定在一起,在许多情况下有助于简化防火墙规则,以及调试奇怪数据包的来源(从统计上看,Windows 主机更容易受到攻击/攻击,因此将这些服务器放在任何易于分段的网络中都值得考虑)。
当您为用户/设备提供 WiFi 访问权限(Macbook、iPad、iPod)时,您将轮换放置它们的子网/VLAN:学生 A 将放置在 WIRELESS1/10.4.1.0 中,学生 B 放置在 WIRELESS2/10.4.2.0 中,学生 C 则返回 WIRELESS1/10.4.1.0 中,等等。根据需要添加更多子网/VLAN 以“平衡”用户负载。教师 A、教师 B、教师 C 也类似。如果您注意到由于毕业/辍学/员工流失导致分配不平衡,您可以随时使用更新数据库(SQL、LDAP 等)的简单脚本重新平衡。
您当然也可以通过建筑物来实现,但每栋建筑物内也会有功能分离:BLDA_SERVER_HR、BLDA_SERVER_FINANCE、BLDA_WIFI_STAFF、BLDA_WIFI_GUEST、BLDA_PRINTERS、BLDB_WIFI_GUEST、BLDB_PRINTERS 等。