如何设置VLAN网络

Question 1

正如 Joeqwerty 已经指出的那样，你对这个问题的基本理解不够充分，而且目标定义模糊。你正在为失败、停机和安全漏洞埋下隐患。我不会直接回答你的问题，而是会花点时间讲解一下“vLAN 101”小教程，这对你来说可能更有用。

您似乎对 vLAN 分段以及它如何融入网络架构存在一些基本的误解，因此让我们先回到开始处：

从网络架构层面，您可以非常简单地认为 vLAN 只不过是一个独立的交换机，不连接到任何其他交换机（vLAN）。

如果您以这种方式看待 vLAN，那么如何使用它们就会变得相对清晰：如果您不希望内部机器Group A能够与内部机器通信，则可以将Group B它们放在单独的 vLAN 中，并强制它们穿过路由器（最好是具有防火墙功能的路由器）才能相互通信。
在几乎所有情况下，通过将机器放在不同的 IP 网络（子网）中来做到这一点会更好（也更容易）--vLAN 中的机器位于同一子网中，并且可以随意相互聊天，但如果它们想与 vLAN 之外的某个人交谈，那么这个人也将在其子网之外，因此它们将被移交给其默认网关，这可以处理在什么情况下谁可以与谁交谈的安全问题。

因此，vLAN 架构分为 11 个简单步骤：

确定哪些机器构成逻辑组。这些是您的 vLAN。
在非常简单的环境中，这可能是Web Servers和Database Servers。
在更复杂的环境中，您可能有许多组，并且您可能将多个组组合在一个 vLAN 中——这是您必须做出的架构决策。
找出适合您的 vLAN 的寻址方案。
如果您非常幸运，每个 vLAN 都可以放入 /24，并且您将能够基于此构建拓扑。如果您不那么幸运，请找出哪些 vLAN 需要更大（或更小）的块。
在纸上画出你目前所做的事情。
确定哪些 vLAN 需要相互通信。vLAN
/网络之间应开放哪些端口/服务？
您的环境需要具备哪些其他条件才能正常运行？
将您的想法画在纸上。确保其合理，然后将其转换为防火墙/路由器策略。
起草防火墙/路由器配置。最好在测试环境中试用。
在纸上画出您的交换机，并映射哪些端口将进入哪些 vLAN。
将连接物理分组以使其位于同一逻辑 vLAN 中很有帮助，但这并不是绝对必要的。
将你的开关图转换为开关配置。最好在测试环境中使用它。
整理纸上的图画。逻辑图画看起来应该像这样：（

图像已缩小，以隐藏您不需要阅读的内容）
让别人看看你的设计。
你可以在 Server Fault 上提问，但最好让熟悉你环境的人看看，因为他们更有可能发现潜在的问题。
花一个周末的时间将你的逻辑设计变成现实。
（不用说，你应该有一个回滚计划，以防事情出现严重错误，但我还是要说。）

（如果你是非常很好，您可能可以跳过上面的一些“在纸上绘制”步骤，但我不建议您第一次就跳过该步骤。）

回复：您提出的两个具体问题：

1)如何对网络进行分段，以最大程度地减少网络上现有设备的停机时间？

你不能。将网络划分为 vLAN 将需要一个停机窗口 - 你必须重新配置交换机，将机器移动到不同的逻辑网络，配置路由，可能还要移动一些电缆等等。
计划从周五下午 5 点开始停机并持续一个周末，特别是如果这是你第一次设计正确分段的网络 - 你将花一些时间调试出现故障的东西。

2)我是否可以只创建 Vlan 并将所有这些 Vlan 留在同一个第 3 层网络中，以便它们可以离开网络（我并不关心 Vlan 路由）或者我必须创建子网，这意味着重新配置现有设备（我不想要）

你能吗？是的。
它会给你带来任何安全方面的好处吗？不会。
它会让整个项目变得困难 10 倍吗？当然。
你应该这样设计网络吗？不。

Answer

正如 Joeqwerty 已经指出的那样，你对这个问题的基本理解不够充分，而且目标定义模糊。你正在为失败、停机和安全漏洞埋下隐患。我不会直接回答你的问题，而是会花点时间讲解一下“vLAN 101”小教程，这对你来说可能更有用。

您似乎对 vLAN 分段以及它如何融入网络架构存在一些基本的误解，因此让我们先回到开始处：

从网络架构层面，您可以非常简单地认为 vLAN 只不过是一个独立的交换机，不连接到任何其他交换机（vLAN）。

如果您以这种方式看待 vLAN，那么如何使用它们就会变得相对清晰：如果您不希望内部机器Group A能够与内部机器通信，则可以将Group B它们放在单独的 vLAN 中，并强制它们穿过路由器（最好是具有防火墙功能的路由器）才能相互通信。
在几乎所有情况下，通过将机器放在不同的 IP 网络（子网）中来做到这一点会更好（也更容易）--vLAN 中的机器位于同一子网中，并且可以随意相互聊天，但如果它们想与 vLAN 之外的某个人交谈，那么这个人也将在其子网之外，因此它们将被移交给其默认网关，这可以处理在什么情况下谁可以与谁交谈的安全问题。

因此，vLAN 架构分为 11 个简单步骤：

确定哪些机器构成逻辑组。这些是您的 vLAN。
在非常简单的环境中，这可能是Web Servers和Database Servers。
在更复杂的环境中，您可能有许多组，并且您可能将多个组组合在一个 vLAN 中——这是您必须做出的架构决策。
找出适合您的 vLAN 的寻址方案。
如果您非常幸运，每个 vLAN 都可以放入 /24，并且您将能够基于此构建拓扑。如果您不那么幸运，请找出哪些 vLAN 需要更大（或更小）的块。
在纸上画出你目前所做的事情。
确定哪些 vLAN 需要相互通信。vLAN
/网络之间应开放哪些端口/服务？
您的环境需要具备哪些其他条件才能正常运行？
将您的想法画在纸上。确保其合理，然后将其转换为防火墙/路由器策略。
起草防火墙/路由器配置。最好在测试环境中试用。
在纸上画出您的交换机，并映射哪些端口将进入哪些 vLAN。
将连接物理分组以使其位于同一逻辑 vLAN 中很有帮助，但这并不是绝对必要的。
将你的开关图转换为开关配置。最好在测试环境中使用它。
整理纸上的图画。逻辑图画看起来应该像这样：（

图像已缩小，以隐藏您不需要阅读的内容）
让别人看看你的设计。
你可以在 Server Fault 上提问，但最好让熟悉你环境的人看看，因为他们更有可能发现潜在的问题。
花一个周末的时间将你的逻辑设计变成现实。
（不用说，你应该有一个回滚计划，以防事情出现严重错误，但我还是要说。）

（如果你是非常很好，您可能可以跳过上面的一些“在纸上绘制”步骤，但我不建议您第一次就跳过该步骤。）

回复：您提出的两个具体问题：

1)如何对网络进行分段，以最大程度地减少网络上现有设备的停机时间？

你不能。将网络划分为 vLAN 将需要一个停机窗口 - 你必须重新配置交换机，将机器移动到不同的逻辑网络，配置路由，可能还要移动一些电缆等等。
计划从周五下午 5 点开始停机并持续一个周末，特别是如果这是你第一次设计正确分段的网络 - 你将花一些时间调试出现故障的东西。

2)我是否可以只创建 Vlan 并将所有这些 Vlan 留在同一个第 3 层网络中，以便它们可以离开网络（我并不关心 Vlan 路由）或者我必须创建子网，这意味着重新配置现有设备（我不想要）

你能吗？是的。
它会给你带来任何安全方面的好处吗？不会。
它会让整个项目变得困难 10 倍吗？当然。
你应该这样设计网络吗？不。

Question 2

我该如何对网络进行分段，以尽量减少网络上现有设备的停机时间？

将当前网络保留为默认 VLan。对于要移动到新 VLan 的每个设备，重新配置其端口，并将其地址信息更改为相应的子网，每次更改一个设备。

我是否可以只创建 Vlan，并将所有这些 Vlan 保留在同一个第 3 层网络中

不，这完全违背了 VLan 的概念。

（我并不关心 Vlan 路由）

你必须提供VLan之间的路由，以便不同VLan上的设备进行通信。

或者我必须创建子网，这意味着重新配置现有设备（我不想要这样做）

那么您可能不希望拥有 VLan。

Answer