我最近遇到了一个网络设计,它大量实施 VLAN,但没有使用专用的身份和访问管理系统(如 Active Directory 或 OpenLDAP)。还有另一个设计计划使用 Active Directory,但对网络进行简单的树状子网划分。我的问题是:
- VLAN 是实现更好管理网络的唯一方法吗?它是否始终是大公司网络设计的最佳实践?
- 我曾经在一所大学使用过 AD 和(我认为)VLAN。当我们想要确保安全性和良好的用户管理时,这是一种“标准设计”吗?
- 如今,在大型企业中,使用 AD/OpenLDAP 而不使用 VLAN 是否很常见?或者,相反,使用 VLAN 而不使用 AD/OpenLDAP?
- VLAN 和 AD/OpenLDAP 是两个完全正交的概念?因此是互补的?如果是这样,我想上述两个设计的团队需要讨论一下。
进一步的问题:
- 使用 VLAN 时,通常会根据部门(会计、人力资源等)来区分 VLAN 网络。如果添加 AD,我们是否应该根据部门创建不同的域?
- 如何根据建筑物设计 AD,并类似地为 VLAN 设计 AD?简而言之,如何最好地同时实现子网划分、VLAN 和 AD?
欢迎任何见解、提示、链接或建议。
答案1
VLAN 是实现更好管理网络的唯一方法吗?它是否始终是大公司网络设计的最佳实践?
它们适用于任何有意义且大小合适的地方。
我曾经在一所大学使用过 AD 和(我认为)VLAN。当我们想要确保安全性和良好的用户管理时,这是一种“标准设计”吗?
VLAN 本身并不是安全边界,只是广播边界。但是,通过将逻辑组划分为 VLAN,您可以根据需要在它们之间放置 ACL。
当然,AD 是为了“良好”的用户管理。它是一种授权和身份验证服务。这就是它的设计目的。
如今,在大型企业中,使用 AD/OpenLDAP 而不使用 VLAN 是否很常见?或者,相反,使用 VLAN 而不使用 AD/OpenLDAP?
不。大型企业通常使用 VLAN。不过,原因与 AD 或 OpenLDAP 无关。
VLAN 和 AD/OpenLDAP 是两个完全正交的概念吗?因此是互补的吗?如果是这样,我想上述两个设计的团队需要讨论一下。
为什么你说的两个“设计团队”需要交流?一个在第 2 层工作,另一个在第 7 层工作。它们完全不相关。交换机端口配置为什么会与身份验证服务器有关?
使用 VLAN 时,通常会根据部门(会计、人力资源等)来区分 VLAN 网络。如果添加 AD,我们是否应该根据部门创建不同的域?
对于 VLAN,可能取决于环境。对于 AD,则不然。除非需要在 AD 资源之间引入硬管理边界,否则使用子域并不是最佳做法。在大多数情况下,不建议使用子域设计。一个域可以统治所有域。
如何根据建筑物设计 AD,并类似地为 VLAN 设计 AD?简而言之,如何最好地同时实现子网划分、VLAN 和 AD?
根据你的第 2 层交换需求实现 VLAN。根据你的 AD 需求实现 AD。实际上,只要连接到不同 VLAN 的客户端计算机可以与 AD 通信,就没有什么可考虑的了。
似乎你认为 VLAN 和 AD 在某种程度上直接互补的想法很愚蠢。它们是完全独立的。在许多组织中,你会看到两者都部署,因为它们都是行业标准的有用技术。这并不意味着它们是必须共存的不幸恋人,否则对方会心碎而死。
AD 负责授权和身份验证。VLAN 在单个交换硬件上执行逻辑第 2 层分离。两者的关系就像启动器和盐瓶一样紧密。