我目前管理的环境的 IP 地址为 10.10.10.x/23。我们设置了 3 个 VLAN,我使用这个术语非常宽泛。我说我使用这个术语很宽泛的原因是,这 3 个 VLAN 可以完全访问彼此。VLAN10 是我们的内部网络,VLAN20 是访客 Wifi,VLAN30 是我们的 DMZ。该环境有典型的服务器、工作站、打印机,此外,我们还安装了安全摄像头,但没有 VOIP。我们有近 200 个工作站、29 台打印机、20 台服务器和 40 个安全摄像头。
访客 wifi 应该只能访问互联网,而不是我的内部网络。在规划 VLAN 设置时,我遇到的一些问题是,目前我们的 ASA5505 正在“路由”流量并具有 VLAN 的 ACL,我应该保持这种方式还是应该将 ACL 移至我的 cisco 3750X 交换机?现在我的计划是按如下方式设置 VLAN:
VLAN
10 Servers 10.10.10.x/24
20 Workstations 10.10.20.x/24
30 Internal Wifi 10.10.30.x/24
40 Cameras and Server 10.10.40.x/24
100 DMZ 192.168.100.x/24
110 Guest WiFi 192.168.110.x/24
我也不确定是否应该将打印机与工作站、服务器放在同一个 VLAN 上,还是将它们分开到各自的 VLAN 中?如果它们在各自的 VLAN 中,打印机服务器是否也应该位于该 VLAN 中?
答案1
我认为你最好考虑一下为什么你应该首先使用 VLAN。
听起来你有理由限制/分段流量,但我会质疑你是否真的会做必要的功课来构建 ACL,以便对 PC、服务器和打印机之间的流量进行细粒度控制。在我见过的所有情况下,管理员最终都会放弃,只是打开allow ip any any“服务器 VLAN”和“工作站 VLAN”之间的所有流量(),因为他们无法让软件供应商披露使应用程序运行所需的端口/协议(或者因为应用程序使用动态端口,而 VLAN 间路由器中的协议处理程序不会处理这些端口)。
使用第 3 层交换机与更像路由器的设备(如 Cisco ASA)之间的典型权衡是 ACL 系统的表达能力与路由性能。第 3 层交换机通常可以以线速路由,但它可能不支持具有足够表达能力的 ACL 来满足您的需要。在某些情况下,第 3 层交换机 ACL 系统确实具有表达能力,但使用这些表达能力可能会导致路由通过 CPU 而不是 ASIC,从而降低性能。
我首先会构建一个我打算使用的 ACL 列表,然后评估第 3 层交换机是否能够处理这些 ACL,如果可以,则在处理这些 ACL 时将流量保持在“快速路径”中。第 3 层交换机将提供最高的路由性能,但从规则表达能力的角度来看,ASA 可能更合适(特别是对于您的访客 wifi VLAN)。
就您的打印机而言:如果您希望将打印机的访问权限限制为仅授权管理员和排队服务器,那么您可能需要将它们放入 VLAN。有些人不介意客户端计算机直接访问打印机,但其他环境(打印的项目属于敏感性质,或计费软件需要仲裁对打印机的访问)可以从隔离打印机并严格限制可以连接到它们的主机中受益。您必须评估您的需求。例如,您需要多少责任来审核打印作业?
答案2
您不需要仅为打印机设置 VLAN,但由于您现在正在规划网络并创建 VLAN,因此我会创建一个。打印机服务器通常不需要与打印机位于同一 VLAN 上,因为它不需要使用第 2 层与打印机通信,而是使用 TCP/IP 进行连接。因此您可以将其保留在服务器 VLAN 中。
编辑:哦,我漏掉了另一个问题。我还会继续在 ASA 上进行路由,因为在这里您可以对 ACL 进行比交换机更多的微调。考虑到您的 VLAN 设置,我也不会不使用交换机进行路由。
答案3
如果您的交换机已打开 IP 路由,则必须在交换机上放置 ACL。如果您的 ASA 通过中继连接到交换机,并且在每个 VLAN 中配置了 IP,则您还必须在那里应用 ACL 以防止 ASA 进行路由。
我的建议:
- 不要将中继端口与 ASA 一起使用。每个网络(DMZ、内部、外部、访客互联网)使用一个接口。
- 在交换机上进行路由。
- 在交换机上应用 ACL 以防止 DMZ、内部和来宾网络之间的路由。
- 不要为打印机使用单独的 VLAN。将它们保留在您的工作站 VLAN 上。如果您将它们移动到单独的 VLAN,那么移动打印机和计算机需要更改交换机。我倾向于对我的网络进行 VLAN 处理,这样服务器机房内的所有内容都需要配置交换机端口,但用户空间中的所有端口都配置完全相同,以方便用户设备移动。