一所小型学校目前有 30 台 PC 通过 wifi 接入点连接到互联网(3 个 WAN),但目前没有真正的 LAN,除了从 AP 到调制解调器的大约 8 条电缆。最终的计划是: - 购买一台 24p 交换机 - 购买一台 Windows Server 2012 - 购买网络故障转移/平衡带宽聚合器
方案:
----------- ---------- ------------ -----------------
| 5 VLANs | <------> | Switch | <------> | Failover | <------> | 3 modems |
----------- ---------- ------------ -----------------
要求:
- 每个 VLAN 都可以访问 Windows Server 2012(文件服务器、共享文件夹)
问题:
- 托管的 L2 交换机足以完成这项任务吗?
- 服务器是否需要多个网卡?
答案1
原始问题的答案:
- 如果子网之间的所有路由都在另一个系统(您的路由器或服务器或另一台具有 802.1q 兼容 NIC 和软件的机器)上完成,则具有 802.1q VLAN 支持的托管 L2 交换机就足够了。如果您想在交换机上路由,则必须购买支持 L3 的交换机。这主要取决于您的性能需求(单个系统会成为瓶颈,因为所有端口的所有流量都必须通过它)。
- 只要 NIC 支持 802.1q VLAN 标签,您就可以使用单个 NIC 来实现。根据操作系统的不同,配置不同的 NIC 可能更容易,而且硬件成本相对较低。4 个单个 NIC 或 4 个聚合 NIC 是否更高效还取决于您的流量模式。
VLAN 有助于提高安全性吗?
- 它们可以通过将流量隔离到不同的子网来提供帮助,但应该与其他技术相结合。例如,当使用 802.1q 和 802.1x (RADIUS) 时,新设备可以在首次接触(通过无线或有线)时通过密码或证书进行身份验证,然后根据您的设置规则(访客 VLAN、教师 VLAN 等)分配到 VLAN。同样,如果您将它们与 IPSec 或任何其他 VPN 解决方案相结合,您将获得加密流量,即使在同一个子网中,也没有人可以读取/理解不是为他准备的流量。您可以并且应该结合不同的技术。
- 存在攻击场景,其目标是突破 VLAN(通过错误/漏洞或利用配置不当的 VLAN 设置)。只要您正确配置 VLAN,您很可能不会有事。如果您愿意,仍然可以单独管理非常敏感的信息(气隙或使用单独的硬件)。
- 管理和配置方面存在开销,因此您应该决定是否值得花时间正确配置它。如果您所需的网络拓扑
- 经常变化,但硬件保持不变,或者
- 很复杂,与你的物理布局不同,或者
- 是不可能进行物理建模的。