Combien de vlans sont trop peu nombreux et trop nombreux?
Nous exécutons actuellement un Netwok de plus de 800 pcs et plus de 20 serveurs, l'infrastructure de réseau est le long des lignes d'interrupteur de noyau 10 Go-> Interrupteur de zone 2GB-> Commutateur local 1GB-> Desktop. Tous les équipements 3COM en cours d'exécution (1).
Nous avons 3 commutateurs de zone pour quatre zones (A, B, C, D est fusionné avec le noyau), chaque commutateur de surface aura entre 10 et 20 commutateurs locaux connectés à ceux-ci. Il y a aussi un interrupteur de noyau de sauvegarde, moins alimenté mais connecté car le commutateur principal principal est.
Nous avons également un système téléphonique IP. Les ordinateurs/serveurs et swiquthes sont sur une plage IP de 10.x, les téléphones sur une plage de 192.168.x. Les ordinateurs ne doivent généralement pas se parler, à l'exception des laboratoires informatiques, mais ils doivent pouvoir parler à la plupart de nos serveurs (AD, DNS, Exchange, Stockage de fichiers, etc.)
Lorsque nous avons mis en place, il a été décidé que nous devions avoir 3 vlans, un pour les commutateurs et les ordinateurs, un pour téléphones et une réplication de serveur (ceci était contre le conseil des ingénieurs de 3com). Le réseau a été stable et travaille depuis ce point (2), mais nous avons maintenant commencé à mettre à niveau vers SAN et environnemental de virtualisation. Maintenant, divisez maintenant cette nouvelle infrastructure dans des VLAN séparées. Vister comment nos VLAN sont configurées semble sensible.
Il est maintenant proposé que les VLAN soient installées dans une pièce par chambre, c'est-à-dire qu'un laboratoire informatique avec plus de 5 pcs devrait être propre VLAN, mais si nous suivons ce modèle, nous examinerons au moins 25 "Nouveau" VLANS , plus les VLAN pour les serveurs SAN/virtuels. Ce qui me semble ajoutera une quantité excessive d'administration, même si je suis tout à fait prouvé.
Quelle serait la meilleure pratique semble suggérer? Existe-t-il un certain nombre de PC qui sont conseillés de ne pas passer/ci-dessous dans un VLAN.
(1) Les commutateurs 3Com (3870 et 8800) de la route entre VLAN différemment à la façon dont d'autres le font, il ne nécessite pas de routeur séparé comme celui-ci.
(2) Nous obtenons parfois des taux de rejets élevés, ou STP changements et à l'heure 3com Directeur du réseau que les commutateurs sont de la sous-charge et lentement pour répondre aux pings, ou un interrupteur ayant échoué à la réalisation de le réseau (tous les vlans de téléphone et informatique!, une fois, aucune idée de pourquoi)
Cela ressemble à quelqu'un de votre organisation souhaite créer des VLAN avec la compréhension des raisons pour lesquelles vous le feriez et les avantages/contre associés à celui-ci. On dirait que vous devez faire quelques mesures et proposer de vraies raisons pour cela avant d'aller de l'avant, du moins avec l'insensé "VLAN pour une pièce".
Vous ne devriez pas commencer à briser un réseau local Ethernet dans des VLANS à moins que vous n'ayez de bonnes raisons de le faire. Les deux meilleures raisons sont:
Atténuer les problèmes de performance. Ethernet Lans ne peut pas échouer indéfiniment. Des émissions excessives ou des inondations de cadres à des destinations inconnues limiteront leur échelle. L'une de ces conditions peut être provoquée par la fabrication d'un seul domaine de diffusion dans un réseau local Ethernet trop grand. Le trafic de diffusion est facile à comprendre, mais l'inondation de cadres à des destinations inconnues est un peu plus obscure (tellement de sorte qu'aucune des autres affiches ici ne le mentionne même!). Si vous obtenez autant de périphériques que vos tables Mac de commutation sont des commutateurs débordants seront forcés d'inonder les trames non diffusées de tous les ports si la destination du cadre ne correspond à aucune entrée dans la table MAC. Si vous avez un domaine de diffusion unique suffisant dans un réseau local Ethernet avec un profil de trafic qui héberge rarement (c'est-à-dire suffisamment de sorte que leurs entrées ont atteint l'âge des tables Mac sur vos commutateurs), vous pouvez également obtenir une inondation excessive des cadres .
Un désir de limiter/contrôler le trafic se déplaçant entre les hôtes au calque 3 ou supérieur. Vous pouvez effectuer des hackys examinant le trafic à la couche 2 (eBTABLES ALA Linux), mais cela est difficile à gérer (car les règles sont liées aux adresses MAC et à modifier les NICs nécessite des changements de règles) peuvent causer de quoi semblent vraiment, des comportements vraiment étranges (faire La proxyation transparente de HTTP à la couche 2, par exemple, est une fourrure et amusante, mais est totalement intuitive et peut être très intuitive à résoudre) et est généralement difficile à faire aux couches inférieures (car les outils de couche 2 sont comme des bâtons et des roches à traiter avec des préoccupations de couche 3+). Si vous souhaitez contrôler le trafic IP (ou TCP ou UDP, etc.) entre des hôtes, plutôt que d'attaquer le problème au niveau de la couche 2, vous devez sous-réseau et coller des pare-feu/routeurs avec des ACL entre les sous-réseaux.
Les problèmes d'épuisement de la bande passante (sauf si elles sont causées par des paquets de diffusion ou des inondations de cadres) ne sont pas résolues avec des VLAN typiquement. Ils se produisent en raison d'un manque de connectivité physique (trop peu de nics sur un serveur, trop peu de ports dans un groupe d'agrégation, la nécessité de passer à une vitesse de port plus rapide) et ne peut pas être résolue par sous-résein ou déployer des vlans car cela gagnait 't augmenter la quantité de bande passante disponible.
Si vous n'avez même pas quelque chose de simple, comme MRTG en marche des statistiques sur le trafic PER-Port sur vos commutateurs, ce qui est vraiment votre premier ordre d'activité avant de commencer à éventuellement introduire goulets d'étranglement avec bien intentionné mais non informé VLAN Segmentation. Les nombres d'octets bruts sont un bon départ, mais vous devez le suivre avec une renification ciblée pour obtenir plus de détails sur les profils de trafic.
Une fois que vous savez comment le trafic se déplace sur votre réseau local, vous pouvez commencer à penser à segmenter le réseau local pour des raisons de performance.
Si vous allez vraiment essayer de baisser le paquet et l'accès au niveau du flux entre les VLANS être prêt à faire beaucoup de jambaettes avec logiciels d'application et d'apprentissage/ingénierie inverse comment il parle sur le fil. La limitation de l'accès des hôtes sur des serveurs peut souvent être accomplie avec une fonctionnalité de filtrage sur les serveurs. La limitation de l'accès sur le fil peut fournir un faux sentiment de sécurité et des administrateurs de plongée dans une complaisance où ils pensent "bien, je n'ai pas besoin de configurer l'application. Séquier parce que les hôtes pouvant parler à l'application. Sont limités par" le réseau'." Je vous encourage à vérifier la sécurité de votre configuration de serveur avant de commencer à limiter la communication hôte-host sur le fil.
Généralement, vous créez des VLAN dans Ethernet et cartographier les sous-réseaux IP 1-à-1 sur eux. Vous allez avoir besoin d'un [~ # ~ # ~ # ~ # ~] des sous-réseaux IP pour ce que vous décrivez et potentiellement beaucoup d'entrées de table de routage. Mieux planifiez ces sous-réseaux avec VLSM pour résumer vos entrées de table de routage, hein?
(Oui, oui-- Il existe des moyens de ne pas utiliser de sous-réseau séparé pour chaque VLAN, mais vous collez dans un monde strictement "vanille ordinaire" que vous créeriez un VLAN, pensez à utiliser un sous-réseau IP à utiliser dans le VLAN, attribuez un routeur Une adresse IP dans ce VLAN, attachez ce routeur au VLAN, avec une interface physique ou une sous-interface virtuelle sur le routeur, connectez certains hôtes au VLAN et attribuez-leur des adresses IP dans le sous-réseau. Vous avez défini et acheminez leur trafic dans et hors du VLAN.)
Les VLAN sont bonnes comme un niveau de sécurité supplémentaire. Je ne sais pas comment 3Com le gère, mais vous pouvez généralement segmenter différents groupes fonctionnels dans différents vlans (par exemple comptabilité, WLAN, etc.). Vous pouvez ensuite contrôler qui a accès à un VLAN particulier.
Je ne crois pas qu'il y ait une perte de performance significative s'il existe de nombreux ordinateurs dans le même VLAN. Je trouve qu'il est impraticable au segment de segment dans une pièce par chambre, mais encore une fois, je ne sais pas comment 3Com le gère. Habituellement, la ligne directrice n'est pas une taille, mais plutôt une sécurité ou une opération.
En effet, je ne vois aucune raison de segmenter le réseau local dans différents vlans s'il n'y a pas de sécurité ou de gains opérationnels.
À moins que vous n'ayez 25 groupes de test et de développement qui tuent régulièrement le réseau avec des inondations de diffusion, 25 vlan de 25 ans sont de moins nombreux.
Évidemment, votre SAN _ a besoin de son propre VLAN et non le même VLAN en tant que réseau virtuel LAN et Internet Access! Cela peut tous être effectué via un seul port Ethernet sur le système hôte, donc ne s'inquiète donc pas de scinder ces fonctions.
Si vous avez des merveilles de performance, envisagez de mettre votre téléphone et SAN sur du matériel réseau séparé, pas seulement des VLAN.
Généralement, vous voulez seulement envisager d'utiliser des VLAN lorsque vous avez besoin de dispositifs de quarantaine (tels qu'une zone où les utilisateurs peuvent apporter leurs propres ordinateurs portables ou lorsque vous avez une infrastructure de serveur critique qui doit être protégée) ou si votre domaine de diffusion est trop haut.
Les domaines de diffusion peuvent généralement être d'environ 1000 appareils volumineux avant de commencer à voir des problèmes sur des réseaux de 100 Mbit, bien que j'avais apporté cela à 250 périphériques si vous traitez de zones de fenêtres relativement bruyantes.
Pour la plupart, les réseaux de jour modernes n'ont pas besoin de VLAN à moins que vous fassiez cette quarantaine (avec un pare-feu approprié à l'aide d'ACLS, bien sûr) ou de la limitation de diffusion.
Ils sont également utiles pour empêcher les émissions DHCP pour atteindre des périphériques réseau indésirables.
Il y a toujours du trafic de diffusion, que ce soit des émissions de résolution de noms, des émissions d'ARP, etc. L'important est de surveiller la quantité de trafic de diffusion. S'il dépasse 3 - 5% du trafic total, c'est un problème.
Les VLAN sont bons pour réduire la taille des domaines de diffusion (comme David indiqué) ou pour la sécurité, ou pour la création de réseaux de sauvegarde dédiés. Ils ne sont pas vraiment destinés à des domaines de "gestion". De plus, vous ajouterez une complexité de routage et une surcharge sur votre réseau en mettant en œuvre des VLAN.