Apakah VLAN diperlukan untuk lingkungan saya?

10

Saya manajer jaringan baru untuk sebuah sekolah. Saya telah mewarisi lingkungan yang terdiri dari beberapa server Windows, sekitar 100 klien Windows, 10 printer, 1 router Cisco, 6 switch Cisco, dan 1 switch HP. Kami juga menggunakan VoIP.

Ada empat lantai di gedung kami. Host di setiap lantai ditugaskan ke VLAN terpisah. Kantor di lantai pertama memiliki VLAN sendiri. Semua sakelar berada pada VLAN mereka sendiri. Ponsel IP menggunakan VLAN mereka sendiri. Dan server di VLAN mereka sendiri.

Untuk jumlah host di jaringan, apakah semua VLAN ini benar-benar membelikan saya sesuatu? Saya baru mengenal konsep VLAN tetapi tampaknya terlalu rumit untuk lingkungan ini. Atau itu jenius dan saya tidak mengerti?

cisco switch vlan network-design kleefaj
sumber
Pertanyaan lain ini mungkin berguna bagi Anda yang membahas manfaat subnetting. Masalah serupa menjadi pertimbangan dan Anda mungkin menemukan jawaban di sana bermanfaat: serverfault.com/questions/2591/…
Tall Jeff

Jawaban:

0

IME Anda berada di taman bermain tempat pemisahan lalu lintas lintas jaringan akan meningkatkan kinerja. Namun pembagian VLAN tampaknya telah diputuskan berdasarkan fungsi dari node anggota daripada setiap upaya untuk mengelola bandwidth. Tentunya dengan jumlah node ini Anda bisa mendapatkan bandwidth agregat yang sama dengan perencanaan yang cerdas di mana Anda meletakkan switch daripada menggunakan vlan.

Tanpa melihat diagram detailled dan mendapatkan beberapa pengukuran nyata sulit untuk mengatakan dengan pasti, tapi saya curiga bahwa pengaturan yang Anda jelaskan tidak memberi Anda manfaat kinerja dan banyak sakit kepala admin.

Anda dapat menerapkan Daftar Kontrol Akses pada router

Bukan alasan yang bagus untuk menggunakan vlan - gunakan subnet, firewall, dan sakelar.

symcbean
sumber
Bagaimana Anda melihatnya meningkatkan kinerja? Apa yang khusus tentang VLAN yang meningkatkan kinerja? Terima kasih.
joeqwerty
1
Apa yang khusus tentang VLAN yang meningkatkan kinerja? Tidak ada. Melewati lalu lintas CSMA / CD melintasi lebih dari satu kabel secara paralel (yang paling mudah dilakukan berdasarkan src / dst) mengurangi tabrakan, meningkatkan bandwidth yang optimal dan efektif.
symcbean
Itu yang saya pikir Anda maksud; bahwa VLAN membantu menghilangkan kondisi yang menyebabkan penurunan kinerja, tetapi mereka tidak secara aktif meningkatkan kinerja. Terima kasih telah mengklarifikasi.
joeqwerty
5

Sebagian besar VLAN itu masuk akal bagi saya. Baik untuk dipisah berdasarkan fungsinya sehingga VLAN untuk server, satu untuk ponsel, dan lainnya untuk workstation masuk akal. Anda kemudian bisa mendapatkan kontrol yang baik atas lalu lintas yang mengalir antara workstation dan server.

Apa yang saya tidak melihat banyak gunanya adalah memiliki VLAN untuk workstation di setiap lantai. VLAN tunggal untuk semua workstation akan membuat semuanya tetap menyenangkan dan sederhana. Merentang VLAN di beberapa sakelar / batang mungkin tidak akan menjadi masalah untuk jaringan sekecil itu.

Juga tidak ada gunanya mempertahankan VLAN terpisah untuk manajemen switch. Mereka bisa duduk bahagia di server VLAN.

Tidak ada yang ajaib tentang VLAN BTW ... hanya pisahkan segmen jaringan siaran dengan masing-masing memerlukan gateway default dan konfigurasi ACL yang sesuai pada port jaringan.

Chris Thorpe
sumber
Sebenarnya jaringan terpisah untuk manajemen adalah suatu keharusan di sebagian besar jaringan bisnis untuk mencegah serangan dari dalam pada peralatan. Menyiapkan port untuk manajemen saja mudah dan saya sangat merekomendasikannya
g18c
4

Nah, bisa bermanfaat untuk memiliki VLAN terpisah untuk data (komputer) dan VoIP, sehingga Anda dapat menerapkan semacam prioritas lalu lintas. Pisahkan VLAN untuk manajemen switch juga berguna. Pisahkan VLAN per lantai tampaknya mungkin terlalu banyak untuk 100 Pcs, kecuali jika Anda berencana untuk memperluas di masa depan.

Tuan Shunz
sumber
Setuju. Tentu saja Anda harus memisahkan VOIP Anda. Memisahkan Server dan manajemen jaringan Anda baik-baik saja. VLAN printer dapat diperdebatkan dengan cara apa pun. Memisahkan dengan lantai berlebihan pada ukuran lingkungan Anda.
gWaldo
1

VLAN memungkinkan Anda membagi jaringan dalam segmen logis yang lebih kecil; ini membantu meningkatkan pengelolaan dan membatasi lalu lintas siaran yang tidak perlu.

Untuk jaringan sekecil itu mungkin sebenarnya berlebihan: Anda dapat dengan mudah menangani ~ 100 objek jaringan dengan satu VLAN dan IP subnet. Tapi saya pikir Anda harus tetap berpegang pada konfigurasi ini, karena dua alasan utama:

1) Ini meningkatkan pengelolaan; jika Anda tahu bahwa server ada di 192.168.1.X dan klien ada di 192.168.100.Y, lebih mudah untuk mengelolanya. Jika semua alamat Anda berada di subnet 192.168.42.Z, bagaimana Anda dapat (dengan mudah) membedakannya?
2) Ini berskala jauh lebih baik. Jika Anda pernah berpindah dari ~ 100 ke> 200 objek jaringan, satu / 24 subnet IP tiba-tiba akan tampak jauh lebih kecil, dan satu yang lebih besar akan dengan mudah menjadi berantakan.

Untuk para puritan: ya, saya tahu betul bahwa VLAN dan subnet IP tidak harus memiliki pemetaan 1: 1 yang ketat; ini hanya penggunaan yang paling umum bagi mereka, yang tampaknya mengacu pada OP.

Massimo
sumber
2
Subnet IP adalah cara untuk mengelompokkan jaringan logis - seperti juga vlan. Penggunaan keduanya tidak perlu dan terlalu memperumit situasi. Untuk jaringan IP, ada keuntungan tambahan untuk menggunakan subnetting dibandingkan dengan vlan - jadi yang terakhir adalah IMHO berlebihan.
symcbean
1
Dan bagaimana tepatnya Anda menggunakan subnet IP tanpa VLAN dan switch layer-3, jika Anda tidak memiliki beberapa router?
Massimo
@symcbean: Ya-- apa yang dikatakan Massimo. Saya mendengarkan.
Evan Anderson
switch layer-3? tidak ada router? - Saya yakin Anda menambahkan hiasan pada pertanyaan awal selama berhari-hari yang tidak dijawab oleh jawaban saya.
symcbean
1
@symcbean, jika Anda ingin membagi jaringan Anda menjadi beberapa subnet IP, Anda juga perlu sesuatu untuk membaginya pada layer 2, kecuali jika Anda ingin menjalankan banyak subnet IP pada segmen Ethernet yang sama; dan, bahkan jika Anda ingin melakukan itu, Anda masih perlu sesuatu untuk membuat mereka berbicara, yaitu router (atau firewall). Switch tunggal yang bagus, seperti Cisco, dapat melakukan keduanya menggunakan VLAN untuk segmentasi Ethernet dan antarmuka VLAN IP untuk routing; tetapi jika Anda tidak ingin menggunakannya (mengapa?), Anda akan memerlukan switch fisik yang berbeda dan setidaknya satu router fisik.
Massimo
0

Keuntungan lain dari desain ini adalah Anda dapat menerapkan Daftar Kontrol Akses pada router, sehingga komunikasi antara VLAN terbatas, dan Anda dapat melindungi server Windows dari siswa yang antusias.

Mitch Miller
sumber
0

Saya setuju dengan jawaban yang sudah Anda miliki.

Apakah Anda memerlukan VLAN? Dengan kata lain, apakah itu "perlu" jika kita ingin mempertahankan dengan pedant apa yang Anda tanyakan dalam judul pertanyaan Anda? Mungkin tidak. Apakah ini ide bagus mengingat beragam traffic yang Anda miliki? Mungkin iya.

Tidak ada jawaban benar atau salah, ini adalah pertanyaan tentang desain yang berbeda dan apa yang ingin dicapai oleh perancang ...

Berdasarkan apa yang Anda katakan, saya setuju dengan komentar tentang tidak perlu VLAN "per lantai", tetapi tanpa mengetahui lebih lanjut tentang pengaturan Anda (meskipun saya seorang manajer jaringan perguruan tinggi jadi saya punya ide umum) mungkin untuk semua yang kita tahu bahwa Anda memiliki kelas pemrograman semua di satu lantai, kantor admin di lantai lain, dll. dan VLAN workstation saat ini bukan tentang memisahkan lantai tetapi tentang memisahkan fungsi , sehingga kelas pemrograman tidak mungkin mengganggu penggunaan LAN untuk pemrosesan kata di pelajaran lain, siswa tidak dapat dengan mudah terhubung ke workstation administrasi, mungkin Anda memiliki persyaratan untuk PC khusus untuk ujian elektronik, dan sebagainya. Jika sesuatu seperti itu terjadi, mungkin VLAN workstation tambahan mulai masuk akal.

Saya tidak mengira ada dokumentasi yang menjelaskan pilihan desain yang dibuat oleh orang yang awalnya mengatur semua ini?

Rob Moir
sumber
Tidak ada dokumentasi sama sekali. Tidak ada Nol. Saya harus menebak mengapa itu diatur seperti itu. Mungkin ketika saya tahu lebih banyak tentang VLAN, logika (atau kurangnya) akan diketahui oleh saya. Beberapa sudah jelas: kantor bisnis, sakelar, server, telepon, tetapi selain itu lantai.
kleefaj
Mungkin orang yang mengaturnya belajar cara membuat VLAN untuk bagian-bagian yang masuk akal kemudian menjadi sedikit gila. Anda tahu bagaimana keadaannya, ketika yang Anda miliki adalah palu dan banyak antusiasme, tidak butuh waktu lama untuk semuanya mulai terlihat seperti paku. Saya kira pertanyaan pada titik ini mungkin: Apakah akan lebih mengganggu / menjengkelkan / apa pun untuk mengubahnya atau membiarkannya apa adanya?
Rob Moir
@kleefaj - sebenarnya kurangnya dokumentasi dalam kasus Anda dapat membantu Anda memahami pengaturan dengan lebih baik karena Anda harus memetakan semuanya dan mendokumentasikannya sendiri (yang tentunya harus Anda lakukan) dan mencari tahu bagaimana segmen yang berbeda berbicara satu sama lain . Karena pengetahuan Anda saat ini tentang VLAN terbatas, ini akan menjadi kesempatan belajar yang bagus untuk Anda dan akan membantu Anda merancang konfigurasi jaringan yang lebih baik untuk org Anda setelah Anda sepenuhnya memahami pengaturan saat ini.
Agustus
0

VLAN memisahkan lalu lintas siaran. Anda tidak memiliki cukup komputer untuk mengkhawatirkan hal itu. VLAN sering tetapi tidak selalu sejajar dengan subnet. VLAN juga memungkinkan Anda menerapkan beberapa ACLs terbatas. ACLs dapat menjadi banyak pemeliharaan dengan sedikit manfaat. Firewall memisahkan lalu lintas lebih baik, ACL pada port switch yang bisa berantakan.

Satu-satunya argumen yang saya lihat untuk menambahkan VLAN adalah jika Anda juga mengubah skema pengalamatan IP Anda. Sekarang, saya pikir hanya dengan 4 lantai yang mungkin berlebihan.

Di sebuah perusahaan yang saya gunakan untuk bekerja karena kami memiliki selusin bangunan di kampus utama kami dan beberapa kampus satelit, jadi kami memiliki skema pengalamatan IP, yang memungkinkan kami untuk mengetahui dari alamat IP apa bangunan itu berada. 2 sen, untuk apa nilainya.

JamesBarnett
sumber