VLAN - Perencanaan?

8

Jaringan kami adalah L2 datar.

Pada titik tertentu kita perlu (saya mau, tapi itu bukan tanggung jawab saya) mulai VLAN turun karena kita jelas akan memiliki banyak obrolan siaran yang sedang berlangsung, dan baru-baru ini salah satu firewall kita telah mencapai tabel arpnya limit (bisa dibilang firewall memiliki batas tabel arp rendah tetapi kita berada di tempat kita dengan itu).

Jadi, bagaimana Anda membuat metodologi untuk VLAN di LAN Anda?

Dalam kasus kami, kami adalah satu situs, tetapi ukuran sebuah kota kecil (kurasa kampus kurasa).

Kami memiliki LAN hub / spoke yang cukup khas dengan beberapa sakelar inti di mana sakelar tepi terhubung, beberapa langsung, beberapa melalui konverter serat ke tembaga.

Edge kit kami adalah campuran Procurve's, Prosafes, beberapa Baystacks yang lebih tua, dll.

Sebagian besar klien kami menggunakan DHCP, beberapa menggunakan IP statis tetapi kami dapat mengatasinya, printer jaringan juga menggunakan IP statis.

Seperti yang saya lihat ada banyak pilihan untuk VLAN berdasarkan lokasi fisik di kampus yaitu setiap saklar tepi di gedung A & B berjalan di VLAN xx, atau itu bisa didasarkan pada faktor lain.

Sederhananya saya belum pernah melakukan ini sebelumnya dan mudah untuk menyelam dan melakukan hal-hal dengan cepat dan kemudian menyesalinya.

Bagaimana Anda melakukannya?

flooble
sumber

Jawaban:

6

Biasanya ada beberapa pembagian langsung yang jelas telah terjadi dan Anda menggunakannya sebagai dasar untuk segmentasi jaringan. Kedengarannya lebih seperti Anda ingin subnet jaringan daripada vlan itu. vlan biasanya didasarkan pada persyaratan administratif, seperti jaringan manajemen, SAN, atau VoIP, dll. Subnet mengikuti vlan tersebut, tetapi juga biasanya membagi berbagai perbedaan fisik (satu per bangunan, lantai, atau konstruksi fisik lainnya).

Sangat sulit untuk merekomendasikan sesuatu yang spesifik tanpa mengetahui apapun tentang jaringan Anda.

Chris S
sumber
+1 untuk mengikuti pembagian yang jelas. Saya sudah memiliki beberapa jaringan di mana "workstation" dan "server" VLAN bekerja dengan baik dan memberi klien ruang bernapas selama beberapa tahun sekarang dan kemungkinan akan lebih baik untuk lebih banyak. Saya juga punya klien dengan pembagian tanggung jawab yang jelas di dalam workstation itu sendiri dan untuk alasan keamanan, VLAN memasukkan mereka ke dalam berbagai "tim".
gravyface
Subnet AIUI akan mengurangi domain broadcast, tetapi tidak akan melakukan apa pun untuk membatasi domain L2 yang merupakan asal tabel ARP dan apa yang akan diselesaikan oleh VLAN?
flooble
1
VLAN adalah cara membuat switch virtual yang dapat mempartisi dan / atau merentang switch fisik. Mereka tidak mengganti subnet dengan cara apa pun, sebaliknya, mereka membutuhkan subnet tambahan. Mereka hanya mengabstraksi fungsi dari implementasi fisik.
Chris S
4

Cara @minarnhere jelas merupakan cara yang harus ditempuh, tetapi jangan hanya dipisah berdasarkan fungsionalitas, tambahkan faktor keamanan, lokasi fisik, dan jumlah host juga, bagi jaringan Anda menjadi VLAN sebanyak yang diperlukan berdasarkan semua faktor ini.

Dengan asumsi switch & router yang sesuai sudah ada maka tidak ada biaya untuk memiliki banyak VLAN dan manfaatnya sangat besar, jika direncanakan dengan benar, overhead admin juga minimal. Jangan membatasi diri Anda dengan batasan artifisial tentang menempatkan semua siswa atau tutor atau kelompok pengguna atau host apa pun ke dalam VLAN tunggal, mengapa Anda tetap ingin melakukannya? Ingatlah bahwa lalu lintas hanya dapat dikontrol pada lapisan 3 sehingga membagi jaringan Anda sehingga Anda dapat membatasi dan mengontrol lalu lintas antar-VLAN, Anda tidak memiliki peluang dengan lalu lintas dalam VLAN.

Cara klasik untuk merancang LAN kampus adalah dengan membagi jaringan menjadi Access, Distribution, dan Core. Banyak sakelar Access layer 2, masing-masing membawa lalu lintas dari satu atau lebih VLAN, akan terhubung ke beberapa sakelar distribusi layer 3 yang merutekan lalu lintas ke sejumlah kecil sakelar inti layer 3.

Semua host Anda harus terhubung ke lapisan Access yang dipecah menjadi VLAN berdasarkan faktor-faktor yang dijelaskan di atas. Setiap lapisan akses VLAN harus, jika mungkin, dibatasi pada satu sakelar fisik (aturan ini hanya perlu dipatahkan jika Anda memiliki server rumahan ganda yang mungkin perlu failover ke sakelar lain dalam VLAN yang sama). Ingatlah bahwa setiap VLAN adalah domain siaran dan Anda ingin membatasi lalu lintas siaran pada masing-masing domain tersebut sebanyak mungkin. Pertimbangkan hanya menggunakan / 24 subnet untuk lapisan akses Anda, mengapa Anda ingin> 250 host dalam satu domain siaran?

Akan ada beberapa, sangat, sangat sedikit, keadaan ketika VLAN perlu tersebar di beberapa switch tetapi ini akan menjadi sangat khusus, manajemen switch mungkin satu (tapi itu masih bisa diperdebatkan), ada sangat sedikit yang lain.

Titik awal yang baik adalah server Anda. Jika mereka berada di lokasi fisik yang sama (kamar, bukan gedung) maka Anda mungkin ingin membaginya menjadi VLAN berdasarkan fungsionalitas tetapi sebaliknya satu VLAN per ~ 200 host akan baik-baik saja. Jelas (?) Server-server yang menghadap Internet harus berada pada jaringan mereka sendiri, lebih disukai terpisah secara fisik, firewall dari kampus (desain DMZ adalah spesialisasi lain, jadi saya tidak akan membahasnya di sini). Server internal Anda juga harus dibagi menjadi yang untuk siswa dan yang hanya untuk admin internal, membaginya menjadi VLAN dengan tepat. Jika beberapa server milik departemen tertentu (misalnya SDM), jika Anda perlu mengontrol lalu lintas ke server tersebut, pertimbangkan untuk menggunakan VLAN hanya untuk mereka.

Jika server tersebar kemudian memasukkannya ke VLAN terpisah berdasarkan lokasi dan fungsionalitas, tidak perlu bagi mereka untuk berada di VLAN yang sama hanya 'karena mereka adalah server' atau hanya 'karena mereka semua server web'.

Pindah ke siswa & staf pengguna Anda. Sebagai permulaan, setiap port atau titik akses tunggal yang, atau bisa, diakses oleh staf non-TI harus dianggap sebagai risiko keamanan dan semua lalu lintas yang berasal dari sana harus diperlakukan sebagai tidak tepercaya. Masukkan ruang kelas Anda ke dalam VLAN berdasarkan jumlah host yang memungkinkan dan, tergantung pada situasinya, kelompok pengguna tetapi jangan membuat kesalahan dengan 'mempercayai' port tertentu, jika tutor perlu masuk ke jaringan admin Anda dari ruang kelas maka mereka harus diberikan metode akses yang sama (VPN?) seolah-olah mereka di rumah atau warung kopi umum.

Jaringan nirkabel harus pada VLAN terpisah dari kabel tetapi dengan kendala yang sama, jika dapat dihindari (tetapi kadang-kadang tidak bisa) tidak menempatkan semua AP ke dalam VLAN lebar kampus, membaginya dengan menggunakan metodologi yang sama dan untuk alasan yang sama seperti kabel.

Telepon IP seharusnya, kejutan, kejutan, berada pada VLAN terpisah dari yang lain, ini difasilitasi pada beberapa merek (Cisco dalam pengalaman saya) oleh telepon yang bernegosiasi dengan sakelar akses untuk memasukkan lalu lintas ke VLAN yang sesuai, tetapi ini jelas membutuhkan saklar untuk dikonfigurasikan dengan benar.

Ada banyak lagi pada desain LAN tetapi di atas adalah awal. Sebagai catatan terakhir, sejauh menyangkut DHCP, gunakan untuk setiap host termasuk server dan printer, keduanya harus memiliki alamat IP yang ditetapkan secara statis berdasarkan alamat MAC mereka. Lingkup (atau cakupan) untuk yang pertama tidak boleh memiliki alamat cadangan, ini berlaku untuk mencegah penyumbatan perangkat secara kasual ke server VLAN tetapi, dan ini berlaku untuk printer juga, intinya adalah bahwa Anda memiliki kontrol pusat terhadap perangkat dan setiap perubahan ditangani secara terpusat daripada mengandalkan insinyur yang berkeliaran di kampus untuk mendapatkan alamat yang benar.

Oke, cukup untuk saat ini, saya harap itu sedikit membantu.

blankabout
sumber
Setelah membaca kembali pertanyaan saya menyadari bahwa OP mungkin tidak mengelola sekolah / kampus kampus yang sebenarnya, hanya kampus seperti lingkungan, jika itu terjadi maka 'ruang kelas' harus diganti dengan 'kantor' dan sejauh lalu lintas yang tidak dipercaya. berjalan, maka itu berlaku untuk setiap port yang dapat diakses oleh siapa pun yang tidak mungkin untuk mematuhi, baik sengaja atau tidak sengaja, dengan kebijakan keamanan jaringan & PC lokal. Semua prinsip lain tentang pemisahan jaringan tetap tidak berubah.
blankabout
1

Seperti yang disebutkan Chris S, VLAN dan subnet adalah hal yang berbeda. NAMUN, kami baru saja menetapkan lingkup subnet dan DHCP terpisah untuk setiap VLAN di kampus sekolah kami. Setiap bangunan memiliki ruang lingkup VLAN / Subnet / DHCP sendiri. Ini membuat manajemen jauh lebih mudah, tetapi mungkin tidak berfungsi jika Anda memiliki kampus yang lebih besar daripada kami. Kami juga menggunakan VLAN terpisah untuk Manajemen Sakelar, server Fisik, telepon VOIP, Nirkabel Siswa, Nirkabel Kelas, Lab Siswa, Server Virtual, Kantor Bisnis, SAN, VPN. Pada dasarnya, kami cukup kecil sehingga setiap diferensiasi yang mungkin mendapatkan VLAN sendiri. (Kami hanya mencapai 25 VLAN, dan saya mulai membuat divisi baru hanya karena saya ingin mengisolasi grup tertentu dari sisa jaringan ...)

Membuat subnet terpisah untuk setiap VLAN mungkin boros, tetapi membuat manajemen lebih mudah, dan memungkinkan konversi IP -> VLAN yang mudah di kepala Anda, jika Anda perlu melakukannya.

Kami menggunakan 10.xxx untuk IP, jadi VLAN1 mendapat 10.1.xx, VLAN8 mendapat 10.8.xx, dll. Setiap VLAN yang membutuhkan DHCP memiliki cakupannya sendiri, tetapi kami tidak membuat cakupan untuk VLAN yang tidak membutuhkannya, seperti Beralih Manajemen.

minamhere
sumber