Sind VLANs für meine Umgebung erforderlich?

10

Ich bin der neue Netzwerkmanager für eine Schule. Ich habe eine Umgebung geerbt, die aus mehreren Windows-Servern, etwa 100 Windows-Clients, 10 Druckern, 1 Cisco-Router, 6 Cisco-Switches und 1 HP-Switch besteht. Außerdem verwenden wir VoIP.

Es gibt vier Stockwerke in unserem Gebäude. Die Hosts auf jeder Etage sind einem separaten VLAN zugeordnet. Ein Büro im ersten Stock verfügt über ein eigenes VLAN. Alle Switches befinden sich in einem eigenen VLAN. Die IP-Telefone befinden sich in einem eigenen VLAN. Und die Server befinden sich in einem eigenen VLAN.

Kaufen mir all diese VLANs für die Anzahl der Hosts im Netzwerk wirklich etwas? Ich bin neu im VLAN-Konzept, aber es scheint für diese Umgebung zu kompliziert. Oder ist es genial und ich verstehe es einfach nicht?

cisco switch vlan network-design kleefaj
quelle
Diese andere Frage könnte für Sie nützlich sein, wenn sie die Vorzüge des Subnetzes erörtert. Ähnliche Probleme kommen in Betracht und Sie könnten die Antworten dort hilfreich finden: serverfault.com/questions/2591/…
Tall Jeff

Antworten:

0

IME befinden Sie sich im Ball Park, wo die Trennung des Datenverkehrs über Netzwerke die Leistung verbessert. Die Aufteilung der VLANs scheint jedoch eher auf der Grundlage der Funktion der Mitgliedsknoten als auf der Grundlage der Verwaltung der Bandbreite entschieden worden zu sein. Mit dieser Anzahl von Knoten könnten Sie sicherlich die gleiche Gesamtbandbreite erhalten, indem Sie intelligent planen, wo Sie Switches platzieren, anstatt vlans zu verwenden.

Ohne ein detailliertes Diagramm zu sehen und einige echte Messungen zu erhalten, ist es schwer zu sagen, aber ich vermute, dass das von Ihnen beschriebene Setup Ihnen keine Leistungsvorteile und viele Probleme mit dem Administrator bringt.

Sie können Zugriffssteuerungslisten auf dem Router erzwingen

Kein guter Grund für die Verwendung von vlans - verwenden Sie Subnetze, Firewalls und Switches.

symcbean
quelle
Wie sehen Sie die Verbesserung der Leistung? Was genau an VLANs verbessert die Leistung? Vielen Dank.
Joeqwerty
1
Was genau an VLANs verbessert die Leistung? Nichts. Durch paralleles Weiterleiten von CSMA / CD-Verkehr über mehr als eine Leitung (was basierend auf src / dst am einfachsten ist) werden Kollisionen verringert, die optimale und effektive Bandbreite erhöht.
Symcbean
Das habe ich gedacht, du meintest es; Diese VLANs helfen dabei, die Bedingungen zu beseitigen, die zu einer Leistungsminderung führen, aber die Leistung nicht aktiv steigern. Danke fürs klarstellen.
Joeqwerty
5

Die meisten dieser VLANs sind für mich sinnvoll. Es ist gut, nach Funktionen aufzuteilen, daher ist ein VLAN für Server, eines für Telefone und eines für Workstations sinnvoll. Sie können dann den Datenverkehr zwischen Workstations und Servern genau steuern.

Ich sehe nicht viel Sinn darin, VLANs für Workstations auf jeder Etage zu haben. Ein einziges VLAN für alle Workstations würde die Dinge schön und einfach halten. Das Überspannen von VLANs über mehrere Switches / Trunks ist für ein so kleines Netzwerk wahrscheinlich kein Problem.

Es ist auch ziemlich sinnlos, ein separates VLAN für die Switch-Verwaltung zu verwalten. Sie können glücklich im Server-VLAN sitzen.

Übrigens nichts Magisches an VLANs ... nur separate Broadcast-Netzwerksegmente, für die jeweils ein Standard-Gateway und die entsprechende ACL-Konfiguration an den Netzwerkports erforderlich sind.

Chris Thorpe
quelle
Tatsächlich ist ein separates Netzwerk für die Verwaltung in den meisten Unternehmensnetzwerken ein Muss, um interne Angriffe auf Geräte zu verhindern. Das Einrichten eines Ports nur für die Verwaltung ist einfach und wird dringend empfohlen
g18c
4

Es könnte nützlich sein, separate VLANs für Daten (Computer) und VoIP zu haben, damit Sie eine Art Verkehrspriorisierung anwenden können. Separate VLANs für die Verwaltung von Switches sind ebenfalls nützlich. Separate VLANs pro Etage scheinen für 100 Pcs möglicherweise zu viel zu sein, es sei denn, Sie planen eine zukünftige Erweiterung.

Herr Shunz
quelle
Stimme voll und ganz zu. Natürlich sollten Sie Ihre VOIP trennen. Die Trennung Ihrer Server und der Netzwerkverwaltung ist in Ordnung. Ein Drucker-VLAN kann so oder so argumentiert werden. Das Trennen nach Boden ist bei Ihrer Umgebungsgröße übertrieben.
GWaldo
1

Mit VLANs können Sie Ihr Netzwerk in kleinere logische Segmente unterteilen. Dies hilft sowohl bei der Verbesserung der Verwaltbarkeit als auch bei der Begrenzung unnötigen Broadcast-Verkehrs.

Für ein so kleines Netzwerk könnte es tatsächlich ein Overkill sein: Sie könnten problemlos ~ 100 Netzwerkobjekte mit einem einzigen VLAN- und IP-Subnetz verarbeiten. Aber ich denke, Sie sollten sich aus zwei Hauptgründen an diese Konfiguration halten:

1) Es verbessert die Verwaltbarkeit; Wenn Sie wissen, dass sich Server in 192.168.1.X und Clients in 192.168.100.Y befinden, ist es einfacher, sie zu verwalten. Wenn alle Ihre Adressen im Subnetz 192.168.42.Z wären, wie könnten Sie sie (leicht) unterscheiden?
2) Es skaliert viel besser. Wenn Sie jemals von ~ 100 auf> 200 Netzwerkobjekte wechseln, erscheint ein einzelnes / 24-IP-Subnetz plötzlich viel kleiner, und ein einzelnes größeres wird sehr leicht zu einem Chaos.

Für die Puristen: Ja, ich weiß sehr gut, dass VLANs und IP-Subnetze nicht unbedingt eine strikte 1: 1-Zuordnung haben. Dies ist nur die häufigste Verwendung für sie, auf die sich das OP zu beziehen scheint.

Massimo
quelle
2
IP-Subnetze sind eine Möglichkeit, logische Netzwerke zu unterteilen - ebenso wie VLANs. Beides zu verwenden ist unnötig und verkompliziert die Situation. Für ein IP-Netzwerk bietet die Verwendung von Subnetzen im Vergleich zu vlans zusätzliche Vorteile - letzteres ist meiner Meinung nach redundant.
Symcbean
1
Und wie genau würden Sie IP-Subnetze ohne VLANs und Layer-3-Switches verwenden, wenn Sie keine Router in der Nähe hätten?
Massimo
@symcbean: Ja - was Massimo gesagt hat. Ich bin ganz Ohr.
Evan Anderson
Layer-3-Schalter? keine Router? - Ich bin sicher, Sie fügen der ursprünglichen Frage tagelang Verzierungen hinzu, auf die meine Antwort nicht eingeht.
Symcbean
1
@symcbean, wenn Sie Ihr Netzwerk in mehrere IP-Subnetze aufteilen möchten, benötigen Sie auch etwas, um sie auf Schicht 2 aufzuteilen, es sei denn, Sie möchten viele IP-Subnetze auf demselben Ethernet-Segment ausführen. und selbst wenn Sie das tun wollten, würden Sie immer noch etwas brauchen, um sie zum Sprechen zu bringen, dh einen Router (oder eine Firewall). Ein einzelner guter Switch wie ein Cisco-Switch kann sowohl VLANs für die Ethernet-Segmentierung als auch VLAN-IP-Schnittstellen für das Routing verwenden. Wenn Sie sie jedoch nicht verwenden möchten (warum?), benötigen Sie verschiedene physische Switches und mindestens einen physischen Router.
Massimo
0

Der andere Vorteil dieses Entwurfs besteht darin, dass Sie Zugriffssteuerungslisten auf dem Router erzwingen können, sodass die Kommunikation zwischen VLANs eingeschränkt ist, und dass Sie die Windows-Server vor begeisterten Schülern schützen können.

Mitch Miller
quelle
0

Ich würde den Antworten zustimmen, die Sie bereits haben.

Haben Sie benötigen VLANs? Mit anderen Worten, sind sie "notwendig", wenn wir uns pedantisch an das halten wollen, was Sie im Titel Ihrer Frage fragen? Wahrscheinlich nicht. Ist es eine gute Idee angesichts der Vielfalt des Verkehrs, den Sie haben? Wahrscheinlich ja.

Es gibt keine richtige oder falsche Antwort, es geht um verschiedene Designs und darum, was der Designer erreichen wollte ...

Basierend auf dem, was Sie gesagt haben, stimme ich den Kommentaren zu, dass kein VLAN "pro Etage" benötigt wird, aber ohne mehr über Ihr Setup zu wissen (obwohl ich ein College-Netzwerkmanager bin, also habe ich eine allgemeine Vorstellung), ist es nach allem, was wir wissen, möglich Sie haben Programmierklassen auf einer Etage, ein Verwaltungsbüro auf einer anderen Etage usw. und in den aktuellen Workstation-VLANs geht es nicht um das Trennen von Etagen , sondern um das Trennen von Funktionen , sodass die Programmierklassen die Verwendung des LAN für die Textverarbeitung möglicherweise nicht stören können In anderen Lektionen können die Schüler keine einfache Verbindung zu Verwaltungsarbeitsplätzen herstellen. Möglicherweise benötigen Sie dedizierte PCs für elektronische Prüfungen usw. Wenn so etwas passiert, sind die zusätzlichen Workstation-VLANs möglicherweise sinnvoller.

Ich nehme an, es gibt keine Dokumentation, in der die Designentscheidungen der Person erläutert werden, die dies ursprünglich eingerichtet hat.

Rob Moir
quelle
Überhaupt keine Dokumentation. Keiner. Null. Ich muss raten, warum es so eingerichtet ist, wie es ist. Wenn ich mehr über VLANs weiß, wird mir vielleicht die Logik (oder das Fehlen von) bekannt. Einige sind klar: Geschäftsstelle, Switches, Server, Telefone, aber ansonsten ist es nach Etage.
Kleefaj
Vielleicht hat die Person, die es eingerichtet hat, gelernt, wie man VLANs für die Teile erstellt, in denen es Sinn machte, und ist dann einfach ein bisschen verrückt geworden. Sie wissen, wie es ist, wenn Sie nur einen Hammer und viel Begeisterung haben, dauert es nicht lange, bis alles wie ein Nagel aussieht. Ich denke, die Frage an dieser Stelle könnte sein: Wird es störender / nerviger / was auch immer sein, es zu ändern oder es so zu lassen, wie es ist?
Rob Moir
@kleefaj - tatsächlich kann das Fehlen von Dokumentation in Ihrem Fall Ihnen helfen, das Setup besser zu verstehen, da Sie alles abbilden und selbst dokumentieren müssen (was Sie auf jeden Fall tun sollten) und herausfinden müssen, wie die verschiedenen Segmente miteinander sprechen . Da Ihr aktuelles Wissen über VLANs begrenzt ist, ist dies eine großartige Lernmöglichkeit für Sie und hilft Ihnen, eine bessere Netzwerkkonfiguration für Ihre Organisation zu entwerfen, sobald Sie das aktuelle Setup vollständig verstanden haben.
August
0

VLANs trennen den Broadcast-Verkehr. Sie haben nicht genug Computer, um sich darüber Sorgen zu machen. VLANs werden häufig, aber nicht immer mit Subnetzen ausgerichtet. Mit VLANs können Sie auch einige eingeschränkte ACLs anwenden. Switch-ACLs können mit geringem Nutzen viel Wartung leisten. Firewalls trennen den Datenverkehr besser, ACLs an Switch-Ports können unordentlich werden.

Das einzige Argument, das ich zum Hinzufügen von VLANs sehe, ist, wenn Sie auch Ihr IP-Adressierungsschema ändern. Jetzt denke ich mit nur 4 Etagen, die übertrieben sein können.

In einer Firma, für die ich früher gearbeitet habe, hatten wir ein Dutzend Gebäude auf unserem Hauptcampus und einige Satellitencampusse, also hatten wir ein IP-Adressierungsschema, mit dem wir anhand einer IP-Adresse erkennen konnten, in welchem ​​Gebäude sich ein Gerät befand 2 Cent für das, was es wert ist.

JamesBarnett
quelle