Wie viele VLANs sind zu wenige und zu viele?

23

Wir betreiben derzeit ein Netzwerk mit mehr als 800 PCs und mehr als 20 Servern. Die Netzwerkinfrastruktur entspricht der von Core Switch 10 GB -> Area Switch 2 GB -> Local Switch 1 GB -> Desktop. Alle laufenden 3Com-Geräte (1).

Wir haben 3 Bereichsschalter für vier Bereiche (A, B, C, D wird mit dem Kern zusammengeführt). An jeden Bereichsschalter sind zwischen 10 und 20 lokale Schalter angeschlossen. Es gibt auch einen Backup-Core-Switch, der weniger mit Strom versorgt wird, aber wie der Haupt-Core-Switch angeschlossen ist.

Wir haben auch ein IP-Telefonsystem. Die Computer / Server und Switches befinden sich in einem IP-Bereich von 10.x, die Telefone in einem Bereich von 192.168.x. Computer müssen im Allgemeinen nicht miteinander kommunizieren, außer in Computerlabors. Sie müssen jedoch in der Lage sein, mit den meisten unserer Server (AD, DNS, Exchange, Dateispeicherung usw.) zu kommunizieren.

Bei der Einrichtung wurde entschieden, dass wir drei VLANs haben sollten, eines für Switches und Computer, eines für Telefone und eines für die Serverreplikation (dies war gegen den Rat der 3Com-Ingenieure). Das Netzwerk ist seit diesem Zeitpunkt stabil und funktionsfähig (2), aber wir haben jetzt begonnen, ein Upgrade auf die SAN- und Virtualisierungsumgebung durchzuführen. Jetzt ist es sinnvoll, diese neue Infrastruktur in separate VLANs zu unterteilen, und es erscheint sinnvoll, zu überdenken, wie unsere VLANs eingerichtet sind.

Es wird nun vorgeschlagen, dass VLANs raumweise eingerichtet werden, dh ein Computerlabor mit mehr als 5 PCs sollte ein eigenes VLAN sein. Wenn wir diesem Modell folgen, werden wir mindestens 25 "neue" VLANs in Betracht ziehen sowie die VLANS für SAN / Virtual-Server. Was mir übermäßig viel Verwaltungsaufwand bedeutet, obwohl ich sehr glücklich bin, dass ich mich geirrt habe.

Was scheint die beste Vorgehensweise zu sein? Gibt es eine bestimmte Anzahl von PCs, die in einem VLAN nicht über- / unterschritten werden sollten?

(1) Die 3Com-Switches (3870 & 8800) routen zwischen VLANs anders als einige andere, es ist kein separater Router erforderlich, da sie Layer3 sind.

(2) Manchmal treten hohe Verwerfungsraten oder STP-Änderungen auf, und 3Com Network Director meldet, dass Switches unterlastet sind und nur langsam auf Pings reagieren. einmal keine ahnung warum)

Wannen
quelle

Antworten:

36

Es hört sich so an, als ob jemand in Ihrem Unternehmen VLANs erstellen möchte, ohne die Gründe dafür und die damit verbundenen Vor- und Nachteile zu kennen. Es hört sich so an, als müssten Sie eine Messung durchführen und sich einige echte Gründe dafür ausdenken, bevor Sie fortfahren, zumindest mit der wahnsinnigen Dummheit "VLAN für einen Raum".

Sie sollten ein Ethernet-LAN ​​erst dann in VLANs aufteilen, wenn Sie gute Gründe dafür haben. Die besten zwei Gründe sind:

  • Leistungsprobleme mindern. Ethernet-LANs können nicht unbegrenzt skaliert werden. Übermäßige Sendungen oder das Überfluten von Frames an unbekannte Ziele schränken deren Umfang ein. Eine dieser beiden Bedingungen kann dadurch verursacht werden, dass eine einzelne Broadcast-Domäne in einem Ethernet-LAN ​​zu groß wird. Der Broadcast-Verkehr ist leicht zu verstehen, aber das Überfluten von Frames zu unbekannten Zielen ist etwas dunkler ( so sehr, dass keines der anderen Poster hier es überhaupt erwähnt!). Wenn Sie so viele Geräte erhalten, dass Ihre Switch-MAC-Tabellen überlaufen, werden die Switches gezwungen, Nicht-Broadcast-Frames über alle Ports zu übertragen, wenn das Ziel des Frames keinen Einträgen in der MAC-Tabelle entspricht. Wenn Sie eine ausreichend große einzelne Broadcast-Domäne in einem Ethernet-LAN ​​mit einem Datenverkehrsprofil haben, bei dem Hosts nur selten miteinander kommunizieren (dh, wenn ihre Einträge aus den MAC-Tabellen auf Ihren Switches veraltet sind), kann es auch zu einer übermäßigen Überflutung von Frames kommen .

  • Der Wunsch, den Datenverkehr zwischen Hosts auf Schicht 3 oder höher zu begrenzen / zu steuern. Sie können einige Hacker-Aktionen durchführen, um den Datenverkehr auf Schicht 2 (unter anderem Linux ebtables) zu untersuchen. Dies ist jedoch schwierig zu verwalten (da Regeln an MAC-Adressen gebunden sind und das Ändern von NICs Regeländerungen erforderlich macht) Das transparente Proxying von HTTP auf Ebene 2 ist beispielsweise ausgeflippt und unterhaltsam, aber völlig unnatürlich und kann bei der Fehlerbehebung sehr unintuitiv sein. In niedrigeren Ebenen ist dies im Allgemeinen schwierig (da Tools auf Ebene 2 wie Sticks aussehen) und rockt den Umgang mit Schicht 3+ Bedenken). Wenn Sie den IP-Verkehr (oder TCP- oder UDP-Verkehr usw.) zwischen Hosts steuern möchten, anstatt das Problem auf Ebene 2 anzugreifen, sollten Sie Firewalls / Router mit ACLs zwischen den Subnetzen einbinden.

Bandbreitenprobleme (es sei denn, sie werden durch Broadcast-Pakete oder Frame-Flooding verursacht) werden in der Regel nicht mit VLANs behoben. Sie treten aufgrund mangelnder physischer Konnektivität auf (zu wenige Netzwerkkarten auf einem Server, zu wenige Ports in einer Aggregationsgruppe, die Notwendigkeit, auf eine schnellere Portgeschwindigkeit zu wechseln) und können nicht durch Subnetzbildung oder Bereitstellung von VLANs behoben werden, da dies gewonnen hat Erhöhen Sie nicht die verfügbare Bandbreite.

Wenn Sie nicht einmal über eine einfache Methode wie MRTG verfügen, mit der grafische Statistiken zum Datenverkehr pro Port auf Ihren Switches erstellt werden, ist dies wirklich Ihre erste Aufgabe, bevor Sie potenziell Engpässe mit einer wohlmeinenden, aber nicht informierten VLAN-Segmentierung einführen . Raw-Byte-Zählungen sind ein guter Anfang, aber Sie sollten gezieltes Sniffing durchführen, um weitere Details zu den Verkehrsprofilen zu erhalten.

Sobald Sie wissen, wie sich der Datenverkehr in Ihrem LAN bewegt, können Sie aus Leistungsgründen über eine Segmentierung des LAN nachdenken.

Wenn Sie wirklich versuchen möchten, den Zugriff auf Paket- und Stream-Ebene zwischen VLANs zu unterbinden, müssen Sie sich darauf vorbereiten, viel Beinarbeit mit Anwendungssoftware zu leisten und zu lernen, wie diese über das Netzwerk kommuniziert. Die Einschränkung des Zugriffs von Hosts auf Server kann häufig durch Filterfunktionen auf den Servern erreicht werden. Das Einschränken des Zugriffs auf die Leitung kann zu einem falschen Sicherheitsgefühl führen und Administratoren zu einer Selbstzufriedenheit bringen, bei der sie denken: "Nun, ich muss die App nicht sicher konfigurieren, da die Hosts, die mit der App kommunizieren können, durch" die "eingeschränkt werden Netzwerk'." Ich empfehle Ihnen, die Sicherheit Ihrer Serverkonfiguration zu überprüfen, bevor Sie die Host-zu-Host-Kommunikation über das Kabel einschränken.

In der Regel erstellen Sie VLANs in Ethernet und ordnen ihnen IP-Subnetze 1: 1 zu. Du wirst einen brauchen LOT von IP - Subnetze für das, was Sie beschreiben, und möglicherweise eine Menge von Tabelleneinträgen Routing. Planen Sie diese Subnetze besser mit VLSM, um Ihre Routing-Tabelleneinträge zusammenzufassen, oder?

(Ja, ja - es gibt Möglichkeiten, nicht für jedes VLAN ein eigenes Subnetz zu verwenden, sondern in einer streng "einfachen" Welt ein VLAN zu erstellen. Überlegen Sie sich ein IP-Subnetz, das im VLAN verwendet werden soll, und weisen Sie einen Router zu eine IP-Adresse in diesem VLAN, verbinden Sie diesen Router mit dem VLAN, entweder mit einer physischen Schnittstelle oder einer virtuellen Subschnittstelle auf dem Router, verbinden Sie einige Hosts mit dem VLAN und weisen Sie ihnen IP-Adressen in dem von Ihnen definierten Subnetz zu und leiten Sie ihren Datenverkehr in und aus dem VLAN.)

Evan Anderson
quelle
2
Dies ist eine hervorragende Erklärung. Ich möchte nur hinzufügen, dass die Segmentierung mit der meisten modernen Hardware nicht so kompliziert ist, solange Sie erkennen, dass VLANs zwischen diesen geroutet werden müssen. Es wird Ihnen nicht viel nützen, über ein supereffizientes VLAN-Setup zu verfügen, das einen stark überlasteten Router auf einem Stick verwendet, um den Verkehr zwischen den Segmenten weiterzuleiten.
Greeblesnort
2

VLANs sind nur zur Einschränkung des Broadcast-Verkehrs wirklich nützlich. Wenn etwas viel Broadcasting leisten soll, trennen Sie es in ein eigenes VLAN, sonst würde ich mich nicht darum kümmern. Möglicherweise möchten Sie eine virtualisierte Duplizierung eines Live-Systems im selben Netzwerk haben und denselben Adressbereich verwenden, was wiederum ein separates VLAN wert sein könnte.

David Pashley
quelle
Derzeit wird XP ohne WINS ausgeführt. Wenn Sie einen nbtstat -r-Befehl ausführen, scheint dies darauf hinzudeuten, dass der Broadcast-Verkehr sehr hoch ist.
Tubs
1
Messen Sie es mit etwas wie Wireshark und sehen Sie, was los ist. WINS ist keine schreckliche Sache. Wenn Sie feststellen, dass viele NetBIOS-Namenssuchanfragen eingehen, versuchen Sie entweder, die richtigen Namen in DNS abzurufen, um die Anfragen zu verhindern, oder führen Sie einfach WINS aus.
Evan Anderson
2

VLANs eignen sich als zusätzliche Sicherheitsstufe. Ich weiß nicht, wie 3Com damit umgeht, aber normalerweise können Sie verschiedene Funktionsgruppen in verschiedene VLANs unterteilen (z. B. Buchhaltung, WLAN usw.). Sie können dann steuern, wer Zugriff auf ein bestimmtes VLAN hat.

Ich glaube nicht, dass es einen signifikanten Leistungsverlust gibt, wenn sich viele Computer im selben VLAN befinden. Ich finde es unpraktisch, LAN in einem Raum nach Raum zu unterteilen, aber ich weiß auch nicht, wie 3Com damit umgeht. Normalerweise ist die Richtlinie nicht die Größe, sondern die Sicherheit oder der Betrieb.

Tatsächlich sehe ich keinen Grund, das LAN in verschiedene VLANs zu unterteilen, wenn es keine Sicherheits- oder Betriebsgewinne gibt.

imagodei
quelle
1

Sofern Sie nicht über 25 Test- und Entwicklungsgruppen verfügen, die das Netzwerk regelmäßig mit Broadcast-Fluten stören, sind 25 VLANs pro Raum 24 zu viele.

Offensichtlich benötigt Ihr SAN ein eigenes VLAN und nicht dasselbe VLAN wie das LAN und der Internetzugang der virtuellen Systeme! Dies kann alles über einen einzelnen Ethernet-Port auf dem Host-System erfolgen, sodass Sie sich dort keine Sorgen über die Aufteilung dieser Funktionen machen müssen.

Wenn Sie Leistungsprobleme haben, sollten Sie erwägen, Ihr Telefon und Ihr SAN nicht nur auf VLANs, sondern auch auf separater Netzwerkhardware zu installieren.

kmarsh
quelle
0

Es wird immer Broadcast-Verkehr geben, egal ob es sich um Broadcasts mit Namensauflösung, ARP-Broadcasts usw. handelt. Das Wichtigste ist, den Umfang des Broadcast-Verkehrs zu überwachen. Wenn es 3-5% des gesamten Datenverkehrs überschreitet, ist es ein Problem.

VLANs eignen sich gut zum Verringern der Größe von Broadcast-Domänen (wie von David angegeben) oder für die Sicherheit oder zum Erstellen dedizierter Sicherungsnetzwerke. Sie sind nicht wirklich als "Management" -Domänen gedacht. Darüber hinaus erhöhen Sie die Routing-Komplexität und den Overhead Ihres Netzwerks, indem Sie VLANs implementieren.

Joeqwerty
quelle
Ich war bis zu dem Zeitpunkt bei Ihnen, an dem Sie das Routing erwähnen. Das Routing ist kostenintensiv, aber in der Regel leitet Hardware, die L2 / L3 verwendet, Pakete von einem vlan zu einem anderen (und von einem Port zu einem anderen) mit der gleichen Geschwindigkeit weiter, als würde sie über L2 weiterleiten.
Chris
Es stimmt, ich habe im ursprünglichen Beitrag nicht verstanden, dass die 3COM-Switches Datenverkehr zwischen VLANs leiten können, ohne dass Router erforderlich sind (daher gehe ich davon aus, dass es sich um L3-Switches handelt). Vielen Dank.
Joeqwerty
Sie arbeiten möglicherweise mit Kabelgeschwindigkeit, müssen jedoch noch konfiguriert und verwaltet werden, selbst wenn sie nur Layer-3-Entitäten innerhalb von Switches sind. Wenn sie Pakete auf Schicht 3 "vermitteln", sind sie Router.
Evan Anderson
0

Im Allgemeinen sollten Sie die Verwendung von VLANs nur in Betracht ziehen, wenn Sie Geräte unter Quarantäne stellen müssen (z. B. in einem Bereich, in dem Benutzer ihre eigenen Laptops einbauen können oder wenn Sie über eine kritische Serverinfrastruktur verfügen, die geschützt werden muss) oder wenn Ihre Broadcastdomäne dies ist zu hoch.

Broadcast-Domänen können in der Regel etwa 1000 Geräte groß sein, bevor Probleme in 100-Mbit-Netzwerken auftreten. Wenn Sie mit relativ lauten Windows-Bereichen arbeiten, würde ich dies auf 250 Geräte reduzieren.

In den meisten modernen Netzwerken sind keine VLANs erforderlich, es sei denn, Sie führen diese Quarantäne durch (mit einer geeigneten Firewall, die natürlich ACLs verwendet) oder beschränken die Übertragung.

Dotwaffle
quelle
1
Sie sind hilfreich, um zu verhindern, dass das Nugget in der Buchhaltung eine Webcam mit der IP des Mailservers einrichtet ...
chris
0

Sie sind auch nützlich, um zu verhindern, dass DHCP-Broadcasts unerwünschte Netzwerkgeräte erreichen.


quelle
1
Die Minderung von Leistungsproblemen wurde bereits erwähnt. Vielen Dank.
Chris S