Чи потрібні VLAN для мого середовища?

Я новий менеджер мережі для школи. Я успадкував середовище, що складається з декількох серверів Windows, близько 100 клієнтів Windows, 10 принтерів, 1 маршрутизатора Cisco, 6 комутаторів Cisco та 1 комутатора HP. Також ми використовуємо VoIP.

У нашій будівлі чотири поверхи. Хости на кожному поверсі призначені для окремої VLAN. Офіс на першому поверсі має власну VLAN. Усі комутатори є на власній VLAN. IP-телефони знаходяться на власній VLAN. І сервери знаходяться на власній VLAN.

Що стосується кількості хостів у мережі, чи справді всі ці VLAN купують мені щось? Я новачок у концепції VLAN, але вона здається надто складною для цього середовища. Або геніальний, і я просто не розумію?

IME Ви знаходитесь у парку балів, де розділення трафіку по мережах покращить продуктивність. Однак поділ VLAN, здається, було прийнято на основі функції вузлів-членів, а не будь-яких зусиль для управління пропускною здатністю. Звичайно, за допомогою цієї кількості вузлів ви можете отримати однакову сукупну пропускну здатність, розумно плануючи, де ви ставите комутатори, а не використовуючи vlans.

Не бачачи детальної схеми і не отримуючи реальних вимірів, важко сказати точно, але я підозрюю, що описана вами установка не дає ніяких переваг від продуктивності та безлічі головних болів адміністратора.

ви можете застосувати списки контролю доступу на маршрутизаторі

Не вагома причина для використання вланів - використовуйте підмережі, брандмауери та комутатори.

Більшість цих VLAN мають сенс для мене. Добре розділити за функціями, так що VLAN для серверів, один для телефонів, а інший для робочих станцій має сенс. Потім ви можете отримати тонкий контроль над трафіком, що протікає між робочими станціями та серверами.

Я не бачу особливого сенсу - мати VLAN для робочих станцій на кожному поверсі. Єдина VLAN для всіх робочих станцій зберігатиме речі красивими та простими. Простягання VLAN через декілька комутаторів / магістралей, ймовірно, не буде проблемою для малої мережі.

Також досить безглуздо підтримувати окрему VLAN для управління комутаторами. Вони можуть щасливо сидіти на сервері VLAN.

Нічого магічного щодо мереж VLAN BTW ... просто окремі сегменти широкомовної мережі, кожен з яких потребує шлюзу за замовчуванням та відповідної конфігурації ACL у мережевих портах.

Ну, може бути корисно мати окремі VLAN для даних (комп'ютери) та VoIP, тому ви можете застосувати якусь пріоритетність трафіку. Окремі VLAN для управління комутаторами також корисні. Окремі VLAN на один поверх здаються завеликими на 100 ПК, якщо тільки ви не плануєте розширюватися в майбутньому.

VLAN дозволяють розділити вашу мережу на менші логічні сегменти; це допомагає як в покращенні керованості, так і в обмеженні зайвого трафіку.

Для такої невеликої мережі насправді це може бути надмірно: ви можете легко обробляти ~ 100 мережевих об'єктів за допомогою однієї підмережі VLAN та IP. Але я думаю, ви повинні дотримуватися цієї конфігурації з двох основних причин:

1) Це покращує керованість; якщо ви знаєте, що сервери знаходяться у 192.168.1.X, а клієнти - у 192.168.100.Y, ними легше керувати. Якщо всі ваші адреси знаходилися в підмережі 192.168.42.Z, як ви могли (легко) їх розрізнити?
2) Він масштабується набагато краще. Якщо ви коли-небудь перейдете від 100 до> 200 мережевих об'єктів, одна / 24 IP-підмережа раптом здасться набагато меншою, а одна більша - дуже легко стане безладом.

Для пуристів: так, я дуже добре знаю, що VLAN та IP-підмережі не обов'язково мають чітке відображення 1: 1; це лише найпоширеніше використання для них, що, як видається, стосується ОП.

Інша перевага цієї конструкції полягає в тому, що ви можете застосовувати списки контролю доступу на маршрутизаторі, так що зв'язок між VLAN обмежений, і ви можете захистити сервери Windows від захоплених студентів.

Я погодився б з відповідями, які ви вже маєте.

Вам потрібні VLAN? Іншими словами, чи вони "необхідні", якщо ми хочемо педантично дотримуватися того, що ви задаєте в заголовку свого питання? Напевно, ні. Це гарна ідея, враховуючи різноманітність вашого трафіку? Напевно, так.

Невірна чи неправильна відповідь, це питання різних конструкцій і того, що дизайнер сподівався досягти ...

Виходячи з того, що ви сказали, я погоджуюся з коментарями про те, що вам не потрібна VLAN "за підлогу", але не знаючи більше про ваше налаштування (хоча я менеджер мережі коледжу, тому я маю загальну ідею) можливе для всіх, що ми знаємо що у вас є класи програмування на одному поверсі, адміністраторський офіс на іншому і т. д., а поточні VLAN на робочій станції - це не про розділення поверхів, а про розділення функцій , тому класи програмування не можуть порушити використання локальної мережі для обробки тексту в на інших уроках студенти не можуть легко підключитися до адміністративних робочих станцій, можливо, у вас є вимога до спеціальних ПК для електронних іспитів тощо. Якщо щось подібне відбувається, можливо, додаткові VLAN з робочої станції починають мати більше сенсу.

Я не думаю, що існує жодна документація, яка б пояснювала вибір дизайну, зробленого тим, хто спочатку все це налаштував?

VLAN розбивають трансляцію трафіку. Вам не вистачає комп’ютерів, щоб про це турбуватися. VLAN часто, але не завжди узгоджуються з підмережами. VLAN також дозволяють вам застосовувати деякі обмежені ACL-комутатори. Перемикання ACL-файлів може бути великим обслуговуванням з невеликою користю. Брандмауери краще розділяють трафік, ACL на порти комутаторів, які можуть забруднитися.

Єдиний аргумент, який я бачу для додавання VLAN, це якщо ви також змінили схему IP-адреси. Зараз я думаю, що лише 4 поверхи можуть бути непосильними.

У компанії, в якій я працюю, у нас було десяток будівель у нашому головному кампусі та кілька супутникових кампусів, тому у нас була схема IP-адресації, яка дозволила нам повідомити за IP-адресою, в якій побудові пристрою. Це мій 2 копійки, за що це варто.