Здається, що хтось із вашої організації хоче створити VLAN без розуміння причин, чому ви це зробите, та плюси / мінуси, пов'язані з цим. Здається, що вам потрібно зробити деякі вимірювання і придумати деякі реальні причини для цього, перш ніж рухатись вперед, принаймні, з божевільною дурістю «VLAN для кімнати».
Не слід починати розбивати Ethernet LAN у VLAN, якщо у вас немає вагомих причин для цього. Найкращі дві причини:
Пом'якшення проблем у роботі. Локальні мережі Ethernet не можуть змінюватись нескінченно довго. Надмірна трансляція або затоплення кадрів до невідомих напрямків обмежать їх масштаб. Будь-яке з цих умов може бути викликане тим, що єдиний домен широкомовної передачі в Ethernet LAN занадто великий. Трансляцію трансляції легко зрозуміти, але затоплення кадрів до невідомих напрямків дещо незрозуміліше ( настільки, що жоден з інших плакатів тут навіть не згадує!). Якщо у вас так багато пристроїв, що таблиці ваших комутаторів MAC переповнені, комутатори будуть змушені переливати непередавані кадри з усіх портів, якщо призначення кадру не відповідає жодним записам у таблиці MAC. Якщо у вас є достатньо великий одиночний домен в локальній мережі Ethernet з профілем трафіку, який розміщує розмови нечасто (тобто досить рідко, щоб їх записи застаріли поза таблицями MAC на ваших комутаторах), ви також можете отримати надмірне затоплення кадрів .
Бажання обмежити / контролювати трафік, що рухається між хостами на рівні 3 або вище. Ви можете зробити хакерство, вивчаючи трафік на рівні 2 (ala Linux ebtables), але цим важко керувати (оскільки правила прив’язані до MAC-адрес, а зміна NIC вимагає змін правил) може призвести до того, що, як видається, насправді, дуже дивне поведінку (робити Наприклад, прозоре розміщення HTTP на рівні 2 є химерним та веселим, але вкрай неприродним та може бути дуже неінтуїтивним для усунення несправностей), і це, як правило, важко зробити на нижчих шарах (тому що інструменти другого шару схожі на палички і скелі при вирішенні проблем з шаром 3+). Якщо ви хочете керувати трафіком між хостами IP (або TCP, або UDP тощо), а не атакувати проблему на рівні 2, вам слід підмережу та наклеювати між мережами міжмережі між брандмауерами та маршрутизаторами з ACL.
Проблеми з виснаженням пропускної здатності (якщо вони не спричинені трансляцією пакетів або затопленням кадрів) зазвичай не вирішуються за допомогою VLAN. Вони трапляються через відсутність фізичного підключення (занадто мало NIC на сервері, занадто мало портів у групі агрегації, необхідність перейти до більш швидкої швидкості порту) і їх неможливо вирішити шляхом підмережі або розгортання VLAN з тих пір, як це виграло не збільшить доступну кількість пропускної здатності.
Якщо у вас немає навіть чогось простого, як, наприклад, MRTG, що веде статистику трафіку графіків на порт на ваших комутаторах, це справді ваш перший порядок бізнесу, перш ніж починати потенційно впроваджувати вузькі місця з цілеспрямованою, але неінформованою сегментацією VLAN. Підрахунок необроблених байтів - це гарний початок, але слід дотримуватися цілеспрямованого обнюхування, щоб отримати детальнішу інформацію про профілі трафіку.
Як тільки ви дізнаєтесь, як рухається трафік у вашій локальній мережі, ви можете почати замислюватися про сегментацію локальної мережі з причин продуктивності.
Якщо ви дійсно збираєтесь спробувати обмежити доступ до пакетів та потокового рівня між VLAN, будьте готові зробити багато роботи з прикладним програмним забезпеченням та вивчити / реверсувати інженерію, як він спілкується по дроту. Обмеження доступу хостів до серверів часто може бути здійснено за допомогою функцій фільтрації на серверах. Обмеження доступу на провід може забезпечити помилкове почуття безпеки та затишшя адміністраторів у поступливості, коли вони думають: "Ну, мені не потрібно налаштовувати додаток. Надійно, оскільки господарі, які можуть спілкуватися з додатком. Обмежені" мережа '. " Я б радив вам перевірити безпеку конфігурації вашого сервера, перш ніж я почати обмежувати зв’язок між хостом і хостом.
Зазвичай ви створюєте VLAN в Ethernet і наносите на них IP-підмережі 1 на 1. Ви будете потребувати ЛО в IP - підмереж для того, що ви описуєте, і , можливо , багато маршрутизації записів таблиці. Краще сплануйте ці підмережі з VLSM, щоб узагальнити записи таблиці таблиці маршрутизації, так?
(Так, так - є способи не використовувати окрему підмережу для кожної VLAN, але дотримуючись суворо "простого ванільного" світу, ви створили б VLAN, придумайте IP-підмережу для використання у VLAN, призначте якийсь маршрутизатор IP-адресу у цій VLAN, приєднайте цей маршрутизатор до VLAN або фізичним інтерфейсом, або віртуальним підінтерфейсом на маршрутизаторі, підключіть деякі хости до VLAN та призначте їм IP-адреси у визначеній вами підмережі та направляйте їхній трафік у та із мережі VLAN.)