Скільки VLAN є занадто мало і занадто багато?


23

Зараз ми працюємо з мережею 800+ ПК та 20+ серверів, мережева інфраструктура проходить по лінії Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop. Все під управлінням 3Com обладнання (1).

У нас є 3 перемикачі області для чотирьох областей (A, B, C, D об'єднані з сердечником), кожен перемикач області буде мати між ними 10 і 20 локальних комутаторів. Існує також резервний вимикач основного ядра, що працює менше, але підключений як основний перемикач основних ядер.

Також у нас є система IP-телефонів. Комп'ютери / сервери та комутатори знаходяться в діапазоні 10x ip, телефони - у діапазоні 192.168.x. Комп'ютери, як правило, не повинні спілкуватися один з одним, крім комп'ютерних лабораторій, але вони повинні мати можливість спілкуватися з більшістю наших серверів (AD, DNS, Exchange, зберігання файлів тощо).

Коли ми налаштувались, було вирішено мати 3 VLAN, одну для комутаторів та комп’ютерів, одну для телефонів та одну для реплікації сервера (це було проти порад інженерів 3Com). Мережа стабільна та працює з цього моменту (2), але зараз ми почали переходити на середовище SAN та Virtualisation Environement. Тепер розділити цю нову інфраструктуру на окремі VLAN має сенс, і переконатися в тому, як налаштовані наші VLAN, здається розумним.

Зараз пропонується встановити VLAN в кімнаті за кімнатою, тобто комп'ютерна лабораторія з 5+ ПК повинна бути власною VLAN, але якщо ми будемо слідувати цій моделі, ми будемо шукати принаймні 25 "нових" VLANS , плюс VLANS для SAN / Віртуальних серверів. Що, як мені здається, додасть надмірну кількість адміністрації, хоча я, по суті, доводяться неправильно.

Яка найкраща практика, здається, пропонує? Чи є певна кількість ПК, які бажано не переходити / переходити вниз у VLAN.

(1) 3Com перемикає (3870 та 8800) маршрут між VLAN по-різному, як це роблять інші, для цього не потрібен окремий маршрутизатор, як вони є шаром3.

(2) Ми іноді отримуємо високі показники скидання або зміни STP, і в той час, директор 3Com Network повідомляє, що комутатори перевантажені і повільно реагують на пінг, або невдалий комутатор, який вдається зняти мережу (всі телефонні та комп'ютерні VLANS! , одного разу, поняття не маю чому)

Відповіді:


36

Здається, що хтось із вашої організації хоче створити VLAN без розуміння причин, чому ви це зробите, та плюси / мінуси, пов'язані з цим. Здається, що вам потрібно зробити деякі вимірювання і придумати деякі реальні причини для цього, перш ніж рухатись вперед, принаймні, з божевільною дурістю «VLAN для кімнати».

Не слід починати розбивати Ethernet LAN у VLAN, якщо у вас немає вагомих причин для цього. Найкращі дві причини:

  • Пом'якшення проблем у роботі. Локальні мережі Ethernet не можуть змінюватись нескінченно довго. Надмірна трансляція або затоплення кадрів до невідомих напрямків обмежать їх масштаб. Будь-яке з цих умов може бути викликане тим, що єдиний домен широкомовної передачі в Ethernet LAN занадто великий. Трансляцію трансляції легко зрозуміти, але затоплення кадрів до невідомих напрямків дещо незрозуміліше ( настільки, що жоден з інших плакатів тут навіть не згадує!). Якщо у вас так багато пристроїв, що таблиці ваших комутаторів MAC переповнені, комутатори будуть змушені переливати непередавані кадри з усіх портів, якщо призначення кадру не відповідає жодним записам у таблиці MAC. Якщо у вас є достатньо великий одиночний домен в локальній мережі Ethernet з профілем трафіку, який розміщує розмови нечасто (тобто досить рідко, щоб їх записи застаріли поза таблицями MAC на ваших комутаторах), ви також можете отримати надмірне затоплення кадрів .

  • Бажання обмежити / контролювати трафік, що рухається між хостами на рівні 3 або вище. Ви можете зробити хакерство, вивчаючи трафік на рівні 2 (ala Linux ebtables), але цим важко керувати (оскільки правила прив’язані до MAC-адрес, а зміна NIC вимагає змін правил) може призвести до того, що, як видається, насправді, дуже дивне поведінку (робити Наприклад, прозоре розміщення HTTP на рівні 2 є химерним та веселим, але вкрай неприродним та може бути дуже неінтуїтивним для усунення несправностей), і це, як правило, важко зробити на нижчих шарах (тому що інструменти другого шару схожі на палички і скелі при вирішенні проблем з шаром 3+). Якщо ви хочете керувати трафіком між хостами IP (або TCP, або UDP тощо), а не атакувати проблему на рівні 2, вам слід підмережу та наклеювати між мережами міжмережі між брандмауерами та маршрутизаторами з ACL.

Проблеми з виснаженням пропускної здатності (якщо вони не спричинені трансляцією пакетів або затопленням кадрів) зазвичай не вирішуються за допомогою VLAN. Вони трапляються через відсутність фізичного підключення (занадто мало NIC на сервері, занадто мало портів у групі агрегації, необхідність перейти до більш швидкої швидкості порту) і їх неможливо вирішити шляхом підмережі або розгортання VLAN з тих пір, як це виграло не збільшить доступну кількість пропускної здатності.

Якщо у вас немає навіть чогось простого, як, наприклад, MRTG, що веде статистику трафіку графіків на порт на ваших комутаторах, це справді ваш перший порядок бізнесу, перш ніж починати потенційно впроваджувати вузькі місця з цілеспрямованою, але неінформованою сегментацією VLAN. Підрахунок необроблених байтів - це гарний початок, але слід дотримуватися цілеспрямованого обнюхування, щоб отримати детальнішу інформацію про профілі трафіку.

Як тільки ви дізнаєтесь, як рухається трафік у вашій локальній мережі, ви можете почати замислюватися про сегментацію локальної мережі з причин продуктивності.

Якщо ви дійсно збираєтесь спробувати обмежити доступ до пакетів та потокового рівня між VLAN, будьте готові зробити багато роботи з прикладним програмним забезпеченням та вивчити / реверсувати інженерію, як він спілкується по дроту. Обмеження доступу хостів до серверів часто може бути здійснено за допомогою функцій фільтрації на серверах. Обмеження доступу на провід може забезпечити помилкове почуття безпеки та затишшя адміністраторів у поступливості, коли вони думають: "Ну, мені не потрібно налаштовувати додаток. Надійно, оскільки господарі, які можуть спілкуватися з додатком. Обмежені" мережа '. " Я б радив вам перевірити безпеку конфігурації вашого сервера, перш ніж я почати обмежувати зв’язок між хостом і хостом.

Зазвичай ви створюєте VLAN в Ethernet і наносите на них IP-підмережі 1 на 1. Ви будете потребувати ЛО в IP - підмереж для того, що ви описуєте, і , можливо , багато маршрутизації записів таблиці. Краще сплануйте ці підмережі з VLSM, щоб узагальнити записи таблиці таблиці маршрутизації, так?

(Так, так - є способи не використовувати окрему підмережу для кожної VLAN, але дотримуючись суворо "простого ванільного" світу, ви створили б VLAN, придумайте IP-підмережу для використання у VLAN, призначте якийсь маршрутизатор IP-адресу у цій VLAN, приєднайте цей маршрутизатор до VLAN або фізичним інтерфейсом, або віртуальним підінтерфейсом на маршрутизаторі, підключіть деякі хости до VLAN та призначте їм IP-адреси у визначеній вами підмережі та направляйте їхній трафік у та із мережі VLAN.)


2
Це відмінне пояснення. Я хотів би лише додати, що в більшості сучасних апаратних засобів сегментація не така вже й складна, якщо ви розумієте, що VLAN потрібно буде прокладати між ними. Не буде вам великої користі мати надзвичайно ефективна установка VLAN, яка використовує роутер із сильним переписом на палиці для передачі трафіку між сегментами.
Greeblesnort

2

VLAN є дійсно корисними лише для обмеження трансляції. Якщо щось буде робити багато мовлення, то розділіть його на власну VLAN, інакше я б не переймався. Ви можете мати віртуалізоване дублювання живої системи в одній мережі та хочете скористатися тим самим діапазоном адрес, і знову, що, можливо, варто окремої VLAN.


На даний момент ми працюємо XP без WINS - начебто, nbtstat -r, начебто, говорить про те, що ми отримуємо велику кількість трансляційного трафіку.
Ванночки

1
Виміряйте це чимось на кшталт Wireshark і подивіться, що відбувається. WINS - це не жахлива річ. Якщо ви виявите, що ви отримуєте багато запитів на пошук імен NetBIOS, спробуйте ввести правильні імена в DNS, щоб запобігти запитам, або просто запустіть WINS.
Еван Андерсон

2

VLAN - це гарний додатковий рівень безпеки. Я не знаю, як 3Com обробляє це, але зазвичай ви можете сегментувати різні функціональні групи на різні VLAN (наприклад, бухгалтерський облік, WLAN тощо). Потім ви можете контролювати, хто має доступ до певної VLAN.

Я не вірю, що є значна втрата продуктивності, якщо в одній VLAN багато комп'ютерів. Мені здається недоцільним сегментувати локальну мережу в кімнаті за кімнатою, але знову ж таки, я не знаю, як 3Com обробляє це. Зазвичай орієнтир - це не розмір, а швидше безпека чи експлуатація.

Насправді я не бачу жодної причини навіть сегментувати локальну мережу на різні VLAN, якщо немає ніяких посилень безпеки та експлуатації.


1

Якщо у вас немає 25 груп для тестування та розробки, які регулярно вбивають мережу за допомогою потоку мовлення, 25 V-кімнатних VLAN на 24 - це занадто багато.

Очевидно, що вашій SAN потрібна власна VLAN, а не така ж VLAN, як віртуальна система LAN та доступ до Інтернету! Все це можна зробити через один порт Ethernet в хост-системі, так що не варто турбуватися про розподіл цих функцій.

Якщо у вас є сканування продуктивності, подумайте про те, щоб розмістити свій телефон і SAN на окремому мережевому апаратному забезпеченні, а не тільки на VLAN.


0

Поточний трафік завжди буде, незалежно від того, чи це це роздільна здатність імен, передача ARP тощо. Важливим є контроль за кількістю трансляційного мовлення. Якщо він перевищує 3 - 5% від загального трафіку, то це проблема.

VLAN корисні для зменшення розміру доменів широкомовної передачі (як заявив Давид) або для безпеки, або для створення виділених резервних мереж. Вони насправді не означають домени "управління". Крім того, ви додасте складності маршрутизації та накладних витрат у вашу мережу, застосовуючи VLAN.


Я був з тобою прямо до тих пір, поки ти не згадаєш про маршрутні рейси. Існують витрати на маршрутизацію, але зазвичай апаратне забезпечення, яке робить L2 / L3, буде пересилати пакети з одного vlan в інший (і з одного порту в інший) з тією ж швидкістю, як якщо б він пересилався через L2.
chris

Правда, я не потрапив у вихідну публікацію про те, що комутатори 3COM зможуть прокладати трафік між VLAN без необхідності маршрутизаторів (тому я буду вважати, що вони перемикачі L3). Спасибі.
joeqwerty

Вони можуть працювати зі швидкістю дроту, але вони все ще маршрутизатори для налаштування та керування, навіть якщо вони просто об'єкти 3 рівня всередині комутаторів. Якщо вони "перемикають" пакети на рівні 3, вони - маршрутизатори.
Еван Андерсон

0

Як правило, ви хочете розглянути можливість використання VLAN лише тоді, коли вам потрібно встановити карантинні пристрої (наприклад, область, де користувачі можуть переносити свої власні ноутбуки, або якщо у вас є важлива інфраструктура сервера, яка повинна бути захищена) або якщо ваш домен трансляції занадто висока.

Домени широкомовної передачі зазвичай можуть становити близько 1000 пристроїв, перш ніж ви побачите проблеми в 100Mbit мережах, хоча я б звів це до 250 пристроїв, якщо ви маєте справу з відносно галасливими областями Windows.

Здебільшого сучасним мережам не потрібні VLAN, якщо ви не робите цей карантин (звичайно з відповідним брандмауером, використовуючи ACL) або обмеження трансляції.


1
Вони корисні для збереження самородка в обліку від створення веб-камери з IP-адресою поштового сервера ...
chris

0

Вони також корисні для запобігання передачі DHCP для охоплення небажаних мережевих пристроїв.


1
Пом'якшення проблем у виконанні вже згадувалося, дякую.
Chris S
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.