Quantas VLANs são muito poucas e muitas?

Parece que alguém em sua organização deseja criar VLANs sem entender as razões pelas quais você faria isso e os prós e contras associados a ela. Parece que você precisa fazer alguma medição e chegar a algumas razões reais para fazer isso antes de avançar, pelo menos com o insano insano "VLAN por um quarto".

Você não deve começar a quebrar uma LAN Ethernet em VLANs, a menos que tenha boas razões para fazê-lo. As duas melhores razões são:

• Atenuando problemas de desempenho. LANs Ethernet não podem escalar indefinidamente. Transmissões excessivas ou inundação de quadros para destinos desconhecidos limitarão sua escala. Qualquer uma dessas condições pode ser causada ao tornar um único domínio de broadcast em uma LAN Ethernet muito grande. O tráfego de difusão é fácil de entender, mas a inundação de quadros para destinos desconhecidos é um pouco mais obscura ( tanto que nenhum dos outros pôsteres aqui menciona isso! ). Se você obtiver tantos dispositivos que as tabelas MAC do switch estão sobrecarregadas, os switches serão forçados a inundar os quadros não-broadcast de todas as portas se o destino do quadro não corresponder a nenhuma entrada na tabela MAC. Se você tiver um domínio de broadcast único grande o suficiente em uma LAN Ethernet com um perfil de tráfego que os hosts falem com pouca frequência (isto é, com pouca frequência que suas entradas tenham ficado fora das tabelas MAC em seus switches), também poderá obter inundação excessiva de quadros .

• Um desejo de limitar / controlar o tráfego entre os hosts na camada 3 ou acima. Você pode fazer algum hackery examinando o tráfego na camada 2 (ebtables de Linux), mas isso é difícil de gerenciar (porque as regras são vinculadas a endereços MAC e a mudança de NICs requer mudanças de regras) pode causar o que parecem ser comportamentos realmente estranhos O proxy transparente do HTTP na camada 2, por exemplo, é esquisito e divertido, mas é totalmente não natural e pode ser muito pouco intuitivo para solucionar problemas), e geralmente é difícil de fazer em camadas inferiores (porque as ferramentas da camada 2 são como bastões e rochas em lidar com as preocupações da camada 3+). Se você quiser controlar o tráfego IP (ou TCP, ou UDP, etc) entre hosts, em vez de atacar o problema na camada 2, você deve colocar sub-redes e manter firewalls / roteadores com ACLs entre as sub-redes.

Problemas de exaustão de largura de banda (a menos que estejam sendo causados por pacotes de transmissão ou inundação de quadros) não são resolvidos com VLANs normalmente. Eles acontecem devido à falta de conectividade física (poucas NICs em um servidor, poucas portas em um grupo de agregação, a necessidade de se mover para uma velocidade de porta mais rápida) e não podem ser resolvidas sub-redes ou implantando VLANs aumentar a quantidade de largura de banda disponível.

Se você não tem sequer algo simples como o MRTG executando gráficos de estatísticas de tráfego por porta em seus switches, essa é realmente sua primeira ordem de negócios antes de começar potencialmente introduzindo gargalos com pessoas bem-intencionadas, mas desinformadas Segmentação de VLAN. As contagens brutas de bytes são um bom começo, mas você deve seguir com o sniffing direcionado para obter mais detalhes sobre os perfis de tráfego.

Uma vez que você saiba como o tráfego se move em sua LAN, você pode começar a pensar em segmentar a LAN por motivos de desempenho.

Se você realmente vai tentar abotoar pacotes e acesso em nível de fluxo entre VLANs, prepare-se para fazer um monte de trabalho com software aplicativo e aprender / fazer engenharia reversa sobre como ele fala. Limitar o acesso de hosts a servidores muitas vezes pode ser realizado com a funcionalidade de filtragem nos servidores. Limitar o acesso na rede pode fornecer uma falsa sensação de segurança e levar os administradores a uma complacência onde eles pensam "Bem, eu não preciso configurar o aplicativo com segurança porque os hosts que podem conversar com o aplicativo são limitados por" rede'." Eu o encorajaria a auditar a segurança da configuração do seu servidor antes de eu começar a limitar a comunicação entre hosts na rede.

Geralmente você cria VLANs na Ethernet e mapeia sub-redes IP 1-para-1 nelas. Você vai precisar de um LOT de sub-redes IP para o que você está descrevendo, e potencialmente um monte de entradas na tabela de roteamento. É melhor planejar essas sub-redes com o VLSM para resumir suas entradas na tabela de roteamento, eh?

(Sim, sim - existem maneiras de não usar uma sub-rede separada para cada VLAN, mas, se você quiser criar uma VLAN, criar uma sub-rede IP para usar na VLAN, mas em um mundo estritamente "simples") atribua a um roteador um endereço IP naquela VLAN, conecte esse roteador à VLAN, com uma interface física ou uma subinterface virtual no roteador, conecte alguns hosts à VLAN e atribua-os a endereços IP na sub-rede que você definiu e direcione seus roteadores. tráfego dentro e fora da VLAN.)

As VLANs são realmente úteis apenas para restringir o tráfego de broadcast. Se algo vai fazer muita transmissão, então separe-o em sua própria VLAN, caso contrário eu não me incomodaria. Você pode querer ter uma duplicação virtualizada de um sistema ativo na mesma rede e deseja usar o mesmo intervalo de endereços, então, novamente, pode valer uma VLAN separada.

As VLANs são boas como um nível de segurança adicional. Eu não sei como a 3Com lida com isso, mas normalmente você pode segmentar diferentes grupos funcionais em diferentes VLANs (por exemplo, Contabilidade, WLAN, etc.). Você pode então controlar quem tem acesso a uma determinada VLAN.

Não acredito que haja perda significativa de desempenho se houver muitos computadores na mesma VLAN. Eu acho impraticável segmentar LAN em uma sala por sala, mas, novamente, eu não sei como a 3Com lida com isso. Normalmente, a diretriz não é tamanho, mas sim segurança ou operação.

Na verdade, não vejo nenhum motivo para segmentar a LAN em VLANs diferentes, se não houver ganhos de segurança ou operacionais.

A menos que você tenha 25 grupos de teste e desenvolvimento que matam regularmente a rede com inundações de transmissão, 25 VLANs por sala são 24 demais.

Obviamente, sua SAN precisa de sua própria VLAN e não da mesma VLAN que a LAN e o acesso à Internet dos sistemas virtuais! Isso tudo pode ser feito através de uma única porta ethernet no sistema host, então não há problemas com a divisão dessas funções.

Se você tiver problemas de desempenho, considere colocar seu telefone e SAN em hardware de rede separado, não apenas em VLANs.

Sempre haverá tráfego de broadcast, seja broadcast de resolução de nome, broadcast de ARP, etc. O importante é monitorar a quantidade de tráfego de broadcast. Se exceder 3 a 5% do tráfego total, então é um problema.

As VLANs são boas para reduzir o tamanho de domínios de broadcast (como David declarou) ou para segurança, ou para criar redes de backup dedicadas. Eles não são realmente significados como domínios de "gerenciamento". Além disso, você adicionará complexidade de roteamento e sobrecarga à sua rede implementando VLANs.

Geralmente, você só quer considerar o uso de VLANs quando precisar colocar os dispositivos em quarentena (como uma área onde os usuários podem trazer seus próprios laptops ou quando você tiver uma infra-estrutura de servidor crítica que deve ser protegida) ou se o domínio de transmissão é muito alto.

Os domínios de transmissão normalmente têm cerca de 1.000 dispositivos grandes antes de você começar a ver problemas em redes de 100 Mbits, embora eu reduzisse para 250 dispositivos se você estiver lidando com áreas relativamente barulhentas do Windows.

Na maioria das vezes, as redes modernas não precisam de VLANs, a menos que você faça essa quarentena (com firewalls apropriados usando ACLs, é claro) ou limitação de transmissão.

Eles também são úteis para impedir que difusões DHCP atinjam dispositivos de rede indesejados.