Nossa rede é uma L2 plana.
Em algum momento nós precisamos (eu quero, mas não é estritamente minha responsabilidade) começar a usar a VLAN como se estivéssemos obviamente tendo um monte de conversas acontecendo, e recentemente um dos nossos firewalls alcançou seu limite de tabela de arp (indiscutivelmente o firewall tem um limite de tabela de arp baixo, mas estamos onde estamos com isso).
Então, como você cria uma metodologia para a VLAN na sua LAN?
No nosso caso, somos um site, mas o tamanho de uma cidade pequena (acho que o campus eu acho).
Temos uma LAN hub / spoke bastante típica com alguns switches centrais nos quais os switches de borda se conectam, alguns diretamente, alguns através de conversores de fibra para cobre.
Nosso kit de borda é uma mistura de Procurve, Prosafes, alguns Baystacks mais antigos, etc.
A maioria dos nossos clientes está em DHCP, alguns estão em IP estáticos, mas podemos lidar com eles, as impressoras em rede também estão em IPs estáticos.
Como eu vejo, existem muitas opções para VLAN com base na localização física no campus, ou seja, qualquer switch de borda nos edifícios A & B vai em VLAN xx, ou pode ser baseado em outros fatores.
Simplificando, não fiz isso antes e é fácil mergulhar e fazer coisas rapidamente e depois se arrepender.
Como você faria isso, por favor?
Normalmente, há alguma divisão óbvia direta acontecendo e você usa isso como base para segmentar a rede. Soa mais como você deseja sub-rede da rede do que vlan-lo embora. As vlans geralmente são baseadas em requisitos administrativos, como uma rede de gerenciamento, SAN ou VoIP, etc. As sub-redes seguem essas vlans, mas também dividem várias diferenças físicas (uma por prédio, andar ou outra construção física).
É realmente difícil recomendar algo específico sem saber nada sobre sua rede.
A maneira que o @minarnhere descreve é absolutamente o caminho a percorrer, mas não se divide apenas pela funcionalidade, adiciona fatores de segurança, localização física e número de hosts, divide sua rede em quantas VLANs forem necessárias com base em todos esses fatores.
Assumindo as opções apropriadas & roteadores estão no lugar, então não há custo para ter muitas VLANs e os benefícios são enormes, se for planejado corretamente a sobrecarga de administração é mínima também. Não se limite a restrições artificiais sobre colocar todos os alunos, tutores ou qualquer grupo de usuários ou hosts em uma única VLAN, por que você faria isso de qualquer maneira? Lembre-se que o tráfego só pode ser controlado na camada 3, então divida sua rede para que você possa limitar e controlar o tráfego entre VLANs, você não tem nenhuma chance com o tráfego dentro de uma VLAN.
A maneira clássica de projetar uma LAN no campus é dividir a rede em Access, Distribution e Core. Muitos switches da camada 2 do Access, cada um transportando tráfego de uma ou mais VLANs, se conectarão a alguns switches de distribuição da camada 3 que direcionam o tráfego para um pequeno número de switches core da camada 3.
Todos os seus hosts devem estar conectados à camada de Acesso, que é dividida em VLANs com base nos fatores descritos acima. Cada VLAN da camada de acesso deve, quando possível, ser limitada a um comutador físico (essa regra só precisa ser interrompida se você tiver dois servidores homed que possam precisar fazer failover para outro comutador na mesma VLAN). Lembre-se de que cada VLAN é um domínio de broadcast e você deseja limitar o tráfego de broadcast em cada um deles o máximo possível. Considere usar somente / 24 sub-redes para sua camada de acesso, por que você desejaria > 250 hosts em um único domínio de broadcast?
Haverá algumas, muito poucas circunstâncias, quando uma VLAN precisa se espalhar por vários switches, mas estes serão muito especializados, o gerenciamento de switches talvez seja um (mas isso é discutível), há muito poucos outros. >
Um bom ponto de partida seria seus servidores. Se eles estiverem no mesmo local físico (sala, não em construção), convém dividi-los em VLANs com base na funcionalidade, mas, do contrário, uma única VLAN por ~ 200 hosts estará bem. Obviamente (?) Servidores voltados para a Internet devem estar sozinhos, de preferência fisicamente separados, em rede, com firewalls do campus (o design do DMZ é outra especialidade em si, então não vou entrar nisso aqui). Seus servidores internos também devem ser divididos entre aqueles para o uso de alunos e aqueles para uso de administração interna, dividindo-os em VLANs apropriadamente. Se alguns servidores pertencerem a determinados departamentos (E.g HR), então, se você precisar controlar o tráfego para esses servidores, considere ter uma VLAN apenas para eles.
Se os servidores estiverem espalhados, coloque-os em VLANs separadas com base na localização e na funcionalidade, não é necessário que eles estejam na mesma VLAN apenas "porque são servidores" ou apenas "porque são todos da Web servidores '.
Passando para seu aluno & usuários da equipe. Para começar, todas as portas ou pontos de acesso únicos, acessíveis ou não pela equipe de TI, devem ser considerados um risco de segurança e todo o tráfego originado a partir dele deve ser tratado como não confiável. Coloque suas salas de aula em VLANs com base no número possível de hosts e, dependendo das circunstâncias, grupos de usuários, mas não cometerão o erro de 'confiar' em portas específicas, se os tutores precisarem acessar sua rede de administração de uma sala de aula, eles deverão receber o mesmo método de acesso (VPN?) como se estivessem em casa ou em um café público.
A rede sem fio deve estar em VLANs separadas da rede, mas com as mesmas restrições, se puder ser evitada (mas às vezes não é possível) não coloque todos os APs em uma VLAN em todo o campus, divida-os usando o mesma metodologia e pela mesma razão que o wired.
Telefones IP devem, surpresa, surpresa, estar em VLANs separadas de todo o resto, isso é facilitado em algumas marcas (Cisco na minha experiência) pelo telefone negociando com o switch de acesso para colocar tráfego na VLAN apropriada, mas isso obviamente requer o interruptor para ser configurado corretamente.
Há muito mais no design da LAN, mas o que está acima é um começo. Como nota final, no que diz respeito ao DHCP, use-o para cada host, incluindo servidores e impressoras, ambos devem ter endereços IP atribuídos estaticamente com base em seus endereços MAC. O escopo (ou escopos) para o primeiro não deve ter endereços de reposição, isso de certa forma impede a conexão casual de dispositivos a VLANs de servidor, mas isso também se aplica a impressoras, o ponto é que você tem controle central dos dispositivos e todas as mudanças são tratadas de maneira centralizada, em vez de depender de engenheiros que vagam pelo campus para obter endereços certos.
Ok, o suficiente por enquanto, espero que ajude um pouco.
Como Chris S mencionou, as VLANs e as sub-redes são coisas diferentes. MAS, nós apenas atribuímos uma sub-rede separada e escopo DHCP a cada VLAN no campus da nossa escola. Cada prédio tem seu próprio escopo VLAN / Subnet / DHCP. Isso torna o gerenciamento muito mais fácil, mas pode não funcionar se você tiver um campus maior do que o nosso. Também usamos VLANs separadas para Gerenciamento de Switch, Servidores físicos, telefones VOIP, Wireless para alunos, Wireless em sala de aula, Laboratórios de alunos, Servidores virtuais, Business Office, SAN, VPN. Basicamente, somos pequenos o suficiente para que qualquer diferenciação possível tenha sua própria VLAN. (Temos apenas 25 VLANs e comecei a criar novas divisões apenas porque queria isolar determinados grupos do resto da rede ...)
Criar sub-redes separadas para cada VLAN pode ser um desperdício, mas facilita o gerenciamento e facilita o uso de IP - > Conversões de VLAN em sua cabeça, se você precisar fazer isso.
Usamos 10.xxx para IPs, portanto, VLAN1 obtém 10.1.xx, VLAN8 obtém 10.8.xx, etc. Cada VLAN que precisa de DHCP obtém seu próprio escopo, mas não criamos escopos para VLANs que não precisam eles, como Switch Management.
Tags networking vlan