Planejamento e perguntas da VLAN

Navegue suas respostas
2

Atualmente gerencio um ambiente com endereçamento IP de 10.10.10.x / 23. Nós temos 3 VLANs configurados, e eu uso esse termo muito livremente. A razão pela qual eu digo que uso o termo vagamente é, as 3 VLANs têm acesso total umas às outras. A VLAN10 é a nossa rede interna, a VLAN20 é a Wifi para convidados e a VLAN30 é a nossa DMZ. O ambiente tem seu servidor típico, estações de trabalho, impressoras, além de câmeras de segurança, mas não de VOIP. Temos perto de 200 estações de trabalho, 29 impressoras, 20 servidores, 40 câmeras de segurança.

O convidado wifi deve ter acesso à internet e é isso, não minha rede interna. Algumas das perguntas que tenho com o planejamento da nossa configuração de VLAN é que, atualmente, o ASA5505 está "roteando" o tráfego e tem as ACLs para as VLANs, devo mantê-las dessa forma ou as ACLs devem ser movidas para os switches cisco 3750X? Agora meu paln era para configurar as VLANs da seguinte forma: 

VLAN      
10      Servers            10.10.10.x/24

20      Workstations       10.10.20.x/24

30      Internal Wifi      10.10.30.x/24

40      Cameras and Server 10.10.40.x/24

100     DMZ                192.168.100.x/24

110     Guest WiFi         192.168.110.x/24

Eu também não tenho certeza se deve manter as impressoras na mesma VLAN que as estações de trabalho, servidores ou separá-los para sua própria VLAN? se eles estão em sua própria VLAN, o servidor de impressora também deve estar na VLAN?

    
por JoeP 05.09.2014 / 15:40

3 respostas

2

Acho que você faria bem em pensar sobre por que você pode usar VLANs para começar .

Parece que você tem motivos para limitar / segmentar o tráfego, mas eu questionaria se você realmente vai fazer o dever de casa necessário para criar ACLs para ter um controle refinado do tráfego entre PCs, servidores e impressoras. Em todos os casos que vi, o administrador acaba desistindo e abrindo todo o tráfego ( allow ip any any ) entre a "VLAN do servidor" e a "VLAN da estação de trabalho" porque eles não conseguem que os fornecedores de software divulguem quais portas / protocolos são necessários para fazer os aplicativos funcionarem (ou porque os aplicativos usam portas dinâmicas que não são tratadas pelos manipuladores de protocolo no roteador entre VLANs).

O trade-off típico entre o uso de um switch de camada 3 e um dispositivo mais semelhante a um roteador, como um Cisco ASA, é a expressividade do sistema ACL versus o desempenho de roteamento. Um switch da camada 3 geralmente pode rotear na velocidade do cabo, no entanto, ele não pode suportar ACLs com expressividade suficiente para fazer o que você precisa. Em alguns casos, o sistema ACL de troca de camada 3 tem expressividade, mas o uso desses recursos expressivos pode fazer com que o roteamento se mova através de uma CPU em vez de um ASIC, diminuindo o desempenho.

Eu começaria criando uma lista das ACLs que pretendo ter e, em seguida, avaliando se elas são capazes de lidar com elas e, se estiverem, mantendo o tráfego em um "caminho rápido" ao fazê-lo. Você obterá o roteamento de melhor desempenho nos switches da camada 3, mas (especialmente com sua VLAN de Wi-Fi convidado) o ASA pode ser um ajuste melhor do ponto de vista da expressividade de regras.

No que diz respeito às suas impressoras: se você quiser limitar o acesso às impressoras apenas aos administradores autorizados e aos servidores que os enfileiram, convém enviá-los para uma VLAN. Algumas pessoas estão bem com impressoras sendo acessadas diretamente por computadores clientes, mas outros ambientes (onde os itens impressos são de natureza sensível, ou onde o software de faturamento precisa arbitrar o acesso às impressoras) se beneficiam de isolar as impressoras e limitar estritamente os hosts pode se conectar a eles. Você terá que avaliar suas necessidades lá. Quanta responsabilidade você precisa com respeito à auditoria de trabalhos de impressão, por exemplo?

    
por 05.09.2014 / 18:50
1

Você não precisa de uma VLAN apenas para as impressoras, mas como você está planejando sua rede agora e criando as VLANs, eu faria uma. O servidor de impressão geralmente não precisa estar na mesma VLAN que as impressoras, pois não precisa falar com eles usando a camada 2, mas se conecta usando TCP / IP. Então você pode mantê-lo na VLAN dos servidores.

edite: ah, eu estava sentindo falta da outra pergunta. Eu também manteria o roteamento no ASA, porque você pode fazer mais ajustes nas ACLs aqui do que nos switches. Considerando sua configuração de VLAN, eu também não iria rotear usando os switches.

    
por 05.09.2014 / 15:51
0

Se os seus switches estiverem com o roteamento IP ativado, você DEVE colocar os ACLs nos switches. Se o seu ASA estiver conectado a seus switches com um tronco e estiver configurado com um IP em cada VLAN, você também precisará aplicar o ACL para impedir o roteamento do ASA.

Minha recomendação:

  1. Não use uma porta de tronco com o ASA. Use uma interface por rede (DMZ, dentro, fora, internet convidada).
  2. Faça o roteamento nos switches.
  3. Aplique ACLs nos switches para evitar o roteamento entre as redes DMZ, interna e guest.
  4. Não use uma VLAN separada para impressoras. Mantê-los em sua estação de trabalho VLAN. Se você movê-los para uma VLAN separada, a movimentação de impressoras e computadores requer mudanças no switch. Eu cuido da VLAN das minhas redes para que tudo dentro da sala do servidor exija a configuração de uma porta de switch, mas todas as portas na userland são configuradas exatamente da mesma maneira para facilitar as movimentações do dispositivo do usuário.
por 05.09.2014 / 15:53

Tags

Como fazer o postfix entregar através de um comando As portas efêmeras precisam estar abertas no firewall da rede para que o nginx e o sshd funcionem corretamente?