As VLANs são necessárias para o meu ambiente?

10

Sou o novo gerente de rede de uma escola. Eu herdei um ambiente composto por vários servidores Windows, cerca de 100 clientes Windows, 10 impressoras, 1 roteador Cisco, 6 comutadores Cisco e 1 comutador HP. Além disso, estamos usando VoIP.

Existem quatro andares em nosso prédio. Os hosts em cada andar são atribuídos a uma VLAN separada. Um escritório no primeiro andar tem sua própria VLAN. Todos os comutadores estão em sua própria VLAN. Os telefones IP estão em sua própria VLAN. E os servidores estão em sua própria VLAN.

Pelo número de hosts na rede, todas essas VLANs estão realmente me comprando alguma coisa? Sou novo no conceito de VLAN, mas parece excessivamente complicado para esse ambiente. Ou é genial e eu simplesmente não entendo?

cisco switch vlan network-design kleefaj
fonte
Essa outra pergunta pode ser útil para você, onde discutiu os méritos da sub-rede. Problemas semelhantes vêm em consideração e que você pode encontrar as respostas lá útil: serverfault.com/questions/2591/...
Alto Jeff

Respostas:

0

No IME, você está no estádio onde a segregação do tráfego nas redes melhorará o desempenho. No entanto, a divisão das VLANs parece ter sido decidida com base na função dos nós membros e não em qualquer esforço para gerenciar a largura de banda. Certamente, com esse número de nós, você pode obter a mesma largura de banda agregada planejando de maneira inteligente onde você coloca switches em vez de usar vlans.

Sem ver um diagrama detalhado e obter algumas medições reais, é difícil dizer com certeza, mas suspeito que a configuração que você descreve não está fornecendo benefícios de desempenho e muitas dores de cabeça de administrador.

você pode impor listas de controle de acesso no roteador

Não é um bom motivo para usar vlans - use sub-redes, firewalls e switches.

symcbean
fonte
Como você vê isso melhorando o desempenho? O que especificamente sobre as VLANs melhora o desempenho? Obrigado.
Joeqwerty
1
O que especificamente sobre as VLANs melhora o desempenho? Nada. A passagem do tráfego CSMA / CD por mais de um fio em paralelo (o que é mais fácil de fazer com base no src / dst) diminui as colisões, aumenta a largura de banda ideal e efetiva.
symcbean
Foi o que pensei que você quis dizer; essas VLANs ajudam a eliminar as condições que levam à diminuição do desempenho, mas elas não aumentam ativamente o desempenho. Obrigado por esclarecer.
Joeqwerty 9/09/10
5

A maioria dessas VLANs faz sentido para mim. É bom dividir por função, para que faça uma VLAN para servidores, uma para telefones e outra para estações de trabalho. Você pode obter um controle fino sobre o tráfego que flui entre estações de trabalho e servidores.

O que não vejo muito sentido é ter VLANs para estações de trabalho em cada andar. Uma única VLAN para todas as estações de trabalho manteria as coisas simples e agradáveis. A extensão de VLANs em vários switches / troncos provavelmente não será um problema para uma rede tão pequena.

Também não faz sentido manter uma VLAN separada para o gerenciamento de switches. Eles podem ficar felizes na VLAN do servidor.

Nada de mágico nas VLANs BTW ... basta separar os segmentos de rede de broadcast, cada um exigindo um gateway padrão e a configuração ACL apropriada nas portas de rede.

Chris Thorpe
fonte
Na verdade, uma rede separada para gerenciamento é uma obrigação na maioria das redes comerciais para evitar ataques internos a equipamentos. Configurar uma porta para gestão só é fácil e recomendar imho fortemente
g18c
4

Bem, pode ser útil ter VLANs separadas para dados (computadores) e VoIP, para que você possa aplicar algum tipo de priorização de tráfego. VLANs separadas para gerenciamento de switches também são úteis. VLANs separadas por andar talvez pareçam demais para 100 Pcs, a menos que você planeje expandir no futuro.

Shunz
fonte
Concordo plenamente. Certamente você deve separar seu VOIP. Separar os servidores e o gerenciamento de rede é bom. Uma VLAN da impressora pode ser discutida de qualquer maneira. Separar por piso é um exagero no tamanho do ambiente.
precisa saber é o seguinte
1

As VLANs permitem dividir sua rede em segmentos lógicos menores; isso ajuda a melhorar a capacidade de gerenciamento e a limitar o tráfego de transmissão desnecessário.

Para uma rede tão pequena, pode ser um exagero: você pode manipular facilmente ~ 100 objetos de rede com uma única sub-rede VLAN e IP. Mas acho que você deve seguir essa configuração por dois motivos principais:

1) Melhora a capacidade de gerenciamento; se você sabe que os servidores estão em 192.168.1.X e os clientes estão em 192.168.100.Y, é mais fácil gerenciá-los. Se todos os seus endereços estivessem na sub-rede 192.168.42.Z, como você poderia (facilmente) distinguir entre eles?
2) Escala muito melhor. Se você mudar de ~ 100 para> 200 objetos de rede, uma única sub-rede / 24 IP subitamente parecerá muito menor, e uma única maior será muito facilmente uma bagunça.

Para os puristas: sim, eu sei muito bem que VLANs e sub-redes IP não têm necessariamente um mapeamento 1: 1 estrito; esse é apenas o uso mais comum para eles, que parece ser a que o OP está se referindo.

Massimo
fonte
2
As sub-redes IP são uma maneira de compartimentar redes lógicas - assim como as vlans. O uso de ambos é desnecessário e complica demais a situação. Para uma rede IP, há vantagens adicionais em usar sub-redes em comparação com vlans - portanto, o último é IMHO redundante.
symcbean
1
E como exatamente você usaria sub-redes IP sem VLANs e switches de camada 3, se você não possui alguns roteadores?
Massimo
@symcbean: Sim-- o que Massimo disse. Sou todo ouvidos.
Evan Anderson
switches da camada 3? sem roteadores? - Tenho certeza de que você adiciona enfeites à pergunta original por dias que minha resposta não aborda.
symcbean 10/09/10
1
@symcbean, se você quiser dividir sua rede em várias sub-redes IP, também precisará de algo para dividi-las na camada 2, a menos que queira executar muitas sub-redes IP no mesmo segmento Ethernet; e, mesmo que você queira fazer isso, ainda precisará de algo para fazê-los falar, como um roteador (ou firewall). Um único switch bom, como o Cisco, pode fazer ambos usando VLANs para segmentação Ethernet e interfaces IP VLAN para roteamento; mas se você não quiser usá-los (por quê?), precisará de comutadores físicos diferentes e de pelo menos um roteador físico.
Massimo
0

A outra vantagem desse design é que você pode impor listas de controle de acesso no roteador, para que as comunicações entre VLANs sejam limitadas e proteger os servidores Windows de estudantes entusiasmados.

Mitch Miller
fonte
0

Eu concordo com as respostas que você já tem.

Você precisa de VLANs? Em outras palavras, elas são "necessárias" se quisermos manter o que você pede no título da sua pergunta? Provavelmente não. É uma boa ideia, dada a variedade de tráfego que você possui? Provavelmente sim.

Não existe uma resposta certa ou errada, é uma questão de designs diferentes e o que o designer esperava alcançar ...

Com base no que você disse, eu concordo com os comentários sobre não precisar de uma VLAN "por andar", mas sem saber mais sobre sua configuração (embora eu seja um gerente de rede da faculdade, por isso tenho uma idéia geral), é possível por tudo o que sabemos que você tem aulas de programação em um andar, escritório administrativo em outro, etc. e as VLANs da estação de trabalho atual não se referem à separação de andares, mas à separação de funções ; portanto, as classes de programação não podem interromper o uso da LAN para processamento de texto em Em outras lições, os alunos não podem se conectar facilmente a estações de trabalho administrativas, talvez você tenha um requisito para PCs dedicados a exames eletrônicos e assim por diante. Se algo assim estiver acontecendo, talvez as VLANs extras da estação de trabalho comecem a fazer mais sentido.

Suponho que não exista nenhuma documentação explicando as escolhas de design feitas pela pessoa que inicialmente configurou tudo isso?

Rob Moir
fonte
Nenhuma documentação. Nenhum. Zero. Eu tenho que adivinhar por que está configurado do jeito que está. Talvez quando eu souber mais sobre VLANs a lógica (ou falta de) se tornará conhecida para mim. Alguns são claros: escritório de negócios, switches, servidores, telefones, mas, caso contrário, é por andar.
Kleefaj # 7/10
Talvez a pessoa que o configurou tenha aprendido a criar VLANs para as partes em que fazia sentido e tenha ficado um pouco louca. Você sabe como é, quando tudo que você tem é um martelo e muito entusiasmo, não demora muito para que tudo comece a parecer um prego. Eu acho que a pergunta neste momento pode ser: Será mais perturbador / irritante / o que quer que seja que seja alterado ou deixado como está?
precisa
@kleefaj - na verdade, a falta de documentação no seu caso pode ajudá-lo a entender melhor a configuração, pois será necessário mapear tudo e documentar você mesmo (o que você definitivamente deve fazer) e descobrir como os diferentes segmentos se comunicam. . Como o seu conhecimento atual sobre VLANs é limitado, esta será uma excelente oportunidade de aprendizado para você e ajudará você a criar uma melhor configuração de rede para sua organização, depois de entender completamente a configuração atual.
agosto
0

VLANs segmentam o tráfego de broadcast. Você não tem computadores suficientes para se preocupar com isso. VLANs frequentemente, mas nem sempre, alinhadas com sub-redes. As VLANs também permitem que você aplique algumas ACLs limitadas. As ACLs do switch podem ser muito caras, com pouco benefício. Os firewalls separam melhor o tráfego, as ACLs nas portas do switch que podem ficar confusas.

O único argumento que vejo para adicionar VLANs é se você também altera seu esquema de endereçamento IP. Agora, acho que com apenas 4 andares, pode ser um exagero.

Em uma empresa em que trabalhei, tínhamos uma dúzia de prédios em nosso campus principal e alguns campus satélites; portanto, tínhamos um esquema de endereçamento IP, que nos permitia dizer por um endereço IP em que local estava a construção de um dispositivo. 2 centavos, pelo que vale a pena.

JamesBarnett
fonte