Ile sieci VLAN jest za mało, a za dużo?

Obecnie prowadzimy sieć z ponad 800 komputerami PC i ponad 20 serwerami, infrastruktura sieci jest zgodna z Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop. Wszystkie działające urządzenia 3Com (1).

Mamy 3 przełączniki obszarowe dla czterech obszarów (A, B, C, D są połączone z rdzeniem), każdy przełącznik obszarowy będzie miał między 10 a 20 lokalnych przełączników podłączonych do nich. Istnieje również zapasowy przełącznik rdzenia, mniej zasilany, ale podłączony, jak główny przełącznik rdzenia.

Posiadamy również system telefonu IP. Komputery / serwery i swicthes są w zakresie adresów IP 10.x, telefony w zakresie 192.168.x. Komputery na ogół nie muszą ze sobą rozmawiać, z wyjątkiem pracowni komputerowych, ale muszą być w stanie rozmawiać z większością naszych serwerów (AD, DNS, Exchange, przechowywanie plików itp.)

Podczas konfiguracji zdecydowaliśmy, że będziemy mieli 3 sieci VLAN, jedną dla Switches & Computers, jedną dla telefonów i jedną dla replikacji serwera (było to sprzeczne z zaleceniami inżynierów 3Com). Sieć jest stabilna i działa od tego momentu (2), ale teraz zaczęliśmy aktualizować do SAN i środowiska wirtualizacji. Teraz podział tej nowej infrastruktury na osobne sieci VLAN ma sens, a przeglądanie konfiguracji naszych sieci VLAN wydaje się rozsądne.

Proponuje się teraz, aby sieci VLAN były konfigurowane w poszczególnych pokojach, tj. Laboratorium komputerowe z ponad 5 komputerami powinno być własną siecią VLAN, ale jeśli zastosujemy ten model, będziemy szukać co najmniej 25 „nowych” sieci VLANS , a także VLANS dla serwerów SAN / wirtualnych. Wydaje mi się, że spowoduje to nadmierne nakłady administracyjne, chociaż z radością udowodniono, że się mylę.

Jaka wydaje się najlepsza praktyka? Czy istnieje pewna liczba komputerów, których nie zaleca się przekraczania / zmniejszania w sieci VLAN?

(1) Przełączniki 3Com (3870 i 8800) trasują między sieciami VLAN inaczej niż w przypadku niektórych innych, nie wymaga oddzielnego routera, ponieważ są one warstwą 3.

(2) Czasami dostajemy wysokie wskaźniki odrzutów lub zmiany STP, a jednocześnie dyrektor 3Com Network informuje, że przełączniki są niedociążone i wolno reagują na pingi, lub nieudany przełącznik udaje się zlikwidować sieć (wszystkie sieci i telefony VLANS! raz nie mam pojęcia dlaczego)

Wygląda na to, że ktoś w Twojej organizacji chce stworzyć sieci VLAN bez zrozumienia powodów, dla których to zrobiłeś, i związanych z nimi zalet / wad. Wygląda na to, że musisz zrobić jakiś pomiar i wymyślić jakieś prawdziwe powody, aby to zrobić, zanim pójdziesz do przodu, przynajmniej z szalonym „VLAN dla pokoju”.

Nie powinieneś zaczynać rozbijania sieci Ethernet LAN na sieci VLAN, chyba że masz ku temu dobre powody. Dwa najlepsze powody to:

• Łagodzenie problemów z wydajnością. Sieci Ethernet LAN nie mogą być skalowane w nieskończoność. Nadmierna transmisja lub zalewanie ramek do nieznanych miejsc docelowych ograniczy ich skalę. Każdy z tych warunków może być spowodowany zbyt dużą pojedynczą domeną rozgłoszeniową w sieci Ethernet Ethernet. Ruch rozgłoszeniowy jest łatwy do zrozumienia, ale zalewanie ramek do nieznanych miejsc docelowych jest nieco bardziej niejasne (do tego stopnia, że ​​żaden inny plakat tutaj nawet o tym nie wspomina!). Jeśli dostaniesz tyle urządzeń, że w twoich przełącznikach tabele MAC są przepełnione, przełączniki zostaną zmuszone do zalewania ramek nie rozgłaszanych ze wszystkich portów, jeśli miejsce docelowe ramki nie pasuje do żadnych wpisów w tabeli MAC. Jeśli masz wystarczająco dużą pojedynczą domenę rozgłoszeniową w sieci Ethernet LAN z profilem ruchu, na którym hosty rozmawiają rzadko (to znaczy na tyle rzadko, że ich wpisy zestarzały się z tabel MAC na przełącznikach), możesz również uzyskać nadmierne zalewanie ramek .

• Chęć ograniczenia / kontroli ruchu między hostami na warstwie 3 lub wyższej. Możesz przeprowadzić hakowanie, badając ruch na warstwie 2 (ala Linux ebtables), ale jest to trudne do zarządzania (ponieważ reguły są powiązane z adresami MAC, a wymiana kart sieciowych wymaga zmian reguł) może powodować, że wyglądają na naprawdę, naprawdę dziwne zachowania (robienie na przykład przezroczyste proxy HTTP na warstwie 2 jest dziwaczne i zabawne, ale jest całkowicie nienaturalne i może być bardzo nieintuicyjne w rozwiązywaniu problemów i na ogół jest trudne do zrobienia na niższych warstwach (ponieważ narzędzia warstwy 2 są jak patyki i skały w rozwiązywaniu problemów z warstwą 3+). Jeśli chcesz kontrolować ruch IP (lub TCP, UDP itp.) Między hostami, zamiast atakować problem w warstwie 2, powinieneś podsieć i trzymać zapory ogniowe / routery za pomocą list ACL między podsieciami.

Problemy z wyczerpaniem przepustowości (chyba że są spowodowane pakietami rozgłoszeniowymi lub zalewaniem ramek) nie są zazwyczaj rozwiązywane za pomocą sieci VLAN. Dzieje się tak z powodu braku fizycznej łączności (zbyt mało kart sieciowych na serwerze, zbyt mało portów w grupie agregacji, potrzeba przejścia na większą prędkość portów) i nie można ich rozwiązać przez podsieci lub wdrożenie sieci VLAN, ponieważ to wygrało nie zwiększać dostępnej przepustowości.

Jeśli nie masz nawet czegoś prostego, na przykład MRTG, uruchamiającego wykresy statystyk ruchu według portów na przełącznikach, to naprawdę twoje pierwsze zamówienie, zanim zaczniesz potencjalnie wprowadzać wąskie gardła z dobrze zaplanowaną, ale niedoinformowaną segmentacją sieci VLAN. Liczby nieprzetworzonych bajtów są dobrym początkiem, ale powinieneś śledzić je z ukierunkowanym wąchaniem, aby uzyskać więcej informacji na temat profili ruchu.

Gdy już wiesz, jak ruch się zmienia w sieci LAN, możesz zacząć myśleć o segmentacji sieci LAN ze względu na wydajność.

Jeśli naprawdę chcesz spakować pakiet i dostęp na poziomie strumienia między sieciami VLAN, przygotuj się na dużo pracy z oprogramowaniem i uczenie się / inżynieria wsteczna, jak to się komunikuje. Ograniczenie dostępu hostów do serwerów często można osiągnąć za pomocą funkcji filtrowania na serwerach. Ograniczenie dostępu za pośrednictwem drutu może zapewnić fałszywe poczucie bezpieczeństwa i uśpić administratorów w samozadowolenie, gdy myślą: „Nie muszę konfigurować aplikacji bezpiecznie. Ponieważ hosty, które mogą z nią rozmawiać, są ograniczone przez sieć'." Zachęcam do sprawdzenia bezpieczeństwa konfiguracji serwera, zanim zacznę ograniczać komunikację między hostami w sieci.

Zazwyczaj tworzysz sieci VLAN w sieci Ethernet i odwzorowujesz na nich podsieci IP od 1 do 1. Będziesz potrzebował dużo podsieci IP do tego, co opisujesz, i potencjalnie dużo wpisów w tablicy routingu. Lepiej zaplanuj te podsieci za pomocą VLSM, aby podsumować wpisy tabeli routingu, co?

(Tak, tak - istnieją sposoby, aby nie używać osobnej podsieci dla każdej sieci VLAN, ale pozostając w świecie „waniliowym”, w którym utworzyłbyś sieć VLAN, wymyśl podsieć IP do użycia w sieci VLAN, przydziel router adres IP w tej sieci VLAN, podłącz ten router do sieci VLAN za pomocą interfejsu fizycznego lub wirtualnego podinterface na routerze, podłącz niektóre hosty do sieci VLAN i przypisz im adresy IP w podsieci, którą zdefiniowałeś, i kieruj ich ruchem do i poza VLAN.)

Sieci VLAN są naprawdę przydatne tylko do ograniczania ruchu rozgłoszeniowego. Jeśli coś ma dużo nadawać, podziel je na własną sieć VLAN, w przeciwnym razie nie zawracałbym sobie głowy. Możesz chcieć mieć wirtualizowaną duplikację systemu na żywo w tej samej sieci i chcesz użyć tego samego zakresu adresów, a następnie, może to być warte osobnej sieci VLAN.

Sieci VLAN są dobre jako dodatkowy poziom bezpieczeństwa. Nie wiem, jak 3Com sobie z tym radzi, ale zwykle można podzielić różne grupy funkcyjne na różne sieci VLAN (np. Księgowość, WLAN itp.). Następnie możesz kontrolować, kto ma dostęp do określonej sieci VLAN.

Nie sądzę, aby nastąpił znaczny spadek wydajności, jeśli w tej samej sieci VLAN znajduje się wiele komputerów. Wydaje mi się, że segmentowanie sieci LAN w poszczególnych pokojach jest niepraktyczne, ale znowu nie wiem, jak 3Com sobie z tym radzi. Zazwyczaj nie jest to wielkość, lecz bezpieczeństwo lub działanie.

W efekcie nie widzę żadnego powodu, aby nawet segmentować sieć LAN na różne sieci VLAN, jeśli nie ma korzyści w zakresie bezpieczeństwa lub działania.

Jeśli nie masz 25 grup testowych i programistycznych, które regularnie zabijają sieć z powodu powodzi rozgłoszeniowych, 25 sieci VLAN na pokój to 24 za dużo.

Oczywiście Twoja sieć SAN potrzebuje własnej sieci VLAN, a nie tej samej sieci VLAN, co sieci wirtualne i dostęp do Internetu! Można to wszystko zrobić przez pojedynczy port Ethernet w systemie hosta, więc nie ma obaw o rozdzielenie tych funkcji.

Jeśli masz problemy z wydajnością, rozważ umieszczenie telefonu i sieci SAN na osobnym sprzęcie sieciowym, a nie tylko w sieci VLAN.

Zawsze będzie nadawany ruch, niezależnie od tego, czy jest to nadawanie z rozpoznawaniem nazw, nadawanie ARP itp. Ważne jest monitorowanie natężenia ruchu nadawanego. Jeśli przekracza 3–5% całkowitego ruchu, oznacza to problem.

Sieci VLAN są dobre do zmniejszania rozmiaru domen rozgłoszeniowych (jak stwierdził David) lub do bezpieczeństwa, lub do tworzenia dedykowanych sieci zapasowych. Nie są tak naprawdę rozumiane jako domeny „zarządzania”. Ponadto dodasz złożoność routingu i narzut do swojej sieci poprzez wdrożenie sieci VLAN.

Ogólnie rzecz biorąc, chcesz rozważyć użycie sieci VLAN tylko wtedy, gdy musisz poddać urządzenia kwarantannie (np. Obszar, w którym użytkownicy mogą wnosić własne laptopy lub gdy masz krytyczną infrastrukturę serwera, która musi być chroniona) lub jeśli Twoja domena rozgłoszeniowa jest za wysoko.

Domeny rozgłoszeniowe mogą zwykle mieć około 1000 urządzeń, zanim zaczniesz zauważać problemy w sieciach 100Mbit, choć zmniejszyłbym to do 250 urządzeń, jeśli masz do czynienia ze stosunkowo głośnymi obszarami systemu Windows.

W większości współczesne sieci nie potrzebują sieci VLAN, chyba że wykonujesz tę kwarantannę (oczywiście z odpowiednim zaporą ogniową przy użyciu list ACL) lub ograniczenia emisji.

Są również przydatne do zapobiegania emisjom DHCP w celu dotarcia do niepożądanych urządzeń sieciowych.