Les VLAN sont-ils nécessaires pour mon environnement?

10

Je suis le nouveau gestionnaire de réseau d'une école. J'ai hérité d'un environnement composé de plusieurs serveurs Windows, d'environ 100 clients Windows, 10 imprimantes, 1 routeur Cisco, 6 commutateurs Cisco et 1 commutateur HP. Nous utilisons également la VoIP.

Il y a quatre étages dans notre immeuble. Les hôtes de chaque étage sont affectés à un VLAN distinct. Un bureau au premier étage possède son propre VLAN. Tous les commutateurs sont sur leur propre VLAN. Les téléphones IP sont sur leur propre VLAN. Et les serveurs sont sur leur propre VLAN.

Pour le nombre d'hôtes sur le réseau, tous ces VLAN m'achètent-ils vraiment quelque chose? Je suis nouveau dans le concept de VLAN mais cela semble trop compliqué pour cet environnement. Ou c'est du génie et je ne comprends pas?

cisco switch vlan network-design kleefaj
la source
Cette autre question pourrait vous être utile pour discuter des avantages du sous-réseau. Des problèmes similaires entrent en considération et vous trouverez peut-être les réponses utiles: serverfault.com/questions/2591/…
Tall Jeff

Réponses:

0

IME, vous êtes dans le stade où la séparation du trafic sur les réseaux améliorera les performances. Cependant, la division des VLAN semble avoir été décidée sur la base de la fonction des nœuds membres plutôt que de tout effort de gestion de la bande passante. Certes, avec ce nombre de nœuds, vous pourriez obtenir la même bande passante agrégée en planifiant intelligemment où vous placez les commutateurs plutôt qu'en utilisant des réseaux locaux virtuels.

Sans voir un diagramme détaillé et obtenir de vraies mesures, c'est difficile à dire, mais je soupçonne que la configuration que vous décrivez ne vous donne aucun avantage en termes de performances et beaucoup de maux de tête administratifs.

vous pouvez appliquer des listes de contrôle d'accès sur le routeur

Pas une bonne raison d'utiliser des réseaux locaux virtuels - utilisez des sous-réseaux, des pare-feu et des commutateurs.

symcbean
la source
Comment voyez-vous l'amélioration des performances? Qu'en est-il spécifiquement des VLAN qui améliorent les performances? Merci.
joeqwerty
1
Qu'en est-il spécifiquement des VLAN qui améliorent les performances? Rien. Le passage du trafic CSMA / CD sur plusieurs câbles en parallèle (ce qui est plus facile à faire sur la base de src / dst) diminue les collisions, augmente la bande passante optimale et efficace.
symcbean
C'est ce que je pensais que tu voulais dire; que les VLAN aident à éliminer les conditions qui entraînent une baisse des performances, mais ils n'augmentent pas activement les performances. Merci de clarifier.
joeqwerty
5

La plupart de ces VLAN ont du sens pour moi. Il est bon de diviser par fonction, donc un VLAN pour les serveurs, un pour les téléphones et un autre pour les postes de travail est logique. Vous pouvez alors contrôler avec précision le trafic circulant entre les postes de travail et les serveurs.

Ce que je ne vois pas grand-chose, c'est d'avoir des VLAN pour les postes de travail à chaque étage. Un seul VLAN pour tous les postes de travail permettrait de garder les choses simples et agréables. La répartition des VLAN sur plusieurs commutateurs / circuits ne sera probablement pas un problème pour un réseau aussi petit.

Il est également assez inutile de maintenir un VLAN séparé pour la gestion des commutateurs. Ils peuvent s'asseoir joyeusement sur le VLAN du serveur.

Rien de magique à propos des VLAN BTW ... juste des segments de réseau de diffusion séparés, chacun nécessitant une passerelle par défaut et la configuration ACL appropriée sur les ports réseau.

Chris Thorpe
la source
En fait, un réseau distinct pour la gestion est indispensable sur la plupart des réseaux d'entreprise pour empêcher les attaques internes sur les équipements. La configuration d'un port pour la gestion uniquement est facile et à mon humble avis le recommande vivement
g18c
4

Eh bien, il pourrait être utile d'avoir des VLAN séparés pour les données (ordinateurs) et VoIP, afin que vous puissiez appliquer une sorte de hiérarchisation du trafic. Des VLAN séparés pour la gestion des commutateurs sont également utiles. Des VLAN séparés par étage semblent peut-être trop pour 100 PC, sauf si vous prévoyez de vous étendre à l'avenir.

M. Shunz
la source
Entièrement d'accord. Vous devez certainement séparer votre VOIP. La séparation de vos serveurs et de la gestion du réseau est très bien. Un VLAN d'imprimante peut être argumenté dans les deux sens. La séparation par le sol est exagérée à la taille de votre environnement.
gWaldo
1

Les VLAN vous permettent de diviser votre réseau en segments logiques plus petits; cela permet à la fois d'améliorer la gérabilité et de limiter le trafic de diffusion inutile.

Pour un si petit réseau, cela pourrait être exagéré: vous pouvez facilement gérer environ 100 objets réseau avec un seul sous-réseau VLAN et IP. Mais je pense que vous devriez vous en tenir à cette configuration, pour deux raisons principales:

1) Il améliore la gérabilité; si vous savez que les serveurs sont en 192.168.1.X et les clients en 192.168.100.Y, il est plus facile de les gérer. Si toutes vos adresses se trouvaient dans le sous-réseau 192.168.42.Z, comment pourriez-vous (facilement) les distinguer?
2) Il évolue beaucoup mieux. Si vous passez de ~ 100 à> 200 objets réseau, un sous-réseau IP unique / 24 semblera soudain beaucoup plus petit, et un seul plus gros deviendra très facilement un gâchis.

Pour les puristes: oui, je sais très bien que les VLAN et les sous-réseaux IP n'ont pas nécessairement un mappage strict 1: 1; ce n'est que l'utilisation la plus courante pour eux, ce qui semble être ce à quoi le PO fait référence.

Massimo
la source
2
Les sous-réseaux IP sont un moyen de compartimenter les réseaux logiques - tout comme les réseaux locaux virtuels. L'utilisation des deux est inutile et complique de façon excessive la situation. Pour un réseau IP, l'utilisation de sous-réseaux présente des avantages supplémentaires par rapport aux réseaux locaux virtuels - ce dernier est donc redondant à mon humble avis.
symcbean
1
Et comment utiliseriez-vous exactement les sous-réseaux IP sans VLAN et commutateurs de couche 3, si vous n'avez pas de routeurs autour?
Massimo
@symcbean: Ouais-- ce que Massimo a dit. Je suis tout ouïe.
Evan Anderson
commutateurs de couche 3? pas de routeurs? - Je suis sûr que vous ajoutez des embellissements à la question d'origine pendant des jours auxquels ma réponse ne répond pas.
symcbean
1
@symcbean, si vous souhaitez diviser votre réseau en plusieurs sous-réseaux IP, vous aurez également besoin de quelque chose pour les diviser au niveau de la couche 2, sauf si vous souhaitez exécuter plusieurs sous-réseaux IP sur le même segment Ethernet; et, même si vous vouliez le faire, vous auriez toujours besoin de quelque chose pour les faire parler, c'est-à-dire un routeur (ou un pare-feu). Un seul bon commutateur, comme un Cisco, peut faire les deux en utilisant des VLAN pour la segmentation Ethernet et des interfaces IP VLAN pour le routage; mais si vous ne voulez pas les utiliser (pourquoi?), vous aurez besoin de différents commutateurs physiques et d'au moins un routeur physique.
Massimo
0

L'autre avantage de cette conception est que vous pouvez appliquer des listes de contrôle d'accès sur le routeur, afin que les communications entre les VLAN soient limitées, et que vous puissiez protéger les serveurs Windows contre les étudiants enthousiastes.

Mitch Miller
la source
0

Je suis d'accord avec les réponses que vous avez déjà.

Avez-vous besoin de VLAN? En d'autres termes, sont-ils "nécessaires" si nous voulons nous en tenir à ce que vous demandez dans le titre de votre question? Probablement pas. Est-ce une bonne idée étant donné la diversité du trafic que vous avez? Probablement oui.

Il n'y a pas de bonne ou de mauvaise réponse, c'est une question de designs différents et de ce que le designer espérait réaliser ...

Sur la base de ce que vous avez dit, je suis d'accord avec les commentaires sur le fait de ne pas avoir besoin d'un VLAN "par étage", mais sans en savoir plus sur votre configuration (bien que je sois gestionnaire de réseau d'université, j'ai donc une idée générale), c'est possible pour tout ce que nous savons que vous avez des classes de programmation à un étage, un bureau administratif à un autre, etc. et que les VLAN actuels des postes de travail ne concernent pas la séparation des étages mais plutôt la séparation des fonctions , de sorte que les classes de programmation ne peuvent pas perturber l'utilisation du LAN pour le traitement de texte dans d'autres leçons, les étudiants ne peuvent pas facilement se connecter aux postes de travail administratifs, peut-être avez-vous besoin de PC dédiés pour les examens électroniques, etc. Si quelque chose comme ça se passe, alors peut-être que les VLAN de postes de travail supplémentaires commencent à avoir plus de sens.

Je ne suppose pas qu'il existe de documentation expliquant les choix de conception faits par la personne qui a initialement mis tout cela en place?

Rob Moir
la source
Pas de documentation du tout. Aucun. Zéro. Je dois deviner pourquoi il est configuré comme ça. Peut-être que lorsque j'en saurai plus sur les VLAN, la logique (ou le manque de) me sera connue. Certains sont clairs: bureau d'affaires, commutateurs, serveurs, téléphones, mais sinon, c'est par étage.
kleefaj
Peut-être que la personne qui l'a installé a appris à créer des VLAN pour les parties où cela avait du sens, puis est devenue un peu folle. Vous savez comment c'est, quand tout ce que vous avez est un marteau et beaucoup d'enthousiasme, il ne faut pas longtemps pour que tout commence à ressembler à un clou. Je suppose que la question à ce stade pourrait être: sera-t-il plus perturbateur / ennuyeux / quoi que ce soit de le changer ou de le laisser tel quel?
Rob Moir
@kleefaj - en fait, le manque de documentation dans votre cas peut vous aider à mieux comprendre la configuration, car vous devrez tout cartographier et documenter vous-même (ce que vous devriez certainement faire) et comprendre comment les différents segments se parlent . Étant donné que vos connaissances actuelles sur les VLAN sont limitées, ce sera une excellente opportunité d'apprentissage pour vous et vous aidera à concevoir une meilleure configuration réseau pour votre organisation une fois que vous aurez pleinement compris la configuration actuelle.
août
0

Les VLAN séparent le trafic de diffusion. Vous n'avez pas assez d'ordinateurs pour vous en inquiéter. Les VLAN s'alignent souvent mais pas toujours sur les sous-réseaux. Les VLAN vous permettent également d'appliquer des ACL limitées. Les ACL de commutateur peuvent être beaucoup d'entretien avec peu d'avantages. Les pare-feu séparent mieux le trafic, les listes de contrôle d'accès sur les ports de commutateur peuvent devenir compliqués.

Le seul argument que je vois pour l'ajout de VLAN est que vous modifiez également votre schéma d'adressage IP. Maintenant, je pense qu'avec seulement 4 étages qui peuvent être exagérés.

Dans une entreprise dans laquelle je travaillais, nous avions une douzaine de bâtiments sur notre campus principal et quelques campus satellites, nous avions donc un schéma d'adressage IP, qui nous permettait de dire par une adresse IP dans quel bâtiment se trouvait un appareil. 2 cents, pour ce que ça vaut.

JamesBarnett
la source