VLAN - Planification?

8

Notre réseau est un L2 plat.

À un moment donné, nous devons (je veux, mais ce n'est pas strictement ma responsabilité) commencer à le VLAN, car nous allons évidemment avoir beaucoup de bavardages de diffusion en cours, et récemment l'un de nos pare-feu a atteint sa table d'arp limit (sans doute le pare-feu a une limite de table d'arp faible mais nous en sommes là).

Alors, comment trouvez-vous une méthodologie pour VLAN sur votre LAN?

Dans notre cas, nous sommes un seul site, mais la taille d'une petite ville (pensez campus je suppose).

Nous avons un réseau local / concentrateur assez typique avec quelques commutateurs de base sur lesquels les commutateurs de périphérie se connectent, certains directement, certains via des convertisseurs fibre à cuivre.

Notre kit de bord est un mélange de Procurve, Prosafes, d'anciens Baystacks, etc.

La plupart de nos clients sont sur DHCP, quelques-uns sont sur des IP statiques mais nous pourrions les gérer, les imprimantes en réseau sont également sur des IP statiques.

Comme je le vois, il existe de nombreuses options pour le VLAN en fonction de l'emplacement physique sur le campus, c'est-à-dire que tous les commutateurs de périphérie dans les bâtiments A et B utilisent le VLAN xx, ou il pourrait être basé sur d'autres facteurs.

Autrement dit, je n'ai jamais fait cela auparavant et il est facile de plonger et de faire des choses rapidement, puis de le regretter.

Comment vous y prendriez-vous s'il vous plaît?

flooble
la source

Réponses:

6

Habituellement, il existe déjà une division évidente et vous l'utilisez comme base pour segmenter le réseau. Cela ressemble plus à un sous-réseau que vous le souhaitez. Les réseaux locaux virtuels sont généralement basés sur des exigences administratives, comme un réseau de gestion, SAN ou VoIP, etc. Les sous-réseaux suivent ces réseaux locaux virtuels, mais divisent également généralement diverses différences physiques (une par bâtiment, étage ou autre construction physique).

Il est vraiment difficile de recommander quelque chose de spécifique sans rien savoir de votre réseau.

Chris S
la source
+1 pour suivre la division évidente. J'ai eu certains réseaux où un VLAN "postes de travail" et "serveurs" fonctionnait bien et a donné au client une marge de manœuvre depuis quelques années maintenant et sera probablement bien pour bien plus encore. J'ai également eu des clients avec des divisions de responsabilité claires au sein des postes de travail eux-mêmes et pour des raisons de sécurité, les VLAN les ont transférés dans les différentes "équipes".
gravyface
Les sous-réseaux AIUI réduiraient le domaine de diffusion, mais ne feraient rien pour restreindre le domaine L2 qui est d'où provient la table ARP et quel VLAN résoudrait-il?
flooble
1
Les VLAN sont un moyen de créer des commutateurs virtuels qui peuvent partitionner et / ou s'étendre sur des commutateurs physiques. Ils ne remplacent en aucun cas les sous-réseaux, au contraire, ils nécessitent des sous-réseaux supplémentaires. Ils font simplement abstraction de la fonctionnalité de l'implémentation physique.
Chris S
4

La façon dont @minarnhere décrit est absolument la voie à suivre, mais ne vous contentez pas de diviser par fonctionnalité, d'ajouter des facteurs de sécurité, d'emplacement physique et de nombre d'hôtes, divisez votre réseau en autant de VLAN que nécessaire en fonction de tous ces facteurs.

En supposant que les commutateurs et routeurs appropriés sont en place, il n'y a aucun coût à avoir de nombreux VLAN et les avantages sont énormes, si elle est correctement planifiée, la surcharge administrative est également minime. Ne vous limitez pas à des contraintes artificielles pour mettre tous les étudiants ou tuteurs ou tout groupe d'utilisateurs ou d'hôtes dans un seul VLAN, pourquoi voudriez-vous le faire de toute façon? N'oubliez pas que le trafic ne peut être contrôlé qu'au niveau de la couche 3, donc divisez votre réseau afin de pouvoir limiter et contrôler le trafic inter-VLAN, vous n'avez aucune chance avec le trafic au sein d'un VLAN.

La manière classique de concevoir un LAN de campus est de diviser le réseau en accès, distribution et cœur. De nombreux commutateurs de couche 2 d'accès, transportant chacun du trafic provenant d'un ou de plusieurs VLAN, se connecteront à quelques commutateurs de distribution de couche 3 qui acheminent le trafic vers un petit nombre de commutateurs principaux de couche 3.

Tous vos hôtes doivent être connectés à la couche d'accès qui est divisée en VLAN en fonction des facteurs décrits ci-dessus. Chaque VLAN de couche d'accès doit, dans la mesure du possible, être limité à un commutateur physique (cette règle ne doit être rompue que si vous avez des serveurs à double hébergement qui peuvent avoir besoin de basculer vers un autre commutateur dans le même VLAN). N'oubliez pas que chaque VLAN est un domaine de diffusion et que vous souhaitez limiter autant que possible le trafic de diffusion sur chacun d'entre eux. Envisagez d'utiliser uniquement des sous-réseaux / 24 pour votre couche d'accès, pourquoi voudriez-vous> 250 hôtes dans un seul domaine de diffusion?

Il y aura certaines, très, très peu de circonstances où un VLAN doit s'étendre sur plusieurs commutateurs, mais ceux-ci seront très spécialisés, la gestion des commutateurs peut-être une (mais c'est discutable), il y en a très peu d'autres.

Un bon point de départ serait vos serveurs. S'ils se trouvent au même emplacement physique (pièce, pas de bâtiment), vous souhaiterez peut-être les diviser en VLAN en fonction des fonctionnalités, sinon un seul VLAN par ~ 200 hôtes conviendra. De toute évidence (?) Les serveurs face à Internet devraient être leur propre réseau, de préférence physiquement séparé, protégé par un pare-feu du campus (la conception DMZ est une autre spécialité en soi, donc je n'entrerai pas dans les détails ici). Vos serveurs internes doivent également être divisés en ceux à l'usage des étudiants et ceux destinés à l'administration interne uniquement, en les divisant en VLAN de manière appropriée. Si certains serveurs appartiennent à des services particuliers (par exemple, RH), si vous devez contrôler le trafic vers ces serveurs, pensez à avoir un VLAN juste pour eux.

Si les serveurs sont répartis, puis placez-les dans des VLAN séparés en fonction de l'emplacement et des fonctionnalités, il n'est pas nécessaire qu'ils soient dans le même VLAN simplement `` parce qu'ils sont des serveurs '' ou simplement `` parce qu'ils sont tous des serveurs Web ''.

Passons aux utilisateurs de vos étudiants et de votre personnel. Pour commencer, chaque port ou point d'accès qui est ou pourrait être accessible par du personnel non informatique devrait être considéré comme un risque pour la sécurité et tout le trafic en provenance de celui-ci devrait être traité comme non fiable. Mettez vos salles de classe dans des VLAN en fonction du nombre possible d'hôtes et, selon les circonstances, des groupes d'utilisateurs, mais ne commettez pas l'erreur de `` faire confiance '' à des ports particuliers, si les tuteurs doivent accéder à votre réseau d'administration à partir d'une salle de classe, alors ils devraient leur être donnés la même méthode d'accès (VPN?) que s'ils étaient à la maison ou dans un café public.

Le réseau sans fil doit se trouver sur des VLAN séparés des câblés mais avec les mêmes contraintes, si cela peut être évité (mais parfois non) ne placez pas tous les AP dans un VLAN à l'échelle du campus, divisez-les en utilisant la même méthodologie et pour la même raison que le filaire.

Les téléphones IP devraient, surprise, surprise, être sur des VLAN séparés de tout le reste, cela est facilité sur certaines marques (Cisco selon mon expérience) par la négociation du téléphone avec le commutateur d'accès pour placer le trafic dans le VLAN approprié, mais cela nécessite évidemment le commutateur pour être configuré correctement.

Il y a beaucoup plus sur la conception LAN mais ce qui précède est un début. Enfin, en ce qui concerne DHCP, utilisez-le pour chaque hôte, y compris les serveurs et les imprimantes, ces deux doivent avoir des adresses IP attribuées statiquement en fonction de leurs adresses MAC. La portée (ou les étendues) de la première ne doit pas avoir d'adresses de rechange, cela empêche en partie le branchement occasionnel des périphériques aux VLAN du serveur mais, et cela s'applique également aux imprimantes, le fait est que vous avez un contrôle central des périphériques et tous les changements sont traités de manière centralisée plutôt que de compter sur des ingénieurs errant sur le campus pour obtenir les bonnes adresses.

D'accord, assez pour l'instant, j'espère que ça aide un peu.

à propos
la source
Après avoir relu la question, je me rends compte que le PO ne gère peut-être pas un véritable campus scolaire / collégial, juste un environnement de type campus, si tel est le cas, alors les «salles de classe» devraient être remplacées par des «bureaux» et en ce qui concerne le trafic non approuvé va, alors cela s'applique à tous les ports qui sont accessibles par quiconque n'est pas susceptible de se conformer, volontairement ou par accident, aux politiques locales de sécurité du PC et du réseau. Tous les autres principes concernant la division du réseau restent inchangés.
blankabout
1

Comme Chris S l'a mentionné, les VLAN et les sous-réseaux sont des choses différentes. MAIS, nous venons d'attribuer un sous-réseau distinct et une étendue DHCP à chaque VLAN sur le campus de notre école. Chaque bâtiment a sa propre portée VLAN / sous-réseau / DHCP. Cela rend la gestion beaucoup plus facile, mais pourrait ne pas fonctionner si vous avez un campus plus grand que nous. Nous utilisons également des VLAN séparés pour la gestion des commutateurs, des serveurs physiques, des téléphones VOIP, des étudiants sans fil, des salles de classe sans fil, des laboratoires d'étudiants, des serveurs virtuels, un bureau d'affaires, un SAN, un VPN. Fondamentalement, nous sommes suffisamment petits pour que toute différenciation possible obtienne son propre VLAN. (Nous ne comptons que 25 VLAN, et j'ai commencé à créer de nouvelles divisions juste parce que je voulais isoler certains groupes du reste du réseau ...)

La création de sous-réseaux séparés pour chaque VLAN peut être un gaspillage, mais cela facilite la gestion et permet des conversions IP -> VLAN faciles dans votre tête, si jamais vous avez besoin de le faire.

Nous utilisons 10.xxx pour les IP, donc VLAN1 obtient 10.1.xx, VLAN8 obtient 10.8.xx, etc. Chaque VLAN qui a besoin de DHCP obtient sa propre portée, mais nous ne créons pas d'étendues pour les VLAN qui n'en ont pas besoin, comme Gestion des commutateurs.

minamhere
la source