¿Son necesarias las VLAN para mi entorno?

10

Soy el nuevo administrador de red de una escuela. Heredé un entorno compuesto por varios servidores de Windows, alrededor de 100 clientes de Windows, 10 impresoras, 1 enrutador Cisco, 6 conmutadores Cisco y 1 conmutador HP. Además, estamos usando VoIP.

Hay cuatro pisos en nuestro edificio. Los hosts en cada piso se asignan a una VLAN separada. Una oficina en el primer piso tiene su propia VLAN. Todos los conmutadores están en su propia VLAN. Los teléfonos IP están en su propia VLAN. Y los servidores están en su propia VLAN.

Para la cantidad de hosts en la red, ¿todas estas VLAN realmente me están comprando algo? Soy nuevo en el concepto de VLAN, pero parece demasiado complicado para este entorno. ¿O es genial y simplemente no lo entiendo?

cisco switch vlan network-design kleefaj
fuente
Esta otra pregunta podría ser útil para usted cuando discutió los méritos de las subredes. Se tienen en cuenta cuestiones similares y es posible que las respuestas sean útiles allí: serverfault.com/questions/2591/…
Tall Jeff

Respuestas:

0

IME está en el estadio donde la segregación del tráfico a través de las redes mejorará el rendimiento. Sin embargo, la división de las VLAN parece haberse decidido sobre la base de la función de los nodos miembros en lugar de cualquier esfuerzo para administrar el ancho de banda. Ciertamente, con este número de nodos, podría obtener el mismo ancho de banda agregado planificando de manera inteligente dónde coloca los conmutadores en lugar de usar vlans.

Sin ver un diagrama detallado y obtener algunas mediciones reales, es difícil decirlo con certeza, pero sospecho que la configuración que describe no le brinda beneficios de rendimiento y muchos dolores de cabeza administrativos.

puede aplicar listas de control de acceso en el enrutador

No es una buena razón para usar vlans: use subredes, firewalls y conmutadores.

symcbean
fuente
¿Cómo lo ves mejorando el rendimiento? ¿Qué específicamente sobre VLAN's mejora el rendimiento? Gracias.
joeqwerty
1
¿Qué específicamente sobre VLAN's mejora el rendimiento? Nada. Al pasar el tráfico CSMA / CD a través de más de un cable en paralelo (lo que es más fácil de hacer en base a src / dst) disminuye las colisiones, aumenta el ancho de banda óptimo y efectivo.
symcbean
Eso es lo que pensé que querías decir; que la VLAN ayuda a eliminar las condiciones que conducen a una disminución del rendimiento, pero no aumentan activamente el rendimiento. Gracias por aclararlo.
joeqwerty
5

La mayoría de esas VLAN tienen sentido para mí. Es bueno dividir por función para que una VLAN para servidores, una para teléfonos y otra para estaciones de trabajo tenga sentido. Luego puede obtener un control preciso sobre el tráfico que fluye entre las estaciones de trabajo y los servidores.

Lo que no veo mucho sentido es tener VLAN para estaciones de trabajo en cada piso. Una única VLAN para todas las estaciones de trabajo mantendría las cosas agradables y simples. Ampliar las VLAN en varios conmutadores / troncales probablemente no será un problema para una red tan pequeña.

También es bastante inútil mantener una VLAN separada para la administración del conmutador. Pueden sentarse felices en la VLAN del servidor.

No hay nada mágico en las VLAN, por cierto ... solo separe los segmentos de red de transmisión, cada uno de los cuales requiere una puerta de enlace predeterminada y la configuración de ACL adecuada en los puertos de red.

Chris Thorpe
fuente
En realidad, una red separada para la administración es imprescindible en la mayoría de las redes comerciales para evitar ataques internos a los equipos. Configurar un puerto solo para administración es fácil y lo recomiendo encarecidamente
g18c
4

Bueno, podría ser útil tener VLAN separadas para datos (computadoras) y VoIP, para que pueda aplicar algún tipo de priorización de tráfico. Las VLAN separadas para la administración de los conmutadores también son útiles. Las VLAN separadas por piso pueden parecer demasiado para 100 PC, a menos que planee expandirse en el futuro.

Señor shunz
fuente
Totalmente de acuerdo. Ciertamente, debe separar su VOIP. Separar los servidores y la administración de la red está bien. Una VLAN de impresora se puede argumentar de cualquier manera. Separar por piso es excesivo para el tamaño de su entorno.
gWaldo
1

Las VLAN le permiten dividir su red en segmentos lógicos más pequeños; Esto ayuda tanto a mejorar la capacidad de administración como a limitar el tráfico de difusión innecesario.

Para una red tan pequeña, en realidad podría ser excesivo: podría manejar fácilmente ~ 100 objetos de red con una sola subred VLAN e IP. Pero creo que debería atenerse a esta configuración, por dos razones principales:

1) Mejora la manejabilidad; Si sabe que los servidores están en 192.168.1.X y los clientes están en 192.168.100.Y, es más fácil administrarlos. Si todas sus direcciones estuvieran en la subred 192.168.42.Z, ¿cómo podría (fácilmente) distinguir entre ellas?
2) Se escala mucho mejor. Si alguna vez se mueve de ~ 100 a> 200 objetos de red, una subred única / 24 IP de repente parecerá mucho más pequeña, y una sola más grande se convertirá fácilmente en un desastre.

Para los puristas: sí, sé muy bien que las VLAN y las subredes IP no necesariamente tienen una asignación 1: 1 estricta; este es solo el uso más común para ellos, que parece ser a lo que se refiere el OP.

Massimo
fuente
2
Las subredes IP son una forma de compartimentar redes lógicas, al igual que los vlans. Usar ambos es innecesario y complica demasiado la situación. Para una red IP, existen ventajas adicionales al usar subredes en comparación con vlans, por lo que esta última es redundante en mi humilde opinión.
symcbean
1
¿Y cómo usaría exactamente subredes IP sin VLAN y conmutadores de capa 3, si no tiene algunos enrutadores?
Massimo
@symcbean: Sí, lo que dijo Massimo. Soy todo oídos.
Evan Anderson el
interruptores de capa 3? sin enrutadores? - Estoy seguro de que agrega adornos a la pregunta original durante días que mi respuesta no aborda.
symcbean
1
@symcbean, si desea dividir su red en varias subredes IP, también necesitará algo para dividirlas en la capa 2, a menos que desee ejecutar muchas subredes IP en el mismo segmento Ethernet; e, incluso si quisieras hacer eso, aún necesitarías algo para que hablen, es decir, un enrutador (o firewall). Un solo conmutador bueno, como uno de Cisco, puede hacer ambas cosas usando VLAN para la segmentación de Ethernet e interfaces VLAN IP para enrutamiento; pero si no desea usarlos (¿por qué?), necesitará diferentes conmutadores físicos y al menos un enrutador físico.
Massimo
0

La otra ventaja de este diseño es que puede aplicar listas de control de acceso en el enrutador, de modo que las comunicaciones entre las VLAN sean limitadas, y puede proteger los servidores de Windows de estudiantes entusiastas.

Mitch Miller
fuente
0

Estoy de acuerdo con las respuestas que ya tienes.

¿ Necesitas VLAN? En otras palabras, ¿son "necesarios" si queremos apegarnos pedantemente a lo que usted pregunta en el título de su pregunta? Probablemente no. ¿Es una buena idea dada la variedad de tráfico que tiene? Probablemente si.

No hay una respuesta correcta o incorrecta, se trata de diferentes diseños y de lo que el diseñador esperaba lograr ...

Según lo que ha dicho, estoy de acuerdo con los comentarios acerca de no necesitar una VLAN "por piso", pero sin saber más acerca de su configuración (aunque soy un administrador de red de la universidad, así que tengo una idea general) es posible por todo lo que sabemos que tiene clases de programación todas en un piso, oficina administrativa en otro, etc. y que las VLAN de la estación de trabajo actual no se trata de separar pisos sino de separar funciones , por lo que las clases de programación no pueden interrumpir el uso de la LAN para el procesamiento de textos en En otras lecciones, los estudiantes no pueden conectarse fácilmente a las estaciones de trabajo administrativas, tal vez tenga un requisito para PC dedicadas para exámenes electrónicos, etc. Si algo así está sucediendo, entonces tal vez las VLAN de estaciones de trabajo adicionales comiencen a tener más sentido.

¿Supongo que no existe documentación que explique las elecciones de diseño realizadas por la persona que inicialmente configuró todo esto?

Rob Moir
fuente
No hay documentación en absoluto. Ninguna. Cero. Tengo que adivinar por qué está configurado como está. Quizás cuando sepa más acerca de las VLAN, la lógica (o la falta de ella) me sea conocida. Algunos son claros: oficina comercial, conmutadores, servidores, teléfonos, pero por lo demás es por piso.
kleefaj
Tal vez la persona que lo configuró aprendió a crear VLAN para las partes donde tenía sentido y luego se volvió un poco loco. Ya sabes cómo es, cuando todo lo que tienes es un martillo y mucho entusiasmo, no pasa mucho tiempo para que todo comience a parecerse a un clavo. Supongo que la pregunta en este punto podría ser: ¿Será más perturbador / molesto / lo que sea cambiarlo o dejarlo como está?
Rob Moir
@kleefaj: en realidad, la falta de documentación en su caso puede ayudarlo a comprender mejor la configuración, ya que tendrá que mapearlo todo y documentarlo usted mismo (lo que definitivamente debería hacer) y descubrir cómo los diferentes segmentos se comunican entre sí . Dado que su conocimiento actual sobre las VLAN es limitado, esta será una gran oportunidad de aprendizaje para usted y lo ayudará a diseñar una mejor configuración de red para su organización una vez que comprenda completamente la configuración actual.
Agosto
0

Las VLAN separan el tráfico de difusión. No tienes suficientes computadoras para preocuparte por eso. Las VLAN a menudo, pero no siempre, se alinean con las subredes. Las VLAN también le permiten aplicar algunas ACL limitadas. Las ACL de conmutador pueden ser de mucho mantenimiento con pocos beneficios. Los cortafuegos separan mejor el tráfico, las ACL en los puertos del conmutador que pueden complicarse.

El único argumento que veo para agregar VLAN es si también cambia su esquema de direccionamiento IP. Ahora, creo que con solo 4 pisos que pueden ser excesivos.

En una empresa en la que solía trabajar, teníamos una docena de edificios en nuestro campus principal y algunos campus satélites, por lo que teníamos un esquema de direccionamiento IP que nos permitía decir por una dirección IP en qué edificio estaba un dispositivo. Ese es mi 2 centavos, por lo que vale.

JamesBarnett
fuente