VLAN - ¿Planificación?

8

Nuestra red es un L2 plano.

En algún momento necesitamos (quiero, pero no es estrictamente mi responsabilidad) comenzar a VLAN hacia abajo, ya que obviamente tendremos mucha charla de transmisión, y recientemente uno de nuestros firewalls ha llegado a su mesa de arp limit (podría decirse que el firewall tiene un límite bajo de tabla de arp, pero estamos donde estamos con eso).

Entonces, ¿cómo se te ocurre una metodología para VLAN en tu LAN?

En nuestro caso, somos un sitio, pero del tamaño de una ciudad pequeña (creo que el campus, supongo).

Tenemos una LAN de hub / radio bastante típica con un par de conmutadores de núcleo a los que se conectan los conmutadores de borde, algunos directamente, algunos a través de convertidores de fibra a cobre.

Nuestro kit de borde es una mezcla de Procurve's, Prosafes, algunos Baystacks más antiguos, etc.

La mayoría de nuestros clientes están en DHCP, algunos están en IP estáticas pero podríamos tratar con ellos, las impresoras en red también están en IP estáticas.

Tal como lo veo, hay muchas opciones para VLAN basadas en la ubicación física en el campus, es decir, cualquier interruptor de borde en los edificios A y B va a VLAN xx, o podría basarse en otros factores.

En pocas palabras, no he hecho esto antes y es fácil sumergirse y hacer cosas rápidamente y luego arrepentirse.

¿Cómo lo harías, por favor?

flooble
fuente

Respuestas:

6

Por lo general, ya se está produciendo una división obvia y directa, y se usa como base para segmentar la red. Sin embargo, suena más como si quisieras subred de la red que vlan. Los vlans generalmente se basan en requisitos administrativos, como una red de administración, SAN o VoIP, etc. Las subredes siguen esos vlans, pero también suelen dividir varias diferencias físicas (una por edificio, piso u otra construcción física).

Es realmente difícil recomendar algo específico sin saber nada sobre su red.

Chris S
fuente
+1 por seguir una división obvia. He tenido algunas redes en las que una VLAN de "estaciones de trabajo" y "servidores" funcionó bien y le dio al cliente algo de espacio para respirar durante un par de años y probablemente estará bien por mucho más. También he tenido clientes con claras divisiones de responsabilidad dentro de las estaciones de trabajo y, por razones de seguridad, VLAN los ha dividido en varios "equipos".
gravyface
Las subredes AIUI reducirían el dominio de difusión, pero no harían nada para restringir el dominio L2, que es donde se origina la tabla ARP y ¿qué resolverían las VLAN?
Flooble
1
Las VLAN son una forma de crear conmutadores virtuales que pueden particionar y / o abarcar conmutadores físicos. No reemplazan subredes de ninguna manera, por el contrario, requieren subredes adicionales. Simplemente abstraen la funcionalidad de la implementación física.
Chris S
4

La forma en que @minarnhere describe es absolutamente el camino a seguir, pero no solo divida por funcionalidad, agregue factores de seguridad, ubicación física y número de hosts también, divida su red en tantas VLAN como sean necesarias en función de todos estos factores.

Suponiendo que los conmutadores y enrutadores apropiados estén en su lugar, no hay ningún costo por tener muchas VLAN y los beneficios son enormes, si se planifica correctamente, la sobrecarga administrativa también es mínima. No se limite con restricciones artificiales acerca de poner a todos los estudiantes o tutores o cualquier grupo de usuarios o hosts en una sola VLAN, ¿por qué querría hacer eso de todos modos? Recuerde que el tráfico solo puede controlarse en la capa 3, así que divida su red para que pueda limitar y controlar el tráfico entre VLAN, no tiene ninguna posibilidad de tráfico dentro de una VLAN.

La forma clásica de diseñar una LAN de campus es dividir la red en Acceso, Distribución y Núcleo. Muchos conmutadores de capa 2 de Access, cada uno de los cuales transporta tráfico desde una o más VLAN, se conectarán a unos pocos conmutadores de distribución de capa 3 que enrutan el tráfico a un pequeño número de conmutadores de núcleo de capa 3.

Todos sus hosts deben estar conectados a la capa de acceso que se divide en VLAN según los factores descritos anteriormente. Cada VLAN de capa de acceso debe, cuando sea posible, limitarse a un conmutador físico (esta regla solo debe romperse si tiene servidores de doble hospedaje que pueden necesitar conmutación por error a otro conmutador en la misma VLAN). Recuerde que cada VLAN es un dominio de transmisión y desea limitar el tráfico de transmisión en cada uno de ellos tanto como sea posible. Considere usar solo subredes / 24 para su capa de acceso, ¿por qué desearía> 250 hosts en un solo dominio de difusión?

Habrá algunas, muy, muy pocas circunstancias cuando una VLAN necesita extenderse a través de múltiples conmutadores, pero estos serán muy especializados, la administración de conmutadores puede ser una (pero eso es discutible), hay muy pocas otras.

Un buen punto de partida serían sus servidores. Si están en la misma ubicación física (habitación, no edificio), es posible que desee dividirlos en VLAN según la funcionalidad, pero de lo contrario, una sola VLAN por ~ 200 hosts estará bien. Obviamente (?) Los servidores orientados a Internet deben estar en su propia red, preferiblemente físicamente separada, con cortafuegos desde el campus (el diseño DMZ es otra especialidad en sí misma, por lo que no voy a entrar en eso aquí). Sus servidores internos también deben dividirse en aquellos para uso de los estudiantes y solo para uso interno del administrador, dividiéndolos en VLAN de manera adecuada. Si algunos servidores pertenecen a departamentos particulares (por ejemplo, HR), entonces, si necesita controlar el tráfico a esos servidores, considere tener una VLAN solo para ellos.

Si los servidores están dispersos, colóquelos en VLAN separadas en función de la ubicación y la funcionalidad, no es necesario que estén en la misma VLAN solo 'porque son servidores' o simplemente 'porque son todos servidores web'.

Pasando a sus usuarios estudiantes y personal. Para empezar, cada puerto o punto de acceso al que no pueda acceder el personal que no sea de TI debe considerarse un riesgo de seguridad y todo el tráfico que se origina desde allí debe tratarse como no confiable. Coloque sus aulas en VLAN según la posible cantidad de hosts y, según las circunstancias, los grupos de usuarios, pero no cometa el error de 'confiar' en puertos particulares, si los tutores necesitan llegar a su red de administración desde un aula, entonces se les debe dar el mismo método de acceso (VPN?) como si estuvieran en casa o en una cafetería pública.

La red inalámbrica debe estar en VLAN separadas de las cableadas pero con las mismas restricciones, si puede evitarse (pero a veces no puede) no coloque todos los AP en una VLAN en todo el campus, divídalos utilizando la misma metodología y por el mismo motivo que el cableado.

Los teléfonos IP deberían, sorpresa, sorpresa, estar en VLAN separadas de todo lo demás, esto es facilitado en algunas marcas (Cisco en mi experiencia) por el teléfono que negocia con el interruptor de acceso para poner el tráfico en la VLAN apropiada, pero esto obviamente requiere el cambio a estar configurado correctamente

Hay mucho más sobre el diseño de LAN, pero lo anterior es un comienzo. Como nota final, en lo que respecta a DHCP, úselo para cada host, incluidos servidores e impresoras, ambos deberían tener direcciones IP asignadas estáticamente en función de sus direcciones MAC. El alcance (o ámbitos) para el primero no debe tener direcciones de repuesto, esto sirve para evitar la conexión casual de dispositivos a las VLAN del servidor pero, y esto también se aplica a las impresoras, el punto es que usted tiene el control central de los dispositivos y cualquier cambio se trata de manera centralizada en lugar de depender de ingenieros que deambulan por el campus para obtener las direcciones correctas.

Bien, suficiente por ahora, espero que ayude un poco.

blankabout
fuente
Después de volver a leer la pregunta, me doy cuenta de que el OP puede no estar administrando un campus real de la escuela / universidad, solo un entorno similar al campus, si ese es el caso, las 'aulas' deberían reemplazarse por 'oficinas' y en lo que respecta al tráfico no confiable luego, eso se aplica a cualquier puerto al que pueda acceder cualquier persona que no cumpla, ya sea a propósito o por accidente, con las políticas locales de seguridad de PC y red. Todos los demás principios sobre la división de la red permanecen sin cambios.
blankabout
1

Como Chris S mencionó, las VLAN y las subredes son cosas diferentes. PERO, acabamos de asignar una subred separada y un alcance DHCP a cada VLAN en el campus de nuestra escuela. Cada edificio tiene su propio alcance VLAN / Subred / DHCP. Esto hace que la administración sea mucho más fácil, pero podría no funcionar si tiene un campus más grande que el nuestro. También utilizamos VLAN separadas para la administración de conmutadores, servidores físicos, teléfonos VOIP, conexión inalámbrica para estudiantes, conexión inalámbrica en el aula, laboratorios para estudiantes, servidores virtuales, oficina comercial, SAN, VPN. Básicamente, somos lo suficientemente pequeños como para que cualquier posible diferenciación tenga su propia VLAN. (Solo tenemos hasta 25 VLAN, y comencé a crear nuevas divisiones solo porque quería aislar ciertos grupos del resto de la red ...)

La creación de subredes separadas para cada VLAN puede ser un desperdicio, pero hace que la administración sea más fácil y permite conversiones de IP -> VLAN fáciles en su cabeza, si alguna vez necesita hacer eso.

Usamos 10.xxx para IP, por lo que VLAN1 obtiene 10.1.xx, VLAN8 obtiene 10.8.xx, etc. Cada VLAN que necesita DHCP tiene su propio alcance, pero no creamos ámbitos para VLAN que no los necesitan, como Switch Management.

minamhere
fuente