VLAN จำเป็นสำหรับสภาพแวดล้อมของฉันหรือไม่?

10

ฉันเป็นผู้จัดการเครือข่ายใหม่สำหรับโรงเรียน ฉันได้รับสภาพแวดล้อมที่ประกอบด้วยเซิร์ฟเวอร์ Windows หลายตัวไคลเอนต์ Windows ประมาณ 100 เครื่องเครื่องพิมพ์ 10 ตัวเราเตอร์ Cisco 1 สวิตช์สวิตช์ Cisco 6 ตัวและสวิตช์ HP 1 ตัว นอกจากนี้เรากำลังใช้ VoIP

ในอาคารของเรามีสี่ชั้น โฮสต์ในแต่ละชั้นจะถูกกำหนดให้กับ VLAN ที่แยกต่างหาก สำนักงานที่ชั้นหนึ่งมี VLAN ของตัวเอง สวิตช์ทั้งหมดอยู่ใน VLAN ของตัวเอง โทรศัพท์ IP นั้นเป็นของตัวเอง VLAN และเซิร์ฟเวอร์อยู่บน VLAN ของตัวเอง

สำหรับจำนวนโฮสต์บนเครือข่าย VLAN เหล่านี้ทั้งหมดซื้ออะไรให้ฉันจริงๆ ฉันใหม่สำหรับแนวคิด VLAN แต่ดูเหมือนว่าซับซ้อนเกินไปสำหรับสภาพแวดล้อมนี้ หรือว่าเป็นอัจฉริยะและฉันก็ไม่เข้าใจ

— kleefaj
แหล่งที่มา

คำถามอื่นนี้อาจเป็นประโยชน์กับคุณเมื่อมีการกล่าวถึงข้อดีของซับเน็ตติ้ง ปัญหาที่คล้ายกันเข้ามาในการพิจารณาและคุณอาจพบคำตอบที่เป็นประโยชน์: serverfault.com/questions/2591/…

— Tall Jeff

0

IME คุณอยู่ในสวนบอลที่แยกการรับส่งข้อมูลข้ามเครือข่ายจะปรับปรุงประสิทธิภาพ อย่างไรก็ตามการแบ่ง VLAN นั้นดูเหมือนจะได้รับการตัดสินบนพื้นฐานของฟังก์ชั่นของโหนดสมาชิกแทนที่จะพยายามจัดการแบนด์วิดท์ใด ๆ แน่นอนว่าด้วยจำนวนโหนดนี้คุณจะได้รับแบนด์วิดธ์รวมเท่าเดิมโดยการวางแผนอย่างชาญฉลาดว่าคุณใส่สวิตช์ไว้ที่ใดแทนที่จะใช้ vlans

โดยไม่ต้องเห็นไดอะแกรมแบบ detailled และทำให้การวัดจริงยากที่จะพูดอย่างแน่นอน แต่ฉันสงสัยว่าการตั้งค่าที่คุณอธิบายนั้นทำให้คุณไม่ได้รับประโยชน์ด้านประสิทธิภาพและปวดหัวผู้ดูแลระบบจำนวนมาก

คุณสามารถบังคับใช้รายการควบคุมการเข้าถึงบนเราเตอร์

ไม่ใช่เหตุผลที่ดีสำหรับการใช้ vlans - ใช้ซับเน็ตไฟร์วอลล์และสวิตช์

— symcbean
แหล่งที่มา

คุณเห็นว่ามันช่วยปรับปรุงประสิทธิภาพได้อย่างไร มีอะไรพิเศษเกี่ยวกับ VLAN ที่ปรับปรุงประสิทธิภาพการทำงาน ขอบคุณ

— joeqwerty

1

มีอะไรพิเศษเกี่ยวกับ VLAN ที่ปรับปรุงประสิทธิภาพการทำงาน ไม่มีอะไร ผ่านการรับส่งข้อมูล CSMA / CD ข้ามมากกว่าหนึ่งสายในแบบขนาน (ซึ่งง่ายที่สุดที่จะทำตาม src / dst) ลดการชนเพิ่มแบนด์วิดท์ที่ดีที่สุดและมีประสิทธิภาพ

— symcbean

นั่นคือสิ่งที่ฉันคิดว่าคุณหมายถึง; นั่นช่วยให้ VLAN กำจัดเงื่อนไขที่นำไปสู่ประสิทธิภาพที่ลดลง แต่พวกเขาไม่ได้เพิ่มประสิทธิภาพอย่างแข็งขัน ขอบคุณสำหรับการชี้แจง

— joeqwerty

5

VLAN ส่วนใหญ่นั้นสมเหตุสมผลกับฉัน มันเป็นการดีที่จะแยกตามฟังก์ชั่นดังนั้น VLAN สำหรับเซิร์ฟเวอร์หนึ่งสำหรับโทรศัพท์และอีกหนึ่งสำหรับเวิร์กสเตชันทำให้รู้สึกดี จากนั้นคุณสามารถควบคุมการรับส่งข้อมูลระหว่างเวิร์กสเตชันและเซิร์ฟเวอร์ได้อย่างละเอียด

สิ่งที่ฉันไม่เห็นจุดมากคือการมี VLAN สำหรับเวิร์กสเตชันในแต่ละชั้น VLAN เดียวสำหรับเวิร์กสเตชันทั้งหมดจะทำให้สิ่งที่ดีและเรียบง่าย การขยาย VLAN ในหลายสวิตช์ / กางเกงอาจไม่เป็นปัญหาสำหรับเครือข่ายที่มีขนาดเล็ก

มันค่อนข้างไม่มีจุดหมายเลยที่จะรักษา VLAN แยกสำหรับการจัดการสวิตช์ พวกเขาสามารถนั่งบนเซิร์ฟเวอร์ VLAN ได้อย่างมีความสุข

ไม่มีอะไรน่าอัศจรรย์เกี่ยวกับ VLANs BTW ... เพียงแค่แยกส่วนของเครือข่ายการออกอากาศโดยแต่ละส่วนต้องการเกตเวย์เริ่มต้นและการกำหนดค่า ACL ที่เหมาะสมบนพอร์ตเครือข่าย

— Chris Thorpe
แหล่งที่มา

จริงๆแล้วต้องมีเครือข่ายแยกต่างหากสำหรับการจัดการในเครือข่ายธุรกิจส่วนใหญ่เพื่อป้องกันการโจมตีจากอุปกรณ์ การตั้งค่าพอร์ตสำหรับการจัดการเท่านั้นเป็นเรื่องง่ายและ imho ขอแนะนำอย่างยิ่ง

— g18c

4

อาจเป็นประโยชน์ที่จะมี VLAN แยกต่างหากสำหรับข้อมูล (คอมพิวเตอร์) และ VoIP ดังนั้นคุณสามารถใช้การจัดลำดับความสำคัญของการรับส่งข้อมูลได้ แยก VLAN สำหรับการจัดการสวิตช์มันก็มีประโยชน์เช่นกัน แยก VLANs ต่อชั้นดูเหมือนจะมากเกินไปสำหรับ 100 ชิ้นเว้นแต่ว่าคุณวางแผนที่จะขยายในอนาคต

— Mr Shunz
แหล่งที่มา

เห็นด้วยอย่างสิ้นเชิง. แน่นอนว่าคุณควรแยก VOIP ของคุณออก การแยกเซิร์ฟเวอร์และการจัดการเครือข่ายเป็นเรื่องปกติ เครื่องพิมพ์ VLAN สามารถโต้เถียงได้ทั้งสองทาง การแยกตามพื้นเป็นสิ่งที่เกินขนาดตามสภาพแวดล้อมของคุณ

— gWaldo

1

VLAN ช่วยให้คุณสามารถแบ่งเครือข่ายของคุณในโลจิคัลเซ็กเมนต์ที่เล็กลง สิ่งนี้จะช่วยทั้งในการปรับปรุงความสามารถในการจัดการและการ จำกัด ปริมาณการรับส่งข้อมูลที่ไม่จำเป็น

สำหรับเครือข่ายขนาดเล็กเช่นนั้นอาจเป็น overkill จริง ๆ : คุณสามารถจัดการวัตถุเครือข่ายได้ ~ 100 ด้วย VLAN และ IP ซับเน็ตเดียว แต่ฉันคิดว่าคุณควรยึดติดกับการกำหนดค่านี้ด้วยเหตุผลหลักสองประการ:

1) ปรับปรุงความสามารถในการจัดการ; ถ้าคุณรู้ว่าเซิร์ฟเวอร์อยู่ใน 192.168.1.X และลูกค้าอยู่ใน 192.168.100.Y การจัดการมันง่ายกว่า หากที่อยู่ทั้งหมดของคุณอยู่ในเครือข่ายย่อย 192.168.42.Z คุณจะแยกแยะระหว่างที่อยู่เหล่านั้นได้อย่างง่ายดายได้อย่างไร
2) มันชั่งได้ดีกว่ามาก หากคุณย้ายจากเครือข่ายวัตถุ ~ 100 ถึง> 200 เครือข่ายย่อย IP เดียว / 24 เครือข่ายจะมีขนาดเล็กลงอย่างมากและเครือข่ายที่ใหญ่กว่าหนึ่งเครือข่ายจะกลายเป็นเรื่องยุ่งเหยิงอย่างง่ายดาย

สำหรับผู้สอน: ใช่ฉันรู้ดีว่า VLANs และเครือข่ายย่อย IP ไม่จำเป็นต้องมีการแมป 1: 1 ที่เข้มงวด นี่เป็นเพียงการใช้งานทั่วไปสำหรับพวกเขาซึ่งดูเหมือนจะเป็นสิ่งที่ OP อ้างถึง

— มัสซิโม
แหล่งที่มา

2

IP ซับเน็ตเป็นวิธีแบ่งเครือข่ายโลจิคัล - เช่นเดียวกับ vlans การใช้ทั้งสองอย่างนั้นไม่จำเป็นและทำให้สถานการณ์ยุ่งยากเกินไป สำหรับเครือข่าย IP มีข้อได้เปรียบเพิ่มเติมในการใช้เครือข่ายย่อยเปรียบเทียบกับ vlans - ดังนั้นเครือข่าย IP จึงซ้ำซ้อน

— symcbean

1

และวิธีการที่คุณจะใช้เครือข่ายย่อย IP โดยไม่ต้อง VLANs และสวิตช์เลเยอร์ 3 ถ้าคุณไม่มีเราเตอร์บางรอบ

— Massimo

@symcbean: ใช่ - สิ่งที่ Massimo พูด ฉันหูของทุกคน

— Evan Anderson

เลเยอร์ 3 สวิตช์? ไม่มีเราเตอร์? - ฉันแน่ใจว่าคุณเพิ่มการปรุงแต่งสำหรับคำถามเดิมเป็นเวลาหลายวันซึ่งคำตอบของฉันไม่ได้ตอบ

— symcbean

1

@symcbean หากคุณต้องการแบ่งเครือข่ายของคุณออกเป็นหลายเครือข่ายย่อย IP คุณจะต้องมีบางอย่างในการแบ่งพวกมันที่เลเยอร์ 2 ยกเว้นว่าคุณต้องการเรียกใช้เครือข่ายย่อย IP จำนวนมากบนเซ็กเมนต์อีเธอร์เน็ตเดียวกัน และแม้ว่าคุณต้องการทำเช่นนั้นคุณยังต้องมีสิ่งที่จะพูดเช่นเราเตอร์ (หรือไฟร์วอลล์) สวิตช์ที่ดีเพียงตัวเดียวเช่นเดียวกับ Cisco สามารถทำได้ทั้งสองอย่างโดยใช้ VLAN สำหรับการแบ่งส่วนอีเทอร์เน็ตและ VLAN IP อินเตอร์เฟสสำหรับการเราต์ แต่ถ้าคุณไม่ต้องการใช้มัน (ทำไม?) คุณจะต้องใช้สวิตช์ทางกายภาพที่แตกต่างกันและเราเตอร์ทางกายภาพอย่างน้อยหนึ่งตัว

— Massimo

0

ข้อดีอีกประการของการออกแบบนี้คือคุณสามารถบังคับใช้ Access Control Lists บนเราเตอร์เพื่อให้การสื่อสารระหว่าง VLANs มี จำกัด และคุณสามารถปกป้องเซิร์ฟเวอร์ Windows จากนักเรียนที่กระตือรือร้น

— มิทช์มิลเลอร์
แหล่งที่มา

0

ฉันเห็นด้วยกับคำตอบที่คุณมีอยู่แล้ว

คุณต้องการ VLAN หรือไม่ กล่าวอีกนัยหนึ่งก็คือพวกเขา "จำเป็น" ถ้าเราต้องการที่จะยึดติดกับสิ่งที่คุณถามในชื่อคำถามของคุณ? อาจจะไม่. เป็นความคิดที่ดีหรือไม่หากคุณได้รับปริมาณข้อมูลที่หลากหลาย อาจจะใช่.

ไม่มีคำตอบที่ถูกหรือผิดมันเป็นคำถามของการออกแบบที่แตกต่างกันและสิ่งที่นักออกแบบหวังที่จะบรรลุ ...

จากสิ่งที่คุณพูดฉันเห็นด้วยกับความคิดเห็นที่ไม่ต้องการ VLAN "ต่อชั้น" แต่ไม่ทราบเพิ่มเติมเกี่ยวกับการตั้งค่าของคุณ (แม้ว่าฉันจะเป็นผู้จัดการเครือข่ายวิทยาลัยดังนั้นฉันจึงมีความคิดทั่วไป) เป็นไปได้สำหรับทุกสิ่งที่เรารู้ ว่าคุณมีคลาสการเขียนโปรแกรมทั้งหมดในหนึ่งชั้น, ผู้ดูแลระบบสำนักงานในที่อื่นและเวิร์กสเตชัน VLAN ปัจจุบันไม่ได้เกี่ยวกับการแยกชั้นแต่ค่อนข้างเกี่ยวกับการแยกฟังก์ชั่นดังนั้นชั้นเรียนการเขียนโปรแกรมไม่สามารถขัดขวางการใช้ LAN สำหรับการประมวลผลคำ บทเรียนอื่น ๆ นักเรียนไม่สามารถเชื่อมต่อกับเวิร์กสเตชันการบริหารได้อย่างง่ายดายบางทีคุณอาจมีข้อกำหนดสำหรับพีซีเฉพาะสำหรับการสอบอิเล็กทรอนิกส์และอื่น ๆ หากสิ่งนี้เกิดขึ้นบางทีเวิร์กสเตชันพิเศษของ VLAN อาจเริ่มเข้าใจได้มากกว่า

ฉันไม่คิดว่ามีเอกสารใดอธิบายถึงตัวเลือกการออกแบบที่ทำโดยคนที่ตั้งค่าเริ่มต้นทั้งหมดนี้หรือไม่?

— Rob Moir
แหล่งที่มา

ไม่มีเอกสารเลย ไม่มี. ศูนย์. ฉันต้องเดาว่าทำไมมันถึงตั้งค่าแบบที่มันเป็น บางทีเมื่อฉันรู้เพิ่มเติมเกี่ยวกับ VLANs ตรรกะ (หรือขาด) จะกลายเป็นที่รู้จักสำหรับฉัน มีบางอย่างที่ชัดเจน: สำนักงานธุรกิจ, สวิทช์, เซิร์ฟเวอร์, โทรศัพท์ แต่อย่างอื่นมันอยู่ที่พื้น

— kleefaj

บางทีคนที่ตั้งค่าเรียนรู้วิธีการสร้าง VLAN สำหรับส่วนที่มันสมเหตุสมผลแล้วก็บ้าไปหน่อย คุณรู้ว่ามันเป็นอย่างไรเมื่อสิ่งที่คุณมีคือค้อนและความกระตือรือร้นมันไม่ใช้เวลานานสำหรับทุกอย่างที่จะเริ่มมองเหมือนเล็บ ฉันเดาคำถาม ณ จุดนี้อาจจะเป็น: มันจะก่อกวน / น่ารำคาญ / สิ่งที่จะเปลี่ยนมันหรือจะปล่อยให้เป็นไปตามเดิมหรือไม่

— Rob Moir

@kleefaj - จริง ๆ แล้วการขาดเอกสารในกรณีของคุณอาจช่วยให้คุณเข้าใจการตั้งค่าได้ดีขึ้นเนื่องจากคุณจะต้องแมปมันออกมาทั้งหมดและจัดทำเอกสารด้วยตัวคุณเอง (ซึ่งคุณควรทำอย่างแน่นอน) และหาว่ากลุ่มต่างๆพูดคุยกันอย่างไร . เนื่องจากความรู้ในปัจจุบันของคุณเกี่ยวกับ VLAN มี จำกัด นี่จะเป็นโอกาสการเรียนรู้ที่ยอดเยี่ยมสำหรับคุณและจะช่วยให้คุณออกแบบการกำหนดค่าเครือข่ายที่ดีขึ้นสำหรับองค์กรของคุณเมื่อคุณเข้าใจการตั้งค่าปัจจุบันอย่างสมบูรณ์

— สิงหาคม

0

VLANs แบ่งการรับส่งข้อมูลออกอากาศ คุณไม่มีคอมพิวเตอร์เพียงพอที่จะกังวลเกี่ยวกับเรื่องนี้ VLAN บ่อยครั้ง แต่ไม่สอดคล้องกับซับเน็ตเสมอ VLANs ยังให้คุณใช้ ACL ที่มีข้อ จำกัด บางอย่างสวิตช์ ACLs สามารถดูแลรักษาได้มากมายและมีประโยชน์เพียงเล็กน้อย ไฟร์วอลล์แยกทราฟฟิกที่ดีกว่า ACLs บนพอร์ตสวิตช์ที่อาจทำให้รก

อาร์กิวเมนต์เดียวที่ฉันเห็นสำหรับการเพิ่ม VLAN คือถ้าคุณเปลี่ยนรูปแบบการกำหนด IP ของคุณด้วย ตอนนี้ฉันคิดว่ามีเพียง 4 ชั้นเท่านั้นซึ่งอาจมีราคาแพงเกินไป

ใน บริษัท ที่ฉันเคยทำงานให้กับเรามีอาคารหลายสิบแห่งที่วิทยาเขตหลักของเราและวิทยาเขตดาวเทียมเพียงไม่กี่แห่งดังนั้นเราจึงมีรูปแบบการกำหนดที่อยู่ IP ที่อนุญาตให้เราบอกที่อยู่ IP ว่าอุปกรณ์กำลังอยู่ในอาคารนั่นคือของฉัน 2 เซ็นต์สำหรับสิ่งที่คุ้มค่า

— JamesBarnett
แหล่งที่มา