VLAN มีจำนวนน้อยเกินไปและมากเกินไป?

23

ขณะนี้เรากำลังใช้งานพีซีที่มี 800+ เครื่องและเซิร์ฟเวอร์มากกว่า 20 ตัวโครงสร้างพื้นฐานเครือข่ายอยู่ในแนวของ Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktop อุปกรณ์ 3Com ที่ใช้งานอยู่ทั้งหมด (1)

เรามีสวิตช์พื้นที่ 3 จุดสำหรับสี่พื้นที่ (A, B, C, D ถูกรวมเข้ากับแกนกลาง) แต่ละสวิตช์พื้นที่จะมีสวิตช์ระหว่าง 10 ถึง 20 ตัวที่เชื่อมต่อกับสวิตช์เหล่านี้ นอกจากนี้ยังมีสวิตช์หลักสำรองซึ่งใช้พลังงานน้อยลง แต่เชื่อมต่อเนื่องจากสวิตช์หลักหลักคือ

เรายังมีระบบโทรศัพท์ไอพี คอมพิวเตอร์ / เซิร์ฟเวอร์และ swicthes อยู่ในช่วง 10.x ip, โทรศัพท์ในช่วง 192.168.x โดยทั่วไปคอมพิวเตอร์ไม่จำเป็นต้องคุยกันยกเว้นในห้องแล็บคอมพิวเตอร์ แต่พวกเขาจำเป็นต้องสามารถพูดคุยกับเซิร์ฟเวอร์ส่วนใหญ่ของเรา (AD, DNS, Exchange, ที่เก็บไฟล์ ฯลฯ )

เมื่อเราตั้งค่าเราตัดสินใจว่าจะต้องมี 3 VLANs หนึ่งสำหรับสวิตช์และคอมพิวเตอร์หนึ่งเครื่องสำหรับโทรศัพท์และอีกเครื่องหนึ่งสำหรับการจำลองเซิร์ฟเวอร์ (นี่ขัดกับคำแนะนำจากวิศวกรของ 3Com) เครือข่ายมีเสถียรภาพและใช้งานได้ตั้งแต่จุดนี้ (2) แต่ตอนนี้เราได้เริ่มอัพเกรดเป็น SAN และสภาพแวดล้อมเสมือนจริง ตอนนี้การแยกโครงสร้างพื้นฐานใหม่นี้เป็น VLAN แยกกันทำให้เข้าใจได้และเป็นการเยี่ยมชมวิธีการตั้งค่า VLANS ของเรา

ขณะนี้มีการเสนอให้ VLAN ควรตั้งค่าแบบรายห้องเช่นห้องปฏิบัติการคอมพิวเตอร์ที่มี 5+ เครื่องควรเป็น VLAN ของตัวเอง แต่ถ้าเราทำตามรุ่นนี้เราจะมองอย่างน้อย 25 "ใหม่" VLANS รวมถึง VLANS สำหรับ SAN / เซิร์ฟเวอร์เสมือน ซึ่งดูเหมือนว่าฉันจะเพิ่มจำนวนของการบริหารที่มากเกินไปแม้ว่าฉันค่อนข้างมีความสุขที่จะพิสูจน์ว่าผิด

แนวปฏิบัติที่ดีที่สุดที่ดูเหมือนจะแนะนำคืออะไร? มีพีซีจำนวนหนึ่งที่ไม่แนะนำให้ใช้เกิน / ต่ำกว่าใน VLAN หรือไม่

(1) เส้นทาง 3Com switch (3870 & 8800) เส้นทางระหว่าง VLAN แตกต่างกันไปตามวิธีการที่คนอื่นทำมันไม่จำเป็นต้องมีเราเตอร์แยกต่างหากเนื่องจากเป็นเลเยอร์ 3

(2) บางครั้งเราได้รับอัตราการทิ้งสูงหรือการเปลี่ยนแปลง STP และในเวลารายงานของผู้อำนวยการเครือข่าย 3Com ที่สวิตช์มีการรับภาระน้อยและช้าในการตอบสนองต่อการปิงหรือสวิตช์ที่ล้มเหลวในการจัดการเครือข่าย ครั้งหนึ่งไม่รู้เลยว่าทำไม)

networking  vlan  3com 
อ่างน้ำ
แหล่งที่มา

คำตอบ:

36

ดูเหมือนว่ามีบางคนในองค์กรของคุณต้องการสร้าง VLANs โดยที่ไม่เข้าใจเหตุผลที่คุณทำและข้อดี / ข้อเสียที่เกี่ยวข้อง ดูเหมือนคุณจะต้องทำการวัดและคิดหาเหตุผลที่แท้จริงสำหรับการทำสิ่งนี้ก่อนที่จะก้าวไปข้างหน้าอย่างน้อยก็ด้วย "VLAN สำหรับห้อง" ที่บ้าคลั่ง

คุณไม่ควรเริ่มทำลาย Ethernet LAN ใน VLAN เว้นแต่คุณจะมีเหตุผลที่ดีในการทำเช่นนั้น เหตุผลสองข้อที่ดีที่สุดคือ:

  • บรรเทาปัญหาด้านประสิทธิภาพ Ethernet LANs ไม่สามารถปรับขนาดได้อย่างไม่มีกำหนด การออกอากาศที่มากเกินไปหรือการท่วมเฟรมไปยังจุดหมายปลายทางที่ไม่รู้จักจะเป็นการ จำกัด ขนาดของมัน เงื่อนไขเหล่านี้อาจเกิดจากการทำให้โดเมนการออกอากาศเดียวใน Ethernet LAN ใหญ่เกินไป การรับส่งข้อมูลออกอากาศนั้นง่ายต่อการเข้าใจ แต่การหลั่งไหลของเฟรมไปยังจุดหมายปลายทางที่ไม่รู้จักนั้นค่อนข้างคลุมเครือ ( มากจนไม่มีโปสเตอร์อื่น ๆ) หากคุณได้รับอุปกรณ์จำนวนมากที่สวิตช์ MAC ของคุณมีการโอเวอร์โฟลว์สวิตช์จะถูกบังคับให้ปล่อยเฟรมทั้งหมดที่ไม่ได้ออกอากาศหากพอร์ตปลายทางของเฟรมไม่ตรงกับรายการใด ๆ ในตาราง MAC หากคุณมีโดเมนออกอากาศเพียงครั้งเดียวที่มีขนาดใหญ่เพียงพอใน Ethernet LAN ที่มีโปรไฟล์การจราจรที่โฮสต์พูดนาน ๆ ครั้ง (นั่นคือนานพอที่รายการของพวกเขาจะล้าสมัยจากตาราง MAC บนสวิตช์ของคุณ) จากนั้นคุณสามารถรับเฟรมจำนวนมาก .

  • ความปรารถนาที่จะ จำกัด / ควบคุมปริมาณการใช้งานเคลื่อนที่ระหว่างโฮสต์ที่เลเยอร์ 3 หรือสูงกว่า คุณสามารถทำการแฮกเกอร์เพื่อตรวจสอบทราฟฟิกที่เลเยอร์ 2 (ala Linux ebtables) แต่เป็นการยากที่จะจัดการ (เพราะกฎจะเชื่อมโยงกับที่อยู่ MAC และการเปลี่ยน NICs จำเป็นต้องมีการเปลี่ยนแปลงกฎ) อาจทำให้เกิดพฤติกรรมแปลก ๆ HTTP proxying แบบโปร่งใสของเลเยอร์ 2 เป็นสิ่งที่ประหลาดและสนุก แต่ก็ไม่เป็นธรรมชาติและสามารถแก้ไขปัญหาได้ง่ายมากและมักจะทำที่เลเยอร์ต่ำ (เนื่องจากเครื่องมือเลเยอร์ 2 เป็นแท่ง และหินที่เกี่ยวข้องกับความกังวลของเลเยอร์ 3+) หากคุณต้องการควบคุมปริมาณข้อมูล IP (หรือ TCP หรือ UDP ฯลฯ ) ระหว่างโฮสต์แทนที่จะโจมตีปัญหาที่เลเยอร์ 2 คุณควร subnet และติดไฟร์วอลล์ / เราเตอร์ด้วย ACLs ระหว่างเครือข่ายย่อย

ปัญหาการหมดแบนด์วิดท์ของแบนด์วิดท์ (ยกเว้นว่าเกิดจากการออกอากาศแพ็คเก็ตหรือการท่วมเฟรม) จะไม่สามารถแก้ไขได้ด้วย VLANs เกิดขึ้นเนื่องจากการขาดการเชื่อมต่อทางกายภาพ (มี NIC น้อยเกินไปบนเซิร์ฟเวอร์, พอร์ตน้อยเกินไปในกลุ่มการรวม, จำเป็นที่จะต้องย้ายไปที่ความเร็วพอร์ตที่เร็วขึ้น) และไม่สามารถแก้ไขได้ด้วยการ subnetting หรือปรับใช้ VLANs ตั้งแต่นั้นมา ไม่เพิ่มจำนวนแบนด์วิดท์ที่มีอยู่

หากคุณไม่มีอะไรที่เรียบง่ายอย่างเช่น MRTG ที่ใช้การสร้างกราฟสถิติการรับส่งข้อมูลต่อพอร์ตบนสวิตช์ของคุณนั่นเป็นลำดับแรกของธุรกิจของคุณก่อนที่คุณจะเริ่มแนะนำคอขวดที่มีการแบ่งส่วน VLAN ที่เจตนาดี การนับไบต์แบบ Raw เป็นการเริ่มต้นที่ดี แต่คุณควรติดตามด้วยการดมเป้าหมายเพื่อรับรายละเอียดเพิ่มเติมเกี่ยวกับโปรไฟล์การจราจร

เมื่อคุณทราบว่าทราฟฟิกเคลื่อนย้ายไปมาบน LAN ของคุณอย่างไรคุณสามารถเริ่มคิดถึงการแบ่งเซกเมนต์ LAN ด้วยเหตุผลด้านประสิทธิภาพ

หากคุณกำลังจะลองและกดลงแพ็คเก็ตและการเข้าถึงระดับสตรีมระหว่าง VLANs ก็พร้อมที่จะทำสิ่งที่ถูกต้องตามกฎหมายด้วยแอพพลิเคชั่นซอฟต์แวร์และการเรียนรู้ / วิศวกรรมย้อนกลับว่ามันพูดคุยกันอย่างไร การ จำกัด การเข้าถึงโดยโฮสต์ไปยังเซิร์ฟเวอร์สามารถทำได้ด้วยการกรองฟังก์ชันการทำงานบนเซิร์ฟเวอร์ การ จำกัด การเข้าถึงบน wire สามารถให้ความรู้สึกที่ผิด ๆ ของการรักษาความปลอดภัยและผู้ดูแลขับกล่อมในความพึงพอใจที่พวกเขาคิดว่า "ดีฉันไม่จำเป็นต้องกำหนดค่าแอปอย่างปลอดภัยเพราะโฮสต์ที่สามารถพูดคุยกับแอปนั้นถูก จำกัด ด้วย ' เครือข่าย'." ฉันขอแนะนำให้คุณตรวจสอบความปลอดภัยของการกำหนดค่าเซิร์ฟเวอร์ของคุณก่อนที่จะเริ่ม จำกัด การสื่อสารระหว่างโฮสต์กับโฮสต์

โดยทั่วไปคุณสร้าง VLAN ในอีเทอร์เน็ตและแม็ป IP subets ที่ 1 ต่อ 1 คุณจะต้องใช้เครือข่ายย่อย IP จำนวนมากสำหรับสิ่งที่คุณกำลังอธิบายและอาจมีรายการตารางเส้นทางจำนวนมาก วางแผนเครือข่ายย่อยเหล่านั้นดีขึ้นด้วย VLSM เพื่อสรุปรายการตารางเส้นทางของคุณใช่มั้ย

(ใช่แล้ว - มีวิธีที่จะไม่ใช้ซับเน็ตแยกต่างหากสำหรับ VLAN ทุกตัว แต่ติดอยู่ในโลก "ธรรมดาวานิลลา" อย่างเคร่งครัดที่คุณต้องการสร้าง VLAN ให้คิดเครือข่ายย่อย IP เพื่อใช้ใน VLAN กำหนดเราเตอร์บางตัว ที่อยู่ IP ใน VLAN นั้นแนบเราเตอร์นั้นกับ VLAN ไม่ว่าจะด้วยอินเทอร์เฟซทางกายภาพหรือเสมือน subinterface บนเราเตอร์เชื่อมต่อโฮสต์บางตัวกับ VLAN และกำหนดที่อยู่ IP ในซับเน็ตที่คุณกำหนดและกำหนดเส้นทางการรับส่งข้อมูลและ จาก VLAN)

Evan Anderson
แหล่งที่มา
2
นี่คือคำอธิบายที่ยอดเยี่ยม ฉันจะเพิ่มเฉพาะกับฮาร์ดแวร์ที่ทันสมัยส่วนแบ่งไม่ซับซ้อนตราบใดที่คุณตระหนักว่า VLANs จะต้องถูกกำหนดเส้นทางระหว่าง คุณจะไม่ได้รับประโยชน์อะไรมากหากมีการติดตั้ง VLAN ที่มีประสิทธิภาพสูงสุดซึ่งใช้เราเตอร์ที่มีการใช้งานหนักเกินขีด จำกัด ในการส่งข้อมูลระหว่างเซ็กเมนต์
Greeblesnort
2

VLANs นั้นมีประโยชน์จริงๆสำหรับการ จำกัด ปริมาณการออกอากาศ หากมีบางสิ่งที่กำลังออกอากาศจำนวนมากให้แยกมันออกเป็น VLAN ของตัวเองมิฉะนั้นฉันจะไม่รำคาญ คุณอาจต้องการทำซ้ำระบบเสมือนจริงบนเครือข่ายเดียวกันและต้องการใช้ช่วงที่อยู่เดียวกันจากนั้นอีกครั้งซึ่งอาจคุ้มค่ากับ VLAN ที่แยกต่างหาก

David Pashley
แหล่งที่มา
เรากำลังเรียกใช้ XP โดยไม่มี WINS ในขณะนี้การทำ nbtstat -r ดูเหมือนจะแนะนำว่าเราได้รับปริมาณการออกอากาศ
Tubs
1
วัดด้วยสิ่งที่ต้องการ Wireshark และดูว่าเกิดอะไรขึ้น WINS ไม่ใช่สิ่งที่น่ากลัว หากคุณพบว่าคุณได้รับคำขอการค้นหาชื่อ NetBIOS จำนวนมากลองและรับชื่อที่ถูกต้องใน DNS เพื่อป้องกันการร้องขอหรือเพียงแค่เรียกใช้ WINS
Evan Anderson
2

VLAN นั้นดีเหมือนระดับความปลอดภัยเพิ่มเติม ฉันไม่รู้ว่า 3Com จัดการอย่างไร แต่โดยปกติคุณสามารถแบ่งกลุ่มการทำงานที่แตกต่างกันเป็น VLANs ที่แตกต่างกัน (เช่นการบัญชี WLAN ฯลฯ ) จากนั้นคุณสามารถควบคุมผู้ที่สามารถเข้าถึง VLAN เฉพาะ

ฉันไม่เชื่อว่ามีการสูญเสียประสิทธิภาพที่สำคัญหากมีคอมพิวเตอร์หลายเครื่องใน VLAN เดียวกัน ฉันคิดว่ามันเป็นไปไม่ได้ที่จะแบ่งเซกเมนต์ LAN ในห้องเป็นรายห้อง แต่อีกครั้งฉันไม่รู้ว่า 3Com จัดการกับมันอย่างไร โดยปกติแล้วแนวทางไม่ได้มีขนาด แต่เป็นการรักษาความปลอดภัยหรือการดำเนินการ

ผลที่ตามมาฉันไม่เห็นเหตุผลที่จะแบ่งส่วน LAN เป็น VLAN ที่แตกต่างกันหากไม่มีความปลอดภัยหรือกำไรจากการดำเนินงาน

imagodei
แหล่งที่มา
1

ถ้าคุณไม่มีกลุ่มทดสอบและพัฒนา 25 กลุ่มที่ฆ่าเครือข่ายด้วยน้ำท่วมออกอากาศเป็นประจำ 25 VLAN ต่อห้องจะมี 24 กลุ่มมากเกินไป

เห็นได้ชัดว่า SAN ของคุณต้องการ VLAN ของตัวเองและไม่เหมือนกับ VLAN เหมือนกับระบบเสมือน LAN และการเข้าถึงอินเทอร์เน็ต! ทั้งหมดนี้สามารถทำได้ผ่านพอร์ตอีเธอร์เน็ตเดียวบนระบบโฮสต์ดังนั้นไม่ต้องกังวลเกี่ยวกับการแยกฟังก์ชั่นเหล่านั้น

หากคุณมีประสิทธิภาพที่ไม่ดีให้ลองวางโทรศัพท์และ SAN ของคุณไว้ในฮาร์ดแวร์เครือข่ายแยกต่างหากไม่ใช่แค่ VLAN

kmarsh
แหล่งที่มา
0

จะมีการออกอากาศทราฟฟิกเสมอไม่ว่าจะเป็นการกระจายความละเอียดชื่อการออกอากาศ ARP ฯลฯ สิ่งสำคัญคือการตรวจสอบปริมาณการออกอากาศ หากเกิน 3 - 5% ของการเข้าชมโดยรวมแสดงว่าเป็นปัญหา

VLAN นั้นดีสำหรับการลดขนาดของโดเมนการออกอากาศ (ตามที่ David ระบุไว้) หรือเพื่อความปลอดภัยหรือสำหรับการสร้างเครือข่ายสำรองเฉพาะ ไม่ได้หมายถึงโดเมน "การจัดการ" จริงๆ นอกจากนี้คุณจะเพิ่มความซับซ้อนของการกำหนดเส้นทางและค่าใช้จ่ายในเครือข่ายของคุณโดยการนำ VLAN มาใช้

joeqwerty
แหล่งที่มา
ฉันอยู่กับคุณจนกว่าคุณจะพูดถึงการกำหนดเส้นทางเหนือหัว มีค่าใช้จ่ายในการกำหนดเส้นทาง แต่โดยทั่วไปแล้วฮาร์ดแวร์ที่ใช้ L2 / L3 จะส่งต่อแพ็กเก็ตจาก vlan หนึ่งไปยังอีกพอร์ตหนึ่ง (และจากพอร์ตหนึ่งไปอีกพอร์ตหนึ่ง) ที่ความเร็วเดียวกันกับที่ส่งต่อผ่าน L2
chris
จริงฉันไม่ได้มีส่วนร่วมในโพสต์ดั้งเดิมเกี่ยวกับสวิตช์ 3COM ที่สามารถกำหนดเส้นทางการจราจรระหว่าง VLAN โดยไม่จำเป็นต้องใช้เราเตอร์ (ดังนั้นฉันจะสมมติว่าเป็นสวิตช์ L3) ขอบคุณ
joeqwerty
พวกเขาอาจทำงานที่ความเร็วสาย แต่พวกเขายังคงเป็นเราเตอร์เพื่อกำหนดค่าและจัดการแม้ว่าพวกเขาจะเป็นเพียงแค่เลเยอร์ 3 เอนทิตีภายในสวิตช์ หากพวกเขา "สลับ" แพ็กเก็ตที่เลเยอร์ 3 พวกเขาเป็นเราเตอร์
Evan Anderson
0

โดยทั่วไปคุณเพียงต้องการพิจารณาใช้ VLANs เมื่อคุณต้องการกักกันอุปกรณ์ (เช่นพื้นที่ที่ผู้ใช้สามารถนำแล็ปท็อปของตนเองหรือเมื่อคุณมีโครงสร้างพื้นฐานเซิร์ฟเวอร์ที่สำคัญที่ต้องได้รับการปกป้อง) หรือหากโดเมนออกอากาศของคุณเป็น สูงเกินไป.

โดยทั่วไปโดเมนออกอากาศอาจมีอุปกรณ์ขนาดใหญ่ประมาณ 1,000 รายการก่อนที่คุณจะเริ่มเห็นปัญหาในเครือข่าย 100Mbit แม้ว่าฉันจะนำอุปกรณ์นั้นไปลง 250 รายการหากคุณกำลังจัดการกับพื้นที่ Windows ที่มีเสียงดัง

ส่วนใหญ่แล้วเครือข่ายยุคใหม่ไม่จำเป็นต้องใช้ VLAN เว้นแต่ว่าคุณกำลังทำการกักกัน (ด้วยการใช้ไฟร์วอลล์ที่เหมาะสมโดยใช้ ACLs) หรือการ จำกัด การออกอากาศ

dotwaffle
แหล่งที่มา
1
พวกเขากำลังที่เป็นประโยชน์ในการรักษานักเก็ตในบัญชีจากการตั้งค่าของเว็บที่มี IP ของเซิร์ฟเวอร์จดหมาย ...
คริส
0

นอกจากนี้ยังมีประโยชน์ในการป้องกันการแพร่กระจาย DHCP สำหรับการเข้าถึงอุปกรณ์เครือข่ายที่ไม่พึงประสงค์

1
การบรรเทาปัญหาประสิทธิภาพได้ถูกกล่าวถึงแล้วขอบคุณ
Chris S
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.