我们目前正在运行一个由 800 多台 PC 和 20 多台服务器组成的网络,网络基础设施沿着核心交换机 10Gb-> 区域交换机 2GB-> 本地交换机 1GB-> 桌面的路线。所有正在运行的 3Com 设备(1)。
我们有四个区域的 3 个区域交换机(A、B、C、D 与核心合并),每个区域交换机将有 10 到 20 个本地交换机连接到这些交换机。还有一个备用核心交换机,功率较小,但与主核心交换机一样连接。
我们也有一个IP电话系统。计算机/服务器和交换机位于 10.x ip 范围内,电话位于 192.168.x 范围内。计算机通常不必相互通信,除非在计算机实验室中,但它们确实需要能够与我们的大多数服务器(AD、DNS、Exchange、文件存储等)通信。
设置时,我们决定设置 3 个 VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这违反了 3Com 工程师的建议)。从那时起,网络一直稳定且正常工作 (2),但我们现在已经开始升级到 SAN 和虚拟化环境。现在将这个新的基础设施分成单独的 VLAN 是有意义的,重新审视我们的 VLAN 的设置方式似乎是明智的。
现在有人提议在一个房间一个房间的基础上设置 VLAN,即一个有 5 台以上 PC 的计算机实验室应该是它自己的 VLAN,但是如果我们遵循这个模型,我们将至少看到 25 个“新”VLAN ,加上 SAN/虚拟服务器的 VLAN。在我看来,这会增加过多的管理,尽管我很高兴被证明是错误的。
最佳实践似乎暗示了什么?是否有一定数量的 PC 建议不要在 VLAN 中超过/低于。
(1) 3Com 交换机(3870 和 8800)在 VLAN 之间的路由与其他一些交换机不同,它不需要单独的路由器,因为它们是第 3 层。
(2) 我们有时确实会遇到高丢弃率或 STP 更改,并且有时 3Com 网络主管报告交换机负载不足且对 ping 的响应缓慢,或者失败的交换机设法关闭网络(所有电话和计算机 VLAN! ,一次,不知道为什么)
听起来您组织中的某个人想要创建 VLAN,但不了解您这样做的原因以及与之相关的利弊。听起来您需要进行一些测量并提出一些真正的理由,然后再继续前进,至少在疯狂的“房间 VLAN”愚蠢的情况下。
除非有充分的理由,否则不应开始将以太网 LAN 划分为 VLAN。最好的两个原因是:
缓解性能问题。以太网 LAN 不能无限扩展。过度广播或将帧泛洪到未知目的地将限制它们的规模。这些情况中的任何一种都可能是由于以太网 LAN 中的单个广播域太大而导致的。广播流量很容易理解,但是将帧泛洪到未知目的地就有点模糊(以至于这里的其他海报都没有提到它!)。如果你的设备太多以至于你的交换机 MAC 表溢出,如果帧的目的地与 MAC 表中的任何条目都不匹配,交换机将被迫将非广播帧从所有端口溢出。如果您在以太网 LAN 中有一个足够大的单个广播域,并且其流量配置文件主机不经常交谈(也就是说,它们的条目很少会在您的交换机上的 MAC 表中老化),那么您也可能会出现过多的帧泛滥.
希望限制/控制在第 3 层或更高层的主机之间移动的流量。您可以在第 2 层(ala Linux ebtables)进行一些骇客检查流量,但这很难管理(因为规则与 MAC 地址绑定,并且更改 NIC 需要更改规则)可能会导致看起来非常非常奇怪的行为(做例如,在第 2 层的 HTTP 透明代理非常有趣,但完全不自然,并且可能非常不直观地进行故障排除),并且通常难以在较低层进行(因为第 2 层工具就像棍子一样)和处理第 3 层以上问题的岩石)。如果您想控制主机之间的 IP(或 TCP、或 UDP 等)流量,而不是在第 2 层攻击问题,您应该在子网之间使用 ACL 划分和粘贴防火墙/路由器。
带宽耗尽问题(除非它们是由广播数据包或帧泛滥引起的)通常无法通过 VLAN 解决。它们的发生是因为缺乏物理连接(服务器上的 NIC 太少,聚合组中的端口太少,需要提升到更快的端口速度),并且无法通过子网划分或部署 VLAN 来解决,因为那样会'不增加可用的带宽量。
如果您甚至没有像 MRTG 这样简单的东西,在您的交换机上运行图形每个端口的流量统计数据,那么在您开始潜在地引入善意但不知情的 VLAN 分段的瓶颈之前,这确实是您的首要任务。原始字节计数是一个好的开始,但您应该通过有针对性的嗅探来跟进它以获取有关流量配置文件的更多详细信息。
一旦您知道流量如何在 LAN 上移动,您就可以开始考虑出于性能原因对 LAN 进行分段。
如果您真的要尝试关闭 VLAN 之间的数据包和流级访问,请准备好使用应用软件做大量的工作,并学习/逆向工程它如何通过网络进行通信。限制主机对服务器的访问通常可以通过服务器上的过滤功能来实现。限制网络上的访问可能会提供一种错误的安全感,并使管理员陷入自满情绪,他们认为“好吧,我不需要安全地配置应用程序,因为可以与应用程序通信的主机受到限制。网络'。” 在我开始限制网络上的主机到主机通信之前,我鼓励您审核服务器配置的安全性。
通常,您在以太网中创建 VLAN 并将 IP 子网 1 对 1 映射到它们上。您将需要大量IP 子网来描述您所描述的内容,并且可能需要大量路由表条目。使用 VLSM 更好地规划这些子网以汇总您的路由表条目,是吗?
(是的,是的——有一些方法可以不为每个 VLAN 使用一个单独的子网,但是坚持一个严格的“普通”世界,你会创建一个 VLAN,想出一个 IP 子网在 VLAN 中使用,分配一些路由器该 VLAN 中的 IP 地址,将该路由器连接到 VLAN,使用路由器上的物理接口或虚拟子接口,将一些主机连接到 VLAN 并在您定义的子网中为其分配 IP 地址,并将它们的流量路由到和不在 VLAN 中。)
VLAN 仅对限制广播流量真正有用。如果某些东西要进行大量广播,则将其分离到自己的 VLAN 中,否则我不会打扰。您可能希望在同一网络上拥有一个实时系统的虚拟化副本,并希望使用相同的地址范围,但同样,这可能值得一个单独的 VLAN。
VLAN 可以很好地作为额外的安全级别。我不知道 3Com 是如何处理它的,但通常您可以将不同的功能组划分为不同的 VLAN(例如,计费、WLAN 等)。然后,您可以控制谁有权访问特定 VLAN。
如果同一个 VLAN 中有许多计算机,我认为不会有任何显着的性能损失。我确实发现在一个房间一个房间的基础上对 LAN 进行分段是不切实际的,但同样,我不知道 3Com 是如何处理它的。通常准则不是大小,而是安全或操作。
实际上,如果没有安全或运营收益,我看不出有任何理由将 LAN 划分为不同的 VLAN。
除非您有 25 个测试和开发组经常使用广播泛洪来终止网络,否则每个房间的 25 个 VLAN 是 24 个太多。
显然,您的 SAN 需要自己的 VLAN,而不是与虚拟系统 LAN 和 Internet 访问相同的 VLAN!这一切都可以通过主机系统上的单个以太网端口完成,因此不必担心拆分这些功能。
如果您有性能问题,请考虑将您的电话和 SAN 放在单独的网络硬件上,而不仅仅是 VLAN。
无论是名称解析广播、ARP 广播等,总会有广播流量。重要的是要监控广播流量。如果它超过总流量的 3 - 5%,那么它就是一个问题。
VLAN 有利于减小广播域的大小(如 David 所述)或安全性,或创建专用备份网络。它们并不是真正意义上的“管理”域。此外,通过实施 VLAN,您将增加网络路由的复杂性和开销。
通常,只有在需要隔离设备(例如用户可以携带自己的笔记本电脑的区域,或者当您有必须保护的关键服务器基础架构时)或者如果您的广播域是太高。
在您开始在 100Mbit 网络上看到问题之前,广播域通常可以有大约 1000 台设备,但如果您正在处理相对嘈杂的 Windows 区域,我会将其减少到 250 台设备。
在大多数情况下,现代网络不需要 VLAN,除非您正在执行此隔离(当然,使用 ACL 进行适当的防火墙)或广播限制。
它们还有助于防止 DHCP 广播到达不需要的网络设备。