我们一直在考虑重新安排我们的网络和 VLAN 配置。这是情况。
我们已经在自己的 VLAN 上安装了服务器、VoIP 电话和打印机,但我们的问题在于最终用户设备。在没有受到广播打击的情况下,在同一个 VLAN 上有太多的东西可以混在一起!我们当前的分段策略将它们分成 VLAN,如下所示:
**请注意,我们的网络拥有比大多数网络更多的 iPad 和 MacBook。*
由于我们拆分它们的主要原因只是为了将它们分成较小的组,因此这对我们(在大多数情况下)有效。但是,这要求我们的员工维护属于这些组的所有设备的访问控制列表(MAC 地址)。它还具有不合逻辑地对广播流量进行分组的不幸副作用。例如,使用此设置,校园两端使用 iPad 的学生将共享广播,但属于同一用户(同一房间内)的两台设备可能位于完全不同的 VLAN 中。
我觉得必须有更好的方法来做到这一点。
我已经做了很多研究,但我很难找到推荐的这种细分的实例。对最相关的 SO 问题的反馈似乎指向按建筑物/物理位置进行 VLAN 分段。我觉得这是有道理的,因为从逻辑上讲,至少在各种最终用户中,广播通常是针对附近的设备的。
编辑:有人告诉我,我们很快就能在不维护访问列表的情况下动态确定设备操作系统,尽管我不确定这对问题的答案有多大影响。
EEA*_*EAA 13
我认为按操作系统对用户子网进行细分比它的价值要多,而且老实说,在我与 HiEd IT 人员的所有互动中,我从未听过任何人谈论按操作系统进行细分。这样做你会得到什么好处?另外,当某台机器的操作系统发生变化时,或者更常见的情况是如何处理双启动的计算机,比如 OSX 和 Windows?
我们在校园里有大约六个不同的安全“区域”:
上面的每一个都被分成更小的子网,通常是通过构建然后通过它们连接到哪个配线间。对于无线,我们有几个子网,非特权用户可以随机分配到这些子网。对于服务器机房,我们按操作系统分组(主要是为了 Windows 和 Linux 之间的安全分离),并在操作系统组中进一步细分 ITS 服务器与部门拥有的服务器。我们使用默认拒绝策略为每个子网维护子网 ACL,只允许我们明确允许的流量通过。除了子网防火墙之外,我们还在所有服务器上实施主机防火墙,无论是 Linux 还是 Windows。还有几个专用 VLAN 用于服务器管理、网络管理、iSCSI、HVAC 设备、门禁面板、安全摄像头等。
保持广播域较小的目标是一个很好的目标。不过,老实说,两个坐在彼此旁边的人是否在同一个 L2 广播域中并不重要。
| 归档时间: |
|
| 查看次数: |
1115 次 |
| 最近记录: |