如何设置VLAN网络
我正在将我的网络从让每个设备都在平面网络上更改为使用 VLans。我的问题是我们在这个网络上已经有很多设备(192.168.20.0/24)。从理论上讲,我读到每个 Vlan 必须是不同的子网,然后我需要在我的 Cisco 路由器上配置虚拟接口以适应 vlan 间路由。
1) 如何在网络上已有的设备上以最短的停机时间对该网络进行分段?
2)我可以只创建 Vlan 并将所有这些 Vlan 留在同一个第 3 层网络中,以便它们可以离开网络(我不太关心 Vlan 间路由),或者我必须创建子网,这意味着重新配置现有的设备(我不想要的东西)。
vor*_*aq7 26
正如 Joeqwerty 已经指出的那样,您正在以不充分的基本理解和模糊定义的目标来处理这个问题。您正在为失败、停机和安全漏洞做好准备。我将沉迷于一个小“vLAN 101”教程,而不是仅仅回答您的问题,这可能对您更有用。
您似乎对 vLAN 分段以及它如何适应网络架构有一些基本的误解,所以让我们将 ALLLLLLLL 回滚一分钟:
从网络架构级别,您可以非常简单地认为 vLAN 只不过是一个单独的交换机,不连接到任何其他交换机 (vLAN)。
如果您以这种方式查看 vLAN,那么如何使用它们就变得相对清晰:当您不希望机器Group A能够与机器通信时,Group B您可以将它们放在单独的 vLAN 中,并强制它们穿过路由器(最好是一个路由器)与防火墙功能)相互交谈。
在几乎所有情况下,最好(也更容易)通过将机器置于不同的 IP 网络(子网)中来做到这一点——vLAN 中的机器在同一个子网中,并且可以随心所欲地相互聊天,但如果他们想与他们 vLAN 之外的人交谈,这也将在他们的子网之外,所以他们被移交给他们的默认网关,它可以处理在什么情况下谁可以与谁交谈的安全问题。
因此 vLAN 架构只需 11 个简单步骤:
找出哪些机器构成逻辑组。这些是您的 vLAN
在一个非常简单的环境中,这可能是Web Servers和Database Servers。
在更复杂的环境中,您可能有很多组,并且可以在单个 vLAN 中组合多个组——这是您必须做出的架构决策。找出适合您的 vLAN 的寻址方案。
如果您非常幸运,每个 vLAN 都适合 /24,您将能够基于此构建拓扑。如果您不是那么幸运,请找出哪些 vLAN 需要更大(或更小)的块。把你到目前为止所做的事情画在纸上。
找出哪些 vLAN 需要相互通信。
应在 vLAN/网络之间打开哪些端口/服务?
您的环境需要存在哪些其他条件才能发挥作用?把你想出的东西画在纸上。确保它是健全的,然后将其转换为防火墙/路由器策略。
起草防火墙/路由器配置。理想情况下,在测试环境中使用它。
在纸上画出您的交换机并映射哪些端口将进入哪些 vLAN。
对连接进行物理分组以使它们位于同一个逻辑 vLAN 中是有帮助的,但这并不是绝对必要的。将您的开关图纸转换为开关配置。理想情况下,在测试环境中使用它。
清理你在纸上的图画。逻辑图应该看起来像这样:
(图像已缩小以掩盖您不需要阅读的内容)让别人看看你的设计。
您可以询问服务器故障,但如果熟悉您的环境的人查看它会更好,因为他们更有可能发现潜在的损坏。花一个周末,把你的逻辑设计变成现实。
(不用说,你应该有一个回滚计划,以防万一出现可怕的错误,但我还是要说。)
(如果你非常优秀,你可以跳过上面的一些“在纸上画”的步骤,但我不建议你第一次跳过。)
回复:你问的两个具体问题:
1)如何在网络上已有的设备上以最短的停机时间对该网络进行分段?
你不能。将您的网络分解为 vLAN 将需要一个中断窗口 - 您必须重新配置您的交换机,将机器移动到不同的逻辑网络,配置路由,可能会移动一些电缆等等等等。
计划从周五下午 5 点开始的中断和延长一个周末,特别是如果这是您第一次设计正确分段的网络 - 您将花费一些时间来调试中断的事情。
2)我可以只创建 Vlan 并将所有这些 Vlan 留在同一个第 3 层网络中,以便它们可以离开网络(我不关心 Vlan 路由),或者我必须创建子网,这意味着重新配置现有设备(我不想要的东西)
你是否可以?是的。
它会在安全方面给你买什么吗?并不真地。
它会使整个项目难度增加 10 倍吗?绝对地。
您应该以这种方式设计网络吗?不。