faj*_*jar 0 networking openldap active-directory ldap vlan
我最近遇到了一个网络设计,它大量实现了 VLAN,但没有使用专用的身份和访问管理系统,例如 Active Directory 或 OpenLDAP。还有一种设计计划使用 Active Directory,但对网络使用简单的树状子网划分。我的问题:
进一步的问题:
欢迎任何见解、提示、链接或建议。
VLAN 是获得更好管理网络的唯一途径吗?它总是大公司网络设计的最佳实践吗?
它们适用于任何大小的有意义的时候。
我曾经在一所使用 AD 和(我认为)VLAN 的大学里。当我们要确保安全和良好的用户管理时,它是“标准设计”吗?
VLAN 本身不是安全边界,只是广播边界。但是,通过将逻辑组分成 VLAN,您可以根据需要在它们之间放置 ACL。
当然,AD 是为了“好的”用户管理。它是一种授权和身份验证服务。这就是它的设计目的。
使用没有 VLAN 的 AD/OpenLDAP 是否很常见(如今,在大型企业设置中)?或者,相反,没有 AD/OpenLDAP 的 VLAN?
不可以。大型企业通常使用 VLAN。不过,原因与 AD 或 OpenLDAP 无关。
VLAN 和 AD/OpenLDAP 是两个完全正交的概念吗?因此互补?如果是这样,我猜上面两个设计的团队需要谈谈。
为什么你说的两个“设计团队”需要交谈?一个在第 2 层工作,另一个在第 7 层工作。它们完全无关。为什么交换机端口配置与身份验证服务器有关?
使用 VLAN 时,习惯上是按部门(会计、人力资源等)划分 VLAN 网络。将 AD 添加到其中,我们是否应该(也)基于部门创建不同的域?
对于 VLAN,可能取决于环境。对于 AD,没有。除非您需要在 AD 资源之间引入硬管理边界,否则使用子域不是最佳做法。在大多数情况下,子域不是推荐的设计。一个域来统治所有这些。
如何设计基于建筑物的 AD 和类似的 VLAN?简而言之,如何最好地将子网划分、VLAN 和 AD 一起实现?
根据您的第 2 层交换需求实施 VLAN。根据您的 AD 需求实施 AD。真的,只要连接不同 VLAN 的客户端机器可以与 AD 通信,就没有什么可考虑的了。
您似乎有一些愚蠢的想法,即 VLAN 和 AD 以某种方式直接相互补充。他们是完全独立的。在许多组织中,您会看到两者都部署了,因为它们都是行业标准的有用技术。这并不意味着他们不知何故是必须共存的星罗棋布的恋人,以免对方因心碎而死。
AD 进行授权和身份验证。VLAN 在单个交换硬件上进行逻辑第 2 层分离。两者就像靴子和盐瓶一样相关。
| 归档时间: |
|
| 查看次数: |
3120 次 |
| 最近记录: |