Tub*_*ubs 24 networking vlan 3com
我们目前正在运行一个由 800 多台 PC 和 20 多台服务器组成的网络,网络基础设施沿着核心交换机 10Gb-> 区域交换机 2GB-> 本地交换机 1GB-> 桌面。所有正在运行的 3Com 设备 (1)。
我们有四个区域的 3 个区域交换机(A、B、C、D 与核心合并),每个区域交换机将有 10 到 20 个本地交换机连接到这些区域。还有一个备用核心交换机,功率较小,但与主核心交换机一样连接。
我们还有一个IP电话系统。计算机/服务器和交换机在 10.x ip 范围内,电话在 192.168.x 范围内。除了在计算机实验室中,计算机通常不必相互通信,但它们确实需要能够与我们的大多数服务器(AD、DNS、Exchange、文件存储等)通信。
当我们设置时,决定我们有 3 个 VLAN,一个用于交换机和计算机,一个用于电话,一个用于服务器复制(这违反了 3Com 工程师的建议)。从那时起,网络一直稳定运行 (2),但我们现在已经开始升级到 SAN 和虚拟化环境。现在将这个新的基础设施拆分成单独的 VLAN 是有道理的,重新审视我们的 VLAN 是如何设置的似乎是明智的。
现在建议 VLAN 应该在一个房间一个房间的基础上设置,即拥有 5 台以上 PC 的计算机实验室应该是它自己的 VLAN,但如果我们遵循这个模型,我们将至少查看 25 个“新”VLAN ,加上用于 SAN/虚拟服务器的 VLAN。在我看来,这会增加过多的管理,尽管我很高兴被证明是错误的。
最佳实践似乎建议什么?是否有一定数量的 PC 建议不要在 VLAN 中越过 / 低于 VLAN。
(1) 3Com 交换机(3870 和 8800)在 VLAN 之间路由与其他一些路由不同,它不需要单独的路由器,因为它们是第 3 层。
(2) 我们有时确实会遇到高丢弃率或 STP 更改,并且有时 3Com 网络主管报告说交换机负载不足并且响应 ping 很慢,或者一个失败的交换机设法关闭网络(所有电话和计算机 VLAN! ,曾经,不知道为什么)
Eva*_*son 37
听起来您组织中的某个人想要创建 VLAN,但不了解您这样做的原因以及与之相关的优缺点。听起来你需要做一些测量并在继续之前提出一些真正的原因,至少在疯狂的“房间的 VLAN”愚蠢的情况下。
除非有充分的理由,否则不应开始将以太网 LAN 分解为 VLAN。最好的两个原因是:
缓解性能问题。以太网 LAN 不能无限扩展。向未知目的地过度广播或泛洪帧将限制其规模。这两种情况中的任何一种都可能是由于以太网 LAN 中的单个广播域太大而导致的。广播流量很容易理解,但是帧泛滥到未知目的地就有点模糊了(以至于这里的其他海报甚至都没有提到它!)。如果您的设备太多,以至于您的交换机 MAC 表溢出,如果帧的目的地与 MAC 表中的任何条目都不匹配,则交换机将被迫将非广播帧从所有端口溢出。如果您在以太网 LAN 中有一个足够大的单个广播域,其流量配置文件很少与主机通话(也就是说,它们的条目很少会从交换机的 MAC 表中老化),那么您也可能会收到过多的帧泛洪.
希望限制/控制第 3 层或更高层主机之间的流量。您可以对第 2 层(ala Linux ebtables)的流量进行一些黑客检查,但这很难管理(因为规则与 MAC 地址相关并且更换 NIC 需要更改规则)可能导致看起来非常非常奇怪的行为(做例如,在第 2 层对 HTTP 进行透明代理,既怪异又有趣,但完全不自然,并且可能非常不直观地进行故障排除),并且通常在较低层难以做到(因为第 2 层工具就像棍棒一样)并在处理第 3+ 层问题时遇到困难)。如果您想控制主机之间的 IP(或 TCP 或 UDP 等)流量,而不是在第 2 层攻击问题,您应该划分子网并在子网之间使用带有 ACL 的防火墙/路由器。
带宽耗尽问题(除非它们是由广播数据包或帧泛滥引起的)通常无法通过 VLAN 解决。它们的发生是因为缺乏物理连接(服务器上的 NIC 太少,聚合组中的端口太少,需要提升到更快的端口速度)并且无法通过子网划分或部署 VLAN 来解决,因为那已经赢了'不增加可用带宽量。
如果您甚至没有像 MRTG 这样在交换机上运行图形化每端口流量统计数据的工具,那么这确实是您的首要任务,然后您才可能开始因善意但不知情的 VLAN 分段而引入瓶颈。原始字节数是一个好的开始,但您应该通过有针对性的嗅探来跟进,以获取有关流量配置文件的更多详细信息。
一旦您了解了 LAN 上的流量如何移动,您就可以开始考虑出于性能原因对 LAN 进行分段。
如果您真的要尝试控制 VLAN 之间的数据包和流级访问,请准备好使用应用程序软件进行大量跑腿工作,并学习/逆向工程它是如何通过线路进行通信的。限制主机对服务器的访问通常可以通过服务器上的过滤功能来实现。限制线路上的访问会提供一种错误的安全感,并使管理员自满,他们认为“好吧,我不需要安全地配置应用程序,因为可以与应用程序通信的主机受到'the网络'。” 我鼓励您在开始限制网络上的主机到主机通信之前审核服务器配置的安全性。
通常,您在以太网中创建 VLAN 并将 IP 子网一对一映射到它们上。你会需要一个LOT IP子网的为你描述,和潜在的大量的路由表项。最好使用 VLSM 规划这些子网以汇总您的路由表条目,是吗?
(是的,是的 - 有一些方法可以不为每个 VLAN 使用单独的子网,但坚持严格的“普通”世界,您将创建一个 VLAN,想出一个 IP 子网以在 VLAN 中使用,分配一些路由器该 VLAN 中的 IP 地址,将该路由器连接到 VLAN,通过路由器上的物理接口或虚拟子接口,将一些主机连接到 VLAN 并在您定义的子网中为它们分配 IP 地址,然后将其流量路由到离开 VLAN。)
VLAN 仅对限制广播流量真正有用。如果某个东西要进行大量广播,那么将其分离到自己的 VLAN 中,否则我不会打扰。您可能希望在同一网络上拥有实时系统的虚拟化副本,并希望使用相同的地址范围,但话又说回来,这可能值得使用单独的 VLAN。