我最近遇到了一个网络设计,它大量实现了 VLAN,但没有使用专用的身份和访问管理系统,例如 Active Directory 或 OpenLDAP。还有一种设计计划使用 Active Directory,但对网络使用简单的树状子网划分。我的问题:
- VLAN 是获得更好管理网络的唯一途径吗?它总是大公司网络设计的最佳实践吗?
- 我曾经在一所使用 AD 和(我认为)VLAN 的大学里。当我们要确保安全和良好的用户管理时,它是“标准设计”吗?
- 使用没有 VLAN 的 AD/OpenLDAP 是否很常见(如今,在大型企业设置中)?或者,相反,没有 AD/OpenLDAP 的 VLAN?
- VLAN 和 AD/OpenLDAP 是两个完全正交的概念吗?因此互补?如果是这样,我猜上面两个设计的团队需要谈谈。
进一步的问题:
- 使用 VLAN 时,习惯上是按部门(会计、人力资源等)划分 VLAN 网络。将 AD 添加到其中,我们是否应该(也)基于部门创建不同的域?
- 如何设计基于建筑物的 AD 和类似的 VLAN?简而言之,如何最好地将子网划分、VLAN 和 AD 一起实现?
欢迎任何见解、提示、链接或建议。