网络 – 有多少VLAN太少而且太多?

我们目前正在运行800台PC和20台服务器的网络,网络基础设施与核心交换机10Gb->区域开关2GB-> Local Switch 1GB->桌面.所有运行的3Com设备(1).

我们有4个区域开关用于四个区域(A,B,C,D与核心合并),每个区域开关将有10到20个本地开关连接到这些区域.还有一个备用核心交换机,功率较小但连接为主核心交换机.

我们还有一个IP电话系统.计算机/服务器和开关在10.x ip范围内,电话在192.168.x范围内.除了计算机实验室之外,计算机通常不必相互通信,但它们确实需要能够与我们的大多数服务器(AD,DNS,Exchange,文件存储等)通信.

当我们建立时,我们决定要有3个VLAN,一个用于Switch&计算机,一个用于电话,一个用于服务器复制(这是针对3Com工程师的建议).从这一点开始,网络一直稳定运行(2),但我们现在已经开始升级到SAN和虚拟化环境.现在将这个新基础设施拆分为单独的VLAN是有道理的,并且重新设置我们的VLAN如何设置似乎是明智的.

现在建议VLAN应该在一个房间的基础上建立,即一个拥有5台PC的计算机实验室应该是它自己的VLAN,但如果我们遵循这个模型,我们至少会看到25个“新”VLAN,加上SAN / Virtual服务器的VLAN.在我看来,这将增加过多的管理,虽然我很高兴被证明是错误的.

什么是最佳做法似乎暗示?是否有一定数量的PC建议不要在VLAN中超过/低于此值.

(1)3Com交换机(3870和8800)在VLAN之间的路由与其他人的路由方式不同,它不需要单独的路由器,因为它们是第3层.

(2)我们有时会得到高丢弃率或STP变化,并且当时3Com Network Director报告交换机负载不足且响应速度缓慢,或者交换机故障导致网络断电(所有电话和计算机VLAN) !,一次,不明白为什么)

最佳答案
听起来你组织中的某个人想要创建VLAN,而不了解你为什么要这样做以及与之相关的利弊.听起来你需要做一些测量,并在前进之前提出一些真正的理由,至少在疯狂的“房间VLAN”愚蠢的情况下.

您不应该开始将以太网LAN分成VLAN,除非您有充分的理由这样做.最好的两个原因是:

>减轻性能问题.以太网LAN无法无限扩展.过多的广播或将帧泛滥到未知目的地将限制其规模.这些条件中的任何一个都可能是由于以太网LAN中的单个广播域太大而引起的.广播流量很容易理解,但帧到未知目的地的泛滥有点模糊(以至于其他海报都没有提到它!).如果你的交换机MAC表溢出的设备太多,那么如果帧的目的地与MAC表中的任何条目都不匹配,交换机将被强制将非广播帧泛洪到所有端口.如果您在以太网LAN中有足够大的单个广播域,其流量配置文件很少主持通话(也就是说,它们的条目已经老化超出了交换机上的MAC表),那么您也可能会过度泛滥帧.
>希望限制/控制在第3层或更高层次的主机之间移动的流量.您可以在第2层(ala Linux ebtables)上检查流量,但这很难管理(因为规则与MAC地址绑定并且更换NIC需要更改规则)会导致看起来真的很奇怪的行为(做例如,第2层的HTTP透明代理是怪异而有趣的,但是完全不自然,并且可以非常直观地进行故障排除),并且通常很难在较低层执行(因为第2层工具就像棒和处理第3层问题的岩石).如果要控制主机之间的IP(或TCP或UDP等)流量,而不是在第2层攻击问题,则应在子网之间使用ACL对防火墙/路由器进行子网划分.

带宽耗尽问题(除非它们是由广播数据包或帧溢出引起的)通常不会通过VLAN解决.它们发生的原因是缺乏物理连接(服务器上的NIC太少,聚合组中的端口太少,需要提升到更快的端口速度)并且无法通过子网划分或部署VLAN来解决不增加可用带宽量.

如果你没有像MRTG这样简单的东西在你的交换机上运行图形化的每端口流量统计数据,这真的是你的第一笔业务,那么在你开始潜在地引入有良好意图但不知情的VLAN分段的瓶颈之前.原始字节计数是一个良好的开端,但您应该通过有针对性的嗅探来跟进它,以获取有关流量配置文件的更多详细信息.

一旦您了解了LAN上的流量如何变化,您就可以开始考虑出于性能原因而对LAN进行分段.

如果您真的要尝试按下数据包并在VLAN之间进行流级访问,请准备好使用应用软件进行大量的工作,并学习/逆向工程如何通过线路进行通信.限制主机对服务器的访问通常可以通过服务器上的过滤功能来完成.限制对线路的访问可能会提供虚假的安全感,并使管理员陷入自满状态,他们认为“好吧,我不需要安全配置应用程序.因为可以与应用程序通信的主机受限于’网络’.”在我开始限制主机到主机之间的通信之前,我建议您审核服务器配置的安全性.

通常,您可以在以太网中创建VLAN,并将IP子网1对1映射到它们.您将需要大量的IP子网用于您所描述的内容,并且可能需要大量的路由表条目.使用VLSM更好地规划这些子网以汇总您的路由表条目,是吗?

(是的,是的 – 有办法不为每个VLAN使用单独的子网,但是在严格的“普通”世界中你要创建一个VLAN,想一个在VLAN中使用的IP子网,分配一些路由器在该VLAN中的IP地址,将该路由器连接到VLAN,通过物理接口或路由器上的虚拟子接口,将一些主机连接到VLAN并在您定义的子网中分配它们,并路由其流量和超出VLAN.)

转载注明原文:网络 – 有多少VLAN太少而且太多? - 代码日志