网络 – 园区VLAN分段 – 通过操作系统?

我们一直在考虑重新安排我们的网络和VLAN配置.这是情况.

我们已经在自己的VLAN上安装了我们的服务器,VoIP电话和打印机,但我们的问题在于最终用户设备.在不受广播攻击的情况下,在同一VLAN上存在太多的问题!我们当前的细分策略将它们分成如下VLAN:

>学生iPad
>员工iPad
>学生Macbook
>员工Macbook
>游戏设备
>员工(其他)
>学生(其他)

**请注意,我们的网络拥有比大多数iPad更多的iPad和MacBook.*

由于我们分裂它们的主要原因只是将它们放在较小的组中,这对我们(大多数情况下)起作用.但是,这要求我们的员工维护属于这些组的所有设备的访问控制列表(MAC地址).它还具有不合理的分组广播流量的副作用.例如,使用此设置,使用iPad的校园两端的学生将共享广播,但属于同一用户(在同一房间中)的两个设备可能位于完全独立的VLAN上.

我觉得必须有更好的方法来做到这一点.

我做了很多研究,但我很难找到推荐这种分段的实例.对most relevant SO question的反馈似乎指向通过构建/物理位置进行VLAN分段.我认为这是有道理的,因为从逻辑上讲,至少在各种最终用户中,广播通常用于附近的设备.

>是否有基于终端系统操作系统划分VLAN的其他校园/大型网络?
>这是典型的配置吗?
>基于物理位置(或其他一些标准)的VLAN分段是否更有效?

编辑:我被告知我们很快就能动态确定设备操作系统而无需维护访问列表,但我不确定这会影响问题答案的程度.

最佳答案
我认为通过操作系统划分用户子网的工作量超过了它的价值,而且老实说,在我与HiEd IT人员的所有互动中,我从未听过有人谈论通过操作系统进行细分.这样做会带来什么好处?另外,当某台机器的操作系统发生变化或者更常见的情况是如何处理双靴子说OSX和Windows的计算机时,你会怎么做?

校园里有六个不同的安全“区域”:

>普通(非特权)教职员工办公室以太网下降
>特权员工办公室以太网下降(主要是ITS员工)
>客人Wifi(只有互联网接入)
> ResNet(宿舍网络)
>安全Wifi(WPA2 / 802.1x,用户根据角色进入特定VLAN)
>服务器机房

上述每一个都被划分为较小的子网,通常是通过构建,然后通过它们连接到哪个配线柜.对于无线,我们有几个子网,非特权用户可以随机分配.对于服务器机房,我们按操作系统分组(主要用于Windows和Linux之间的安全分离),以及ITS服务器与部门拥有的服务器的操作系统组内的进一步细分.我们使用默认拒绝策略为每个子网维护子网ACL,仅允许通过我们明确允许的流量.除子网防火墙外,我们还在所有服务器上实施主机防火墙,无论是Linux还是Windows.还有一些专用VLAN,用于服务器管理,网络管理,iSCSI,HVAC设备,门禁面板,安全摄像头等.

保持广播域小的目标是一个很好的目标.但老实说,如果两个坐在彼此旁边的人在同一个L2广播域中并不重要.

转载注明原文:网络 – 园区VLAN分段 – 通过操作系统? - 代码日志