Trabalho em uma escola com vários campi e gostaria de segmentar minha rede com VLANs. Então, telefones em uma vlan, impressoras em outra, etc. Achei que seria bom segmentar por campus também. Parece que seria algum tipo de vlan aninhada onde há uma vlan para o ensino médio, e depois para os telefones no HS, e assim por diante.
Além das vlans aninhadas, pensei em fazer com que os troncos ouvissem apenas o tráfego do campus.
Isso é possível e, em caso afirmativo, como posso implementá-lo? Ou terei que criar um espaço vlan separado para cada segmento em cada campus (como impressoras HS, impressoras MS, impressoras Elem, etc.)? Ainda sou um novato em vlans, mas estou aprendendo aos poucos.
Responder1
VLANs aninhadas são uma coisa, mas são como construir um túnel dentro de um túnel, e você precisaria de um equipamento que pudesse suportá-lo (e licenciamento, se necessário). Um método melhor é atribuir uma sub-rede específica a um campus específico e, em seguida, espelhar sua alocação de VLAN nas sub-redes. Isso permitiria o uso consistente de VLAN em vários campi, enquanto localizava o tráfego para sub-redes/campi específicos. Também é mais limpo e tem suporte nativo em todos os switches da camada 2.
Por exemplo
Responder2
Aninhar VLANs não é realmente necessário e é um exagero no seu cenário.
Você deve usar links roteados entre locais, não links comutados. Dessa forma, as VLANs não se espalham por locais, permitindo a reutilização de seus IDs. No entanto, eu não recomendaria fazer isso - geralmente é uma boa ideia não duplicar IDs de VLAN, mas usar um esquema comum.
Por exemplo, você poderia usar a VLAN 110 no local 1 e a VLAN 210 no local 2 para a mesma finalidade. Dessa forma, vocêpoderiause um plano de VLAN comum entre locais, se necessário. Usar IDs duplicados para sub-redes distintas forçaria você a renumerar as VLANs, o que não é muito divertido.
A respeito deseria bom segmentar por campus- você não deveria fazer isso porque é legal ou porque você pode. Você deveria fazer isso paramelhorar a segurança da rede. Planeje diferentes zonas de segurança - como VoIP, segurança física (portas eletrônicas, sistemas de alarme), servidores, armazenamento, acesso de funcionários, acesso de estudantes, dispositivos IoT,... e use VLANs para separar essas zonas. Configure regras rígidas de firewall entre as zonas para controlar o roteamento entre elas. Comece negando todo o tráfego como padrão e apenas a permissão é realmente necessária. Documente bem.