Я новый сетевой менеджер школы. Я унаследовал среду, состоящую из нескольких серверов Windows, около 100 клиентов Windows, 10 принтеров, 1 маршрутизатора Cisco, 6 коммутаторов Cisco и 1 коммутатора HP. Кроме того, мы используем VoIP.
В нашем здании четыре этажа. Хосты на каждом этаже назначены в отдельную VLAN. Офис на первом этаже имеет свою собственную VLAN. Все коммутаторы находятся в своей собственной VLAN. IP-телефоны находятся в своей собственной VLAN. И серверы находятся в своей собственной VLAN.
Для количества хостов в сети, все эти VLAN действительно что-то мне дают? Я новичок в концепции VLAN, но она кажется слишком сложной для этой среды. Или это гениально, и я просто не понимаю?
решение1
IME, вы находитесь в зоне, где разделение трафика по сетям улучшит производительность. Однако разделение VLAN, похоже, было решено на основе функции узлов-участников, а не каких-либо усилий по управлению пропускной способностью. Конечно, с таким количеством узлов вы могли бы получить ту же самую совокупную пропускную способность, разумно планируя, где разместить коммутаторы, а не используя vlan.
Не видя подробной схемы и не проводя реальных измерений, трудно сказать наверняка, но я подозреваю, что описанная вами настройка не дает никаких преимуществ в производительности и создает массу проблем для администратора.
вы можете применить списки контроля доступа на маршрутизаторе
Не стоит использовать VLAN — используйте подсети, брандмауэры и коммутаторы.
решение2
Большинство из этих VLAN кажутся мне разумными. Хорошо разделить по функциям, так что VLAN для серверов, один для телефонов и еще один для рабочих станций имеет смысл. Тогда вы можете получить точный контроль над трафиком, проходящим между рабочими станциями и серверами.
Я не вижу особого смысла в том, чтобы иметь VLAN для рабочих станций на каждом этаже. Единая VLAN для всех рабочих станций сделала бы все просто и красиво. Распространение VLAN на несколько коммутаторов/транков, вероятно, не будет проблемой для такой маленькой сети.
Также довольно бессмысленно поддерживать отдельную VLAN для управления коммутатором. Они могут спокойно сидеть на серверной VLAN.
Кстати, в VLAN нет ничего магического... просто отдельные сегменты широковещательной сети, каждому из которых требуется шлюз по умолчанию и соответствующая конфигурация ACL на сетевых портах.
решение3
Ну, может быть полезно иметь отдельные VLAN для данных (компьютеров) и VoIP, чтобы можно было применить своего рода приоритезацию трафика. Отдельные VLAN для управления коммутаторами тоже полезны. Отдельные VLAN на этаж кажутся, возможно, слишком большими для 100 ПК, если только вы не планируете расширяться в будущем.
решение4
Другим преимуществом этой конструкции является то, что вы можете принудительно применять списки контроля доступа на маршрутизаторе, чтобы ограничить связь между VLAN и защитить серверы Windows от энтузиастов-студентов.