VLAN-計画中？

私たちのネットワークはフラットなL2です。

ある時点で、（私はしたいが、厳密には私の責任ではありません）ブロードキャストチャターが大量に発生することは明らかなので、VLANを開始し、最近、ファイアウォールの1つがarpテーブルに達しました。制限（おそらく、ファイアウォールにはarpテーブルの制限がありますが、私たちはそれを実現しています）。

それでは、LANをVLAN化するための方法論をどのように考え出しますか？

私たちの場合は1つのサイトですが、小さな町の大きさです（キャンパスを想像してみてください）。

エッジスイッチが直接接続されているものもあれば、ファイバーから銅線へのコンバーターを介して接続されているものもある、いくつかのコアスイッチを備えたかなり一般的なハブ/スポークLANがあります。

私たちのエッジキットは、Procurve、Prosafe、いくつかの古いBaystackなどを組み合わせたものです。

ほとんどのクライアントはDHCP上にあり、一部は静的IP上にありますが、それらに対処することもできます。ネットワークプリンターも静的IP上にあります。

私が見ているように、キャンパスの物理的な場所に基づいてVLANに多くのオプションがあります。つまり、建物AとBのすべてのエッジスイッチはVLAN xxに行くか、または他の要因に基づく可能性があります。

簡単に言うと、以前にこれを行ったことがないため、簡単に飛び込んですぐに何かをしてから後悔するのは簡単です。

どのようにそれについて考えますか？

通常、すでに明白な明らかな分割が既に発生しており、ネットワークをセグメント化するための基礎として使用します。vlanよりも、ネットワークをサブネット化したいようです。VLANは通常、管理ネットワーク、SAN、VoIPなどの管理要件に基づいています。サブネットはこれらのVLANに従いますが、一般的にはさまざまな物理的な違い（建物、フロア、またはその他の物理的構成ごとに1つ）を分割します。

ネットワークについて何も知らずに特定のものを推奨するのは本当に難しいです。

@minarnhereが説明する方法は絶対的な方法ですが、機能によって分割するだけでなく、セキュリティ、物理的な場所、ホスト数などの要素を追加し、ネットワークをこれらすべての要素に基づいて必要な数のVLANに分割します。

適切なスイッチとルーターが配置されていると仮定すると、多くのVLANを用意してもコストはかかりません。また、適切に計画されていれば、管理オーバーヘッドも最小限に抑えられるため、メリットは非常に大きくなります。すべての学生、家庭教師、またはユーザーまたはホストのグループを1つのVLANに入れることについての人為的な制約に制限されないで、なぜとにかくそれを行いたいのですか？トラフィックはレイヤー3でのみ制御できるため、ネットワークを分割してVLAN間トラフィックを制限および制御できることを覚えておいてください。VLAN内のトラフィックはありません。

キャンパスLANを設計する古典的な方法は、ネットワークをアクセス、ディストリビューション、コアに分割することです。多くのアクセスレイヤー2スイッチは、それぞれが1つ以上のVLANからのトラフィックを伝送し、トラフィックを少数のレイヤー3コアスイッチにルーティングするいくつかのレイヤー3ディストリビューションスイッチに接続します。

すべてのホストは、上記の要因に基づいてVLANに分割されるアクセスレイヤーに接続する必要があります。各アクセスレイヤーVLANは、可能な場合は1つの物理スイッチに制限する必要があります（このルールは、同じVLAN内の別のスイッチにフェイルオーバーする必要があるデュアルホームサーバーがある場合にのみ破る必要があります）。各VLANはブロードキャストドメインであり、それぞれのブロードキャストトラフィックを可能な限り制限する必要があることに注意してください。アクセスレイヤーに/ 24サブネットのみを使用することを検討してください。単一のブロードキャストドメインに250を超えるホストが必要なのはなぜですか。

VLANが複数のスイッチに分散する必要がある状況は、ごくわずかですが、これらは非常に専門的であり、スイッチの管理はおそらく1つです（ただし、議論の余地があります）。

良い出発点はあなたのサーバーでしょう。それらが同じ物理的な場所（建物ではなく部屋）にある場合は、機能に基づいてそれらをVLANに分割することをお勧めしますが、それ以外の場合は、〜200ホストごとに1つのVLANで十分です。明らかに（？）インターネットに接続しているサーバーは、キャンパスからファイアウォールで保護された独自の、できれば物理的に分離したネットワーク上にある必要があります（DMZ設計はそれ自体が別の専門分野なので、ここでは説明しません）。内部サーバーも、学生用のサーバーと内部管理者専用のサーバーに分割し、VLANに適切に分割する必要があります。一部のサーバーが特定の部門（例：HR）に属している場合、それらのサーバーへのトラフィックを制御する必要がある場合は、それら専用のVLANを用意することを検討してください。

サーバーが分散している場合、それらを場所と機能に基づいて別々のVLANに配置します。「サーバーであるため」または「すべてがWebサーバーであるため」、それらを同じVLANに配置する必要はありません。

学生とスタッフのユーザーに移ります。最初に、ITスタッフ以外がアクセスできる、またはアクセスできる可能性のあるすべてのポートまたはアクセスポイントはセキュリティリスクと見なされ、そこから発生するすべてのトラフィックは信頼できないものとして扱われる必要があります。ホストの可能な数、および状況に応じてユーザーグループに基づいて教室をVLANに配置しますが、特定のポートを「信頼する」ことを間違えないでください。講師が教室から管理ネットワークにアクセスする必要がある場合は、それらを指定する必要があります。自宅や公共の喫茶店と同じアクセス方法（VPN？）。

ワイヤレスネットワークは、有線とは別のVLAN上にある必要がありますが、同じ制約があります。回避できる場合（ただし、できない場合もあります）、すべてのAPをキャンパス全体のVLANに配置せず、同じ方法を使用してそれらを分割します。有線と同じ理由で。

IP電話は、驚いたことに、他のすべてとは別のVLANにある必要があります。これは、一部のメーカー（私の経験ではCisco）で、電話がアクセススイッチとネゴシエートしてトラフィックを適切なVLANに入れることで容易になりますが、これには明らかにスイッチが必要です。正しく構成されている。

LAN設計については他にもたくさんありますが、上記は始まりです。最後に、DHCPに関する限り、DHCPはサーバーとプリンターを含むすべての単一ホストに使用します。これらの両方に、MACアドレスに基づいて静的に割り当てられたIPアドレスが必要です。前者のスコープ（または複数のスコープ）に予備のアドレスを含めることはできません。これにより、デバイスがサーバーVLANに偶然に差し込まれるのを防ぐことができますが、これはプリンターにも適用され、重要なのはデバイスを集中管理できることです。変更は、キャンパスが正しいアドレスを取得するのをさまよっているエンジニアに依存するのではなく、一元的に処理されます。

さて、今のところ十分ですが、それが少し役立つことを願っています。

Chris Sが述べたように、VLANとサブネットは異なります。しかし、学校のキャンパスのすべてのVLANに個別のサブネットとDHCPスコープを割り当てただけです。各建物には、独自のVLAN /サブネット/ DHCPスコープがあります。これにより管理がはるかに簡単になりますが、私たちよりも大きなキャンパスがある場合は機能しない可能性があります。また、スイッチ管理、物理サーバー、VOIP電話、学生無線、教室無線、学生実験室、仮想サーバー、ビジネスオフィス、SAN、VPNに個別のVLANを使用します。基本的に、私たちは十分に小さいので、可能な差別化は独自のVLANを取得します。（VLANは最大25であり、特定のグループを他のネットワークから分離したかっただけの理由で、新しい部門を作り始めました...）

VLANごとに個別のサブネットを作成すると無駄が生じる可能性がありますが、管理が容易になり、IPからVLANへの変換が簡単になります。

IPには10.xxxを使用しているため、VLAN1は10.1.xxを取得し、VLAN8は10.8.xxを取得します。DHCPを必要とするすべてのVLANは独自のスコープを取得しますが、それらを必要としないVLANのスコープは作成しません。スイッチ管理。