少なすぎるVLANと多すぎるVLAN


23

現在、800台以上のPCと20台以上のサーバーのネットワークを実行しています。ネットワークインフラストラクチャは、Core Switch 10Gb-> Area Switch 2GB-> Local Switch 1GB-> Desktopに沿っています。すべての実行中の3Com機器(1)。

4つのエリアに3つのエリアスイッチがあり(A、B、C、Dはコアとマージされます)、各エリアスイッチには10〜20のローカルスイッチが接続されます。バックアップコアスイッチもありますが、メインコアスイッチと同様に、電力は供給されませんが接続されます。

IP電話システムもあります。コンピューター/サーバーとスイッチは10.x IP範囲にあり、電話は192.168.x範囲にあります。通常、コンピューターはコンピューターラボを除いて互いに通信する必要はありませんが、ほとんどのサーバー(AD、DNS、Exchange、ファイルストレージなど)と通信できる必要があります。

セットアップ時に、3つのVLAN、スイッチとコンピューター用、電話用、サーバー複製用の3つのVLANを持つことにしました(これは3Comのエンジニアのアドバイスに反していました)。ネットワークはこの時点から安定して機能してきましたが(2)、SANおよび仮想化環境へのアップグレードを開始しました。現在、この新しいインフラストラクチャを個別のVLANに分割することは理にかなっており、VLANの設定方法を再検討することは理にかなっています。

VLANは部屋ごとに設定する必要があります。つまり、5台以上のPCを備えたコンピューターラボは独自のVLANである必要がありますが、このモデルに従うと、少なくとも25の「新しい」VLANが表示されます。 、およびSAN /仮想サーバーのVLAN。私は間違っていると証明されるのは非常に幸いですが、私には過剰な量の管理が追加されるようです。

ベストプラクティスは何を示唆しているように思われますか?VLAN内で行き過ぎたり、下がったりしないことをお勧めする特定の数のPCがあります。

(1)3Comスイッチ(3870および8800)は、他のVLANとは異なる方法でVLAN間をルーティングします。レイヤー3であるため、別個のルーターを必要としません。

(2)破棄率が高い、またはSTPが変更される場合があり、3Com Networkディレクターは、スイッチの負荷が低く、pingへの応答が遅い、またはスイッチの故障によりネットワーク(すべての電話とコンピューターのVLAN 、一度、理由はわかりません)

回答:


36

組織内の誰かが、VLANを作成する理由と、それに関連する長所/短所を理解せずにVLANを作成したいようです。少なくとも非常識な「部屋のVLAN」の愚かさで、進む前に何らかの測定を行い、これを行ういくつかの本当の理由を考え出す必要があるように思えます。

適切な理由がない限り、イーサネットLANをVLANに分割し始めるべきではありません。最良の2つの理由は次のとおりです。

  • パフォーマンスの問題を軽減します。イーサネットLANは無制限に拡張できません。不明な宛先への過度のブロードキャストまたはフレームのフラッディングは、その規模を制限します。イーサネットLANの単一のブロードキャストドメインを大きくしすぎると、これらの状態のいずれかが発生する可能性があります。ブロードキャストトラフィックを理解するのは簡単ですが、不明な宛先へのフレームのフラッディングはもう少し不明瞭です(ここにある他のポスターのどれも言及していないほどです!)。スイッチのMACテーブルがオーバーフローするほど多くのデバイスを取得した場合、フレームの宛先がMACテーブルのエントリと一致しない場合、スイッチはすべてのポートから非ブロードキャストフレームをフラッディングします。イーサネットLANに十分な大きさの単一のブロードキャストドメインがあり、ホストが頻繁に通信しないトラフィックプロファイル(つまり、エントリがスイッチのMACテーブルから期限切れになるほど頻繁にない)がある場合、フレームの過剰なフラッディングを取得することもできます。 。

  • レイヤー3以上のホスト間を移動するトラフィックを制限/制御したい。レイヤー2(ala Linux ebtables)でトラフィックを調べるハッカーを行うこともできますが、これは管理が困難です(ルールはMACアドレスに関連付けられており、NICを変更するとルールの変更が必要になるため)たとえば、レイヤー2でのHTTPの透過的なプロキシはおかしくて楽しいですが、まったく不自然で、トラブルシューティングするのは非常に直感的ではない可能性があります)レイヤー3+の懸念に対処するのが難しい)。レイヤー2で問題を攻撃するのではなく、ホスト間のIP(またはTCP、またはUDPなど)トラフィックを制御する場合は、サブネット間でサブネットを作成し、ファイアウォール/ルーターをACLに固定する必要があります。

通常、帯域幅の枯渇の問題(ブロードキャストパケットまたはフレームのフラッディングが原因でない限り)は、VLANでは解決されません。それらは物理的な接続の不足(サーバー上のNICが少なすぎる、集約グループ内のポートが少なすぎる、ポート速度を上げる必要がある)が原因で発生し、VLANのサブネット化または展開では解決できません利用可能な帯域幅の量を増やしてはいけません。

スイッチ上でポートごとのトラフィック統計をグラフ化するMRTGのような単純なものさえない場合、意図的ではあるが知らされていないVLANセグメンテーションでボトルネックを潜在的に導入する前に実際にビジネスの最初の注文です。Rawバイトカウントは良い出発点ですが、トラフィックプロファイルの詳細を取得するには、ターゲットスニッフィングでフォローアップする必要があります。

LAN上でトラフィックがどのように移動するかがわかったら、パフォーマンス上の理由からLANのセグメント化について考えることができます。

VLAN間のパケットおよびストリームレベルのアクセスを実際に試してボタンダウンする場合は、アプリケーションソフトウェアで多くの作業を行い、回線上で通信する方法を学習/リバースエンジニアリングする準備をしてください。多くの場合、ホストからサーバーへのアクセスを制限するには、サーバーのフィルタリング機能を使用します。ワイヤ上のアクセスを制限すると、誤ったセキュリティ感覚が生じ、管理者が「アプリを安全に設定する必要はありません。アプリと通信できるホストが制限されるため、アプリを安全に設定する必要はありません。ネットワーク'。" ネットワーク上のホスト間の通信を制限する前に、サーバー構成のセキュリティを監査することをお勧めします。

通常、イーサネットでVLANを作成し、IPサブネットを1対1でマッピングします。あなたは必要になるだろうLOTあなたが記述している何のためにIPサブネットの、そして潜在的にテーブルのエントリをルーティングの多くを。VLSMを使用してこれらのサブネットをより適切に計画し、ルーティングテーブルエントリを要約します。

(はい、はい-すべてのVLANに個別のサブネットを使用しない方法がありますが、VLANを作成する厳密に「プレーンバニラ」の世界に固執し、VLANで使用するIPサブネットを考え、ルーターを割り当てますそのVLANのIPアドレス、そのルーターをVLANに接続し、ルーター上の物理インターフェースまたは仮想サブインターフェースのいずれかを使用して、いくつかのホストをVLANに接続し、定義したサブネット内のIPアドレスを割り当て、トラフィックをルーティングし、 VLANから)


2
これは素晴らしい説明です。ほとんどの最新のハードウェアでは、VLANをルーティングする必要があることを理解している限り、セグメント化はそれほど複雑ではありません。セグメント間でトラフィックを通過させるために、スティック上で過度にオーバーサブスクライブされたルーターを使用する、非常に効率的なVLANセットアップを使用しても、あまりメリットはありません。
Greeblesnort

2

VLANは、ブロードキャストトラフィックを制限する場合にのみ本当に役立ちます。何かが多くのブロードキャストを行う場合、それを独自のVLANに分離します。そうでなければ、私は気にしません。同じネットワーク上で稼働中のシステムの仮想化された複製を作成し、同じアドレス範囲を使用したい場合がありますが、この場合も別個のVLANの価値があります。


現時点では、WINSを使用せずにXPを実行しています。nbtstat-rを実行すると、大量のブロードキャストトラフィックを取得しているように見えます。
浴槽

1
Wiresharkのようなものでそれを測定し、何が起こっているのかを見てください。WINSは恐ろしいものではありません。多くのNetBIOS名前検索要求を受け取っていることがわかった場合は、DNSに正しい名前を入力して要求を回避するか、WINSを実行してください。
エヴァンアンダーソン

2

VLANは、追加のセキュリティレベルとして適しています。3Comがそれをどのように処理するかわかりませんが、通常は異なる機能グループを異なるVLAN(アカウンティング、WLANなど)に分割できます。その後、特定のVLANにアクセスできるユーザーを制御できます。

同じVLANに多数のコンピューターがある場合、パフォーマンスが大幅に低下するとは思わない。部屋ごとにLANをセグメント化することは実際的ではありませんが、3Comがそれをどのように処理するかはわかりません。通常、ガイドラインはサイズではなく、セキュリティまたは操作です。

実際、セキュリティや運用上のメリットがない場合、LANを異なるVLANにセグメント化する理由さえありません。


1

ブロードキャストフラッドでネットワークを定期的に殺す25のテストおよび開発グループがない限り、25の部屋ごとのVLANは24が多すぎます。

当然、SANには仮想システムのLANおよびインターネットアクセスと同じVLANではなく、独自のVLANが必要です!これはすべて、ホストシステム上の単一のイーサネットポートを介して実行できるため、これらの機能を分割する心配はありません。

パフォーマンスを重視する場合は、VLANだけでなく、電話とSANを別々のネットワークハードウェアに配置することを検討してください。


0

名前解決ブロードキャスト、ARPブロードキャストなど、ブロードキャストトラフィックは常に存在します。重要なことは、ブロードキャストトラフィックの量を監視することです。総トラフィックの3〜5%を超える場合は問題です。

VLANは、ブロードキャストドメインのサイズを小さくする(Davidが述べたように)ため、セキュリティのため、または専用のバックアップネットワークを作成するために適しています。それらは、実際には「管理」ドメインとしての意味ではありません。さらに、VLANを実装することにより、ネットワークにルーティングの複雑さとオーバーヘッドを追加します。


ルーティングのオーバーヘッドについて言及するまで、私はあなたと一緒にいました。ルーティングにはコストがかかりますが、通常、L2 / L3を実行するハードウェアは、L2を介して転送する場合と同じ速度で、1つのVLANから別のVLAN(および1つのポートから別のポート)にパケットを転送します。
クリス

確かに、3COMスイッチがルーターを必要とせずにVLAN間でトラフィックをルーティングできるという元の記事の一部をキャッチしませんでした(したがって、L3スイッチであると想定します)。ありがとう。
joeqwerty

ワイヤスピードで動作する場合もありますが、スイッチ内のレイヤ3エンティティにすぎない場合でも、構成および管理するルーターです。レイヤー3でパケットを「切り替える」場合、それらはルーターです。
エヴァンアンダーソン

0

通常、VLANの使用を検討するのは、デバイスを隔離する必要がある場合(ユーザーが自分のラップトップを持ち込めるエリア、保護する必要がある重要なサーバーインフラストラクチャがある場合など)またはブロードキャストドメインが高すぎる。

ブロードキャストドメインは通常、100Mbitネットワークで問題が発生するまでに約1000台のデバイスのサイズになる可能性がありますが、比較的ノイズの多いWindowsエリアを扱っている場合は250台のデバイスに減らします。

ほとんどの場合、この検疫(もちろんACLを使用した適切なファイアウォール)またはブロードキャスト制限を実行しない限り、現代のネットワークはVLANを必要としません。


1
彼らは...メールサーバのIPとウェブカメラをセットアップから会計にナゲットを維持するための有用だ
クリス・

0

また、不要なネットワークデバイスに到達するためのDHCPブロードキャストを防ぐのにも役立ちます。


1
パフォーマンスの問題を緩和することについてはすでに述べましたが、ありがとうございます。
クリスS
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.