몇 개의 VLAN이 너무 적거나 너무 많은가?


23

현재 800 대 이상의 PC와 20 대 이상의 서버를 운영하고 있으며 네트워크 인프라는 코어 스위치 10Gb-> 영역 스위치 2GB-> 로컬 스위치 1GB-> 데스크탑 라인을 따릅니다. 모든 운영중인 3Com 장비 (1).

4 개의 영역에 대한 3 개의 영역 스위치가 있으며 (A, B, C, D는 코어와 병합 됨) 각 영역 스위치에는 10 ~ 20 개의 로컬 스위치가 연결됩니다. 백업 코어 스위치도 있으며 전원이 덜 공급되지만 주 코어 스위치와 같이 연결됩니다.

IP 전화 시스템도 있습니다. 컴퓨터 / 서버 및 스위블은 10.x ip 범위에 있고 전화는 192.168.x 범위에 있습니다. 컴퓨터는 일반적으로 컴퓨터 실습실을 제외하고 서로 대화 할 필요는 없지만 대부분의 서버 (AD, DNS, Exchange, 파일 저장소 등)와 대화 할 수 있어야합니다.

우리가 설정했을 때 스위치와 컴퓨터 용, 전화 용, 서버 복제 용으로 각각 3 개의 VLAN을 갖기로 결정했습니다 (이것은 3Com 엔지니어의 조언에 위배됩니다). 이 시점부터 네트워크가 안정적으로 작동하고 있지만 (2) 이제 SAN 및 가상화 환경으로 업그레이드하기 시작했습니다. 이제이 새로운 인프라를 별도의 VLAN으로 분할하는 것이 합리적이며, VLANS 설정 방식을 검토하는 것이 합리적입니다.

이제 방마다 VLAN을 방별로 설정해야합니다. 즉, 5 대 이상의 PC가있는 컴퓨터 실은 자체 VLAN이어야합니다. 그러나이 모델을 따르면 최소 25 개의 "새로운"VLAN이 표시됩니다. SAN / 가상 서버의 VLAN을 포함합니다. 비록 내가 틀렸다는 것이 행복 하기는하지만 나에게 과도한 양의 관리가 필요할 것 같습니다.

모범 사례가 제안하는 것 같습니까? VLAN에서 초과 / 이하하지 않는 것이 바람직한 특정 수의 PC가 있습니까?

(1) 3Com 스위치 (3870 및 8800)는 다른 VLAN과 다른 방식으로 VLAN간에 라우팅하므로 별도의 라우터가 필요하지 않습니다.

(2) 때때로 폐기 속도가 높거나 STP가 변경되는 경우가 종종 있으며, 3Com Network director는 스위치가 핑에 응답하기에는 부하가 적고 느리거나 네트워크를 다운시키는 데 실패한 스위치 (모든 전화 및 컴퓨터 VLAN)를보고합니다. 한 번, 왜 그런지 모르겠다)

답변:


36

조직의 누군가가 VLAN을 만드는 이유와 그와 관련된 장단점을 이해하지 않고 VLAN을 만들고 싶어하는 것 같습니다. 최소한의 "VLAN for a room"은 어리석은 일이지만, 약간의 측정이 필요하고 앞으로 나아 가기 전에이 작업을 수행해야하는 실제 이유가 있다고 생각됩니다.

적절한 이유가없는 한 이더넷 LAN을 VLAN으로 분리하지 마십시오. 가장 좋은 두 가지 이유는 다음과 같습니다.

  • 성능 문제 완화 이더넷 LAN은 무한정 확장 할 수 없습니다. 알 수없는 대상으로 과도한 브로드 캐스트 또는 프레임 넘침은 크기를 제한합니다. 이더넷 LAN에서 단일 브로드 캐스트 도메인을 너무 크게 만들면 이러한 조건 중 하나가 발생할 수 있습니다. 브로드 캐스트 트래픽은 이해하기 쉽지만 알 수없는 대상으로 프레임을 넘치면 좀 더 모호합니다 ( 여기서 다른 포스터도 언급하지 않습니다)!). 스위치의 MAC 테이블이 오버플로하는 장치가 너무 많으면 프레임의 대상이 MAC 테이블의 항목과 일치하지 않으면 스위치가 모든 브로드 캐스트 이외의 브로드 캐스트 포트를 플러딩해야합니다. 이더넷 LAN에 호스트가 자주 이야기하지 않는 트래픽 프로파일을 가진 충분히 큰 단일 브로드 캐스트 도메인이있는 경우 (즉, 해당 항목이 스위치의 MAC 테이블에서 오래되지 않은 경우) 프레임이 과도하게 초과 될 수 있습니다. .

  • 계층 3 이상에서 호스트 간 트래픽 이동을 제한 / 제어하려는 요구. 계층 2 (ala Linux ebtables)에서 트래픽을 검사하는 해커를 수행 할 수 있지만 규칙을 MAC 주소에 연결하고 NIC를 변경하면 규칙 변경이 필요하기 때문에 관리하기가 어렵습니다. 예를 들어 계층 2에서 HTTP의 투명한 프록시는 기묘하고 재미 있지만 완전히 부자연스럽고 문제를 해결하는 데 매우 직관적이지 않을 수 있으며 일반적으로 하위 계층에서 수행하기가 어렵습니다 (계층 2 도구는 스틱과 같기 때문에) 계층 3 이상 문제를 다루는 데 도움이됩니다. 계층 2에서 문제를 공격하지 않고 호스트 간의 IP (또는 TCP 또는 UDP 등) 트래픽을 제어하려면 서브넷간에 ACL을 사용하여 방화벽 / 라우터를 서브넷으로 고정해야합니다.

대역폭 소진 문제 (브로드 캐스트 패킷 또는 프레임 초과로 인해 발생하지 않는 한)는 일반적으로 VLAN으로 해결되지 않습니다. 물리적 연결이 부족하기 때문에 (서버에 NIC가 너무 적거나, 집계 그룹에 너무 적은 포트가 있고, 더 빠른 포트 속도로 이동해야 할 필요가 있기 때문에), 그 이후로 VLAN을 서브넷 화하거나 배포하여 해결할 수없는 경우 사용 가능한 대역폭의 양을 늘리지 마십시오.

당신은 MRTG와 같은 심지어 뭔가 간단한이없는 경우 잠재적 시작하기 전에 정말 사업의 첫 번째 순서입니다 귀하의 스위치의 포트 별 트래픽 통계 그래프 실행 도입 선의하지만받지 않은 VLAN 세분화와 병목 현상을. 원시 바이트 수는 좋은 시작이지만 트래픽 스니핑에 대한 자세한 내용을 보려면 대상 스니핑을 수행해야합니다.

LAN에서 트래픽이 어떻게 이동하는지 알면 성능상의 이유로 LAN 세그먼트 화에 대해 생각할 수 있습니다.

실제로 VLAN 간의 패킷 및 스트림 수준 액세스를 시도하고 버튼 다운하려는 경우 응용 프로그램 소프트웨어 및 무선 통신 방식에 대한 학습 / 역 엔지니어링을 통해 많은 노력을 기울일 준비가되어 있습니다. 서버의 필터링 기능을 사용하여 호스트의 서버 액세스를 제한 할 수 있습니다. 유선 액세스를 제한하는 것은 잘못된 보안 감각을 제공 할 수 있으며 관리자는 "글쎄, 앱과 통신 할 수있는 호스트는 ' 회로망'." 유선으로 호스트 간 통신을 제한하기 전에 서버 구성의 보안을 감사하는 것이 좋습니다.

일반적으로 이더넷에서 VLAN을 생성하고 IP 서브넷을 일대일로 매핑합니다. 당신은 필요 해요 LOT 당신이 설명하는지에 대한 IP 서브넷의, 잠재적으로 테이블 항목을 라우팅을 많이. 라우팅 테이블 항목을 요약하기 위해 VLSM을 사용하여 해당 서브넷을 더 잘 계획하십시오.

(예, 그렇습니다. 모든 VLAN에 대해 별도의 서브넷을 사용하지는 않지만 엄격하게 "일반 바닐라"환경을 유지하면서 VLAN을 생성하고, VLAN에서 사용할 IP 서브넷을 생각하고, 라우터를 할당하십시오 해당 VLAN의 IP 주소, 물리적 인터페이스 또는 라우터의 가상 하위 인터페이스를 사용하여 해당 라우터를 VLAN에 연결하고 일부 호스트를 VLAN에 연결하고 정의한 서브넷에서 IP 주소를 할당하고 트래픽을 VLAN에서 벗어남)


2
이것은 훌륭한 설명입니다. 대부분의 최신 하드웨어에서는 VLAN을 라우팅해야한다는 것을 알기 만하면 세그먼트 화가 그렇게 복잡하지 않다는 것만 덧붙입니다. 스틱에서 과도하게 과도하게 분산 된 라우터를 사용하여 세그먼트 간 트래픽을 전달하는 초 고효율 VLAN 설정을 사용하면 큰 이점을 얻지 못합니다.
Greeblesnort

2

VLAN은 브로드 캐스트 트래픽을 제한 할 때만 유용합니다. 무언가가 많은 방송을 할 예정이라면 그것을 자체 VLAN으로 분리하십시오. 그렇지 않으면 귀찮게하지 않을 것입니다. 동일한 네트워크에서 라이브 시스템의 가상화 된 복제를 원하고 동일한 주소 범위를 사용하려는 경우 별도의 VLAN에 대한 가치가있을 수 있습니다.


현재 WINS없이 XP를 실행 중입니다. nbtstat를 수행하면 브로드 캐스트 트래픽이 많이 발생하는 것으로 보입니다.
욕조

1
Wireshark와 같은 것으로 측정하고 진행 상황을 확인하십시오. WINS는 끔찍한 것이 아닙니다. NetBIOS 이름 조회 요청이 많이 발생하는 경우 요청을 방지하거나 WINS를 실행하기 위해 올바른 이름을 DNS에 입력하십시오.
Evan Anderson

2

VLAN은 추가 보안 수준으로 적합합니다. 3Com이 어떻게 처리하는지는 잘 모르지만 일반적으로 서로 다른 기능 그룹을 서로 다른 VLAN (예 : 계정, WLAN 등)으로 나눌 수 있습니다. 그런 다음 특정 VLAN에 액세스 할 수있는 사람을 제어 할 수 있습니다.

동일한 VLAN에 많은 컴퓨터가있는 경우 성능이 크게 저하 될 것으로 생각하지 않습니다. 방마다 LAN을 방별로 세그먼트 화하는 것은 실용적이지 않지만 3Com이 어떻게 LAN을 처리하는지 모릅니다. 일반적으로 지침은 규모가 아니라 보안 또는 운영입니다.

실제로 보안이나 운영상의 이점이 없다면 LAN을 다른 VLAN으로 세분화 할 이유가 없습니다.


1

브로드 캐스트 플러드로 네트워크를 정기적으로 중단시키는 테스트 및 개발 그룹이 25 개가 아니라면 25 개의 객실당 VLAN이 24 개입니다.

분명히 SAN에는 가상 시스템 LAN 및 인터넷 액세스와 동일한 VLAN이 아닌 자체 VLAN이 필요합니다! 이 작업은 호스트 시스템의 단일 이더넷 포트를 통해 수행 할 수 있으므로 해당 기능을 분할하는 것에 대해 걱정할 필요가 없습니다.

성능 문제가있는 경우 전화와 SAN을 VLAN이 아닌 별도의 네트워크 하드웨어에 배치하십시오.


0

이름 확인 브로드 캐스트, ARP 브로드 캐스트 등 브로드 캐스트 트래픽은 항상있을 것입니다. 중요한 것은 브로드 캐스트 트래픽의 양을 모니터링하는 것입니다. 전체 트래픽의 3 ~ 5 %를 초과하면 문제입니다.

VLAN은 (David가 언급 한대로) 브로드 캐스트 도메인의 크기를 줄이거 나 보안을 위해 또는 전용 백업 네트워크를 만드는 데 좋습니다. 실제로 "관리"도메인을 의미하지는 않습니다. 또한 VLAN을 구현하여 네트워크에 라우팅 복잡성과 오버 헤드를 추가 할 수 있습니다.


라우팅 오버 헤드를 언급 할 때까지 당신과 함께있었습니다. 라우팅 비용이 있지만 일반적으로 L2 / L3을 수행하는 하드웨어는 L2를 통해 전달하는 것과 동일한 속도로 한 VLAN에서 다른 VLAN으로 (및 한 포트에서 다른 포트로) 패킷을 전달합니다.
chris

사실, 라우터 없이도 3COM 스위치가 VLAN간에 트래픽을 라우팅 할 수 있다는 점에서 원래 게시물의 일부를 잡지 못했습니다 (따라서 L3 스위치라고 가정하겠습니다). 감사.
joeqwerty

유선 속도로 작동 할 수 있지만 스위치 내부에 3 개의 엔티티 만 있어도 구성 및 관리를위한 라우터입니다. 계층 3에서 패킷을 "전환"하면 라우터입니다.
Evan Anderson

0

일반적으로 장치를 격리해야하는 경우 (예 : 사용자가 자신의 랩톱을 가져올 수있는 영역 또는 보호해야하는 중요한 서버 인프라가있는 경우) 또는 브로드 캐스트 도메인이있는 경우에만 VLAN 사용을 고려하려고합니다. 너무 높은.

브로드 캐스트 도메인은 일반적으로 100Mbit 네트워크에서 문제가 발생하기 전에 약 1000 개의 장치가 될 수 있지만, 비교적 시끄러운 Windows 영역을 처리하는 경우 250 개의 장치로 줄일 수 있습니다.

대부분의 경우 현대 네트워크에는 이러한 격리 (ACL을 사용한 적절한 방화벽 사용) 또는 브로드 캐스트 제한을 수행하지 않는 한 VLAN이 필요하지 않습니다.


1
그들은 메일 서버의 IP로 웹캠을 설정하지 못하도록 계정 관리에 도움이됩니다.
chris

0

또한 원치 않는 네트워크 장치에 도달하기 위해 DHCP 브로드 캐스트를 방지하는 데 유용합니다.


1
성능 문제 완화에 대해 이미 언급했습니다. 감사합니다.
Chris S
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.