înregistrare Logare
Puncte:0
John Beavers avatar Server

Îmi pot segmenta rețeaua în funcție de două criterii diferite?

drapel de
John Beavers

Lucrez la o școală cu mai multe campusuri și aș dori să-mi segmentez rețeaua cu VLAN-uri. Deci, telefoane pe un vlan, imprimante pe altul etc. Mă gândeam că ar fi bine să segmentez și pe campus. Se pare că ar fi un fel de vlan imbricat unde există un vlan pentru liceu, apoi pentru telefoanele din HS și așa mai departe.

În afară de vlan-urile imbricate, m-am gândit să fac trunchiurile să asculte doar traficul pentru campusul lor.

Este posibil și, dacă da, cum îl implementez? Sau, va trebui să fac un spațiu vlan separat pentru fiecare segment din fiecare campus (cum ar fi imprimante HS, imprimante MS, imprimante Elem etc)? Sunt încă un începător cu vlan-uri, dar învăț încet.

81
0 + 0
joeqwerty avatar
drapel cv
joeqwerty
Deci ești doar idei care scuipa? O faci doar de dragul de a o face? Care sunt nevoile reale și rezultatul dorit? De ce vrei să faci asta? Care este scopul sau scopul real?
0
Răspunde
joeqwerty avatar
drapel cv
joeqwerty
** Mă gândeam că ar fi frumos să segmentez după campus** - Ar putea fi frumos? Acesta este motivul pentru care o faci? Este asta o nevoie de afaceri? O nevoie de securitate? Nu face lucruri pentru că poți sau pentru că crezi că ar trebui. Ar trebui să aveți un scop definit pentru a face asta. Află de ce o faci, apoi fă-o.
1
Răspunde
John Beavers avatar
drapel de
John Beavers
O facem din motive de securitate, pentru a segmenta rețeaua de rețea în încercarea de a atenua atacurile de intruziune. De asemenea, limitarea zonei de difuzare ar fi de dorit.
0
Răspunde
Puncte:2
CIA avatar Server
drapel ae
CIA

VLAN-urile imbricate sunt un lucru, dar sunt ca și cum ați construi un tunel în interiorul unui tunel și ar trebui să aveți echipamente care să le suporte (și licențiere dacă este necesar). O metodă mai bună este să atribuiți o anumită subrețea unui anumit campus, apoi oglindiți alocarea VLAN-ului pe subrețele. Acest lucru ar permite utilizarea consecventă a VLAN-ului în mai multe campusuri, în timp ce se localizează traficul către anumite subrețele/campuse. Este, de asemenea, mai curat și acceptat nativ pe toate comutatoarele de nivel 2.

De exemplu.

introduceți descrierea imaginii aici

0 + 0
John Beavers avatar
drapel de
John Beavers
Bine, vlan-urilor mele li se oferă propriul spațiu de adrese, cum ar fi vlan 10 = 10.10..0, cu scenariul dvs., fiecare vlan din diferitele subrețele ar avea nevoie de propriul spațiu de adrese?
0
Răspunde
CIA avatar
drapel ae
CIA
Puteți mări clasa de subrețea la 10...0/24.
0
Răspunde
Puncte:2
Zac67 avatar Server
drapel ru
Zac67

Imbricarea VLAN-urilor nu este cu adevărat necesară și este mult exagerată în scenariul dvs.

Ar trebui să utilizați legături direcționate între locații, nu legături comutate. În acest fel, VLAN-urile nu se întind deloc peste locații, permițându-vă să reutilizați ID-urile lor. Cu toate acestea, nu aș recomanda să faceți acest lucru - în general este o idee bună să nu duplicați ID-urile VLAN, ci să folosiți o schemă comună.

De exemplu, puteți utiliza VLAN 110 pe locația 1 și VLAN 210 pe locația 2 în același scop. În felul ăsta, tu ar putea utilizați un plan VLAN comun în toate locațiile dacă acest lucru a devenit necesar. Folosirea ID-urilor duplicate pentru subrețele distincte te-ar forța să renumerotezi VLAN-urile, ceea ce nu este prea distractiv.

In ceea ce priveste ar fi bine să segmentăm după campus - nu ar trebui să faci asta pentru că e drăguț sau pentru că poți. Ar trebui să faci asta îmbunătățirea securității rețelei. Planificați diferite zone de securitate - cum ar fi VoIP, securitate fizică (uși electronice, sisteme de alarmă), servere, stocare, acces personal, acces studenți, dispozitive IoT, ... și utilizați VLAN-uri pentru a separa acele zone. Configurați reguli stricte de firewall între zone pentru a controla rutarea între ele. Începeți prin a refuza tot traficul ca implicit și numai permisul era într-adevăr necesar. Documenteaza bine.

0 + 0
Ron Trunk avatar
drapel in
Ron Trunk
Doar pentru a adăuga la răspunsul lui Zac67: VLAN-urile singure oferă **FĂRĂ SECURITATE**. Aveți nevoie de ACL-uri sau de un firewall ÎNTRE VLAN-uri pentru a vă aplica politicile de securitate.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.