VLAN Verständnis Frage

[WASABJ]

Hallo Forum ich hätte einige Fragen zum Thema VLANs.

Wir haben ca. 160 User die mit Citrix Terminal Clients arbeiten die über einige HP ProCurve 2910 und 2510 vernetzt sind sowie ein riesiges /16 Netz welches vor Jahren angelegt wurde.

Fragen:

1. Wie unterteilt Ihr eure VLANS? Macht Ihr die Aufteilung nach Art des Gerätes (VLAN1 = Server, VLAN2 = Client, VLAN3 = Drucker) oder eher für Abteilung oder Etage?
   
2. Welche Art von VLANs bevorzugt Ihr (Port / Mac basierend)? IP basierend wird bei den Switchen wohl kaum gehen.
   
3. Wo findet der Austausch der Daten zwischen den einzelnen VLANs statt? Nur durch den Router (Flaschenhals)?
   
4. Wird die Konfiguration bei MAC basierende VLANs in alle Switche einzeln eingetragen oder erkennen die angeschlossene Switche dies selbst? Ja ich weiß alles eine Frage des Geldes aber Ihr wisst ja wir haben keins.
   
5. 
   

thx WASABJ

[dgr243]

Moin,

1. hängt davon ab, was vorhanden ist bzw. was du mit den VLANs bezweckst. Gehts nur um die Verkleinerung der Broadcastdomain? Oder implementiere ich über die VLANs Sicherheitsfunktionen wie z.B. ein GästeVLAN was nur ins Inet darf, aber ganz sicher nicht in die internen Bereiche.

2. VLAN ist immer Layer. IP basierte VLANs nennt man IP Netze Aber im Ernst: Wenn möglich 802.1x Authentication und darauf basierend die VLAN Zurodnung eines Endgerätes. Da das den meisten Kunden zu teuer ist: Port basiert

3. VLAN ist Layer 2. Ergo muss eine Kopplung auf Layer erfolgen. Devices auf Layer 3 nennt man für gewöhnlich Router oder "Layer 3 Switches" (was aber von der Aufgabe her nichts anderes ist als ein Router). Was genau ist die Frage?

4. MAC basiert setze ich nicht ein, da zu leicht manipulierbar. Entweder 802.1x oder portbasiert.

[Smau]

Salve,

VLANS werden normalerweise nach dem Verwendungszweck benannt und konfiguriert. (Server / Clients / Voice / Video) VLAN 1 bitte nicht nutzen.

Hier kann je nach größe dann auch unterteilt werden (Je kleiner die Netze auf dem Access-Switch -> desto besser). Der Trend geht momentan zurück zu den Local VLANs -> VLANs nur auf Access-Switches und im Distri geroutet. Damit umgeht man den lästigen Spanning-tree und hat ein Loadbalancing.

MAC basierte VLANs oder eigentlich bezeichnet als dynamische VLANs sind eigentlich tot. Ich habe Sie zumindest die letzten Jahre nichtmehr gesehen. Wenn man ein Gäste-VLAN machen möchte dann nimmt man PVLANs.

Dynamische VLANs benötigen einen VLAN-Server auf welchem die MAC-Adressen den VLANs zugeordnet werden.

Der Austausch der VLANs findet auf dem Distri-Layer statt -> Layer 3 Switch. Das ist kein Flaschenhals sondern deutlich schneller als wenn man eine riesige Layer 2 Domäne spannt.

Grüße,

Smau

Bearbeitet 20. Juni 2014 von Smau

[WASABJ]

Danke euch beiden. Jetzt bin ich ein wenig schlauer.

1. Wir wollen die Broadcastdomain verkleinern und auch gleichzeitig ein Gäste VLAN anbieten. Also wie Smau schon schrieb in VLANs nach den Verwendungszwecken aufteilen.
   
2. Da Geld ja immer knapp ist VLANs Port basierend verteilen.
   
3. Nach meiner Vorstellung fand das Routing der VLANs nur auf dem Router statt aber wenn ich euch verstehe kann das Routing auf allen Layer 3 Switche stattfinden.
   
4. Vergessen wir die Mac Geschichte.
   
5. 
   

thx WASABJ

[barnim]

• Wie unterteilt Ihr eure VLANS? Macht Ihr die Aufteilung nach Art des Gerätes (VLAN1 = Server, VLAN2 = Client, VLAN3 = Drucker) oder eher für Abteilung oder Etage?
  

Nach "Rolle", z.B. Client-Netz, Management-Netz, Storage-Netz, Backup-Netz, HA-Netz etc., und nach Kunde. Kunden bekommen bei uns per default 3 VLANs die nach Anforderungsprofil genutzt werden (z.B. fuer eine DMZ).

• Welche Art von VLANs bevorzugt Ihr (Port / Mac basierend)? IP basierend wird bei den Switchen wohl kaum gehen.
  

Port basiert weil einfach.

• Wo findet der Austausch der Daten zwischen den einzelnen VLANs statt? Nur durch den Router (Flaschenhals)?
  

Gateway bei uns ist ein entsprechend dimensionierter Firewall-Cluster.

[Sebastian H.]

Bei und werden die VLANS tatsächlich nach Abteilungsabschnitten aufgeteilt.

Auch bei uns wird dies Port Basiert gemanaged und beim dritten Punkt schließe ich mich barnim an.

[Crash2001]

[...]Wie unterteilt Ihr eure VLANS? Macht Ihr die Aufteilung nach Art des Gerätes (VLAN1 = Server, VLAN2 = Client, VLAN3 = Drucker) oder eher für Abteilung oder Etage?

Nach Anforderung des Kunden.

Manche wollen z.B. pro Stockwerk 1 vlan haben (KANN Sinn machen, muss aber nicht). Funktionsvlans (Drucker, Guest-vlan, ...) kommen dann noch hinzu.

Server bekommen definitiv eigene vlans - alleine schon aus dem Grund, da sie nicht an Access-Switches, sondern an dedizierten Server-Switches (oder als Ausweich am Distri oder Core direkt) betrieben werden. Diese Switche brauchen meist einen höheren Durchsatz als Access-Switche, da Server mittlerweile per 1GBit/s oder mehr angeschlossen werden, Clients jedoch oftmals noch auf 100Mbit/s runtergebremst werden, da nur die wenigsten Clients auch wirklich 1Gbit/s brauchen.

VOIP bekommt auch eigene vlans, wobei da dann wieder die Frage ist, ob man sie z.B. Etagenweise aufteilt oder anders. Meist wird es meiner Erfahrung nach nach Gebäude / Stockwerk / Gebäudeteil oder ähnlichen Kriterien vergeben. Eventuell wie die Data vlans auch anhand der Abteilung, wenn besondere Berechtigungen (z.B. feste IP-Adresse bestimmte Firewallfreischaltungen, ...) benötigt werden.

Welche Art von VLANs bevorzugt Ihr (Port / Mac basierend)?

Definitiv port basiert, eventuell per dot1x dynamisch das vlan zugewiesen.

Wo findet der Austausch der Daten zwischen den einzelnen VLANs statt? Nur durch den Router (Flaschenhals)?

Du stellst dir den Router vermutlich falsch vor.

Du hast nicht 1 Router pro vlan, auf dem dann auf einem Interface einen IP-Adresse konfiguriert ist, sondern du hast meist einen großen L3-Switch mit sagen wir einfach mal 20 vlan-Interfaces (Layer 3). Jedem vlan-Interface ist dann eine IP-Adresse zugeordnet und meist (redundanter Distributions-Switch oder redundanter Core Switch) wird dann noch eine HSRP-Adresse angelegt, die als Gateway für dieses Netz dient. Der Großteil des Routing findet also direkt auf dem L3-Switch statt und wird nicht durch die Bandbreite eines Interfaces nach außen ausgebremst.

Alternativ hast du sagen wir mal einen L3 fähigen 48Port-Switch, auf dem dann die in dem daran hängenden Gebäude benutzten vlans terminieren (L3-Interface der vlans). Der Switch ist dann entsprechend (meist mindestens 2*1Gbit/s - oftmals auch mehr) an die zuständigen Distris angebunden.

Hat beides seine Vor- und Nachteile und hat halt auch damit zu tun, wo das jeweilige vlan verwendet wird (campusweites "special"vlan (z.B. guest vlan), gebäude- loder regional begrenztes vlan (z.B. Drucker in haus xyz) oder "Etagenvlan" oder sonst was) Wenn es nur auf dem einen Switch existiert, macht es vielleicht Sinn, es dort auch schon terminieren zu lassen, um die Größe des vlans zu beschränken und andere Switche gar nicht damit zu "belästigen". Bei campusweiten vlans hingegen macht es keinen Sinn, da sie eh überall hin durchgereicht werden müssen (falls benötigt).

Besonders für kleinere Projekt-vlans wird so etwas gerne gemacht.