在来宾和生产客户端之间拆分网络

网络工程 VLAN 网络 联网
2021-07-13 22:25:32

对不起,如果这个问题已经有了答案,但这是某种问题,自己很难找到,这就是我问它的原因。

我有一项任务,要将一个相当大的公司网络拆分为较小的网络。主要原因,为什么需要它是:

  • 暴露生产机器是不安全的
  • 来宾设备经常干扰生产机器,因为它们在同一个网络中
  • 整个网络的地址都用完了
  • 网络组织得不好,很难说,里面发生了什么

该网络是在大约 15-20 年前制作的,它自己进化到了这种状态。网络地址为 192.168.1.0,掩码为 255.255.255.0。交换机、服务器、路由器等主要设备位于低地址 (192.168.1.1-50)。有 Microsoft DHCP 服务器,路由器在 Pfsense 上运行。生产机器大约在 230 左右。不可能更改机器上的地址,因此它们必须保持原样。

主要思想是将其拆分为 2-3 个较小的网络。一种用于办公室计算机和访客设备。第二个将用于生产机器。还有很多设备,如打印机、Active Directory 服务器、生产计算机等,应该能够从两个网络访问或同时访问两个网络。一些员工还想访问某些机器上的远程视图,因此需要诸如端口转发之类的东西。

我在考虑端口聚合、用路由器拆分、添加 VPN 或仅使用 vlan 尝试一些东西。我仍然看不到最好的方法来做到这一点。

由于这可能不是最不典型的任务,我认为有一个简单的解决方案。

你能不能给我一些提示,关于如何解决它?每个解决方案都可能需要很多时间才能落实到生活中,所以首先我想尽可能好地计划它。

4个回答

每当我不得不做这样的事情时,我通常会使用多个阶段:

  • 紧急阶段:简单地扩展网络掩码并转到 192.168.0.0/23,在主路由器上使用可耻的辅助地址
  • DHCP 阶段:要求所有新系统都为 DHCP,并为服务器、打印机和类似设备进行静态分配
  • VLAN 阶段:将台式机/笔记本电脑(一天几台)移至新的 VLAN
  • 修复阶段:删除途中所做的任何可耻的事情

您的问题对于本网站来说几乎太宽泛了,但我会给您一些一般性建议。

我认为有一个简单的解决方案。

对此没有简单的解决方案;您需要全面重新设计网络,并着眼于灵活性。您应该始终在灵活性和增长方面进行设计。你应该总是计划十倍的增长。如果您对此感到不足,您真的应该考虑使用顾问来帮助设计新网络。

您可能不想拆分现有的地址范围。这将需要更改终端设备上的网络掩码和网关,而您似乎不想这样做。无法重新寻址设备是一个大问题。DNS 和 DHCP 多年前就解决了这个问题,如果您使用的是特定地址,而不是 DNS,那么您就做错了。使用 DNS 可以让您轻松地重新寻址。

您可能想要添加更多网络。您可以使用 VLAN 或与路由器完全分离的链接来实现。在网络之间放置 ACL 以限制事物。例如,您可能不希望访客网络访问生产网络,并且您不希望访客与您的员工在同一网络上。(由于访客使用网络进行非法活动的法律后果,许多公司现在正在外包访客网络。)

为您的网络制定计划。决定要启动多少个网络,以及每个网络的用途。为每个网络创建地址。如果您需要网络共享相同的接入交换机,那么您需要使用 VLAN,并且您需要查看您现有的设备是否可以做到这一点。

您需要有关交通流量的良好信息。在不了解流量流向和流量的情况下设计网络是一个非常非常糟糕的主意。有工具可以做到这一点。NetFlow (IPFIX) 内置于许多网络设备中。您必须考虑带宽超额订阅。Cisco 建议访问分配超额订阅比率不超过 20:1。这意味着对于每 20 个接入接口,您在上行链路中就有一个相当于一个接入接口。例如,具有 48 Gb 接口的接入交换机至少需要 2.4 Gbps 作为到分布的上行链路。此外,建议不超过 4:1 的核心带宽超额分配分配。

有很多最佳实践。例如,拥有访客网络意味着您确实需要关注安全最佳实践,尤其是第 2 层安全。例如,不要使用 VLAN 1 或本地 VLAN,并尽可能禁用第 2 层协议(CDP/LLDP、HSRP/VRRP 等),因为它们是安全弱点。您可能需要考虑使用防火墙分隔您的访客。

一些最佳实践是围绕防止诸如生成树循环之类的事情发生,这些事情会导致您的网络瘫痪并且难以解决。当前的最佳实践是不要让 VLAN 跨越多个接入交换机。您可以在一个接入交换机上拥有多个 VLAN,但这些 VLAN 不会扩展到其他接入交换机。您也不应该将接入交换机相互连接,而只能连接到分布交换机,分布交换机上不应有任何接入接口。许多公司正朝着接入交换机的第 3 层迈进,这将防止任何生成树问题。您仍然启用生成树作为故障保护,但您不依赖它。

如您所见,该主题实在是太广泛了,无法在此进行完整的处理。

支持 Ron 的重新编号建议——当网络进一步增长时,仅仅划分子网会造成死胡同。

当一切都在本地配置静态地址时,除了 jonathanjo 的建议之外,另一个很好的中间步骤:

  1. 在 DHCP 服务器上保留所有静态 IP 地址(简单的 ARP 扫描可以生成 MAC/IP 列表)
  2. 将所有(非重要)静态设备重新配置为 DHCP,使它们保留以前的地址
  3. 在重新编号之前,将租用时间减少到较短的时间(1 小时左右)并等待租用更新为较短的时间
  4. 更改 DHCP 服务器上的范围/保留以重新编号
  5. 您通常可以通过切换客户端的上行链路端口来强制更新 DHCP 租约

当您担心 DHCP 服务器故障时,请设置备份服务器或故障转移。

IMO 你应该遵循两个关键原则。

  1. 不要让完美成为美好的敌人。
  2. 为您要去哪里以及如何到达那里制定计划。

IMO 您需要做的第一件事是查看您的硬件并在必要时升级它。

  1. 所有交换机都应支持 VLAN 和流量监控。
  2. 所有 AP 都应支持将 VLAN 映射到 SSID。
  3. 您的路由器应该灵活并且具有足够的性能。无论您是使用充当路由器的服务器还是使用 cisco 之类的东西更好,这取决于您的流量水平和可用的专业知识,但您肯定不想要的是“家庭/SMB 路由器”。
  4. 您应该有足够的空闲带宽。当您将网络拆分为 VLAN 时,以前的本地流量可能会开始通过您的路由器流动。

要做的第二件事是让访客离开您的主网络,进入另一个 VLAN/SSID。这将释放地址空间并允许您在访客网络和主网络之间放置防火墙规则。

之后,您可以开始考虑您的主网络。没有地址改变或只有某些机器需要保留那里的地址是一个硬性要求。如果您绝对必须这样做,则可以使用代理 arp 和 /32 路由将网络拆分为多个 VLAN,而无需重新寻址,但代理 arp 的痛苦可能比重新寻址的痛苦更大。

其它你可能感兴趣的问题
上一篇SDN 控制器可以注入或删除路由器中的路由吗? 下一篇为什么仍然使用traceroute?