Les VLAN sont-ils nécessaires pour mon environnement?

Je suis le nouveau gestionnaire de réseau d'une école. J'ai hérité d'un environnement composé de plusieurs serveurs Windows, d'environ 100 clients Windows, 10 imprimantes, 1 routeur Cisco, 6 commutateurs Cisco et 1 commutateur HP. Nous utilisons également la VoIP.

Il y a quatre étages dans notre immeuble. Les hôtes de chaque étage sont affectés à un VLAN distinct. Un bureau au premier étage possède son propre VLAN. Tous les commutateurs sont sur leur propre VLAN. Les téléphones IP sont sur leur propre VLAN. Et les serveurs sont sur leur propre VLAN.

Pour le nombre d'hôtes sur le réseau, tous ces VLAN m'achètent-ils vraiment quelque chose? Je suis nouveau dans le concept de VLAN mais cela semble trop compliqué pour cet environnement. Ou c'est du génie et je ne comprends pas?

IME, vous êtes dans le stade où la séparation du trafic sur les réseaux améliorera les performances. Cependant, la division des VLAN semble avoir été décidée sur la base de la fonction des nœuds membres plutôt que de tout effort de gestion de la bande passante. Certes, avec ce nombre de nœuds, vous pourriez obtenir la même bande passante agrégée en planifiant intelligemment où vous placez les commutateurs plutôt qu'en utilisant des réseaux locaux virtuels.

Sans voir un diagramme détaillé et obtenir de vraies mesures, c'est difficile à dire, mais je soupçonne que la configuration que vous décrivez ne vous donne aucun avantage en termes de performances et beaucoup de maux de tête administratifs.

vous pouvez appliquer des listes de contrôle d'accès sur le routeur

Pas une bonne raison d'utiliser des réseaux locaux virtuels - utilisez des sous-réseaux, des pare-feu et des commutateurs.

La plupart de ces VLAN ont du sens pour moi. Il est bon de diviser par fonction, donc un VLAN pour les serveurs, un pour les téléphones et un autre pour les postes de travail est logique. Vous pouvez alors contrôler avec précision le trafic circulant entre les postes de travail et les serveurs.

Ce que je ne vois pas grand-chose, c'est d'avoir des VLAN pour les postes de travail à chaque étage. Un seul VLAN pour tous les postes de travail permettrait de garder les choses simples et agréables. La répartition des VLAN sur plusieurs commutateurs / circuits ne sera probablement pas un problème pour un réseau aussi petit.

Il est également assez inutile de maintenir un VLAN séparé pour la gestion des commutateurs. Ils peuvent s'asseoir joyeusement sur le VLAN du serveur.

Rien de magique à propos des VLAN BTW ... juste des segments de réseau de diffusion séparés, chacun nécessitant une passerelle par défaut et la configuration ACL appropriée sur les ports réseau.

Eh bien, il pourrait être utile d'avoir des VLAN séparés pour les données (ordinateurs) et VoIP, afin que vous puissiez appliquer une sorte de hiérarchisation du trafic. Des VLAN séparés pour la gestion des commutateurs sont également utiles. Des VLAN séparés par étage semblent peut-être trop pour 100 PC, sauf si vous prévoyez de vous étendre à l'avenir.

Les VLAN vous permettent de diviser votre réseau en segments logiques plus petits; cela permet à la fois d'améliorer la gérabilité et de limiter le trafic de diffusion inutile.

Pour un si petit réseau, cela pourrait être exagéré: vous pouvez facilement gérer environ 100 objets réseau avec un seul sous-réseau VLAN et IP. Mais je pense que vous devriez vous en tenir à cette configuration, pour deux raisons principales:

1) Il améliore la gérabilité; si vous savez que les serveurs sont en 192.168.1.X et les clients en 192.168.100.Y, il est plus facile de les gérer. Si toutes vos adresses se trouvaient dans le sous-réseau 192.168.42.Z, comment pourriez-vous (facilement) les distinguer?
2) Il évolue beaucoup mieux. Si vous passez de ~ 100 à> 200 objets réseau, un sous-réseau IP unique / 24 semblera soudain beaucoup plus petit, et un seul plus gros deviendra très facilement un gâchis.

Pour les puristes: oui, je sais très bien que les VLAN et les sous-réseaux IP n'ont pas nécessairement un mappage strict 1: 1; ce n'est que l'utilisation la plus courante pour eux, ce qui semble être ce à quoi le PO fait référence.

L'autre avantage de cette conception est que vous pouvez appliquer des listes de contrôle d'accès sur le routeur, afin que les communications entre les VLAN soient limitées, et que vous puissiez protéger les serveurs Windows contre les étudiants enthousiastes.

Je suis d'accord avec les réponses que vous avez déjà.

Avez-vous besoin de VLAN? En d'autres termes, sont-ils "nécessaires" si nous voulons nous en tenir à ce que vous demandez dans le titre de votre question? Probablement pas. Est-ce une bonne idée étant donné la diversité du trafic que vous avez? Probablement oui.

Il n'y a pas de bonne ou de mauvaise réponse, c'est une question de designs différents et de ce que le designer espérait réaliser ...

Sur la base de ce que vous avez dit, je suis d'accord avec les commentaires sur le fait de ne pas avoir besoin d'un VLAN "par étage", mais sans en savoir plus sur votre configuration (bien que je sois gestionnaire de réseau d'université, j'ai donc une idée générale), c'est possible pour tout ce que nous savons que vous avez des classes de programmation à un étage, un bureau administratif à un autre, etc. et que les VLAN actuels des postes de travail ne concernent pas la séparation des étages mais plutôt la séparation des fonctions , de sorte que les classes de programmation ne peuvent pas perturber l'utilisation du LAN pour le traitement de texte dans d'autres leçons, les étudiants ne peuvent pas facilement se connecter aux postes de travail administratifs, peut-être avez-vous besoin de PC dédiés pour les examens électroniques, etc. Si quelque chose comme ça se passe, alors peut-être que les VLAN de postes de travail supplémentaires commencent à avoir plus de sens.

Je ne suppose pas qu'il existe de documentation expliquant les choix de conception faits par la personne qui a initialement mis tout cela en place?

Les VLAN séparent le trafic de diffusion. Vous n'avez pas assez d'ordinateurs pour vous en inquiéter. Les VLAN s'alignent souvent mais pas toujours sur les sous-réseaux. Les VLAN vous permettent également d'appliquer des ACL limitées. Les ACL de commutateur peuvent être beaucoup d'entretien avec peu d'avantages. Les pare-feu séparent mieux le trafic, les listes de contrôle d'accès sur les ports de commutateur peuvent devenir compliqués.

Le seul argument que je vois pour l'ajout de VLAN est que vous modifiez également votre schéma d'adressage IP. Maintenant, je pense qu'avec seulement 4 étages qui peuvent être exagérés.

Dans une entreprise dans laquelle je travaillais, nous avions une douzaine de bâtiments sur notre campus principal et quelques campus satellites, nous avions donc un schéma d'adressage IP, qui nous permettait de dire par une adresse IP dans quel bâtiment se trouvait un appareil. 2 cents, pour ce que ça vaut.