Группируете ли вы серверы в VLAN?

Question

[Данил]

Есть больше 10 серверов на которые заходят пользователи в локальной сети. Сейчас разделил пользователей по разным VLAN. Теперь вопрос, как быть с серверам? Поместить их в один VLAN и перенаправлять пользователей туда? Поместить каждый сервер в свой VLAN? Переместить серверы к VLAN в которых пользователи? Как правильно?

Answer 1

[АртемЪ]

Как правильно?

Правильно так, как удобно для решения ваших задач.
Поскольку неизвестно какие именно задачи вы пытаетесь решить с помощью VLAN, невозможно сказать какое решение правильно.

Comments

[Данил]

Я думал, есть общепринятое правило как поступать в таких ситуациях. Я правильно понимаю ваш ответ "Как удобнее для работы так и делайте"?

[АртемЪ]

Данил, Ну смотрите VLAN это просто удобный инструмент по управлению трафиком.
А какие задачи вы будете решать с помощью этого инструмента - незивестно.
Иногда это делают для обеспечения безопасности, иногда для удобства администрирования, и.т.п
В общем подумайте что вы хотите получить в итоге, какова собственно задача - и после этого думайте как лучше в вашем случае делить сеть на виланы.

[Дмитрий]

Данил, общие правила есть в книжках Cisco по дизайну сетей, но там это применяется для огромных сетей. В вашем случае, следуйте советам АртемЪ и здравому смыслу. Хорошей практикой считается разделение пользователей от серверов и контроль трафика на firewall или acl на свичах L3.

[Ивор Барханский]

Данил,
… хотя опять же — всё очень субъективно и завязано на удобство, как говорили выше. В моей текущей сети, например, две-три сотни устройств и VLAN вообще не используется за ненадобностью.

Answer 2

[mikes]

В зависимости от задач.
Если маршрутизатор достаточно производителен и позволяет гибко писать правила доступа (acl) все выводить в отдельные vlan

Я бы разбил на следующие группы
1. Контроллеры домена. И все что связано с пользователями (radius tactacs и тд)
2. DMZ - сервера доступные из интернета (веб сервера и тд)
3. Терминальные сервера (rdp фермы и тд, куда могут заходить пользователи)
4. Все остальные сервера.

Comments

[Данил]

Вы все ваши серверы держите в одном VLAN DMZ или по отдельному VLAN на каждый сервер DMZ?

[mikes]

В зависимости от того, кто администрирует сервис, vlan per server не делаю.

Answer 3

[Станислав Бодро́в]

VLAN - технология ограничения широковещательного домена, работает на канальном уровне. Цель снизить нагрузку на сеть от широковещательных запросов. Вот от этого начинай плясать.
По топологии: на канальном уровне у тебя асимметричная схема - несколько серверов, к которым подключается много клиентов;
на сетевом - клиент-серверная архитектура - есть сервера, которые обслуживают запросы клиентов.
Вот теперь на основании того какие сервера, какие запросы должны и как обслуживать надо смотреть что к чему.