Novy IP address plan ve firemni LAN - co vzit v potaz
Ahoj,
ve firme se chystame v souvislosti s novymi servery (+ virtualizaci), zavedenim domeny a dalsimi zmenami trochu pozmenit nas adresni plan.
V soucasne dobe je situace takovato:
VLAN 01 = VoIP
VLAN 02 = Pracovni stanice + servery
VLAN 03 = PC pro brigadniky
VLAN 04 = WiFi
Neni to asi uplne idealni (napr. stanice + servery), navic pro VLAN 02 mame rozsah 192.168.2.0/24 a IP dochazeji, chystame se proto na nasledujici:
- oddelit servery od stanic
- zmenit adresni plan pro stanice - zvetsit rozsah a precislovat
- pomoci VLAN zavest DMZ pro narustajici pocet webovych aplikaci vystavovanych ven
Co by mne zajimalo:
- jakykoliv komentar k vyse uvedenemu, doporuceni, zkusenosti
- jsou nejaka obecna doporuceni ("good practices") pro vymezovani velikosti podsite (napr. snazit se ji nedelat prilis velkou)
- ma napr. smysl oddelovat NAS pripadne jine servery, kde ukladame casto data do specialni VLANy?
- spousta lidi si provozuje na sve pracovni stanici testovaci virtualni stroje, pro ktere take potrebuji IP, ma smysl je nejak logicky oddelit?
Je mi jasny, ze je to celkem obsahle tema, ale i za dilci odpovedi (pripadne odkazy na dobrou cetbu) budu povdecen.
Diky,
M.
- Nie je co komentovat o sieti si toho moc nepovedal
- Nie su, subnety si rob take ake potrebujes, radsej vacsie ako mensie, keze privantych subnetov mas mrte kludne mozes nimi plytvat
- Ma aj nema, ake data, ake su tu NASka, co je ich ulohou, vo vseobecnosti mozem povedat, ze nie
- Ma aj nema, zase zelzi od toho, co na nich robite, v principe to zmysel ma, ale mna momentalne nenapada ziaden dovod preco chciet oddelit virtual od zvysku siete.
Ostatne je varenie z vody.
za mně:
- osobně nevidím přínos v oddělování serverů od pracovních stanic, nevidím v tom nějaký extrémní přínos, protože (většinou) je tak jako tak třeba stanicím vystavit "citlivé" porty (typicky RPC) - za oddělováním by vždy měl být nějaký vyšší cíl - bezpečnost, odolnost vůči chybám a výpadkům, úspory přenosového pásma apod.
- pokud už oddělovat, oddělil bych (pokud je to větší firma) jednotlivá oddělení, typicky finance/účtárna, vývoj, apod. a případně "jejich" servery - tam to smysl (logický) má, navíc oddělíš svou podstatou různé části firmy (a můžeš tak odstínit např. síťový průšvih vývojářů, který se neprojeví v účtárně (a obráceně)). Toto byl/je původní smysl VLAN
- nevím jak máte řešené wifi, ale pokud je to něco postavené na Radiusu (tj. bezpečný firemní wifi systém), opět nevidím důvod oddělovat to jen na základě jiného média.
- co se NAS týká, oddělil bych asi jen zálohovací řešení (tím omezíš případné vlivy sítě na funkci a integritu záloh)
- velikost podsítě by měla být dostatečně dimenzovaná, tj. měl by v ní být dostatečný počet rezervních IP adres.
- samozřejmě bys měl uvážit, že členové VLANy by měli většinu objemu své komunikace směrovat v rámci své VLAN (a podle toho i ty VLANy stavět)
Ad virtuální stroje: do jisté míry tohle vidím jako značné bezpečnostní riziko, neřízené (resp. běžnými usery řízené) virtuální stroje bývají zdrojem nemalých problémů (jak po SW, tak po síťové stránce), obávám se ale, že běžné počítače jsou z tohoto pohledu prakticky neřiditelné - buď jim vezmeš práva editovat nastavení virt. stroje, a pak je to polovičaté a spíše nefunkční řešení, nebo jim dáš volnost, a pak je to IT Damoklův meč nad tvou sítí. Navíc oddělit virtuální adaptér od fyzického, na který je namapován, je prakticky věc nemožná - musel bys tagovat "uvnitř" virtuálního stroje (a opět jsi tím odkázán na libovůli uživatele), nebo použít VLAN nad 3. vrstvou ISO/OSI - ale to předpokládá vlastnit odpovídající vybavení.
Když už jsem to nakousl, tak VLANy postavené nad 3. vrstvou jsou hodně progresivní (tj. VLANy jsou defacto určeny IP adresou uživatele), ale zde opět platí pravidlo "málo muziky za relativně hodně peněz")
Ahoj, jen v rychlosti diky moc obema za reakce, jeste se vratim(!).
M.
Přijde s tebou zákon?![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Samozrejme
.
M.