Vlan i internt nätverk?

Vad är behovet av att separera clienterna på det sättet?

100 klienter tycker jag inte motiverar vlan, av den anledningen. Om man däremot har administrativa skäl eller säkerhetsskäl att separera dem är det förstås en annan sak.

100 klienter är inga problem att ha i ett nät. Snackar vi 200 och fler kan det börja bli aktuellt att använda VLAN. Fördelen med VLAN är att du begränsar broadcast och kan filtrera på IP. Vilket är samma funktionalitet som med en router eller layer 3 switch. Kör man med statiska VLAN är det nog väldigt svårt att spoofa, det är lättare med dynamiska VLAN. Wireless är ju betydligt osäkrare än vad VLAN är, förstår inte ens hur du kan jämföra trådbundet med trådlöst. Du kan skicka vidare DHCP-förfrågningar med hjälp av ip-helper på Cisco eller bootprelay på Extreme. Har man pengar är det bästa att köra layer 3 hela nätet och filtrera på IP men VLAN är ett bra substitut om ny hårdvara inte kan införskaffas.

Man kan ju också använda en dhcp-server som har interface på alla aktuella vlan istället för att köra dhcp-forwarding.

Du kan ju annars fundera över att sätta upp bryggor.

1. Vi har ett par hundra klienter i samma LAN. Broadcast och "skittrafik" är ytterst försumbart. Några hundratals bits / sekund i snitt. Alltså ingenting som märks överhuvud taget.

2. VLAN är ett ypperligt sätt att skilja nät åt av säkerhetsmässiga skäl. Det är dessutom ett ypperligt sätt för att få fler interface till en kapabel firewall, man filtrerar till olika VLAN som i sin tur sitter i en switch. På så sätt kan man få så många "interface" som brandväggen stödjer VLAN trots att den bara har ett fåtal fysiska interface.

3. Jag håller med tidigare talare om att det är bättre att investera i Gigabit än VLAN ifall det är prestanda du jagar.

Det han menar är att man routar mellan virtuella interface, mellan vlan istället för mellan fysiska interface. En vanlig (?) variant idag är enarmade routers, där man har en fysisk tråd in i en router och routar mellan vlan:en.

200 klienter ska nog inte ses som en hård gräns. Jag kör ca 400 klienter i samma nät (samma broadcastdomän) utan problem. Broadcasttrafik ligger som ett "svagt brus" i bakgrunden, men på en försumbar nivå.

Mängden broadcast beror ju givetvis på hur aktiva klienterna är i nätet också. Jag skulle inte bygga ett nät med mer än 200 klienter i varje men detta beror inte främst på broadcast utan på säkerhetsaspekter.

Det finns ett flertal säkerhetsrisker att ha ett helt platt nät. Det räcker att en klient skickar broadcast för allt vad den håller för att döda hela nätet. Klienter kan själva sätta IP i nätet och sno andra IP. Det går inte att filtrera på IP eller blir mycket krångligt eftersom alla ligger i samma nät.

Anledningen till att dela upp nätet med hjälp av VLAN eller med riktiga routrar är att du får en mycket bättre segmentering. Förslagsvis lägger man ett managementnät där alla switchar och routrar ligger. Ge servrarna ett eget nät och de som ansvarar för nätverket ett egnt nät. Sen kan man dela upp övriga klientnätet i olika delar beroende på hur stort det är. Detta gör att en klient aldrig kan döda mer än det egna subnätet. Klienterna kan inte heller sno IP av servrar och liknande. Du får nu också möjlighet att filtrera på IP. Detta gäller alltså i en företagsmiljö. På ett LAN tycker jag det räcker att du skapar ett management nät, ett nät till crew och ett nät till övriga klienter. Givetvis kan man dela upp det ännu mer. På dreamhack är varje bord ett eget VLAN vilket innebär att de får en väldigt bra kontroll av trafiken. Men i din situation hade jag nog nöjt mig med tre nät.