Недавно я столкнулся с проектом сети, в котором активно внедряются виртуальные локальные сети, но не используется выделенная система управления идентификацией и доступом, такая как Active Directory или OpenLDAP. А в другом проекте планируется использовать Active Directory, но с простой древовидной подсетью для сети. Мои вопросы:
Дополнительные вопросы:
Любые идеи, советы, ссылки или рекомендации приветствуются.
Является ли VLAN единственным способом улучшить управляемую сеть? Всегда ли это лучший способ проектирования сетей для крупных компаний?
Они подходят для тех случаев, когда они имеют смысл, любого размера.
Однажды я учился в университете, который использует AD и (я думаю) VLAN. Является ли это «стандартным дизайном», когда мы хотим обеспечить безопасность и хорошее управление пользователями?
Сами по себе VLAN не являются границами безопасности, это просто границы широковещания. Однако, разделяя логические группы на VLAN, вы даете себе возможность размещать между ними списки управления доступом, если хотите.
Конечно, AD предназначена для «хорошего» управления пользователями. Это сервис авторизации и аутентификации. Вот для чего он был разработан.
Распространено ли (в наши дни на крупных предприятиях) иметь AD / OpenLDAP без VLAN? Или, наоборот, VLAN без AD / OpenLDAP?
Нет. Крупные предприятия обычно используют VLAN. Впрочем, причина не в AD или OpenLDAP.
Являются ли VLAN и AD / OpenLDAP двумя полностью ортогональными понятиями? А значит, дополнительные? Если так, то я полагаю, что командам двух вышеперечисленных разработчиков нужно поговорить.
Зачем двум «командам дизайнеров», как вы это выразились, говорить? Один работает на уровне 2, другой - на уровне 7. Они совершенно не связаны. Почему конфигурация порта коммутатора имеет какое-либо отношение к серверу аутентификации?
При использовании VLAN обычно используются отдельные сети VLAN на основе отделов (бухгалтерия, отдел кадров и т. Д.). Добавьте к нему AD, должны ли мы создавать разные домены, основанные (также) на отделах?
Для VLAN, возможно, в зависимости от среды. Для AD нет. Не рекомендуется использовать дочерние домены, если вам не нужно вводить жесткую границу управления между ресурсами AD. В большинстве случаев дочерние домены не рекомендуются. Один домен, чтобы управлять ими всеми.
Как насчет проектирования AD на основе зданий и аналогичных сетей VLAN? Короче говоря, как лучше всего реализовать вместе подсети, VLAN и AD?
Реализуйте VLAN в соответствии с вашими потребностями в коммутации уровня 2. Внедрите AD в соответствии с вашими потребностями AD. На самом деле, пока клиентские машины подключены к различным VLAN, которые могут взаимодействовать с AD, думать больше не о чем.
Кажется, у вас есть глупая идея, что VLAN и AD каким-то образом напрямую дополняют друг друга. Они полностью независимы. Во многих организациях вы видите развернутые обе технологии, потому что они обе являются полезными отраслевыми стандартами. Это не означает, что они каким-то образом влюбленные, которые должны сосуществовать, чтобы другой не умер от разбитого сердца.
AD выполняет авторизацию и аутентификацию. Сети VLAN выполняют логическое разделение уровня 2 на одном коммутирующем оборудовании. Они похожи друг на друга, как ботинок и солонка.