VLAN и Active Directory: дополнение или замена? [закрыто]
Недавно я столкнулся с проектом сети, в котором активно внедряются виртуальные локальные сети, но не используется выделенная система управления идентификацией и доступом, такая как Active Directory или OpenLDAP. А в другом проекте планируется использовать Active Directory, но с простой древовидной подсетью для сети. Мои вопросы:
- Является ли VLAN единственным способом создания более управляемой сети? Всегда ли это лучшая практика проектирования сети для больших компаний?
- Однажды я был в университете, где используется AD и (я думаю) VLAN. Является ли это "стандартным дизайн", когда мы хотим обеспечить безопасность и хорошее управление пользователями?
- Принято ли (в наши дни, на больших предприятиях) использовать AD/OpenLDAP без VLAN? VLAN? Или, наоборот, VLAN без AD/OpenLDAP?
- Являются ли VLAN и AD/OpenLDAP двумя совершенно ортогональными понятиями? И, следовательно, взаимодополняющими? Если да, то, полагаю, командам двух вышеупомянутых проектов нужно поговорить.
Дополнительные вопросы:
- При использовании VLAN принято разделять сети VLAN по отделам (бухгалтерия, отдел кадров и т.д.). Добавьте к этому AD, должны ли мы сделать различные домены, основанные (также) на отделах?
- Как насчет проектирования AD на основе зданий и аналогично для VLAN? Короче говоря, как лучше всего реализовать подсети, VLAN и AD вместе?
Любые идеи, советы, ссылки или рекомендации приветствуются.
Является ли VLAN единственным способом улучшить управляемую сеть? Всегда ли это лучший способ проектирования сетей для крупных компаний?
Они подходят для тех случаев, когда они имеют смысл, любого размера.
Однажды я учился в университете, который использует AD и (я думаю) VLAN. Является ли это «стандартным дизайном», когда мы хотим обеспечить безопасность и хорошее управление пользователями?
Сами по себе VLAN не являются границами безопасности, это просто границы широковещания. Однако, разделяя логические группы на VLAN, вы даете себе возможность размещать между ними списки управления доступом, если хотите.
Конечно, AD предназначена для «хорошего» управления пользователями. Это сервис авторизации и аутентификации. Вот для чего он был разработан.
Распространено ли (в наши дни на крупных предприятиях) иметь AD / OpenLDAP без VLAN? Или, наоборот, VLAN без AD / OpenLDAP?
Нет. Крупные предприятия обычно используют VLAN. Впрочем, причина не в AD или OpenLDAP.
Являются ли VLAN и AD / OpenLDAP двумя полностью ортогональными понятиями? А значит, дополнительные? Если так, то я полагаю, что командам двух вышеперечисленных разработчиков нужно поговорить.
Зачем двум «командам дизайнеров», как вы это выразились, говорить? Один работает на уровне 2, другой - на уровне 7. Они совершенно не связаны. Почему конфигурация порта коммутатора имеет какое-либо отношение к серверу аутентификации?
При использовании VLAN обычно используются отдельные сети VLAN на основе отделов (бухгалтерия, отдел кадров и т. Д.). Добавьте к нему AD, должны ли мы создавать разные домены, основанные (также) на отделах?
Для VLAN, возможно, в зависимости от среды. Для AD нет. Не рекомендуется использовать дочерние домены, если вам не нужно вводить жесткую границу управления между ресурсами AD. В большинстве случаев дочерние домены не рекомендуются. Один домен, чтобы управлять ими всеми.
Как насчет проектирования AD на основе зданий и аналогичных сетей VLAN? Короче говоря, как лучше всего реализовать вместе подсети, VLAN и AD?
Реализуйте VLAN в соответствии с вашими потребностями в коммутации уровня 2. Внедрите AD в соответствии с вашими потребностями AD. На самом деле, пока клиентские машины подключены к различным VLAN, которые могут взаимодействовать с AD, думать больше не о чем.
Кажется, у вас есть глупая идея, что VLAN и AD каким-то образом напрямую дополняют друг друга. Они полностью независимы. Во многих организациях вы видите развернутые обе технологии, потому что они обе являются полезными отраслевыми стандартами. Это не означает, что они каким-то образом влюбленные, которые должны сосуществовать, чтобы другой не умер от разбитого сердца.
AD выполняет авторизацию и аутентификацию. Сети VLAN выполняют логическое разделение уровня 2 на одном коммутирующем оборудовании. Они похожи друг на друга, как ботинок и солонка.