Каково различие между Windows Azure Active Directory Sync по сравнению с синхронизацией Office 365

Путь @minarnhere описывает, абсолютно способ пойти, но сделать не только разделенный функциональностью, добавить в факторах безопасности, физического местоположения и количества хостов также, разделить Вашу сеть на столько VLAN, сколько требуются на основе всех этих факторов.

Принятие соответствующих переключателей и маршрутизаторов существует затем нет никакой стоимости для наличия многих VLAN, и преимущества огромны, если планируется правильно, чтобы администратор наверху был минимален также. Не ограничивайте себя с искусственными ограничениями о помещении всех студентов или обучающих программ или какой-либо группы пользователей или хостов в единственный VLAN, почему Вы хотели бы сделать это так или иначе? Помните, что трафиком можно только управлять на уровне 3, таким образом, разделяет Вашу сеть, таким образом, можно ограничить и управлять межтрафиком VLAN, у Вас нет шанса с трафиком в VLAN.

Классический способ разработать кампус LAN состоит в том, чтобы разделить сеть на Доступ, Распределение и Ядро. Много коммутаторов уровня 2 Доступа, каждый трафик переноса от одного или нескольких VLAN, соединятся с несколькими распределительными коммутаторами уровня 3, которые направляют трафик к небольшому количеству основных коммутаторов уровня 3.

Все Ваши хосты должны быть подключены к уровню Access, который разделяется на VLAN на основе факторов, описанных выше. Каждый уровень VLAN доступа, если это возможно, должен быть ограничен одним физическим коммутатором (это правило только должно быть нарушено, если у Вас есть двойные размещенные серверы, которым, возможно, понадобится к обработке отказа к другому переключателю в том же VLAN). Помните, что каждый VLAN является широковещательным доменом, и Вы хотите ограничить широковещательный трафик на каждом из них так же возможных. Рассмотрите использование только/24 подсетей для своего слоя доступа, почему Вы хотели бы> 250 хостов в единственном широковещательном домене?

Будут некоторые, очень, очень немногие, обстоятельства, когда VLAN должен распространиться по многопозиционным переключателям, но они будут очень специалистом, управление коммутатором, возможно, одно (но это спорно), существует очень немного других.

Хорошая начальная точка была бы Вашими серверами. Если они находятся в том же физическом месте (комната, не создавая) затем Вы могли бы хотеть разделить их на VLAN на основе функциональности, но иначе единственный VLAN на ~200 хостов будет прекрасен. Очевидно(?), интернет-серверы направления должны быть самостоятельно, предпочтительно физически отдельные, сетевые, firewalled от кампуса (дизайн демилитаризованной зоны является другой специальностью сам по себе, таким образом, я не войду в это здесь). Ваши внутренние серверы должны также быть разделены на серверы для использования студентов и тех, которые для внутреннего администраторского использования только, разделяя их на VLAN соответственно. Если некоторые серверы принадлежат конкретным отделам (Например, HR) затем, если Вы, возможно, должны управлять трафиком к тем серверам, рассмотрите наличие VLAN только для них.

Если серверы распространены, затем помещает их в отдельные VLAN на основе местоположения, а также функциональности, нет никакой потребности в них быть в том же VLAN просто, 'потому что они - серверы' или просто, 'потому что они - все веб-серверы'.

Хождение дальше студенту и пользователям штата. Для запуска каждый порт или точка доступа то есть, или мог быть, доступный не связанным с IT штатом должен считаться угрозой безопасности, и весь трафик, происходящий оттуда, нужно рассматривать как недоверяемый. Поместите свои классы в VLAN на основе возможного количества хостов и, в зависимости от обстоятельств, групп пользователей, но не делайте ошибку 'доверия' конкретным портам, если обучающие программы должны добраться до Вашей администраторской сети из класса затем, им нужно дать тот же метод доступа (VPN?), как будто они были дома или общедоступное кафе.

Беспроводная сеть должна быть на отдельных VLAN от проводного, но с теми же ограничениями, если ее можно избежать (но она иногда не может) не помещают весь APS в кампус широкий VLAN, разделяют их использующий ту же методологию и по той же причине как проводное.

Телефоны IP, удивление, удивление, должны быть на отдельных VLAN от всего остального, это упрощено на некоторых, делает (Cisco, по моему опыту) согласованием телефона с коммутатором доступа для помещения трафика в соответствующий VLAN, но это, очевидно, требует, чтобы переключатель был настроен правильно.

Существуют партии больше на дизайне LAN, но вышеупомянутое является запуском. Как заключительное примечание, насколько затронут DHCP, используйте его для каждого хоста включая серверы и принтеры, оба из них должны были статически присвоить IP-адреса на основе своих MAC-адресов. Объем (или объемы) для первого не должны иметь запасных адресов, это идет некоторым путем к предотвращению случайного включения в устройств к VLAN сервера, но, и это относится к принтерам также, дело в том, что Вы имеете центральный контроль над устройствами, и с любыми изменениями имеют дело централизованно вместо того, чтобы полагаться на инженеров, бродящих адреса разбирающегося кампуса.

Хорошо, достаточно на данный момент, я надеюсь, что это помогает немного.