複数のVLAN、1つのサーバー-最低限必要な機器
小さな学校では現在、Wi-Fiアクセスポイントを介してインターネット(3つのWAN)に接続された30台のPCがありますが、APからモデムまでの約8本のケーブルを除いて、現時点では実際のLANはありません。最後に、計画は次のとおりです。-スイッチ24pを購入する-Windows Server2012を購入する-ネットワークフェイルオーバー/帯域幅アグリゲーターを購入する
スキーム:
----------- ---------- ------------ -----------------
| 5 VLANs | <------> | Switch | <------> | Failover | <------> | 3 modems |
----------- ---------- ------------ -----------------
要件:
- 各VLANはWindowsServer 2012(ファイルサーバー、共有フォルダー)にアクセスできます)
質問:
- このタスクにはマネージドL2スイッチで十分ですか?
- サーバーには複数のNICが必要ですか?
元の質問への回答:
- サブネット間のすべてのルーティングが別のシステム(ルーター、サーバー、または802.1q互換のVLANとソフトウェアを備えた別のマシン)で行われる場合は、802.1q NICをサポートするマネージドL2スイッチで十分です。 )。スイッチでルーティングする場合は、L3対応スイッチを購入する必要があります。これは主にパフォーマンスのニーズに依存します(すべてのポートからのすべてのトラフィックがそれを通過する必要があるため、単一のシステムがボトルネックになります)。
- NICが802.1qVLANタグをサポートしている限り、単一のNICでそれを行うことができます。オペレーティングシステムによっては、さまざまなNICを構成する方が簡単な場合があり、ハードウェアのコストは比較的低くなります。また、4つの単一NICまたは4つの集約NICのどちらがより効率的であるかは、トラフィックパターンによって異なります。
VLANはセキュリティに役立ちますか?
- トラフィックを異なるサブネットに分離することで役立ちますが、他のものと組み合わせる必要があります。たとえば、802.1qおよび802.1x(RADIUS)を使用する場合、新しいデバイスは(ワイヤレスまたはケーブルを介した)最初の接続時に(パスワードまたは証明書によって)自身を認証でき、その後、VLANに割り当てられます。セットアップルール(ゲストVLAN、教師VLANなど)。同様に、それらをIPSecまたは他のVPNソリューションと組み合わせると、トラフィックが暗号化され、同じサブネット内であっても、誰も彼向けではないトラフィックを読み取ったり理解したりすることはできません。さまざまなテクノロジーを組み合わせることができ、組み合わせる必要があります。
- 目標がVLANから抜け出すことである攻撃シナリオが存在します(バグ/エクスプロイトによって、または不適切に構成されたVLANセットアップを悪用することによって)。 VLANを正しく構成している限り、おそらく問題はありません。必要に応じて、非常に機密性の高い情報を個別に管理することもできます(エアギャップまたは個別のハードウェアを使用)。
- 管理と構成にはオーバーヘッドがあるため、正しく構成するのに時間をかける価値があるかどうかを判断する必要があります。必要なネットワークトポロジがあれば、それを最大限に活用できます
- 頻繁に変更されますが、ハードウェアは修正されたままです。
- 複雑で物理的なレイアウトとは異なる、または
- 物理的にモデル化することは不可能です。