Networking

VLAN 和 Active Directory:互補還是替代?

  • June 8, 2013

我最近遇到了一種網路設計,它大量實現了 VLAN,但沒有使用 Active Directory 或 OpenLDAP 等專用身份和訪問管理系統。還有一個設計計劃使用 Active Directory,但對網路進行簡單的樹狀子網劃分。我的問題:

  • VLAN 是獲得更好管理網路的唯一途徑嗎?大公司的網路設計總是最佳實踐嗎?
  • 我曾經在一所使用 AD 和(我認為)VLAN 的大學裡。當我們要確保安全和良好的使用者管理時,它是“標准設計”嗎?
  • 沒有 VLAN 的 AD/OpenLDAP 是否常見(如今,在大型企業設置中)?或者,相反,沒有 AD/OpenLDAP 的 VLAN?
  • VLAN 和 AD/OpenLDAP 是兩個*完全正交的概念嗎?*因此互補?如果是這樣,我想上面兩個設計的團隊需要談談。

進一步的問題:

  • 使用 VLAN 時,通常是基於部門(會計、人力資源等)的獨立 VLAN 網路。向其中添加 AD,我們是否應該根據部門(也)創建不同的域?
  • 基於建築物和 VLAN 設計 AD 怎麼樣?簡而言之,如何最好地同時實現子網劃分、VLAN 和 AD?

歡迎任何見解、提示、連結或建議。

VLAN 是獲得更好管理網路的唯一途徑嗎?大公司的網路設計總是最佳實踐嗎?

它們適用於任何尺寸的任何時候。

我曾經在一所使用 AD 和(我認為)VLAN 的大學裡。當我們要確保安全和良好的使用者管理時,它是“標准設計”嗎?

VLAN 本身不是安全邊界,只是廣播邊界。但是,通過將邏輯組劃分為 VLAN,您可以根據需要在它們之間放置 ACL。

當然,AD 是為了“好的”使用者管理。它是一種授權和身份驗證服務。這就是它的設計目的。

沒有 VLAN 的 AD/OpenLDAP 是否常見(如今,在大型企業設置中)?或者,相反,沒有 AD/OpenLDAP 的 VLAN?

不會。大型企業通常使用 VLAN。不過,原因與 AD 或 OpenLDAP 無關。

VLAN 和 AD/OpenLDAP 是兩個完全正交的概念嗎?因此互補?如果是這樣,我想上面兩個設計的團隊需要談談。

為什麼你所說的兩個“設計團隊”需要交談?一個在第 2 層工作,另一個在第 7 層工作。它們完全不相關。為什麼交換機埠配置與身份驗證伺服器有任何關係?

使用 VLAN 時,通常是基於部門(會計、人力資源等)的獨立 VLAN 網路。向其中添加 AD,我們是否應該根據部門(也)創建不同的域?

對於 VLAN,可能取決於環境。對於 AD,沒有。除非您需要在 AD 資源之間引入硬管理邊界,否則使用子域不是最佳做法。在大多數情況下,子域不是推薦的設計。一個域來統治他們。

基於建築物和 VLAN 設計 AD 怎麼樣?簡而言之,如何最好地同時實現子網劃分、VLAN 和 AD?

根據您的第 2 層交換需求實施 VLAN。根據您的 AD 需求實施 AD。真的,只要連接不同 VLAN 的客戶端機器可以與 AD 通信,就沒有什麼可考慮的了。


似乎您有一些愚蠢的想法,即 VLAN 和 AD 以某種方式直接互補。他們是完全獨立的。在許多組織中,您會看到這兩種技術都已部署,因為它們都是行業標準的有用技術。這並不意味著他們是某種命運多舛的戀人,必須共存,以免對方因心碎而死。

AD 進行授權和身份驗證。VLAN 在單個交換硬體上進行邏輯第 2 層分離。兩者就像靴子和鹽瓶一樣相關。

引用自:https://serverfault.com/questions/514267