VLAN 和 Active Directory:互補還是替代?
我最近遇到了一種網路設計,它大量實現了 VLAN,但沒有使用 Active Directory 或 OpenLDAP 等專用身份和訪問管理系統。還有一個設計計劃使用 Active Directory,但對網路進行簡單的樹狀子網劃分。我的問題:
- VLAN 是獲得更好管理網路的唯一途徑嗎?大公司的網路設計總是最佳實踐嗎?
- 我曾經在一所使用 AD 和(我認為)VLAN 的大學裡。當我們要確保安全和良好的使用者管理時,它是“標准設計”嗎?
- 沒有 VLAN 的 AD/OpenLDAP 是否常見(如今,在大型企業設置中)?或者,相反,沒有 AD/OpenLDAP 的 VLAN?
- VLAN 和 AD/OpenLDAP 是兩個*完全正交的概念嗎?*因此互補?如果是這樣,我想上面兩個設計的團隊需要談談。
進一步的問題:
- 使用 VLAN 時,通常是基於部門(會計、人力資源等)的獨立 VLAN 網路。向其中添加 AD,我們是否應該根據部門(也)創建不同的域?
- 基於建築物和 VLAN 設計 AD 怎麼樣?簡而言之,如何最好地同時實現子網劃分、VLAN 和 AD?
歡迎任何見解、提示、連結或建議。
VLAN 是獲得更好管理網路的唯一途徑嗎?大公司的網路設計總是最佳實踐嗎?
它們適用於任何尺寸的任何時候。
我曾經在一所使用 AD 和(我認為)VLAN 的大學裡。當我們要確保安全和良好的使用者管理時,它是“標准設計”嗎?
VLAN 本身不是安全邊界,只是廣播邊界。但是,通過將邏輯組劃分為 VLAN,您可以根據需要在它們之間放置 ACL。
當然,AD 是為了“好的”使用者管理。它是一種授權和身份驗證服務。這就是它的設計目的。
沒有 VLAN 的 AD/OpenLDAP 是否常見(如今,在大型企業設置中)?或者,相反,沒有 AD/OpenLDAP 的 VLAN?
不會。大型企業通常使用 VLAN。不過,原因與 AD 或 OpenLDAP 無關。
VLAN 和 AD/OpenLDAP 是兩個完全正交的概念嗎?因此互補?如果是這樣,我想上面兩個設計的團隊需要談談。
為什麼你所說的兩個“設計團隊”需要交談?一個在第 2 層工作,另一個在第 7 層工作。它們完全不相關。為什麼交換機埠配置與身份驗證伺服器有任何關係?
使用 VLAN 時,通常是基於部門(會計、人力資源等)的獨立 VLAN 網路。向其中添加 AD,我們是否應該根據部門(也)創建不同的域?
對於 VLAN,可能取決於環境。對於 AD,沒有。除非您需要在 AD 資源之間引入硬管理邊界,否則使用子域不是最佳做法。在大多數情況下,子域不是推薦的設計。一個域來統治他們。
基於建築物和 VLAN 設計 AD 怎麼樣?簡而言之,如何最好地同時實現子網劃分、VLAN 和 AD?
根據您的第 2 層交換需求實施 VLAN。根據您的 AD 需求實施 AD。真的,只要連接不同 VLAN 的客戶端機器可以與 AD 通信,就沒有什麼可考慮的了。
似乎您有一些愚蠢的想法,即 VLAN 和 AD 以某種方式直接互補。他們是完全獨立的。在許多組織中,您會看到這兩種技術都已部署,因為它們都是行業標準的有用技術。這並不意味著他們是某種命運多舛的戀人,必須共存,以免對方因心碎而死。
AD 進行授權和身份驗證。VLAN 在單個交換硬體上進行邏輯第 2 層分離。兩者就像靴子和鹽瓶一樣相關。