VLAN strategie voor grote enterprises: best practises?

Ik denk dat je je eindresultaat over het hoofd ziet omdat je teveel naar je gereedschap aan het kijken bent. Als je VLANs primair ziet als handig middel tegen N switches voor N LANs in ieder wiring closet nodig te hebben, dan zie je mischien dat hoe je je VLAN-strategie inricht primair afhankelijk is van hoe je je netwerk in wil richten. In bijvoorbeeld een TCP/IP-netwerk pak je een nieuw subnet tegen de tijd dat je je broadcast domain wil inperken of een administratieve scheiding van netwerken wil implementeren, wat je dan met een VLAN op laag twee tot uiting brengt.

Dus of je alle printertjes in een VLAN stopt en dan gaat routeren of toch liever je printertjes bij je gerbuikers hun (V)LAN bijin stopt, je moet het zelf weten maar persoonlijk zou ik primair naar de datastromen kijken en minder naar of ik er "best current industry practice" van kan zeggen.

Je hebt natuurlijk maar een zeer beperkt aantal VLANs, dus "universele blauwdrukken" met "best practices" zullen lastig te vinden zijn. En een gedegen policy voor jouw bedrijf komt niet alleen uit technische requirements maar vooral ook bedrijfs(politieke)beslissingen.

Waarmee ik niet wil zeggen dat je niet door moet studeren. Ga vooral naar voorbeelden kijken, maar leg je focus op waarom ze het doen. En kijk vooral ook naar voorbeelden van hoe het verkeerd ging en waarom ze dan vonden dat het een goed idee zou zijn en wat er dan mis ging.

Edit: Ik schreef dit met "grootbedrijf", in essentie een groot kantoor of fabrieksconglomeratie, in het achterhoofd. Nu weet ik dat virtualised datacenters en cloud en alles een handje hebben van nauwlijks wat met TCP/IP te doen en een hele hoop van die functionaliteit in VLANs (MPLS, getunneld ethernet) gepropt te hebben, wat dan weer zo eigen probleempjes ("traffic trombone") met zich meebrengt, die in TCP/IP al opgelost zijn. En dan heb je nog metro ethernet, zodat je bedrijfsnetwerk een groot VLAN-feest is ook al strekt het zich over de hele stad en meerdere locaties uit. Van beide heb ik zelf het idee dat het vooral oplapmiddelen voor misdesign zijn (ook al kan de root cause echt heel diep liggen) maar wellicht dat je daar nog veel voorbeeldjes van VLAN-truukerij kan vinden.

[ Voor 31% gewijzigd door Verwijderd op 01-08-2018 15:36 ]

Move naar Professional Networking & Servers

Ik wil me graag aansluiten bij @Verwijderd en @jvanhambelgium. Het gaat om flows optimaliseren (lettende op bandwidth-/security-eisen). En beschikbaarheids-garanties behalen (met optioneel de daarbij behorende HA hardware, dubbele/gescheiden fiber-routes, etc).

Ook zou ik gebruik maken van PVLAN/Port isolation voor access ports (i-port / p-port). Er is geen reden dat de volgende devices met elkaar praten (dus aparte VLAN's + PVLAN): Printers, camera's, workstations.
^{Als security/anti-virus maatregel. Er is geen reden dat 2 printers/workstations met elkaar praten, behalve een gehackte.}
Ook zijn er VLAN's waar apparatuur wel met elkaar kan/moet praten (VLAN's zonder PVLAN, firewall policy tussen VLANs blijft: default deny): VoIP, Domotica/Gebouwautomatisering, Servers, Storage en Switches.
^{Al kan je ook servers verder uitsplitten, zie o.a. einde post.}

Dan de volgende firewall "pseudo" (om vanaf workstations te kunnen printen):
• Allow workstationVLAN to serverVLAN(ip printserver) on port 9100
• Allow serverVLAN(ip printerserver) to printerVLAN on port 9100

Het hosten van services/applicaties kan ook secure (daarin recycle ik de alle VLAN ID's/RFC1918 per rack). Een netwerk in een netwerk, waar specifiekere maatregelen te nemen zijn.

Heb je al ervaring met een kleiner netwerk (tot ~5 sites met 500~1000 man personeel)?
Het beheer van een dergelijke omgeving zou ik zeker automatiseren met CM (Configuration Management) zoals Ansible, waar je alle config (servers, switches, routers, printers, etc) in een git repository hebt zitten. Dan kan je terug in de tijd als een wijziging niet correct werkt.

Hoe mooi het ook klinkt, het is niet altijd evident om teveel te gaan opdelen in een omgeving waar je vb 50-100 verschillende applicaties hebt draaien...
Zelfs gewoon "clients" , "servers" en "printers" opdelen in verschillende VLAN's zal hééél wat werk vereisen om alles in kaart te brengen. In vb een Microsoft omgeving heb je enorm veel chit-chat met elkaar. Altijd breekt er wel "iets" als net die port-range of erger (allow > 1024) niet openstaat.
PC's die tegenwoordig met de Skype For Business/O365/Teams aan de slag gaan, agents hier, agents daar die op de end-stations staan.

Ik zeg het , in theorie allemaal erg mooi en aardig, maar de praktijk schetst toch dikwijls een ander beeld.

Client devices moeten soms wel onderling praten, bijvoorbeeld bij skype for business, maar printes onderling inderdaad niet. Sterker nog, als je een printserver gebruikt, hoeft een printer alleen daarmee te praten. (Het bug bounty programma van HP voor printe kwetsbaarheden hebbe ze niet voor niets in het leven geroepen.)

Zo hebben veel devices (switches, ups, ilo/drac) een management interface. Die is meer dan eens kwetsbaar en wil je op een apart vlan

Je servers zet je uiteraard ook apart, eventueel in meerdere vlans. bij voorkeur met een firewall ervoor waarmee je alleen zinnig verkeer doorlaat. Dat is een enorme klus om te doen, maar bij een uitbraak van een worm (wannacry of notpetya) is de impact hopelijk wat kleiner.

Verder kan je met het gebruik van vlans in een later stadium makkelijker doen aan netwerk segmentatie. Wat je eerst gewoon routeert kan je zonder al te spannende herconfiguratie makkelijk via een firewall doen, maar performance kan daarmee een issue worden.

Ten slot zijn er in de meeste bedrijven oude apparatuur te vinden. Denk aan een industrieel apparaat of een laboratorium apparaat die aangestuurd wordt door een niet meer ondersteunde versie van windows en niet te upgraden is zonder een investering van duizenden euro’s. Die mik je uiteraard in een eigen netwerk met een firewall ervoor en dichtgetimmerde rules.

Behalve oude apparatuur moet je ook gaan denken aan internet of shit apparatuur... pest control, allerhande meetapparatuur, kassa’s, toegangscontrole, videocameras, voip, ... etcetera. Allemaal apparatuur die na de installatie mogelijk geen beveiligingsupdates krijgen en eeuwig kwetsbaar zijn. Allemaal in een apart vlan, of een paar vlans.

Zoals hierboven aangehaald zijn enkele wifi ssid’s voor gasten, mobile devices, barcodescanners, corporate devices aan te bevelen, zodat

[ Voor 8% gewijzigd door burnedhardware op 11-08-2018 09:57 ]