VLAN et Active Directory: complémentaire ou substitué?

J'ai récemment rencontré une design de réseau qui implémente fortement les VLAN mais n'utilise pas un système dédié de gestion d'identité et d'access tel que Active Directory ou OpenLDAP. Et encore un autre projet prévoit d'utiliser Active Directory, mais avec des sous-réseaux simples en arborescence pour le réseau. Mes questions:

  • VLAN est le seul moyen d'accéder à un réseau mieux géré? Est-ce toujours la meilleure pratique pour la design de réseaux pour les grandes entresockets?
  • J'étais une fois dans une université qui utilise AD et (je pense) des VLAN. Est-ce un «design standard» lorsque nous voulons assurer la security et la bonne gestion des users?
  • Est-il courant (ces jours-ci, dans une configuration de grande entreprise) d'avoir AD / OpenLDAP sans VLAN? Ou, inversement, VLAN sans AD / OpenLDAP?
  • Les VLAN et AD / OpenLDAP sont-ils deux notions entièrement orthogonales? Et donc complémentaire? Si c'est le cas, je suppose que les équipes des deux templates ci-dessus doivent parler.

D'autres questions:

  • Lors de l'utilisation de VLAN, il s'agit de réseaux VLAN séparés habituels basés sur les départements (Comptabilité, RH, etc.). Ajoutez AD à ce sujet, devrions-nous créer différents domaines, basés (également) sur les départements?
  • Que diriez-vous de concevoir AD basée sur des bâtiments et simlarly pour les VLAN? En bref, comment mettre au point les sous-réseaux, les VLAN et AD set?

Des idées, des conseils, des liens ou des conseils sont les bienvenus.

One Solution collect form web for “VLAN et Active Directory: complémentaire ou substitué?”

VLAN est le seul moyen d'accéder à un réseau mieux géré? Est-ce toujours la meilleure pratique pour la design de réseaux pour les grandes entresockets?

Ils sont pour chaque fois qu'ils ont du sens à n'importe quelle taille.

J'étais une fois dans une université qui utilise AD et (je pense) des VLAN. Est-ce un «design standard» lorsque nous voulons assurer la security et la bonne gestion des users?

Les VLAN par eux-mêmes ne sont pas des limites de security, ne sont que des limites de diffusion. Toutefois, en séparant les groupes logiques en VLAN, vous vous donnez la possibilité de placer des ACL entre eux, si vous le désirez.

Bien sûr, AD est pour la «bonne» gestion des users. C'est un service d'autorisation et d'authentification. C'est pour cela qu'il a été conçu.

Est-il courant (ces jours-ci, dans une configuration de grande entreprise) d'avoir AD / OpenLDAP sans VLAN? Ou, inversement, VLAN sans AD / OpenLDAP?

Non. Les grandes entresockets utilisent généralement des VLAN. Cependant, la raison n'a rien à voir avec AD ou OpenLDAP.

Les VLAN et AD / OpenLDAP sont-ils deux notions entièrement orthogonales? Et donc complémentaire? Si c'est le cas, je suppose que les équipes des deux templates ci-dessus doivent parler.

Pourquoi les deux «équipes de design», comme vous l'avez dit, doivent parler? On travaille à la couche 2, l'autre fonctionne à la couche 7. Ils ne sont totalement pas liés. Pourquoi une configuration de port de commutation aurait-elle quelque chose à voir avec un server d'authentification?

Lors de l'utilisation de VLAN, il s'agit de réseaux VLAN séparés habituels basés sur les départements (Comptabilité, RH, etc.). Ajoutez AD à ce sujet, devrions-nous créer différents domaines, basés (également) sur les départements?

Pour les VLAN, peut-être selon l'environnement. Pour AD, no. Ce n'est pas la meilleure pratique d'utiliser des domaines enfants, sauf si vous devez introduire une limite de gestion difficile entre les ressources AD. Dans la plupart des cas, les domaines enfants ne sont pas une design recommandée. Un domaine pour tous les règles.

Que diriez-vous de concevoir AD basée sur des bâtiments et simlarly pour les VLAN? En bref, comment mettre au point les sous-réseaux, les VLAN et AD set?

Implémentez les VLAN en fonction de vos besoins de changement de couche 2. Implémentez AD selon vos besoins AD. Vraiment, tant que les machines clientes connectées, les différents VLAN peuvent communiquer avec AD, il n'y a plus rien à penser.


Il semble que vous ayez une idée stupide que les VLAN et AD se complètent de manière complémentaire. Ils sont entièrement indépendants. Dans de nombreuses organisations, vous voyez les deux déployés, car ils sont à la fois des technologies indussortingelles et des technologies utiles. Cela ne signifie pas qu'ils sont en quelque sorte des amoureux croisés par des écanvass qui doivent coexister, de peur que les autres ne meurent d'un cœur brisé.

AD fait l'autorisation et l'authentification. Les VLAN font la séparation de couche logique 2 sur une seule pièce de matériel de commutation. Les deux sont aussi liés qu'une botte et un agitateur de sel.

  • Recommandation VLAN et Switch
  • VLAN Through Switch ne fonctionne pas
  • Dans quels scénarios est-on utile le mode de port VLAN non étiqueté (access)?
  • Ubuntu Linux, Bonding et VLANS - Puis-je configurer toutes les interfaces à marquer? IE: génère l'interface BOND0 sans une adresse IP
  • Plusieurs interfaces VLAN virtuelles sur une seule carte réseau (Debian)
  • Mikrotik RB2011U vlanning
  • Modes de port du commutateur vlan
  • Routage entre les ports isolés L2
  • Configurer la couche 2 vlan entre 2 centres de données
  • Dest host n'accepte pas UDP lorsqu'il n'y a pas de path vers la source
  • Deux entresockets, une connection Internet
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.