9
4 Switche oder einen bzw. zwei große HA Switche kaufen
Hi, ich habe ein Objekt wo es 2 WAN Leitungen gibt. einmal die Hauptleitung und eine Notfallleitung.
nach der WAN Leitung ist je ein Switch eingebaut (insgesamt also 2 5-port Switche) wovon jeweils ein Kabel Richtung Firewall1/Router1 läuft und ein Kabel Richtung Firewall2/Router2. (Eingang WAN1 & WAN2)
--> Die 2 Firewalls laufen im HA Modus, kommunizieren miteinander und schalten auch um. das klappt soweit alles.
Nach den Routern laufen die Kabel pro Firmeninternen Netz in einen separaten Switch ... (macht also nochmal 2 Switche... da 2 getrennte Netze)
von einem geht's dann 30 Meter weiter auf einen Büro-Verteiler Switch und vom anderen geht's ins Nachbar Gebäude. (das sind unterschiedliche Netze)
ich hoffe ihr seid mitgekommen *g*
Meine Frage an der Stelle, kann man das irgendwie verbessern? mir sind das zu viel Switche, zu viel Störquellen.
Zum Büroverteiler Switch ist wenn es eng wird ein 10GBit Uplink geplant... noch reicht der 1Gbit Port aus...
kann ich z.b. die 2 kommenden (unterschiedlichen) WAN Leitungen in einen Switch stecken und per VLAN trennen?!
oder kann ich theoretisch nicht hinter den 2 Routern die Switch ersetzen gegen 2 HA/Cluster Switche und diese per VLAN trennen?!
so hab ich zwar auch wieder 2 Switche, aber mehr Ausfall Sicherheit...
vielleicht habt ihr ja den passenden Denkanstoß für mich
danke
nach der WAN Leitung ist je ein Switch eingebaut (insgesamt also 2 5-port Switche) wovon jeweils ein Kabel Richtung Firewall1/Router1 läuft und ein Kabel Richtung Firewall2/Router2. (Eingang WAN1 & WAN2)
--> Die 2 Firewalls laufen im HA Modus, kommunizieren miteinander und schalten auch um. das klappt soweit alles.
Nach den Routern laufen die Kabel pro Firmeninternen Netz in einen separaten Switch ... (macht also nochmal 2 Switche... da 2 getrennte Netze)
von einem geht's dann 30 Meter weiter auf einen Büro-Verteiler Switch und vom anderen geht's ins Nachbar Gebäude. (das sind unterschiedliche Netze)
ich hoffe ihr seid mitgekommen *g*
Meine Frage an der Stelle, kann man das irgendwie verbessern? mir sind das zu viel Switche, zu viel Störquellen.
Zum Büroverteiler Switch ist wenn es eng wird ein 10GBit Uplink geplant... noch reicht der 1Gbit Port aus...
kann ich z.b. die 2 kommenden (unterschiedlichen) WAN Leitungen in einen Switch stecken und per VLAN trennen?!
oder kann ich theoretisch nicht hinter den 2 Routern die Switch ersetzen gegen 2 HA/Cluster Switche und diese per VLAN trennen?!
so hab ich zwar auch wieder 2 Switche, aber mehr Ausfall Sicherheit...
vielleicht habt ihr ja den passenden Denkanstoß für mich
danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 255923
Url: https://administrator.de/contentid/255923
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Fällt WAN1 aus, greift FW1 auf WAN2 zu. Somit entfällt hier der Failover auf FW2 und somit gehen keine Sessions im LAN verloren. Beide Switches auf unterschiedliche USVs und gut ist. Das beide Switches parallel defekt sind, ist unwahrscheinlich.
Gruß,
Dani
Meine Frage an der Stelle, kann man das irgendwie verbessern? mir sind das zu viel Switche, zu viel Störquellen.
Stell dir folgendes vor: FW1 fällt aus. Mit diesem Design kann weiterin FW2 auf WAN1 arbeiten und somit steht Bandbreite ohne Einschränkungen zu Verfügung.Fällt WAN1 aus, greift FW1 auf WAN2 zu. Somit entfällt hier der Failover auf FW2 und somit gehen keine Sessions im LAN verloren. Beide Switches auf unterschiedliche USVs und gut ist. Das beide Switches parallel defekt sind, ist unwahrscheinlich.
kann ich z.b. die 2 kommenden (unterschiedlichen) WAN Leitungen in einen Switch stecken und per VLAN trennen?!
Ist dieser Switch defekt oder hat ein Problem, sind beide WAN-Leitungen tot. Da kannste dir die zwei Firewall sparen.oder kann ich theoretisch nicht hinter den 2 Routern die Switch ersetzen gegen 2 HA/Cluster Switche und diese per VLAN trennen?!
Das macht schon eher Sinn. Wir nutzen Switche die eine logische Einheit bilden. Somit kann man die Switches per Trunk anfahren und braucht kein (R)STP.Gruß,
Dani
ja der gedanke mit den Switchen vor der Firewall kam mir auch grad... sprich ist ein Switch tot, erhält die FW1 kein Signal auf WAN1 und geht auf WAN2 was ja der andere Switch wäre... das macht wirklich mehr Sinn als einer der wegsterben könnte... - also bleibt das erste Konstrukt so...
mh... hab ein Angebot über einen 48port HA Cluster Switch (also 2 a 48port Switche) mit 10GB Uplink... für knappe 6500...
such aktuell noch die preise für vergleichbare Cisco catalyst Switche -.-
mh... hab ein Angebot über einen 48port HA Cluster Switch (also 2 a 48port Switche) mit 10GB Uplink... für knappe 6500...
such aktuell noch die preise für vergleichbare Cisco catalyst Switche -.-
zitat: Somit kann man die Switches per Trunk anfahren und braucht kein (R)STP.
da komm ich nicht so ganz mit... also ich weiß was es ist... aber wie ist es gemeint?
Spanning Tree war/ist mir bekannt als --> wenn die eine Leitung/der Weg nicht geht dann nimm die/den andere(n)...
und Trunk --> da war angedacht die 4 NIC's pro Server zu bündeln/trunken und auf den Switch zu legen, bzw bei dem HA-Switch Model müßt ich 2x 2 NIC's trunken mit gleichen IP Informationen und 1 Trunk auf Switch-HA-1 und ein Trunk auf Switch-HA-2... Sprich pro Server je 2 Ports pro HA-Switch...
da komm ich nicht so ganz mit... also ich weiß was es ist... aber wie ist es gemeint?
Spanning Tree war/ist mir bekannt als --> wenn die eine Leitung/der Weg nicht geht dann nimm die/den andere(n)...
und Trunk --> da war angedacht die 4 NIC's pro Server zu bündeln/trunken und auf den Switch zu legen, bzw bei dem HA-Switch Model müßt ich 2x 2 NIC's trunken mit gleichen IP Informationen und 1 Trunk auf Switch-HA-1 und ein Trunk auf Switch-HA-2... Sprich pro Server je 2 Ports pro HA-Switch...
Die 2 Firewalls laufen im HA Modus, kommunizieren miteinander und schalten auch um. das klappt soweit alles.
Wenn sie nur das machen wäre das sehr schlecht. Normal würde man hier immer ein Line Balancing machen. Gute Firewalls können sowas das sie nicht nur im Ausfall umschlaten sondern auch den gesamten Netztraffic paritätisch auf die beiden Leitungen zu verteilen für die du ja bezahlst.Das bewirkt eine Performance Erhöhung und die sinnhafte Nutzung dieser 2 Leitungen. Nur doof Umschalten wäre ja recht unintelligent für so ein Design !
Nach den Routern laufen die Kabel pro Firmeninternen Netz in einen separaten Switch
Müsste auch nicht sein, denn das könnte man mit einer Infrastruktur und 2 getrennten VLANs effizienter und preiswerter lösen !ich hoffe ihr seid mitgekommen *g*
Fällt einem ja nicht schwer bei solch einem banalen Netzdesign.....!kann man das irgendwie verbessern?
Ja natürlich ! Die Antwort hast du dir schon selber gegeben:- Beschaffe 2 Switches die Stack fähig sind z.B. Cisco SG-500, Brocade ICX 6430 (6450 bei 10 GiG) oder was auch immer... Wichtig ist die Stackfähigkeit und nicht so ein Billigstack mit nur gemeinsamer IP wie bei billigen HPs.
- Richte für die 2 Firmen 2 VLANs ein
- Von den Firewalls gehst du mit Link Aggregation auf jeweils einen Stack memeber. So hast du Redundanz bei gleichzeitigem Backup
- Tagged Trunks auf die bestehenden Büroswitches
- Wichtig: Link Load Balancing einrichten, damit du nicht nur eine Verteilung des Internet Traffics hast sondern auch gleichzeitiges Backup. Fast alle Firewalls können das.
hi, lang hats gedauert, Thema ist aber noch aktuell...
Thema Fireall und LineBalancing: JA das war eine Option. das nennt sich in der Firewall entweder Active-active HA oder active-passive HA
der Vorteil bei active-active is das der traffic geteilt wird auf beide Geräte. der Nachteil wäre das gewisse Sessions neu gestartet werden müssen im Falle eines Ausfalls.
der Vorteil von active-passive ist das jede Session auch auf der 2.ten Firewall vorhanden ist... stirbt die erste ist alles mit einer Unterbrechung von unter 5 Sekunden glaub ich umgeschaltet... - es war seitens der Geschäftsleitung so gewünscht... die 2.te WAN Leitung ist eh nur ne kleine Leitung damit überhaupt was geht im Falle des Falles...
die VLAN Auftrennung/Teilung lass ich erst mal außen vor bis alles soweit steht und HA fähig ist, sprich bis meine Hausaufgaben gemacht sind...
Wenn ich mich nun für 2 SG500-28 (24+4 Ports) entscheiden würde. Wäre ich gewappnet gegen Netzteil Tod und gegen Switch(Elektronik) Tod oder? sofern die Anschlüsse richtig verteilt sind...
die Switche stacke ich über Port 25-28
Firewall 1 geht in den ersten SG500, Firewall 2 geht in den zweiten SG-500 (die Firewalls haben zwar 7 Output Ports, allerdings pro Port nur ein unique Netz möglich... andernfalls müsste die Firewall als Switch geschaltet werden wodurch ich wieder andere dinge verliere...
und die Server gehen je mit 2 LAN-Kabel in SG500-nr1 und mit 2 Kabel in SG500-nr2 und am Server sind die 4 NIC's gebündelt... richtig?
den vorhandenen 48gig Switch (netgear) schließe ich per 4facher Kanal Bündelung an jeweils 2x sg500-nr1 und 2x sg500-nr2 ... dann müsste ich mindestens theoretische 2000Gbit/s pro Richtung haben (fullDuplex)...
ich hoffe ich habs soweit richtig verstanden...
so stell ich es mir zumindest gerade bildlich vor...
wenn das alles steht und klappt würde ich das 2.te LAN dranbringen und dazu dann auch VLAN einführen...
habe heute mit netio gemessen - grauenvoll... aktuell durch 3 Gbit/s Switche hindurch bleiben 15-20MByte übrig
und nein, ich habe diese Struktur nicht aufgebaut, ich darf nur Fehler suchen ;)
TCP connection established ...
Receiving from client, packet size 1k ... 14.64 MByte/s
Sending to client, packet size 1k ... 15.16 MByte/s
Receiving from client, packet size 2k ... 9729.30 KByte/s
Sending to client, packet size 2k ... 15.49 MByte/s
Receiving from client, packet size 4k ... 10.37 MByte/s
Sending to client, packet size 4k ... 14.76 MByte/s
Receiving from client, packet size 8k ... 16.78 MByte/s
Sending to client, packet size 8k ... 17.29 MByte/s
Receiving from client, packet size 16k ... 19.19 MByte/s
Sending to client, packet size 16k ... 17.34 MByte/s
Receiving from client, packet size 32k ... 20.69 MByte/s
Sending to client, packet size 32k ... 18.38 MByte/s
UDP connection established ...
Receiving from client, packet size 1k ... 9047.97 KByte/s
Sending to client, packet size 1k ... 111.21 MByte/s
Receiving from client, packet size 2k ... 10.64 MByte/s
Sending to client, packet size 2k ... 111.52 MByte/s
Receiving from client, packet size 4k ... 12.60 MByte/s
Sending to client, packet size 4k ... 111.52 MByte/s
Receiving from client, packet size 8k ... 7611.13 KByte/s
Sending to client, packet size 8k ... 103.43 MByte/s
Receiving from client, packet size 16k ... 13.90 MByte/s
Sending to client, packet size 16k ... 103.89 MByte/s
Receiving from client, packet size 32k ... 16.30 MByte/s
Sending to client, packet size 32k ... 99.38 MByte/s
Thema Fireall und LineBalancing: JA das war eine Option. das nennt sich in der Firewall entweder Active-active HA oder active-passive HA
der Vorteil bei active-active is das der traffic geteilt wird auf beide Geräte. der Nachteil wäre das gewisse Sessions neu gestartet werden müssen im Falle eines Ausfalls.
der Vorteil von active-passive ist das jede Session auch auf der 2.ten Firewall vorhanden ist... stirbt die erste ist alles mit einer Unterbrechung von unter 5 Sekunden glaub ich umgeschaltet... - es war seitens der Geschäftsleitung so gewünscht... die 2.te WAN Leitung ist eh nur ne kleine Leitung damit überhaupt was geht im Falle des Falles...
die VLAN Auftrennung/Teilung lass ich erst mal außen vor bis alles soweit steht und HA fähig ist, sprich bis meine Hausaufgaben gemacht sind...
Wenn ich mich nun für 2 SG500-28 (24+4 Ports) entscheiden würde. Wäre ich gewappnet gegen Netzteil Tod und gegen Switch(Elektronik) Tod oder? sofern die Anschlüsse richtig verteilt sind...
die Switche stacke ich über Port 25-28
Firewall 1 geht in den ersten SG500, Firewall 2 geht in den zweiten SG-500 (die Firewalls haben zwar 7 Output Ports, allerdings pro Port nur ein unique Netz möglich... andernfalls müsste die Firewall als Switch geschaltet werden wodurch ich wieder andere dinge verliere...
und die Server gehen je mit 2 LAN-Kabel in SG500-nr1 und mit 2 Kabel in SG500-nr2 und am Server sind die 4 NIC's gebündelt... richtig?
den vorhandenen 48gig Switch (netgear) schließe ich per 4facher Kanal Bündelung an jeweils 2x sg500-nr1 und 2x sg500-nr2 ... dann müsste ich mindestens theoretische 2000Gbit/s pro Richtung haben (fullDuplex)...
ich hoffe ich habs soweit richtig verstanden...
so stell ich es mir zumindest gerade bildlich vor...
wenn das alles steht und klappt würde ich das 2.te LAN dranbringen und dazu dann auch VLAN einführen...
habe heute mit netio gemessen - grauenvoll... aktuell durch 3 Gbit/s Switche hindurch bleiben 15-20MByte übrig
und nein, ich habe diese Struktur nicht aufgebaut, ich darf nur Fehler suchen ;)
TCP connection established ...
Receiving from client, packet size 1k ... 14.64 MByte/s
Sending to client, packet size 1k ... 15.16 MByte/s
Receiving from client, packet size 2k ... 9729.30 KByte/s
Sending to client, packet size 2k ... 15.49 MByte/s
Receiving from client, packet size 4k ... 10.37 MByte/s
Sending to client, packet size 4k ... 14.76 MByte/s
Receiving from client, packet size 8k ... 16.78 MByte/s
Sending to client, packet size 8k ... 17.29 MByte/s
Receiving from client, packet size 16k ... 19.19 MByte/s
Sending to client, packet size 16k ... 17.34 MByte/s
Receiving from client, packet size 32k ... 20.69 MByte/s
Sending to client, packet size 32k ... 18.38 MByte/s
UDP connection established ...
Receiving from client, packet size 1k ... 9047.97 KByte/s
Sending to client, packet size 1k ... 111.21 MByte/s
Receiving from client, packet size 2k ... 10.64 MByte/s
Sending to client, packet size 2k ... 111.52 MByte/s
Receiving from client, packet size 4k ... 12.60 MByte/s
Sending to client, packet size 4k ... 111.52 MByte/s
Receiving from client, packet size 8k ... 7611.13 KByte/s
Sending to client, packet size 8k ... 103.43 MByte/s
Receiving from client, packet size 16k ... 13.90 MByte/s
Sending to client, packet size 16k ... 103.89 MByte/s
Receiving from client, packet size 32k ... 16.30 MByte/s
Sending to client, packet size 32k ... 99.38 MByte/s
Nachtrag: die internen Firewall regeln (allow/deny) kann ich dann ja von der Firewall HA Config auf den sg500 Stack auslagern oder?! würde ja mehr sinn machen da besser definierbar...
Ja, kann man machen und den ganzen Rest hast du perfekt richtig verstanden !
ich bin erschrocken über mich Oo
ok, dann muss ich nur noch entscheiden ob 2x 24 ports oder 2x 48... wobei ich stand jetzt nur auf 23 genutzte Ports komme ... pro Switch 11 und die usv oben drauf
wenn das wirklich so funktioniert das beide sg500 aktiv arbeiten dann dürften die 2 sg500-24 ja genug Reserven an ports haben...
und ob POE nun mit rein soll oder nicht - sprich sg500-24p oder mpp - ich denke die Entscheidung wird mir die Geschäftsleitung abnehmen ;)
auf jeden ein riesen Dankeschön an alle und vor allem mal wieder an aqui
ok, dann muss ich nur noch entscheiden ob 2x 24 ports oder 2x 48... wobei ich stand jetzt nur auf 23 genutzte Ports komme ... pro Switch 11 und die usv oben drauf
wenn das wirklich so funktioniert das beide sg500 aktiv arbeiten dann dürften die 2 sg500-24 ja genug Reserven an ports haben...
und ob POE nun mit rein soll oder nicht - sprich sg500-24p oder mpp - ich denke die Entscheidung wird mir die Geschäftsleitung abnehmen ;)
auf jeden ein riesen Dankeschön an alle und vor allem mal wieder an aqui
ich bin erschrocken über mich Oo
Das solltest du nicht sein sondern stolz das du alles verstanden hast 
ok, dann muss ich nur noch entscheiden ob 2x 24 ports oder 2x 48.
Denk immer an die Zukunft. Man kann nie genug Ports haben und wenn du ein neues performantes Netz designst schafft das auch Begehrlichkeiten.Aber um mal realistisch zu bleiben...wenn du jetzt in Summe 23 Ports hast aber im 2mal 24 Stack dann nachher 48 bist du gut ausgerüstet. Da wir hier im Forum aber alle nicht hellsehen können wieviel Ports du in Zukunft brauchst kann dir diese Frage logischerweise niemand außer dir selber oder deine Firma beantworten !
und ob POE nun mit rein soll oder nicht
Nein, niemals die Geschäftsleitung entscheiden lassen denn das sind Kaufleute und die sagen nein.Deine Aufgabe ist es als IT Verantwortlicher denen den Mehrwert aufzuzeigen das du bei zukünftiger geplanter VoIP oder WLAN Installation Kosten sparst weil du diese Endgeräte alle mit PoE versorgen kannst !
Mindestens ein Switch im Stack sollte immer mit PoE ausgerüstet sein deshalb. Auch wenn man es vielleicht ad hoc noch nicht nutzt.
