4
Anzahl an Geräten im Subnetz (Broadcastdomäne)
Hallo zusammen,
ich habe gerade ein Netzwerkproblem mit verschiedenen Meinungen.
Also, wir haben jetzt einen Standort mit einem /16 Netzwerk und guten 300 Netzwerkgeräten; vor allem die Clients, Server und Drucker sind in diesem Netz. Das Netz ist mit Juniper Switchen aufgebaut und läuft komplett auf Gigabit mit ein paar LACPs zwischen den Switchen. VLANs gibt es auch eine Handvoll für Management und so. Aber auf der Clientseite ist alles ein Subnetz.
Eigentlich haben wir damit keine Probleme.
Jetzt sollen zwei weitere Standort mit hinzukommen, das wären dann ca. 60-80 zusätzliche Geräte.
[Update]
Leider hatte ich das nicht verständlich geschrieben.
Die beiden Standorte sind jetzt getrennte per VPN verbundene Standorte die in einen anderen größeren, den mit dem /16 Netz integriert werden. Also, aus 3 Netzen/Standorten wird eines.
(Siehe meinen ersten Kommentar)
[/Update]
Jetzt mache ich mir Gedanken, ob die alle noch in das /16er Netz sollen, oder ein bzw. mehrere VLANs bekommen.
Ich weiß ja auch das ich mit den VLANs meine Broadcastdomäne verkleinere bzw. weniger Broadcasts im Subnetz habe.
Aber dazu müsste ich routen und das macht doch den Verkehr wieder langsamer, oder?
(Der Router wäre ein Juniper EX4200 Switch)
Unser Systemhaus meinte, es wäre kein Problem da es ja ein Gigabit Netzwerk ist.
Andere Quellen/Seiten, auch von hier, nennen immer mal wieder so 150-200 Geräte im Subnetz für gut. Wieder andere reden von über 1000 Geräten.
Messungen (sFlow) auf verschiedenen Ports des Switches, vor allem dort wo die anderen Switche und die virtuellen Server dranhängen, zeigen mir im Moment einen Broadcast Verkehr unter 1%. Auch die Statistik auf den Switchen zeigen unter 1%.
Damit scheint es damit ja kein Problem zu geben.
Hier mal meine Pro/Contras für neue VLANs:
Pro:
- weniger Geräte pro Subnetz (weniger Broadcast)
- schnelleres Netzwerk (wirklich bei unter 1% Broadcast?)
- verbesserte Sicherheit
Kontra:
- höherer Verwaltungs-/Administrationsaufwand
- schwierigere Neueinrichtung durch Helpdeskkollegen (jetzt reicht einfach Switch tauschen)
- langsamer wegen mehr Routing?
Für die Sicherheit, würde ich die Server eher hinter die Firewall setzen. Das wäre aber, wegen dem Aufwand, eher etwas für später.
Ich möchte einfach mal fragen wie ihr das handhaben würdet, was sind eure Erfahrungen?
Vielen Dank im Voraus!
VG
Deepsys
ich habe gerade ein Netzwerkproblem mit verschiedenen Meinungen.
Also, wir haben jetzt einen Standort mit einem /16 Netzwerk und guten 300 Netzwerkgeräten; vor allem die Clients, Server und Drucker sind in diesem Netz. Das Netz ist mit Juniper Switchen aufgebaut und läuft komplett auf Gigabit mit ein paar LACPs zwischen den Switchen. VLANs gibt es auch eine Handvoll für Management und so. Aber auf der Clientseite ist alles ein Subnetz.
Eigentlich haben wir damit keine Probleme.
Jetzt sollen zwei weitere Standort mit hinzukommen, das wären dann ca. 60-80 zusätzliche Geräte.
[Update]
Leider hatte ich das nicht verständlich geschrieben.
Die beiden Standorte sind jetzt getrennte per VPN verbundene Standorte die in einen anderen größeren, den mit dem /16 Netz integriert werden. Also, aus 3 Netzen/Standorten wird eines.
(Siehe meinen ersten Kommentar)
[/Update]
Jetzt mache ich mir Gedanken, ob die alle noch in das /16er Netz sollen, oder ein bzw. mehrere VLANs bekommen.
Ich weiß ja auch das ich mit den VLANs meine Broadcastdomäne verkleinere bzw. weniger Broadcasts im Subnetz habe.
Aber dazu müsste ich routen und das macht doch den Verkehr wieder langsamer, oder?
(Der Router wäre ein Juniper EX4200 Switch)
Unser Systemhaus meinte, es wäre kein Problem da es ja ein Gigabit Netzwerk ist.
Andere Quellen/Seiten, auch von hier, nennen immer mal wieder so 150-200 Geräte im Subnetz für gut. Wieder andere reden von über 1000 Geräten.
Messungen (sFlow) auf verschiedenen Ports des Switches, vor allem dort wo die anderen Switche und die virtuellen Server dranhängen, zeigen mir im Moment einen Broadcast Verkehr unter 1%. Auch die Statistik auf den Switchen zeigen unter 1%.
Damit scheint es damit ja kein Problem zu geben.
Hier mal meine Pro/Contras für neue VLANs:
Pro:
- weniger Geräte pro Subnetz (weniger Broadcast)
- schnelleres Netzwerk (wirklich bei unter 1% Broadcast?)
- verbesserte Sicherheit
Kontra:
- höherer Verwaltungs-/Administrationsaufwand
- schwierigere Neueinrichtung durch Helpdeskkollegen (jetzt reicht einfach Switch tauschen)
- langsamer wegen mehr Routing?
Für die Sicherheit, würde ich die Server eher hinter die Firewall setzen. Das wäre aber, wegen dem Aufwand, eher etwas für später.
Ich möchte einfach mal fragen wie ihr das handhaben würdet, was sind eure Erfahrungen?
Vielen Dank im Voraus!
VG
Deepsys
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197363
Url: https://administrator.de/contentid/197363
Printed on: April 20, 2024 at 03:04 o'clock
4 Comments
Latest comment
Hallo,
dann will ich mich mal dazu äußern. Ich hoffe es klingt nicht böse.
1. Ein /16 ist für Dein Netzwerk mit 300 Geräte VIEL zu verschwenderisch, da reicht schon ein /23 Netz. Denn /16 kann 65534 Geräte aufnehmen, wenn Du bei der Anzahl bist, dann musst Du dir eh Sorgen um andere Dinge machten. Ein /23 Netz kann 510 Geräte aufnehmen. Zum anderen wird da, wie Du schon schreibtst, Broadcastdomände drastisch verkleinert.
1.1. Die Anbindung der Clients ist mit Gigabit gesetzt, wie ich das herauslese.
1.2. Die Verwendung von LACP Channel macht in diesem Fall nur sinn zwischen den Switchten und ggf. zu vereinzelten Servern (wenn diese es Unterstützen) sinn.
2. Bei der Anbindung den beiden weiteren Standorten stellt sich nicht einmal die Frage, sie diese im gleichen Gebäude, auf dem gleichen Gelände, der gleichen Stadt oder ganz wo anders. Diese sollten auf jeden Fall via Layer 3 (Routing) angebunden werden.
2.1. Die Aussage von euerem Systemhaus ist ja ganz nett, aber in diesem Fall nicht wirklich nützlich. Du mußt folgende zwei Punkte dir vor Augen führen: 1. Ein Layer 3 Switch kann auch Routen mit der Geschwindigkeit eines Switches, kann dafür aber z.B. kein VPN. 2. Ein Router kann nicht in der Geschwindigkeit eines Switches Router aber dafür VPN Tunnel zu Deinen Standorten aufbauen.
2.2. Die Frage ist nun ersteinmal wie sieht die Verbindung zu Deinen Standorten aus? Darkfiber, Internet, MPLS? Bei Darkfiber reicht ein Layer 3 Switch für Routing, bei den anderen beiden Lösungen ist ein Router zwingend erforderlicht. Bei der Internetlösung kommt VPN dazu.
3. Jetzt hast Du eine saubere Layer 3 Trennung Deiner Standorte und eine Konzentration der Broadcastdomains pro Standort. Die Netzwerkgrößen Pro Standort kannst Du dann ja frei wählen.
Was Dir evtl. noch helfen könnte wäre das Cisco Systems Campus design.
http://www.cisco.com/en/US/netsol/ns340/ns394/ns431/networking_solution ...
Ich hoffe ich konnte Dir etwas helfen.
dann will ich mich mal dazu äußern. Ich hoffe es klingt nicht böse.
1. Ein /16 ist für Dein Netzwerk mit 300 Geräte VIEL zu verschwenderisch, da reicht schon ein /23 Netz. Denn /16 kann 65534 Geräte aufnehmen, wenn Du bei der Anzahl bist, dann musst Du dir eh Sorgen um andere Dinge machten. Ein /23 Netz kann 510 Geräte aufnehmen. Zum anderen wird da, wie Du schon schreibtst, Broadcastdomände drastisch verkleinert.
1.1. Die Anbindung der Clients ist mit Gigabit gesetzt, wie ich das herauslese.
1.2. Die Verwendung von LACP Channel macht in diesem Fall nur sinn zwischen den Switchten und ggf. zu vereinzelten Servern (wenn diese es Unterstützen) sinn.
2. Bei der Anbindung den beiden weiteren Standorten stellt sich nicht einmal die Frage, sie diese im gleichen Gebäude, auf dem gleichen Gelände, der gleichen Stadt oder ganz wo anders. Diese sollten auf jeden Fall via Layer 3 (Routing) angebunden werden.
2.1. Die Aussage von euerem Systemhaus ist ja ganz nett, aber in diesem Fall nicht wirklich nützlich. Du mußt folgende zwei Punkte dir vor Augen führen: 1. Ein Layer 3 Switch kann auch Routen mit der Geschwindigkeit eines Switches, kann dafür aber z.B. kein VPN. 2. Ein Router kann nicht in der Geschwindigkeit eines Switches Router aber dafür VPN Tunnel zu Deinen Standorten aufbauen.
2.2. Die Frage ist nun ersteinmal wie sieht die Verbindung zu Deinen Standorten aus? Darkfiber, Internet, MPLS? Bei Darkfiber reicht ein Layer 3 Switch für Routing, bei den anderen beiden Lösungen ist ein Router zwingend erforderlicht. Bei der Internetlösung kommt VPN dazu.
3. Jetzt hast Du eine saubere Layer 3 Trennung Deiner Standorte und eine Konzentration der Broadcastdomains pro Standort. Die Netzwerkgrößen Pro Standort kannst Du dann ja frei wählen.
Was Dir evtl. noch helfen könnte wäre das Cisco Systems Campus design.
http://www.cisco.com/en/US/netsol/ns340/ns394/ns431/networking_solution ...
Ich hoffe ich konnte Dir etwas helfen.
Hallo mayjalin,
Nö, finde ich nicht.
Die beiden Standorte sind jetzt getrennte per VPN verbundene Standorte die in einen anderen größeren, den mit dem /16 Netz integriert werden. Also, aus 3 Netzen/Standorten wird eines.
Sorry, mein Fehler!
Dadurch passt der Rest leider auch nicht ....
Also, mir geht es um die Frage, soll ich für die dann 280 Geräte eigene Subnetz nehmen, oder alle in das bestehende /16 Netz.
VG
Deepsys
Nö, finde ich nicht.
1. Ein /16 ist für Dein Netzwerk mit 300 Geräte VIEL zu verschwenderisch, da reicht schon ein /23 Netz.
Dann stimmt schon, aber da waren noch die alten Klassen bei den Kollegen im Kopf ...1.2. Die Verwendung von LACP Channel macht in diesem Fall nur sinn zwischen den Switchten und ggf. zu vereinzelten Servern (wenn
diese es Unterstützen) sinn.
Korrekt, genauso mache ich es ja auch.diese es Unterstützen) sinn.
2. Bei der Anbindung den beiden weiteren Standorten stellt sich nicht einmal die Frage, sie diese im gleichen Gebäude, auf
dem gleichen Gelände, der gleichen Stadt oder ganz wo anders. Diese sollten auf jeden Fall via Layer 3 (Routing) angebunden
werden.
ARGH, das habe ich missverständlich geschrieben!dem gleichen Gelände, der gleichen Stadt oder ganz wo anders. Diese sollten auf jeden Fall via Layer 3 (Routing) angebunden
werden.
Die beiden Standorte sind jetzt getrennte per VPN verbundene Standorte die in einen anderen größeren, den mit dem /16 Netz integriert werden. Also, aus 3 Netzen/Standorten wird eines.
Sorry, mein Fehler!
Dadurch passt der Rest leider auch nicht ....
Also, mir geht es um die Frage, soll ich für die dann 280 Geräte eigene Subnetz nehmen, oder alle in das bestehende /16 Netz.
VG
Deepsys
Hallo,
ein guter Weg sind zum Beispiel local VLAN's, d. H. pro Access Switch ein VLAN für Clients, die dann über den nachgelagerten Distribution Layer zusammengeroutet werden. Das ist eine Art der sauberen Trennung.
alternativ kann man das auch pro Stockwerk machen.
Also wie Du wohl gemerkt hast, sollst Du auf jeden Fall ein eigenes VLAN nehmen.
- Saubere Trennung der Netze
- Reduzierung der Broadcast Domains
- einfach Fehlersuche
- skalierbarkeit
- ....
Gruß
ein guter Weg sind zum Beispiel local VLAN's, d. H. pro Access Switch ein VLAN für Clients, die dann über den nachgelagerten Distribution Layer zusammengeroutet werden. Das ist eine Art der sauberen Trennung.
alternativ kann man das auch pro Stockwerk machen.
Also wie Du wohl gemerkt hast, sollst Du auf jeden Fall ein eigenes VLAN nehmen.
- Saubere Trennung der Netze
- Reduzierung der Broadcast Domains
- einfach Fehlersuche
- skalierbarkeit
- ....
Gruß
Der Break Even ist ungefähr so bei 150 Endgeräten pro Broadcast Domain, wobei die Grenzen da je nach Anwendung fliessend sind !
Du tust also gut dadran wenn du die 3 Netze zusammenlegst diese auch wieder getrennt zusammenzulegen über VLANs und einen Layer 3 Switch oder externen Router. Zudem ist so eine Migration erheblich einfacher da so die Netze erstmal bleiben wie sie sind. Schafft dir zusätzlich also einen Vorteil.
Niemals aber 300 Geräte in eine Broadcast Domain.
Wenn du das beherzigts wird deine Migration problemlos laufen.
Der Rest zu dem Thema steht oben ja schon...
Du tust also gut dadran wenn du die 3 Netze zusammenlegst diese auch wieder getrennt zusammenzulegen über VLANs und einen Layer 3 Switch oder externen Router. Zudem ist so eine Migration erheblich einfacher da so die Netze erstmal bleiben wie sie sind. Schafft dir zusätzlich also einen Vorteil.
Niemals aber 300 Geräte in eine Broadcast Domain.
Wenn du das beherzigts wird deine Migration problemlos laufen.
Der Rest zu dem Thema steht oben ja schon...
