Core und Access Switche - wie, wo, was konfigurieren?

Moin Leute,

nachdem ich nun weiter gekommen bin mit meinem Netzwerkdesign und Aufbau, stellen sich einige Konfigurationsfragen.
Damit ihr im Bild seid, hier eine Beschreibung.

Kern des Netzwerkes bilden vier Netgear M4300-12X12F Switche. Zwei sind in einem Gebäude (SW1 & SW2) und die anderen zwei (SW3 & SW4) in einem anderen. Die vier Switche sind gestacked.

An diese vier Core-Switche sind 10 Layer-2 Access Switche via Kupfer und Glas angeschlossen. Alle Ports der Core-Switche bis auf die Stack-Ports sind tagged mit allen VLANs. DHCP Relay ist testweise eingerichtet und funktioniert auch. Eine Firewall ist vorhanden, dient aber nicht der Regelung des Traffics zwischen den VLANs. Diese ist nur für das WAN und Wifi zuständig.

Soweit ich das einschätzen kann, benötige ich in diesem gestackten Zustand kein VRRP, da die vier Switche als eine logische Einheit funktionieren und somit nur ein GW pro VLAN vorhanden ist. Sehe ich das richtig? Dann die Frage nach dem GW, den ich für jedes VLAN via DHCP vergebe. Kann ich den logischen Core als GW nehmen auch wenn alle Clients, APs und andere Endgeräte an die Access-Switche angeschlossen sind?

Das nächste Thema ist ACL. Ich möchte einige VLANs, wie z.B. das Management VLAN und Gebäudesteuerung VLAN, von den anderen trennen. An welcher Stelle ist es sinnvoll die ACLs zu erstellen? Direkt auf den Access-Switchen, damit die Pakete schon da verworfen werden oder auf dem Core-Stack oder überall? Wenn auf dem Core-Stack, wäre dann nicht eine Gefahr vorhanden, dass z.B. auf einem Access-Switch ein Client ein Gerät im anderen VLAN erreichen kann, dass an dem gleichen Switch angeschlossen ist?

Ich hoffe auf aufschlußreiche Antworten :-) face-smile

Content-Key: 1435971068

Url: https://administrator.de/contentid/1435971068

Ausgedruckt am: 01.12.2021 um 18:12 Uhr

Mitglied: aqui
Lösung aqui 27.10.2021 aktualisiert um 12:13:01 Uhr
Goto Top
benötige ich in diesem gestackten Zustand kein VRRP
Das ist richtig und siehst du auch genau richtig !
Der gesamte Stack shared ja die Layer 3 VLAN IP Interfaces per se. VRRP oder andere HA Redundanz Mechanismen sind nur dann erforderlich wenn man standalone Core Switches hat.
In einem Stack entfällt das logischerweise da sich ein Stack immer virtuell als ein Gerät darstellt.
Allerdings liegt hier der Teufel manchmal im Detail...
Viele Billigheimer bezeichnen auch ein billiges Clustering zum Management als "Stack" was es per se aber nicht ist. Da muss man also sehr genau aufpassen !!
Das o.a. Gesagte gilt rein nur für einen Full Stack wo alle Stack Member auch zu einer virtuellen L2 Stack Unit verschmelzen !
Kann ich den logischen Core als GW nehmen
Das musst du sogar !
Du hast ja gar kein anderes Gateway in deinen VLANs, denn die Access Switches arbeiten in der Regel rein nur im Layer 2 Mode ! Du betreibst ja ein klassisches_L3_Konzept.
Folglich hast du ja gar keine Auswahl was deine Gateway IP anbetrifft. Oder du hast hier dein eigenes Konzept nicht verstanden !
An welcher Stelle ist es sinnvoll die ACLs zu erstellen?
Die erstellt man immer inbound an den Layer 3 IP Adressen des Core. Der Core ist ja der zentrale Router zwischen den VLAN IP Netzen und der hält logischerweise immer die ACLs, weil du ja zu 99% nach IP Adressen und/oder IP Netzen filterst und das geht ja Prinzip bedingt nur auf einem Router und nicht auf einem L2 Switch der nix von IP Adressen weiss und rein nur L2 Mac Adressen kennt ! Solche einfachen Basics weiss man aber als Netzwerk Admin ! ;-) face-wink
auf einem Access-Switch ein Client ein Gerät im anderen VLAN erreichen kann
Wie soll das denn technisch gehen ohne einen Router ?? VLAN ist eine reine L2 Funktion und sind physisch völlig getrennte Netze und eine Kommunikation untereinander nicht möglich ohne Router. Diese Frage ist also irgendwie etwas sinnfrei...weisst du vermutlich auch selber ?!
Mitglied: DerMaddin
DerMaddin 27.10.2021 um 14:03:46 Uhr
Goto Top
Erstmal Danke für die nützlichen Antworten.

Solche einfachen Basics weiss man aber als Netzwerk Admin !
Diese Frage ist also irgendwie etwas sinnfrei...weisst du vermutlich auch selber ?!

Ja du hast Recht, ist aber schon verdammt laaaange her wo ich das letzte Mal was tiefergehendes mit VLAN und L3-Routing zu tun hatte. Die letzten 16 Jahre war es mehr Serveradministration und Firewall. Seit meinem Jobwechsel vor 3 Monaten bin ich für quasi alles zuständig. Vorher gab es einen Kollegen, der Netzwerk alleine gemacht hat.

Zudem muss ich mich noch etwas zurecht finden, da ich vorher mit HP/Aruba und Cisco zu tun hatte und nun TP-Link und Netgear. Zum Glück gibt es CLI und die Commands sind nicht so sehr unterschiedlich.
Mitglied: aqui
aqui 27.10.2021 aktualisiert um 14:13:13 Uhr
Goto Top
da ich vorher mit HP/Aruba und Cisco zu tun hatte und nun TP-Link und Netgear.
Oha...du Armer. Vom richtigen Netzwerker zum Billigheimer. Das ist aber ein mehr als harter sozialer Abstieg für einen Netzwerk Admin ! 😒 Da bist du dann nicht zu beneiden....
Heiß diskutierte Beiträge
info
Windows Defender Fehlalarm Emotet.SBDerWoWussteVor 11 StundenInformationViren und Trojaner

Moin. Es sieht so aus, als wäre gestern Abend ein False Positive über den Defender erkannt worden. Seit AV Version 1.353.1888.0 ist wieder Ruhe. Beispielmeldung: ...

question
Videokonferenzhardware für kleinen Besprechungsraum mit LANcoltseaversVor 1 TagFrageMultimedia & Zubehör20 Kommentare

Hallo zusammen, ich suche für einen kleinen Konferenzraum (ca 3x3m) eine Videokonferenzlösung. Vorhanden ist ein TV-Gerät an der Wand, darunter ein Sideboard. Mit etwas Abstand ...

question
Netzwerkanmeldung auf ServermartenkVor 1 TagFrageWindows 1110 Kommentare

Hallo Gemeinschaft, habe einen Windows 11 Rechner, mit dem ich über VPN Scresoft ein Laufwerk von einem Server mappen möchte mit einem Windows 10 Rechner ...

question
Vollbackup von NAS auf wechselnde FestplatteninstallerVor 1 TagFrageBackup9 Kommentare

Hallo, ich suche nach einem Weg um ein Vollbackup einer NAS (QNAP oder Synology) auf wechselnde Festplatten zu machen. Es geht darum das die externe ...

general
David Kriesel: Traue keinem Scan, den du nicht selbst gefälscht hast - Immer noch aktuellStefanKittelVor 19 StundenAllgemeinSicherheitsgrundlagen4 Kommentare

Hallo, dies ist keine Frage. Nur ein einfacher Beitrag. Ich habe vor ein paar Jahren dieses Video von einem Vortrag von David Kriesel gesehen. Darin ...

question
Keine Verbindung vom Switch zum SIP-PhonebubblegunVor 22 StundenFrageNetzwerke12 Kommentare

Es ist mir wirklich ein Rätsel und ich weiß nicht wo ich anfangen soll! Das Problem: An meinem POE-Switch hängen einige Geräte die einwandfrei funktionieren. ...

question
Datenübernahme von iPad 9 auf iPad 11 prohanheikVor 1 TagFrageiOS11 Kommentare

Hallo, ein Bekannter kam mit der folgenden Problemstellung an und meint, er hat ein iPad 11pro gekauft, kann aber jetzt leider nicht Daten vom Alten ...

general
Empfehlungen 15"Notebook-Tasche für TechnikeranteNopeVor 1 TagAllgemeinOff Topic3 Kommentare

Moin zusammen, ich bin auf der Suche nach einer neuen Notebooktasche für mich. Die letzten Jahre war ich mit einer DELL Reisetasche unterwegs; die ihren ...