3
Core und Access Switche - wie, wo, was konfigurieren?
Moin Leute,
nachdem ich nun weiter gekommen bin mit meinem Netzwerkdesign und Aufbau, stellen sich einige Konfigurationsfragen.
Damit ihr im Bild seid, hier eine Beschreibung.
Kern des Netzwerkes bilden vier Netgear M4300-12X12F Switche. Zwei sind in einem Gebäude (SW1 & SW2) und die anderen zwei (SW3 & SW4) in einem anderen. Die vier Switche sind gestacked.
An diese vier Core-Switche sind 10 Layer-2 Access Switche via Kupfer und Glas angeschlossen. Alle Ports der Core-Switche bis auf die Stack-Ports sind tagged mit allen VLANs. DHCP Relay ist testweise eingerichtet und funktioniert auch. Eine Firewall ist vorhanden, dient aber nicht der Regelung des Traffics zwischen den VLANs. Diese ist nur für das WAN und Wifi zuständig.
Soweit ich das einschätzen kann, benötige ich in diesem gestackten Zustand kein VRRP, da die vier Switche als eine logische Einheit funktionieren und somit nur ein GW pro VLAN vorhanden ist. Sehe ich das richtig? Dann die Frage nach dem GW, den ich für jedes VLAN via DHCP vergebe. Kann ich den logischen Core als GW nehmen auch wenn alle Clients, APs und andere Endgeräte an die Access-Switche angeschlossen sind?
Das nächste Thema ist ACL. Ich möchte einige VLANs, wie z.B. das Management VLAN und Gebäudesteuerung VLAN, von den anderen trennen. An welcher Stelle ist es sinnvoll die ACLs zu erstellen? Direkt auf den Access-Switchen, damit die Pakete schon da verworfen werden oder auf dem Core-Stack oder überall? Wenn auf dem Core-Stack, wäre dann nicht eine Gefahr vorhanden, dass z.B. auf einem Access-Switch ein Client ein Gerät im anderen VLAN erreichen kann, dass an dem gleichen Switch angeschlossen ist?
Ich hoffe auf aufschlußreiche Antworten
nachdem ich nun weiter gekommen bin mit meinem Netzwerkdesign und Aufbau, stellen sich einige Konfigurationsfragen.
Damit ihr im Bild seid, hier eine Beschreibung.
Kern des Netzwerkes bilden vier Netgear M4300-12X12F Switche. Zwei sind in einem Gebäude (SW1 & SW2) und die anderen zwei (SW3 & SW4) in einem anderen. Die vier Switche sind gestacked.
An diese vier Core-Switche sind 10 Layer-2 Access Switche via Kupfer und Glas angeschlossen. Alle Ports der Core-Switche bis auf die Stack-Ports sind tagged mit allen VLANs. DHCP Relay ist testweise eingerichtet und funktioniert auch. Eine Firewall ist vorhanden, dient aber nicht der Regelung des Traffics zwischen den VLANs. Diese ist nur für das WAN und Wifi zuständig.
Soweit ich das einschätzen kann, benötige ich in diesem gestackten Zustand kein VRRP, da die vier Switche als eine logische Einheit funktionieren und somit nur ein GW pro VLAN vorhanden ist. Sehe ich das richtig? Dann die Frage nach dem GW, den ich für jedes VLAN via DHCP vergebe. Kann ich den logischen Core als GW nehmen auch wenn alle Clients, APs und andere Endgeräte an die Access-Switche angeschlossen sind?
Das nächste Thema ist ACL. Ich möchte einige VLANs, wie z.B. das Management VLAN und Gebäudesteuerung VLAN, von den anderen trennen. An welcher Stelle ist es sinnvoll die ACLs zu erstellen? Direkt auf den Access-Switchen, damit die Pakete schon da verworfen werden oder auf dem Core-Stack oder überall? Wenn auf dem Core-Stack, wäre dann nicht eine Gefahr vorhanden, dass z.B. auf einem Access-Switch ein Client ein Gerät im anderen VLAN erreichen kann, dass an dem gleichen Switch angeschlossen ist?
Ich hoffe auf aufschlußreiche Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1435971068
Url: https://administrator.de/contentid/1435971068
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
3 Kommentare
Neuester Kommentar
benötige ich in diesem gestackten Zustand kein VRRP
Das ist richtig und siehst du auch genau richtig !Der gesamte Stack shared ja die Layer 3 VLAN IP Interfaces per se. VRRP oder andere HA Redundanz Mechanismen sind nur dann erforderlich wenn man standalone Core Switches hat.
In einem Stack entfällt das logischerweise da sich ein Stack immer virtuell als ein Gerät darstellt.
Allerdings liegt hier der Teufel manchmal im Detail...
Viele Billigheimer bezeichnen auch ein billiges Clustering zum Management als "Stack" was es per se aber nicht ist. Da muss man also sehr genau aufpassen !!
Das o.a. Gesagte gilt rein nur für einen Full Stack wo alle Stack Member auch zu einer virtuellen L2 Stack Unit verschmelzen !
Kann ich den logischen Core als GW nehmen
Das musst du sogar !Du hast ja gar kein anderes Gateway in deinen VLANs, denn die Access Switches arbeiten in der Regel rein nur im Layer 2 Mode ! Du betreibst ja ein klassisches_L3_Konzept.
Folglich hast du ja gar keine Auswahl was deine Gateway IP anbetrifft. Oder du hast hier dein eigenes Konzept nicht verstanden !
An welcher Stelle ist es sinnvoll die ACLs zu erstellen?
Die erstellt man immer inbound an den Layer 3 IP Adressen des Core. Der Core ist ja der zentrale Router zwischen den VLAN IP Netzen und der hält logischerweise immer die ACLs, weil du ja zu 99% nach IP Adressen und/oder IP Netzen filterst und das geht ja Prinzip bedingt nur auf einem Router und nicht auf einem L2 Switch der nix von IP Adressen weiss und rein nur L2 Mac Adressen kennt ! Solche einfachen Basics weiss man aber als Netzwerk Admin ! 
auf einem Access-Switch ein Client ein Gerät im anderen VLAN erreichen kann
Wie soll das denn technisch gehen ohne einen Router ?? VLAN ist eine reine L2 Funktion und sind physisch völlig getrennte Netze und eine Kommunikation untereinander nicht möglich ohne Router. Diese Frage ist also irgendwie etwas sinnfrei...weisst du vermutlich auch selber ?!
Erstmal Danke für die nützlichen Antworten.
Ja du hast Recht, ist aber schon verdammt laaaange her wo ich das letzte Mal was tiefergehendes mit VLAN und L3-Routing zu tun hatte. Die letzten 16 Jahre war es mehr Serveradministration und Firewall. Seit meinem Jobwechsel vor 3 Monaten bin ich für quasi alles zuständig. Vorher gab es einen Kollegen, der Netzwerk alleine gemacht hat.
Zudem muss ich mich noch etwas zurecht finden, da ich vorher mit HP/Aruba und Cisco zu tun hatte und nun TP-Link und Netgear. Zum Glück gibt es CLI und die Commands sind nicht so sehr unterschiedlich.
Solche einfachen Basics weiss man aber als Netzwerk Admin !
Diese Frage ist also irgendwie etwas sinnfrei...weisst du vermutlich auch selber ?!
Diese Frage ist also irgendwie etwas sinnfrei...weisst du vermutlich auch selber ?!
Ja du hast Recht, ist aber schon verdammt laaaange her wo ich das letzte Mal was tiefergehendes mit VLAN und L3-Routing zu tun hatte. Die letzten 16 Jahre war es mehr Serveradministration und Firewall. Seit meinem Jobwechsel vor 3 Monaten bin ich für quasi alles zuständig. Vorher gab es einen Kollegen, der Netzwerk alleine gemacht hat.
Zudem muss ich mich noch etwas zurecht finden, da ich vorher mit HP/Aruba und Cisco zu tun hatte und nun TP-Link und Netgear. Zum Glück gibt es CLI und die Commands sind nicht so sehr unterschiedlich.
da ich vorher mit HP/Aruba und Cisco zu tun hatte und nun TP-Link und Netgear.
Oha...du Armer. Vom richtigen Netzwerker zum Billigheimer. Das ist aber ein mehr als harter sozialer Abstieg für einen Netzwerk Admin ! 😒 Da bist du dann nicht zu beneiden....
