Feb 10, 2023

4796

Coreswitch Empfehlung

Servus, was kann man heutzutage an CoreSwitch nehmen wenn folgendes erfüllt sein soll:

- min. 16x SFP+ besser 24x SFP+
- Port & Protokoll-basiertes Routing wie bei einer Sophos oder Securepoint, wo man also Netzwerkobjekte anlegen kann um zu sagen - der eine PC im VLAN 5 darf auf den einen PC im VLAN3 zugreifen aber ausschließlich z.B. über den TCP Port 1200 (also wie eben bei nem klassischen Router) oder eben eine Gruppierung aus mehreren Netzwerkobjekten
- Redundantes Netzteil
- sollte über das Webinterface bedienbar sein, oder über ein anderes GUI...SSH mag ich nicht

- IDS/IPS sollte er ebenfalls können ohne dabei auf ein Bruchteil seines Datendurchsatzes einzubrechen
- Muss nicht Stackable sein

was kann man da nehmen?

Please also mark the comments that contributed to the solution of the article

Content-Key: 5930229862

Url: https://administrator.de/contentid/5930229862

Printed on: April 27, 2024 at 07:04 o'clock

54 Comments

Latest comment

üblicherweise das systemhaus um die Ecke anrufen - denn gewöhnlich versucht man ja bei einem Hersteller zu bleiben. Wenn du also bereits alles Cisco hast dann wirds wohl aus der Palette was werden... hast du forti's - dann da... hast du Ubiquiti dann da...

Moin.

Auch mal bei FS.com vorbeischauen, falls du freie Wahl haben solltest.

Allerdings bezweifle ich, dass du IDS/IPS in einem Switch finden wirst. Vor allem ohne massive Performance-Einbrüche.

Das gehört auch definitiv auf ein separates Gerät, gerade bei einer Umgebung einer gewissen Größe.

Wie viele Netzwerkgeräte, wie viele Netzwerksegmente sind denn vorhanden?

Wenn es bei den maximal 24 bleibt, dann würde ich da eine Firewall mit IDS/IPS Unterstützung davorschalten und einen Mirrorport auf dem Switch dort entsprechend anflanschen und das Gerät die Arbeit machen lassen.

Gruß
Marc

Das was du beschreibst ist kein Coreswitch.

Coreswitches haben ihren Preis wegen Bandbreite, Forward und Latenz.

Ohne dein Budget zu kennen ist die Beantwortung der Frage sinnfrei. Es ist ja für eine Empfehlung wichtig zu wissen ob du nur rein preisorientiert kaufen willst im Billigheimer Segment mit überbuchten Backplanes oder ob du technisch orientiert kaufen willst. IDS/IPS Funktionen hast du so oder so nur im Premium Bereich da ist bei FS schon Schluss.
L4 Access Listen können so gut wie alle besseren Switches.
Wie oben schon gesagt beschreibst du keinen reinen Core- oder Datacenter Switch sondern eher eine Firewall mit vielen Ports.
Wenn du dann eher im Low Budget Bereich denkst dann wäre z.B. ein Mikrotik CRS326 was so in dein Raster passt. Klicki Bunti GUI, eine SPI Firewall, red. Netzteil und rudimentäre IPS Funktionen.

Seit ein paar Wochen den FS S5860-20SQ im Einsatz, gekoppelt mit unterschiedlichen Access Switchen (HPE, Cisco, FS,... ) und bin positiv überrascht. Hatte davor was von HPE gesucht, bei den Preisen fielen mir die Augen raus.

Der FS S5860-20SQ mit seinen 1600€, hatte nichts vergleichbares gefunden.
S5860-20SQ - 24-Port Ethernet L3 Switch, 20x 10Gb SFP+, 4x 25Gb SFP28, 2x 40Gb QSFP+, Stackable
https://www.fs.com/de/products/108710.html?currency=EUR&languages=De ...

ca 250 geräte, ca. 20 vlans. Alles an einem Standort, Sternnetzförmig aufgebaut (historisch so gewachsen, damit kaum RSTP ausfallstrecken möglich)

preislich - selbst wenns 8k € kostet - sollange das was gutes ist was funktioniert ist es ok.
Ja, ein richtiger Coreswitch wirds das sicherlich nicht sein, dachte ich mir schon, aber vieleicht gibts da ja doch mittlerweile was...

Und der FS hat dann auch eine komplette SPI Firewall sowie IPS/IDT an Bord wie es der TO als Anforderung vorgibt??
Preislich ist der CRS326 der all das mitbringt auch noch deutlich besser mit nur einem Drittel des FS Budgets. Sofern der TO denn preisorientiert einkauft... Zudem hat er 2mal 40Gig QSFP und ein Full L3 Image an Bord.
Wenn das Budget keine Rolle spielt nimmst du 2 mal Cisco 9500 im Stackwise Stack oder 2 mal Ruckus ICX 7550 oder 7650 im Fullstack. (Redundanz).
Auch die Mikrotiks solltest du im Core immer redundant betreiben! Sie sind für den Preis zwar nicht Stacking fähig supporten aber MLAG und VRRP was dir dann ein vollredundantes Design ermöglicht.

Moin,

mein Tipp ist dir zwei Switche mit MLagg zu holen und nicht auf Stacking zu setzen.
Ein einzelner Switch als Core macht für mich keinen Sinn mehr.
Das wird bei uns dem nächst einer der Hauptentscheidungspunkte werden wenn es um neue Switche geht. Das ganze ist nicht zwangsweise an einen Hersteller gekoppelt.

Spontan fallen mir da Geräte wie Cisco Nexus ein. Keine Ahnung was da gerade der Nachfolger ist.

Gruß
Spirit

Preislich ist der CRS326 der all das mitbringt auch noch deutlich besser mit nur einem Drittel des FS Budgets.

Das mag ja stimmen. Aber sobald irgendeine Funktionalität über die CPU läuft bricht der doch komplett ein? Die CPU haben sie selbst aus dem 40 EUR HexLite schon rausgeschmissen.

Ist ein einfaches Gerät. Wenn es reicht, warum nicht.

Es ist fast immer so, dass unverhältnismäßig große Bandbreiten gekauft werden, weil selbst der Admin keine Ahnung hat.

Zitat von @2423392070:

Ist ein einfaches Gerät. Wenn es reicht, warum nicht.

Es ist fast immer so, dass unverhältnismäßig große Bandbreiten gekauft werden, weil selbst der Admin keine Ahnung hat.

Ich finde es bei dir faszinierend wie oft und wie schnell du darauf schließt das scheinbar alle ausser dir prinzipiell keine Ahnung haben.

Dem will ich nicht widersprechen, nur wenn oben SFP PLUS gefordert wird und ja gleichzeitig analysiert wird, dass das Profil eher

eine Firewall mit vielen Ports.

sei, kommt mir das komisch vor. Mein CRS (als Router eingesetzt) mit 880 Mhz läuft nach nem Jahr aktuell wieder mit SwitchOS, weil mir die MT-internen Abhängigkeit immer wieder mal auf die Füße fielen. Das mag natürlich auch an meinem Unvermögen liegen – nur der TE ist ja erstmal auch nen MT-Noob.

Zitat von @maretz:

Ich finde es bei dir faszinierend wie oft und wie schnell du darauf schließt das scheinbar alle ausser dir prinzipiell keine Ahnung haben.

Das Thema ist hinreichend untersucht. Und ja, es betrifft auch dich, weil auch deine Switches im Tagesmittel zum Großteil brach liegen.
Wirst du gefragt, was du brauchst, dann gibst du an 1, 2,5, 5, 10, 25, 40, 50 und 100 Gigabit, obwohl das alles selten nötig ist.

Und ja, von dem Thema habe ich Ahnung, weil ich mehr Switches sflowen sehe, wie du Haare aufm Kopf hast.

Zitat von @Visucius:

Dem will ich nicht widersprechen, nur wenn oben SFP PLUS gefordert wird und ja gleichzeitig analysiert wird, dass das Profil eher

eine Firewall mit vielen Ports.

Ich habe Mal behauptet, der RouterOS 7 zweig ist alles andere als toll und hat unzählige Probleme. Das stimmt wohl nicht. Referenz: Bei mir läuft's.

weil ich mehr Switches sflowen sehe, wie du Haare aufm Kopf hast.

Dem will ich nicht widersprechen (und das bei meiner Haarpracht!). Ebenso wird das Thema ISP-Bandbreite meist maßlos überschätzt. Die Frage ist nur ob wir das hier unterstellen sollten, wenn jemand so ne Anfrage stellt?!

Ich zitiere mal:

IDS/IPS (muss ich in RouterOS bisher übersehen haben)
sfp+ x 16 (das klingt für mich nach 10 Gbit)
Protokoll-Routing
Geld spielt wenig Rolle, Hauptsache flutscht

Referenz: Bei mir läuft's

Na, dann ist doch fluffig. Dann betreust Du den TE?

PS: Was läuft denn bei Dir? Ein CRS-Switch mit RouterOS als NAT/vLAN-Firewall, Wireguad s2s, vLANs, dot1x., dyn. Zuordnung, usw. an nem GBit-WAN? Und das flutscht? Oder „läuft“ nur, weil Du für Dich festgestellt hast, dass Traffic überbewertet wird? 😉

Ich sagte nicht dass es bei mir läuft, sondern die Argumentationstrategie Pro-Argument ist so aufgebaut.
Dass das Forum was anderes sagt und der Support Downgrades assistiert ist nicht aussagekräftig.

Ich persönlich sehe auch kein I-Irgendwas im Core. Ich definiere aber wohl einfach anders.

Ich persönlich habe auch kein MT im Einsatz, habe es aber außerhalb meiner beruflichen Funktion wiederholt verbaut, weil es angemessen ist.
Im Betrieb setzen wir es nicht ein und unsere Lieferanten haben hohen Aufwand in Teilanlagen MT mitbringen zu dürfen. Geht alle drei Jahre vielleicht ein Gerät durch.

Der Hinweis auf ein abweichendes Verständnis der Sache ist Pflicht. Sonst kommt es zum Beispiel dazu, dass noch enthaft geglaubt wird, dass fehlende Unterstützung für z. B. proprietäre Cisco Funktionen ein Fall von Inkompatibilität ist.

Ich sagte nicht dass es bei mir läuft, sondern die Argumentationstrategie Pro-Argument ist so aufgebaut.

Das ROS – grundsätzlich - funktioniert wurde von mir aber auch nicht angezweifelt.

Lese ich was von „Klicki Bunti GUI“ pruste ich zwar den Kaffee übern Tisch, aber das ist vielleicht auch Ansichtssache. Ich wuchs mit MacOS auf – das alphabetische sortieren von Einstellungen unter ein paar Oberbegriffe zählt dort nicht als „GUI“ 😉

wiederholt verbaut, weil es angemessen ist.

Dem will ich nicht widersprechen. Bei den CRS sollte man aber im Hinterkopf haben, dass die beeindruckenden Testergebnisse bei l1/2-Switching selbstverständlich unter SwitchOS gemessen werden. Die Testergebnisse von Routing/Bridging (RouterOS) fallen dagegen ziemlich ab – auch wenn sie für viele Setups durchaus genügen mögen. Ich bin da nur skeptisch im Hinblick auf den TE.

Denn am Ende - bei Rückfragen - liest er dann regelmäßig:
a) ein Switch ist kein Router
b) hätteste halt keinen Billigheimer gekauft

Alles eine Frage des Expectation Management 😉

Ich finde da einzig das Preis-Leistungsverhältnis beeindruckend. Man bekommt viel fürs Geld.

ROS hat mit dem 7er Zweig viel Qualität eingebüßt.

Im Access würde ich die sogar in Betracht ziehen, aber unser Einkauf holt MT nicht Mal an den Tisch. Da gibt's kaum Testate, Thema erledigt.

FS ist von uns auch gerade gefordert, z. B. eine Update-Garantie zu bringen. Gestaltet sich auch schwierig.

Der Nachteil Klicki Bunti ist die Ineffizienz. Automatisierung fällt runter, ist für viele aber nicht wichtig.

Mir fällt gerade echt kein Coreswitch mit KlickiBunti Oberfläche ein.

Kommt drauf an, was man drunter versteht.

Hier bei uns geht es um niedriglatenten Forward, auch wenn es richtig brummt. Auch L3 Forward.

Zitat von @2423392070:

Zitat von @maretz:

Ich finde es bei dir faszinierend wie oft und wie schnell du darauf schließt das scheinbar alle ausser dir prinzipiell keine Ahnung haben.

tja - nur leider scheints menschlich bei dir nich sonderlich weit her zu sein... denn auch da triffst du annahmen ohne überhaupt irgendwas zu wissen... für mich ist aber jede weitere diskussion mit dir auf deinem Level sinnlos, wenn du meinst du bist die einzige fähige instanz...

Zitat von @maretz:

Zitat von @2423392070:

Zitat von @maretz:

Ich finde es bei dir faszinierend wie oft und wie schnell du darauf schließt das scheinbar alle ausser dir prinzipiell keine Ahnung haben.

Ich sehe das mittlerweile genau so.

Moin @Assassin,

Servus, was kann man heutzutage an CoreSwitch nehmen wenn folgendes erfüllt sein soll:

- min. 16x SFP+ besser 24x SFP+
- Redundantes Netzteil
- sollte über das Webinterface bedienbar sein, oder über ein anderes GUI...SSH mag ich nicht

für diese Anforderung würde ich dir gerne das folgende empfehlen.

https://www.arubanetworks.com/de/products/switches/access/5400r-series/

- Port & Protokoll-basiertes Routing wie bei einer Sophos oder Securepoint, wo man also Netzwerkobjekte anlegen kann um zu sagen - der eine PC im VLAN 5 darf auf den einen PC im VLAN3 zugreifen aber ausschließlich z.B. über den TCP Port 1200 (also wie eben bei nem klassischen Router) oder eben eine Gruppierung aus mehreren Netzwerkobjekten
- IDS/IPS sollte er ebenfalls können ohne dabei auf ein Bruchteil seines Datendurchsatzes einzubrechen

Und was das angeht, vergiss bitte die Idee wieder ganz schnell, diese Aufgaben über einen Coreswitch abfackeln zu wollen, vor allem das Thema IDS/PS. Selbst wenn du >100K hinlegen könntest, wirst du nichts bekommen was deinen Wünschen entspricht.

Datenverkehr sicherheitstechnisch regeln und oder überwachen ist nicht die Aufgabe eines Switches sondern eines SGW's (Security-Gateways) oder einer NGFW (Next-Generation-FireWall).

Sprich, was deine anderen Wünsche angeht, vor allem das Thema IPS/IDS, musst du eher hier was wählen ...

https://www.sophos.com/en-us/products/next-gen-firewall/tech-specs#XGS1U

Beste Grüsse aus BaWü

Alex

Moin @nachgefragt:

Hatte davor was von HPE gesucht, bei den Preisen fielen mir die Augen raus.

HPE ist ja auch eher auf grössere Enterprises und Datacenter ausgerichtet und dieses Hardware kostet eben.
Bei HPE ohne E (Aruba Instant on) gibt es aber auch für die kleinen Enterprises, durchaus bezahlbare Hardware. 😉

https://www.arubainstanton.com/de/produkte/switches/1960-serie/
Der JL805A kostet z.B. so um die 1200,- Brutto.

Gruss Alex

1960er im Core? Sicher?
Gucke dir Mal die Tabelle an.

Moin @2423392070,

1960er im Core? Sicher?
Gucke dir Mal die Tabelle an.

schau mal genauer den Post von nachgefragt an, welchem mein Kommentar galt
und zweige mir in diesem bitte die Stelle, wo es dabei um einen Coreswitch ging, danke.

Der von @nachgefragt angesprochene "S5860-20SQ" ist laut dem Hersteller selbst ein "Kostengünstiger Switch mit 25G/40G-Uplinks für KMU" und die Serie die ich von Aruba gepostet habe, ist ebenfalls genau für dasselbe Zielsegment gedacht.

Beste Grüsse aus BaWü

Alex

Ja, aber der kostengünstige FS hat ein Vielfaches an Forward und ist vollständig mit SFP+ verstehen. Ein Copper-Core mit Aruba?

Moin @2423392070,

Ja, aber der kostengünstige FS hat ein Vielfaches an Forward

bei der doppelten Anzahl der Ports sollte er das auch hoffentlich haben.

und ist vollständig mit SFP+ verstehen. Ein Copper-Core mit Aruba?

na, ja von den SFP+ Ports hat der JL805A ja auch 4 Stück verbaut.

Ansonsten sage ich nur

X710-T2L (~350,-€) + 2 x gutes Patchkabel (40,-) = 390,-€ und fertig ist der 20G Uplink richtig Server. 😁

X710-DA2 (~350,-€) + 4 x 10G Transceiver + 2 x gute LWL Kabel = ~ 450,-€ - 500,-€ 😬

Und wenn du zwei JL805A stackst, dann hast du sogar sowas wie HA-Core für die Kleinen. 😉

Gruss Alex

Seit wann bringt ein Stack HA?

Moin @2423392070,

Seit wann bringt ein Stack HA?

OK, kleiner Tipp ...

TRUNK-Port-A --> Switch A
TRUNK-Port-B --> Switch B

😁

Wie gesagt, ist halt schmalbrüstige HA für schmalbrüstige Beutelgeld. 😉🤪

Gruss Alex

Ich meine seit wann ein single point of failure Konstrukt, dass mir das Stack bringt, eine erstrebenswerte Lösung ist, etwas mit HA zu erreichen, wenn es gar nichts dazu beiträgt?!

Außerdem beschreibst Du eher ein TOR-Design.

Ja, bei schmalen Geldbeutel kann man alles irgendwie konvergieren, aber nur mit schlechter Beratung baut man sich ein Stack in den Core um Server per Kupfer anzuschließen und dann Trunks über die Stackmember vom Server ausgehend anzuschließen.

Ein Stack ist nichts verwerfliches und würde ich in Unter Verteilungen auch einsetzen..
Ausfälle entstehen eigentlich nur durch Firmware Updates da bei fast allen Herstellern keine Garantie besteht, dass zumindest ein Member immer online ist während des Prozesses.

Daher auch die Empfehlung zu einem Gerät mit MLagg.

Kennst du ein Hersteller der beim Update das Stack auf Forward hält?

Spontan fällt mir kein Zweck für ein Stack ein (reimt sich sogar)
Keine Ahnung was daran toll sein soll.

@2423392070 du hast ohnehin eine abstruse Meinung zu an scheint sämtliche IT Themen.

Moin @2423392070,

Kennst du ein Hersteller der beim Update das Stack auf Forward hält?

nö, aber ich kenne bei dem Preis den der TO bezahlen kann auch keinen Core-Switch, dessen Switchfabric online bleibt, während man deren Firmware updatet. 😉

Keine Ahnung was daran toll sein soll.

Na ja, wahrscheinlich der Teil mit "Keine Ahnung".

Der Spruch mit Haare und Core-Switche greift bei mir übrigens nicht wirklich, weil Fuchs und Fell und so. 🤪

Gruss Alex

lass dem un... doch einfach seinen glauben das er die einzig wissende Instanz ist. Wenn er meint das nen Stack keinen Sinn macht - ok, soll ers halt glauben. Ich denke nicht das er auch nur ansatzweise ne Idee hat wo das alles durchaus Sinn macht und weshalb.

Ist halt schon merkwürrdig wenn einem im "normalen" Leben öfters sowas begegnet, war aber wahrscheinlich alles nur von Amateuren eingerichtet...

Zitat von @maretz:

lass dem un... doch einfach seinen glauben das er die einzig wissende Instanz ist. Wenn er meint das nen Stack keinen Sinn macht - ok, soll ers halt glauben. Ich denke nicht das er auch nur ansatzweise ne Idee hat wo das alles durchaus Sinn macht und weshalb.

Ist halt schon merkwürrdig wenn einem im "normalen" Leben öfters sowas begegnet, war aber wahrscheinlich alles nur von Amateuren eingerichtet...

Jay im normalen Leben... Da bauen die Profis Stacks als Edge bzw Access auf, aber nicht in den Core.
Oder willst du mir jetzt erklären, dass du Ahnung hast und ein Stack in den Core stellen würdest oder gar hast?
Unabhängig davon, dass man das machen kann, und hier immer wieder davon berichtet wird es getan zu haben ist dieser Ratschlag sinnfrei, besonders weil schon eine Alternative als halbwegs richtige Lösung vorgeschlagen wurde.
FS kann MLAG, wenn auch ohne STP.

Bis vor einigen Jahren war es gang und gebe Stacks als Core hinzustellen weil MLagg nicht so verbreitet gewesen ist.

Daher ist sowas auch heute noch anzutreffen. Mit all den Nachteilen..

Genau. Es ist vorbei. Es war ein Mal.

Diese Switch-Serie ist übrigens erst vor kurzem frisch erschienen.

Und Cisco hat davon anscheinend bisher auch nichts mitbekommen.

https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9300 ...

Wir können hier noch weiter diskutieren was alles State of the Art ist.

Der @to wird bei den Anforderungen am besten mit einem vorgeschalteten FW Cluster fahren (fail over).
Entweder ist dieser so groß dimensioniert, dass er das Routing übernimmt oder muss dies auf den Core abstufen.

Zitat von @MysticFoxDE:

Genau. Es ist vorbei. Es war ein Mal.

Die Stacking Technologie ist immer noch nicht abgeschrieben und hat auch ihre daseins Berechtigung.
Ich würde fast schon sagen, dass es von Aruba kaum Geräte gibt, welche sich nicht stacken lassen. Außer das verschiedene Geräte nicht ohne weiteres gemischt werden können.

Mir fällt allerdings konkret ein Gegenbeispiel ein, wo dies keinen Sinn macht. Z.B. wenn darüber ein VSan laufen soll.
Bricht hier der Stack weg, müssen alle Knoten neu gesynct werden.

Cisco kann auch nach wie vor Stacking. Wobei im Core Bereich die Nexus Reihe deutlich besser gewesen ist. Ich bin nicht auf dem Laufenden. Ich weiß nur das die Nexus Switche abgekündigt wurden. Dort war MLagg gang und gebe.

Zitat von @MysticFoxDE:

Genau. Es ist vorbei. Es war ein Mal.

Vorbei ist, dass man sich ein Stack in den Core stellt, nicht das es günstige Switches gibt die Stacking beherrschen und jemand in den Core stellt.

Und auch in vergangenen Tagen war es zumindest Produkt von mangelndem Wissen oder schlechter Beratung.

Gut, IDS / IPS könnte man wirklich über ein separaten Server abwickeln lassen - oder weiterhin einfach über unsere NextGen Firewall...dachte nur, dass es da vielleicht eine Eierlegende Wollmilchsau gibt mittlerweile die all meine Wünsche decken kann.
Wichtig wäre mir dennoch - VLANs protokollierendes zu Routen...ich will kein stumpfes InterVLAN Routing wo einfach alles geroutet wird außer eben der Broadcast...aktuell mache ich das ebenfalls über die Firewall/Gateway, aber wenn ich mal mit 10G etwas im Netzwerk hin und her kopiere bricht das ganz schön ein. Klar könnte ich dem jeweiligen Server einfach weitere Virtuelle Netzwerkkarten hinzufügen, aber gerade wenn ein Server Datenverbindungen in 5 verschiedene Netze aufbauen soll (klar, die meisten davon brauchen nicht viel Bandbreite) - will ich da ungern soviele vNICs drin haben...oder wie macht ihr das?

und wegen MLAG oder Stacking - wo würde mir das voreile bringen wenn ich keine redundanten Netzwerkstrecken zu den einzelnen Unterverteiler punkten habe? Es ist baulich in dem falle leider nicht möglich, es wird immer diesen einen Knotenpunkt geben, wo alle unterverteiler angeschlossen sind (klassischer 1 Punk Stern)

Zitat von @Assassin:

Gut, IDS / IPS könnte man wirklich über ein separaten Server abwickeln lassen - oder weiterhin einfach über unsere NextGen Firewall...dachte nur, dass es da vielleicht eine Eierlegende Wollmilchsau gibt mittlerweile die all meine Wünsche decken kann.
Wichtig wäre mir dennoch - VLANs protokollierendes zu Routen...ich will kein stumpfes InterVLAN Routing wo einfach alles geroutet wird außer eben der Broadcast...aktuell mache ich das ebenfalls über die Firewall/Gateway, aber wenn ich mal mit 10G etwas im Netzwerk hin und her kopiere bricht das ganz schön ein. Klar könnte ich dem jeweiligen Server einfach weitere Virtuelle Netzwerkkarten hinzufügen, aber gerade wenn ein Server Datenverbindungen in 5 verschiedene Netze aufbauen soll (klar, die meisten davon brauchen nicht viel Bandbreite) - will ich da ungern soviele vNICs drin haben...oder wie macht ihr das?

und wegen MLAG oder Stacking - wo würde mir das voreile bringen wenn ich keine redundanten Netzwerkstrecken zu den einzelnen Unterverteiler punkten habe? Es ist baulich in dem falle leider nicht möglich, es wird immer diesen einen Knotenpunkt geben, wo alle unterverteiler angeschlossen sind (klassischer 1 Punk Stern)

Den Inter-VLan traffic kannst du nur durch Regel auf dem Core (soweit die Gateways dort liegen) einfangen.
Ansonsten muss das Routing zwangsläufig über deine FW laufen. Das ist auch die einzig vernünftige Option um IDS/IPS zwischen den Netzen fahren zu können.

Wenn du eh nichts redundant anbinden willst, spiel das ganze keine Rolle. Oder wie sieht es hier mit Servern aus?

Kurz um. MLagg hat den Vorteil, das die Knoten eigenständig agieren und die VLan Funktionalität aber zwischen den Knoten als Interconnect realisiert ist. Somit können Geräte also ohne loop an zwei oder mehre Switche gekoppelt werden.

Bei einem Stack laufen die Switche im Verbund, habe zwangsweise die selbe Firmware und bestehen meist aus der selben Hardware. Die Konfig findet einheitlich statt und jeder hinzugefügte Switche ist quasi ein Porterweiterung (Unit). Stacking ist meist auf kurze Strecken zwischen den Geräten ausgelegt. (Ja, ich habe auch schon einen Stack über 60km gebaut. Ist aber nicht der Regelfall).

Wenn du eh keine Redundanz möchtest, nicht zu den Unterverteilungen und auch nicht zu Server usw. dann spielt das ganze für dich keine Rolle. Wobei das aus heutiger Sicht auch nicht mehr zielführend sein sollte. Außer ein Ausfall ist ohne Probleme zu verschmerzen.

Beim Thema MLAG gibt es große Unterschiede. Auch beim Preis.

Der Vorteil ist die mehrbeinige Autonomie.
Du kannst am physischen Teilnehmer etwas machen, auch Stecker ziehen, ohne das Netzwerk außer Betrieb nehmen zu müssen. Die Bandbreite bricht lediglich ein.
Sollte der Core die STP Root Bridge sein, dann ist es ein sehr großer Vorteil.

Natürlich wäre es mir lieber eine/mehrere Ausfallstrecke(n) zu haben, aber Baulich wird das schwer umsetzbar sein in dem falle...
Und wegen ausfall - wenn das Netz mal 1-2h nicht geht ist es auch nicht so schlimm, dafür gibt es Switche die auf Cold Standby liegen, auch die Firewall oder dergleichen liegt bereit, auch mit einer Konfiguration die regelmäßig aktualisiert wird, sodass im falle eines Hardware ausfalls das ding schnell umgesteckt werden kann.
Also was MLAGG oder Stacking angeht - das hat wie gesagt keine so hohe Priorität/stellenwert hier für die anfrage.

Ich dachte halt nur, dass es da schon "All-in-One" Lösungen gibt was eben alles kann.

Setzte da irgend einen Switch hin der deine Forwarding Ansprüche erfüllt und investier das Geld lieber in eine Firewall (active passive Cluster) der deinen Durchsatz schafft.

Z.b. würde sich eine Fortinet 400E anbieten.

dachte nur, dass es da vielleicht eine Eierlegende Wollmilchsau gibt mittlerweile die all meine Wünsche decken kann.

Gibt es ja, zumindestens rudimentär mit Mikrotik oder Cisco (Device Tracking) u.a. Bzw. mit etwas Umwegen auch mit allen Switchmodellen die NetFlow/IPFIX oder sFlow supporten. Die Flow Protokolle erfordern aber immer einen externen IDS / IPS Server für die Erkennung und Implementierung dynamischer Blocking Listen. (Siehe ansatzweise dazu auch hier). NetFlow/IPFIX oder sFlow wäre dann auch der richtige Weg wenn du es auf der Infrastruktur selber machen willst weil dir das teure Probes erspart und eine skalierbare Lösung ist. Hängt eben auch davon ab was für Ansprüche du an so ein System stellst?!

OFF-TOPIC

Zitat von @MysticFoxDE:
HPE ist ja auch eher auf grössere Enterprises und Datacenter ausgerichtet und dieses Hardware kostet eben.

Danke Alex,
dabei fließt meine Vorgeschichte mit ein, dass mein bisheriger HPE Access Switch mal eben von 2.000€ auf über 7.000€ Einkaufspreis angestiegen war, was eine Suche nach Alternativen auslöste.
Erfahrung mit FS.com (Alternative zu HP HPE Cisco Netzwerk)

Moin @nachgefragt,

dabei fließt meine Vorgeschichte mit ein, dass mein bisheriger HPE Access Switch mal eben von 2.000€ auf über 7.000€ Einkaufspreis angestiegen war, was eine Suche nach Alternativen auslöste.
Erfahrung mit FS.com (Alternative zu HP HPE Cisco Netzwerk)

ich weis genau wovon du sprichst, mich schauderts aktuell auch, wenn wir die neuen Aruba 6xxx Switche einzeln nachbestellen müssen.

Wenn du jedoch ein paar benötigst, dann kannst du eine Quote aufmachen und kommst dadurch annähernd auf die alten Preise der 29xx wieder runter. 😉

Wenn du willst, dann kann ich dir per PN die Kontaktdaten unseres Aruba-Lieferanten des Vertrauens zuschicken

Gruss Alex

Zitat von @MysticFoxDE:
Wenn du willst, dann kann ich dir per PN die Kontaktdaten unseres Aruba-Lieferanten des Vertrauens zuschicken

Besten Dank,
aktuell kann ich mir eher vorstellen die HPE Switche an einen Refurbisher zu verkaufen und davon weitere FS Switche zu finanzieren, so würde mehr und mehr Homogenität entstehen.

dann kannst du eine Quote aufmachen und kommst dadurch annähernd auf die alten Preise

Das machen generell ALLE Premium Hersteller! Ist also nix was nur HP kann.

Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!

German General Routers, Routing