8
Heimnetzwerkoptimierung mit HPE1920S so machbar?
Moin zusammen,
ich würde gern mal fragen ob, folgendes Netzwerk mit den HPE1920S möglich ist. Bevor es mir jemand sagt, das sind HP-Gurken, ja sind es, ich wusste es damals nicht besser und hatte damals auch andere Ansprüche, bevor ich hier seit 18 Monaten stumm mitgelesen habe. Vielen Dank für die guten Tutorials und Erklärungansätze hier im Forum.
Die übrigen Clients und der Mini-Server sind nicht dargestellt, die Ports sind aber, wenn alles fertig ist, zu 90% belegt.
Momentan ist alles sternförmig mit dem linken 24er-L2-Switch (L3 wird nicht genutzt) verbunden. Inter-VLAN-Verbindungen gehen über die pfSense (APU2-Board) mit Firewallregeln mit einem 1 GBit-Uplink. So richtig fix ist das nicht. Hauptsächlich sind die VLAN's nur dazu da, unteschiedliche Geräten untereinander zuverbinden, zu separieren und Internetzugang zu gewähren (VLAN 1, 3, 6 und 10 werden zur Zeit nicht genutzt)
Wenn eine solches Setup möglich ist, wie müssen denn die LAG auf der pfSense und den Switchen sowie der DS920 (zur Zeit LACP dynamic der beiden NIC's mit 6 VLANs) definiert werden.
Vielen Dank schonmal im Voraus.
-ron
ich würde gern mal fragen ob, folgendes Netzwerk mit den HPE1920S möglich ist. Bevor es mir jemand sagt, das sind HP-Gurken, ja sind es, ich wusste es damals nicht besser und hatte damals auch andere Ansprüche, bevor ich hier seit 18 Monaten stumm mitgelesen habe. Vielen Dank für die guten Tutorials und Erklärungansätze hier im Forum.
Die übrigen Clients und der Mini-Server sind nicht dargestellt, die Ports sind aber, wenn alles fertig ist, zu 90% belegt.
Momentan ist alles sternförmig mit dem linken 24er-L2-Switch (L3 wird nicht genutzt) verbunden. Inter-VLAN-Verbindungen gehen über die pfSense (APU2-Board) mit Firewallregeln mit einem 1 GBit-Uplink. So richtig fix ist das nicht. Hauptsächlich sind die VLAN's nur dazu da, unteschiedliche Geräten untereinander zuverbinden, zu separieren und Internetzugang zu gewähren (VLAN 1, 3, 6 und 10 werden zur Zeit nicht genutzt)
Wenn eine solches Setup möglich ist, wie müssen denn die LAG auf der pfSense und den Switchen sowie der DS920 (zur Zeit LACP dynamic der beiden NIC's mit 6 VLANs) definiert werden.
Vielen Dank schonmal im Voraus.
-ron
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2029145365
Url: https://administrator.de/contentid/2029145365
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Das ist alles so problemlos möglich !
Die 1920er supporten allerdings kein MLAG ! Sprich also du kannst die LAG Member Ports nicht auf unterschiedliche Switches splitten ! Das würde nur mit MLAG Support in der Firmware gehen oder wenn die Switches Full Stacking fähig wären. Beide Features supporten die 1920er leider nicht.
LAGs können mit deiner o.a. HP Hardware deshalb immer nur auf einem physischen Switch terminiert werden.
Leider ist deine obige Skizze dazu schlecht bzw. nicht eindeutig gezeichnet, da dadurch dann leider nicht daraus zu erkennen ist ob diese Links z.B. von pfSense und NAS als redundante Backup Links (Spanning Tree) oder LACP LAGs gemeint sind.
Mit deinen HPs hast du nur die Option redundante Links (einer nur Backup) oder LAGs. Dann bei LAGs aber kein Splitting der LAG Memberports, weil die 1920er das eben nicht supporten (MLAG Feature) ! Würdest du das so machen kommt es mit deiner Switch HW zu einem Loop Chaos bzw. Stillstand in deinem Netz.
Das hiesige LAG Tutorial lesen und verstehen. Es hat alle Infos zum Thema Link Aggregation !
Die 1920er supporten allerdings kein MLAG ! Sprich also du kannst die LAG Member Ports nicht auf unterschiedliche Switches splitten ! Das würde nur mit MLAG Support in der Firmware gehen oder wenn die Switches Full Stacking fähig wären. Beide Features supporten die 1920er leider nicht.
LAGs können mit deiner o.a. HP Hardware deshalb immer nur auf einem physischen Switch terminiert werden.
Leider ist deine obige Skizze dazu schlecht bzw. nicht eindeutig gezeichnet, da dadurch dann leider nicht daraus zu erkennen ist ob diese Links z.B. von pfSense und NAS als redundante Backup Links (Spanning Tree) oder LACP LAGs gemeint sind.
Mit deinen HPs hast du nur die Option redundante Links (einer nur Backup) oder LAGs. Dann bei LAGs aber kein Splitting der LAG Memberports, weil die 1920er das eben nicht supporten (MLAG Feature) ! Würdest du das so machen kommt es mit deiner Switch HW zu einem Loop Chaos bzw. Stillstand in deinem Netz.
Das hiesige LAG Tutorial lesen und verstehen. Es hat alle Infos zum Thema Link Aggregation !
1
Bis hierher schon mal vielen Dank. War schon fast klar, dass MLAG nicht von den Switchen unterstützt wird, das Tutorial hatte ich schon gelesen. Das heisst sofern ich Redundanz möchte, wäre das nur mit MSTP auf den dargestellten Uplinks möglich und die Bridge Priority auf dem linken Switch entsprechend niedrig einstellen.
Abschließende Frage: an welcher Stelle wäre der Proxmox-Server mit dem Radius-Dienst am besten aufgehoben an der Root Brigde oder am Zyxel Switch?
Abschließende Frage: an welcher Stelle wäre der Proxmox-Server mit dem Radius-Dienst am besten aufgehoben an der Root Brigde oder am Zyxel Switch?
Die neue Skizze zeigt jetzt die ideale Lösung mit dieser HW !
Wo du den Radius bzw. Proxmox anschliesst ist ziemlich egal. Normal klemmt der ja am Core Switch bzw. dem Switch mit der höchsten STP Priority, sollte aber auch wenn möglich einen redundanten Link haben, da er mit der Radius Authentisierung ja eine recht wichtige Funktion trägt.
Überlegung wäre wenn das NAS ein renomiertes NAS ist (QNAP, Synology o.ä.) dann gibt es in deren App Stores auch immer einen Radius. Du könntest dann sogar 2 Radius laufen lassen. Das wäre aber nur dann relevant wenn eine erhöhte Anforderung an die Verfügbarkeit besteht.
Die jetztige Infrastruktur an sich oben ist aber richtig !
Wo du den Radius bzw. Proxmox anschliesst ist ziemlich egal. Normal klemmt der ja am Core Switch bzw. dem Switch mit der höchsten STP Priority, sollte aber auch wenn möglich einen redundanten Link haben, da er mit der Radius Authentisierung ja eine recht wichtige Funktion trägt.
Überlegung wäre wenn das NAS ein renomiertes NAS ist (QNAP, Synology o.ä.) dann gibt es in deren App Stores auch immer einen Radius. Du könntest dann sogar 2 Radius laufen lassen. Das wäre aber nur dann relevant wenn eine erhöhte Anforderung an die Verfügbarkeit besteht.
Die jetztige Infrastruktur an sich oben ist aber richtig !
Ja, die Idee kam mir auch. Muss dann aber in derart gehen, dass durch ein nächtliches Dump der MariaDB der Radius-Server auf dem Synology-NAS upgedatet wird. D.h. auch da eine Konstellation einrichten, die dann kompatibel ist.
Zuerst müssen sich Dalo-FreeRadius und der Capsman unterhalten können. Irgendwo in der Kette werden die vendorspezifischen Attribute nicht korrekt übertragen.
Zuerst müssen sich Dalo-FreeRadius und der Capsman unterhalten können. Irgendwo in der Kette werden die vendorspezifischen Attribute nicht korrekt übertragen.
D.h. du fährst den Radius mit einer Datenbank ?? In einem Heimnetz reicht eigentlich eine statische Konfig aber wenn ja, dann hast du Recht das macht dann vom Aufwand her keinen Sinn.
Mit FreeRadius klappt das fehlerlos. Siehe hier.
Irgendwo in der Kette werden die vendorspezifischen Attribute nicht korrekt übertragen.
Entsprechenden Dictionary File hast du geladen ?? Ohne den gehts nicht.Mit FreeRadius klappt das fehlerlos. Siehe hier.
ja, mit Datenbank, weill ich normaler Benutzer mir doch das Leben etwas einfacher machen möchte, wenn es denn mal läuft und ich zumindest Ports außerhalb des Hauses mit 801.x absichern möchte.
Ja, den Betrag hab ich schon gefühlte 10 Mal gelesen... Freeradius hat das Dictionary stadartmäßig geladen, wie es scheint /usr/share/freeradius/dictionary. Die MT-Dict war nicht das aktuelle und ist ersestzt. Die Attribute kommen aus der radgroupreply-Tabelle und Daloradius kennt die VSA nun auch. Ich muss dass nochmal in Ruhe am WE testen. Über das Dictionary bin ich erst diese Woche gestolpert. Ich glaube aber eher das ntradping mit den VSA nicht zurecht kommt. Der debugin freeradius sieht schonmal gut aus.
Naja, das ist halt so, wenn man das ganze Netzwerk auf links dreht, weil Heizung und andere Komponeten sich mit den Server des Herstellers verbinden müssen. Na und letztendlich sind das alles Vorbereitungen um die Fritzbox zur reinen Telefonanalge zu degradieren und durch ein Modem zu ersetzen. Auch wenn deine Tutorials schon klasse sind, man muss das alles schon genau lesen und richtig zusammenbasteln.
Ja, den Betrag hab ich schon gefühlte 10 Mal gelesen... Freeradius hat das Dictionary stadartmäßig geladen, wie es scheint /usr/share/freeradius/dictionary. Die MT-Dict war nicht das aktuelle und ist ersestzt. Die Attribute kommen aus der radgroupreply-Tabelle und Daloradius kennt die VSA nun auch. Ich muss dass nochmal in Ruhe am WE testen. Über das Dictionary bin ich erst diese Woche gestolpert. Ich glaube aber eher das ntradping mit den VSA nicht zurecht kommt. Der debugin freeradius sieht schonmal gut aus.
Naja, das ist halt so, wenn man das ganze Netzwerk auf links dreht, weil Heizung und andere Komponeten sich mit den Server des Herstellers verbinden müssen. Na und letztendlich sind das alles Vorbereitungen um die Fritzbox zur reinen Telefonanalge zu degradieren und durch ein Modem zu ersetzen. Auch wenn deine Tutorials schon klasse sind, man muss das alles schon genau lesen und richtig zusammenbasteln.
man muss das alles schon genau lesen und richtig zusammenbasteln.
Das ist doch aber ganz normales Tagesgeschäft für einen Netzwerk Admin ! Nichts lesen und pfuschen kann ja jeder... 😉Dann viel Erfolg mit der Umsetzung !
Vielen Dank 
