139689
19.10.2023, aktualisiert um 14:01:23 Uhr
2207
8
0
L3 Routing Switch mit ACL und VRRP gesucht
Hallo zusammen,
auch auf die große Gefahr, mich lächerlich zu machen oder unverständlich zu sein.... aber nachdem ich irgendwie von meinen Dienstleistern schon recht enttäuscht bin und ansonsten der Austausch mit anderen komplett fehlt, stelle ich hier meine Fragen.
Das Thema Netzwerk war nie und ist nicht meine Stärke, wenn man einfach nur ab und zu immer wieder mal was in dem Bereich macht...
Etwas zur IST-Situation
Wir haben hier ein Netzwerk rein mit Cisco Catalyst Switches (C9200L als CORE sowie ältere 29xx als Access und nochmal C9200L als ServerCore-Backend)
Vor gut einem Jahr hab ich mal von einem flachen /16 Netzwerk auf Vlan Segmente umgestellt (und nebenbei waren auch noch Switches von HP, Netgear und Zyxel drin). Ist also "gewachsen" und nicht von Anfang an gestaltet gewesen
Vlans sind angelegt (Wlan, Client, Backup, Server, ServerCore, Management, Transfer, ...)
Vlans sind einzelne /24 Netze (nicht ganz optimal, aber auch kaum mehr als 100 Geräte drin).
Die älteren Switches sind reine Access Switches (hauptsächlich Vlan Management und Clients) und per Trunk an die C9200L angeschlossen.
Im Server-Backend gibt es noch pro Rack/Serverraum einen C9200L mit 48-port (darunter auch 10GbE-Ports) für die Hypervisor und physikalischen Server.
Als Firewall haben wir über einen Dienstleister 2 Meraki MXen ins Internet. Es ist geplant, in Zukunft mehr mit Meraki zu machen (Wlan, ggf. MDM, ...)
Nun zum eigentlichen
Die C9200L sind 2 24-port Switches via Stack. Der Stack dient als GW jedes Vlans und leitet dann Pakete nach extern in ein Transfernetz zur Firewall und von dort ins Internet
Im Grunde also "Core" Funktionalität... Inter-Vlan Routing und sonst nix.
Jetzt will ich Folgendes erreichen:
- Diese Services auf 2 Serverräume (Brandabschnitt) verteilen. Also nicht mehr per Stacking Kabel möglich, sondern per FC oder Kupfer verbunden. SPoF vermeiden und Redundanz schaffen
--> VRRP ?
- Zwischen den einzelnen Vlans wären ACL gut, damit ich zb darüber regeln kann, dass VLAN Client gar nicht erst in VLAN Backup oder ServerCore kommt, usw.
( was ist hier Performance-mäßig zu beachten?? )
- Weiterhin natürlich das Inter-Vlan Routing (können alle L2+ ? )
- ausreichend Anschlüsse. Im Moment sind es 6 SFP+ (10Gbit)(auf beide im Stack verteilt) Ports zu den Access Switches. Besser mehr. Und auch Ethernet Ports (Uplink zur Firewall, Wlan Controller, TK, ...)
Wobei ich mir denke, zur Not werden es halt noch 2 Distribution Switches zusätzlich, die nur dumm verteilen sollen.
Die Gretchenfrage
Reichen hier zwei einfache L3-fähige Cisco (bzw. Meraki) Switches (weil VRRP, ACL, Inter-Vlan Routing hier überall vorhanden??) mit ausreichenden Anschlüssen und genug internem Puffer? Diese dann direkt verbinden (Ethernet?)
In einem anderen Thread hab ich gelesen, dass theoretisch ein Cisco SG-2xx / 3xx dazu reichen könnte.
Ein Dienstleister meinte, ich soll auf Catalyst setzen und hat mir von der Business Schiene (350, SX550,...) abgeraten, da hier vermehrt Probleme auftreten können. Die wollen mir zwei C9500 (mit KupferTransceiver, damit ich Ethernet-Ports habe) verkaufen. Das Thema VRRP und ACL war da gar noch nicht ausreichend angesprochen.
Ich kann es nicht ausreichend bewerten und natürlich will hier keiner ständig Pflege betreiben.
DANKE im Voraus
Ich reiche noch Infos nach, wenn was Wichtiges fehlt und entschuldige mich für etwaige dumme Fragen...
edit:
Typos, Verständlichkeit...
auch auf die große Gefahr, mich lächerlich zu machen oder unverständlich zu sein.... aber nachdem ich irgendwie von meinen Dienstleistern schon recht enttäuscht bin und ansonsten der Austausch mit anderen komplett fehlt, stelle ich hier meine Fragen.
Das Thema Netzwerk war nie und ist nicht meine Stärke, wenn man einfach nur ab und zu immer wieder mal was in dem Bereich macht...
Etwas zur IST-Situation
Wir haben hier ein Netzwerk rein mit Cisco Catalyst Switches (C9200L als CORE sowie ältere 29xx als Access und nochmal C9200L als ServerCore-Backend)
Vor gut einem Jahr hab ich mal von einem flachen /16 Netzwerk auf Vlan Segmente umgestellt (und nebenbei waren auch noch Switches von HP, Netgear und Zyxel drin). Ist also "gewachsen" und nicht von Anfang an gestaltet gewesen
Vlans sind angelegt (Wlan, Client, Backup, Server, ServerCore, Management, Transfer, ...)
Vlans sind einzelne /24 Netze (nicht ganz optimal, aber auch kaum mehr als 100 Geräte drin).
Die älteren Switches sind reine Access Switches (hauptsächlich Vlan Management und Clients) und per Trunk an die C9200L angeschlossen.
Im Server-Backend gibt es noch pro Rack/Serverraum einen C9200L mit 48-port (darunter auch 10GbE-Ports) für die Hypervisor und physikalischen Server.
Als Firewall haben wir über einen Dienstleister 2 Meraki MXen ins Internet. Es ist geplant, in Zukunft mehr mit Meraki zu machen (Wlan, ggf. MDM, ...)
Nun zum eigentlichen
Die C9200L sind 2 24-port Switches via Stack. Der Stack dient als GW jedes Vlans und leitet dann Pakete nach extern in ein Transfernetz zur Firewall und von dort ins Internet
Im Grunde also "Core" Funktionalität... Inter-Vlan Routing und sonst nix.
Jetzt will ich Folgendes erreichen:
- Diese Services auf 2 Serverräume (Brandabschnitt) verteilen. Also nicht mehr per Stacking Kabel möglich, sondern per FC oder Kupfer verbunden. SPoF vermeiden und Redundanz schaffen
--> VRRP ?
- Zwischen den einzelnen Vlans wären ACL gut, damit ich zb darüber regeln kann, dass VLAN Client gar nicht erst in VLAN Backup oder ServerCore kommt, usw.
( was ist hier Performance-mäßig zu beachten?? )
- Weiterhin natürlich das Inter-Vlan Routing (können alle L2+ ? )
- ausreichend Anschlüsse. Im Moment sind es 6 SFP+ (10Gbit)(auf beide im Stack verteilt) Ports zu den Access Switches. Besser mehr. Und auch Ethernet Ports (Uplink zur Firewall, Wlan Controller, TK, ...)
Wobei ich mir denke, zur Not werden es halt noch 2 Distribution Switches zusätzlich, die nur dumm verteilen sollen.
Die Gretchenfrage
Reichen hier zwei einfache L3-fähige Cisco (bzw. Meraki) Switches (weil VRRP, ACL, Inter-Vlan Routing hier überall vorhanden??) mit ausreichenden Anschlüssen und genug internem Puffer? Diese dann direkt verbinden (Ethernet?)
In einem anderen Thread hab ich gelesen, dass theoretisch ein Cisco SG-2xx / 3xx dazu reichen könnte.
Ein Dienstleister meinte, ich soll auf Catalyst setzen und hat mir von der Business Schiene (350, SX550,...) abgeraten, da hier vermehrt Probleme auftreten können. Die wollen mir zwei C9500 (mit KupferTransceiver, damit ich Ethernet-Ports habe) verkaufen. Das Thema VRRP und ACL war da gar noch nicht ausreichend angesprochen.
Ich kann es nicht ausreichend bewerten und natürlich will hier keiner ständig Pflege betreiben.
DANKE im Voraus
Ich reiche noch Infos nach, wenn was Wichtiges fehlt und entschuldige mich für etwaige dumme Fragen...
edit:
Typos, Verständlichkeit...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93176570520
Url: https://administrator.de/contentid/93176570520
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
8 Kommentare
Neuester Kommentar
--> VRRP ?
Nope brauchst du nicht zwindend. Du machst das bei Distance Stacking über 2 Räume dann via "Stackwise Virtual" ganz stinknormal über 10G oder 40G Glasfaser, SFP+ / AOC oder KupferZwischen den einzelnen Vlans wären ACL gut
Ist ja mit Cisco kein Thema. Guckst du als Beispiel für ACLs hier.Die Gretchenfrage
Sie müssen nicht einmal L3 können, denn das machst du ja logischerweise mit deinem Cat9k "Core" Stack.Folglich würden also CBS-220er Switches reichen, je nach Anwendung bzw. Anforderungen zu denen du leider wenig bis gar nichts sagst um da eine belastbare Aussage treffen zu können.
Bedenke das dein "Core" ja auch "nur" aus den 9200er Access Modellen besteht. Die 9300/9500er wären ein "wirklicher" Core.
Die Access Teile müssen ja nichts Großes leisten und einzig nur L2 durchreichen an den Core da bist du mit den CBS220 wie gesagt je nach Anforderung ggf. auch gut bedient. Nur dein Core mit den Cat9k macht ja L3 mit den ACLs.
Ein klassisches, simples Standard Design sähe so aus:
Wie wichtig dein Business ist und wie groß der Forward weiß hier keiner!
Cisco VSS oder vergleichbar möchte ich persönlich nicht missen.
Cisco VSS oder vergleichbar möchte ich persönlich nicht missen.
@aqui
Wie immer bei Netzwerkthemen aktiv und wie ich gehofft habe... Danke!
"Stackwise Virtual" --> dazu bräuchte es wohl dann einen 9400 oder 9500. Vom 9200 lese ich da jetzt nichts, dass die das könnten.
ACL ... ich lese mir den genannten Thread durch
Wie würde ein CBS-220 dann auf beide RZ verteilt werden? VRRP?
Ich möchte ALLE Anforderungen erfüllt. Den C9200L Stack gibt es dann nicht mehr - der soll ersetzt werden, denn so ist er ja ein SPoF im Fall eines Desasters im Aktuellen RZ.
Würden 2 Stück C9500 (zb. C9500-16X-E) mitsamt ein paar KupferTransceiver zusammen all das feature-seitig erledigen können?
Diese könnten dann die Konfig der C9200L Stack ersetzen (die nehm ich dann als Access Switches bei den Verteilern..) und via SVL auf 2 RZ verteilt.
Gedankengang richtig?
edit:
geht nicht - die 9500-16X-E sind nicht SVL-tauglich, dazu braucht es die Advanced Lizenz
Wäre VRRP nicht einfacher als SVL?
@ Anforderungen
Also wenn es um tatsächliche Auslastung geht. Ich persönlich erlebe mehr als 1Gbit Auslastung nur bei Backup. Die Uplinks auf die Access Switches von 10Gbit ist Overkill. Auch wenn unsere ERP Anwendung pro Client eine Gigabit-Anbindung erfordert...
Ansonsten ein aus meiner Sicht eher schlafendes Netzwerk, vom ServerCore Switch mal etwas abgesehen (ESXi Hosts)
Laut PRTG waren das in den letzten 6 Monaten grad 10x über 1 000 000 Kbit/s auf den Switches, jeweils Uplinks und vermutlich Backup.
Genauer kann ich es gerade nicht sagen. Jedenfalls tun es die 9200L wohl leicht
Wie immer bei Netzwerkthemen aktiv und wie ich gehofft habe... Danke!
"Stackwise Virtual" --> dazu bräuchte es wohl dann einen 9400 oder 9500. Vom 9200 lese ich da jetzt nichts, dass die das könnten.
Zitat https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-9000 ... :
StackWise Virtual is supported on all Cisco Catalyst 9500 Series Switches, some specific details are highlighted in Table 1 below.
StackWise Virtual is also supported on all Catalyst 9400 models - C9404, C9407 and C9410 chassis
StackWise Virtual is supported on all Cisco Catalyst 9500 Series Switches, some specific details are highlighted in Table 1 below.
StackWise Virtual is also supported on all Catalyst 9400 models - C9404, C9407 and C9410 chassis
ACL ... ich lese mir den genannten Thread durch
Wie würde ein CBS-220 dann auf beide RZ verteilt werden? VRRP?
Ich möchte ALLE Anforderungen erfüllt. Den C9200L Stack gibt es dann nicht mehr - der soll ersetzt werden, denn so ist er ja ein SPoF im Fall eines Desasters im Aktuellen RZ.
Würden 2 Stück C9500 (zb. C9500-16X-E) mitsamt ein paar KupferTransceiver zusammen all das feature-seitig erledigen können?
Diese könnten dann die Konfig der C9200L Stack ersetzen (die nehm ich dann als Access Switches bei den Verteilern..) und via SVL auf 2 RZ verteilt.
Gedankengang richtig?
edit:
geht nicht - die 9500-16X-E sind nicht SVL-tauglich, dazu braucht es die Advanced Lizenz
Wäre VRRP nicht einfacher als SVL?
@ Anforderungen
Also wenn es um tatsächliche Auslastung geht. Ich persönlich erlebe mehr als 1Gbit Auslastung nur bei Backup. Die Uplinks auf die Access Switches von 10Gbit ist Overkill. Auch wenn unsere ERP Anwendung pro Client eine Gigabit-Anbindung erfordert...
Ansonsten ein aus meiner Sicht eher schlafendes Netzwerk, vom ServerCore Switch mal etwas abgesehen (ESXi Hosts)
Laut PRTG waren das in den letzten 6 Monaten grad 10x über 1 000 000 Kbit/s auf den Switches, jeweils Uplinks und vermutlich Backup.
Genauer kann ich es gerade nicht sagen. Jedenfalls tun es die 9200L wohl leicht
Wie würde ein CBS-220 dann auf beide RZ verteilt werden? VRRP?
Ja, denn ohne Stackwise Virtual geht es ja dann nicht beide Cat9k in einem Stack zu betreiben wenn du die 2 Maschinen auf 2 Räume aufteilen willst was ja auch üblich ist bei Redundanzdesigns.Stacking per Stacking Kabel fällt weg weil die Längen da natürlich niemals reichen.
Bleibt also nur die beiden Switch einzeln zu betreiben (wenn du bei den 9200 Modellen bleibst) und idealerweise vPC (Virtual Port Channel, bzw. MLAG) zu aktivieren, damit du ggf. Access Switches mit LACP LAGs redundant an den Core anbinden kannst.
In so einem Design ist dann zur Gateway Redundanz VRRP oder das Cisco eigene HSRP natürlich Pflicht, das ist richtig!
Den C9200L Stack gibt es dann nicht mehr - der soll ersetzt werden,
Ahhso.... sorry das war oben etwas missverständlich von dir.Dann ist die ganze Eierei mit den 9200ern und Klimmzüge mit vPC und VRRP / HSRP in dem Falle natürlich völlig obsolet.
Dann bringst du beide 9500er schlicht und einfach mit Stackwise Virtual in einen physischen Fullstack und konfigurierst den wie einen einzelnen zentralen (Core) Switch. Das entspricht dann dem Design von oben.
Letztlich hast du immer diese beiden Optionen:
- Kein Stackwise Virtual bzw. Distance Stacking möglich = Lösung mit vPC und VRRP bzw. HSRP
- Stackwise Virtual oder Distance Stacking möglich = Kein vPC und VRRP bzw. HSRP erforderlich
Wenn du die HW Power der Cat9ks nicht benötigst und eine Lösung mit der CBS Midrange Hardware erwägst dann musst du zwingend CBS350-X Modelle verwenden, denn nur die supporten auch Distance Stacking mit 10G. Dann natürlich völlig ohne Lizensierung usw. Alle CBS350-X Modelle kann man in einem Stack mischen.
Alternative weg von Cisco aber mit vollem Cisco CLI und PVSTP+ Support wären z.B. Ruckus ICX Modelle. ICX 7550 oder ICX8200 bieten dir lizenzfreies und automatisiertes Distance Stacking mit 10 und 40G und SFP+, QSFP Ports ohne Vendor Checking.
Es gibt viele Wege nach Rom...
1
Zitat von @139689:
Hallo zusammen,
HiHallo zusammen,
auch auf die große Gefahr, mich lächerlich zu machen oder unverständlich zu sein.... aber nachdem ich irgendwie von meinen Dienstleistern schon recht enttäuscht bin und ansonsten der Austausch mit anderen komplett fehlt, stelle ich hier meine Fragen.
Das Thema Netzwerk war nie und ist nicht meine Stärke, wenn man einfach nur ab und zu immer wieder mal was in dem Bereich macht...
Etwas zur IST-Situation
Wir haben hier ein Netzwerk rein mit Cisco Catalyst Switches (C9200L als CORE sowie ältere 29xx als Access und nochmal C9200L als ServerCore-Backend)
Vor gut einem Jahr hab ich mal von einem flachen /16 Netzwerk auf Vlan Segmente umgestellt (und nebenbei waren auch noch Switches von HP, Netgear und Zyxel drin). Ist also "gewachsen" und nicht von Anfang an gestaltet gewesen
okDas Thema Netzwerk war nie und ist nicht meine Stärke, wenn man einfach nur ab und zu immer wieder mal was in dem Bereich macht...
Etwas zur IST-Situation
Wir haben hier ein Netzwerk rein mit Cisco Catalyst Switches (C9200L als CORE sowie ältere 29xx als Access und nochmal C9200L als ServerCore-Backend)
Vor gut einem Jahr hab ich mal von einem flachen /16 Netzwerk auf Vlan Segmente umgestellt (und nebenbei waren auch noch Switches von HP, Netgear und Zyxel drin). Ist also "gewachsen" und nicht von Anfang an gestaltet gewesen
Vlans sind angelegt (Wlan, Client, Backup, Server, ServerCore, Management, Transfer, ...)
Vlans sind einzelne /24 Netze (nicht ganz optimal, aber auch kaum mehr als 100 Geräte drin).
Die älteren Switches sind reine Access Switches (hauptsächlich Vlan Management und Clients) und per Trunk an die C9200L angeschlossen.
Im Server-Backend gibt es noch pro Rack/Serverraum einen C9200L mit 48-port (darunter auch 10GbE-Ports) für die Hypervisor und physikalischen Server.
Als Firewall haben wir über einen Dienstleister 2 Meraki MXen ins Internet. Es ist geplant, in Zukunft mehr mit Meraki zu machen (Wlan, ggf. MDM, ...)
Meraki WIFI kann ich nur empfehlen. Funktioniert auch super mit einem NAC. Z.B. Packetfence.Vlans sind einzelne /24 Netze (nicht ganz optimal, aber auch kaum mehr als 100 Geräte drin).
Die älteren Switches sind reine Access Switches (hauptsächlich Vlan Management und Clients) und per Trunk an die C9200L angeschlossen.
Im Server-Backend gibt es noch pro Rack/Serverraum einen C9200L mit 48-port (darunter auch 10GbE-Ports) für die Hypervisor und physikalischen Server.
Als Firewall haben wir über einen Dienstleister 2 Meraki MXen ins Internet. Es ist geplant, in Zukunft mehr mit Meraki zu machen (Wlan, ggf. MDM, ...)
Also wir betreiben ein globales Netzwerk mit über 800 Meraki Geräte und ich frage mich, warum man bei 2 Meraki MX ein Dienstleister benötigt?
Die Gretchenfrage
Reichen hier zwei einfache L3-fähige Cisco (bzw. Meraki) Switches (weil VRRP, ACL, Inter-Vlan Routing hier überall vorhanden??) mit ausreichenden Anschlüssen und genug internem Puffer? Diese dann direkt verbinden (Ethernet?)
Reichen hier zwei einfache L3-fähige Cisco (bzw. Meraki) Switches (weil VRRP, ACL, Inter-Vlan Routing hier überall vorhanden??) mit ausreichenden Anschlüssen und genug internem Puffer? Diese dann direkt verbinden (Ethernet?)
Du kannst die MS355 / MS425 oder MS450 (QSFP only) als Core verwenden. VRRP / FullStack / L3 unterstützen diese alle.
Stacken kannst du diese über dedizierte Stacking Ports und / oder SFP+ oder QSFP Ports. ( Mischbetrieb möglich).
An einem Standort steht bei uns ein 4 x MS425 Core Stack verteilt auf 2 RZ. Als Stack Ports dienen da mehrere SFP+ Ports, welcher über ca 120m OM3 verbunden bin. QSFP wäre aber auch möglich.
Gruß
1warum man bei 2 Meraki MX ein Dienstleister benötigt?
Das ist in der Tat eine sehr gute Frage, sagt aber schon recht viel über das Unternehmen des TO aus. Vom gravierenden Sicherheitsverlust, was sowas immer mit sich bringt, mal gar nicht zu reden?!Meraki ist per se nicht schlecht, man muss aber immer im Hinterkopf behalten das man da quasi in einem Abo Model gefangen ist. Bezahlt man nicht, hat man nur noch dumme Ziegelsteine. Man hängt also immer fest in einem Vendor Lock am Fliegenfänger.
Wer damit leben kann oder es gerade bewusst wählt um ein vereinfachtes Management zu bekommen macht damit nichts falsch.
DANKE für die Antworten.
@ aqui
Tut mir Leid. Hab es versucht, aber war wohl doch nicht ganz so eindeutig implizit erwähnt.
DANKE!
Das muss ich mal genau ansehen und die Schlagworte vPC, HSRP, Distance Stacking recherchieren
Das hätte ich mir vom Dienstleister erwartet, mir die Lösungen als Alternativen mit Vor- und Nachteilen aufzulisten. Aber naja...
Das WARUM kommentiere ich jetzt einmal nicht. Auch das Thema Sicherheit nicht. Work in progress...
Es ist ... kompliziert, so gewachsen und so weiter.... und dass ich allein das Netzwerk selbst nicht managen kann, gebe ich ja zu ...
@ tech-flare
Du meinst, weil die eh schon so einfach sind, dass da kein Dienstleister nötig ist?
Möglich... wenn man mal fertig umgestellt ist. So vom Handling sind sie einfach, das stimmt.
Du kannst die MS355 / MS425 oder MS450 (QSFP only) als Core verwenden. VRRP / FullStack / L3 unterstützen diese alle.
Stacken kannst du diese über dedizierte Stacking Ports und / oder SFP+ oder QSFP Ports. ( Mischbetrieb möglich).
An einem Standort steht bei uns ein 4 x MS425 Core Stack verteilt auf 2 RZ. Als Stack Ports dienen da mehrere SFP+ Ports, welcher über ca 120m OM3 verbunden bin. QSFP wäre aber auch möglich.
DANKE!
Das wäre ja mal ein Vorschlag mit Schritt vorwärts für mich... sehe ich mir an
Wenn man die Kosten betrachtet, dann eher die MS355, weil sonst könnte ich auch bei den C9500 bleiben.
Das Thema Geld hab ich natürlich nicht angeschnitten, aber genehmigt muss es ja auch erst werden...
@ aqui
Den C9200L Stack gibt es dann nicht mehr - der soll ersetzt werden,
Ahhso.... sorry das war oben etwas missverständlich von dir.Tut mir Leid. Hab es versucht, aber war wohl doch nicht ganz so eindeutig implizit erwähnt.
Zitat von @aqui:
Stacking per Stacking Kabel fällt weg weil die Längen da natürlich niemals reichen.
Bleibt also nur die beiden Switch einzeln zu betreiben (wenn du bei den 9200 Modellen bleibst) und idealerweise vPC (Virtual Port Channel, bzw. MLAG) zu aktivieren, damit du ggf. Access Switches mit LACP LAGs redundant an den Core anbinden kannst.
In so einem Design ist dann zur Gateway Redundanz VRRP oder das Cisco eigene HSRP natürlich Pflicht, das ist richtig!
Dann ist die ganze Eierei mit den 9200ern und Klimmzüge mit vPC und VRRP / HSRP in dem Falle natürlich völlig obsolet.
Dann bringst du beide 9500er schlicht und einfach mit Stackwise Virtual in einen physischen Fullstack und konfigurierst den wie einen einzelnen zentralen (Core) Switch. Das entspricht dann dem Design von oben.
Letztlich hast du immer diese beiden Optionen:
Wenn du die HW Power der Cat9ks nicht benötigst und eine Lösung mit der CBS Midrange Hardware erwägst dann musst du zwingend CBS350-X Modelle verwenden, denn nur die supporten auch Distance Stacking mit 10G. Dann natürlich völlig ohne Lizensierung usw. Alle CBS350-X Modelle kann man in einem Stack mischen.
Alternative weg von Cisco aber mit vollem Cisco CLI und PVSTP+ Support wären z.B. Ruckus ICX Modelle. ICX 7550 oder ICX8200 bieten dir lizenzfreies und automatisiertes Distance Stacking mit 10 und 40G und SFP+, QSFP Ports ohne Vendor Checking.
Es gibt viele Wege nach Rom...
Wie würde ein CBS-220 dann auf beide RZ verteilt werden? VRRP?
Ja, denn ohne Stackwise Virtual geht es ja dann nicht beide Cat9k in einem Stack zu betreiben wenn du die 2 Maschinen auf 2 Räume aufteilen willst was ja auch üblich ist bei Redundanzdesigns.Stacking per Stacking Kabel fällt weg weil die Längen da natürlich niemals reichen.
Bleibt also nur die beiden Switch einzeln zu betreiben (wenn du bei den 9200 Modellen bleibst) und idealerweise vPC (Virtual Port Channel, bzw. MLAG) zu aktivieren, damit du ggf. Access Switches mit LACP LAGs redundant an den Core anbinden kannst.
In so einem Design ist dann zur Gateway Redundanz VRRP oder das Cisco eigene HSRP natürlich Pflicht, das ist richtig!
Dann ist die ganze Eierei mit den 9200ern und Klimmzüge mit vPC und VRRP / HSRP in dem Falle natürlich völlig obsolet.
Dann bringst du beide 9500er schlicht und einfach mit Stackwise Virtual in einen physischen Fullstack und konfigurierst den wie einen einzelnen zentralen (Core) Switch. Das entspricht dann dem Design von oben.
Letztlich hast du immer diese beiden Optionen:
- Kein Stackwise Virtual bzw. Distance Stacking möglich = Lösung mit vPC und VRRP bzw. HSRP
- Stackwise Virtual oder Distance Stacking möglich = Kein vPC und VRRP bzw. HSRP erforderlich
Wenn du die HW Power der Cat9ks nicht benötigst und eine Lösung mit der CBS Midrange Hardware erwägst dann musst du zwingend CBS350-X Modelle verwenden, denn nur die supporten auch Distance Stacking mit 10G. Dann natürlich völlig ohne Lizensierung usw. Alle CBS350-X Modelle kann man in einem Stack mischen.
Alternative weg von Cisco aber mit vollem Cisco CLI und PVSTP+ Support wären z.B. Ruckus ICX Modelle. ICX 7550 oder ICX8200 bieten dir lizenzfreies und automatisiertes Distance Stacking mit 10 und 40G und SFP+, QSFP Ports ohne Vendor Checking.
Es gibt viele Wege nach Rom...
DANKE!
Das muss ich mal genau ansehen und die Schlagworte vPC, HSRP, Distance Stacking recherchieren
Das hätte ich mir vom Dienstleister erwartet, mir die Lösungen als Alternativen mit Vor- und Nachteilen aufzulisten. Aber naja...
Zitat von @aqui:
Meraki ist per se nicht schlecht, man muss aber immer im Hinterkopf behalten das man da quasi in einem Abo Model gefangen ist. Bezahlt man nicht, hat man nur noch dumme Ziegelsteine. Man hängt also immer fest in einem Vendor Lock am Fliegenfänger.
Wer damit leben kann oder es gerade bewusst wählt um ein vereinfachtes Management zu bekommen macht damit nichts falsch.
warum man bei 2 Meraki MX ein Dienstleister benötigt?
Das ist in der Tat eine sehr gute Frage, sagt aber schon recht viel über das Unternehmen des TO aus. Vom gravierenden Sicherheitsverlust, was sowas immer mit sich bringt, mal gar nicht zu reden?!Meraki ist per se nicht schlecht, man muss aber immer im Hinterkopf behalten das man da quasi in einem Abo Model gefangen ist. Bezahlt man nicht, hat man nur noch dumme Ziegelsteine. Man hängt also immer fest in einem Vendor Lock am Fliegenfänger.
Wer damit leben kann oder es gerade bewusst wählt um ein vereinfachtes Management zu bekommen macht damit nichts falsch.
Das WARUM kommentiere ich jetzt einmal nicht. Auch das Thema Sicherheit nicht. Work in progress...
Es ist ... kompliziert, so gewachsen und so weiter.... und dass ich allein das Netzwerk selbst nicht managen kann, gebe ich ja zu ...
@ tech-flare
Zitat von @tech-flare:
Meraki WIFI kann ich nur empfehlen. Funktioniert auch super mit einem NAC. Z.B. Packetfence.
Also wir betreiben ein globales Netzwerk mit über 800 Meraki Geräte und ich frage mich, warum man bei 2 Meraki MX ein Dienstleister benötigt?
Meraki WIFI kann ich nur empfehlen. Funktioniert auch super mit einem NAC. Z.B. Packetfence.
Also wir betreiben ein globales Netzwerk mit über 800 Meraki Geräte und ich frage mich, warum man bei 2 Meraki MX ein Dienstleister benötigt?
Du meinst, weil die eh schon so einfach sind, dass da kein Dienstleister nötig ist?
Möglich... wenn man mal fertig umgestellt ist. So vom Handling sind sie einfach, das stimmt.
Du kannst die MS355 / MS425 oder MS450 (QSFP only) als Core verwenden. VRRP / FullStack / L3 unterstützen diese alle.
Stacken kannst du diese über dedizierte Stacking Ports und / oder SFP+ oder QSFP Ports. ( Mischbetrieb möglich).
An einem Standort steht bei uns ein 4 x MS425 Core Stack verteilt auf 2 RZ. Als Stack Ports dienen da mehrere SFP+ Ports, welcher über ca 120m OM3 verbunden bin. QSFP wäre aber auch möglich.
DANKE!
Das wäre ja mal ein Vorschlag mit Schritt vorwärts für mich... sehe ich mir an
Wenn man die Kosten betrachtet, dann eher die MS355, weil sonst könnte ich auch bei den C9500 bleiben.
Das Thema Geld hab ich natürlich nicht angeschnitten, aber genehmigt muss es ja auch erst werden...
- vPC = virtual Port Channel = Cisco Nomenklatur für MLAG Verfahren.
- HSRP = Hot Standaby Routing Protokoll = Die proprietäre Cisco Variante zu VRRP. Siehe hier.
- Distance Stacking sind alle Full Stack Verfahren die über klassische Netzwerk Infrastruktur rennen wie Glasfaser, Kupfer usw. mit 10G und aufwärts. Also ohne proprietäre Stacking Ports und Kabel.
1
