7
Netzdesignfrage für kleinen Standort
Hallo zusammen,
wir haben einen kleinen Standort aktuell per MPLS angebunden (20MA) und die gesamte IT ( File, Exch, SAP usw.) steht im Hauptstandort. <- Internet-Netzausstieg Hauptstandort
Nun gibt es manchmal ( 2-4 mal kurz im Monat) hier und da ein paar Spitzen wenn fleißig per Teams und auf dem Filer gearbeitet wird.
Anstelle die Skalierbarkeit der MPLS-Strecke zu nutzen und noch etwas nach oben zu Skalieren (aktuell 50Mbit), soll ein zweiter Netzausstieg ( Consumer Vertrag )mit dann einer separaten FW Appliance betrieben werden und das dann nur für Internet.
Ich selber halte das eher für unnütz und möchte hier mal fragen, ob Ihr solch ein Konzept betreibt und wie viel das am Ende Punkte bringt? ( Redundanz ist nicht, da selber Provider und Knoten dahinter)
Letztendlich wäre der Aufwand, falls unbedingt gewünscht, ja nicht wirklich hoch. ( FW Appliance, Routing auf Firmennetz ins MPLS, Default auf extra WAN-Schnittstelle)
Natürlich kommt dann die Betreuung der FW Appliance dazu.
Was haltet Ihr davon bzw. habt Ihr noch bessere Vorschläge?
Vielen Dank!
wir haben einen kleinen Standort aktuell per MPLS angebunden (20MA) und die gesamte IT ( File, Exch, SAP usw.) steht im Hauptstandort. <- Internet-Netzausstieg Hauptstandort
Nun gibt es manchmal ( 2-4 mal kurz im Monat) hier und da ein paar Spitzen wenn fleißig per Teams und auf dem Filer gearbeitet wird.
Anstelle die Skalierbarkeit der MPLS-Strecke zu nutzen und noch etwas nach oben zu Skalieren (aktuell 50Mbit), soll ein zweiter Netzausstieg ( Consumer Vertrag )mit dann einer separaten FW Appliance betrieben werden und das dann nur für Internet.
Ich selber halte das eher für unnütz und möchte hier mal fragen, ob Ihr solch ein Konzept betreibt und wie viel das am Ende Punkte bringt? ( Redundanz ist nicht, da selber Provider und Knoten dahinter)
Letztendlich wäre der Aufwand, falls unbedingt gewünscht, ja nicht wirklich hoch. ( FW Appliance, Routing auf Firmennetz ins MPLS, Default auf extra WAN-Schnittstelle)
Natürlich kommt dann die Betreuung der FW Appliance dazu.
Was haltet Ihr davon bzw. habt Ihr noch bessere Vorschläge?
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630142
Url: https://administrator.de/contentid/630142
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
7 Kommentare
Neuester Kommentar
Wenn man es denn macht, ist der Ansatz das auf eine komplett separate Hardware auszulagern grundfalsch.
Sinnvoll ist die bestehende Firewall zu nutzen und der einen 2ten WAN Port zu verpassen und dann ein entsprechendes Policy Routing bzw. Balancing zu machen mit gegenseitigem Failover.
So kann man sehr granular steuern was man über MPLS oder den 2ten separaten Anschluss senden möchte und das gleichzeitig mit einer Failover Funktion. Mit deinem o.a. eher schlechten Netz Design ist das nur sehr schwer möglich.
Sowas kann heute jede einfache Firewall:
https://www.heise.de/select/ct/2016/24/1479992026108405
Vermutlich auch deine vorhandene ?!
Das wäre ein gängiges Allerweltsdesign was in fast allen Firmen zum Einsatz kommt die Wert auf Performance, Redundanz bzw. eine redundante Niederlassungs Anbindung legen.
Sinnvoll ist die bestehende Firewall zu nutzen und der einen 2ten WAN Port zu verpassen und dann ein entsprechendes Policy Routing bzw. Balancing zu machen mit gegenseitigem Failover.
So kann man sehr granular steuern was man über MPLS oder den 2ten separaten Anschluss senden möchte und das gleichzeitig mit einer Failover Funktion. Mit deinem o.a. eher schlechten Netz Design ist das nur sehr schwer möglich.
Sowas kann heute jede einfache Firewall:
https://www.heise.de/select/ct/2016/24/1479992026108405
Vermutlich auch deine vorhandene ?!
Das wäre ein gängiges Allerweltsdesign was in fast allen Firmen zum Einsatz kommt die Wert auf Performance, Redundanz bzw. eine redundante Niederlassungs Anbindung legen.
Hallo Aqui und danke für deine schnelle Antwort!
Es ist so, dass an diesem Standort reinweg, da keinerlei IT dort stehen sollte, ausschließlich das Provider Gateway ist und natürlich 2 Switche, mehr nicht. Ganz früher stand dort eine klassiche FW und baute einen IPSEC S2S zu dem Hauptstandort auf.
Also.... Aktuell steht dort keine FW, denn der InternetNetzausstieg läuft über den Hauptsstandort.
D.h., ich würde nun wieder eine FW an den Nebenstandort stellen und diese würde dann mit 2 WAN-Ports auf die unterschiedlichen WANs ( MPLS und ConsumerDSL) per Policy Routing routen.
Und da ist die Frage, ob das tatsächlich Sinn macht, das internet über die eine Leitung und internen Traffic über MPLS zu routen?
Oder aber 2. Leitung weglassen und die Glasfaser vom MPLS nach oben zu skalieren.
Es ist so, dass an diesem Standort reinweg, da keinerlei IT dort stehen sollte, ausschließlich das Provider Gateway ist und natürlich 2 Switche, mehr nicht. Ganz früher stand dort eine klassiche FW und baute einen IPSEC S2S zu dem Hauptstandort auf.
Also.... Aktuell steht dort keine FW, denn der InternetNetzausstieg läuft über den Hauptsstandort.
D.h., ich würde nun wieder eine FW an den Nebenstandort stellen und diese würde dann mit 2 WAN-Ports auf die unterschiedlichen WANs ( MPLS und ConsumerDSL) per Policy Routing routen.
Und da ist die Frage, ob das tatsächlich Sinn macht, das internet über die eine Leitung und internen Traffic über MPLS zu routen?
Oder aber 2. Leitung weglassen und die Glasfaser vom MPLS nach oben zu skalieren.
HI,
als Überlegung, wir haben an jedem Standort 2 ANschlüsse.
Einen normalen VDSL für Telefonie uns Surfen und einen Separaten DCIP Anschluss für die Standortvernetzung und als Fallback-Option.
Das ganze ist über unsere Firewall als Multi-WAN geroutet.
Du bräuchtest dann an deinem Hauptstandort einen 2. Zugang, oder einen schnelleren.
Gruß
als Überlegung, wir haben an jedem Standort 2 ANschlüsse.
Einen normalen VDSL für Telefonie uns Surfen und einen Separaten DCIP Anschluss für die Standortvernetzung und als Fallback-Option.
Das ganze ist über unsere Firewall als Multi-WAN geroutet.
Du bräuchtest dann an deinem Hauptstandort einen 2. Zugang, oder einen schnelleren.
Gruß
Es muss ja keine Firewall sein ein Dual WAN Balancing Router tuts ja auch... Aber nicht einmal der wäre bei entsprechender Switch Hardware nötig !
Das Problem ist immer der MPLS Provider Router. Den sollte man niemals als Default Gateway angeben, denn damit begibt man sich immer in völlige Abhängigkeit eines Systems auf das man als IT Verantwortlicher keinerlei Zugang hat bzw. muss bei jedem Pups den Provider fragen ob er dies und das machen kann. Ein NoGo, denn es schafft erhebliche Einschränkungen der Felxibilität und Gestaltbarkeit des eigenen Netzes.
Kein vernünftiger Admin macht sowas logischerweise, da man natürlich immer selber die Hoheit über seine Netze behalten möchte.
Mimimum wäre also immer ein Layer 3 Switch dort der über ein Transfer VLAN den MPLS Router angebunden hat.
Bessere L3 Switches supporten allesamt ein Policy Based Routing so das man diese Funktion auch immer mit den bestehenden Switchkomponenten problemlos abbilden kann.
Im einfachsten Fall ist dann ne simple FritzBox für den 2ten Anschluss notwendig und nichts mehr.
Essentiell ist das das Client Gateway wie z.B. der L3 Switch der Niederlassung immer unter deiner Hoheit ist und du mit deinen Komponenten dann entscheidest welchen Weg die Client Pakete gehen.
Wie gesagt mit einem simplen L3 Switch wäre das umsetzbar ohne das Design bei dir groß anzufassen. Das Grundprinzip erklärt z.B. dieser Foren Thread:
Cisco Router 2 Gateways für verschiedene Clients
Generell ist die Vorgehensweise ja nicht falsch, denn sie entzerrt natürlich bei hoher Last sehr massiv und effektiv den Company MPLS Link. Kollege @killtec hat es oben bestätigt wenn auch mit der klassischen Lösungsvariante.
Das Problem ist immer der MPLS Provider Router. Den sollte man niemals als Default Gateway angeben, denn damit begibt man sich immer in völlige Abhängigkeit eines Systems auf das man als IT Verantwortlicher keinerlei Zugang hat bzw. muss bei jedem Pups den Provider fragen ob er dies und das machen kann. Ein NoGo, denn es schafft erhebliche Einschränkungen der Felxibilität und Gestaltbarkeit des eigenen Netzes.
Kein vernünftiger Admin macht sowas logischerweise, da man natürlich immer selber die Hoheit über seine Netze behalten möchte.
Mimimum wäre also immer ein Layer 3 Switch dort der über ein Transfer VLAN den MPLS Router angebunden hat.
Bessere L3 Switches supporten allesamt ein Policy Based Routing so das man diese Funktion auch immer mit den bestehenden Switchkomponenten problemlos abbilden kann.
Im einfachsten Fall ist dann ne simple FritzBox für den 2ten Anschluss notwendig und nichts mehr.
Essentiell ist das das Client Gateway wie z.B. der L3 Switch der Niederlassung immer unter deiner Hoheit ist und du mit deinen Komponenten dann entscheidest welchen Weg die Client Pakete gehen.
Wie gesagt mit einem simplen L3 Switch wäre das umsetzbar ohne das Design bei dir groß anzufassen. Das Grundprinzip erklärt z.B. dieser Foren Thread:
Cisco Router 2 Gateways für verschiedene Clients
Generell ist die Vorgehensweise ja nicht falsch, denn sie entzerrt natürlich bei hoher Last sehr massiv und effektiv den Company MPLS Link. Kollege @killtec hat es oben bestätigt wenn auch mit der klassischen Lösungsvariante.
Unsere "Größten" Standorte (>600 Clients) sind mit 2 MPLS (Primary & Backup) jeweils verbunden....Diese Standorte betreiben komplett eigene Server (Fileserver....MES ...etc)...somit ist die Last auf der MPLS relativ gering.
Der Internet Breakout erfolgt am jeweiligen Standort z.B. über einen DCIP Anschluss.
Geroutet wird jeweils über einen Layer3 Switch Richtung MPLS oder Richtung Firewall für den WAN Anschluss
Der Internet Breakout erfolgt am jeweiligen Standort z.B. über einen DCIP Anschluss.
Geroutet wird jeweils über einen Layer3 Switch Richtung MPLS oder Richtung Firewall für den WAN Anschluss
Die Daten teilweise in ein DFS zu legen, ist keine Option?
Hallo zusammen,
vielen Dank für den ganzen Input.
@142583, das war leider keine Option, da sozusagen keine IT aufgrund des fehlenden Serverraums dort stehen sollte.
@aqui, so wird es nun auch werden. Ich werde den Rat befolgen und eine FW dort hinstellen. Wie du schon sagtest und für uns in den vergangenen Jahr auch insgesamt sehr nervig war, dass bei Routingänderungen DHCP usw. immer der Provider mit im Boot war. War aber damals so gewünscht.
Nun wird es aber so kommen, dass wir eine FW hinstelen und per Multi WAN einmal Richtung MPLS routen für interne Ressourcen und der Rest an Internettraffic geht dann in die VDSL Verbindung. Somit bekommen wir im notefall auch noch darüber redundanz. Es ist so, dass die MA dort 10 Personen und größtenteils beim Kunden unterwegs sind. Bei Ausfall (3 kleinere durch Provider in den vergangenen 4 Jahren) lief die Redundanz über UMTS Hotspot und deren Handy. Reichte völlig aus.
Eine Idee, ob man dafür auch die Sophos Red Produkte nehmen kann? Aktuell haben wir auch Sophos im Einsatz und da würde sich das vielleicht anbieten.
Vielen Dank an alle!
vielen Dank für den ganzen Input.
@142583, das war leider keine Option, da sozusagen keine IT aufgrund des fehlenden Serverraums dort stehen sollte.
@aqui, so wird es nun auch werden. Ich werde den Rat befolgen und eine FW dort hinstellen. Wie du schon sagtest und für uns in den vergangenen Jahr auch insgesamt sehr nervig war, dass bei Routingänderungen DHCP usw. immer der Provider mit im Boot war. War aber damals so gewünscht.
Nun wird es aber so kommen, dass wir eine FW hinstelen und per Multi WAN einmal Richtung MPLS routen für interne Ressourcen und der Rest an Internettraffic geht dann in die VDSL Verbindung. Somit bekommen wir im notefall auch noch darüber redundanz. Es ist so, dass die MA dort 10 Personen und größtenteils beim Kunden unterwegs sind. Bei Ausfall (3 kleinere durch Provider in den vergangenen 4 Jahren) lief die Redundanz über UMTS Hotspot und deren Handy. Reichte völlig aus.
Eine Idee, ob man dafür auch die Sophos Red Produkte nehmen kann? Aktuell haben wir auch Sophos im Einsatz und da würde sich das vielleicht anbieten.
Vielen Dank an alle!
