Netzdesignfrage für kleinen Standort
Hallo zusammen,
wir haben einen kleinen Standort aktuell per MPLS angebunden (20MA) und die gesamte IT ( File, Exch, SAP usw.) steht im Hauptstandort. <- Internet-Netzausstieg Hauptstandort
Nun gibt es manchmal ( 2-4 mal kurz im Monat) hier und da ein paar Spitzen wenn fleißig per Teams und auf dem Filer gearbeitet wird.
Anstelle die Skalierbarkeit der MPLS-Strecke zu nutzen und noch etwas nach oben zu Skalieren (aktuell 50Mbit), soll ein zweiter Netzausstieg ( Consumer Vertrag )mit dann einer separaten FW Appliance betrieben werden und das dann nur für Internet.
Ich selber halte das eher für unnütz und möchte hier mal fragen, ob Ihr solch ein Konzept betreibt und wie viel das am Ende Punkte bringt? ( Redundanz ist nicht, da selber Provider und Knoten dahinter)
Letztendlich wäre der Aufwand, falls unbedingt gewünscht, ja nicht wirklich hoch. ( FW Appliance, Routing auf Firmennetz ins MPLS, Default auf extra WAN-Schnittstelle)
Natürlich kommt dann die Betreuung der FW Appliance dazu.
Was haltet Ihr davon bzw. habt Ihr noch bessere Vorschläge?
Vielen Dank!
wir haben einen kleinen Standort aktuell per MPLS angebunden (20MA) und die gesamte IT ( File, Exch, SAP usw.) steht im Hauptstandort. <- Internet-Netzausstieg Hauptstandort
Nun gibt es manchmal ( 2-4 mal kurz im Monat) hier und da ein paar Spitzen wenn fleißig per Teams und auf dem Filer gearbeitet wird.
Anstelle die Skalierbarkeit der MPLS-Strecke zu nutzen und noch etwas nach oben zu Skalieren (aktuell 50Mbit), soll ein zweiter Netzausstieg ( Consumer Vertrag )mit dann einer separaten FW Appliance betrieben werden und das dann nur für Internet.
Ich selber halte das eher für unnütz und möchte hier mal fragen, ob Ihr solch ein Konzept betreibt und wie viel das am Ende Punkte bringt? ( Redundanz ist nicht, da selber Provider und Knoten dahinter)
Letztendlich wäre der Aufwand, falls unbedingt gewünscht, ja nicht wirklich hoch. ( FW Appliance, Routing auf Firmennetz ins MPLS, Default auf extra WAN-Schnittstelle)
Natürlich kommt dann die Betreuung der FW Appliance dazu.
Was haltet Ihr davon bzw. habt Ihr noch bessere Vorschläge?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630142
Url: https://administrator.de/forum/netzdesignfrage-fuer-kleinen-standort-630142.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
7 Kommentare
Neuester Kommentar
Wenn man es denn macht, ist der Ansatz das auf eine komplett separate Hardware auszulagern grundfalsch.
Sinnvoll ist die bestehende Firewall zu nutzen und der einen 2ten WAN Port zu verpassen und dann ein entsprechendes Policy Routing bzw. Balancing zu machen mit gegenseitigem Failover.
So kann man sehr granular steuern was man über MPLS oder den 2ten separaten Anschluss senden möchte und das gleichzeitig mit einer Failover Funktion. Mit deinem o.a. eher schlechten Netz Design ist das nur sehr schwer möglich.
Sowas kann heute jede einfache Firewall:
https://www.heise.de/select/ct/2016/24/1479992026108405
Vermutlich auch deine vorhandene ?!
Das wäre ein gängiges Allerweltsdesign was in fast allen Firmen zum Einsatz kommt die Wert auf Performance, Redundanz bzw. eine redundante Niederlassungs Anbindung legen.
Sinnvoll ist die bestehende Firewall zu nutzen und der einen 2ten WAN Port zu verpassen und dann ein entsprechendes Policy Routing bzw. Balancing zu machen mit gegenseitigem Failover.
So kann man sehr granular steuern was man über MPLS oder den 2ten separaten Anschluss senden möchte und das gleichzeitig mit einer Failover Funktion. Mit deinem o.a. eher schlechten Netz Design ist das nur sehr schwer möglich.
Sowas kann heute jede einfache Firewall:
https://www.heise.de/select/ct/2016/24/1479992026108405
Vermutlich auch deine vorhandene ?!
Das wäre ein gängiges Allerweltsdesign was in fast allen Firmen zum Einsatz kommt die Wert auf Performance, Redundanz bzw. eine redundante Niederlassungs Anbindung legen.
HI,
als Überlegung, wir haben an jedem Standort 2 ANschlüsse.
Einen normalen VDSL für Telefonie uns Surfen und einen Separaten DCIP Anschluss für die Standortvernetzung und als Fallback-Option.
Das ganze ist über unsere Firewall als Multi-WAN geroutet.
Du bräuchtest dann an deinem Hauptstandort einen 2. Zugang, oder einen schnelleren.
Gruß
als Überlegung, wir haben an jedem Standort 2 ANschlüsse.
Einen normalen VDSL für Telefonie uns Surfen und einen Separaten DCIP Anschluss für die Standortvernetzung und als Fallback-Option.
Das ganze ist über unsere Firewall als Multi-WAN geroutet.
Du bräuchtest dann an deinem Hauptstandort einen 2. Zugang, oder einen schnelleren.
Gruß
Es muss ja keine Firewall sein ein Dual WAN Balancing Router tuts ja auch... Aber nicht einmal der wäre bei entsprechender Switch Hardware nötig !
Das Problem ist immer der MPLS Provider Router. Den sollte man niemals als Default Gateway angeben, denn damit begibt man sich immer in völlige Abhängigkeit eines Systems auf das man als IT Verantwortlicher keinerlei Zugang hat bzw. muss bei jedem Pups den Provider fragen ob er dies und das machen kann. Ein NoGo, denn es schafft erhebliche Einschränkungen der Felxibilität und Gestaltbarkeit des eigenen Netzes.
Kein vernünftiger Admin macht sowas logischerweise, da man natürlich immer selber die Hoheit über seine Netze behalten möchte.
Mimimum wäre also immer ein Layer 3 Switch dort der über ein Transfer VLAN den MPLS Router angebunden hat.
Bessere L3 Switches supporten allesamt ein Policy Based Routing so das man diese Funktion auch immer mit den bestehenden Switchkomponenten problemlos abbilden kann.
Im einfachsten Fall ist dann ne simple FritzBox für den 2ten Anschluss notwendig und nichts mehr.
Essentiell ist das das Client Gateway wie z.B. der L3 Switch der Niederlassung immer unter deiner Hoheit ist und du mit deinen Komponenten dann entscheidest welchen Weg die Client Pakete gehen.
Wie gesagt mit einem simplen L3 Switch wäre das umsetzbar ohne das Design bei dir groß anzufassen. Das Grundprinzip erklärt z.B. dieser Foren Thread:
Cisco Router 2 Gateways für verschiedene Clients
Generell ist die Vorgehensweise ja nicht falsch, denn sie entzerrt natürlich bei hoher Last sehr massiv und effektiv den Company MPLS Link. Kollege @killtec hat es oben bestätigt wenn auch mit der klassischen Lösungsvariante.
Das Problem ist immer der MPLS Provider Router. Den sollte man niemals als Default Gateway angeben, denn damit begibt man sich immer in völlige Abhängigkeit eines Systems auf das man als IT Verantwortlicher keinerlei Zugang hat bzw. muss bei jedem Pups den Provider fragen ob er dies und das machen kann. Ein NoGo, denn es schafft erhebliche Einschränkungen der Felxibilität und Gestaltbarkeit des eigenen Netzes.
Kein vernünftiger Admin macht sowas logischerweise, da man natürlich immer selber die Hoheit über seine Netze behalten möchte.
Mimimum wäre also immer ein Layer 3 Switch dort der über ein Transfer VLAN den MPLS Router angebunden hat.
Bessere L3 Switches supporten allesamt ein Policy Based Routing so das man diese Funktion auch immer mit den bestehenden Switchkomponenten problemlos abbilden kann.
Im einfachsten Fall ist dann ne simple FritzBox für den 2ten Anschluss notwendig und nichts mehr.
Essentiell ist das das Client Gateway wie z.B. der L3 Switch der Niederlassung immer unter deiner Hoheit ist und du mit deinen Komponenten dann entscheidest welchen Weg die Client Pakete gehen.
Wie gesagt mit einem simplen L3 Switch wäre das umsetzbar ohne das Design bei dir groß anzufassen. Das Grundprinzip erklärt z.B. dieser Foren Thread:
Cisco Router 2 Gateways für verschiedene Clients
Generell ist die Vorgehensweise ja nicht falsch, denn sie entzerrt natürlich bei hoher Last sehr massiv und effektiv den Company MPLS Link. Kollege @killtec hat es oben bestätigt wenn auch mit der klassischen Lösungsvariante.
Unsere "Größten" Standorte (>600 Clients) sind mit 2 MPLS (Primary & Backup) jeweils verbunden....Diese Standorte betreiben komplett eigene Server (Fileserver....MES ...etc)...somit ist die Last auf der MPLS relativ gering.
Der Internet Breakout erfolgt am jeweiligen Standort z.B. über einen DCIP Anschluss.
Geroutet wird jeweils über einen Layer3 Switch Richtung MPLS oder Richtung Firewall für den WAN Anschluss
Der Internet Breakout erfolgt am jeweiligen Standort z.B. über einen DCIP Anschluss.
Geroutet wird jeweils über einen Layer3 Switch Richtung MPLS oder Richtung Firewall für den WAN Anschluss
Die Daten teilweise in ein DFS zu legen, ist keine Option?