banane31
Goto Top

Netzwerkaufbau - Neuaufbau

Guten Abend zusammen,

heute möchte ich hauptsächlich die Netzwerkspezis unter euch ansprechen und erhoffe mir Kritik.

Es geht darum, dass wir unser komplettes EDV Netzwerk neu aufbauen müssen und auch wollen.

Als Switche werden in Zukunft folgende Systeme eingesetzt:
Ruckus ICX 7150-48P PoE
Ruckus ICX 7150-24P PoE

Als Firewall wird eine Sopohs XG 330 angeschafft. (Für Hauptstandort, die anderen erhalten ein kleineres Model)

Aktuell ist der Aufbau so:

MPLS Netzwerk mit Carrier. Dieser stellt und die Leitungen und die Vernetzung bereit, jeweils mit Cisco 886VA Routern.
Dieses Konstruktur soll im kommenden Jahr durch eigene VDSL / LWL Anbindungen (Telekom, Vodafone, 1&1) abgelöst werden.
Jeder Standort erhält eine eigene Firewall und darüber wird eine VPN laufen.

Hauptstandort:
EtherConnect 50/50 MBit (deutlich zu wenig)
11x HP 48 Port PoE Switche (teilweise kaskadiert)
9x HP 48 Port Switche (teilweise kaskadiert)
9x 24 Port HP Switche
Diverse ESX-Server, 2 NetApps, Watchguard T30, Ruckus Wireless
ca. 120 Igel Thin Clients
ca. 80 Notebooks
ca. 20 Desktop PC's
ca. 80 Firmen Smartphones
ca. 20 Firmen Tablets
ca. 30 Drucker
ca. 170 Mitarbeiter

Außenstelle 1:
VDSL 50/10 Mbit
2x Ruckus ICX 7150-24P (Stack)
ca. 10 Igels
ca. 2 Desktop PC's
ca. 5 Notebooks
ca. 4 Drucker
ca. 10 Mitarbeiter (bei Veranstaltungen o.ä. max. 40 Personen)

Außenstelle 2:
SDSL 5/5 MBit
1x 100 MBit 24 Port 3Com Switch
1x HP 48 Port PoE Switch
ca. 40 igels
ca. 5 Desktop PC's
ca. 5 Notebooks
ca. 4 Drucker
ca. 50 Mitarbeiter

Außenstelle 3:
SDSL 10/10 MBit
2x HP 48 Port PoE Switch
ca. 30 igels
ca. 5 Desktop PC's
ca. 5 Notebooks
ca. 2 Drucker
ca. 40 Mitarbeiter

Außenstelle 4:
SHDSL 384 KBit/s
1x HP 24 Port PoE Switch
ca. 3 igels
ca. 2 Notebooks
ca. 2 Drucker
ca. 3 Mitarbeiter

Außenstelle 5:
SHDSL 2/2 Mbit/s
1x HP 24 Port PoE Switch
ca. 3 igels
ca. 1 Desktop PC's
ca. 2 Notebooks
ca. 2 Drucker
ca. 4 Mitarbeiter


Alle Standorte greifen auf den Hauptstandort zu und arbeiten via Citrix auf der VMWare Farm.
Aktuell gibt es pro Standort lokal 3 Netz Segmente, jeweils ein /22 Subnetz.

Aufgrund der besseren Segmentierung der Netzwerke und Absicherung des gesamten Firmennetzwerks soll eine neue Struktur her.

Anbei eine Liste, wie der Neuaufbau geplant ist:

Netzwerk Netzmaske Gateway Bezeichnung Standort VLAN ID
10.10.0.0 255.255.252.0 10.10.3.254 Server Infrastruktur Haupstandort 100
10.10.4.0 255.255.252.0 10.10.7.254 Management EDV Haupstandort 110
10.10.8.0 255.255.252.0 10.10.11.254 Generic Devices (Drucker) Haupstandort 120
10.10.12.0 255.255.252.0 10.10.15.254 Clients (Igel, PC) Haupstandort 10
10.10.16.0 255.255.252.0 10.10.19.254 Telefon Haupstandort 20
10.10.20.0 255.255.252.0 10.10.23.254 GE-INTERN (Firmen Notebook) Haupstandort 1000
10.10.24.0 255.255.252.0 10.10.27.254 GE-Mobile (Firmen Handys) Haupstandort 1001
10.10.28.0 255.255.252.0 10.10.31.254 GE-Members (GE Mitarbeiter) Haupstandort 1002
10.10.32.0 255.255.252.0 10.10.35.254 GE-Guests (Gäste WLAN) Haupstandort 1003
10.10.36.0 255.255.252.0 10.10.39.254 GE-MGMT (EDV Management) Haupstandort 1004
10.10.40.0 255.255.255.0 10.10.40.254 DMZ Netscaler Haupstandort 200
10.10.41.0 255.255.255.0 10.10.41.254 DMZ Firewall Haupstandort 210
10.10.42.0 255.255.252.0 10.10.45.254 WDS / PXE-Server Haupstandort 130
172.1.1.0 255.255.255.0 172.1.1.254 VPN MGMT Haupstandort 2000
172.1.2.0 255.255.252.0 172.1.5.254 VPN Mobilegeräte (intern) Haupstandort 2001
10.10.254.0 255.255.255.0 10.10.254.254 Domänencontroller / DHCP / DNS Haupstandort 5
Netzwerk Netzmaske Gateway Bezeichnung Standort VLAN ID
10.20.0.0 255.255.255.0 10.20.0.254 Server Infrastruktur Außenstelle 1 100
10.20.4.0 255.255.255.0 10.20.4.254 Management EDV Außenstelle 1 110
10.20.8.0 255.255.255.0 10.20.8.254 Generic Devices (Drucker) Außenstelle 1 120
10.20.12.0 255.255.255.0 10.20.12.254 Clients (Igel, PC) Außenstelle 1 10
10.20.16.0 255.255.255.0 10.20.16.254 Telefon Außenstelle 1 20
10.20.20.0 255.255.255.0 10.20.20.254 GE-INTERN (Firmen Notebook) Außenstelle 1 1000
10.20.24.0 255.255.255.0 10.20.24.254 GE-Mobile (Firmen Handys) Außenstelle 1 1001
10.20.28.0 255.255.255.0 10.20.28.254 GE-Members (GE Mitarbeiter) Außenstelle 1 1002
10.20.32.0 255.255.255.0 10.20.32.254 GE-Guests (Gäste WLAN) Außenstelle 1 1003
10.20.36.0 255.255.255.0 10.20.36.254 GE-MGMT (EDV Management) Außenstelle 1 1004
Netzwerk Netzmaske Gateway Bezeichnung Standort VLAN ID
10.30.0.0 255.255.255.0 10.30.0.254 Server Infrastruktur Außenstelle 2 100
10.30.4.0 255.255.255.0 10.30.4.254 Management EDV Außenstelle 2 110
10.30.8.0 255.255.255.0 10.30.8.254 Generic Devices (Drucker) Außenstelle 2 120
10.30.12.0 255.255.255.0 10.30.12.254 Clients (Igel, PC) Außenstelle 2 10
10.30.16.0 255.255.255.0 10.30.16.254 Telefon Außenstelle 2 20
10.30.20.0 255.255.255.0 10.30.20.254 GE-INTERN (Firmen Notebook) Außenstelle 2 1000
10.30.24.0 255.255.255.0 10.30.24.254 GE-Mobile (Firmen Handys) Außenstelle 2 1001
10.30.28.0 255.255.255.0 10.30.28.254 GE-Members (GE Mitarbeiter) Außenstelle 2 1002
10.30.32.0 255.255.255.0 10.30.32.254 GE-Guests (Gäste WLAN) Außenstelle 2 1003
10.30.36.0 255.255.255.0 10.30.36.254 GE-MGMT (EDV Management) Außenstelle 2 1004
Netzwerk Netzmaske Gateway Bezeichnung Standort VLAN ID
10.40.0.0 255.255.255.0 10.40.0.254 Server Infrastruktur Außenstelle 3 100
10.40.4.0 255.255.255.0 10.40.4.254 Management EDV Außenstelle 3 110
10.40.8.0 255.255.255.0 10.40.8.254 Generic Devices (Drucker) Außenstelle 3 120
10.40.12.0 255.255.255.0 10.40.12.254 Clients (Igel, PC) Außenstelle 3 10
10.40.16.0 255.255.255.0 10.40.16.254 Telefon Außenstelle 3 20
10.40.20.0 255.255.255.0 10.40.20.254 GE-INTERN (Firmen Notebook) Außenstelle 3 1000
10.40.24.0 255.255.255.0 10.40.24.254 GE-Mobile (Firmen Handys) Außenstelle 3 1001
10.40.28.0 255.255.255.0 10.40.28.254 GE-Members (GE Mitarbeiter) Außenstelle 3 1002
10.40.32.0 255.255.255.0 10.40.32.254 GE-Guests (Gäste WLAN) Außenstelle 3 1003
10.40.36.0 255.255.255.0 10.40.36.254 GE-MGMT (EDV Management) Außenstelle 3 1004
Netzwerk Netzmaske Gateway Bezeichnung Standort VLAN ID
10.50.0.0 255.255.255.0 10.50.0.254 Server Infrastruktur Außenstelle 4 100
10.50.4.0 255.255.255.0 10.50.4.254 Management EDV Außenstelle 4 110
10.50.8.0 255.255.255.0 10.50.8.254 Generic Devices (Drucker) Außenstelle 4 120
10.50.12.0 255.255.255.0 10.50.12.254 Clients (Igel, PC) Außenstelle 4 10
10.50.16.0 255.255.255.0 10.50.16.254 Telefon Außenstelle 4 20
10.50.20.0 255.255.255.0 10.50.20.254 GE-INTERN (Firmen Notebook) Außenstelle 4 1000
10.50.24.0 255.255.255.0 10.50.24.254 GE-Mobile (Firmen Handys) Außenstelle 4 1001
10.50.28.0 255.255.255.0 10.50.28.254 GE-Members (GE Mitarbeiter) Außenstelle 4 1002
10.50.32.0 255.255.255.0 10.50.32.254 GE-Guests (Gäste WLAN) Außenstelle 4 1003
10.50.36.0 255.255.255.0 10.50.36.254 GE-MGMT (EDV Management) Außenstelle 4 1004
Netzwerk Netzmaske Gateway Bezeichnung Standort VLAN ID
10.60.0.0 255.255.255.0 10.60.0.254 Server Infrastruktur Außenstelle 5 100
10.60.4.0 255.255.255.0 10.60.4.254 Management EDV Außenstelle 5 110
10.60.8.0 255.255.255.0 10.60.8.254 Generic Devices (Drucker) Außenstelle 5 120
10.60.12.0 255.255.255.0 10.60.12.254 Clients (Igel, PC) Außenstelle 5 10
10.60.16.0 255.255.255.0 10.60.16.254 Telefon Außenstelle 5 20
10.60.20.0 255.255.255.0 10.60.20.254 GE-INTERN (Firmen Notebook) Außenstelle 5 1000
10.60.24.0 255.255.255.0 10.60.24.254 GE-Mobile (Firmen Handys) Außenstelle 5 1001
10.60.28.0 255.255.255.0 10.60.28.254 GE-Members (GE Mitarbeiter) Außenstelle 5 1002
10.60.32.0 255.255.255.0 10.60.32.254 GE-Guests (Gäste WLAN) Außenstelle 5 1003
10.60.36.0 255.255.255.0 10.60.36.254 GE-MGMT (EDV Management) Außenstelle 5 1004

Ich würde gerne mal eure Meinung dazu hören und Wissen wollen, wie ihr sowas umsetzten würde.

Der Hauptstandort soll binnen eines Wochenendes auf das "neue Netz" umgestellt werden, die externen Standorte dann nach und nach auch.
Am Hauptstandort haben wir ca. 50 terminalserver, 40 Windows VM's (Exchange, DC, SQL'er), 20 Linux VM's (MariaDB. Tickets, Verwaltung)

Da ich alleine für die gesamte Unternehmens IT zuständig bin, eine schwere Aufgabe.
Ein externer Dienstleister (mit dem wird schon zusammen gearbeitet) soll dabei unterstützten und die Switche verkaufen.
Leider kommt von den Kollegen keinerlei Input oder Fahrplan wie eine solche Umstellung ablaufen kann/soll.

Gesamtvolumen des Auftrags: ca. 60.000€ Netto.

Ich wünsche noch ein schönes Wochenende und würde mich über konstruktive Kritik freuen.

Content-ID: 381623

Url: https://administrator.de/contentid/381623

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

certifiedit.net
certifiedit.net 28.07.2018 aktualisiert um 22:52:26 Uhr
Goto Top
Moin Banane,

wenn du möchtest kannst du mir gerne eine PN mit deinen Kontaktdaten zu kommen lassen, dann können wir das gemeinsam planen (PM) oder planen und Umsetzen. Hier zu fragen, wie "die Masse" es planen würde, führt zu 10 Antwortenden und 15 Antworten, nur eine kosistente macht aber Sinn.
Abgesehen davon, soll nur das Netz umgezogen werden oder auch Server neu installiert? Kannst du verifizieren, dass die Server beim umswitchen so mitmachen? Je nach dem halte ich 60.000 für Netzwerk, Server usw für sehr gering angesetzt, alleine die Sophos (warum eine XG? Empfehle nach wie vor die SG) peile ich mit ca 30-35 ggf auch 40k an. Dann noch HA...

Der Umzug, damit er an einem WE klappt (wie steht es mit der effektiven Manpower?) muss wohl auch bereits Wochenlang davor unter genauer Einsicht der Systeme und Abläufe geplant werden.

Wie gesagt, komm gerne wegen des Fahrplans (und auf Wunsch auch Sophos und Hardware, etc...) auf mich zu.

Liebe Grüße und schönen Abend,

Christian

PS: Die VLANs inkl IP Range und Standort hier aufzuzeigen halte ich für gewagt. Gut, die Wahrscheinlichkeit mag gering sein, dennoch muss man es aber Angreifern nicht so einfach machen...
UweGri
UweGri 28.07.2018 aktualisiert um 23:28:39 Uhr
Goto Top
Großer Gott!

A Der Preis ist ein Witz! Setze ne 2 davor.

B DU alleine? Wer hat diesen Plan entwickelt?

C Ein WE? Dazu bedarf es ein exaktes Projekt, Test-Szenarien. Wieder zurück zu B: DU alleine?

D Wenn Du der wahre und einzige ITler dort bist, sollte Deine einzige Aufgabe da drinnen bestehen, einen Dienstleister zu finden, der das Ganze nach Vorgabe umsetzt. Zurück zu A, setze ne 3 davor

Da ich alleine für die gesamte Unternehmens IT zuständig bin, eine schwere Aufgabe.

Eigentlich unlösbar!

Ein externer Dienstleister (mit dem wird schon zusammen gearbeitet) soll dabei unterstützten und die Switche verkaufen.

Wenn der Verkauf die gesamte "Unterstützung" ist, hole Dir ne längere Krankschreibung ...

Uwe
brammer
brammer 29.07.2018 um 07:21:01 Uhr
Goto Top
Guten Morgen,

Ich kann den beiden Kollegen @certifiedit.net und @UweGri nur recht geben....
Für ein Wochenende ist das ziemlich deftig, und nur wenn gar nichts schief geht überhaupt annähernd umsetzbar...
Das IP / VLAN Schema sieht es mal gut aus.... auch wenn mir ein Management VLAN fehlt.

Wenn du den Hauptstandort umziehst, wer ändert das Routing an den Niederlassungen?
Hast du ein rollback falls du Sonntag Abend feststellst das es eben nicht klappt?

Alleine?
Keine Chance....
Ein Team von 6-8 Leuten plus einen Kollegen in den Niederlassungen in Bereitschaft....
Und alles vorher testen...
Dann kann das klappen.

Brammer
Th0mKa
Th0mKa 29.07.2018 um 10:35:58 Uhr
Goto Top
Moin,

ich halte das Konstrukt für viel zu kompliziert für eine 1-Mann IT, du hast stellenweise 10 VLANs für 4 Nutzer.
Der Managementaufwand steigt enorm, der Sicherheitsgewinn ist überschaubar.

VG,
Thomas
Spirit-of-Eli
Spirit-of-Eli 29.07.2018 um 21:59:25 Uhr
Goto Top
Moin,

das ist nur an "einem Wochenende" umsetzbar, wenn alles vorkonfiguriert und getestet wurde.
Auch so wird das für eine Person alleine auch nicht zu stemmen sein!

Eig. kannst du an das Projekt nen Haken dran machen oder es anlaufen lassen und dich auf Jobsuche begeben.

Gruß
Spirit
Deepsys
Deepsys 30.07.2018 um 08:38:50 Uhr
Goto Top
Guten Morgen,

alleine schafft du am Wochenende keine 19 Switch zu tauschen, außer es ist ein langes Wochenende mit 4 Tagen.
Nimm dir den Dienstleister mit dazu, der soll da mitmachen und nicht nur verkaufen.

Ich finde deine VLANs viel zu groß, die kannst du eh nicht füllen, der Broadcast wird zu groß
"10.10.8.0 255.255.252.0 10.10.11.254 Generic Devices (Drucker) Haupstandort 120"
Für 30 Drucker??? Ein /24 Netzwerk ist übersichtlicher und reicht völlig aus, also 10.10.8.0 255.255.255.0

Was macht die Watchguard T30 jetzt und warum gehst du dann auf Sophos?
Wenn du die Watchguard gut kennst, würde ich mir nicht auch noch die Firewall ändern. Das sind zuviele Änderungen für einen.
Wenn die Ruckus Switche richtig eingestellt sind, kannst du an de nächsten Austausch.

In den Außenstellen 4&5 würde ich alle Geräte in ein Netz packen, und evtl. ein Management. Die WLANs würde ich dort auch reduzieren.
Das finde ich zuviel; für 2 Drucker ein eigenes VLAN?
Allerdings wäre es dann überall gleich ...

Versuche die Anbindung von den Hauptstandort vorher schon mal zu testen einzurichten.
Denn die muss auch an dem Wochenende an allen Standorten geändert werden!!

Ich würde das ganze Projekt noch mal unterteilen.
Erst das Standortnetzwerk schrittweise erneuern, dann die neuen VLANs und IPs und an das Routing gehen.
Aber nicht in einem Schritt, das sind viel zu viele Fallen in die du tappen kannst.

Ansonsten sieht es logisch aus.

VG,
Deepsys
Spirit-of-Eli
Spirit-of-Eli 30.07.2018 um 09:21:13 Uhr
Goto Top
Ich würde die Wachtguard ohne hin einer Sophos vorziehen.
certifiedit.net
certifiedit.net 30.07.2018 um 09:25:11 Uhr
Goto Top
Aus welcher Überlegung heraus?
Spirit-of-Eli
Spirit-of-Eli 30.07.2018 um 10:11:35 Uhr
Goto Top
Zitat von @certifiedit.net:

Aus welcher Überlegung heraus?

In diesem Fall hier?
Es ist schlicht und ergreifend ein Kostenfaktor. Es sei denn dort steht irgend was kleines und kann die Bandbreite nicht mehr händeln.

Die Konfiguration einer Watchguard finde ich durchaus variabler und einfacher gestaltet als dies bei Sophos der Fall ist.

"Feature f***ing" mäßig tun die Produkte sich nicht als zu viel, außer das bei WG z.b. TDR das Bild abrundet und die Clients in den Analyse- und Verwaltungsprozess mit einbezieht.

//Nebenbei, sollte der TO denken dass die Sophos ja auch schön als VM betrieben werden kann ist davon wie immer abzuraten.
Diese Option gibt es aber auch bei WG..
ipzipzap
ipzipzap 30.07.2018 um 10:14:48 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
//Nebenbei, sollte der TO denken dass die Sophos ja auch schön als VM betrieben werden kann ist davon wie immer abzuraten.

Warum?
brammer
brammer 30.07.2018 um 11:22:13 Uhr
Goto Top
Hallo,

Warum?

weil du hier ein weiteres Loch schaffst...
Wenn das Host System kompromittiert ist merkt die Firewall nicht mal das sie umgangen wird...
Firewall nach außen immer als Blech....

brammer
certifiedit.net
certifiedit.net 30.07.2018 um 11:33:43 Uhr
Goto Top
Gut, da geh ich mit dir d'accord. @utm Nur als HW.

@konfiguration würde ich dies genau andersherum sehen.

@aufwand sehen wir wohl bisher alle nur den sichtbaren Eisberg, allerdings erahnen wir wohl im Gegensatz zum TO, was unter der Oberfläche ist. Ich tippe daher, dass mindestens die Aussenstellen neu aufgestellt werden müssen. Zudem wissen wir nichts von den eigentlichen Anforderungen. (Wie stehen die server derzeit da, gibt es hier noch ungünstige Netzkonstellationen usw. usf.)

Aber hat nichts mit der UTM Decision zu tun, ist auch ein Stückweit subjektiv, von der XG rate ich aber (derzeit) auch ab.

VG
brammer
brammer 30.07.2018 um 11:44:58 Uhr
Goto Top
Hallo,

@certifiedit.net

@aufwand sehen wir wohl bisher alle nur den sichtbaren Eisberg, allerdings erahnen wir wohl im Gegensatz zum TO, was unter der Oberfläche ist.

und viele von uns haben mit solchen Projekten schon zu tun gehabt und "wissen" was schief gehen kann... und nach Murphy.. auch schief gehen wird...

brammer
Deepsys
Deepsys 30.07.2018 um 11:46:03 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Es ist schlicht und ergreifend ein Kostenfaktor. Es sei denn dort steht irgend was kleines und kann die Bandbreite nicht mehr händeln.
Das ist hier wohl auch der Fall, die T30 ist ein Desktopgerät und kann hier wohl weder die neue Performance und hat auch zu wenig VPN-tunnel.

Mir ging es eher darum hier dann wieder eine Watchguard, oder was auch immer, Hauptsache er kennt das Produkt, zu nehmen.
Später wenn der ganze Rest umgestellt ist, würde ich mir dann eine Firewall angucken.
Oder auch deutlich vor dem Umbau Wochenende.

Switche tauschen, neue Firewall, neue IP, neue Routen .... an einem WE??
Dann würde ich mir für die kommende Woche schon mal einen gelben Schein besorgen .....
Obwohl den hätte er am Dienstag eh, nachdem er am Montag von allen Seiten Schläge bekommen hätte .... nein, das wollen wir nicht

Warum muss eigentlich alles gleichzeitig gemacht werden?
Wie gesagt, ich würde das unterteilen und das Wichtigste zuerst machen.
Klar, hängt das alles zusammen, aber alle hier sind ja der Meinung das ist für einen zuviel.
certifiedit.net
certifiedit.net 30.07.2018 um 13:39:09 Uhr
Goto Top
genau das. face-wink
clSchak
clSchak 30.07.2018 aktualisiert um 20:26:35 Uhr
Goto Top
Hi

ich schließe mich den Vorrednern an, mach es etappenweise. Fange mit dem Core an - und da bitte keine 7150 - da kannst ruhig 2 x 7750 nehmen (als Stack), je nach Routingprotokoll (RIP sollte hier schon reichen) musst nicht einmal zusätzliche Lizenzen beschaffen.

NetApp in Verbindung mit ESXi - ich tippe mal das Ihr entweder NFS oder iSCSI als Storage-Protokoll verwendet, ich weis nicht wie viele 1G oder 10G Ports Ihr da im Einsatz habt, aber ich würde das über dedizierte Switche laufen lassen, wobei, wenn du die 7750er verwendest kannst es auch mit darüber laufen lassen (10G).

Die Edge-Bereiche kannst dann nach und nach machen und das sogar am Abend innerhalb von ein bis zwei Stunden, damit verteilst du dir die Arbeit gleichmäßig und hast immer eine geringere Fehlerquote. Woraus du lediglich achten muss bei HP & Ruckus: Spanningtree, Ruckus kann das von Haus aus mit 802.1w was HP NICHT kann und es da zu Problemen kommen kann.

Und wenn du schon dabei bist, patche alles neu, entweder du hast gescheite Patchkabel und Führungen oder du machst das in einem Rutsch mit, ziehen wir momentan überall nach und wir legen aktuell immer 100% auf, alle Dosen / Anschlüsse sind angeschlossen, nicht benötigte Ports sind deaktiviert, das erspart einen später das nachpatchen und der Schrank sieht nach 2 Jahren nicht aus als hätte der Azubi vorher Schützenfest gefeiert face-wink - Doku ist zwar jede Menge Fleißarbeit, erspart einem aber im Nachgang die Rennerei um zu schauen wo was angeschlossen ist.

Firewallhersteller ist gehopst wie gesprungen, hätte ich die Wahl würde ich Watchguard nehmen, wir haben zwar aktuell Fortinet im Einsatz aber tendenziell finde ich das Management der WG deutlich besser - Feature-Sets sind bei alle Herstellern nahezu gleich, auch wenn es z.T. anders heisst. Wenn du "richtig" Zeit hast, dann schaue dir pfSense an für die Standortvernetzung.

Die alten HP Switche würde ich evtl. noch für eine dediziertes Management Netz verwenden, dann hast das auch erschlagen.

Eins würde ich auf jeden Fall machen: alles auf einmal beschaffen, bessere Preise wirst nicht bekommen, idealerweise warte ein Quartalsende ab, das bringt noch einmal ein paar % mehr.

Gruß
@clSchak

PS: habe heute Switch Nr. 100 von Ruckus/Brocade in Betrieb genommen face-wink

PS 2: du brauchst keine originalen Ruckus Optiken verwenden, Finisar oder vergleichbar funktionieren anstandslos und kosten nur ein Bruchteil

PS 3: @UweGri ich weis nicht wo Ihr einkauft, aber 260k für das bisschen Netzwerkequipment?! :D Wenn man alle Switche tauscht ist man bei gut 60-70k zzgl. den FW und diese dann je nach Ausstattung: mit oder ohne UTM.