11
Netzwerksegmentierung - Welche Routerhardware
Hallo alle zusammen,
ich arbeite gerade daran, unser Firmennetzwerk zu segmentieren. Ziel sind 6 Netzwerksegmente, die untereinander geroutet werden (Infrastruktur, Abteilungen) sollen, aber auch alle Internetzugriff haben sollen (Internetrouter = 7. Netzwerksegment)
In den "Abteilungsnetzen" befunden sich jeweils um die 100 Clients
So viel zum Vorhaben, nun meine Frage:
Was würdet ihr an Routerhardware empfehlen ? Ausfallsicherheit ist nicht sooo wichtig, da die Abteilungen autark arbeiten, Zugriffe über die Netzwerkgrenzen hinweg sind selten, da machen auch mal 2 Tage Ausfall nichts aus, wichtig ist nur eine möglichst kostengünstige Lösung.
Vielen Dank schon mal für eure Antworten
Edit:
Die Netze sind alle IPv4, IPv6 kommt aufgrund einiger Geräte, für die es keinen Ersatz ohne hohe Entwicklungskosten gibt, nicht in Frage
ich arbeite gerade daran, unser Firmennetzwerk zu segmentieren. Ziel sind 6 Netzwerksegmente, die untereinander geroutet werden (Infrastruktur, Abteilungen) sollen, aber auch alle Internetzugriff haben sollen (Internetrouter = 7. Netzwerksegment)
In den "Abteilungsnetzen" befunden sich jeweils um die 100 Clients
So viel zum Vorhaben, nun meine Frage:
Was würdet ihr an Routerhardware empfehlen ? Ausfallsicherheit ist nicht sooo wichtig, da die Abteilungen autark arbeiten, Zugriffe über die Netzwerkgrenzen hinweg sind selten, da machen auch mal 2 Tage Ausfall nichts aus, wichtig ist nur eine möglichst kostengünstige Lösung.
Vielen Dank schon mal für eure Antworten
Edit:
Die Netze sind alle IPv4, IPv6 kommt aufgrund einiger Geräte, für die es keinen Ersatz ohne hohe Entwicklungskosten gibt, nicht in Frage
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 231871
Url: https://administrator.de/contentid/231871
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
für so ein Szenario würde ich einen L3 Switch nehmen, keinen Router. HP oder Netgear, wenn günstig sein soll.
lg,
Slainte
für so ein Szenario würde ich einen L3 Switch nehmen, keinen Router. HP oder Netgear, wenn günstig sein soll.
...machen auch mal 2 Tage Ausfall nichts aus, ,,, möglichst kostengünstige Lösung.
Achso,,, dann kannst du auch einen Rasberry Pi das Routing übernehmen lassen lg,
Slainte
1
Ouuuuuuh an L3 Switches hatte ich nicht mal gedacht, bin wohl irgendwie nach 2 Stunden Schlaf und nur 7 Kaffee leicht Betriebsblind :D
Muss ich bei HP oder Netgear was beachten wie bei D-Link Schrott, oder kann ich da meine Konfig reinklimpern, laden und es tut ?
Danke für den Tipp :D
BTW: Nen Pi häng ich mir da nicht rein, nachdem ich daheim schon 3 im Betrieb abgefackelt habe...
Höchstens irgend n billiges Arduino-Board, aber bei 200€ für nen passenden HP Switch löt ich da nicht ewig rum, um was zu basteln
Muss ich bei HP oder Netgear was beachten wie bei D-Link Schrott, oder kann ich da meine Konfig reinklimpern, laden und es tut ?
Danke für den Tipp :D
BTW: Nen Pi häng ich mir da nicht rein, nachdem ich daheim schon 3 im Betrieb abgefackelt habe...
Höchstens irgend n billiges Arduino-Board, aber bei 200€ für nen passenden HP Switch löt ich da nicht ewig rum, um was zu basteln
Ich hoffe, du hast bei 600 Clients auch managebare Switche.
Es ist durchaus nicht unwichtig mit der Segmentierung auch ein sauberes VLAN-Konzept zu machen und den DHCP auf die neuen aufgaben vorzubereiten. Ein L3-Switch ist da vermutlich die attraktivste Möglichkeit für eine sinnvolle Erweiterung.
Bei einer Erweiterung ist es schon mal kritisch, wenn man zu viele Hersteller hat.
Eine Bereinigung mit einem Konzept, das man Stück für Stück umsetzen kann ist praktischer. Außerdem hat man noch ein Fallback-Lösung wenn die Umstellung nicht wie geplant läuft.
Und dann hast du vermutlich auch noch ein Serversegment und evtl. Server, die in der DMZ zugänglich sein müssen.
Anosnsten würd ich auch so einen kleinen und billigen Router nehmen. Die Internetbandbreite wird er schon schaffen. Zwischen den Segmenten macht er die Grätsche. http://www.mikrotik-shop.de/Komplettsysteme/Nach-Mainboard/RB-750:::55_ ...
Viel Spaß
Oder mach erst einmal eine Analyse zu Bandbreiten, Sicherheitsbedarf, Broadcast, und Servicequalität (wegen VoIP)
Netman
Es ist durchaus nicht unwichtig mit der Segmentierung auch ein sauberes VLAN-Konzept zu machen und den DHCP auf die neuen aufgaben vorzubereiten. Ein L3-Switch ist da vermutlich die attraktivste Möglichkeit für eine sinnvolle Erweiterung.
Bei einer Erweiterung ist es schon mal kritisch, wenn man zu viele Hersteller hat.
Eine Bereinigung mit einem Konzept, das man Stück für Stück umsetzen kann ist praktischer. Außerdem hat man noch ein Fallback-Lösung wenn die Umstellung nicht wie geplant läuft.
Und dann hast du vermutlich auch noch ein Serversegment und evtl. Server, die in der DMZ zugänglich sein müssen.
Anosnsten würd ich auch so einen kleinen und billigen Router nehmen. Die Internetbandbreite wird er schon schaffen. Zwischen den Segmenten macht er die Grätsche. http://www.mikrotik-shop.de/Komplettsysteme/Nach-Mainboard/RB-750:::55_ ...
Viel Spaß
Oder mach erst einmal eine Analyse zu Bandbreiten, Sicherheitsbedarf, Broadcast, und Servicequalität (wegen VoIP)
Netman
1
Hallo!
Ich hätte da auch an Mikrotik-Geräte gedacht, aber ehrlich gesagt bei 600 Clients nicht an einen RB750 - egal, wie wenig Traffic da ist.
Eher an einen Core-Router. Die kosten ja auch mal wirklich nicht die Welt.
Phil
Ich hätte da auch an Mikrotik-Geräte gedacht, aber ehrlich gesagt bei 600 Clients nicht an einen RB750 - egal, wie wenig Traffic da ist.
Eher an einen Core-Router. Die kosten ja auch mal wirklich nicht die Welt.
Phil
1
Hehe du setzt voraus was nicht vorhanden ist... Das ist n ziemlicher Wildwuchs und ich muss mit wenigen Mitteln einigermaßen ne Struktur reinbekommen... Die Abteilungen sind autark, die Internetverbindung wird über irgend ein Tool von einem Rechner mit IPs in allen Netzwerken geteilt, IPs sind hart eingstellt usw.
Ich arbeite gerade an den strukturellen Grundlagen, einen Umstieg auf DHCP habe ich mit Einführung von ADS geplant, aber das wird 2015, bis es soweit ist. Bei einer reinen routing-Lösung hatte ich es ohne VLANS angedacht, wenn ich es über L3 Switche mache, bietet sich das aber geradezu an, dann ist es egal, an welchem Switch ein Gerät hängt, um es ins entsprechende Netz zu packen.
Zum Traffic: atm 5% Auslastung in nem 100 Mbit Netz, das ist nix, wo man sich wirklich nen Kopp macht, aber was der alte Admin mir da hinterlassen hat, ist grausam...
Ich arbeite gerade an den strukturellen Grundlagen, einen Umstieg auf DHCP habe ich mit Einführung von ADS geplant, aber das wird 2015, bis es soweit ist. Bei einer reinen routing-Lösung hatte ich es ohne VLANS angedacht, wenn ich es über L3 Switche mache, bietet sich das aber geradezu an, dann ist es egal, an welchem Switch ein Gerät hängt, um es ins entsprechende Netz zu packen.
Zum Traffic: atm 5% Auslastung in nem 100 Mbit Netz, das ist nix, wo man sich wirklich nen Kopp macht, aber was der alte Admin mir da hinterlassen hat, ist grausam...
Der Layer3 Switch ist nur einmal nötig. Der Rest läuft ja über die VLANs. Ja, es ist dann egal welches Netz an welchem Switchport gebraucht wird.
Der RB750 wäre auch nur die Ultra-Low Cost Lösung. Aber eine Segmentierung ohne DHCP-Hilfe ist schon nicht ohne - schon gar nicht während der Umstellphase.
Es gibt aber auch Router, die wenigsten den DHCP stellen können. eben auch die Mikrotiks. http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
Und wie @der_phil schon sagt, ein etwas größerer Mikrotik ist nicht verkehrt.
Der RB750 wäre auch nur die Ultra-Low Cost Lösung. Aber eine Segmentierung ohne DHCP-Hilfe ist schon nicht ohne - schon gar nicht während der Umstellphase.
Es gibt aber auch Router, die wenigsten den DHCP stellen können. eben auch die Mikrotiks. http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
Und wie @der_phil schon sagt, ein etwas größerer Mikrotik ist nicht verkehrt.
1
Hi,
alternativ zu Mikrotik, wäre natürlich auch eine Lösung mit einer, speziell auf Deine Verhältnisse zugeschnittenen pfSense-Lösung
nicht uninteressant.
Als Hardware, je nach Deinen Anforderungen, ein PC oder eine Mini-ITX Lösung. Muss ja nicht zwingend ein ALIX-Board sein.
Gruß orcape
alternativ zu Mikrotik, wäre natürlich auch eine Lösung mit einer, speziell auf Deine Verhältnisse zugeschnittenen pfSense-Lösung
nicht uninteressant.
Als Hardware, je nach Deinen Anforderungen, ein PC oder eine Mini-ITX Lösung. Muss ja nicht zwingend ein ALIX-Board sein.
Gruß orcape
Was würdet ihr an Routerhardware empfehlen ?
In deinem Falle einen zentralen Layer 3 Switch vom Hersteller deiner Wahl oder was du derzeit einsetzt der deine VLAN Segmente zentral routet ! Ggf. hat deinen Switchhardware auch schon Basic L3 Funktion ?!Ein klassisches und ausfallsicheres L3 Netzdesign sähe so aus:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sinnvoller ist immer das L3 Switchdesign.
Hallo,
Sind denn die schon vorhandenen Switche und PCs alle VLAN fähig.
Was für Switche sind denn schon im unternehmen vorhanden?
Braucht Ihr auch PoE Switche?
MikroTik CCR Serie
MikroTik CSR Serie
Ubiquiti EdgeMax Router Serie
Eigenbaulösungen mit Vyatta, OpenBGPD, Zebra oder Quagga eventuell
DD-WRT oder OpenWRT auf x86 Hardware
Linux Router auf x86 Hardware
eben einfach die nötigen Geräte alle zu Mitgliedern in mehreren VLANs
und gut ist es.
2 Tage Ausfall machen nichts aus?
Ist das überhaupt eine Firma oder wo genau findet
die Installation denn nun wirklich statt.
was man benötigt kaufen sollte und dann erst einmal alle
benötigten Dinge abklären und nicht vorher ein Budget
festlegen was einem nachher nur Bastellösungen ermöglicht.
Gruß
Dobby
Was würdet ihr an Routerhardware empfehlen ?
Warum nur einen Router?Sind denn die schon vorhandenen Switche und PCs alle VLAN fähig.
Was für Switche sind denn schon im unternehmen vorhanden?
Braucht Ihr auch PoE Switche?
MikroTik CCR Serie
MikroTik CSR Serie
Ubiquiti EdgeMax Router Serie
Eigenbaulösungen mit Vyatta, OpenBGPD, Zebra oder Quagga eventuell
DD-WRT oder OpenWRT auf x86 Hardware
Linux Router auf x86 Hardware
Ausfallsicherheit ist nicht sooo wichtig, da die Abteilungen autark arbeiten,
Das höre ich auch zum ersten mal.Zugriffe über die Netzwerkgrenzen hinweg sind selten,
Und? Das macht doch nun auch nichts aus, wenn schon dann werdeneben einfach die nötigen Geräte alle zu Mitgliedern in mehreren VLANs
und gut ist es.
da machen auch mal 2 Tage Ausfall nichts aus,
??? Weil die Geräte VLAN übergreifend arbeiten sollen?2 Tage Ausfall machen nichts aus?
Ist das überhaupt eine Firma oder wo genau findet
die Installation denn nun wirklich statt.
wichtig ist nur eine möglichst kostengünstige Lösung.
Ne klar, ich würde eher sagen dass man immer nach demwas man benötigt kaufen sollte und dann erst einmal alle
benötigten Dinge abklären und nicht vorher ein Budget
festlegen was einem nachher nur Bastellösungen ermöglicht.
Gruß
Dobby
einen Umstieg auf DHCP habe ich mit Einführung von ADS geplant, aber das wird 2015, bis es soweit ist.
ca. 600 Clients und kein Active Directory? Wie zur Hölle kann man das in irgendeiner Weise managen? Also das interessiert mich jetzt schon was das für eine Firma ist.
3
@vBurak
Naja, mit dem Satz
ca. 600 Clients und kein Active Directory? Wie zur Hölle kann man das in irgendeiner Weise managen? Also das interessiert mich jetzt schon was das für
eine Firma ist.
eine Firma ist.
Naja, mit dem Satz
, da machen auch mal 2 Tage Ausfall nichts aus, wichtig ist nur eine möglichst kostengünstige Lösung.
hat der TE schon alles über die Firma gesagt was man wissen muss .)1
