norden
Goto Top

Router vs. Core Switches

Hallo zusammen,

ich stehe unter anderem vor der Aufgabe, etwas Grund in eine sehr unstrukturierte Infrastruktur zu bringen. Budget wird - nicht zuletzt wegen Coronaauswirkungen - mittels Salamitaktik abgefordert. Nachdem die Verkabelung schon verbessert wurde und die Access Switches inzwischen fast vollständig ersetzt wurden, bin ich jetzt unsicher, ob ich Core Switches zwischen Router und Access Switches ziehen soll.

Ich habe das hier gesehen, aber das hilft erstmal nur als Basisinformation weiter.
Das hier schon oft gepostete Bild der "Standardlösung" Cores mit VRRP und RSTP mit Access Switches hab ich natürlich auch schon häufiger gesehen.

Ausgangslage ist folgende:
- 6 Access Switches mit insgesamt rund 200 aktiven GBit-Ports
- Intensiv genutzt werden die Ports von ca. 40 Clients und 3 VMWare Hosts, der Rest sind wenig aktive BDE-Terminals, Telefonie, Peripherie
- Verkabelung der Switches noch arg suboptimal, soll aber in diesem Zuge aufgeräumt und RSTP genutzt werden
- 2 UTM Firewalls, die neben WAN auch das Routing unserer VLANs übernehmen. Filterregeln laufen auf Layer 3 und 4.
- Firewalls mit je 6x GBit bestückt
- Firewalls bilden Hot-Standby-Redundanz mittels VRRP

Jetzt gäbe es zum Ersten die Möglichkeit, weitere Interface-Module in die Firewalls einzubauen (8x 1000BASE-T oder 4x SFP+) und diese anstatt Core Switches zu nutzen. Sinn ergeben würden für mich jetzt nur SFP+ Module, um die Access Switches mit 10 GBit Uplinks anzubinden. Kostenpunkt rund 500 Euro pro Modul, also insgesamt 2000 Euro.

Was mir eleganter und auch performanter scheint, sind zwei Core Switches mittels VRRP zu verbinden und zwischen Firewalls und Access Switches zu hängen. Das VRRP der Firewalls fällt dann weg, Routing machen dann die Cores. Ich würde jetzt nicht unbedingt in die Catalyst-Kiste greifen wollen und glaube bei dem Netz auch nicht, dass das wirklich nötig ist. 2x Cisco SX550X-12F sollten doch eigentlich ausreichen, so mein Gedanke. Kostenpunkt hier für beide zusammen rund 2400 Euro. Wegen des geringen Aufpreises zur ersten Idee würde ich dieses Szenario vorziehen.

Und hier kommt der Knackpunkt: Ich glaube ganz viel, weiß aber nicht alles. Kann man die SX550X-12F in diesem Szenario guten Gewissens als Cores einsetzen oder ist das eine komplette Schnapsidee? Oder sind vielleicht die Cores hier eher als überflüssig zu sehen und die Erweiterung der Firewalls die bessere Alternative?

Viele Grüße
N

Content-ID: 666063

Url: https://administrator.de/contentid/666063

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

aqui
aqui 24.04.2021 aktualisiert um 11:31:14 Uhr
Goto Top
sind zwei Core Switches mittels VRRP zu verbinden
Das ist auch die übliche Praxis in einer Enterprise Campus Vernetzung. Allerdings verwendet man heutzutage kein VRRP oder andere L3 HA Protokolle mehr sondern nutzt Core Switches die eine Full Stacking Option haben wie z.B. Ruckus ICX 7xxx Switches oder auch die Cisco SG Modelle ab SG350 und aufwärts.
Diese werden über 10G oder 40G Ports zu einem physischen Fullstack verbunden und liefern so L2 und auch L3 Redundanz.
Ein klassisches, redundantes StandardDesign sähe dann so aus:
stackdesign
norden
norden 24.04.2021 um 12:22:05 Uhr
Goto Top
Hallo aqui,

vielen Dank für deinen Beitrag. Das Design ist grundsätzlich auch klar. Ich schrieb ja, dass mir diese Grafik schon häufiger über den Weg gelaufen ist. Die erwähnten Switches sind auch stackingfähig, insofern richtig, mache ich es dann so.

Das beantwortet aber die zentrale Frage nicht, ob diese Switches im beschriebenen Szenario als Core akzeptabel oder generell eher Spielzeug für diesen Zweck sind. Auch die Frage, ob der Missbrauch der Router als Core eine denkbare Alternative darstellt, ist damit nicht geklärt.

Gruß
N
em-pie
em-pie 24.04.2021 um 13:16:45 Uhr
Goto Top
Moin,

deine zentrale Frage kann man nicht beantworten: welchen Durchsatz erwartest und benötigts du?
Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?

Ich würde im übrigen beides realisieren:
doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten:

Nützt ja nichts, wenn der Core-Switch im "HA" betrieben wird, mir aber die Firewall ausfällt und keiner mehr arbeiten kann, weil die WAN-Anbindung weg ist.
umgekehrt: bringt nichts, wenn die Firewall im HA betrieben wird, aber mir mein Singleswitch "verreckt" - wobei hier das Problem sicherlich gravierender wäre, da nicht mal mehr eine interne Datenverbindung möglich wäre.

Gruß
em-pie
aqui
aqui 24.04.2021 aktualisiert um 15:23:07 Uhr
Goto Top
Das beantwortet aber die zentrale Frage nicht, ob diese Switches im beschriebenen Szenario als Core akzeptabel oder
Kollege @em-pie hat es oben schon treffend gesagt. Als Netzwerk Profi solltest du wissen das andere Kollegen hier weder deine Performance Anforderungen noch Daten Volumina kennen die dieser Stack VLAN intern verarbeiten muss. Wenn die Cisco SG Serie alles abdecken könnte warum müssten sie dann noch Profi Switches der Catalyst Reihe verkaufen. Vielleicht gibt dir das eine vage Antwort ?! Wie sollte man dir sonst eine belastbare und verlässliche Antwort geben auf solch eine unreflektierte "Killerfrage" ?! face-wink
Dazu lieferst du in deiner Beschreibung einfach zu wenig Input... Im übrigen könntest du dir auch selber einen eigenen Überblick verschaffen was wirklich los ist wenn du mit einem kleinen SNMP Tool einmal deine wirkliche aktuelle Auslastung erfasst. Siehe dazu auch HIER.
So hast du selber verlässliche Daten an denen du dich orientieren kannst ohne in Foren rumraten zu müssen... face-wink
norden
norden 24.04.2021 um 14:28:12 Uhr
Goto Top
Von Performanceproblemen war ja nie die Rede. Derzeit wird halt über die UTM Firewall geroutet, die dafür sicher nicht ideal ist. Insofern erwarte ich selbst mit Routing über miese Switches keine Verschlechterung. Aber da kann ich mich ja täuschen, deshalb die Frage. Im Kern geht es doch eher um einen vernünftigen Aufbau und Redundanz, welche derzeit nur in der Firewall existiert. Und natürlich soll die Performance nicht schlechter werden als derzeit über die UTM.

Zitat von @aqui:
Als Netzwerkprofi solltest du wissen...
Was für eine Unterstellung. Wir kommst du darauf, dass ich ein Profi bin? face-wink
Wenn die Cisco SG Serie alles abgecken könnte warum müssten sie dann noch Profi Switches der Catalyst Reihe verkaufen.
Weil es erheblich größere Netzwerke als das Beschriebene gibt.
Dazu lieferst du in deiner Beschreibung einfach zu wenig Input...
Dann frag doch einfach nach dem konkreten Input, den du benötigst und schon haben ein tolles Gespräch. Es ist doch Unsinn, die gesamte Netzwerkdoku in einen Beitrag zu packen, wenn man nicht einschätzen kann, welcher Input benötigt wird. Als Netzwerkprofi der du bist hätte ich vermutet, dass man mit etwas Erfahrung mit den gemachten Angaben zumindest in Hausnummern sprechen kann. Du selbst bist doch derjenige, der gerne auf Billiggurken hinweist, die man für Fall xy auf gar keinen Fall einsetzen sollte.

Hallo em-pie,
Zitat von @em-pie:
Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?
Nein, kein WV. Ja, Firewall mit Wartung. Benötigt werden Routing, Portfilter, DHCP-Relay, RSTP, ggf. VRRP.
Ich würde im übrigen beides realisieren:
doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten
Das ist doch eine Aussage. Aber was denn nun: VRRP oder Stack?
Nützt ja nichts, wenn der Core-Switch im "HA" betrieben wird, mir aber die Firewall ausfällt und keiner mehr arbeiten kann, weil die WAN-Anbindung weg ist.
Da gebe ich dir grundsätzlich recht und genau so gehe ich es auch an, aber auf das Internet eine Stunde zu verzichten ist in dem Szenario leichter als die Anbindung ans interne ERP-System zu verlieren. Insofern gibt es da schon noch eine Abstufung.

Gruß
N
em-pie
Lösung em-pie 24.04.2021 aktualisiert um 14:56:58 Uhr
Goto Top
Zitat von @norden:
Hallo em-pie,
Zitat von @em-pie:
Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?
Nein, kein WV. Ja, Firewall mit Wartung. Benötigt werden Routing, Portfilter, DHCP-Relay, RSTP, ggf. VRRP.
Ich würde im übrigen beides realisieren:
doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten
Das ist doch eine Aussage. Aber was denn nun: VRRP oder Stack?
Wenn es "nur" um Ausfallsicherheit geht, sollte ein Stack für's erste reichen.
Was aber der Nachteil eines Stacks ist, sofern kein ISSU gegeben ist: musst du ein FW-Update auf dem STack durchführen, wird im ANschluss der gesamte Stack (also alle Switches) rebooted. Beim VRRP wird nur der jeweilige Switch neugestartet.
Kannst du auf ISSU zurückgreifen, wird ein Stack-Member nach dem anderen neugestartet.
Die SG-Serien unterstützt meines Wissens nach aber kein ISSU. Hier musst du vermutlich auf die Catalysten zurückgreifen - oder du gehts auf Brocade ICX oder Huawei-Switche...
Es kann im übrigen auch ein Mix aus VRRP und Stack sein:
Hast du zwei Räume, könnte man in jedem Raum die Switche stacken und raumübergreifend auf VRRP o.Ä. setzen. Allerdings ist bei einem Reboot des Stacks dann der "ganze Raum" wieder platt (sofern kein ISSU).

Nützt ja nichts, wenn der Core-Switch im "HA" betrieben wird, mir aber die Firewall ausfällt und keiner mehr arbeiten kann, weil die WAN-Anbindung weg ist.
Da gebe ich dir grundsätzlich recht und genau so gehe ich es auch an, aber auf das Internet eine Stunde zu verzichten ist in dem Szenario leichter als die Anbindung ans interne ERP-System zu verlieren. Insofern gibt es da schon noch eine Abstufung.
Schaffst du es, innerhalb einer einer Stunde eine neue Firewall zu kaufen/ in Betrieb zu nehmen?
Keine Firewall - kein Mailverkehr nach extern und ggf. auch keine Telefonie (im Zeitalter von VOIP)...
und in Zeiten von Pandemien auch keine Homeoffice-User mehr (sofern vorhanden).

Daher am besten beide Komponenten im "HA" betreiben.
  • Core-Switche via VRRP - die Access-Switche dann an beide Cores anbinden
  • Firewall im HA-Cluster (Aktiv/ Passiv ausreichend)
SPOF wäre dann nur die WAN-Anbindung als solche. Wir haben zwei Anschlüsse bei zwei Anbietern: 1x Kabel und 1x VDSL - Einspeisung an zwei Gebäudezugängen...

Zudem die CoreSwitches für das InterVLAN-Routing nutzen und die Verbindung für WAN, VPN und/ oder DMZ läuft dann über ein Transfernetz zwischen Core und Firewall. Da würde dann ggf. schon eine LAG mit 2x 1Gbit (je Firewall) ausreichen.
aqui
Lösung aqui 24.04.2021 aktualisiert um 21:03:23 Uhr
Goto Top
Es ist doch Unsinn, die gesamte Netzwerkdoku in einen Beitrag zu packen
Die zu erwartenden Performance Werte und Daten Volumina hätten vollends gereicht ! face-wink
Mit einem 10G Stack Link sollten die SG 350 oder 550 aber deine Ansprüche vermutlich abdecken. Wenn du doch eher auf Nummer sicher gehen willst und ein paar mehr 10G Port nutzt dann nimmst du Ruckus ICX 7150er im Core Stack und bindest Cisco SG 220er als Access an oder die die du derzeit verwendest. Gerade auch in Bezug auf ISSU und die Pros und Cons zu Stack und VRRP was Kollege @em-pie oben richtigerweise schon angesprochen hat. Ruckus ICX deckt beides ab und supportet zudem ISSU für ein unterbrechungsfreies Update während des laufenden Betriebes.
Beispiele zur Anbindung Firewall/Router bei einem L3 Konzept findest du HIER.
norden
norden 24.04.2021 um 16:08:12 Uhr
Goto Top
Danke euch beiden, das war sehr hilfreich.
aqui
aqui 24.04.2021 um 21:02:13 Uhr
Goto Top
Immer gerne ! 😉