Router vs. Core Switches
Hallo zusammen,
ich stehe unter anderem vor der Aufgabe, etwas Grund in eine sehr unstrukturierte Infrastruktur zu bringen. Budget wird - nicht zuletzt wegen Coronaauswirkungen - mittels Salamitaktik abgefordert. Nachdem die Verkabelung schon verbessert wurde und die Access Switches inzwischen fast vollständig ersetzt wurden, bin ich jetzt unsicher, ob ich Core Switches zwischen Router und Access Switches ziehen soll.
Ich habe das hier gesehen, aber das hilft erstmal nur als Basisinformation weiter.
Das hier schon oft gepostete Bild der "Standardlösung" Cores mit VRRP und RSTP mit Access Switches hab ich natürlich auch schon häufiger gesehen.
Ausgangslage ist folgende:
- 6 Access Switches mit insgesamt rund 200 aktiven GBit-Ports
- Intensiv genutzt werden die Ports von ca. 40 Clients und 3 VMWare Hosts, der Rest sind wenig aktive BDE-Terminals, Telefonie, Peripherie
- Verkabelung der Switches noch arg suboptimal, soll aber in diesem Zuge aufgeräumt und RSTP genutzt werden
- 2 UTM Firewalls, die neben WAN auch das Routing unserer VLANs übernehmen. Filterregeln laufen auf Layer 3 und 4.
- Firewalls mit je 6x GBit bestückt
- Firewalls bilden Hot-Standby-Redundanz mittels VRRP
Jetzt gäbe es zum Ersten die Möglichkeit, weitere Interface-Module in die Firewalls einzubauen (8x 1000BASE-T oder 4x SFP+) und diese anstatt Core Switches zu nutzen. Sinn ergeben würden für mich jetzt nur SFP+ Module, um die Access Switches mit 10 GBit Uplinks anzubinden. Kostenpunkt rund 500 Euro pro Modul, also insgesamt 2000 Euro.
Was mir eleganter und auch performanter scheint, sind zwei Core Switches mittels VRRP zu verbinden und zwischen Firewalls und Access Switches zu hängen. Das VRRP der Firewalls fällt dann weg, Routing machen dann die Cores. Ich würde jetzt nicht unbedingt in die Catalyst-Kiste greifen wollen und glaube bei dem Netz auch nicht, dass das wirklich nötig ist. 2x Cisco SX550X-12F sollten doch eigentlich ausreichen, so mein Gedanke. Kostenpunkt hier für beide zusammen rund 2400 Euro. Wegen des geringen Aufpreises zur ersten Idee würde ich dieses Szenario vorziehen.
Und hier kommt der Knackpunkt: Ich glaube ganz viel, weiß aber nicht alles. Kann man die SX550X-12F in diesem Szenario guten Gewissens als Cores einsetzen oder ist das eine komplette Schnapsidee? Oder sind vielleicht die Cores hier eher als überflüssig zu sehen und die Erweiterung der Firewalls die bessere Alternative?
Viele Grüße
N
ich stehe unter anderem vor der Aufgabe, etwas Grund in eine sehr unstrukturierte Infrastruktur zu bringen. Budget wird - nicht zuletzt wegen Coronaauswirkungen - mittels Salamitaktik abgefordert. Nachdem die Verkabelung schon verbessert wurde und die Access Switches inzwischen fast vollständig ersetzt wurden, bin ich jetzt unsicher, ob ich Core Switches zwischen Router und Access Switches ziehen soll.
Ich habe das hier gesehen, aber das hilft erstmal nur als Basisinformation weiter.
Das hier schon oft gepostete Bild der "Standardlösung" Cores mit VRRP und RSTP mit Access Switches hab ich natürlich auch schon häufiger gesehen.
Ausgangslage ist folgende:
- 6 Access Switches mit insgesamt rund 200 aktiven GBit-Ports
- Intensiv genutzt werden die Ports von ca. 40 Clients und 3 VMWare Hosts, der Rest sind wenig aktive BDE-Terminals, Telefonie, Peripherie
- Verkabelung der Switches noch arg suboptimal, soll aber in diesem Zuge aufgeräumt und RSTP genutzt werden
- 2 UTM Firewalls, die neben WAN auch das Routing unserer VLANs übernehmen. Filterregeln laufen auf Layer 3 und 4.
- Firewalls mit je 6x GBit bestückt
- Firewalls bilden Hot-Standby-Redundanz mittels VRRP
Jetzt gäbe es zum Ersten die Möglichkeit, weitere Interface-Module in die Firewalls einzubauen (8x 1000BASE-T oder 4x SFP+) und diese anstatt Core Switches zu nutzen. Sinn ergeben würden für mich jetzt nur SFP+ Module, um die Access Switches mit 10 GBit Uplinks anzubinden. Kostenpunkt rund 500 Euro pro Modul, also insgesamt 2000 Euro.
Was mir eleganter und auch performanter scheint, sind zwei Core Switches mittels VRRP zu verbinden und zwischen Firewalls und Access Switches zu hängen. Das VRRP der Firewalls fällt dann weg, Routing machen dann die Cores. Ich würde jetzt nicht unbedingt in die Catalyst-Kiste greifen wollen und glaube bei dem Netz auch nicht, dass das wirklich nötig ist. 2x Cisco SX550X-12F sollten doch eigentlich ausreichen, so mein Gedanke. Kostenpunkt hier für beide zusammen rund 2400 Euro. Wegen des geringen Aufpreises zur ersten Idee würde ich dieses Szenario vorziehen.
Und hier kommt der Knackpunkt: Ich glaube ganz viel, weiß aber nicht alles. Kann man die SX550X-12F in diesem Szenario guten Gewissens als Cores einsetzen oder ist das eine komplette Schnapsidee? Oder sind vielleicht die Cores hier eher als überflüssig zu sehen und die Erweiterung der Firewalls die bessere Alternative?
Viele Grüße
N
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666063
Url: https://administrator.de/contentid/666063
Ausgedruckt am: 05.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
sind zwei Core Switches mittels VRRP zu verbinden
Das ist auch die übliche Praxis in einer Enterprise Campus Vernetzung. Allerdings verwendet man heutzutage kein VRRP oder andere L3 HA Protokolle mehr sondern nutzt Core Switches die eine Full Stacking Option haben wie z.B. Ruckus ICX 7xxx Switches oder auch die Cisco SG Modelle ab SG350 und aufwärts.Diese werden über 10G oder 40G Ports zu einem physischen Fullstack verbunden und liefern so L2 und auch L3 Redundanz.
Ein klassisches, redundantes StandardDesign sähe dann so aus:
Moin,
deine zentrale Frage kann man nicht beantworten: welchen Durchsatz erwartest und benötigts du?
Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?
Ich würde im übrigen beides realisieren:
doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten:
Nützt ja nichts, wenn der Core-Switch im "HA" betrieben wird, mir aber die Firewall ausfällt und keiner mehr arbeiten kann, weil die WAN-Anbindung weg ist.
umgekehrt: bringt nichts, wenn die Firewall im HA betrieben wird, aber mir mein Singleswitch "verreckt" - wobei hier das Problem sicherlich gravierender wäre, da nicht mal mehr eine interne Datenverbindung möglich wäre.
Gruß
em-pie
deine zentrale Frage kann man nicht beantworten: welchen Durchsatz erwartest und benötigts du?
Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?
Ich würde im übrigen beides realisieren:
doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten:
Nützt ja nichts, wenn der Core-Switch im "HA" betrieben wird, mir aber die Firewall ausfällt und keiner mehr arbeiten kann, weil die WAN-Anbindung weg ist.
umgekehrt: bringt nichts, wenn die Firewall im HA betrieben wird, aber mir mein Singleswitch "verreckt" - wobei hier das Problem sicherlich gravierender wäre, da nicht mal mehr eine interne Datenverbindung möglich wäre.
Gruß
em-pie
Das beantwortet aber die zentrale Frage nicht, ob diese Switches im beschriebenen Szenario als Core akzeptabel oder
Kollege @em-pie hat es oben schon treffend gesagt. Als Netzwerk Profi solltest du wissen das andere Kollegen hier weder deine Performance Anforderungen noch Daten Volumina kennen die dieser Stack VLAN intern verarbeiten muss. Wenn die Cisco SG Serie alles abdecken könnte warum müssten sie dann noch Profi Switches der Catalyst Reihe verkaufen. Vielleicht gibt dir das eine vage Antwort ?! Wie sollte man dir sonst eine belastbare und verlässliche Antwort geben auf solch eine unreflektierte "Killerfrage" ?! Dazu lieferst du in deiner Beschreibung einfach zu wenig Input... Im übrigen könntest du dir auch selber einen eigenen Überblick verschaffen was wirklich los ist wenn du mit einem kleinen SNMP Tool einmal deine wirkliche aktuelle Auslastung erfasst. Siehe dazu auch HIER.
So hast du selber verlässliche Daten an denen du dich orientieren kannst ohne in Foren rumraten zu müssen...
Zitat von @norden:
Hallo em-pie,
Wenn es "nur" um Ausfallsicherheit geht, sollte ein Stack für's erste reichen.Hallo em-pie,
Zitat von @em-pie:
Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?
Nein, kein WV. Ja, Firewall mit Wartung. Benötigt werden Routing, Portfilter, DHCP-Relay, RSTP, ggf. VRRP.Brauchst du einen Wartungsvertrag auf die Switche?
Hat die Firewall im HA-Design eine Wartung angeknüpft?
Welche Funktionen werden benötigt?
Ich würde im übrigen beides realisieren:
doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten
Das ist doch eine Aussage. Aber was denn nun: VRRP oder Stack?doppelte Firewall/ UTM sowie im Core-Bereich via VRRP arbeiten
Was aber der Nachteil eines Stacks ist, sofern kein ISSU gegeben ist: musst du ein FW-Update auf dem STack durchführen, wird im ANschluss der gesamte Stack (also alle Switches) rebooted. Beim VRRP wird nur der jeweilige Switch neugestartet.
Kannst du auf ISSU zurückgreifen, wird ein Stack-Member nach dem anderen neugestartet.
Die SG-Serien unterstützt meines Wissens nach aber kein ISSU. Hier musst du vermutlich auf die Catalysten zurückgreifen - oder du gehts auf Brocade ICX oder Huawei-Switche...
Es kann im übrigen auch ein Mix aus VRRP und Stack sein:
Hast du zwei Räume, könnte man in jedem Raum die Switche stacken und raumübergreifend auf VRRP o.Ä. setzen. Allerdings ist bei einem Reboot des Stacks dann der "ganze Raum" wieder platt (sofern kein ISSU).
Nützt ja nichts, wenn der Core-Switch im "HA" betrieben wird, mir aber die Firewall ausfällt und keiner mehr arbeiten kann, weil die WAN-Anbindung weg ist.
Da gebe ich dir grundsätzlich recht und genau so gehe ich es auch an, aber auf das Internet eine Stunde zu verzichten ist in dem Szenario leichter als die Anbindung ans interne ERP-System zu verlieren. Insofern gibt es da schon noch eine Abstufung.Keine Firewall - kein Mailverkehr nach extern und ggf. auch keine Telefonie (im Zeitalter von VOIP)...
und in Zeiten von Pandemien auch keine Homeoffice-User mehr (sofern vorhanden).
Daher am besten beide Komponenten im "HA" betreiben.
- Core-Switche via VRRP - die Access-Switche dann an beide Cores anbinden
- Firewall im HA-Cluster (Aktiv/ Passiv ausreichend)
Zudem die CoreSwitches für das InterVLAN-Routing nutzen und die Verbindung für WAN, VPN und/ oder DMZ läuft dann über ein Transfernetz zwischen Core und Firewall. Da würde dann ggf. schon eine LAG mit 2x 1Gbit (je Firewall) ausreichen.
Es ist doch Unsinn, die gesamte Netzwerkdoku in einen Beitrag zu packen
Die zu erwartenden Performance Werte und Daten Volumina hätten vollends gereicht ! Mit einem 10G Stack Link sollten die SG 350 oder 550 aber deine Ansprüche vermutlich abdecken. Wenn du doch eher auf Nummer sicher gehen willst und ein paar mehr 10G Port nutzt dann nimmst du Ruckus ICX 7150er im Core Stack und bindest Cisco SG 220er als Access an oder die die du derzeit verwendest. Gerade auch in Bezug auf ISSU und die Pros und Cons zu Stack und VRRP was Kollege @em-pie oben richtigerweise schon angesprochen hat. Ruckus ICX deckt beides ab und supportet zudem ISSU für ein unterbrechungsfreies Update während des laufenden Betriebes.
Beispiele zur Anbindung Firewall/Router bei einem L3 Konzept findest du HIER.