Routing zw. VLANS
Hallo zusammen,
ich habe momentan folgendes Problem:
So sieht momentan die Umgebung aus:
Und so sieht die Vergebung der VLANs aus:
Könnte hier eine Lösung sein, die VLANs zusätzlich über den L3 Coreswitch zu routen und die Firewall (nur für dieses Szenario) außen vor zu lassen?
Coreswitch ist ein HPE FlexFabric 5700. Leider bei HP keinerlei Ahnung, wie ich das dort über die CLI konfiguriere (bislang nur Cisco gehabt ).
Mein Plan war es das Bottleneck (in meinem Fall die Firewall, da nur mit 1G angebunden) zu "überbrücken".
Was meint ihr?
Gruß
Jannik
ich habe momentan folgendes Problem:
- Veeam BR Backup langsam ~ 40 MB/s
- 1G Anbindung an Firewall
- 10G Coreswitch
So sieht momentan die Umgebung aus:
- Backupserver ist mit 2x 10G an Coreswitch angeschlossen
- Servercluster (3 Server, Virtualisierung mit vmWare) mit jeweils 2x 10G angeschlossen an Coreswitch
- NetApp (dort liegen Daten der versch. VMs) mittels ISCSI an Backupserver angeschlossen
- VLANs auf Firewall
Und so sieht die Vergebung der VLANs aus:
- Backupserver VLAN 254
- vmWare VLAN 2
- VMs VLAN 2
- Coreswitch VLAN 5
Könnte hier eine Lösung sein, die VLANs zusätzlich über den L3 Coreswitch zu routen und die Firewall (nur für dieses Szenario) außen vor zu lassen?
Coreswitch ist ein HPE FlexFabric 5700. Leider bei HP keinerlei Ahnung, wie ich das dort über die CLI konfiguriere (bislang nur Cisco gehabt ).
Mein Plan war es das Bottleneck (in meinem Fall die Firewall, da nur mit 1G angebunden) zu "überbrücken".
Was meint ihr?
Gruß
Jannik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61242202437
Url: https://administrator.de/forum/routing-zw-vlans-61242202437.html
Ausgedruckt am: 26.12.2024 um 10:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
sehe ich das richtig und die Daten sollen lokal auf dem Backup-Server gespeichert werden?
Und wenn der Veeam Zugriff auf den Speicher hat, dann sollte er auch direkt von dort sichern, da braucht der gar kein Netzwerk.
Bei NetApp weiß ich aber nicht wie die du optimal anbindest.
Du könntest versuchen eine VM als Backup-Proxy zu installieren, dann kann der Veeam dort besser und schneller sichern.
Was steht denn im Job als Bootleneck?
Was steh im Job Logs in [ ]? Steht beim Backup-Proxy.
VG.
Deepsys
sehe ich das richtig und die Daten sollen lokal auf dem Backup-Server gespeichert werden?
Und wenn der Veeam Zugriff auf den Speicher hat, dann sollte er auch direkt von dort sichern, da braucht der gar kein Netzwerk.
Bei NetApp weiß ich aber nicht wie die du optimal anbindest.
Du könntest versuchen eine VM als Backup-Proxy zu installieren, dann kann der Veeam dort besser und schneller sichern.
Was steht denn im Job als Bootleneck?
Was steh im Job Logs in [ ]? Steht beim Backup-Proxy.
VG.
Deepsys
Also - wenn du nicht weisst was du da tust - würde ich empfehlen tu es nicht!
Natürlich kannst du einfach irgendwo Interface-IPs setzen - aber genauso wie bei Cisco kannst du dir damit dein ganzes Routing auch schnell zerlegen... Du müsstest ja am Switch min. 2 Interfaces setzen (nämlich in dem wo der Backup-Server drin is - und das wo die zu sichernden Geräte drin sind). Dann müsstest du aber eben auch an den Geräten die Routen manuell eintragen damit die eben nich übers default gw (mit Firewall) laufen... und somit hast du auch gleich wieder ne Schwachstelle ins netz gehauen -> weil natürlich dein Backup dann auch von jeder Schadsoftware direkt erreichbar ist...
Man KANN sowas natürlich bauen - dann sollte man aber das ganze Konzept dazu passend auflegen. Einfach nur 2 interfaces ins netz rotzen wird idR. nicht reichen.
Natürlich kannst du einfach irgendwo Interface-IPs setzen - aber genauso wie bei Cisco kannst du dir damit dein ganzes Routing auch schnell zerlegen... Du müsstest ja am Switch min. 2 Interfaces setzen (nämlich in dem wo der Backup-Server drin is - und das wo die zu sichernden Geräte drin sind). Dann müsstest du aber eben auch an den Geräten die Routen manuell eintragen damit die eben nich übers default gw (mit Firewall) laufen... und somit hast du auch gleich wieder ne Schwachstelle ins netz gehauen -> weil natürlich dein Backup dann auch von jeder Schadsoftware direkt erreichbar ist...
Man KANN sowas natürlich bauen - dann sollte man aber das ganze Konzept dazu passend auflegen. Einfach nur 2 interfaces ins netz rotzen wird idR. nicht reichen.
Also ich habe hier auch einen Hardware Backup-Server mit Veeam laufen. Der ist über sein primäres Netzwerkinterface 1G in einem VLAN mit VMware (ESXi Management Ports und vCenter). Der ist außerdem mit eigenen IP-Adressen in beiden iSCSI Netzen je 10G (da gibt es kein Routing, einfach nur zwei identische VLANs über zwei identische Core Switche, könnte auch ein Netz sein egal) und hat damit Zugriff auf unsere SANs. Unter anderem auch NetApp.
Der Backup Server ist Windows und sieht die iSCSI LUNs in der Datenträgerverwaltung als "Offline", hier dürfen die Laufwerke auf keinen Fall eingebunden werden! Wird ein Backup gestartet kommunizieren vCenter und ich glaube auch ESXi über das Netzwerk, die iSCSI-Daten kommen aber aus dem SAN, beides entsprechend ohne Routing und gemäß der Anbindung.
Warum ist bei dir vMware im selben Subnetz wie die VMs? Das würde ich eher trennen als vMware und Backup-Server.
Routing zwischen VLANs mache ich auch nur zentral an der Firewall. Bisher habe ich keinen eleganten Weg gesehen nur selektiv gewissen Traffic am Switch zu routen, und alles andere am Router. Ich habe allerdings die Subnetzeinteilung kürzlich erst geändert und der Backup-Server sichert auch noch eine NAS, da muss ich auf jeden Fall nochmal schauen.
Der Backup Server ist Windows und sieht die iSCSI LUNs in der Datenträgerverwaltung als "Offline", hier dürfen die Laufwerke auf keinen Fall eingebunden werden! Wird ein Backup gestartet kommunizieren vCenter und ich glaube auch ESXi über das Netzwerk, die iSCSI-Daten kommen aber aus dem SAN, beides entsprechend ohne Routing und gemäß der Anbindung.
Warum ist bei dir vMware im selben Subnetz wie die VMs? Das würde ich eher trennen als vMware und Backup-Server.
Routing zwischen VLANs mache ich auch nur zentral an der Firewall. Bisher habe ich keinen eleganten Weg gesehen nur selektiv gewissen Traffic am Switch zu routen, und alles andere am Router. Ich habe allerdings die Subnetzeinteilung kürzlich erst geändert und der Backup-Server sichert auch noch eine NAS, da muss ich auf jeden Fall nochmal schauen.
Bisher habe ich keinen eleganten Weg gesehen nur selektiv gewissen Traffic am Switch zu routen
Das macht der Netzwerker immer mit einer Policy Route! Leider bei HP keinerlei Ahnung, wie ich das dort über die CLI konfiguriere (bislang nur Cisco gehabt).
Die HP Billigheimer haben die CLI Syntax bei Cisco abgekupfert. Selber können die Heinis das ja scheinbar nicht bei ihrem zugekauften Geraffel. Drucker können sie bekanntlich besser. 🤣Mit anderen Worten: Wenn du Cisco kannst kannst du auch HP. 😉
Ist die gleiche Konfig. Vlan erstellen...IP Interface ins VLAN hängen...fertisch.
Dein Plan ist richtig und auch übliche Praxis. Performance relvante VLANs routet man immer auf dem L3 Core Switch weil es da direkt in Silizium passiert. (Obwohl...ob HP Gurken das auch können...mmmhh 🤔)
Die kritischen, sicherheitsrelevanten VLANs schickt man über die Firewall. In der Regel also immer ein Hybrid Betrieb das man das Beste aus beiden Welten hat
Moin,
+1 für die Variante von Ukulele
Da oben kein iSCSI VLAN angegeben ist, möchtest du wirklich iSCSI routen?
IMHO gehört iSCSI in ein eigenes VLAN und auf dedizierte NICS (Port Binding).
Das gleiche dann mit dem Veeam Server.
Als Transportmodus dann Backup from SAN oder Backup from Storage Snapshot.
Gruß und viel Erfolg
+1 für die Variante von Ukulele
Da oben kein iSCSI VLAN angegeben ist, möchtest du wirklich iSCSI routen?
IMHO gehört iSCSI in ein eigenes VLAN und auf dedizierte NICS (Port Binding).
Das gleiche dann mit dem Veeam Server.
Als Transportmodus dann Backup from SAN oder Backup from Storage Snapshot.
Gruß und viel Erfolg
Wenn es das denn nun war bitte den Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?