5
SG300 Routing und CPU Auslastung
Hallo Leute,
nachdem ich von eurer Seite das letzte mal schon sehr gute Hilfestellungen bekommen habe, muss ich mich nochmals an euch wenden.
Aktuell habe ich folgendes "Problem" - Ich denke dass es sich um irgendeine Fehlerkonfiguration handelt - jedoch weiß ich auktuell nicht mehr weiter;)
Folgendes:
Hardware: SG300-28
ESXI Server 6.5 -> (Sophos XG Firewall - mit 2 VLANs + WAN Nic) // Windows Server 2016
Netzwerlaufbau:
Internet
-> Fritz 7490 (192.168.178.1)
---DMZ---> ESXi Server ( eigene Netzwerkarte, die nur der VM zugewiesen wurden)
----> ESXI Server (2. Netzwerkkarte)
-> SG 300
-> Clients
Aktuell nutze ich noch 2 VLAN's, es soll jedoch später noch weiter unterteilt werden.
VLAN 20 (Intern, LAN) -> Netz 192.168.2.xxx/ 24
VLAN 50 (Gastnetzwerk) -> Netz 192.168.5.xxx/ 24
Als DHCP Server wird die Sophos XG eingesetzt.
Die Ports sind wie folgt konfiguriert:
DIe anderen VLANs wurden aktuell nur angelegt, werden jedoch noch nicht genutzt.
--> GE28 (ESXI Server - die 2 NIC)
-> GE9 (Accesspoint von Unifi ) Dieser soll 2 VLANs bedienen, einmal das Interne VLAN 20 und das Gastnetzwerk im VLAN 50.
Nun habe ich soweit alles konfiguriert und es scheint auch zu Laufen - jedoch habe ich gemerkt dass die Latenz von switch teilweise auf ca 10mS Sekunden hochgeht. Auch die CPU AUslastung ist teilweise schon bei ca. 60 %.
Ist das Normal oder habe ich etwas falsch konfiguriert ?
Danke schon einmal für eure Unterstützung.
nachdem ich von eurer Seite das letzte mal schon sehr gute Hilfestellungen bekommen habe, muss ich mich nochmals an euch wenden.
Aktuell habe ich folgendes "Problem" - Ich denke dass es sich um irgendeine Fehlerkonfiguration handelt - jedoch weiß ich auktuell nicht mehr weiter;)
Folgendes:
Hardware: SG300-28
ESXI Server 6.5 -> (Sophos XG Firewall - mit 2 VLANs + WAN Nic) // Windows Server 2016
Netzwerlaufbau:
Internet
-> Fritz 7490 (192.168.178.1)
---DMZ---> ESXi Server ( eigene Netzwerkarte, die nur der VM zugewiesen wurden)
----> ESXI Server (2. Netzwerkkarte)
-> SG 300
-> Clients
Aktuell nutze ich noch 2 VLAN's, es soll jedoch später noch weiter unterteilt werden.
VLAN 20 (Intern, LAN) -> Netz 192.168.2.xxx/ 24
VLAN 50 (Gastnetzwerk) -> Netz 192.168.5.xxx/ 24
Als DHCP Server wird die Sophos XG eingesetzt.
Die Ports sind wie folgt konfiguriert:
DIe anderen VLANs wurden aktuell nur angelegt, werden jedoch noch nicht genutzt.
--> GE28 (ESXI Server - die 2 NIC)
-> GE9 (Accesspoint von Unifi ) Dieser soll 2 VLANs bedienen, einmal das Interne VLAN 20 und das Gastnetzwerk im VLAN 50.
Nun habe ich soweit alles konfiguriert und es scheint auch zu Laufen - jedoch habe ich gemerkt dass die Latenz von switch teilweise auf ca 10mS Sekunden hochgeht. Auch die CPU AUslastung ist teilweise schon bei ca. 60 %.
Ist das Normal oder habe ich etwas falsch konfiguriert ?
Danke schon einmal für eure Unterstützung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339824
Url: https://administrator.de/contentid/339824
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Je nach was deine 28 Ports tun müssen kann das normal sein, muss es aber nicht. Da keiner weiß was bei euch im LAN alles passiert und keiner deine weitere Gerätschaften im LAN kennt noch hier jemand deine Konfiguration kennt, sagt meine Glasmurmel "Nö, ist nicht normal"
Ist als wenn du fragst "Sind 53 Liter auf 100 OK?".Ja - wenns kein kein Golf IV 1,9 TDI 90PS ist sondern ein "Lamborghini LM 002 (1989; 5,2 l/455 PS) V12 und 3 Tonnen" ist.
Gruß,
Peter
Je nach was deine 28 Ports tun müssen kann das normal sein, muss es aber nicht. Da keiner weiß was bei euch im LAN alles passiert und keiner deine weitere Gerätschaften im LAN kennt noch hier jemand deine Konfiguration kennt, sagt meine Glasmurmel "Nö, ist nicht normal"
Ist als wenn du fragst "Sind 53 Liter auf 100 OK?".Ja - wenns kein kein Golf IV 1,9 TDI 90PS ist sondern ein "Lamborghini LM 002 (1989; 5,2 l/455 PS) V12 und 3 Tonnen" ist.
Gruß,
Peter
So wie es aussieht machst du ja gar kein Routing auf dem SG300 
Es ist vollkommen unklar was am Port 28 passiert.... So wie der Screenshot es erstmal darstellt ist das ja lediglich ein Tagged Uplink (Trunk Port) der Richtung ESXi geht.
Jetzt stellt sich hier Frage was genau du bezweckst bzw. das Ziel des netzwerks sein soll ??
In einer Standard Layer 3 Konfig, wo der Switch ja zentral das Routing macht, wäre diese Konfig grundfalsch. Mal ganz abgesehen davon das wir auch keinerlei Info zur Layer 3 VLAN Konfig des Switches haben
Denn wozu schickst du alle VLANs dann an den ESXi ?? Das wäre ja völliger Unsinn, denn der ESXi würde dann lediglich einen untagged Endgeräte Port in einem "Server VLAN" bekommen und einen anderen Port im "DMZ VLAN" und fertig.
Der L3 Switch kümmert sich um das Routing und gut iss.
Oder....du willst alle VLANs auf dem ESXI terminieren, dann wäre die Konfig richtig, dann brauchst du aber keinerlei Routing auf dem Switch und dann hätte es ein SG200 auch getan.
Du terminierst mit dieser Konfig dann alle VLANs auf dem vSwitch des ESXi und musst dort dann wieder die VLANs weiter verwursten. Die Konfig wäre aus Sicht eines VLAN Switchkonzeptes dann eher falsch und macht nur in seltenen Design Ausnahmefällen einen Sinn.
Fazit: Wie schon Kollege Pjordorf geantwortet hat kann man deine Frage nicht beantworten weil man dein Netzkonzept gar nicht kennt.
Dazu solltest du erstmal mehr Input liefern bevor wir hier weiterkommen.
Es ist vollkommen unklar was am Port 28 passiert.... So wie der Screenshot es erstmal darstellt ist das ja lediglich ein Tagged Uplink (Trunk Port) der Richtung ESXi geht.
Jetzt stellt sich hier Frage was genau du bezweckst bzw. das Ziel des netzwerks sein soll ??
In einer Standard Layer 3 Konfig, wo der Switch ja zentral das Routing macht, wäre diese Konfig grundfalsch. Mal ganz abgesehen davon das wir auch keinerlei Info zur Layer 3 VLAN Konfig des Switches haben
Denn wozu schickst du alle VLANs dann an den ESXi ?? Das wäre ja völliger Unsinn, denn der ESXi würde dann lediglich einen untagged Endgeräte Port in einem "Server VLAN" bekommen und einen anderen Port im "DMZ VLAN" und fertig.
Der L3 Switch kümmert sich um das Routing und gut iss.
Oder....du willst alle VLANs auf dem ESXI terminieren, dann wäre die Konfig richtig, dann brauchst du aber keinerlei Routing auf dem Switch und dann hätte es ein SG200 auch getan.
Du terminierst mit dieser Konfig dann alle VLANs auf dem vSwitch des ESXi und musst dort dann wieder die VLANs weiter verwursten. Die Konfig wäre aus Sicht eines VLAN Switchkonzeptes dann eher falsch und macht nur in seltenen Design Ausnahmefällen einen Sinn.
Fazit: Wie schon Kollege Pjordorf geantwortet hat kann man deine Frage nicht beantworten weil man dein Netzkonzept gar nicht kennt.
Dazu solltest du erstmal mehr Input liefern bevor wir hier weiterkommen.
Hallo, Danke für die schnelle Antwort und entschuldige bitte die Fehlenden Informationen.
Es waren zu diesem Zeitpounkt ca 10 Geräte im Einsatz, wovon eins ein Stream offen hatte. Mir ist auch klar, dass etwas schwer ist eine allgemeine Aussage zu treffen.
Jedoch dachte ich vielleicht, dass mir ein Fehler unterlaufen war, weil ich noch keine richtige Aussge gefunden habe, worin sich der Portstatus "Allgeimein" und Trunk unterscheiden.
Leider hatte ich nur keine Referenz wieviele Geräte der Switch Verwalten kann.
Kann es sein, dass diese mit ca. 40-50 Geräten ohne großen Datentransfer schon ausgelastet ist ? Bei den Geräten ist der Switch als Gateway eingestellt.
Danke schon einmal im Voarus.
Es waren zu diesem Zeitpounkt ca 10 Geräte im Einsatz, wovon eins ein Stream offen hatte. Mir ist auch klar, dass etwas schwer ist eine allgemeine Aussage zu treffen.
Jedoch dachte ich vielleicht, dass mir ein Fehler unterlaufen war, weil ich noch keine richtige Aussge gefunden habe, worin sich der Portstatus "Allgeimein" und Trunk unterscheiden.
Leider hatte ich nur keine Referenz wieviele Geräte der Switch Verwalten kann.
Kann es sein, dass diese mit ca. 40-50 Geräten ohne großen Datentransfer schon ausgelastet ist ? Bei den Geräten ist der Switch als Gateway eingestellt.
Danke schon einmal im Voarus.
Ich kenne die SG-Modellreihe von Cisco so garnicht. Auf den Catalyst-Reihen muss man allerdings explizit einmal global CEF (Cisco Express Forwarding) einschalten um das Routing in Hardware hinzukriegen und am besten pro VLAN-Interface nochmal "ip route-cache same-interface" aktivieren, damit Routing zwischen zwei IP-Präfixen auf dem selben VLAN-Interface ebenfalls in Hardware passiert (resp. für ipv6 analog nochmal).
Allerdings habe ich wie gesagt noch keine solche SG-Büchse in der Hand gehabt - kann man das dort auf der CLI oder im Webinterface aktivieren?
Allerdings habe ich wie gesagt noch keine solche SG-Büchse in der Hand gehabt - kann man das dort auf der CLI oder im Webinterface aktivieren?
Hallo, danke für die Hinweise.
So aus diesem Aspekt hatte ich es noch nicht betrachtet.
Aufgrund der Tatsache, dass ich ungern noch ein weiteres Endgerät anschaffen will, wollte ich die Firewall ( Sophos Xg) auf dem Esxi Server virtualisieren. Desweiteren habe ich da noch ein Windows Server drauf. (Dieser soll dazu dienen Win Server etwas kennenzulernen).
Der esxi Server hat 2 Netzwerkkarten. - somit dachte ich nutze die eine als DMZ Karte und die andere für die internen VLans.
Wie von aqui beschrieben ist es aktuell so, dass ich auf dem ESXI Server verschiede vSwitche mit unterschiedlichen VLAN IDs habe. Dies hatte ich jedoch nur so gelöst, weil mir kein anderer Lösungsweg einfiel.
==> Tagged Port 28
-> Der SG 300 wurde damals nur geholt weil ich ihn zu einen sehr günstigen Preis bekommen hatte.. Da wäre ein L2 teurer gewesen.
Um vielleicht noch etwas mehr über das Netzwerk zu sagen.
Ich habe aktuell folgendes Ziel:
- 2 getrennte Netzwerke ( Gast / intern) die beide ins Internet sollen.
- Nur bestimmte Ports (Dienste) sollen im Gastnetzwerk erlaubt sein (dies soll durch die XG firewall realisiert werden)
- Ein Zugriff von Gast nach Intern soll nicht möglich sein.
Somit dachte ich mir die Lösung mit dem direkten Anschluss von der Fritzbox an den esxi Server wäre eine gute Variante.
Oder habt ihr vielleicht einen Tipp wie ich es besser aufbauen könnte?
Danke für eure Hilfe und entschuldigt die vielleicht teilweise blöde fragen
So aus diesem Aspekt hatte ich es noch nicht betrachtet.
Aufgrund der Tatsache, dass ich ungern noch ein weiteres Endgerät anschaffen will, wollte ich die Firewall ( Sophos Xg) auf dem Esxi Server virtualisieren. Desweiteren habe ich da noch ein Windows Server drauf. (Dieser soll dazu dienen Win Server etwas kennenzulernen).
Der esxi Server hat 2 Netzwerkkarten. - somit dachte ich nutze die eine als DMZ Karte und die andere für die internen VLans.
Wie von aqui beschrieben ist es aktuell so, dass ich auf dem ESXI Server verschiede vSwitche mit unterschiedlichen VLAN IDs habe. Dies hatte ich jedoch nur so gelöst, weil mir kein anderer Lösungsweg einfiel.
==> Tagged Port 28
-> Der SG 300 wurde damals nur geholt weil ich ihn zu einen sehr günstigen Preis bekommen hatte.. Da wäre ein L2 teurer gewesen.
Um vielleicht noch etwas mehr über das Netzwerk zu sagen.
Ich habe aktuell folgendes Ziel:
- 2 getrennte Netzwerke ( Gast / intern) die beide ins Internet sollen.
- Nur bestimmte Ports (Dienste) sollen im Gastnetzwerk erlaubt sein (dies soll durch die XG firewall realisiert werden)
- Ein Zugriff von Gast nach Intern soll nicht möglich sein.
Somit dachte ich mir die Lösung mit dem direkten Anschluss von der Fritzbox an den esxi Server wäre eine gute Variante.
Oder habt ihr vielleicht einen Tipp wie ich es besser aufbauen könnte?
Danke für eure Hilfe und entschuldigt die vielleicht teilweise blöde fragen
