Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Switch Ausfallsicherheit - Spanning Tree

Mitglied: jompsi

jompsi (Level 1) - Jetzt verbinden

24.08.2015 um 11:06 Uhr, 2794 Aufrufe, 14 Kommentare, 2 Danke

Hallo zusammen

Wir haben ein kleines Netzwerk, bei welchem die Erreichbarkeit sehr wichtig ist. Das Netzwerk beinhaltet folgende Komponenten:
Router: FortiGate 60D (ist mit zwei ISP verbunden)
Switch: Netgear GS116 (unmanaged)
2 Server: HP ProLiant DL380p G8 (haben jeweils 4 LAN Anschlüsse)

Nun möchten wir gerne den Single-Point of Failure beim Switch vermeiden. Wir haben uns gedacht, dass wir zwei Layer 2 Switches kaufen, welche STP/RSTP unterstützen. Was mich jetzt aber verwirrt ist, dass Spanning Tree eigentlich nur unter Switches verwendet wird und Router da nicht involviert werden. Aber ich muss ja dann beide Switches mit der FortiGate verbinden und in diesem "Dreieck" müsste doch STP aktiv sein? Kann ich die Redundanz der Switches so lösen oder ist dass ein falscher Lösungsansatz? Wie würdet ihr diese Situation lösen?

Vielen Dank und Grüsse
Joel
Mitglied: Valexus
LÖSUNG 24.08.2015, aktualisiert 25.08.2015
Moin,

Spanningtree hilft dir hier wenig weiter. Heutzutage verwendet man für Ausfallsicherheit Switches welche sich Stacken lassen bzw. stackingfähig sind.
Das diese Switches einiges mehr kosten als unmanaged Modelle ist dir hoffentlich auch bewusst.

Der richtige Aufbau wäre einen Stack per LAG/LACP gleichmäßig jeweils an die Firewall sowie die Server anzubinden, so dass bei einem Ausfall alles problemlos weiter läuft.
82d4b19ed90a1609e147fadd19f7eec4 - Klicke auf das Bild, um es zu vergrößern

Hierbei muss zwingend auf beiden Seiten der Verbindung eine Link Aggregation (am besten per LACP) konfiguriert werden.

Wenn du noch Modellvorschläge brauchst, müssten wir deine restlichen Anforderungen kennen.
Empfehlen kann man hier aber schonmal die SG500 Serie von Cisco.

VG
Val
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.08.2015, aktualisiert 25.08.2015
Das ist technisch falsch was du da sagst !
Spanning Tree ist auch auf Routern und Firewalls vertreten. Insbesondere bei solchen Geräten die Mehrfach Ports sprich also selber kleine embeddedte 4 oder Mehrport Switches für ihre LAN Ports zur Verfügung stellen.
Das ist auch ein zwingendes Muss, denn sonst könnten diese Geräte nur sehr unvollständig in ein Spanning Tree Design integriert werden was natürlich fatal ist.
Bei billigen Consumer oder China Produkten wird das aber häufig aus Kostengründen weggelassen weil das Gros dieser Kunden diese Funktionen oft nicht nutzt oder schlicht gar nicht weiss was das ist. Damits dann weiterhin billig bleibt lässt man es im untersten Produktbereich bei Billiganbietern häufig also weg.
Das sollte dich aber nicht dazu verleiten das pauschal auf alle Hersteller als Generalaussage in einem Forum zu posten. Z.B. bei Cisco sprechen auch die kleinsten Router der 800er Consumer Serie sauber Spanning Tree und RSTP auf den embeddeten 4 LAN Ports....nur mal so als Beispiel. Bei anderen renomierteren Herstellern im Unternehmensumfeld dürfte das ähnlich sein.

Dein Ansatz oben ist zwar nicht falsch aber für solche Kleinstnetze unpraktisch. Für dein winziges Popelnetz gibt es noch eine einfachere und bessere Lösung:
Kollege Valexus war da schon etwas schneller...
Entsorge die NetGear Gurke und beschaffe dir 2 stackbare Switches die du zu einem logischen 2er Stack verbindest. Dieser Stack besteht dann zwar aus 2 Einzelswitches agiert aber als logisch ein Switch also quasi so wie ein Chassis System mit 2 Einschüben.
Dein Server und deine Firewall bindest du nun mit Link Aggregation (Trunking, Teaming) an indem du jeweils einen Link auf dem einen und den anderen Link auf dem anderen Switch enden lässt.
Damit erreichst du nicht nur eine Verdoppelung der bandbreite was bei Servern sehr hilfreich ist, sondern gleichzeitig auch noch eine vollständige Redundanz im Fehlerfall. Schlägst also 2 Fliegen mit einer Klappe.
Das erspart dir dann ein aufwendiges STP Design mit entsprechender Priority Planung usw. und ggf. längere Failover Zeiten, denn du strebst eine sehr ungünstige Ringstruktur an was eher kontraproduktiv ist fürs Failover im STP bzw. auch RSTP.
Fazit: Stacking ist der beste Weg. Evtl. supportet das deine üble NG Gurke oben auch so das du nur einen 2ten brauchst ansonsten erreichst du sowas z.B. mit 2 mal Cisco SG-500. D-Link hat sicher auch was dazu im Köcher, wobei du bei deinen Verfügbarkeits Anforderungen nicht gerade den billigsten China Böller beschaffen solltest.
Bitte warten ..
Mitglied: Dani
24.08.2015, aktualisiert um 11:49 Uhr
Moin Joel,
du willst Spof eleminieren, hast aber nur einen Router/Firewall da stehen? Kann man machen...
Der STP-Prozess findet komplett auf den Switches statt, da die Firewall einfaches Layer 2 forwarding macht. Ähnliche Problematik gibt es bei Palo Alto oder Barracuda. Die beiden Switches regeln untereinander welcher Uplink aktiv sein wird.


Gruß,
Dani

@Kolleschen: Tippt ihr mit 4 Händen?
Bitte warten ..
Mitglied: Th0mKa
24.08.2015 um 12:30 Uhr
Zitat von jompsi:

Wir haben ein kleines Netzwerk, bei welchem die Erreichbarkeit sehr wichtig ist.

Moin,

dann solltest du eher die FG60D redundant auslegen, die kann ja geclustert werden.
Duerfte preislich auch etwa das gleiche sein...

VG,

Thomas
Bitte warten ..
Mitglied: brammer
24.08.2015, aktualisiert um 12:36 Uhr
Hallo,

dann solltest du eher die FG60D redundant auslegen, die kann ja geclustert werden.

und dier Switch bleibt als SPOF?

wenn dann beides ....
Die Fortigate und die beiden Switche... Wobei ich dann von Netgear weit weg gehen würde.,..

brammer
Bitte warten ..
Mitglied: Th0mKa
24.08.2015 um 12:40 Uhr
Zitat von brammer:

Hallo,

und dier Switch bleibt als SPOF?

Naja, die wuerde ich eher weglassen. Im Netzwerk sind doch nur die 2 Server mit je 4 Ports, das koennen dann ja die FIrewalls direkt.

VG,

Thomas
Bitte warten ..
Mitglied: aqui
24.08.2015 um 12:40 Uhr
und dier Switch bleibt als SPOF?
Nee, der besteht ja aus 2 Stackmember
Wobei ich dann von Netgear weit weg gehen würde.,..
Ein wahres Wort !!
Bitte warten ..
Mitglied: jompsi
24.08.2015 um 16:32 Uhr
Hallo

Zuerst einmal vielen Dank für die vielen Feedbacks.

@Valexus
Das managed Switches einiges mehr kosten, als unmanaged, ist mir bewusst.
Vielen Dank für die Zeichnung und die Erklärung. Dann werde ich mich mal mehr mit Stacking beschäftigen.
Restliche Anforderungen habe wir nicht gross, wobei wir wollen die Firewall auch noch Clustern, falls dass auf die Switches einen grossen Einfluss haben sollte. Auf unserer Firewall laufen mehrere ISPec Verbindungen und auf den Servern läuft eine Proxmox Virtualisierung und ein virtueller Server läuft als OpenVPN Server, mit welchem sich ein Kunde verbindet. Das sollte den Cisco SG500 nicht wirklich fordern, oder?

@aqui
Meine technisch inkorrekte Aussage tut mir leid. Habe es so geschrieben, wie ich es verstanden habe, aber hatte auch das Gefühl, dass meine Aussage nicht stimmen kann. Wie du gesagt hast, dann könnten die Geräte nicht vollständig in den Spanning Tree integriert werden und das kam mir unvollkommen vor.

@Dani
Ich habe bereits eine zweite Forti Gate, mit welcher ich auch das Clustering noch anschauen werde, um alle Spof's zu eliminieren aber befasse mich jetzt zuerst einmal mit dem Switch

@thomas
FortiGate wird auch noch redundant eingerichtet

@brammer & aqui
Keine Sorge, werde ganz weit vom Netgear weg gehen

Falls noch jemand Inputs hat, gerne. Werde den Thread noch nicht gerade schliessen, falls noch etwas kommt. Wenn aber nichts mehr kommt, werde ich den Thread morgen als gelöst markieren.

Schönen Abend und Grüsse
Joel
Bitte warten ..
Mitglied: Th0mKa
24.08.2015, aktualisiert um 20:08 Uhr
Moin,

gibt es denn ausser den Servern noch andere Clients in dem Netz? Stacking hat tendenziell den Nachteil das bei einem Firmwareupgrade ueblicherweise alle Switche des Stacks gleichzeitig rebooten.

VG,

Thomas
Bitte warten ..
Mitglied: jompsi
25.08.2015 um 08:08 Uhr
Hallo Thomas

Es gibt nur noch einen Testclient in diesem Netzwerk. Es sind also nur diese beiden Server, welche "zählen".
Ist aber gut zu wissen, dass ich bei einem Firmwareupgrade mit Down Time rechnen muss. Danke!

Viele Grüsse
Joel
Bitte warten ..
Mitglied: Th0mKa
25.08.2015, aktualisiert um 08:17 Uhr
Zitat von jompsi:
Es gibt nur noch einen Testclient in diesem Netzwerk.

Moin,

dann lass die beiden Switche weg, da reichen dann die internen LAN Ports der Fortigates.
Hardware die nicht da ist kann auch nicht ausfallen.

VG,

Thomas
Bitte warten ..
Mitglied: Deepsys
25.08.2015 um 14:24 Uhr
Hi,

eines muss ich aber zum Stacking noch los werden:

Wir hatten es bei zwei Juniper-Switchen, einer fiel aus und zog den anderen in einen Modus in dem er nicht geswitch hat!
Und das Beste war, das der Switche nicht ausfiel weil er defekt war, sondern wohl wegen Fehlern in der Stacking-Software Teil kein RAM mehr hatte.

Da hätte ich noch 2 Firewalls die als Cluster laufen, leider hatte der Hersteller da vor ein paar Jahren so richtig tolle Bugs in der Firmware, das der Backup den Master und sich selber abschoss. Daraufhin musste ich monatelang den Cluster auftrennen und nur eine Kiste laufen lassen.

Dann hätte ich noch einen Hutschienen-Switch der zwei Stromversorgungen mit 24V hat. Leider hatte der einen Hardware-Bug das der Switch nach ein paar Tagen ausfiel, reproduzierbar. Der Hersteller meinte aber, er könne diesen Fehler nicht nachvollziehen. Dann eben nur eine Versorgung.
Komisch nur das die Switche vom Hersteller 1 Jahr später ausgetauscht wurden, wegen Fehler beim Betrieb mit beiden Stromversorgungen

Das gleiche hatte ein Dienstleister mit einem Outdoor-WLAN AP. Der läuft auch nur noch an einer Spannung.

Was ich damit meinte, nicht immer ist es gut redundant zu sein.
Einzeln wäre wohl keines der Geräte je ausgefallen.
Darum zweifeln ich manchmal den Sinn an; klar, theoretisch super, aber wenn es dann in der Praxis klemmt...

VG,
Deepsys
Bitte warten ..
Mitglied: aqui
25.08.2015 um 14:29 Uhr
Spricht aber nicht gerade für Juniper und seine hochpreisigen Produkte
Na ja...die sollen auch Router bauen das können sie weitaus besser....
Bitte warten ..
Mitglied: marvin42
07.09.2015, aktualisiert um 14:47 Uhr
Hallo jompsi,

hör auf tkr104. Der weis wovon er spricht!
Alles was nicht da ist, kann auch nicht ausfallen !!!
Dass ist der Beste Tipp, den Dir jemand geben kann wenn es um echte Verfügbarkeit geht.

Schau was Du wirklich brauchst (bei Dir hört sich dass nach der FortiGate an). Leg die doppelt aus und schließ die Server mit je einem Bein direkt dran an. Dann kann erst mal ausfallen was will und Du bist von extern immer noch erreichbar (& hackbar, wenn es sein muss ).

Wenn Du intern noch Switche brauchst, nimm die im Stack. Nimm ein Markenprodukt wie Cisco etc. für dass Du später auch echten Support bekommst, sonst handelst Du mit Zitronen und brauchst Dir um Firwareupdates entweder keinen Kopf machen, weil Du nie welche bekommen wirst. Oder noch schlimmer, Du bekommst so wilde Firmwareupdatess, dass Du Dir wünscht solche Billig-Switche nie gekauft zu haben .

Firmwareupgrades machst Du nicht jeden Tag. Wenn Du da 1x im Quartal eins machst, ist die Downtime ganz locker planbar & bei Deinem Netz offensichtlich auch verkraftbar, sonst hättest Du schon eine ganz andere Maschinerie dort aufbauen müssen .

Plan dann lieber den Fall mit ein, was passiert, wenn dass Firmwarupdate in die Hose geht und es mit 5 Minuten Downtime dann nicht mehr getan ist .



Viele Grüße
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs

Cisco SG500 Switch Spanning-Tree Konfiguration

Frage von piwo91Switche und Hubs8 Kommentare

Hallo liebe Admin-Community, ich brauche mal wieder eure Hilfe und hoffe, dass da draußen jemand ist, der mit weiterhelfen ...

Netzwerkgrundlagen

Spanning Tree Packete verwerfen am Switch

gelöst Frage von pablovicNetzwerkgrundlagen8 Kommentare

Hallo zusammen Ich habe hier das Problem, dass die Zentrale Informatik ihre Switches (Cisco glaube ich) so konfiguriert haben, ...

Netzwerkmanagement

Fragen zu Spanning Tree unter ZyXEL Switch

Frage von bogo90Netzwerkmanagement1 Kommentar

Hallo Ich hoffe hier Personen zu finden welche sich mit Spanning Tree und Zyxel Switches auskennen: Was ist mit ...

Windows Server

Ausfallsicherheit

gelöst Frage von HeinrichMWindows Server10 Kommentare

Hallo zusammen! Ich betreibe einen Win Server 2012 R2, der als Host fungiert. Dort sind einige Hyper-V am laufen. ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 1 TagOff Topic14 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 2 TagenOff Topic44 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 2 TagenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 4 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing27 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von FrankOff Topic14 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

LAN, WAN, Wireless
Welches Material ist das Richtige?
Frage von Motte990LAN, WAN, Wireless12 Kommentare

Guten Morgen Leute, ich bin aktuell damit beschäftigt in unserm neu gekauften Haus das Netzwerk einzubauen. Aktuell wurden bis ...

Router & Routing
2 Server über VPN (3. Netz) verbinden mit iptables
Frage von samsillaRouter & Routing8 Kommentare

Hallo, mein Ziel ist, zwei Netzwerke (192.168.0.X und 192.168.2.X) über ein VPN (10.8.0.X) zu verbinden. Folgender Netzwerkaufbau ist gegeben: ...