nohopenofear
Goto Top

VLAN Design - Produktauswahl

Moin Leidensgenossen,

folgende Ausgangssituation:

1 IP Netz in dem diverse PCs, Peripherie (Cams, Automation etc.), Server (VMs/Hosts) und aktive Netzwerkgeräte hängen.
Internetanbindung derzeit via MPLS im Rechenzentrum, weiterer Anschluss lokal vorhanden aber ungenutzt (Breakout Point im RZ, Standard GW für alles im Netz).

Hinterher soll es so aussehen:
VLAN 222 -> PCs/Drucker etc.
VLAN 223 -> Infrastruktur (VMware Hosts, aktive Netzwerkkomponenten, NAS)
VLAN 224 -> Peripherie
VLAN 225 -> Server
VLAN 199 -> Gast Netzwerk

Die VLAN IDs entsprechen dann auch jeweils dem IP Netz, also z.B. 192.168.222.0/24.

Mein Problem ist momentan folgendes:
Grundgedanke war die VLANs entsprechend an allen Switchen zu konfigurieren und mit einem Layer 3 Switch zu Routen.
Problem an der Sache ist das, so zumindest nach meinem Verständnis, ein normaler Layer 3 Switch einfach die Netze verbinden würde ohne die Möglichkeit z.B. Traffic von VLAN 224 in VLAN 222 zu unterbinden. Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.

Weiterhin soll Protokoll basiert eine Internetverbindung ausgewählt werden, wird HTTP/FTP erkannt soll ein lokaler Anschluss verwendet werden, bei anderen Protokollen
soll die MPLS Verbindung genutzt werden.

Geplant war hier eigentlich einen Lancom Router zu verwenden um die VLANs zu verbinden bzw. zu Firewallen. Das Problem an der Sache ist letztendlich die Performance da auch der größte Router von Lancom lediglich knapp unter einem Gbit/s schafft bei relativ unrealistischen Bedingungen und außerdem für das Szenario nicht wirklich gedacht ist. (Außerdem einen EK Preis von ~3,3k + Steuer hat...)
Da der Traffic z.B. zwischen Kamera Server und Kameras sowie zwischen Clients und Servern in diesem Szenario auch geroutet werden muss ist das für mich momentan der absolute Knackpunkt.

Meine Frage an euch ist jetzt wie würdet ihr hier vorgehen bzw. mit welcher Hardware würdet ihr die VLANs verbinden?
Nochmal zusammen gefasst was das Teil können muss:
- VLANs Routen inkl. Firewall
- Policy Based Routing
- Hohe Performance

Ich tendiere momentan dazu eine M0n0wall wie in aqui's Tutorial aufzusetzen, bin mir aber nicht wirklich sicher ob das für den professionellen Einsatz wirklich das richtige ist. Das ganze sollte zwar preislich noch im Rahmen bleiben aber Herstellersupport wäre schon eine feine Sache.

Vielen Dank schon mal & Grüße,
Andre

Content-ID: 216647

Url: https://administrator.de/forum/vlan-design-produktauswahl-216647.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

108012
108012 11.09.2013 aktualisiert um 13:09:32 Uhr
Goto Top
Hallo,

Grundgedanke war die VLANs entsprechend an allen Switchen zu konfigurieren und mit einem Layer 3 Switch zu Routen.
Den Gedanken würde ich auch mal nicht wegschicken bzw. an Ihm auf jeden Fall festhalten wollen und noch einen weiter gehen
wollen, denn wie sieht es mit den Switchen aus? Kann man die stapeln (Switch Stack)? Das beschleunigt die interne Kommunikation
der Switche ungemein und spart eine Menge Ports zusätzlich, am besten noch im Ring stapeln!

Problem an der Sache ist das, so zumindest nach meinem Verständnis, ein normaler Layer 3 Switch einfach die Netze verbinden würde ohne die Möglichkeit z.B. Traffic von VLAN 224 in VLAN 222 zu unterbinden.
Das kann man dann ja entweder über die Firewall laufen lassen, oder aber, was ich persönlich bevorzugen würde mittels Switch ACLs
bzw. Switch Port Security Einstellungen.

Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.
Dann sollten die Mitglieder des VLAN222 einfach auch Mitglieder des oder der anderen VLANs sein und umgekehrt eben nicht, fertig.

Weiterhin soll Protokoll basiert eine Internetverbindung ausgewählt werden, wird HTTP/FTP erkannt soll ein lokaler Anschluss verwendet werden, bei anderen Protokollen soll die MPLS Verbindung genutzt werden.
Dann solltest Du eine Firewall benutzen die auch zum Einem das MLLP (Multi link layer protocol) unterstützt und zum Anderen
Session basierendes Routing auch unterstützt!
Dort kann man dann festlegen das zum Beispiel:
- FTP und HTTP über WAN 1 gehen
- Und der Rest über WAN X gehen sollen

Allerdings muss ich auch zugeben das ich das so in der Konstellation noch nicht hatte, entweder ich splitte den Netzwerkverkehr auf
oder ich nutze eine der Routingarten wie Session based Routing oder Policy based Routing.

Da der Traffic z.B. zwischen Kamera Server und Kameras sowie zwischen Clients und Servern in diesem Szenario auch geroutet werden muss ist das für mich momentan der absolute Knackpunkt.
Wohin müssen denn die Kamerastreams geroutet werden, über das WAN Interface nach draußen oder nur innerhalb des LANs?
Also ich würde nicht entweder oder betreiben wollen, nimm einen Layer3 Switch für das LAN Routing und das Priorisieren des Verkehrs
und eine starke Firewall bzw. einen kräftigen Router und da brauchen wir auch nicht zu diskutieren, so was kostet dann eben auch etwas.

Meine Frage an euch ist jetzt wie würdet ihr hier vorgehen bzw. mit welcher Hardware würdet ihr die VLANs verbinden?
- Layer3 Switch für das LAN Routing
- kräftiger Router mit vielen Einstellmöglichkeiten oder ein potente Firewall.

Nochmal zusammen gefasst was das Teil können muss:
- VLANs Routen inkl. Firewall
- Policy Based Routing
- Hohe Performance

- Einen MikroTik RB1100AHx2
Sehr starkes und auch gut bzw. stabil laufendes RouterBoard
- Einen PowerRouter
Sehr starker und potenter Router für RouterOS
- Einen OgmaConnect Router
Völlig schmerzfreie und lang anhaltende Anschaffung für RouterOS bzw. auch pfSense
- DrayTek Vigor 3900
Ein wirklich starker Router von DrayTek mit mehreren WAN Ports
- Lanner
Hat wirklich gute und vor allem anderen potente Geräte für fast jedes Router oder Firewall OS im Portfolio
- Wenn es auch kleiner ausfallen darf könnte eine Soekris net6501 auch reichen.
Kann aufgerüstet werden auch mit mehr WAN/LAN Ports, aber es läuft kein RouterOS drauf! nur pfSense, mOnOwall,...

Ich würde mal sagen Du kommst jetzt erst einmal mit einigen Infos mehr rüber denn man kann sonst auch nur raten
was Du (Ihr) für eine Firewall oder einen Router benötigt, das sind alles ziemlich potente Geräte die aber alles samt Ihr Geld
auch wert sind, nur ob Ihr wirklich so viel Power braucht ist doch wohl die andere Frage.
- Verwendete Protokolle
- Anzahl der Geräte und Mitarbeiter
- Anzahl und Art der genutzten und angebotenen Dienste und Anwendungen

Ich tendiere momentan dazu eine M0n0wall wie in aqui's Tutorial aufzusetzen,
Dann lieber wohl pfSense alleine der Einstellungsmöglichkeiten wegen.

bin mir aber nicht wirklich sicher ob das für den professionellen Einsatz wirklich das richtige ist.
Klar ist eben nur die Frage was Eure Unternhemensvorgaben sagen, muss unbedingt eine geprüfte
und zertifizierte Firewall angeschafft werden, oder kann man nehmen was man will und möchte.

Und zweitens auch eine MOnOwall muss oder bzw. sollte dann einen performanten Unterbau haben,
sicherlich kann man dann an dem etwas mehr "schrauben" hinsichtlich des RAMs, der CPUs und WAN
Anbindungen und Portdichte (Kupfer, SFP, SFP+,....) aber nur mit einer kleinen Alix Appliance würde ich
hier nicht anfangen wollen! Auch was den Bereich VPN betrifft solltest Du mal mehr erzählen!

Das ganze sollte zwar preislich noch im Rahmen bleiben aber Herstellersupport wäre schon eine feine Sache.
Na da hast Du ja schon zwei Punkte an die Du Dich wenden kannst, sicherlich kostet das auch immer etwas
aber das ist bei professionellem Support von anderen Anbietern bestimmt nicht anders.
- @aqui wenn der Zeit und Lust hat hier im Forum
- pfSense pro Supportvertrag

Gruß
Dobby
MrNetman
MrNetman 11.09.2013 um 13:18:17 Uhr
Goto Top
High Hoffnungsloser,

Für eine Beratung fehlt noch ein bisserl was:
Wie viele Geräte musst du versorgen?
Wie hoch ist der Traffic typisch?
An welche Hardware denkst du?
Was hast du? Switche, Router
Womit hast du Erfahrung?

Prinzipiell kann auch ein guter L3-Switch deine ACLs verwalten.
VLAN222 soll nicht auf alle VLANs zugreifen sondern umgekehrt.
Wenns der L3-Switch packt, dann brauchst du nur mehr eine Internet-Firewall, die keine Multigigabit-Leistung bringen muss.

Gruß
Netman
108012
108012 11.09.2013 um 13:24:39 Uhr
Goto Top
Hallo nochmal,

....die keine Multigigabit-Leistung bringen muss.
Wie viele WAN Anbindungen hat er denn?
Und wie stark bzw. schwach sind diese denn?

VLAN222 soll nicht auf alle VLANs zugreifen sondern umgekehrt.
Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.

Gruß
Dobby
NoHopeNoFear
NoHopeNoFear 11.09.2013 um 14:00:26 Uhr
Goto Top
Hi,

Vielen Dank schon mal für die Antworten soweit.
Ich habe momentan leider keinen Zugang zu einem Rechner mit Visio, sonst würde ich euch die Struktur kurz aufmalen, versuche es jetzt hier zu beschreiben:

Hardware:
RZ Frankfurt
Lancom 7100 -> Derzeitiger Breakout Point, Über das Teil laufen alle Geräte ins Inet (hier kommen auch ca. 80 VPN Verbindungen an)
Cisco Router vom Provider für Transfer Netz / MPLS

Zentrale
Cisco Router vom Provider -> Abschuss des Transfer Netzes, Standard Gateway für alle Geräte in der Zentrale
Switche: 2x HP 1810-24g, 2x Lancom Gbit Switche, 2x Lancom Fast Eth. Switch, sind alles "nur" Smart Managed Geräte.
Momentan ist einer der HP Switche "Core" Switch auf dem alle anderen Switche per Trunks verbunden sind, außerdem hängt 1 ESX Host per Trunk dran sowie ein Dell NX300 NAS, ebenfalls per Trunk bzw. Link Aggregation. Der 100 mbit/s Switch ist noch ein historisches Teil, bleibt aber erstmal für die Sachen hängen die sowieso kein Gbit/s brauchen.

Weiterhin gibt es einen separaten Router (Lancom 1711+) welcher lokal in der Zentrale 2 DSL Anschlüsse bedient, hierrüber läuft auch das vorhandene Gast Netzwerk. Die internen PCs nutzen aber ausschließlich die MPLS Verbindung und das GW in Frankfurt.

Zur Performance:
Es laufen momentan 7 Kameras welche bei Bewegung aufzeichnen, keine HD Cams, ist aber für später vorgesehen. Kameras und der Ziel Server sollen sich später in unterschiedlichen VLANs befinden.
Die Clients im VLAN 222 brauchen an sich keine super schnelle Anbindung an die Server da hier nur mit "normaler" Software gearbeitet wird und keine großen Datenmengen übertragen werden. Ich will aber vermeiden dass bei'm Transfer einer größeren Datei auf den Fileserver die Performance zu weit absackt.

Bezüglich der Firewall:
Hier soll kein WAN Routing gemacht werden, nach meinem Verständnis wäre das alles LAN Routing.
Beispiel:
PC1 greift via HTTP auf eine Webseite zu, Firewall erkennt das und routet auf Default Route 2 welche den Lancom 1711+ als Ziel hat.
PC1 greift via RDP auf einen Server zu, Firewall erkennt das und routet auf Default Route 1 welche den Lancom 7100 im RZ als Ziel hat.
Weiterhin sollten alle lokalen Netze auch in Richtung Lancom 7100 geroutet werden (falls HTTP Zugriff auf ein VPN erfolgt).
WAN Verbindungen würden an diesem Gerät garnicht eingerichtet werden sollen.

Ich kenne mich leider nur mit Lancom Routern aus, bei den Geräten würde man das recht einfach per Firewall Regel und Routing Tag umsetzen können, weiß leider nicht wie es bei anderen Herstellern damit ausschaut.

Ich hoffe das bringt etwas Licht ins dunkle, wenn nicht sagt mir bitte welchen Angaben genau fehlen dann versuche ich es spätestens morgen in Visio aufzumalen.

Noch eine Frage zu den ACLs: Wie genau muss man sich das auf dem Switch vorstellen?
aqui
aqui 12.09.2013 um 09:42:57 Uhr
Goto Top
Aktuelle Layer 3 Switches supporten allesamt weitreichende Accesslist Möglichkeiten um den Traffic zwischen den VLANs entsprechend zu filtern. Bei den Billigheimern weniger bei den Premium Herstellern mehr Features in Accesslisten.
Damit lässt sich der Traffic zwischen den VLANs problemlos steuern und kontrollieren.
Es macht also Sinn VOR dem Kauf einen solchen Switches mal ins Datenblatt oder Manual zu sehen !
Alles was du oben willst mit dem L3 Switch ist problemlos mit ein paar Konfigzeilen umsetzbar !
NoHopeNoFear
NoHopeNoFear 12.09.2013 um 09:50:08 Uhr
Goto Top
Danke für die Antwort.
In welcher Preisklasse sollte man bei so einem Gerät einkaufen? Ich hab da leider momentan wenig Vorstellungen was angebracht ist.


Das augenscheinlich günstigste Gerät von HP wäre der 5120-16G SI mit folgenden Specs, allerdings werde ich aus den Angaben nicht so wirklich schlau.
Nach was muss genau geschaut werden?
http://h18000.www1.hp.com/products/quickspecs/productbulletin.html#spec ...

Kannst du evtl. ein Gerät empfehlen mit dem du persönlich gute Erfahrungen gemacht hast und das nach deinem Wissen die Anforderungen abdeckt?
aqui
aqui 12.09.2013 aktualisiert um 10:13:00 Uhr
Goto Top
Auf solche Fragen ist schwer zu antworten, da man dein Budget nicht kennt.
Die HP Gurke kann Basis Layer 3 Routing ohne dynmaische Protokolle. Da kann schon ein Cisco SG300 Modell mehr als der.
Ansonsten hast du noch Brocade ICX, Extreme, Enterasys, usw. deren Switches allesamt per se L3 supporten.
Es ist eigentlich völlig egal was du da nimmst wenn du geringe Anforderungen hast. L3 Wirespeed im Forwarding mach mittlerweile auch MischiMuschi, D-Link, NetGear und Longshine aus China.
You'll get what you pay for...
NoHopeNoFear
NoHopeNoFear 12.09.2013 um 10:16:18 Uhr
Goto Top
Aus dem Bauch raus würde ich jetzt mal sagen Budget bis 1000€ (16 Ports reichen).
Wie gesagt, ich hab leider keine Vorstellung davon was man dafür sinniger Weise ausgeben sollte.
Billig Hersteller würde ich gerne außen vor lassen, Ziel wäre also schon ein Produkt von einem der großen Hersteller zu verwenden.
108012
108012 12.09.2013 um 14:47:02 Uhr
Goto Top
Hallo,

In welcher Preisklasse sollte man bei so einem Gerät einkaufen? Ich hab da leider momentan wenig Vorstellungen was angebracht ist.
Was Du brauchst bzw. benötigst ist immer wichtig!

Aus dem Bauch raus würde ich jetzt mal sagen Budget bis 1000€ (16 Ports reichen).
Na geht doch! Alles drin drumm und drann!

- Cisco SG300-28 für die LAN Geräte - ca. ~450 €
- Cisco SG300-28P für die PoE Geräte - ca. ~550 €

Die gibt es natürlich auch noch kleiner mit weniger Ports und somit auch billiger!!!!
Also mit 500 € für 16 Ports kommst Du da Dicke hin, aber die größeren Switche (mehr) Ports
haben dann eben auch mitunter mehr Leistung im Programm, also größere MAC Tabellen usw.

Benutze einfach mal Google und dann siehst Du ja was es alles für "Größen" gibt mit denen man
das alles erledigen kann!

Gruß
Dobby
NoHopeNoFear
NoHopeNoFear 12.09.2013 um 15:16:35 Uhr
Goto Top
Vielen Dank für die Antwort.

Schaue mir das Cisco Gerät noch mal genauer an und werde es mit dem von mir genannten HP und anderen Anbietern vergleichen, denke ich habe die richtige Vorgehensweise jetzt aber soweit verstanden. Danke nochmal an alle face-smile
108012
108012 12.09.2013 um 15:23:25 Uhr
Goto Top
wenn es das dann war bitte noch schnell ein Beitrag ist gelöst hinten dran, danke.
NoHopeNoFear
NoHopeNoFear 12.09.2013 um 15:35:03 Uhr
Goto Top
Werde ich machen sobald wir uns für ein Produkt entschieden haben.
Vielleicht hat ja irgendwann noch mal wer das gleiche Problem und kann direkt schauen ob unsere Wahl auch für ihn passend ist.
NoHopeNoFear
NoHopeNoFear 13.09.2013 um 10:57:33 Uhr
Goto Top
Habe jetzt den Cisco SG-300-28 bestellt. Bei 280€ für das Teil kann man, denke ich, nicht viel verkehrt machen.
aqui
aqui 13.09.2013 aktualisiert um 16:57:08 Uhr
Goto Top
Nein, eine gute Wahl und damit wirst du das alles problemlos umsetzen können !
Tip: Checken ob das aktuellste Image drauf ist:
http://software.cisco.com/download/release.html?mdfid=283019617&cat ...
Mit dem Deutschen Language Pack hast du die Oberfläche auch in Deutsch....für den der sowas braucht ?!