VLAN Design - Produktauswahl
Moin Leidensgenossen,
folgende Ausgangssituation:
1 IP Netz in dem diverse PCs, Peripherie (Cams, Automation etc.), Server (VMs/Hosts) und aktive Netzwerkgeräte hängen.
Internetanbindung derzeit via MPLS im Rechenzentrum, weiterer Anschluss lokal vorhanden aber ungenutzt (Breakout Point im RZ, Standard GW für alles im Netz).
Hinterher soll es so aussehen:
VLAN 222 -> PCs/Drucker etc.
VLAN 223 -> Infrastruktur (VMware Hosts, aktive Netzwerkkomponenten, NAS)
VLAN 224 -> Peripherie
VLAN 225 -> Server
VLAN 199 -> Gast Netzwerk
Die VLAN IDs entsprechen dann auch jeweils dem IP Netz, also z.B. 192.168.222.0/24.
Mein Problem ist momentan folgendes:
Grundgedanke war die VLANs entsprechend an allen Switchen zu konfigurieren und mit einem Layer 3 Switch zu Routen.
Problem an der Sache ist das, so zumindest nach meinem Verständnis, ein normaler Layer 3 Switch einfach die Netze verbinden würde ohne die Möglichkeit z.B. Traffic von VLAN 224 in VLAN 222 zu unterbinden. Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.
Weiterhin soll Protokoll basiert eine Internetverbindung ausgewählt werden, wird HTTP/FTP erkannt soll ein lokaler Anschluss verwendet werden, bei anderen Protokollen
soll die MPLS Verbindung genutzt werden.
Geplant war hier eigentlich einen Lancom Router zu verwenden um die VLANs zu verbinden bzw. zu Firewallen. Das Problem an der Sache ist letztendlich die Performance da auch der größte Router von Lancom lediglich knapp unter einem Gbit/s schafft bei relativ unrealistischen Bedingungen und außerdem für das Szenario nicht wirklich gedacht ist. (Außerdem einen EK Preis von ~3,3k + Steuer hat...)
Da der Traffic z.B. zwischen Kamera Server und Kameras sowie zwischen Clients und Servern in diesem Szenario auch geroutet werden muss ist das für mich momentan der absolute Knackpunkt.
Meine Frage an euch ist jetzt wie würdet ihr hier vorgehen bzw. mit welcher Hardware würdet ihr die VLANs verbinden?
Nochmal zusammen gefasst was das Teil können muss:
- VLANs Routen inkl. Firewall
- Policy Based Routing
- Hohe Performance
Ich tendiere momentan dazu eine M0n0wall wie in aqui's Tutorial aufzusetzen, bin mir aber nicht wirklich sicher ob das für den professionellen Einsatz wirklich das richtige ist. Das ganze sollte zwar preislich noch im Rahmen bleiben aber Herstellersupport wäre schon eine feine Sache.
Vielen Dank schon mal & Grüße,
Andre
folgende Ausgangssituation:
1 IP Netz in dem diverse PCs, Peripherie (Cams, Automation etc.), Server (VMs/Hosts) und aktive Netzwerkgeräte hängen.
Internetanbindung derzeit via MPLS im Rechenzentrum, weiterer Anschluss lokal vorhanden aber ungenutzt (Breakout Point im RZ, Standard GW für alles im Netz).
Hinterher soll es so aussehen:
VLAN 222 -> PCs/Drucker etc.
VLAN 223 -> Infrastruktur (VMware Hosts, aktive Netzwerkkomponenten, NAS)
VLAN 224 -> Peripherie
VLAN 225 -> Server
VLAN 199 -> Gast Netzwerk
Die VLAN IDs entsprechen dann auch jeweils dem IP Netz, also z.B. 192.168.222.0/24.
Mein Problem ist momentan folgendes:
Grundgedanke war die VLANs entsprechend an allen Switchen zu konfigurieren und mit einem Layer 3 Switch zu Routen.
Problem an der Sache ist das, so zumindest nach meinem Verständnis, ein normaler Layer 3 Switch einfach die Netze verbinden würde ohne die Möglichkeit z.B. Traffic von VLAN 224 in VLAN 222 zu unterbinden. Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.
Weiterhin soll Protokoll basiert eine Internetverbindung ausgewählt werden, wird HTTP/FTP erkannt soll ein lokaler Anschluss verwendet werden, bei anderen Protokollen
soll die MPLS Verbindung genutzt werden.
Geplant war hier eigentlich einen Lancom Router zu verwenden um die VLANs zu verbinden bzw. zu Firewallen. Das Problem an der Sache ist letztendlich die Performance da auch der größte Router von Lancom lediglich knapp unter einem Gbit/s schafft bei relativ unrealistischen Bedingungen und außerdem für das Szenario nicht wirklich gedacht ist. (Außerdem einen EK Preis von ~3,3k + Steuer hat...)
Da der Traffic z.B. zwischen Kamera Server und Kameras sowie zwischen Clients und Servern in diesem Szenario auch geroutet werden muss ist das für mich momentan der absolute Knackpunkt.
Meine Frage an euch ist jetzt wie würdet ihr hier vorgehen bzw. mit welcher Hardware würdet ihr die VLANs verbinden?
Nochmal zusammen gefasst was das Teil können muss:
- VLANs Routen inkl. Firewall
- Policy Based Routing
- Hohe Performance
Ich tendiere momentan dazu eine M0n0wall wie in aqui's Tutorial aufzusetzen, bin mir aber nicht wirklich sicher ob das für den professionellen Einsatz wirklich das richtige ist. Das ganze sollte zwar preislich noch im Rahmen bleiben aber Herstellersupport wäre schon eine feine Sache.
Vielen Dank schon mal & Grüße,
Andre
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 216647
Url: https://administrator.de/forum/vlan-design-produktauswahl-216647.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
wollen, denn wie sieht es mit den Switchen aus? Kann man die stapeln (Switch Stack)? Das beschleunigt die interne Kommunikation
der Switche ungemein und spart eine Menge Ports zusätzlich, am besten noch im Ring stapeln!
bzw. Switch Port Security Einstellungen.
Session basierendes Routing auch unterstützt!
Dort kann man dann festlegen das zum Beispiel:
- FTP und HTTP über WAN 1 gehen
- Und der Rest über WAN X gehen sollen
Allerdings muss ich auch zugeben das ich das so in der Konstellation noch nicht hatte, entweder ich splitte den Netzwerkverkehr auf
oder ich nutze eine der Routingarten wie Session based Routing oder Policy based Routing.
Also ich würde nicht entweder oder betreiben wollen, nimm einen Layer3 Switch für das LAN Routing und das Priorisieren des Verkehrs
und eine starke Firewall bzw. einen kräftigen Router und da brauchen wir auch nicht zu diskutieren, so was kostet dann eben auch etwas.
- kräftiger Router mit vielen Einstellmöglichkeiten oder ein potente Firewall.
- Policy Based Routing
- Hohe Performance
- Einen MikroTik RB1100AHx2
Sehr starkes und auch gut bzw. stabil laufendes RouterBoard
- Einen PowerRouter
Sehr starker und potenter Router für RouterOS
- Einen OgmaConnect Router
Völlig schmerzfreie und lang anhaltende Anschaffung für RouterOS bzw. auch pfSense
- DrayTek Vigor 3900
Ein wirklich starker Router von DrayTek mit mehreren WAN Ports
- Lanner
Hat wirklich gute und vor allem anderen potente Geräte für fast jedes Router oder Firewall OS im Portfolio
- Wenn es auch kleiner ausfallen darf könnte eine Soekris net6501 auch reichen.
Kann aufgerüstet werden auch mit mehr WAN/LAN Ports, aber es läuft kein RouterOS drauf! nur pfSense, mOnOwall,...
Ich würde mal sagen Du kommst jetzt erst einmal mit einigen Infos mehr rüber denn man kann sonst auch nur raten
was Du (Ihr) für eine Firewall oder einen Router benötigt, das sind alles ziemlich potente Geräte die aber alles samt Ihr Geld
auch wert sind, nur ob Ihr wirklich so viel Power braucht ist doch wohl die andere Frage.
- Verwendete Protokolle
- Anzahl der Geräte und Mitarbeiter
- Anzahl und Art der genutzten und angebotenen Dienste und Anwendungen
und zertifizierte Firewall angeschafft werden, oder kann man nehmen was man will und möchte.
Und zweitens auch eine MOnOwall muss oder bzw. sollte dann einen performanten Unterbau haben,
sicherlich kann man dann an dem etwas mehr "schrauben" hinsichtlich des RAMs, der CPUs und WAN
Anbindungen und Portdichte (Kupfer, SFP, SFP+,....) aber nur mit einer kleinen Alix Appliance würde ich
hier nicht anfangen wollen! Auch was den Bereich VPN betrifft solltest Du mal mehr erzählen!
aber das ist bei professionellem Support von anderen Anbietern bestimmt nicht anders.
- @aqui wenn der Zeit und Lust hat hier im Forum
- pfSense pro Supportvertrag
Gruß
Dobby
Grundgedanke war die VLANs entsprechend an allen Switchen zu konfigurieren und mit einem Layer 3 Switch zu Routen.
Den Gedanken würde ich auch mal nicht wegschicken bzw. an Ihm auf jeden Fall festhalten wollen und noch einen weiter gehenwollen, denn wie sieht es mit den Switchen aus? Kann man die stapeln (Switch Stack)? Das beschleunigt die interne Kommunikation
der Switche ungemein und spart eine Menge Ports zusätzlich, am besten noch im Ring stapeln!
Problem an der Sache ist das, so zumindest nach meinem Verständnis, ein normaler Layer 3 Switch einfach die Netze verbinden würde ohne die Möglichkeit z.B. Traffic von VLAN 224 in VLAN 222 zu unterbinden.
Das kann man dann ja entweder über die Firewall laufen lassen, oder aber, was ich persönlich bevorzugen würde mittels Switch ACLsbzw. Switch Port Security Einstellungen.
Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.
Dann sollten die Mitglieder des VLAN222 einfach auch Mitglieder des oder der anderen VLANs sein und umgekehrt eben nicht, fertig.Weiterhin soll Protokoll basiert eine Internetverbindung ausgewählt werden, wird HTTP/FTP erkannt soll ein lokaler Anschluss verwendet werden, bei anderen Protokollen soll die MPLS Verbindung genutzt werden.
Dann solltest Du eine Firewall benutzen die auch zum Einem das MLLP (Multi link layer protocol) unterstützt und zum AnderenSession basierendes Routing auch unterstützt!
Dort kann man dann festlegen das zum Beispiel:
- FTP und HTTP über WAN 1 gehen
- Und der Rest über WAN X gehen sollen
Allerdings muss ich auch zugeben das ich das so in der Konstellation noch nicht hatte, entweder ich splitte den Netzwerkverkehr auf
oder ich nutze eine der Routingarten wie Session based Routing oder Policy based Routing.
Da der Traffic z.B. zwischen Kamera Server und Kameras sowie zwischen Clients und Servern in diesem Szenario auch geroutet werden muss ist das für mich momentan der absolute Knackpunkt.
Wohin müssen denn die Kamerastreams geroutet werden, über das WAN Interface nach draußen oder nur innerhalb des LANs?Also ich würde nicht entweder oder betreiben wollen, nimm einen Layer3 Switch für das LAN Routing und das Priorisieren des Verkehrs
und eine starke Firewall bzw. einen kräftigen Router und da brauchen wir auch nicht zu diskutieren, so was kostet dann eben auch etwas.
Meine Frage an euch ist jetzt wie würdet ihr hier vorgehen bzw. mit welcher Hardware würdet ihr die VLANs verbinden?
- Layer3 Switch für das LAN Routing- kräftiger Router mit vielen Einstellmöglichkeiten oder ein potente Firewall.
Nochmal zusammen gefasst was das Teil können muss:
- VLANs Routen inkl. Firewall- Policy Based Routing
- Hohe Performance
- Einen MikroTik RB1100AHx2
Sehr starkes und auch gut bzw. stabil laufendes RouterBoard
- Einen PowerRouter
Sehr starker und potenter Router für RouterOS
- Einen OgmaConnect Router
Völlig schmerzfreie und lang anhaltende Anschaffung für RouterOS bzw. auch pfSense
- DrayTek Vigor 3900
Ein wirklich starker Router von DrayTek mit mehreren WAN Ports
- Lanner
Hat wirklich gute und vor allem anderen potente Geräte für fast jedes Router oder Firewall OS im Portfolio
- Wenn es auch kleiner ausfallen darf könnte eine Soekris net6501 auch reichen.
Kann aufgerüstet werden auch mit mehr WAN/LAN Ports, aber es läuft kein RouterOS drauf! nur pfSense, mOnOwall,...
Ich würde mal sagen Du kommst jetzt erst einmal mit einigen Infos mehr rüber denn man kann sonst auch nur raten
was Du (Ihr) für eine Firewall oder einen Router benötigt, das sind alles ziemlich potente Geräte die aber alles samt Ihr Geld
auch wert sind, nur ob Ihr wirklich so viel Power braucht ist doch wohl die andere Frage.
- Verwendete Protokolle
- Anzahl der Geräte und Mitarbeiter
- Anzahl und Art der genutzten und angebotenen Dienste und Anwendungen
Ich tendiere momentan dazu eine M0n0wall wie in aqui's Tutorial aufzusetzen,
Dann lieber wohl pfSense alleine der Einstellungsmöglichkeiten wegen.bin mir aber nicht wirklich sicher ob das für den professionellen Einsatz wirklich das richtige ist.
Klar ist eben nur die Frage was Eure Unternhemensvorgaben sagen, muss unbedingt eine geprüfteund zertifizierte Firewall angeschafft werden, oder kann man nehmen was man will und möchte.
Und zweitens auch eine MOnOwall muss oder bzw. sollte dann einen performanten Unterbau haben,
sicherlich kann man dann an dem etwas mehr "schrauben" hinsichtlich des RAMs, der CPUs und WAN
Anbindungen und Portdichte (Kupfer, SFP, SFP+,....) aber nur mit einer kleinen Alix Appliance würde ich
hier nicht anfangen wollen! Auch was den Bereich VPN betrifft solltest Du mal mehr erzählen!
Das ganze sollte zwar preislich noch im Rahmen bleiben aber Herstellersupport wäre schon eine feine Sache.
Na da hast Du ja schon zwei Punkte an die Du Dich wenden kannst, sicherlich kostet das auch immer etwasaber das ist bei professionellem Support von anderen Anbietern bestimmt nicht anders.
- @aqui wenn der Zeit und Lust hat hier im Forum
- pfSense pro Supportvertrag
Gruß
Dobby
High Hoffnungsloser,
Für eine Beratung fehlt noch ein bisserl was:
Wie viele Geräte musst du versorgen?
Wie hoch ist der Traffic typisch?
An welche Hardware denkst du?
Was hast du? Switche, Router
Womit hast du Erfahrung?
Prinzipiell kann auch ein guter L3-Switch deine ACLs verwalten.
VLAN222 soll nicht auf alle VLANs zugreifen sondern umgekehrt.
Wenns der L3-Switch packt, dann brauchst du nur mehr eine Internet-Firewall, die keine Multigigabit-Leistung bringen muss.
Gruß
Netman
Für eine Beratung fehlt noch ein bisserl was:
Wie viele Geräte musst du versorgen?
Wie hoch ist der Traffic typisch?
An welche Hardware denkst du?
Was hast du? Switche, Router
Womit hast du Erfahrung?
Prinzipiell kann auch ein guter L3-Switch deine ACLs verwalten.
VLAN222 soll nicht auf alle VLANs zugreifen sondern umgekehrt.
Wenns der L3-Switch packt, dann brauchst du nur mehr eine Internet-Firewall, die keine Multigigabit-Leistung bringen muss.
Gruß
Netman
Hallo nochmal,
Und wie stark bzw. schwach sind diese denn?
Gruß
Dobby
....die keine Multigigabit-Leistung bringen muss.
Wie viele WAN Anbindungen hat er denn?Und wie stark bzw. schwach sind diese denn?
VLAN222 soll nicht auf alle VLANs zugreifen sondern umgekehrt.
Letztendlich will ich aber erreichen dass VLAN 222 Zugriff auf alle anderen VLANs bekommt, umgekehrt aber die anderen VLANs isoliert sind.Gruß
Dobby
Aktuelle Layer 3 Switches supporten allesamt weitreichende Accesslist Möglichkeiten um den Traffic zwischen den VLANs entsprechend zu filtern. Bei den Billigheimern weniger bei den Premium Herstellern mehr Features in Accesslisten.
Damit lässt sich der Traffic zwischen den VLANs problemlos steuern und kontrollieren.
Es macht also Sinn VOR dem Kauf einen solchen Switches mal ins Datenblatt oder Manual zu sehen !
Alles was du oben willst mit dem L3 Switch ist problemlos mit ein paar Konfigzeilen umsetzbar !
Damit lässt sich der Traffic zwischen den VLANs problemlos steuern und kontrollieren.
Es macht also Sinn VOR dem Kauf einen solchen Switches mal ins Datenblatt oder Manual zu sehen !
Alles was du oben willst mit dem L3 Switch ist problemlos mit ein paar Konfigzeilen umsetzbar !
Auf solche Fragen ist schwer zu antworten, da man dein Budget nicht kennt.
Die HP Gurke kann Basis Layer 3 Routing ohne dynmaische Protokolle. Da kann schon ein Cisco SG300 Modell mehr als der.
Ansonsten hast du noch Brocade ICX, Extreme, Enterasys, usw. deren Switches allesamt per se L3 supporten.
Es ist eigentlich völlig egal was du da nimmst wenn du geringe Anforderungen hast. L3 Wirespeed im Forwarding mach mittlerweile auch MischiMuschi, D-Link, NetGear und Longshine aus China.
You'll get what you pay for...
Die HP Gurke kann Basis Layer 3 Routing ohne dynmaische Protokolle. Da kann schon ein Cisco SG300 Modell mehr als der.
Ansonsten hast du noch Brocade ICX, Extreme, Enterasys, usw. deren Switches allesamt per se L3 supporten.
Es ist eigentlich völlig egal was du da nimmst wenn du geringe Anforderungen hast. L3 Wirespeed im Forwarding mach mittlerweile auch MischiMuschi, D-Link, NetGear und Longshine aus China.
You'll get what you pay for...
Hallo,
- Cisco SG300-28 für die LAN Geräte - ca. ~450 €
- Cisco SG300-28P für die PoE Geräte - ca. ~550 €
Die gibt es natürlich auch noch kleiner mit weniger Ports und somit auch billiger!!!!
Also mit 500 € für 16 Ports kommst Du da Dicke hin, aber die größeren Switche (mehr) Ports
haben dann eben auch mitunter mehr Leistung im Programm, also größere MAC Tabellen usw.
Benutze einfach mal Google und dann siehst Du ja was es alles für "Größen" gibt mit denen man
das alles erledigen kann!
Gruß
Dobby
In welcher Preisklasse sollte man bei so einem Gerät einkaufen? Ich hab da leider momentan wenig Vorstellungen was angebracht ist.
Was Du brauchst bzw. benötigst ist immer wichtig!Aus dem Bauch raus würde ich jetzt mal sagen Budget bis 1000€ (16 Ports reichen).
Na geht doch! Alles drin drumm und drann!- Cisco SG300-28 für die LAN Geräte - ca. ~450 €
- Cisco SG300-28P für die PoE Geräte - ca. ~550 €
Die gibt es natürlich auch noch kleiner mit weniger Ports und somit auch billiger!!!!
Also mit 500 € für 16 Ports kommst Du da Dicke hin, aber die größeren Switche (mehr) Ports
haben dann eben auch mitunter mehr Leistung im Programm, also größere MAC Tabellen usw.
Benutze einfach mal Google und dann siehst Du ja was es alles für "Größen" gibt mit denen man
das alles erledigen kann!
Gruß
Dobby
wenn es das dann war bitte noch schnell ein Beitrag ist gelöst hinten dran, danke.
Nein, eine gute Wahl und damit wirst du das alles problemlos umsetzen können !
Tip: Checken ob das aktuellste Image drauf ist:
http://software.cisco.com/download/release.html?mdfid=283019617&cat ...
Mit dem Deutschen Language Pack hast du die Oberfläche auch in Deutsch....für den der sowas braucht ?!
Tip: Checken ob das aktuellste Image drauf ist:
http://software.cisco.com/download/release.html?mdfid=283019617&cat ...
Mit dem Deutschen Language Pack hast du die Oberfläche auch in Deutsch....für den der sowas braucht ?!