assassin
Goto Top

VLAN Portzuordnung

Hallo, wie richtet man im Optimalfall das VLAN auf jeden Switch ein wenn es um die Tagged VLAN zuordnung per Port geht?
Standardmäßig ist es z.B. bei Unifi ja so, dass jedes neue VLAN auf alle Portsw mit als Tagged verteilt wird. Das Native untagged VLAN ist die ID1.

Wenn man jetzt 15 Switche hat in einen Campus - kann man das da so weiterverwenden dass jedes VLAN auf jeden Port mitgegeben wird? sodass ein mögliches endgerät was mit Tagged Frames umgehen kann sich mit einem anderen VLAN verbinden kann?

Oder wäre es angebracht, jeden Port fest einzustellen auf Untagged für das jeweilige VLAN womit das Endgerät auch arbeiten wird? Wird nur ein sehr hoher konfigurationsaufwand bei über 200 Geräten, weil die bisherigen Admins nie eine Logische Netztrennung gemacht haben face-confused

Ist halt die frage - macht das was wenn jedes VLAN als Tagged auf jeden Port mitgegeben wird?

Content-ID: 548692

Url: https://administrator.de/forum/vlan-portzuordnung-548692.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

SlainteMhath
SlainteMhath 18.02.2020 um 08:50:36 Uhr
Goto Top
Moin,

"das" macht man, wie bei Unifi auch, mit dem Management-Tool des Switch-Herstellers!

macht das was wenn jedes VLAN als Tagged auf jeden Port mitgegeben wird?
Das ist Schwachsinn, da 1. kaum ein "Endgerät" mit Tagged Frames umgeehen kann. und 2. dann jeder Bit aus jedem VLAN an jedem Port aufschlägt - das ist ja genau das, was VLANs unterbinden sollen.

Schau dir mal das VLAN Tutorial hier im Board an, da ist alles wunderbar erklärt.

lg,
Slainte
SeaStorm
SeaStorm 18.02.2020 um 08:56:02 Uhr
Goto Top
Hi

also eigentlich tagged man fast nur auf den "uplink"-ports, also denen, die die Switche untereinader verbinden.
Die anderen Ports sind dann access-Ports denen ein vlan zugewiesen wird. Entsprechend ist ein Gerät, das an diesem Port angeschlossen wird nur und ausschliesslich in diesem VLAN. Ansonsten kann sich der Client ja aussuchen in welches VLAN es geht, was ja den Sinn eines VLANs völlig über Bord wirft. Ausserdem würde so ja ein wahnsinns Traffic auf allen ports entstehen.

Und dann geht man meistens hin und gibt halt dem Gebäude/Stockwerk/Raum/whatever eben einen Switch, der verteilt im Accessbereich dann eben sein VLAN für diesen Bereich und einzelne Ports werden dann noch bei bedarf konfiguriert, weil da jetzt z.B der AP drauf hängt oder sonst was. Der Konfigurationsaufwand hält sich so also sehr in Grenzen.

Ach ja und zwischen den Switchen gibt man im Trunk natürlich auch nur die VLANs mit, die da auch wirklich genutzt werden
NordicMike
NordicMike 18.02.2020 um 09:25:49 Uhr
Goto Top
Schwachsinn ist es nicht, nur noch keine Erfahrung damit.

Endgeräten gibt man eigentlich immer untagged. Man kann auch mischen z.B. ein VoIP Telefon mit integriertem Switch, als Kaskade zum PC, dann gibt man dem VoIP Telefon ein tagged VLAN und dem PC ein untagged VLAN zusammen auf den Switch Port.

Es wird also überall zwischen den Switchen mit allen tagged VLANs übertragen, damit Du danach auch bequem auswählen kannst, welches untagged VLAN dann schlussendlich zum Client geht. Das geht mit der Unifi Controller Software sehr gut zentral. Mache schrauben die Sicherheit noch höher und schicken nur die tagged VLANs zu bestimmten Switchen, die dort unbedingt benötigt werden. Dann kann keiner den Switch einfach austauschen und einen eigen programmierten Switch anstecken, um in ein VLAN zu kommen, wo er nicht hin soll.
142583
142583 18.02.2020 um 09:26:07 Uhr
Goto Top
Im Falle der UniFi Switches ist das so, wie du beschrieben hast.
Eigentlich ist das kein Problem.
Spätestens, wenn du einen UniFi Access Point anschließend, weißt du das zu schätzen.

Die Masse der normalen Clients sind natürlich Edge Geräte die native und untagged ihren Traffic bekommen.
Bei z. B. einem Virtualisierungs-Server kann das wieder deutlich anders sein.

Ich persönlich fasse jeden Port mit der Hand an, bei der Konfig, sind es noch so viele.
Assassin
Assassin 18.02.2020 um 09:45:44 Uhr
Goto Top
Ja gut, klar mit der Unifi Software geht das ganz gut...ohje, also erstmal alle endgeräte aufnehmen welches worauf zugreifen soll, und dann erstmal das default LAN überall wegnehmen und nur die AccessPorts entsprechend zuordnen. Ist kein problem ja, aber halt viel fleißarbeit erstmal wenn man das ganze Netz umstellt...naja nützt ja nix.
demnächst wird hier ein neuer 10G Router haushalten, ich glauibe da warte ich noch mit der umstellung bis der router da ist - der routet dann zwischen den VLANs...da Unifi ja anscheinend nix gescheites an L3 Switchen im Program hat, und auch kein 10G USG, bzw. gibt es nicht mehr von Unifi (USG-8-XG)
142583
142583 18.02.2020 um 10:15:27 Uhr
Goto Top
Ein guter Netzwerker macht das eh.

Nur hat man z. B. mit einer entsprechenden CLI das in Sekunde erledigt.

"interface range gi1/0/1-5,gi1/0/48,gi2/0/48" ist in Sekunden eingegeben.
Dann die Parameter...

Alles eine Frage des Geschmacks.
Assassin
Assassin 18.02.2020 um 10:22:58 Uhr
Goto Top
Ja...wie gesagt, der bisherige Admin hats halt nicht gemacht...nur mit verschiedenen Subnetzen getrennt. Aber wenn ich mir die Switche anschaue die durchgehen auf allen Ports dauerhaft blinken wie wilde, da kann ich schon erahnen was da an Broadcast unterwegs ist ohne mit Wireshark ins Netzwerk reinzuschauen...
über die Unifi software geht das auch recht schnell, da markiert man die entsprechenden Ports und wählt ein Netzwerk aus (VLAN) was man vorher erstellt hat, und schon hat der switch das.
142583
142583 18.02.2020 um 10:26:20 Uhr
Goto Top
Die Aussage, dass wild blinkende Ports eine Auskunft über Traffic und deren Berechtigung ermöglicht, halte ich nicht für belastbar.

Sicherlich kann das ungewöhnlich sein, wenn man das Netz genau kennt, muss es aber nicht.
aqui
aqui 18.02.2020 aktualisiert um 11:16:10 Uhr
Goto Top
Optimalfall das VLAN auf jeden Switch ein wenn es um die Tagged VLAN zuordnung per Port geht?
Man klickt das VLAN an was man tagged auf dem Port übertragen haben möchte und gut iss.
So simpel und banal ist das...
bei Unifi ja so, dass jedes neue VLAN auf alle Portsw mit als Tagged verteilt wird.
Was natürlich konfigtechnsich völliger Quatsch ist. Damit würde sich Unify ganz anders verhalten als der gesamte Rest der Switching Welt. Aber bei den Gruselteilen muss man sich nicht groß wundern. Das ist dann vermutlich so wenn WLAN Hersteller sich an LAN Infrastruktur versuchen. Tun sie ja auch nicht, denn deren Switches sind zugekaufter OEM Kram der nicht von denen selber stammt.
So ein Konfig Verhalten ist natürlich Unsinn, denn das will man ja gerade nicht das man per Schrotschuss überall alle VLANs übertragen will.
Muss man sicher auch nicht weiter kommentieren wenn das tatsächlich stimmen sollte...?!
Wenn man jetzt 15 Switche hat in einen Campus - kann man das da so weiterverwenden dass jedes VLAN auf jeden Port mitgegeben wird?
Wie gruselig. Da will man sich dann besser nicht vorstellen was dieser Konfig Blödsinn dann für Auswirkungen hat sollte es wirklich stimmen. Alles VLANs auf allen Ports fluten...
Oder wäre es angebracht, jeden Port fest einzustellen auf Untagged für das jeweilige VLAN womit das Endgerät auch arbeiten wird?
Auch das wäre ja völliger Quatsch ! Denke mal nach, wie willst du das denn auf den Uplinks machen die die o.a. 15 Switches verbindet. Da muss man ja zwangsweise Taggen will man die VLANs transparent auch dahin übertragen !
Aber in einem normalen Setup will man ja sinnigerweise nur die VLANs dahin übertragen die da auch benötigt werden und nicht den ganzen Rest. Denn der Broad- und Multicast Traffic dieser VLANs würde dann unsinnigerweise die Uplink Ports belasten mit Traffic was zu Lasten der Performance geht. Allein daran kann man schon sehen wie unsinnig diese Konfig Taktik wäre würde sie denn stimmen.
Aber jeder bekommt halt den Switch den er verdient... Andere lassen besser die Finger von sowas !
Assassin
Assassin 18.02.2020 um 12:41:57 Uhr
Goto Top
Jep, ist bei Unifi so. Standardmäßig steht nach der Installation der Software erstmal nur das Switchport-Profil "All" zu verfügung - dies ist jedem Port zugewiesen. Eerstellt man jetzt weitere VLAN Netze, werden diese durch das "All" Profil ebenfalls an alle Ports zur verfügung gestellt als Tagged VLAN, neben VLAN1 was per default auch da ist und überall als Natives untagged VLAN ausgegeben wird.

Naja...so dachte ich mir das auch, dass man doch eigentlich die Sicherheit erhöhen will indem man ein VLAN nur dorthin leitet, wo es gebraucht wird, und damit auch nebenbei die Broadcast domains klein hält...
142583
142583 18.02.2020 um 13:54:37 Uhr
Goto Top
Es ist übliches Verhalten, was UBNT da macht. Eigentlich machen es alle so, weil Standard by Design.

Das ein Switch gleichzeitig Core und/oder Distribution und/oder Access Switch ist, das macht den Unterschied. Und kann zu dieser Betrachtung führen, die die Helden hier als gruseliger Quatsch darstellen.

Stichwort Blade-Switches oder konvergierte Switches oder konvergierte Switches in einem Blade-Chassis. Da ist es der Regelfall, dass das Switch alle VLANs auf allen Ports kennt und die Konfig des NIC/HBA/CNA oder Treibers den Unterschied macht.

Wenn das Gerät mit dem IDs der VLANs nicht umgehen kann, dann ist das auch keine Vergrößerung der Brodcastdomain im negativen Sinne.
Außerdem ist das Switch nach dem lernen ein Switch und eben kein Hub, es werden nur die Ports mit den Paketen versorgt, die einen Abnehmer dafür haben. Dafür lernen Switches z. B. MAC Addressen.
aqui
aqui 19.02.2020 aktualisiert um 13:21:49 Uhr
Goto Top
der Regelfall, dass das Switch alle VLANs auf allen Ports kennt
Sorry, aber das ist Quatsch. Erstmal ist ein Switch ein Mann (maskulin) und keine Sache:
https://de.wiktionary.org/wiki/Switch
Und zweitens macht kein Herstller das so. Jedenfalls wenn man mal die renomierten, wie Cisco, Arista, Extreme, Ruckus, Juniper, usw. Revue passieren lässt. Sogar Billigheimer HP macht es nicht. Auch das Gros der preiswerten SoHo Websmart Modelle wie NetGear, Cisco SG, D-Link, Mikrotik usw. macht es ebenfalls nicht.
Dort muss man immer explizit die einzelnen VLANs zuweisen auf Tagged Uplinks und das aus gutem Grund. Dabei ist es völlig irrelevant ob der Switch Marketing technisch als Access, Distribution oder Core Switch klassifiziert ist, denn das Verhalten ist übergreifend im CLI oder Web Interface immer gleich. Jedenfalls bei den o.g. Herstellern und auch dem Rest.
Es ist also bar jeder Praxis und wider Wissen wenn du hier behauptest es wäre anders. Macht ja auch sehr wenig Sinn im Schrotschussverfahren das so zu handhaben. Zum Warum ist ja oben auch schon alles gesagt.
Das ein einzelner WLAN Hersteller (wo die Betonung auf WLAN liegt !) der zugekaufte Switchbarebones aus dem Massensegment umbäppelt auf seinen Namen es mit proprietärer Konfig Software so macht, zeugt eher davon wo die herkommen aber nicht gerade von Expertise im Netzwerk Infrastruktur Segment.
Aber zu dem Thema ist ja schon alles gesagt !
dann ist das auch keine Vergrößerung der Brodcastdomain im negativen Sinne.
Aber in jedem Falle ein zusätzliche Traffic Belastung der Uplinks auf Kosten der Gesamtperformance...
nur die Ports mit den Paketen versorgt, die einen Abnehmer dafür haben.
Was dann allerdings nicht für den gesamten Broad- und Multicast Traffic innerhalb der Layer2 Collision Domains (VLAN) gilt !
Wenn dann auch bitte genau !
142583
142583 19.02.2020 um 13:32:26 Uhr
Goto Top
Ja, wenn ich ein Server aus dem Rack nehme oder ein Blade, oder ein Blade-Switch in ein anderes Chassis stecke, dann konfiguriere ich da dann die geänderte Hardware und NIC/CNA um, für die jeweile Konfig im Standort/Rack/Chassis?

Da wo ich mich aufhalte ist es Bestpractice, da kann ich schon Mal einen Azubi mit zwei Blades im Koffer nach China schicken und die Server laufen wenn der Azubis sie ins Blade steckt.
Unsere Built to order Hardwares kommen aus dem Werk des Herstellers und funktionieren auf der ganzen Welt, weil das Bestpractice ist. Die am Werkstor per Bote abgegebene Hardware funktioniert, direkt nach dem sie eine beliebige Person anschlossen hat, egal wo der Admin gerade ist. Dazu bekommt der Hersteller ein Mal im Jahr eine Konfig, damit sind die Hardwares standardgemäß ALLE ausgerüstet. Selbst meine MACs kenne ich schon ein Jahr vorher, auch wenn ich keine Hardware abrufe.
Assassin
Assassin 24.02.2020 um 10:22:22 Uhr
Goto Top
Also um das nochmal zusammen zu fassen: Das beste ist es, jeden Port genau das zuzuordnen, was wirklich gebraucht wird. also von jedem Endgerät den switchport ermitteln und dann den Port als AccesssPort für das jeweilige VLAN fest einstellen (untagged also), die Uplink Ports auch nur mit den VLANs Taggen was da gebraucht wird also wie z.B. Telefon VLAN, PC VLAN, Drucker VLAN,...
sodas ich wirklich erstmal ein Plan erstellen mus, an welchem Switch und an welchem Port da was angeschlossen ist.


RADIUS Server einrichten um das ganze Dynamisch zu machen ist unsicher wegen MAC Adress spoofing und sowas falls es ein Schurke hier im LAN soweit treibt...wobei der Schurke doch auch einfach den Firmen PC abstecken könnte und sich mit seinem Notebook anschließt und schon ist er doch ebenfalls im Netzwerk?


Ärgerlich ist es, das Unifi keine Layer3 Switche hat...zumindest noch nicht. Soll wohl kommen mit der Gen2 Switche, aber naja...

Ich habe die befürchtniss, dass wenn ich das VLAN Routing über unser Gatway, Secutrepoint RC400 mit den 4x 10G Ports, machen lasse, dass das ding ganz schön ins schwitzen kommen wird...hätte das schon lieber dierekt über den Switch, aber wenns aktuell nicht geht...
aqui
aqui 24.02.2020 aktualisiert um 12:13:35 Uhr
Goto Top
jeden Port genau das zuzuordnen, was wirklich gebraucht wird
Das ist richtig und in der Regel auch die übliche Standardprozedur dafür.
Ausnahme ist nur wenn du z.B. dynamsiche VLANs benutzt mit 802.1x und oder Mac Passthrough:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
oder auch WLAN:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
In so einer Umgebung können (und müssen) die Ports dann in der simplen Default Konfig verbleiben. Sie werden dann durch den Switch entsprechend dynamisch und automatisch je nach aufgestecktem User an dem Port in das VLAN gesetzt was für den User bzw. sein Endgerät hinterlegt wurde im Radius.
RADIUS Server einrichten um das ganze Dynamisch zu machen ist unsicher wegen MAC Adress spoofing
Nein, das ist jedenfalls in der Beziehung unrichtig das 99,9% aller Enduser keinerlei Ahnung haben was Mac Adressen sind geschweige denn wissen wie man sie spooft.
Aber es sind da natürlich noch die 0.1% die es wissen.
Dann nimmst du aber eine simple 802.1x User/Pass Authentication stattdessen mit EAPoL oder einer Kombination aus beidem oder noch wasserdichter dann mit Zertifikaten. Da kann dann wahrlich niemand mehr spoofen ! face-wink
Ärgerlich ist es, das Unifi keine Layer3 Switche hat
Was erwartest du von einem Hersteller der vom WLAN kommt und rein im untersten Billigstmarkt agiert in dem rein preisorientiert gekauft wird ? Es wäre recht weltfremd dort Qualität und Features zu erwarten.
Deren Switches sind keine Eigententwicklung sondern rein von externen Massenherstellern zugekaufte Billig Barebones auf die die nur ihren Namen bäppeln. Entsprechend schlecht und mickrig ist dann auch deren Featureset sowie Software und Support. Im Switchmarkt ist sowas auch in SoHo Installationen ein NoGo.
Da gibt es auf gleichem Preisniveau andere Hersteller die sowas erheblich besser realisieren. Allein das antquierte Controller Konzept was dann immer für Käufer einen Vendor Lockin erzwingt, ist ein weiteres NoGo.
Wer sowas dann trotzdem noch kauft dem kann auch das tollste Forum nicht mehr helfen...
Jeder bekommt halt die Hardware die er verdient... face-wink
dass das ding ganz schön ins schwitzen kommen wird...hätte das schon lieber dierekt über den Switch
Wäre auch die sinnvollste und beste Entscheidung. Du siehtst den alten Erkenntnisspruch: "Wer billig kauft, kauft 2mal !"
So ein L3 Switch Design ist allemal besser und zudem einfacher zu managen. Siehe dazu auch hier:
Verständnissproblem Routing mit SG300-28
Assassin
Assassin 24.02.2020 um 13:00:11 Uhr
Goto Top
Aber was meiner meinung nach ein Alleinstellungsmerkmal bei Ubiquiti Unifi ist - ist eben die einfache zentrale Verwaltung aller Switche, WLAN APs und Gateways. Mit wenigen mausklicks hat man da ganze VLAN Wege über mehrere switche hinweg konfiguriert, das ist schon wirklich einfach gemacht.
Das kenne ich in der Form und dem handling von keinem anderen Hersteller.
Und wegen der Hardware - klar ist die nur zugekauft, aber wenns funktioniert, warum nicht? Ist doch wie im Notebook bereich mit z.B. Clevo...gute Hardware, und viele kleben da einfach ihr Logo drauf wie Schenker, One, Sager, Chillblast , Wortmann,...
142583
142583 24.02.2020 um 21:30:45 Uhr
Goto Top
Ich kenne keinen Hersteller, der seine Hardware selber herstellt. Alle haben Auftragsfertiger und ein paar Geräteklassen werden BTO montiert.

Daher ist die Aussage zumindest irreführend.

Wenn ich ein Broadcom, Mellanox, Marvel oder Realtek Switch kaufe, dann ist in dem Switch in der Regel ein OEM Design oder nach dran verbaut. Es gibt nicht viele Möglichkeiten und noch weniger Gründe von Design abzuweichen. Das Abweichen hat in erster Linie zur Folge, dass das Switch teurer wird und der Support durch den SOC OEM schwieriger und teurer.
Im Falle der Broadcom und Mellanox Switches wird Code an die Switchhersteller übergeben, der das Switch betreibt. Marvel und Realtek machen das sicherlich auch so.

Ein Großteil des Codes der Switches mit selben SOC ist identisch.
Der Hersteller legt dann seine GUI, CLI UND Open Networking Philosophie dazu in Form von weiteren Code.
Alle dieses Switches werden bei wenigen Auftragsfertigern hergestellt.
Was daran schlecht sein soll, das mag ich nicht zu erkennen. Alle Hersteller und Teilnehmer haben QM-Strategien.
Fast die gesamte Wirtschaft funktioniert so. Gutes Beispiel ist der Automotive Sektor.

Im Falle von UBNT ist das Softwaredesign zwar geschlossen, dennoch bekommt man für kleines Geld gute Hardware, guten Support und eine kleine Ewigkeit Updates.

Das UBNT Switches ihren Weg in Umgebungen finden, die nicht unbedingt prädestiniert sind für diese Klasse ist kein Grund, dass die Switches schlecht sind.

Ein sehr unmöglich auftretender User hier im Forum zerreißt alle Themen mit UBNT einseitig. Das würde ich nicht auf die Goldwaage legen sondern als Anlass drüber nachzudenken, wie kaputt ein Mensch sein kann und was für eine Störung dahintersteckt.

Ich tippe auf: Pseudologia phantastica und Narzissmus der hier extensiv ausgelebt wird.
Assassin
Assassin 25.02.2020 um 07:06:02 Uhr
Goto Top
Naja mir war von anfang an aber auch Klar, das UBNT jetzt nicht so mit den großen wie mit Cisco oder HP Enterprise mithalten kann...allein schon das UBNT erst jetzt die neue Switch Generation überhaupt Layer3 fähig gemacht hat - das aber per software noch finalisieren muss un diese funktion freigeben muss - zeigt eigentlich schon das die halt noch recht neu und anscheinend unerfahren sind im Switch-Markt. Aber das was die bisher liefern und anbieten überzeugt uns in ganzer linie - da kann ich auch auf die fehlende Layer3 Funktionalität verzichten. Ich weiß aber, dass es kommen wird. Jeder hat schließlich mal klein angefangen. Wie gesagt ich finde es sehr gut das mit einer zentralen Controling fähigkeit, auch das es ein Intrusion Prevention System gibt was in den Switchen integriert ist und man das ebenfalls recht einfach steuern kann. Oder das es autoamtisch eine Netzwerk-Topologie erstellt wo man direkt sehen kann an welchem Switchport was angesteckt ist und über welche wege geht...
SeaStorm
SeaStorm 25.02.2020 um 07:38:59 Uhr
Goto Top
Dann schau dir mal Fortinet an. Die können das auch, sind aber bei Firewalls & Netzwerk daheim, kosten vergleichsweise auch recht wenig.

Und es hindert euch auch keiner UBNT als WLAN Lösung weiterhin zu verwenden.
142583
142583 25.02.2020 um 08:48:40 Uhr
Goto Top
Es ist bei UBNT keine Frage des Könnens sondern der Strategie.
Die UniFi Switches sind eher im SoHo Bereich angesiedelt und sollen keine zu große Konkurrenz zu den Enterprise Geräten werden.
Wenn Du unbedingt Routing haben willst, dann sind die Edge Switches vielleicht etwas für Dich. Die Edge Switches und Router usw... kannst du auch über das UNMS verwalten, was wirklich eine tolle Sache ist.
aqui
aqui 25.02.2020 um 09:23:59 Uhr
Goto Top
Wenn Du unbedingt Routing haben willst,
Dann sind Cisco SG-250 oder SG-350 oder Mikrotik Switches die weitaus bessere Wahl als der Mist von UBQT !
Der ist ja auch im SoHo Bereich kaum zu gebrauchen...
Assassin
Assassin 25.02.2020 um 14:25:46 Uhr
Goto Top
Aktuell haben wir etliche SG300 und ein paar Cisco WS-C2960X-48TS-L Switche...die werden aber wohl weichen müssen :D
aqui
aqui 25.02.2020 um 14:33:39 Uhr
Goto Top
Cisco WS-C2960X-48TS-L sollen weichen ?? Catalyst Premium Switches ??
Wäre etwas krank gegen billige SoHo Switches...aber egal. Muss ja jeder selber wissen was er da macht...
Assassin
Assassin 25.02.2020 um 15:19:14 Uhr
Goto Top
Ich wusste, dass dich das ärgern wird *g* aber wenn wir damit nichts anfangen können bzw nicht umgehen können, der kein SFP+ hat und auch kein L3 Switch ist - was nützt uns das ding?
SeaStorm
SeaStorm 25.02.2020 um 15:37:45 Uhr
Goto Top
und ihr fahrt die dann alle mit 10G an und habt auch entsprechend traffic ? Also irgenwie kann ich mir das bei dem bisher erzählten ja kaum vorstellen.
Und L3 auf Access Switchen ... kann man machen, aber das wird echt schnell ziemlich aufwändig und der Performancegewinn auf einem Campus ist da meistens auch nicht wirklich messbar. Hättet ihr SOLCHE anforderungen an das Netz, dann wäre das schon längst ordentlich aufgezogen und segmentiert worden...
Assassin
Assassin 25.02.2020 um 15:44:19 Uhr
Goto Top
ist leider alles nach und nach gewachsen...anfangs gabs nur 5 PCs mit einem 10MB HUB...jetzt sind es über 200 Netzwerkgeräte in verschiedenen Gebäuden die über LWL gekoppelt sind, FT und HA Serversysteme, überal einfach mal ein Switch dazu gekommen. Eine Hauseigene administration gabs sozusagen nicht, nur von einem Alt-Admin der eben noch die Hub technik kannte, aber bei Switchen schon nicht mehr so recht weiter wusste...darum gabs auch nie ein VLAN
SeaStorm
SeaStorm 25.02.2020 um 17:48:37 Uhr
Goto Top
Ja ist ja auch OK. Aber das bedeutet doch mit hoher Wahrscheinlichkeit nur, das man hier mit 1-4Gbit pro Switch locker auskommt.
Von wieviel traffic reden wir hier eigentlich? Wurde das denn schon mal gemessen? In einem Büronetz gibt es recht selten Bedarf an 10G.

Also ich will dich ja nicht davon abhalten was neues zu kaufen, aber 2960X sind grundsolide Accessswitche. Ich hab hier irgendwas um die 90 davon und kann nicht meckern.
Ich würde da lieber das Geld in die Hand nehmen und einem Elektriker hinterherwerfen, der mir dann sauber die Kabel verlegt, und Netzwerkschränke an entsprechenden Positionen hinstellt, falls das noch nicht existiert (und der Beschreibung nach klingt das jetzt mal für mich so). z.B mit 16 Fasern pro Schrank jeweils ins DC gehen und die Switche jeweils mit 1,2 oder 4 anbinden.
Dann einen Core Router (je nach traffic einen Nexus) ins DC stellen und den das Routing machen lassen. Die einzelnen Gebäude/Stockwerke dann per 2960er abfrühstücken. Routing ist im Accessbereich IMHO bei der Unternehmensgröße Unsinn.
Und bevor man das Geld jetzt in teuren Switchen versenkt, die dann ein paar MBit traffic haben, würde ich das halt eher in eine saubere Verkabelung stecken und mich somit fit für Wachstum in der Zukunft machen.
Wenn das alles dann Zentral am Core verwaltet werden kann, kann man so eine segmentierung auch halbwegs schmerzfrei durchführen.
Wenn du anfängst da an jedem Accessswitch noch die einzelnen VLANs zu routen, dann kann ich mir in anbetracht deiner eröffnungsfrage ausmalen, das du dir da ganz viele Probleme aufhalst, die nicht nötig wären.
142583
142583 25.02.2020 um 18:58:21 Uhr
Goto Top
Die Unifis bekommen auch ein 10/25/40/100 GBit Switches mit 54 Ports und redundanter Stromversorgung. Breites Layer-3 Featureset samt VxLAN ebenfalls vorhanden.

Leider sind die Netzteile nicht hot swap able und es fehlt wohl auch eine M(C)-LAG Funktion.
Assassin
Assassin 25.02.2020 aktualisiert um 21:50:07 Uhr
Goto Top
du meinst den USW Leaf? mit den Amazon Chip drauf? bzw. von einer Gigabyte Tochterfirma die von Amazon aufgekauft wurde...Ja da bin ich auch gespannt was das teilchen so kann face-smile

die großen Gen2 Switche haben aber ein Anschluss für eine externe PSU, also falls da ein Netzteil hobs geht, wird der switch von der großen externen PSU direkt weiter versorgt - und die kann mehrere switche versorgen.

Ja, Probleme haben wir mit dem großen Cicso dingern auch nicht, aber eben das Management fehlt mir da etwas, also das ich an einer zentralen stelle alle Switche im Unternehmen steuern und konfigurieren kann. Und eben das es bei den Cisco kein IDS oder IDP gibt.
Wegen der Performance klar würde auch 1G reichen, aber einige abteilungen arbeiten mit großen CAD zeichnungen, oder RAW Bildern...die sind schon sehr groß, und wenn man da das Kopieren auf die Server beschleunigen kann - warum nicht. Ist ja auch für die Zukunft gegdacht das die Uplinks zumindest mit 10G arbeiten, und einzelne PCs von Powerusern werden dann ebenfalls 10G Karten reinbekommen.
142583
142583 26.02.2020 um 09:55:31 Uhr
Goto Top
Ja das USW Leaf. Kommt wohl direkt in die UniFi Linie.

Ich persönlich bevorzuge Switches, die zwei interne Netzteile haben. RPS-Designs kaufe ich seit fünf Jahren nicht mehr. Und fest verbaut finde ich ebenfalls nicht sooo toll. Allerdings habe ich außerhalb von Industrieanlagen keine Access Switches die redundante Stromversorgungen haben. Das gibt es in der Regel nur sie näher man dem RZ kommt.

Für die Ciscos gibt es eine Management Lösung von Cisco oder auch kompatible. Hast du das Mal geprüft?
Assassin
Assassin 26.02.2020 um 11:24:00 Uhr
Goto Top
Du meinst sowas wie den FindIT Network Manager? Der aber nur mit den SG Switchen klar kommt? das ist eben genau das was mir nicht gefällt, ich muss dann für jeden AccessPoint den wir von Cisco haben eine management software installieren (da wir kein WLC haben), für jeden Catalyst eine management software, und für die SG serie die andere Management software...warum kann man sowas nicht einfach über eine zentrale software laufen lassen....naja was solls.

Switche mit 2 Netzteile brauchen wir nicht, wir haben von jeden Switch min 1 auf reserve daliegen um den schnell zu tauschen.