VLAN Portzuordnung
Hallo, wie richtet man im Optimalfall das VLAN auf jeden Switch ein wenn es um die Tagged VLAN zuordnung per Port geht?
Standardmäßig ist es z.B. bei Unifi ja so, dass jedes neue VLAN auf alle Portsw mit als Tagged verteilt wird. Das Native untagged VLAN ist die ID1.
Wenn man jetzt 15 Switche hat in einen Campus - kann man das da so weiterverwenden dass jedes VLAN auf jeden Port mitgegeben wird? sodass ein mögliches endgerät was mit Tagged Frames umgehen kann sich mit einem anderen VLAN verbinden kann?
Oder wäre es angebracht, jeden Port fest einzustellen auf Untagged für das jeweilige VLAN womit das Endgerät auch arbeiten wird? Wird nur ein sehr hoher konfigurationsaufwand bei über 200 Geräten, weil die bisherigen Admins nie eine Logische Netztrennung gemacht haben
Ist halt die frage - macht das was wenn jedes VLAN als Tagged auf jeden Port mitgegeben wird?
Standardmäßig ist es z.B. bei Unifi ja so, dass jedes neue VLAN auf alle Portsw mit als Tagged verteilt wird. Das Native untagged VLAN ist die ID1.
Wenn man jetzt 15 Switche hat in einen Campus - kann man das da so weiterverwenden dass jedes VLAN auf jeden Port mitgegeben wird? sodass ein mögliches endgerät was mit Tagged Frames umgehen kann sich mit einem anderen VLAN verbinden kann?
Oder wäre es angebracht, jeden Port fest einzustellen auf Untagged für das jeweilige VLAN womit das Endgerät auch arbeiten wird? Wird nur ein sehr hoher konfigurationsaufwand bei über 200 Geräten, weil die bisherigen Admins nie eine Logische Netztrennung gemacht haben
Ist halt die frage - macht das was wenn jedes VLAN als Tagged auf jeden Port mitgegeben wird?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 548692
Url: https://administrator.de/forum/vlan-portzuordnung-548692.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
31 Kommentare
Neuester Kommentar
Moin,
"das" macht man, wie bei Unifi auch, mit dem Management-Tool des Switch-Herstellers!
Schau dir mal das VLAN Tutorial hier im Board an, da ist alles wunderbar erklärt.
lg,
Slainte
"das" macht man, wie bei Unifi auch, mit dem Management-Tool des Switch-Herstellers!
macht das was wenn jedes VLAN als Tagged auf jeden Port mitgegeben wird?
Das ist Schwachsinn, da 1. kaum ein "Endgerät" mit Tagged Frames umgeehen kann. und 2. dann jeder Bit aus jedem VLAN an jedem Port aufschlägt - das ist ja genau das, was VLANs unterbinden sollen.Schau dir mal das VLAN Tutorial hier im Board an, da ist alles wunderbar erklärt.
lg,
Slainte
Hi
also eigentlich tagged man fast nur auf den "uplink"-ports, also denen, die die Switche untereinader verbinden.
Die anderen Ports sind dann access-Ports denen ein vlan zugewiesen wird. Entsprechend ist ein Gerät, das an diesem Port angeschlossen wird nur und ausschliesslich in diesem VLAN. Ansonsten kann sich der Client ja aussuchen in welches VLAN es geht, was ja den Sinn eines VLANs völlig über Bord wirft. Ausserdem würde so ja ein wahnsinns Traffic auf allen ports entstehen.
Und dann geht man meistens hin und gibt halt dem Gebäude/Stockwerk/Raum/whatever eben einen Switch, der verteilt im Accessbereich dann eben sein VLAN für diesen Bereich und einzelne Ports werden dann noch bei bedarf konfiguriert, weil da jetzt z.B der AP drauf hängt oder sonst was. Der Konfigurationsaufwand hält sich so also sehr in Grenzen.
Ach ja und zwischen den Switchen gibt man im Trunk natürlich auch nur die VLANs mit, die da auch wirklich genutzt werden
also eigentlich tagged man fast nur auf den "uplink"-ports, also denen, die die Switche untereinader verbinden.
Die anderen Ports sind dann access-Ports denen ein vlan zugewiesen wird. Entsprechend ist ein Gerät, das an diesem Port angeschlossen wird nur und ausschliesslich in diesem VLAN. Ansonsten kann sich der Client ja aussuchen in welches VLAN es geht, was ja den Sinn eines VLANs völlig über Bord wirft. Ausserdem würde so ja ein wahnsinns Traffic auf allen ports entstehen.
Und dann geht man meistens hin und gibt halt dem Gebäude/Stockwerk/Raum/whatever eben einen Switch, der verteilt im Accessbereich dann eben sein VLAN für diesen Bereich und einzelne Ports werden dann noch bei bedarf konfiguriert, weil da jetzt z.B der AP drauf hängt oder sonst was. Der Konfigurationsaufwand hält sich so also sehr in Grenzen.
Ach ja und zwischen den Switchen gibt man im Trunk natürlich auch nur die VLANs mit, die da auch wirklich genutzt werden
Schwachsinn ist es nicht, nur noch keine Erfahrung damit.
Endgeräten gibt man eigentlich immer untagged. Man kann auch mischen z.B. ein VoIP Telefon mit integriertem Switch, als Kaskade zum PC, dann gibt man dem VoIP Telefon ein tagged VLAN und dem PC ein untagged VLAN zusammen auf den Switch Port.
Es wird also überall zwischen den Switchen mit allen tagged VLANs übertragen, damit Du danach auch bequem auswählen kannst, welches untagged VLAN dann schlussendlich zum Client geht. Das geht mit der Unifi Controller Software sehr gut zentral. Mache schrauben die Sicherheit noch höher und schicken nur die tagged VLANs zu bestimmten Switchen, die dort unbedingt benötigt werden. Dann kann keiner den Switch einfach austauschen und einen eigen programmierten Switch anstecken, um in ein VLAN zu kommen, wo er nicht hin soll.
Endgeräten gibt man eigentlich immer untagged. Man kann auch mischen z.B. ein VoIP Telefon mit integriertem Switch, als Kaskade zum PC, dann gibt man dem VoIP Telefon ein tagged VLAN und dem PC ein untagged VLAN zusammen auf den Switch Port.
Es wird also überall zwischen den Switchen mit allen tagged VLANs übertragen, damit Du danach auch bequem auswählen kannst, welches untagged VLAN dann schlussendlich zum Client geht. Das geht mit der Unifi Controller Software sehr gut zentral. Mache schrauben die Sicherheit noch höher und schicken nur die tagged VLANs zu bestimmten Switchen, die dort unbedingt benötigt werden. Dann kann keiner den Switch einfach austauschen und einen eigen programmierten Switch anstecken, um in ein VLAN zu kommen, wo er nicht hin soll.
Im Falle der UniFi Switches ist das so, wie du beschrieben hast.
Eigentlich ist das kein Problem.
Spätestens, wenn du einen UniFi Access Point anschließend, weißt du das zu schätzen.
Die Masse der normalen Clients sind natürlich Edge Geräte die native und untagged ihren Traffic bekommen.
Bei z. B. einem Virtualisierungs-Server kann das wieder deutlich anders sein.
Ich persönlich fasse jeden Port mit der Hand an, bei der Konfig, sind es noch so viele.
Eigentlich ist das kein Problem.
Spätestens, wenn du einen UniFi Access Point anschließend, weißt du das zu schätzen.
Die Masse der normalen Clients sind natürlich Edge Geräte die native und untagged ihren Traffic bekommen.
Bei z. B. einem Virtualisierungs-Server kann das wieder deutlich anders sein.
Ich persönlich fasse jeden Port mit der Hand an, bei der Konfig, sind es noch so viele.
Ein guter Netzwerker macht das eh.
Nur hat man z. B. mit einer entsprechenden CLI das in Sekunde erledigt.
"interface range gi1/0/1-5,gi1/0/48,gi2/0/48" ist in Sekunden eingegeben.
Dann die Parameter...
Alles eine Frage des Geschmacks.
Nur hat man z. B. mit einer entsprechenden CLI das in Sekunde erledigt.
"interface range gi1/0/1-5,gi1/0/48,gi2/0/48" ist in Sekunden eingegeben.
Dann die Parameter...
Alles eine Frage des Geschmacks.
Die Aussage, dass wild blinkende Ports eine Auskunft über Traffic und deren Berechtigung ermöglicht, halte ich nicht für belastbar.
Sicherlich kann das ungewöhnlich sein, wenn man das Netz genau kennt, muss es aber nicht.
Sicherlich kann das ungewöhnlich sein, wenn man das Netz genau kennt, muss es aber nicht.
Optimalfall das VLAN auf jeden Switch ein wenn es um die Tagged VLAN zuordnung per Port geht?
Man klickt das VLAN an was man tagged auf dem Port übertragen haben möchte und gut iss.So simpel und banal ist das...
bei Unifi ja so, dass jedes neue VLAN auf alle Portsw mit als Tagged verteilt wird.
Was natürlich konfigtechnsich völliger Quatsch ist. Damit würde sich Unify ganz anders verhalten als der gesamte Rest der Switching Welt. Aber bei den Gruselteilen muss man sich nicht groß wundern. Das ist dann vermutlich so wenn WLAN Hersteller sich an LAN Infrastruktur versuchen. Tun sie ja auch nicht, denn deren Switches sind zugekaufter OEM Kram der nicht von denen selber stammt.So ein Konfig Verhalten ist natürlich Unsinn, denn das will man ja gerade nicht das man per Schrotschuss überall alle VLANs übertragen will.
Muss man sicher auch nicht weiter kommentieren wenn das tatsächlich stimmen sollte...?!
Wenn man jetzt 15 Switche hat in einen Campus - kann man das da so weiterverwenden dass jedes VLAN auf jeden Port mitgegeben wird?
Wie gruselig. Da will man sich dann besser nicht vorstellen was dieser Konfig Blödsinn dann für Auswirkungen hat sollte es wirklich stimmen. Alles VLANs auf allen Ports fluten...Oder wäre es angebracht, jeden Port fest einzustellen auf Untagged für das jeweilige VLAN womit das Endgerät auch arbeiten wird?
Auch das wäre ja völliger Quatsch ! Denke mal nach, wie willst du das denn auf den Uplinks machen die die o.a. 15 Switches verbindet. Da muss man ja zwangsweise Taggen will man die VLANs transparent auch dahin übertragen !Aber in einem normalen Setup will man ja sinnigerweise nur die VLANs dahin übertragen die da auch benötigt werden und nicht den ganzen Rest. Denn der Broad- und Multicast Traffic dieser VLANs würde dann unsinnigerweise die Uplink Ports belasten mit Traffic was zu Lasten der Performance geht. Allein daran kann man schon sehen wie unsinnig diese Konfig Taktik wäre würde sie denn stimmen.
Aber jeder bekommt halt den Switch den er verdient... Andere lassen besser die Finger von sowas !
Es ist übliches Verhalten, was UBNT da macht. Eigentlich machen es alle so, weil Standard by Design.
Das ein Switch gleichzeitig Core und/oder Distribution und/oder Access Switch ist, das macht den Unterschied. Und kann zu dieser Betrachtung führen, die die Helden hier als gruseliger Quatsch darstellen.
Stichwort Blade-Switches oder konvergierte Switches oder konvergierte Switches in einem Blade-Chassis. Da ist es der Regelfall, dass das Switch alle VLANs auf allen Ports kennt und die Konfig des NIC/HBA/CNA oder Treibers den Unterschied macht.
Wenn das Gerät mit dem IDs der VLANs nicht umgehen kann, dann ist das auch keine Vergrößerung der Brodcastdomain im negativen Sinne.
Außerdem ist das Switch nach dem lernen ein Switch und eben kein Hub, es werden nur die Ports mit den Paketen versorgt, die einen Abnehmer dafür haben. Dafür lernen Switches z. B. MAC Addressen.
Das ein Switch gleichzeitig Core und/oder Distribution und/oder Access Switch ist, das macht den Unterschied. Und kann zu dieser Betrachtung führen, die die Helden hier als gruseliger Quatsch darstellen.
Stichwort Blade-Switches oder konvergierte Switches oder konvergierte Switches in einem Blade-Chassis. Da ist es der Regelfall, dass das Switch alle VLANs auf allen Ports kennt und die Konfig des NIC/HBA/CNA oder Treibers den Unterschied macht.
Wenn das Gerät mit dem IDs der VLANs nicht umgehen kann, dann ist das auch keine Vergrößerung der Brodcastdomain im negativen Sinne.
Außerdem ist das Switch nach dem lernen ein Switch und eben kein Hub, es werden nur die Ports mit den Paketen versorgt, die einen Abnehmer dafür haben. Dafür lernen Switches z. B. MAC Addressen.
der Regelfall, dass das Switch alle VLANs auf allen Ports kennt
Sorry, aber das ist Quatsch. Erstmal ist ein Switch ein Mann (maskulin) und keine Sache:https://de.wiktionary.org/wiki/Switch
Und zweitens macht kein Herstller das so. Jedenfalls wenn man mal die renomierten, wie Cisco, Arista, Extreme, Ruckus, Juniper, usw. Revue passieren lässt. Sogar Billigheimer HP macht es nicht. Auch das Gros der preiswerten SoHo Websmart Modelle wie NetGear, Cisco SG, D-Link, Mikrotik usw. macht es ebenfalls nicht.
Dort muss man immer explizit die einzelnen VLANs zuweisen auf Tagged Uplinks und das aus gutem Grund. Dabei ist es völlig irrelevant ob der Switch Marketing technisch als Access, Distribution oder Core Switch klassifiziert ist, denn das Verhalten ist übergreifend im CLI oder Web Interface immer gleich. Jedenfalls bei den o.g. Herstellern und auch dem Rest.
Es ist also bar jeder Praxis und wider Wissen wenn du hier behauptest es wäre anders. Macht ja auch sehr wenig Sinn im Schrotschussverfahren das so zu handhaben. Zum Warum ist ja oben auch schon alles gesagt.
Das ein einzelner WLAN Hersteller (wo die Betonung auf WLAN liegt !) der zugekaufte Switchbarebones aus dem Massensegment umbäppelt auf seinen Namen es mit proprietärer Konfig Software so macht, zeugt eher davon wo die herkommen aber nicht gerade von Expertise im Netzwerk Infrastruktur Segment.
Aber zu dem Thema ist ja schon alles gesagt !
dann ist das auch keine Vergrößerung der Brodcastdomain im negativen Sinne.
Aber in jedem Falle ein zusätzliche Traffic Belastung der Uplinks auf Kosten der Gesamtperformance...nur die Ports mit den Paketen versorgt, die einen Abnehmer dafür haben.
Was dann allerdings nicht für den gesamten Broad- und Multicast Traffic innerhalb der Layer2 Collision Domains (VLAN) gilt !Wenn dann auch bitte genau !
Ja, wenn ich ein Server aus dem Rack nehme oder ein Blade, oder ein Blade-Switch in ein anderes Chassis stecke, dann konfiguriere ich da dann die geänderte Hardware und NIC/CNA um, für die jeweile Konfig im Standort/Rack/Chassis?
Da wo ich mich aufhalte ist es Bestpractice, da kann ich schon Mal einen Azubi mit zwei Blades im Koffer nach China schicken und die Server laufen wenn der Azubis sie ins Blade steckt.
Unsere Built to order Hardwares kommen aus dem Werk des Herstellers und funktionieren auf der ganzen Welt, weil das Bestpractice ist. Die am Werkstor per Bote abgegebene Hardware funktioniert, direkt nach dem sie eine beliebige Person anschlossen hat, egal wo der Admin gerade ist. Dazu bekommt der Hersteller ein Mal im Jahr eine Konfig, damit sind die Hardwares standardgemäß ALLE ausgerüstet. Selbst meine MACs kenne ich schon ein Jahr vorher, auch wenn ich keine Hardware abrufe.
Da wo ich mich aufhalte ist es Bestpractice, da kann ich schon Mal einen Azubi mit zwei Blades im Koffer nach China schicken und die Server laufen wenn der Azubis sie ins Blade steckt.
Unsere Built to order Hardwares kommen aus dem Werk des Herstellers und funktionieren auf der ganzen Welt, weil das Bestpractice ist. Die am Werkstor per Bote abgegebene Hardware funktioniert, direkt nach dem sie eine beliebige Person anschlossen hat, egal wo der Admin gerade ist. Dazu bekommt der Hersteller ein Mal im Jahr eine Konfig, damit sind die Hardwares standardgemäß ALLE ausgerüstet. Selbst meine MACs kenne ich schon ein Jahr vorher, auch wenn ich keine Hardware abrufe.
jeden Port genau das zuzuordnen, was wirklich gebraucht wird
Das ist richtig und in der Regel auch die übliche Standardprozedur dafür.Ausnahme ist nur wenn du z.B. dynamsiche VLANs benutzt mit 802.1x und oder Mac Passthrough:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
oder auch WLAN:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
In so einer Umgebung können (und müssen) die Ports dann in der simplen Default Konfig verbleiben. Sie werden dann durch den Switch entsprechend dynamisch und automatisch je nach aufgestecktem User an dem Port in das VLAN gesetzt was für den User bzw. sein Endgerät hinterlegt wurde im Radius.
RADIUS Server einrichten um das ganze Dynamisch zu machen ist unsicher wegen MAC Adress spoofing
Nein, das ist jedenfalls in der Beziehung unrichtig das 99,9% aller Enduser keinerlei Ahnung haben was Mac Adressen sind geschweige denn wissen wie man sie spooft.Aber es sind da natürlich noch die 0.1% die es wissen.
Dann nimmst du aber eine simple 802.1x User/Pass Authentication stattdessen mit EAPoL oder einer Kombination aus beidem oder noch wasserdichter dann mit Zertifikaten. Da kann dann wahrlich niemand mehr spoofen !
Ärgerlich ist es, das Unifi keine Layer3 Switche hat
Was erwartest du von einem Hersteller der vom WLAN kommt und rein im untersten Billigstmarkt agiert in dem rein preisorientiert gekauft wird ? Es wäre recht weltfremd dort Qualität und Features zu erwarten.Deren Switches sind keine Eigententwicklung sondern rein von externen Massenherstellern zugekaufte Billig Barebones auf die die nur ihren Namen bäppeln. Entsprechend schlecht und mickrig ist dann auch deren Featureset sowie Software und Support. Im Switchmarkt ist sowas auch in SoHo Installationen ein NoGo.
Da gibt es auf gleichem Preisniveau andere Hersteller die sowas erheblich besser realisieren. Allein das antquierte Controller Konzept was dann immer für Käufer einen Vendor Lockin erzwingt, ist ein weiteres NoGo.
Wer sowas dann trotzdem noch kauft dem kann auch das tollste Forum nicht mehr helfen...
Jeder bekommt halt die Hardware die er verdient...
dass das ding ganz schön ins schwitzen kommen wird...hätte das schon lieber dierekt über den Switch
Wäre auch die sinnvollste und beste Entscheidung. Du siehtst den alten Erkenntnisspruch: "Wer billig kauft, kauft 2mal !"So ein L3 Switch Design ist allemal besser und zudem einfacher zu managen. Siehe dazu auch hier:
Verständnissproblem Routing mit SG300-28
Ich kenne keinen Hersteller, der seine Hardware selber herstellt. Alle haben Auftragsfertiger und ein paar Geräteklassen werden BTO montiert.
Daher ist die Aussage zumindest irreführend.
Wenn ich ein Broadcom, Mellanox, Marvel oder Realtek Switch kaufe, dann ist in dem Switch in der Regel ein OEM Design oder nach dran verbaut. Es gibt nicht viele Möglichkeiten und noch weniger Gründe von Design abzuweichen. Das Abweichen hat in erster Linie zur Folge, dass das Switch teurer wird und der Support durch den SOC OEM schwieriger und teurer.
Im Falle der Broadcom und Mellanox Switches wird Code an die Switchhersteller übergeben, der das Switch betreibt. Marvel und Realtek machen das sicherlich auch so.
Ein Großteil des Codes der Switches mit selben SOC ist identisch.
Der Hersteller legt dann seine GUI, CLI UND Open Networking Philosophie dazu in Form von weiteren Code.
Alle dieses Switches werden bei wenigen Auftragsfertigern hergestellt.
Was daran schlecht sein soll, das mag ich nicht zu erkennen. Alle Hersteller und Teilnehmer haben QM-Strategien.
Fast die gesamte Wirtschaft funktioniert so. Gutes Beispiel ist der Automotive Sektor.
Im Falle von UBNT ist das Softwaredesign zwar geschlossen, dennoch bekommt man für kleines Geld gute Hardware, guten Support und eine kleine Ewigkeit Updates.
Das UBNT Switches ihren Weg in Umgebungen finden, die nicht unbedingt prädestiniert sind für diese Klasse ist kein Grund, dass die Switches schlecht sind.
Ein sehr unmöglich auftretender User hier im Forum zerreißt alle Themen mit UBNT einseitig. Das würde ich nicht auf die Goldwaage legen sondern als Anlass drüber nachzudenken, wie kaputt ein Mensch sein kann und was für eine Störung dahintersteckt.
Ich tippe auf: Pseudologia phantastica und Narzissmus der hier extensiv ausgelebt wird.
Daher ist die Aussage zumindest irreführend.
Wenn ich ein Broadcom, Mellanox, Marvel oder Realtek Switch kaufe, dann ist in dem Switch in der Regel ein OEM Design oder nach dran verbaut. Es gibt nicht viele Möglichkeiten und noch weniger Gründe von Design abzuweichen. Das Abweichen hat in erster Linie zur Folge, dass das Switch teurer wird und der Support durch den SOC OEM schwieriger und teurer.
Im Falle der Broadcom und Mellanox Switches wird Code an die Switchhersteller übergeben, der das Switch betreibt. Marvel und Realtek machen das sicherlich auch so.
Ein Großteil des Codes der Switches mit selben SOC ist identisch.
Der Hersteller legt dann seine GUI, CLI UND Open Networking Philosophie dazu in Form von weiteren Code.
Alle dieses Switches werden bei wenigen Auftragsfertigern hergestellt.
Was daran schlecht sein soll, das mag ich nicht zu erkennen. Alle Hersteller und Teilnehmer haben QM-Strategien.
Fast die gesamte Wirtschaft funktioniert so. Gutes Beispiel ist der Automotive Sektor.
Im Falle von UBNT ist das Softwaredesign zwar geschlossen, dennoch bekommt man für kleines Geld gute Hardware, guten Support und eine kleine Ewigkeit Updates.
Das UBNT Switches ihren Weg in Umgebungen finden, die nicht unbedingt prädestiniert sind für diese Klasse ist kein Grund, dass die Switches schlecht sind.
Ein sehr unmöglich auftretender User hier im Forum zerreißt alle Themen mit UBNT einseitig. Das würde ich nicht auf die Goldwaage legen sondern als Anlass drüber nachzudenken, wie kaputt ein Mensch sein kann und was für eine Störung dahintersteckt.
Ich tippe auf: Pseudologia phantastica und Narzissmus der hier extensiv ausgelebt wird.
Es ist bei UBNT keine Frage des Könnens sondern der Strategie.
Die UniFi Switches sind eher im SoHo Bereich angesiedelt und sollen keine zu große Konkurrenz zu den Enterprise Geräten werden.
Wenn Du unbedingt Routing haben willst, dann sind die Edge Switches vielleicht etwas für Dich. Die Edge Switches und Router usw... kannst du auch über das UNMS verwalten, was wirklich eine tolle Sache ist.
Die UniFi Switches sind eher im SoHo Bereich angesiedelt und sollen keine zu große Konkurrenz zu den Enterprise Geräten werden.
Wenn Du unbedingt Routing haben willst, dann sind die Edge Switches vielleicht etwas für Dich. Die Edge Switches und Router usw... kannst du auch über das UNMS verwalten, was wirklich eine tolle Sache ist.
und ihr fahrt die dann alle mit 10G an und habt auch entsprechend traffic ? Also irgenwie kann ich mir das bei dem bisher erzählten ja kaum vorstellen.
Und L3 auf Access Switchen ... kann man machen, aber das wird echt schnell ziemlich aufwändig und der Performancegewinn auf einem Campus ist da meistens auch nicht wirklich messbar. Hättet ihr SOLCHE anforderungen an das Netz, dann wäre das schon längst ordentlich aufgezogen und segmentiert worden...
Und L3 auf Access Switchen ... kann man machen, aber das wird echt schnell ziemlich aufwändig und der Performancegewinn auf einem Campus ist da meistens auch nicht wirklich messbar. Hättet ihr SOLCHE anforderungen an das Netz, dann wäre das schon längst ordentlich aufgezogen und segmentiert worden...
Ja ist ja auch OK. Aber das bedeutet doch mit hoher Wahrscheinlichkeit nur, das man hier mit 1-4Gbit pro Switch locker auskommt.
Von wieviel traffic reden wir hier eigentlich? Wurde das denn schon mal gemessen? In einem Büronetz gibt es recht selten Bedarf an 10G.
Also ich will dich ja nicht davon abhalten was neues zu kaufen, aber 2960X sind grundsolide Accessswitche. Ich hab hier irgendwas um die 90 davon und kann nicht meckern.
Ich würde da lieber das Geld in die Hand nehmen und einem Elektriker hinterherwerfen, der mir dann sauber die Kabel verlegt, und Netzwerkschränke an entsprechenden Positionen hinstellt, falls das noch nicht existiert (und der Beschreibung nach klingt das jetzt mal für mich so). z.B mit 16 Fasern pro Schrank jeweils ins DC gehen und die Switche jeweils mit 1,2 oder 4 anbinden.
Dann einen Core Router (je nach traffic einen Nexus) ins DC stellen und den das Routing machen lassen. Die einzelnen Gebäude/Stockwerke dann per 2960er abfrühstücken. Routing ist im Accessbereich IMHO bei der Unternehmensgröße Unsinn.
Und bevor man das Geld jetzt in teuren Switchen versenkt, die dann ein paar MBit traffic haben, würde ich das halt eher in eine saubere Verkabelung stecken und mich somit fit für Wachstum in der Zukunft machen.
Wenn das alles dann Zentral am Core verwaltet werden kann, kann man so eine segmentierung auch halbwegs schmerzfrei durchführen.
Wenn du anfängst da an jedem Accessswitch noch die einzelnen VLANs zu routen, dann kann ich mir in anbetracht deiner eröffnungsfrage ausmalen, das du dir da ganz viele Probleme aufhalst, die nicht nötig wären.
Von wieviel traffic reden wir hier eigentlich? Wurde das denn schon mal gemessen? In einem Büronetz gibt es recht selten Bedarf an 10G.
Also ich will dich ja nicht davon abhalten was neues zu kaufen, aber 2960X sind grundsolide Accessswitche. Ich hab hier irgendwas um die 90 davon und kann nicht meckern.
Ich würde da lieber das Geld in die Hand nehmen und einem Elektriker hinterherwerfen, der mir dann sauber die Kabel verlegt, und Netzwerkschränke an entsprechenden Positionen hinstellt, falls das noch nicht existiert (und der Beschreibung nach klingt das jetzt mal für mich so). z.B mit 16 Fasern pro Schrank jeweils ins DC gehen und die Switche jeweils mit 1,2 oder 4 anbinden.
Dann einen Core Router (je nach traffic einen Nexus) ins DC stellen und den das Routing machen lassen. Die einzelnen Gebäude/Stockwerke dann per 2960er abfrühstücken. Routing ist im Accessbereich IMHO bei der Unternehmensgröße Unsinn.
Und bevor man das Geld jetzt in teuren Switchen versenkt, die dann ein paar MBit traffic haben, würde ich das halt eher in eine saubere Verkabelung stecken und mich somit fit für Wachstum in der Zukunft machen.
Wenn das alles dann Zentral am Core verwaltet werden kann, kann man so eine segmentierung auch halbwegs schmerzfrei durchführen.
Wenn du anfängst da an jedem Accessswitch noch die einzelnen VLANs zu routen, dann kann ich mir in anbetracht deiner eröffnungsfrage ausmalen, das du dir da ganz viele Probleme aufhalst, die nicht nötig wären.
Die Unifis bekommen auch ein 10/25/40/100 GBit Switches mit 54 Ports und redundanter Stromversorgung. Breites Layer-3 Featureset samt VxLAN ebenfalls vorhanden.
Leider sind die Netzteile nicht hot swap able und es fehlt wohl auch eine M(C)-LAG Funktion.
Leider sind die Netzteile nicht hot swap able und es fehlt wohl auch eine M(C)-LAG Funktion.
Ja das USW Leaf. Kommt wohl direkt in die UniFi Linie.
Ich persönlich bevorzuge Switches, die zwei interne Netzteile haben. RPS-Designs kaufe ich seit fünf Jahren nicht mehr. Und fest verbaut finde ich ebenfalls nicht sooo toll. Allerdings habe ich außerhalb von Industrieanlagen keine Access Switches die redundante Stromversorgungen haben. Das gibt es in der Regel nur sie näher man dem RZ kommt.
Für die Ciscos gibt es eine Management Lösung von Cisco oder auch kompatible. Hast du das Mal geprüft?
Ich persönlich bevorzuge Switches, die zwei interne Netzteile haben. RPS-Designs kaufe ich seit fünf Jahren nicht mehr. Und fest verbaut finde ich ebenfalls nicht sooo toll. Allerdings habe ich außerhalb von Industrieanlagen keine Access Switches die redundante Stromversorgungen haben. Das gibt es in der Regel nur sie näher man dem RZ kommt.
Für die Ciscos gibt es eine Management Lösung von Cisco oder auch kompatible. Hast du das Mal geprüft?