VLAN Routing Design

Mitglied: tvprog1

tvprog1 (Level 1) - Jetzt verbinden

26.04.2016 um 22:25 Uhr, 2824 Aufrufe, 6 Kommentare

Hallo,

wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet, oder über eine seperate Firewall um den Traffic entsprechend filtern zu können?

Welche Variante sollte aus Sicht der Performance bevorzugt werden? Gibt es evt noch andere sinnvolle Möglichkeiten?

Gruß
Mitglied: michi1983
26.04.2016 um 22:33 Uhr
Hallo,

in großen Netzwerken übernimmt das der Switch um den Broadcast Traffic zu minimieren.

Gruß
Bitte warten ..
Mitglied: aqui
27.04.2016 um 08:34 Uhr
wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet,
In der Regel (noch) üblicherweise über die Core Switches. Das ändert sich mit der Verbreitung von DCB bzw. Fabric Switches aber langsam.
Letztere benutzen TRILL oder SPB statt Spanning Tree und sind damit erhelblich flexibler einzusetzen in Bezug auf dynamisches Redesign. In moderen Netzen hat man nicht mehr diese typische, starre Nord Süd Design Anforderungen sondern zunehmend auch West Ost Traffic. besonders in RZs.
DCB bzw. Fabric Switches supporten ein Routing auf allen beteiligten Backbone Knoten inklusive local Forwarding, sprich das jeder Knoten auch L3 switched wo dieser Traffic auftaucht. Keine alten Master Slave Konzepte mehr wie bei VRRP, HSRP usw. Das ist überholt.
Eine Firewall das machen zu lassen ist erheblich kontraproduktiv, denn das erzwingt eine zentralistische Struktur die man ja generell nicht mehr will.
Dazu kommt das in größeren Backbones so gut wie immer dynamische Routing Protokolle genutzt werden womit Firewalls noch Schwierigkeiten haben aus Performance- und Skalierungssicht. Deren primäre Aufgabe ist es in einem Netz für Kommunikationssicherheit zu sorgen NICHT aber relevant fürs L3 Packet Forwarding zu sein. Das sollte immer bei der Infrastruktur selber bleiben !
Firewall Routing bzw. L3 Forwarding ist in solchen modernen Backbone Designs ein falscher Weg und führt in die Sackgasse.
Natürlich ist eine Firewall notwendig für die externe Kommunikation oder besonders zu schützende Netzwerkbereiche, das steht außer Frage. Insofern hat sie in Teilbereichen durchaus ihre Berechtigung, niemals aber für das globale L3 Forwarding im Backbone.
Moderne L3 Switches haben heute L3-4 Filtermechanismen die das auch erledigen können.
Bitte warten ..
Mitglied: Dobby
27.04.2016 um 12:52 Uhr
Hallo,

wird zwischen VLANs in großen Netzwerk Setups üblicherweise über den Core Switch geroutet,
oder über eine separate Firewall um den Traffic entsprechend filtern zu können?
Das kommt immer ganz auf das Netzwerkdesign und die Nutzung an. Und vor allen anderen Dingen
kommt es auch auf die gesamte Netzwerktopologie an die dort vorherrscht und ob sich das Netzwerk
in einem Gebäude befindet, über zwei oder mehrere Gebäude erstreckt (Campus LAN) oder gar über
eine größere Distanz und Fläche verteilt und in sich geschlossen ist (MAN) oder die Distanzen und
Fläche noch größer sind und es sich nur um eine Firma handelt (WAN). Vor allen Dingen ist es schon
wichtig zu wissen was für Routingprotokolle zum Einsatz kommen wie zum Beispiel, VRRP, HSRP, OSPF,
RIP, oder gar BGPi / BGPe und wie die Switchtopology dahinter dann selber aussieht. Also als Beispiel;
Core Layer (hinter den Routern und/oder Firewalls), Distributed Layer (ganze Stockwerke oder Gebäude ), Access Layer (Anbindung der Geräte in den Abteilungen vor Ort)

Man kann das in so vielen unterschiedlichen Variationen betreiben und sogar weitere Layer einfügen
das kommt aber immer auf die betrieblichen Gegebenheiten, Erfordernisse und sicherlich auch der
Einstellung des Adminteams an. Einige Admins lieben es einen zentralen Punkt zu haben von dem
sie aus alles verwalten können und nutzen von daher die Firewall oder den Router dazu alles mittels
Firewalregeln zu administrieren und zu regeln. Das kann praktisch sein und auch Zeit sparen, aber
eben nicht in allen Fällen und nicht bei jedem Design! Ein Beispiel dazu; man hat zwei Firewalls und
zwei Core Switche im HA Betrieb, dann macht das je nach eingesetztem Routingprotokoll Sinn und
wenn man ca. 900 Endgeräte hat, aber eine flache VLAN-Struktur dann kann das auch Sinn machen,
aber in sehr vielen anderen Fällen ist das nicht so der "Bringer" und man hat dann in der Regel auch
mehrere Admins die sich alle Aufgaben teilen, wie z.B. die Administration der Server, SAN/NAS, Switche,
Router und Firewalls, ebenso wie die Drucker und Scanner oder der Multi-Funktionsgeräte. Das ist eben
von Fall zu Fall immer unterschiedlich und meist auch durch Vorgaben im Betrieb geregelt.

Welche Variante sollte aus Sicht der Performance bevorzugt werden?
Sag uns doch einmal etwas mehr zu der gesamten Struktur und/oder der Anzahl der Geräte, der Benutzer,
angebotenen Protokolle, Anzahl der eingesetzten Server und SAN/NAS Systeme. Dann kann man da schon
besser etwas zu sagen sonst raten wir hier alle nur im Kreis herum und das ist dann auch nicht mehr so toll.
Ebenso wäre die Netzwerklast, und gesamte Topologie schon nett zu wissen, also, mit WLAN, mit SAN,
was ist an Geräten vorhanden und was soll noch angeschafft werden und wie hoch ist das Budget dafür.

Gibt es evt noch andere sinnvolle Möglichkeiten?
Was dem einen Freude macht verschmäht der andere und denkt sich seinen Teil!
Worauf der eine schwört, das ist dem anderen zu wieder und der eine kann es bezahlen was dem anderen
seinen Chef sofort per Herzinfarkt töten würde. Jeder sollte das so individuell hier beschreiben denn so
einfach über den Kamm scheren kann man das leider alles nicht.

Man kann Switche stapeln (Switch Stack) und dann immer einen Layer3 Switch den gesamten
Stack routen lassen und man kann nur Layer3 Switche stapeln und zu einem Stapel (Switch Stack)
zusammen schließen und wenn einer ausfällt kann der nächste übernehmen, das kommt immer
darauf an was denn alles vorhanden ist!!!! Man kann auch nur Layer2 Switche stapeln (Switch Stack)
und dann die Core Switche die Stapel routen lassen, das kommt immer darauf an wie das gesamte
Netzwerk aufgebaut ist. Es gibt auch Netzwerke wo nur zwei Schichten vorhanden sind, also die Firewall
und die dahinter liegenden Access Switche also flach wie nichts. Schreib doch bitte erst einmal etwas zu
Eurer Netzwerktopologie und dem gesamten Aufbau.

Pauschal kann man nur sagen ist es immer gut, je nach Netzwerklast, mehrere Layer aufzubauen, und
die Last über so viele Switch-Chips zu verteilen um die Geschwindigkeit zu erhöhen oder die Last zu
schultern und in der Regel sind selbst die KMU Switche heute in der Lage zwischen den VLANs mit
wire speed Geschwindigkeit zu routen.

Gruß
Dobby

Bitte warten ..
Mitglied: tvprog1
14.05.2016 um 12:50 Uhr
Erstmal vielen Dank für die ausführlichen Antworten :) face-smile

Mir geht es weniger um eine Infrastruktur die in der Praxis umgesetzt werden soll sonder vielmehr darum, was es überhaupt für Konzepte, Designs, neue Technologien etc. in diesem Bereich gibt, damit ich dann wieder tiefer recherchieren kann.

Zum Beispiel würde es mich auch interessieren, wie man an so Neuigkeiten wie TRILL etc. wie @aqui erwähnt hat kommt.

Gruß
Bitte warten ..
Mitglied: aqui
15.05.2016, aktualisiert um 15:31 Uhr
wie man an so Neuigkeiten wie TRILL etc. wie @aqui erwähnt hat kommt.
Indem man Fachliteratur, Magazine usw. liest und kostenlose Herstellerseminare besucht oder auch nur die Webseiten der Hersteller besucht, die diese Technologien supporten... ;-) face-wink
Bitte warten ..
Mitglied: tvprog1
15.05.2016 um 15:50 Uhr
Zitat von @aqui:

Indem man Fachliteratur, Magazine usw. liest und kostenlose Herstellerseminare besucht oder auch nur die Webseiten der Hersteller besucht, die diese Technologien supporten... ;-) face-wink
... gute Empfehlungen für Fachliteratur, Magazine etc.? :) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless42 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 1 TagFrageWeiterbildung7 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...

Windows 10
Dokumentenanzeige auf 2.Bildschirm
gelöst Rico.lehmann93Vor 1 TagFrageWindows 107 Kommentare

Hey Leute, ein Kunde von uns sucht eine Möglichkeit Mietverträge dem Kunden auf einem Bildschirm anzeigen zu lassen. Auf dem Bildschirm soll aber wirklich ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 1 TagFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Windows Server
Zwei Netzwerkkarten im Server
gelöst Big.TurboladerVor 1 TagFrageWindows Server4 Kommentare

Hallo allerseits, ich habe ein Windows Server 2016 in einer VM erstellt um mein Wissen zu erweitern. Doch jetzt hänge ich an einem Problem ...