Maximale Anzahl an Geräten in einer Broadcast Domain

Moin,

das kommt immer auf die Clients an.
Bei Windows Rechner würde ich nicht mehr als 100-200 Geräte in einem Subnetz betreiben.
Geht es Bsp. Um IoT Geräte kann das ggf. Anders aussehen.

Es geht ja schlicht um den Broadcast Traffic der erzeugt wird. Alleine DHCP kann bei vielen Geräten das Netz belasten.
Kommen allerdings Streamingen Geschichten hinzu ist natürlich schon viel früher Ende.

Als Faustregel sollte gelten keine größeren Netze als /24 zu nutzen.
Die Fälle wo es dann kleiner werden sollte sind eher spezial Fälle.

Gruß
Spirit

Nicht nur!

Auch Kollisionen und überlaufende Puffer in den Switches sind ein Problem.

lks

Ja stimmt.
Das war gerade nicht weit genug gedacht.

Moin,

du versuchst da grad was zu bauen was generell keinen Sinn macht. Denn deine Broadcast-Domain sagt erst mal nur aus wieviel Geräte darin hängen. Da kann ich auch locker nen /8-er Netz in eine Domain hängen - kein Ding. Ich setze einfach mal voraus das ich darin z.B. nur Office-Rechner (unter Linux) habe die ab und an mal ne Word-File öffnen. Das ganze ist aber mit 10 GbE bis zum Arbeitsplatz verbunden -> who care's ob da jetzt nen paar mehr Broadcasts laufen oder nicht...

Oder ich nehme nen /24er Netz - leider habe ich dazwischen ne langsame Leitung (1 MBit oder weniger), ggf. sogar noch komplett unterschiedliche Endgeräte/Kunden. Da wirst du feststellen das selbst nen /24er nicht das ist was du willst... Ein Beispiel dafür wäre z.B. dein PROVIDER, du möchest wohl nicht das jeder im selben Netzsegment wie dein Provider dir gegeben hat auch auf deine Server direkt aus Windows raus kommen kann, oder? Und der Provider will das auch nicht - wenn du z.B. 20 Kunden hast die aufm Land mit 1 MBit oder weniger sind, dafür aber 100te KM auseinander willst du nich jeden ### darüber senden...

Du merkst also das hängt ganz stark von deiner Anwendung und Umgebung ab. Ich könnte jetzt auch noch nen WLAN nehmen - da packe ich in die BD einfach mal 1 Mio Geräte rein (genügend APs sein mal angenommen). Kein Problem - selbst bei 11 Mbit. Ich schalte halt einfach die Client-Isolation an und schon hab ich das auf nem anderem Level direkt wieder gelöst..

Daher wirst du natürlich verschiedene Werte finden. Ich bin mir recht sicher wenn du dein Netz (ohne das ich es kennen würde) nimmst und ich nur mal meines Zuhause und das was ich auf der Arbeit vorfinde - dann wird es 3 völlig unterschiedliche Anforderungen geben....

Hallo,

das einzige faktische Limit das du hast ist die Begrenzung der IPv4 Adresse auf 4.294.967.296 Adressen. Mehr Geräte kannst du nicht adressieren.
IPv6 kennt keinen Broadcast im eigentlichen Sinn (All nodes oder Multicast.. )

Aber Sinn macht das keinen... die Gründe dafür sind oben ja schon genannt worden.
Es kommt halt ganz klar auf deine Netzwerkstruktur an....
200 Server in einem 10 GB Netz .. kann gehen
200 schwächliche Industriesteuerungen und nichts geht mehr ... da ist schon bei 30 - 40 Steuerungen Schluss mit der Performance.

brammer

Sniffer (wireshark, tcpdump, etc.) mitlaufen und protokollieren lassen.

lks

Falsch. Das Limit bei Ethernet sind 281.474.976.710.654 (=2^48 - 2) Geräte (6-byte-MAC!).

Es gibt noch mehr Protokolle als IP-v4. Und mit IPv6 bist Du nicht an die Beschränkungen von v4 gebunden.

lks

Nein tun sich nicht.
Netzwerker wissen schon seit Jahren das die nicht viel über 150 plus/minus gehen sollten ! Das ist eine goldene Design Regel !
Es kommt aber immer etwas auf den Einzelfall an welche Clients und wie "geschwätzig" in Bezug auf Broad- oder Multicast diese sind.
Da Windows Clients so ziemlich das Geschwätzigste sind was es gibt gilt diese Regel also für 99% aller aktuellen Netze.
Hast du unixoide Endgeräte ohne AVAHI (mDNS) dürfen es etwas mehr sein.
Letztlich ist es aber egal. Ein /24er Netz ist so die grobe Faustregel. Besser etwas drunter wenn es Winblows ist.
Der Knackpunkt ist immer ein gemischtes Netz in dem viele Windows Clients sind und auch Drucker oder Zeiterfassung usw. also Engeräte mit sehr schwachbrüstigen CPUs.
Jeder Broad- und Multicast Frame auf dem Netz löst in diesen Endgeräten einen Interrupt aus, die CPU muss sich zwingend das Paket ansehen und entscheiden ist das was für meine Dienste oder nicht und das Paket bzw. dessen Dateninhalt dann entpacken und ann die entsprechende Applikation intern weiterleiten und verarbeiten.
Für einen Winblows Rechner sicher nicht das große Ding. Ein kleiner SoC in einem Drucker, WLAN AP, Switch Management, Zeiterfassung usw. usw. legt sich aber bei entsprechender Last die Karten.
Nur ein banales beispiel warum Segmentieren so wichtig ist in einem Netzwerk um die Performance zu halten.
Von Sicherheitsaspekten jetzt mal gar nicht zu reden...
Das ist Quatsch ! Kein Cisco SE wird dir das empfehlen. Ja, sicher der Cisco Switch verarbeitet sowas problemlos weil er entsprechende Power hat aber wie du oben ja siehst ist das nur die halbe Miete !! Es kommt immer auf die Endgeräte im Netz an und nur sekundär auf die Infrasrukturgeräte selber.
Ja, Kaufleute und andere die der Technik vollkommen unkundig sind. Solch einen unreflektierten Blödsinn muss man sicher in einem Administrator Forum nicht weiter kommentieren...!
Jeder Netzwerker kennt die Nachteile aus der Praxis die schlecht oder falsch designte Netzwerke machen. Eine Nachfrage danach ist mehr oder minder sinnfrei.
Frag dich auch mal warum moderne Fabric basierte Netzwerke immer eine L3 Basis haben und man mit einem virtuellen Layer 2 Overlay arbeitet wie zb. VxLAN mit oder ohne BGP eVPN oder wie Trill oder SPB ?!
Dein Horizont ist vermutlich limitiert auf ein kleines Campus Netzwerk mit Billigswitches und max. 300 Clients...wenn überhaupt...?!
Damit bistt du ja auf dem richtigen Weg. Sowas ist heute simpler Standard in allen Enterprise Netzen. Da wo dumme, große und flache Netzwerke betrieben werden ist meist auch wenig bis gar kein Know How vorhanden zu dem Thema und auch entsprechende Probleme im täglichen Betrieb.
Tödlich !! Unverständlich warum mnan solch einen Unsinn noch macht. Vollkommen falsche Design Planung. Die Gründe stehen oben....wenig bis gar kein Know How im Bereich Netzwerke
Das ist ja nicht schlimm solange sie VLANs können !!!
Layer 3 benötigst du rein NUR im Core. Wird auch schnell klar wenn man sich mal ein klassisches Banaldesign solcher Netze ansieht:


Ist natürlich Quatsch ! Maximal 2 kleine L3 Core Switches die nur die entsprechende Anzahl der Access Uplinks bieten müssen. Idealerweise Full Stacking fähige Geräte wie Ruckus ICX 7150 oder 7250 die dir auch eine zukünftige Option auf 10Gig geben. Cisco SG550 oder Mikrotik wäre ebenso eine Alternative. Da bleibt man deutlich unter 1k an Kosten und kann die Unify Gurken im Access problemlos weiter nutzen.
Wie bereits gesagt...wenig bis gar kein Know How im Bereich Netzwerke. Besonders der Chef !
Macht ihr Gartenarbeiten im Netzwerk ???
https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Zum Rest ist ja oben schon alles gesagt...

Hallo,

@Lochkartenstanzer

nur das du 2'48 nicht in 2'32 IPv4 Adressen abgebildet bekommst.
Aber das ist eher philosophischer Natur.
Außerdem gehe ich davon aus das der TO im Bereich TCP/IP fragt...

brammer

Was kann Ethernet dafür, daß die Väter von IPv4 nicht weitsichtig genug waren?

Es gibt genügend Protokolle die die vollen 2^48 MAC-Adressen von Ethernet nutzen können, auch historische!


Jo. Aber man muß schon genau sein, wenn man über technische Limits spricht.


Nicht immer ist die Frage richtig gestellt.

lks

Hallo NordicMike,

Meines Wissens nach gibt es (bei den größeren Switches) bei Unifi/Ubiquiti kein Gerät, welches nicht VLANs (802.1q) unterstützt, die besseren Modelle sollten sogar Layer-3 Switches sein.

900 IP Teilnehmer in einem Segment ist (ausgenommen in speziellen Spezialfällen) ein absolutes No-Go. Meinem ästhetischen Verständnis nach ist auch ein /16 zu adressieren obwohl in dem speziellen Fall nur /22 benötigt würde, ein absolutes No-Go.

Wenn dein/der Chef irgendeine Ahnung von Netzwerken hat, müsste er
a.) dich nicht beschäftigen um das Problem zu finden
b.) sich nicht zu einer Netzwerksegmentierung "überreden" lassen.

Er kann nicht einen Lösungsvorschlag erwarten und diesen dann ablehnen, weil er ihm nicht gefällt oder es nicht versteht.
Die Zeit, die du in Diagnostik für das beschriebene Problem investierst ( --> "Ab und zu hackt es an verschiedenen Stellen") hätte man genauso gut in einen L3-Switch um ~200€ investieren können um das Problem auch wieder zu lösen.

Je nachdem wie sehr sich dein Chef von Internet-Foren beeindrucken lässt: Du könntest ihm die Antworten aus diesem Thread präsentieren. Speziell in diesem Thread sind Leute am Schreiben für die dieses und ähnlich wiegende Probleme Alltag sind bzw. nicht zum Alltag gehören, weil sie nach viel Ausbildung/Trial-And-Error/Beides gelernt haben diese Probleme zu vermeiden.

TL;DR:
Check mal ab ob deine aktuellen Switches wirklich kein VLAN-Routing (L3) beherrschen. Wenn sie's beherrschen: Stell die Konfig um
Wenn Sie's nicht beherrschen: fordere einen L3-Switch an:
Der günstigste L3-Switch, der mir gerade eingefallen ist wäre z.B. ein HPE OfficeConnect 1920 um 135,00€ inkl. 20%USt. lt. Geizhals.
Meine Wahl würde (natürlich) auf einen Mikrotik CRS-326 fallen, gesehen auf Amazon um 137,82€ exkl. USt.

lG
Areanod

Hallo @areanod,


Nein, Ubiquiti kann generell kein Layer-3.

ipzipzap

Doch - deshalb nennt sich sowas "CHEF", weil er genau das kann! Und es ist bei 900 Endgeräten ja nicht mit 1-2 Switches getan, da muss idR. dann schon einiges mehr inkl. Downtime gemacht werden.

So - jetzt kommt es aber auch auf den TO an und den kennt hier halt keiner wirklich. Wäre ich Chef würde ich halt auch abwägen: Traue ich demjenigen das zu das er sowas ohne viel Probleme im Betrieb macht (ggf. halt Abteilungsweise oder wie auch immer) oder erwarte ich das der mir erst mal alles lahmlegt? Und DAS wäre der erste wichtige Entscheidungspunkt. Habe ich nen Einsteiger vor mir ist zwar nen /16-er Netz was ggf. mal etwas Probleme macht aber im grossen und ganzen läuft ja kein Problem - lasse ich in dem Fall nen Umbau zu und der Laden steht 2 Tage brauche ich sonst eh nen neuen Job... Habe ich jemanden vor mir der weiss was er macht UND das nötige Budget im Plan dann sieht die Sache wieder anders aus...

Und es ist da schön wenns "Goldene Regeln" und sowas gibt... Am Ende sitzt aber in fast jeder grösseren Firma auch nen Buchhalter der guckt ob die goldene Regel nich einfach nur so heisst weil die extrem teuer ist - und man nicht ggf. auch mit ner "funktonierenden Lösung" besser fährt....

Hallo,

@ipzipzap,


wie kommst du zu dieser -im übrigen falschen- Information?

https://help.ubnt.com/hc/en-us/articles/204909754-UniFi-Layer-3-methods- ...

brammer

Zugegeben, ich weiß nicht wie der TO diese Arbeiten verkauft hat bzw. verkaufen wollte; einen Lösungsvorschlag mangels "Beweisen", wobei das "Hacken" im Netzwerk meiner Meinung nach einen Beweis für sich selbst darstellt, abzulehnen finde ich... problematisch.


1.) Wenn ich mir über die Kompetenz meines eigenen Mitarbeiters nicht im Klaren bin, dann beauftrage ich eine externe Firma mit Planung und Durchführung. Da geht dann auch die Haftung an den Professionisten über, die machen das dann am Wochenende.
2.) Der TO hat beschrieben, dass die Aufteilung pro Abteilung passieren soll, á 30 User. Richtig geplant muss nicht alles auf einen Sitz umgestellt werden, sondern kann phasenweise geschehen.

lG
Areanod

Hallo brammer,


https://community.ui.com/questions/Can-Ubiquiti-Switches-do-layer-3/b5a4 ...

"The current Unifi switch line is an advanced layer 2 switch. Layer 3 features are not availble. So whilst it supports VLANs it won't route between them. For that you would need a USG or any other router."



Dein Link geht am Thema vorbei. Da geht es um die Unify-WLAN-Hardware. Wir reden hier doch von Layer3-Routing auf den Switchen, und das kann Ubiquiti eben nicht.

cu,
ipzipzap


EDIT: Ohhh, ich sehe gerade, das die neuen Unify-Switches wohl endlich Layer3 können sollen. Inwieweit das sauber implementiert ist, muss man sehen. Das ändert jetzt aber nichts an meiner Aussage bzgl. Deines Links, der am Thema hier vorbei geht und auf die WLAN-APs zielt.

Das passiert eben wenn ein WLAN Hersteller sich an Routing versucht wovon er nicht viel versteht und was nicht seine Kernkompetenz ist.
Andere wie Mikrotik, Cisco, Ruckus usw. die das schon Jahre machen können das bekannt erheblich besser.
Ubiquity mag eine gute Wahl für (kleinere) WLANs sein für die Switching Infrastruktur ist es das de facto NICHT ! (oder noch lange nicht)
Wie Kollege @areanod oben schon richtig sagt ist Mikrotik da die erheblich bessere Wahl.
2 der genannten MT Switches im High Availability Core mit VRRP und fertig ist ein redundantes und performantes Netz auf Basis des o.a. Standard Designs !
Entsprechende sinnvolle Segmentierung natürlich vorausgesetzt. Und nein, damit sind natürlich KEINE 900 Clients pro Segment gemeint !!!

Naja - das kommt jetzt drauf an was du genau meinst... Denn nen Broadcast-Sturm ist ja z.B. recht einfach: Entferne mal z.B. spanning-tree vom Switch (oder ähnliche Schutzfunktionen) und lege nen Kabel einfach als Loop. Du wirst sehen wie schnell dir das dein Netz runterreissen kann....
Das hat aber ja nix mit ner Broadcast-Domain zu tun, das kannst du auch mit 1-2 Rechnern schon am simplen "Aldi-Grabbeltisch-Switch" ausprobieren....

Und die Frage ob hohe Broadcasts ein Problem darstellen können - ja, können die. Wie alles andere auch, es hängt nur von den Umständen ab. Ich betreibe z.B. einige Netze in denen Live-TV per IP durchläuft. Selbst wenn es Multicast ist - wenn du natürlich jetzt den Switch (oder auch nur den Link zum Distri-Switch) auslastest kann das natürlich nicht funktionieren. Live-TV braucht (je nach Qualität, Inhalt usw.) 3-15 MBit, bei 4K auch gerne mehr. So - nehmen wir an ich würde den Link zwischen zwei Switches aus irgendeinem Grund (schlechtes Kabel) auf 100M begrenzt haben, alle anderen Ports machen aber 1 GBit... Jetzt gehen mal 1-2 Stationen bei und kopieren grosse Datenmengen über den 100er Link, dann wird mein Stream einfach auseinanderfliegen. OB die Daten jetzt Broadcast oder "normaler" Traffic beinhalten spielt dabei keine Rolle.

Deshalb macht man ja nen Netz-Design - da man in nem halbwegs gut aufgesetzten Netz solche Probleme gar nicht hat... Sei es durch kleine BCDomains, sei es durch QoS,... was auch immer du als Spielzeug hast, die Palette ist gross. Und wie üblich gibt es für JEDEN Anwendungsfall eben besondere Regeln... Nehmen wir o.g. Netzwerk mit dem 100er Link in der Mitte an - du hast aber nur Office-Arbeitsplätze die nur kleine Word-Files / Excel-Files oder Mail machen. Und du wirst feststellen das denen der Bottleneck völlig egal wäre, dann braucht die Mail beim senden halt ne sekunde länger, so what.... Versuche dagegen ne IP-Telefonanlage in der Umgebung zu betreiben und dieselben Leute die bei der Mail entspannt sind werden dich mit der Heugabel durchs Office jagen!

Wenn du nen Gerät hast was wg. zuviel Traffic absemmelt dann würde ich sagen das du nen anderes Problem hast. Ausser wenn du da wirklich absichtlich Kreise schaltest sollte dir heute eher kein Gerät absemmeln (ok, DDoS mal ausgenommen).

Ja.

Soll die Antwort auch kurz ausfallen?
Man muss immer das gesamt Bild betrachten.

Ja vor jahrzehnten.:

Alles wurde "lahm" und ein vernünftiges Arbeiten war nicht möglich. DOS- und Windows-Kisten verhielten sich indeterministisch. Die Suns, Amigas, Ataris und Macs (alles 68000er-Prozesoren) und die DEC-Kisten hats nicht gejuckt, außer daß sie halt ausgebremst wurden.

lks