17
VLAN-Design Verständnisfrage
Hallo,
bin gerade dabei eine VLAN-Struktur zu planen und habe dazu eine Verständnisfrage: Ich habe in meinem Netz eine pfSense die an meinem Core-Switch hängt. Von diesem Core-Switch gehen mehrere Verbindungen zu Etagen-Verteilern und deren Switchen.
Simples Szenario...
VLAN10 Server
VLAN20 Clients
VLAN30 Drucker
Im VLAN10 wäre jetzt zum Beispiel ein Fileserver und die Clients VLAN20 sollen Zugriff darauf haben, dann muss man natürlich entsprechendes Routing einrichten und am besten strikte Firewall-Regeln implementieren (ansonsten würde man den Sicherheitsgewinn durch die VLANs kompromittieren). Klar soweit.
Aber bedeutet das jetzt auch, dass die Übertragung von Datei auf diesen Fileserver von den CLients ausgehend, auf die Bandbreite der pfSense beschränkt ist?
Mit den jetzigen Firewall-Regeln und den ganzen aktivierten Features, schafft meine pfSense (Supermicro A1SRi-2758F) per Iperf einen Durchsatz von 600Mbits. Wenn man dann alle Geräte in den VLANs zwingt über die pfsense als Gateway zu gehen, kommt man doch da relativ schnell an die Grenze der Performance. Würde bedeuten die komplette Performance des LAN würde an der Pfsense_kiste hängen. Oder verstehe ich das Falsch?
Würde mich über Tipps und Aufklärung sehr freuen.
Danke.
bin gerade dabei eine VLAN-Struktur zu planen und habe dazu eine Verständnisfrage: Ich habe in meinem Netz eine pfSense die an meinem Core-Switch hängt. Von diesem Core-Switch gehen mehrere Verbindungen zu Etagen-Verteilern und deren Switchen.
Simples Szenario...
VLAN10 Server
VLAN20 Clients
VLAN30 Drucker
Im VLAN10 wäre jetzt zum Beispiel ein Fileserver und die Clients VLAN20 sollen Zugriff darauf haben, dann muss man natürlich entsprechendes Routing einrichten und am besten strikte Firewall-Regeln implementieren (ansonsten würde man den Sicherheitsgewinn durch die VLANs kompromittieren). Klar soweit.
Aber bedeutet das jetzt auch, dass die Übertragung von Datei auf diesen Fileserver von den CLients ausgehend, auf die Bandbreite der pfSense beschränkt ist?
Mit den jetzigen Firewall-Regeln und den ganzen aktivierten Features, schafft meine pfSense (Supermicro A1SRi-2758F) per Iperf einen Durchsatz von 600Mbits. Wenn man dann alle Geräte in den VLANs zwingt über die pfsense als Gateway zu gehen, kommt man doch da relativ schnell an die Grenze der Performance. Würde bedeuten die komplette Performance des LAN würde an der Pfsense_kiste hängen. Oder verstehe ich das Falsch?
Würde mich über Tipps und Aufklärung sehr freuen.
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 527882
Url: https://administrator.de/contentid/527882
Printed on: April 16, 2024 at 21:04 o'clock
17 Comments
Latest comment
Moin,
ganz einfach: Der Router schickt ein IP-Paket anhand seiner IP-Adresse in das richtige Netz. Die Firewall - mal einfach und klassisch ausgedrückt - rüft anhand des Ports, ob das TCP-Paket rein darf. Also müssen alle Pakete den Router und die Firewall passieren. Ergo ist das ein Flaschenhals.
hth
Erik
ganz einfach: Der Router schickt ein IP-Paket anhand seiner IP-Adresse in das richtige Netz. Die Firewall - mal einfach und klassisch ausgedrückt - rüft anhand des Ports, ob das TCP-Paket rein darf. Also müssen alle Pakete den Router und die Firewall passieren. Ergo ist das ein Flaschenhals.
hth
Erik
Habe ich mir jetzt irgendwie auch gedacht. Äußerst bescheidenes Design dann.
Mir bleiben dann also zwei Möglichkeiten:
1. Möglichst wenige VLANs, die untereinander kommunizieren müssen. Also zum Beispiel: VLAN10 (Server und Clients) und VLAN20 (Untrusted), vielleicht noch VLAN30 (DMZ).
oder
2. Ich müsste meinen Core-Switch zu einem Layer 3 machen. Dank upgrade auf Routing Firmware wäre das sogar möglich (Ruckus 7250). Würde dann aber bedeuten, dass meine pfSense außen vor wäre und ich Routing/Firewall auf dem Switch machen müsste. Klingt irgendwie auch sehr bescheiden.
Mir bleiben dann also zwei Möglichkeiten:
1. Möglichst wenige VLANs, die untereinander kommunizieren müssen. Also zum Beispiel: VLAN10 (Server und Clients) und VLAN20 (Untrusted), vielleicht noch VLAN30 (DMZ).
oder
2. Ich müsste meinen Core-Switch zu einem Layer 3 machen. Dank upgrade auf Routing Firmware wäre das sogar möglich (Ruckus 7250). Würde dann aber bedeuten, dass meine pfSense außen vor wäre und ich Routing/Firewall auf dem Switch machen müsste. Klingt irgendwie auch sehr bescheiden.
dann muss man natürlich entsprechendes Routing einrichten
Nein, das ist Quatsch ! Routing ist nicht erforderlich. Jedenfalls nicht wenn wie HIER beschrieben die VLANs routingtechnisch direkt an der Firewall terminieren !Dann "kennt" die FW ja alle ihre IP Netze, logisch, denn sie sind ja direkt an sie angeschlossen ! Zusätzliches Routing wäre dann sinnfrei.
dass die Übertragung von Datei auf diesen Fileserver von den CLients ausgehend, auf die Bandbreite der pfSense beschränkt ist?
Ja, natürlich, denn die FW routet ja zwischen den VLANs. Wenn es dir hier auf Durchsatz ankommt solltest du die VLANs nicht von einer Firewall rozten lassen sondern immer von eimnem VLAN Layer 3 Switch wie es hier beschrieben ist:Verständnissproblem Routing mit SG300-28
Oder wenn du doch die Firewall vorziehst diese dann mit entsprechend potenten Interfaces versorgst.
Mit anderen Worten...du hast das richtig verstanden.
Äußerst bescheidenes Design dann.
Nein, Unsinn muss es nicht wenn du die FW entsprechend ausrüstest. Es gibt ja nicht 10G und 40G Interfaces.Alternatives Design dann mit einem L3 Switch !
Dank upgrade auf Routing Firmware wäre das sogar möglich (Ruckus 7250)
Ja, das kannst du kostenlos machen mit dem ICX !Diese hat sogar noch eine recht umfangreiche IP Accesslitsne Option mit der du auch Traffic entsprechend reglementieren kannst und das dann in Wirespeed.
Damit solltest du dann besser das Design wie aus dem o.a. Tutorial umsetzen:
Wäre dann die sinnigste Variante für dich !
So sähe eine grobe ICX Layer 3 Konfig mit den o.a. VLANs aus:
!
vlan 1 name Management by port
tagged ethe 49 to 50
router-interface ve 1
spanning-tree 802-1w
!
vlan 10 name Server
tagged ethe 49 to 50
router-interface ve 10
spanning-tree 802-1w
!
vlan 20 name Clients
tagged ethe 49 to 50
router-interface ve 20
spanning-tree 802-1w
!
vlan 30 name Drucker
tagged ethe 49 to 50
router-interface ve 30
spanning-tree 802-1w
!
lldp run
!
interface ve 1
ip address 10.1.1.1 255.255.255.0
!
interface ve 10
ip address 10.1.10.1 255.255.255.0
!
interface ve 20
ip address 10.1.20.1 255.255.255.0
!
interface ve 30
ip address 10.1.30.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 <IP-Firewall>
end
Moin,
Streng genommen wird da auch ein Routing eingerichtet.
So ist es. Wir hatten gerade das Problem in einer Einrichtung, dass die FW nicht mehr die zusätzlichen APs bedienen konnte, deshalb dauerhaft bei 100% Auslastung stand und deshalb das ganze Netz lahmte. Also wurde das nächst größere Modell gekauft und nun geht es wieder.
Liebe Grüße
Erik
Zitat von @aqui:
dann muss man natürlich entsprechendes Routing einrichten
Nein, das ist Quatsch ! Routing ist nicht erforderlich. Jedenfalls nicht wenn wie HIER beschrieben die VLANs routingtechnisch direkt an der Firewall terminieren !Streng genommen wird da auch ein Routing eingerichtet.
Äußerst bescheidenes Design dann.
Nein, Unsinn muss es nicht wenn du die FW entsprechend ausrüstest.So ist es. Wir hatten gerade das Problem in einer Einrichtung, dass die FW nicht mehr die zusätzlichen APs bedienen konnte, deshalb dauerhaft bei 100% Auslastung stand und deshalb das ganze Netz lahmte. Also wurde das nächst größere Modell gekauft und nun geht es wieder.
Liebe Grüße
Erik
Das sieht gut aus. So werde ich es machen. Danke
Wie denn nun ?? FW aufrüsten oder L3 Konzept ?
L3 Konzept. Für "FW aufrüsten" müsste man ordentlich Kohle in die Hand nehmen. Da sollte dann schon ein Xeon D mit entsprechenden Netzwerkschnittstellen her. Da bin ich bestimmt dann mit ~1500€ dabei. Solche Kosten wären vertretbar bei einem Unternehmen mit knapp 500 Mitarbeitern an einem Standort, aber nicht bei nur knapp 100. Darüber hinaus, ist ein potenter L3 Switch schon vorhanden.
Anfangs dachte ich an soetwas hier: https://geizhals.de/supermicro-x11sdv-8c-tp8f-retail-mbd-x11sdv-8c-tp8f- ...
Sollte ausreichend performant sein und noch Reserven haben, aber da bin ich alleine schon beim Board mit 1300€.
Es sei denn du hast einen günstigeren Tipp.
Anfangs dachte ich an soetwas hier: https://geizhals.de/supermicro-x11sdv-8c-tp8f-retail-mbd-x11sdv-8c-tp8f- ...
Sollte ausreichend performant sein und noch Reserven haben, aber da bin ich alleine schon beim Board mit 1300€.
Es sei denn du hast einen günstigeren Tipp.
Sowas wie das hier könnte man nehmen:
https://www.heise.de/select/ct/2016/20/1475231418179546
2 mal 10G würden ja reichen. Zur Not steckt man noch eine Mellanox ider besser eine preiswerte N-Base T Karte dazu dann hat man auch ein Interface für 1, 2.5, 5 und 10G auf Kupfer.
Aber letztlich ist das L3 Konzept skalierbarer.
Wenn du im Core einen 10G Layer 3 Switch nimmst wie z.B. den Mikrotik CRS 309
https://www.varia-store.com/de/produkt/34143-mikrotik-crs309-1g-8s-in-cl ...
Kannst du damit einen performaten L3 Core aufbauen. Bei 2 Switches sogar mit Redundanz ala:
Damit hast du ein allemal skalierbareres Konzept als mit einem zentralen Firewall Boliden.
Zu Mikrotiks haben zudem noch eine vollständige Firewall im Router OS integriert so das sie ihre 10G Firewall damit auch gleich an Bord haben
https://www.heise.de/select/ct/2016/20/1475231418179546
2 mal 10G würden ja reichen. Zur Not steckt man noch eine Mellanox ider besser eine preiswerte N-Base T Karte dazu dann hat man auch ein Interface für 1, 2.5, 5 und 10G auf Kupfer.
Aber letztlich ist das L3 Konzept skalierbarer.
Wenn du im Core einen 10G Layer 3 Switch nimmst wie z.B. den Mikrotik CRS 309
https://www.varia-store.com/de/produkt/34143-mikrotik-crs309-1g-8s-in-cl ...
Kannst du damit einen performaten L3 Core aufbauen. Bei 2 Switches sogar mit Redundanz ala:
Damit hast du ein allemal skalierbareres Konzept als mit einem zentralen Firewall Boliden.
Zu Mikrotiks haben zudem noch eine vollständige Firewall im Router OS integriert so das sie ihre 10G Firewall damit auch gleich an Bord haben
Hmm. Da sind jetzt einige sehr verlockende Optionen auf dem Tisch. Da muss ich drüber nachdenken.
Vor allem die Option mit CRS309 hat Ihren Reiz. Meine bisherigen ICX7250 im Stack würde ich dann nur noch für meine Server verwenden. Für reine Switch-Aufgaben sind die ICX ganz nett, aber die Weboberfläche wird relativ schnell in Sachen Firewall an Ihre Grenzen stoßen. Alles über das CLI machen... da wird man auch nicht fertig.
Vor allem die Option mit CRS309 hat Ihren Reiz. Meine bisherigen ICX7250 im Stack würde ich dann nur noch für meine Server verwenden. Für reine Switch-Aufgaben sind die ICX ganz nett, aber die Weboberfläche wird relativ schnell in Sachen Firewall an Ihre Grenzen stoßen. Alles über das CLI machen... da wird man auch nicht fertig.
Du musst das ja nicht via CLI machen. Die Mikrotiks konfiguriert man in der Regel immer über das grafische WinBox Tool:
https://mikrotik.com/download
Oder das onboard WebGUI.
Sieht dann so wie HIER aus. Die CRS Switches arbeiten problemlos mit den Ruckus ICX zusammen !
https://mikrotik.com/download
Oder das onboard WebGUI.
Sieht dann so wie HIER aus. Die CRS Switches arbeiten problemlos mit den Ruckus ICX zusammen !
Habe gerade mal nachgesehen, wie groß ich skalieren müsste. Demnach wäre CRS 309 mit zu wenigen Anschlüssen ausgestattet. Ich habe zwei IXC7250 im Stack und 8x SG300 (Etagenverteiler, Client Access) anzubinden. Da bei einem HA schonmal mindestens ein SFP-Slot weg wäre (zwei, wenn man noch redundanz bei der Leitungsführung möchte), wäre da nicht genug Platz.
Ich würde auch bei den SG300 auf Redundanz verzichten und wenn dann nur die ICX7250 redundant anbinden. Manuelles Umstecken im Havarie-Fall ist auch kein Thema und sollte Hardware defekt sein, kann man mit einem Tag Reaktion gut leben. Sonst wüsste ich nicht wie ich es machen sollte.
Ich würde auch bei den SG300 auf Redundanz verzichten und wenn dann nur die ICX7250 redundant anbinden. Manuelles Umstecken im Havarie-Fall ist auch kein Thema und sollte Hardware defekt sein, kann man mit einem Tag Reaktion gut leben. Sonst wüsste ich nicht wie ich es machen sollte.
Ich werde wohl einen davon nehmen: https://geizhals.de/mikrotik-routerboard-crs300-dual-boot-rackmount-10g- ...
Und dann nur die ICX7250 redundant anbinden., da dort die Server dranhängen. Wenn da einer abschmiert oder das SFP-Modul im Eimer ist, geht es wenigstens mit einem weiter.
Kann man das so machen?
Und dann nur die ICX7250 redundant anbinden., da dort die Server dranhängen. Wenn da einer abschmiert oder das SFP-Modul im Eimer ist, geht es wenigstens mit einem weiter.
Kann man das so machen?
Ich habe zwei IXC7250 im Stack
Bei einer linearen Stack Konfig und einer vollen 10G Port Lizensierung hättest du ja dann noch 14 freie 10Gig Ports zur Verfügung. Reicht das nicht ?Was ja etwas Perlen vor die Säue wäre wenn du die dortigen 10Gig Ports nur mit 1G an die SG300er nutzt.
Da wäre es dann sinnvoller noch einen weiterne einfachen 24er 7250 zusätzlich in den Stack mit reinzunehmen, an dem nur 2 10G Ports zu lizensieren (Default) zum Stacking und dort die SG-300er zu terminieren um mehr 10G Ports auf dem Stack dann freizubekommen.
Allerdings passiert das dann auf Kosten der Redundanz
Kann man das so machen?
Ja, das wäre in deinem Setup das Sinnigste.Du belässt die SG300 redundant per LACP LAG am Stack und schliesst über die beiden Stack Member redundant den CRS317 über 10Gig an quasi genau wie einen SG300 Access Switch. Schade ist dann eben das man die 10G Ports an den ICX dann brach liegen lässt und nur mit 1Gig nutzt.
Damit ist der CRS 317 dann redundant angebunden und du hast 14 freie 10G Ports.
Vom Budget her wäre das so die preiswerteste Option an weitere und möglichst viele 10G Ports zu kommen.
Du hasst Recht. Ich werde noch einen weiteren 7250-24 ordern. Bei mir sind die aber derzeit nur mit der kleinen 10G-Lizenz (zwei mal 10G) ausgestattet. Dann werde ich auf Router Firmware wechseln. Dann hätte ich einen Dreier Stack und würde einen der Stack-Member nur mit einer Verbindung betreiben, was ausreicht. Somit hätte ich genügend Anschlüsse.
Die Oberfläche von Brocade/Ruckus ist zwar nicht gerade ein Augenschmaus, aber für die einmalige Konfiguration wird es reichen.
Die Oberfläche von Brocade/Ruckus ist zwar nicht gerade ein Augenschmaus, aber für die einmalige Konfiguration wird es reichen.
nur mit der kleinen 10G-Lizenz (zwei mal 10G) ausgestattet.
Da solltest du dann besser gleich die 8er mit dazuordern.Die Oberfläche von Brocade/Ruckus ist zwar nicht gerade ein Augenschmaus
Nutzt du etwa das gruselige WebGUI ?!Shame on you ! Sowas macht der Netzwerk Admin immer mit dem CLI !! Da hat man das in der Hälfte der Zeit laufen als was die Klicki Bunti Klickerei erfordert !
Ich mag im Firewall-Bereich und auch beim Routing so Sachen wie OPNsense oder pfSense sehr. Nicht weil ich auf dieses Klickibunti so abfahre, sondern einfach der Übersicht wegen. Aber ja, du hast Recht.
Da ist das ja auch absolut OK aber doch nicht bei einem Switch. Zumal der auch noch ein Cisco like CLI hat was ja Netzwerker auf der ganzen Welt verstehen...
