Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Allgemeine Frage zu dem Routing auf Switchen

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

14.11.2017 um 11:53 Uhr, 456 Aufrufe, 5 Kommentare

Moin,

wenn man einen redundanten Aufbau von Core-Switchen und Clientswitchen hat (ich meine die Skizze von aqui, die ich derzeit nicht finde), dann wird das Routing (VRRP) auf den Core-Switchen durchgeführt. Meine Frage ist, warum macht das nicht an die Clientswitchen?

Die nächste Frage ist, wo wird dann am sinnvollsten die Firewall angeschlossen? Oben an den Core-Switchen oder unten an den Clientswitchen?
Mitglied: chiefteddy
LÖSUNG 14.11.2017 um 13:20 Uhr
Hallo,

aus Kostengründen setzt man für den Anschluß der Clients L2-Switche ein. Damit erübrigt sich die Frage, warum nicht dort geroutet wird.
Außerdem läßt sich ein zentrales Routing über den Core-Switch leichter administrieren. Auch hinsichtlich der Sicherheit (zB. ACL).

Die Firewall bzw. der Internet-Zugang sollte aus Performanz-Gründen vom Core-Switch abgehen.

Jürgen.
Bitte warten ..
Mitglied: RalphT
14.11.2017 um 13:48 Uhr
Zitat von chiefteddy:

Hallo,

aus Kostengründen setzt man für den Anschluß der Clients L2-Switche ein. Damit erübrigt sich die Frage, warum nicht dort geroutet wird.
Außerdem läßt sich ein zentrales Routing über den Core-Switch leichter administrieren. Auch hinsichtlich der Sicherheit (zB. ACL).

Die Firewall bzw. der Internet-Zugang sollte aus Performanz-Gründen vom Core-Switch abgehen.

Jürgen.

Danke Dir, für die Info. Auf die Idee mit nur L2-Switchen aus Kostengründen bin ich nicht gekommen. Eine Frage noch:
Wie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten. Würde das noch den Aufwand rechtfertigen?
Bitte warten ..
Mitglied: Deepsys
LÖSUNG 14.11.2017 um 16:05 Uhr
Zitat von chiefteddy:
Wie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten. Würde das noch den Aufwand rechtfertigen?
Ein Klares "kommt drauf an", wenn du an der Firewall eh nur 50Mbit/s hast und keine "dicken" andere Netze ist das völlig egal wo die steht.
Auch der Uplink zwischen den Switchen ist wichtig.
Auch ein "Core-Switch" hat in kleineren Umgebungen noch Clients dranhängen, warum sollte ich die Ports verschwenden.

In einem Netz wo überall 1GbE isst, dürfte es auch egal sein wo die hängt. Nur was wo an der Firewall hängt ist nicht egal

VG,
Deepsys
Bitte warten ..
Mitglied: 108012
LÖSUNG 15.11.2017, aktualisiert um 02:50 Uhr
Hallo,

wenn man einen redundanten Aufbau von Core-Switchen und Clientswitchen hat
Was hast Du denn genau vor Ort an Hardware? (Router, Switche, Klienten, ISP und/oder Firewalls)
Was möchtest Du wirklich erledigen oder aufbauen?
Welche Layer hast Du denn? (Core, Distribution, Access)

(ich meine die Skizze von aqui, die ich derzeit nicht finde),
Link 1
Link 2
Link 3
Link 4

dann wird das Routing (VRRP) auf den Core-Switchen durchgeführt.
Ist richtig aber es gibt auch noch andere Protokolle und die sind auch nicht ohne bzw. gut zu gebrauchen, es
kommt also immer auch ein wenig darauf an was man für Hardware hat und was man damit anstellen will!!!
Was können die Router oder die Firewalls?
Was ist das für ein Internetzugang?
Was bietet der ISP noch alles an? (BGP, AS, routet Subnet,....)

Meine Frage ist, warum macht das nicht an die Clientswitchen?
Wie schon erwähnt es kommt immer auf die komplette Infrastruktur an. Und sicherlich gibt es Betriebe die
auch bis hinunter auf die Access Layer Ebene solche Switche einsetzen die alle Layer3 sind und auch alle
VRRP/HSRP/VSRP/BGP/OSPF/RIP/PBR können. Also das ist eben eine Sache von Erfordernissen her und
nicht von einer einzigen Struktur her. Wenn ich das brauche und/oder den Durchsatz über alle Ebenen und
Layer voll aufrecht erhalten möchte oder muss, dann kaufe ich eben solche Switche die das bereitstellen
oder bewerkstelligen können.

Die nächste Frage ist, wo wird dann am sinnvollsten die Firewall angeschlossen?
Internet --- Firewall oder Router --- Core Switche --- Distribution Switche --- Access Switche
Internet --- Firewall oder Router --- Core Switche --- Access Switche
Internet --- Core Switche --- Distribution Switche --- Access Switche
Internet --- Core Switche --- Access Switche

Oben an den Core-Switchen oder unten an den Clientswitchen?
Oberhalb der Core Switche macht es natürlich richtig Sinn und Verstand, denn wenn die Firewall(s) oder die/der Router
auch VRRP/HSRP/BGP/OSPF/RIP/PBR können dann kann man sicherlich damit auch noch von diesen Geräten bis auf
die Core Ebene oder wenn benötigt auch noch tiefer bis hinunter auf die Access Ebene alles gleichermaßen verteilen.

Danke Dir, für die Info. Auf die Idee mit nur L2-Switchen aus Kostengründen bin ich nicht gekommen.
Wenn Du 5 Switch Stapel (Switch Stacks) hast und die alle von den beiden oder mehreren Core Switche routen
lässt ist das auch nicht so das wahre denn ab einer gewissen Last sollte man dann schon einen Layer3 Switch
haben der den Switch Stapel routet und alle Stapel werden dann an die Core Switche angebunden. Sollte aus
irgend welchen Gründen dieser Stapel "Router" ausfallen geht wieder die gesamte Last des Stapels auf den
Core über, wenn das nicht passieren darf, nimmt man sinniger Weise alles Layer3 Switche (Access) und
bildet damit dann einen Stapel und wenn nun ein Switch (Master) ausfällt, dann übernimmt ein weiterer
(Slave) den gesamten Stapel (das Routing), das funktioniert natürlich nur wenn alle Layer3 Switche sing!

Also jeder wie er es braucht und haben muss.

Eine Frage noch:
Wie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten.
Würde das noch den Aufwand rechtfertigen?
Wie man da etwas dran anschließt ist doch erst einmal egal, oder? Nur ich würde dann lieber immer die Firewall
oder den Router direkt an das Internet und an die Core Switche dran anschließen wollen und ja dafür würde ich
auch Kabel ziehen wollen. Habt Ihr auch mehrere Router oder Firewalls als HA oder im Cluster-Betrieb laufen?

Gruß
Dobby
Bitte warten ..
Mitglied: RalphT
15.11.2017 um 08:33 Uhr
Hallo Dobby,

auch noch mal vielen Dank für die doch sehr ausführliche Antwort.

Leider kann ich hier nicht sagen, was an Hardware vorhanden ist, da ich derzeit nichts plane. Das ganze war nur ein Gedankenspiel von mir.

Mir ist öfters beim Lesen, immer die Skizze mit der der rendundaten Switchkombination aufgefallen. Und da hatte ich mir Gedanken gemacht, wo man denn am sinnvollsten die Firewall anschließen kann.
Nun habe ich heute gelernt, dass kann man anhand der Skizze nicht pauschal beantworten. Hier kommt es darauf an, welche Hardware zur Verfügung steht und was man letztendlich erreichen will.
Hier steht auf jeden Fall zu diesem Thema viel Input drin.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Switchkonfiguration Allgemeine Frage
gelöst Frage von YannoschLAN, WAN, Wireless4 Kommentare

Hallo liebe Community :) habe eine kurze Frage bezüglich einer Switchkonfiguratio - ich hoffe diese Frage lässt sich allgemein ...

DNS
DNS Domain - Allgemeine Frage
Frage von staybbDNS9 Kommentare

Hallo, ich habe eher eine allgemeine Frage zur Funktion von DNS mit Top Level Domains. Wenn ich zum Beispiel ...

Server-Hardware
Allgemeine Frage zu Flexpod
Frage von slanskyServer-Hardware1 Kommentar

Hallo Leute, wir wollen unsere bestehende Infrastruktur gegen eine Flexpodsystem (Cisco UCS, VM-Ware, NetApp) tauschen. Hat von euch jemand ...

Sicherheitsgrundlagen

Fragen zu SRP im allgemeinen und speziellen

Frage von StefanKittelSicherheitsgrundlagen2 Kommentare

Hallo, SRP ist ja eine feine Sache. Damit lassen sich nur noch vorher festgelegte Programme ausführen. Dazu habe ich ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 StundeWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 6 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 20 StundenSicherheit7 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing26 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless20 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...