Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

4 Switche oder einen bzw. zwei große HA Switche kaufen

Frage Netzwerke Cluster

Mitglied: nightwishler

nightwishler (Level 2) - Jetzt verbinden

26.11.2014, aktualisiert 10.12.2014, 1582 Aufrufe, 9 Kommentare

Hi, ich habe ein Objekt wo es 2 WAN Leitungen gibt. einmal die Hauptleitung und eine Notfallleitung.
nach der WAN Leitung ist je ein Switch eingebaut (insgesamt also 2 5-port Switche) wovon jeweils ein Kabel Richtung Firewall1/Router1 läuft und ein Kabel Richtung Firewall2/Router2. (Eingang WAN1 & WAN2)
--> Die 2 Firewalls laufen im HA Modus, kommunizieren miteinander und schalten auch um. das klappt soweit alles.

Nach den Routern laufen die Kabel pro Firmeninternen Netz in einen separaten Switch ... (macht also nochmal 2 Switche... da 2 getrennte Netze)
von einem geht's dann 30 Meter weiter auf einen Büro-Verteiler Switch und vom anderen geht's ins Nachbar Gebäude. (das sind unterschiedliche Netze)

ich hoffe ihr seid mitgekommen *g*

Meine Frage an der Stelle, kann man das irgendwie verbessern? mir sind das zu viel Switche, zu viel Störquellen.
Zum Büroverteiler Switch ist wenn es eng wird ein 10GBit Uplink geplant... noch reicht der 1Gbit Port aus...

kann ich z.b. die 2 kommenden (unterschiedlichen) WAN Leitungen in einen Switch stecken und per VLAN trennen?!
oder kann ich theoretisch nicht hinter den 2 Routern die Switch ersetzen gegen 2 HA/Cluster Switche und diese per VLAN trennen?!
so hab ich zwar auch wieder 2 Switche, aber mehr Ausfall Sicherheit...

vielleicht habt ihr ja den passenden Denkanstoß für mich
danke
Mitglied: Dani
LÖSUNG 26.11.2014, aktualisiert 10.12.2014
Moin,
Meine Frage an der Stelle, kann man das irgendwie verbessern? mir sind das zu viel Switche, zu viel Störquellen.
Stell dir folgendes vor: FW1 fällt aus. Mit diesem Design kann weiterin FW2 auf WAN1 arbeiten und somit steht Bandbreite ohne Einschränkungen zu Verfügung.
Fällt WAN1 aus, greift FW1 auf WAN2 zu. Somit entfällt hier der Failover auf FW2 und somit gehen keine Sessions im LAN verloren. Beide Switches auf unterschiedliche USVs und gut ist. Das beide Switches parallel defekt sind, ist unwahrscheinlich.

kann ich z.b. die 2 kommenden (unterschiedlichen) WAN Leitungen in einen Switch stecken und per VLAN trennen?!
Ist dieser Switch defekt oder hat ein Problem, sind beide WAN-Leitungen tot. Da kannste dir die zwei Firewall sparen.

oder kann ich theoretisch nicht hinter den 2 Routern die Switch ersetzen gegen 2 HA/Cluster Switche und diese per VLAN trennen?!
Das macht schon eher Sinn. Wir nutzen Switche die eine logische Einheit bilden. Somit kann man die Switches per Trunk anfahren und braucht kein (R)STP.


Gruß,
Dani
Bitte warten ..
Mitglied: nightwishler
26.11.2014 um 11:11 Uhr
ja der gedanke mit den Switchen vor der Firewall kam mir auch grad... sprich ist ein Switch tot, erhält die FW1 kein Signal auf WAN1 und geht auf WAN2 was ja der andere Switch wäre... das macht wirklich mehr Sinn als einer der wegsterben könnte... - also bleibt das erste Konstrukt so...

mh... hab ein Angebot über einen 48port HA Cluster Switch (also 2 a 48port Switche) mit 10GB Uplink... für knappe 6500...
such aktuell noch die preise für vergleichbare Cisco catalyst Switche -.-
Bitte warten ..
Mitglied: nightwishler
26.11.2014, aktualisiert um 12:16 Uhr
zitat: Somit kann man die Switches per Trunk anfahren und braucht kein (R)STP.

da komm ich nicht so ganz mit... also ich weiß was es ist... aber wie ist es gemeint?
Spanning Tree war/ist mir bekannt als --> wenn die eine Leitung/der Weg nicht geht dann nimm die/den andere(n)...
und Trunk --> da war angedacht die 4 NIC's pro Server zu bündeln/trunken und auf den Switch zu legen, bzw bei dem HA-Switch Model müßt ich 2x 2 NIC's trunken mit gleichen IP Informationen und 1 Trunk auf Switch-HA-1 und ein Trunk auf Switch-HA-2... Sprich pro Server je 2 Ports pro HA-Switch...
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.11.2014, aktualisiert 10.12.2014
Die 2 Firewalls laufen im HA Modus, kommunizieren miteinander und schalten auch um. das klappt soweit alles.
Wenn sie nur das machen wäre das sehr schlecht. Normal würde man hier immer ein Line Balancing machen. Gute Firewalls können sowas das sie nicht nur im Ausfall umschlaten sondern auch den gesamten Netztraffic paritätisch auf die beiden Leitungen zu verteilen für die du ja bezahlst.
Das bewirkt eine Performance Erhöhung und die sinnhafte Nutzung dieser 2 Leitungen. Nur doof Umschalten wäre ja recht unintelligent für so ein Design !
Nach den Routern laufen die Kabel pro Firmeninternen Netz in einen separaten Switch
Müsste auch nicht sein, denn das könnte man mit einer Infrastruktur und 2 getrennten VLANs effizienter und preiswerter lösen !
ich hoffe ihr seid mitgekommen *g*
Fällt einem ja nicht schwer bei solch einem banalen Netzdesign.....!
kann man das irgendwie verbessern?
Ja natürlich ! Die Antwort hast du dir schon selber gegeben:
  • Beschaffe 2 Switches die Stack fähig sind z.B. Cisco SG-500, Brocade ICX 6430 (6450 bei 10 GiG) oder was auch immer... Wichtig ist die Stackfähigkeit und nicht so ein Billigstack mit nur gemeinsamer IP wie bei billigen HPs.
  • Richte für die 2 Firmen 2 VLANs ein
  • Von den Firewalls gehst du mit Link Aggregation auf jeweils einen Stack memeber. So hast du Redundanz bei gleichzeitigem Backup
  • Tagged Trunks auf die bestehenden Büroswitches
  • Wichtig: Link Load Balancing einrichten, damit du nicht nur eine Verteilung des Internet Traffics hast sondern auch gleichzeitiges Backup. Fast alle Firewalls können das.
Das wäre in einer Kurzbeschreinung eine sinnvolle "State of the Art" Lösung für sowas.
Bitte warten ..
Mitglied: nightwishler
09.12.2014 um 16:02 Uhr
hi, lang hats gedauert, Thema ist aber noch aktuell...
Thema Fireall und LineBalancing: JA das war eine Option. das nennt sich in der Firewall entweder Active-active HA oder active-passive HA
der Vorteil bei active-active is das der traffic geteilt wird auf beide Geräte. der Nachteil wäre das gewisse Sessions neu gestartet werden müssen im Falle eines Ausfalls.
der Vorteil von active-passive ist das jede Session auch auf der 2.ten Firewall vorhanden ist... stirbt die erste ist alles mit einer Unterbrechung von unter 5 Sekunden glaub ich umgeschaltet... - es war seitens der Geschäftsleitung so gewünscht... die 2.te WAN Leitung ist eh nur ne kleine Leitung damit überhaupt was geht im Falle des Falles...

die VLAN Auftrennung/Teilung lass ich erst mal außen vor bis alles soweit steht und HA fähig ist, sprich bis meine Hausaufgaben gemacht sind...

Wenn ich mich nun für 2 SG500-28 (24+4 Ports) entscheiden würde. Wäre ich gewappnet gegen Netzteil Tod und gegen Switch(Elektronik) Tod oder? sofern die Anschlüsse richtig verteilt sind...

die Switche stacke ich über Port 25-28
Firewall 1 geht in den ersten SG500, Firewall 2 geht in den zweiten SG-500 (die Firewalls haben zwar 7 Output Ports, allerdings pro Port nur ein unique Netz möglich... andernfalls müsste die Firewall als Switch geschaltet werden wodurch ich wieder andere dinge verliere...
und die Server gehen je mit 2 LAN-Kabel in SG500-nr1 und mit 2 Kabel in SG500-nr2 und am Server sind die 4 NIC's gebündelt... richtig?

den vorhandenen 48gig Switch (netgear) schließe ich per 4facher Kanal Bündelung an jeweils 2x sg500-nr1 und 2x sg500-nr2 ... dann müsste ich mindestens theoretische 2000Gbit/s pro Richtung haben (fullDuplex)...

ich hoffe ich habs soweit richtig verstanden...
so stell ich es mir zumindest gerade bildlich vor...
wenn das alles steht und klappt würde ich das 2.te LAN dranbringen und dazu dann auch VLAN einführen...

habe heute mit netio gemessen - grauenvoll... aktuell durch 3 Gbit/s Switche hindurch bleiben 15-20MByte übrig
und nein, ich habe diese Struktur nicht aufgebaut, ich darf nur Fehler suchen ;)

TCP connection established ...
Receiving from client, packet size 1k ... 14.64 MByte/s
Sending to client, packet size 1k ... 15.16 MByte/s
Receiving from client, packet size 2k ... 9729.30 KByte/s
Sending to client, packet size 2k ... 15.49 MByte/s
Receiving from client, packet size 4k ... 10.37 MByte/s
Sending to client, packet size 4k ... 14.76 MByte/s
Receiving from client, packet size 8k ... 16.78 MByte/s
Sending to client, packet size 8k ... 17.29 MByte/s
Receiving from client, packet size 16k ... 19.19 MByte/s
Sending to client, packet size 16k ... 17.34 MByte/s
Receiving from client, packet size 32k ... 20.69 MByte/s
Sending to client, packet size 32k ... 18.38 MByte/s

UDP connection established ...
Receiving from client, packet size 1k ... 9047.97 KByte/s
Sending to client, packet size 1k ... 111.21 MByte/s
Receiving from client, packet size 2k ... 10.64 MByte/s
Sending to client, packet size 2k ... 111.52 MByte/s
Receiving from client, packet size 4k ... 12.60 MByte/s
Sending to client, packet size 4k ... 111.52 MByte/s
Receiving from client, packet size 8k ... 7611.13 KByte/s
Sending to client, packet size 8k ... 103.43 MByte/s
Receiving from client, packet size 16k ... 13.90 MByte/s
Sending to client, packet size 16k ... 103.89 MByte/s
Receiving from client, packet size 32k ... 16.30 MByte/s
Sending to client, packet size 32k ... 99.38 MByte/s
Bitte warten ..
Mitglied: nightwishler
09.12.2014, aktualisiert um 16:39 Uhr
Nachtrag: die internen Firewall regeln (allow/deny) kann ich dann ja von der Firewall HA Config auf den sg500 Stack auslagern oder?! würde ja mehr sinn machen da besser definierbar...
Bitte warten ..
Mitglied: aqui
09.12.2014 um 17:19 Uhr
Ja, kann man machen und den ganzen Rest hast du perfekt richtig verstanden !
Bitte warten ..
Mitglied: nightwishler
09.12.2014 um 17:47 Uhr
ich bin erschrocken über mich Oo
ok, dann muss ich nur noch entscheiden ob 2x 24 ports oder 2x 48... wobei ich stand jetzt nur auf 23 genutzte Ports komme ... pro Switch 11 und die usv oben drauf
wenn das wirklich so funktioniert das beide sg500 aktiv arbeiten dann dürften die 2 sg500-24 ja genug Reserven an ports haben...

und ob POE nun mit rein soll oder nicht - sprich sg500-24p oder mpp - ich denke die Entscheidung wird mir die Geschäftsleitung abnehmen ;)

auf jeden ein riesen Dankeschön an alle und vor allem mal wieder an aqui
Bitte warten ..
Mitglied: aqui
10.12.2014 um 11:50 Uhr
ich bin erschrocken über mich Oo
Das solltest du nicht sein sondern stolz das du alles verstanden hast
ok, dann muss ich nur noch entscheiden ob 2x 24 ports oder 2x 48.
Denk immer an die Zukunft. Man kann nie genug Ports haben und wenn du ein neues performantes Netz designst schafft das auch Begehrlichkeiten.
Aber um mal realistisch zu bleiben...wenn du jetzt in Summe 23 Ports hast aber im 2mal 24 Stack dann nachher 48 bist du gut ausgerüstet. Da wir hier im Forum aber alle nicht hellsehen können wieviel Ports du in Zukunft brauchst kann dir diese Frage logischerweise niemand außer dir selber oder deine Firma beantworten !
und ob POE nun mit rein soll oder nicht
Nein, niemals die Geschäftsleitung entscheiden lassen denn das sind Kaufleute und die sagen nein.
Deine Aufgabe ist es als IT Verantwortlicher denen den Mehrwert aufzuzeigen das du bei zukünftiger geplanter VoIP oder WLAN Installation Kosten sparst weil du diese Endgeräte alle mit PoE versorgen kannst !
Mindestens ein Switch im Stack sollte immer mit PoE ausgerüstet sein deshalb. Auch wenn man es vielleicht ad hoc noch nicht nutzt.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Batch & Shell
CSV Stapelverarbeitung mit Filterfunktion für große Datenmengen (8)

Frage von Rippchen zum Thema Batch & Shell ...

Microsoft
Surface Geräte mieten statt kaufen

Link von runasservice zum Thema Microsoft ...

Windows Server
Große Dateien mit externen Partnern bearbeiten (4)

Frage von Matsushita zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...