5
Allgemeine Frage zu dem Routing auf Switchen
Moin,
wenn man einen redundanten Aufbau von Core-Switchen und Clientswitchen hat (ich meine die Skizze von aqui, die ich derzeit nicht finde), dann wird das Routing (VRRP) auf den Core-Switchen durchgeführt. Meine Frage ist, warum macht das nicht an die Clientswitchen?
Die nächste Frage ist, wo wird dann am sinnvollsten die Firewall angeschlossen? Oben an den Core-Switchen oder unten an den Clientswitchen?
wenn man einen redundanten Aufbau von Core-Switchen und Clientswitchen hat (ich meine die Skizze von aqui, die ich derzeit nicht finde), dann wird das Routing (VRRP) auf den Core-Switchen durchgeführt. Meine Frage ist, warum macht das nicht an die Clientswitchen?
Die nächste Frage ist, wo wird dann am sinnvollsten die Firewall angeschlossen? Oben an den Core-Switchen oder unten an den Clientswitchen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 354791
Url: https://administrator.de/contentid/354791
Printed on: April 19, 2024 at 20:04 o'clock
5 Comments
Latest comment
Hallo,
aus Kostengründen setzt man für den Anschluß der Clients L2-Switche ein. Damit erübrigt sich die Frage, warum nicht dort geroutet wird.
Außerdem läßt sich ein zentrales Routing über den Core-Switch leichter administrieren. Auch hinsichtlich der Sicherheit (zB. ACL).
Die Firewall bzw. der Internet-Zugang sollte aus Performanz-Gründen vom Core-Switch abgehen.
Jürgen.
aus Kostengründen setzt man für den Anschluß der Clients L2-Switche ein. Damit erübrigt sich die Frage, warum nicht dort geroutet wird.
Außerdem läßt sich ein zentrales Routing über den Core-Switch leichter administrieren. Auch hinsichtlich der Sicherheit (zB. ACL).
Die Firewall bzw. der Internet-Zugang sollte aus Performanz-Gründen vom Core-Switch abgehen.
Jürgen.
Zitat von @chiefteddy:
Hallo,
aus Kostengründen setzt man für den Anschluß der Clients L2-Switche ein. Damit erübrigt sich die Frage, warum nicht dort geroutet wird.
Außerdem läßt sich ein zentrales Routing über den Core-Switch leichter administrieren. Auch hinsichtlich der Sicherheit (zB. ACL).
Die Firewall bzw. der Internet-Zugang sollte aus Performanz-Gründen vom Core-Switch abgehen.
Jürgen.
Hallo,
aus Kostengründen setzt man für den Anschluß der Clients L2-Switche ein. Damit erübrigt sich die Frage, warum nicht dort geroutet wird.
Außerdem läßt sich ein zentrales Routing über den Core-Switch leichter administrieren. Auch hinsichtlich der Sicherheit (zB. ACL).
Die Firewall bzw. der Internet-Zugang sollte aus Performanz-Gründen vom Core-Switch abgehen.
Jürgen.
Danke Dir, für die Info. Auf die Idee mit nur L2-Switchen aus Kostengründen bin ich nicht gekommen. Eine Frage noch:
Wie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten. Würde das noch den Aufwand rechtfertigen?
Wie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten. Würde das noch den Aufwand rechtfertigen?
Ein Klares "kommt drauf an", wenn du an der Firewall eh nur 50Mbit/s hast und keine "dicken" andere Netze ist das völlig egal wo die steht.Auch der Uplink zwischen den Switchen ist wichtig.
Auch ein "Core-Switch" hat in kleineren Umgebungen noch Clients dranhängen, warum sollte ich die Ports verschwenden.
In einem Netz wo überall 1GbE isst, dürfte es auch egal sein wo die hängt. Nur was wo an der Firewall hängt ist nicht egal
VG,
Deepsys
Hallo,
Was möchtest Du wirklich erledigen oder aufbauen?
Welche Layer hast Du denn? (Core, Distribution, Access)
Link 2
Link 3
Link 4
kommt also immer auch ein wenig darauf an was man für Hardware hat und was man damit anstellen will!!!
Was können die Router oder die Firewalls?
Was ist das für ein Internetzugang?
Was bietet der ISP noch alles an? (BGP, AS, routet Subnet,....)
auch bis hinunter auf die Access Layer Ebene solche Switche einsetzen die alle Layer3 sind und auch alle
VRRP/HSRP/VSRP/BGP/OSPF/RIP/PBR können. Also das ist eben eine Sache von Erfordernissen her und
nicht von einer einzigen Struktur her. Wenn ich das brauche und/oder den Durchsatz über alle Ebenen und
Layer voll aufrecht erhalten möchte oder muss, dann kaufe ich eben solche Switche die das bereitstellen
oder bewerkstelligen können.
Internet --- Firewall oder Router --- Core Switche --- Access Switche
Internet --- Core Switche --- Distribution Switche --- Access Switche
Internet --- Core Switche --- Access Switche
auch VRRP/HSRP/BGP/OSPF/RIP/PBR können dann kann man sicherlich damit auch noch von diesen Geräten bis auf
die Core Ebene oder wenn benötigt auch noch tiefer bis hinunter auf die Access Ebene alles gleichermaßen verteilen.
lässt ist das auch nicht so das wahre denn ab einer gewissen Last sollte man dann schon einen Layer3 Switch
haben der den Switch Stapel routet und alle Stapel werden dann an die Core Switche angebunden. Sollte aus
irgend welchen Gründen dieser Stapel "Router" ausfallen geht wieder die gesamte Last des Stapels auf den
Core über, wenn das nicht passieren darf, nimmt man sinniger Weise alles Layer3 Switche (Access) und
bildet damit dann einen Stapel und wenn nun ein Switch (Master) ausfällt, dann übernimmt ein weiterer
(Slave) den gesamten Stapel (das Routing), das funktioniert natürlich nur wenn alle Layer3 Switche sing!
Also jeder wie er es braucht und haben muss.
oder den Router direkt an das Internet und an die Core Switche dran anschließen wollen und ja dafür würde ich
auch Kabel ziehen wollen. Habt Ihr auch mehrere Router oder Firewalls als HA oder im Cluster-Betrieb laufen?
Gruß
Dobby
wenn man einen redundanten Aufbau von Core-Switchen und Clientswitchen hat
Was hast Du denn genau vor Ort an Hardware? (Router, Switche, Klienten, ISP und/oder Firewalls)Was möchtest Du wirklich erledigen oder aufbauen?
Welche Layer hast Du denn? (Core, Distribution, Access)
(ich meine die Skizze von aqui, die ich derzeit nicht finde),
Link 1Link 2
Link 3
Link 4
dann wird das Routing (VRRP) auf den Core-Switchen durchgeführt.
Ist richtig aber es gibt auch noch andere Protokolle und die sind auch nicht ohne bzw. gut zu gebrauchen, eskommt also immer auch ein wenig darauf an was man für Hardware hat und was man damit anstellen will!!!
Was können die Router oder die Firewalls?
Was ist das für ein Internetzugang?
Was bietet der ISP noch alles an? (BGP, AS, routet Subnet,....)
Meine Frage ist, warum macht das nicht an die Clientswitchen?
Wie schon erwähnt es kommt immer auf die komplette Infrastruktur an. Und sicherlich gibt es Betriebe dieauch bis hinunter auf die Access Layer Ebene solche Switche einsetzen die alle Layer3 sind und auch alle
VRRP/HSRP/VSRP/BGP/OSPF/RIP/PBR können. Also das ist eben eine Sache von Erfordernissen her und
nicht von einer einzigen Struktur her. Wenn ich das brauche und/oder den Durchsatz über alle Ebenen und
Layer voll aufrecht erhalten möchte oder muss, dann kaufe ich eben solche Switche die das bereitstellen
oder bewerkstelligen können.
Die nächste Frage ist, wo wird dann am sinnvollsten die Firewall angeschlossen?
Internet --- Firewall oder Router --- Core Switche --- Distribution Switche --- Access SwitcheInternet --- Firewall oder Router --- Core Switche --- Access Switche
Internet --- Core Switche --- Distribution Switche --- Access Switche
Internet --- Core Switche --- Access Switche
Oben an den Core-Switchen oder unten an den Clientswitchen?
Oberhalb der Core Switche macht es natürlich richtig Sinn und Verstand, denn wenn die Firewall(s) oder die/der Routerauch VRRP/HSRP/BGP/OSPF/RIP/PBR können dann kann man sicherlich damit auch noch von diesen Geräten bis auf
die Core Ebene oder wenn benötigt auch noch tiefer bis hinunter auf die Access Ebene alles gleichermaßen verteilen.
Danke Dir, für die Info. Auf die Idee mit nur L2-Switchen aus Kostengründen bin ich nicht gekommen.
Wenn Du 5 Switch Stapel (Switch Stacks) hast und die alle von den beiden oder mehreren Core Switche routenlässt ist das auch nicht so das wahre denn ab einer gewissen Last sollte man dann schon einen Layer3 Switch
haben der den Switch Stapel routet und alle Stapel werden dann an die Core Switche angebunden. Sollte aus
irgend welchen Gründen dieser Stapel "Router" ausfallen geht wieder die gesamte Last des Stapels auf den
Core über, wenn das nicht passieren darf, nimmt man sinniger Weise alles Layer3 Switche (Access) und
bildet damit dann einen Stapel und wenn nun ein Switch (Master) ausfällt, dann übernimmt ein weiterer
(Slave) den gesamten Stapel (das Routing), das funktioniert natürlich nur wenn alle Layer3 Switche sing!
Also jeder wie er es braucht und haben muss.
Eine Frage noch:
Wie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten.
Würde das noch den Aufwand rechtfertigen?
Wie man da etwas dran anschließt ist doch erst einmal egal, oder? Nur ich würde dann lieber immer die FirewallWie ist das, wenn die Firewall leider am falschen Platz steht und in diesem Fall Kabel verlegt werden müssten.
Würde das noch den Aufwand rechtfertigen?
oder den Router direkt an das Internet und an die Core Switche dran anschließen wollen und ja dafür würde ich
auch Kabel ziehen wollen. Habt Ihr auch mehrere Router oder Firewalls als HA oder im Cluster-Betrieb laufen?
Gruß
Dobby
Hallo Dobby,
auch noch mal vielen Dank für die doch sehr ausführliche Antwort.
Leider kann ich hier nicht sagen, was an Hardware vorhanden ist, da ich derzeit nichts plane. Das ganze war nur ein Gedankenspiel von mir.
Mir ist öfters beim Lesen, immer die Skizze mit der der rendundaten Switchkombination aufgefallen. Und da hatte ich mir Gedanken gemacht, wo man denn am sinnvollsten die Firewall anschließen kann.
Nun habe ich heute gelernt, dass kann man anhand der Skizze nicht pauschal beantworten. Hier kommt es darauf an, welche Hardware zur Verfügung steht und was man letztendlich erreichen will.
Hier steht auf jeden Fall zu diesem Thema viel Input drin.
auch noch mal vielen Dank für die doch sehr ausführliche Antwort.
Leider kann ich hier nicht sagen, was an Hardware vorhanden ist, da ich derzeit nichts plane. Das ganze war nur ein Gedankenspiel von mir.
Mir ist öfters beim Lesen, immer die Skizze mit der der rendundaten Switchkombination aufgefallen. Und da hatte ich mir Gedanken gemacht, wo man denn am sinnvollsten die Firewall anschließen kann.
Nun habe ich heute gelernt, dass kann man anhand der Skizze nicht pauschal beantworten. Hier kommt es darauf an, welche Hardware zur Verfügung steht und was man letztendlich erreichen will.
Hier steht auf jeden Fall zu diesem Thema viel Input drin.
