VLAN Richtig einsetzen?
geschrieben am 04.02.2009 um 11:32 von neuland14
Folgendes Szenarium:
Verkabelung über 3 Stockwerke und mehrere IP-Berreiche für LAN u. IP-Telefonie
Eingesetzt werden sollen der ProCurve 5406zl pro Stockwerk.
Jetzt die Frage kann man z.B. pro Stockwerk einen 5406zl mit 48 Port nehmen und zwei bis drei VLAN's bilden?
BSP. Stockwerk 1
VLAN1(Telefonanlage) 10.0.
VLAN2(LAN) 192.168.1
VLAN3(WLAN) 192.168.2
Stockwerk 2
VLAN4(Telefon) 10.0
VLAN5(LAN) 192.168.3
VLAN6(WLAN) 192.168.4
Stockwerk 3
VLAN7(Telefon) 10.0
VLAN8(LAN) 192.168.5
VLAN9(WLAN) 192.168.6
VLAN10(DMZ) 192.168.0
Kann der 5406zl Routen, kann ich statische Routen einrichten? (Sollte ja eigentlich kein Problem sein, das es ein Layer 3 SWITCH ist!)
Es sollte unter allen SWITCHEN geroutet werden
geschrieben am 04.02.2009 um 20:09 von Mirko
Sollen die IP-Netze nur Beispiele sein? Ansonsten würde ich da noch etwas Energie in die Planung investieren (Größe der Netze, Route Summarization).
Mit VRRP könnte man Ausfallsicherheit schaffen. Das macht aber nur Sinn, wenn Server und VoIP-Telefonanlage auch redundant angebunden sind.
Mirko
geschrieben am 04.02.2009 um 21:42 von bewa
Re: VLAN Richtig einsetzen?
Kann der 5406zl Routen, kann ich statische Routen einrichten?
Ja, laut google kann er statische Routen, sowie u.a. RIP und OSPF, übrigens auch VRRP. Was war denn daran so schwierig herauszufinden? :-))
Ich habe noch keinen in den Fingern gehabt, aber den Specs nach zu urteilen dürfte er sich mit der Aufgabe sogar eher langweilen. An Geld scheint es ja nicht zu mangeln, wenn man den für den Access nimmt. :-)
(Ich kenne durchaus Setups die sowas oder z.B. 45xxer-Catalysts im Access haben, aber das ist halt schon die Luxus-Variante.)
Die IP-Netze sind wie Mirko schon erwähnte in der Tat wild zusammen gewürfelt. Das würde ich vorher mal vernünftig sortieren.
Falls die Netztrennung nicht nur für "Ordnung" sondern auch für Sicherheit sorgen soll, bitte daran denken das feste VLANs pro Access-Port nur einen rudimentären Schutz bieten. Der 5406zl kann u.a. auch 802.1X, wenn man es gleich richtig machen will...
geschrieben am 05.02.2009 um 15:45 von neuland14
Hallo zusammen, erstmal danke für die Antworten.
Nun allzuviele Netzwerkgeräte sind es ja pro Stockwerk nicht, deshalb ja auch nur 48 Ports.
Da Routing und Switch nicht gerade meine Stärken sind könntet ihr ja mal ein Beispiel mit den Aufteilungen geben.
Momentan wird über 2 Stockwerke mit 3 Netgearswitchen und 1 Netgearrouter zwei Netzwerkbereiche verbunden. In jedem Stockwerk stehen 2 Switche.
Also in jedem Stockwerk muss natürlich Zugriff auf die Telefonanlage sein.
Die IP-Netze sind wie Mirko schon erwähnte in der Tat wild zusammen gewürfelt. Das würde ich vorher mal vernünftig sortieren.
Vielleicht könntet ihr wie oben schon erwähnt, mir mal ein Bsp. geben wir ihr das aufteilen würdet?
Ja, laut google kann er statische Routen, sowie u.a. RIP und OSPF, übrigens auch VRRP. Was war denn daran so schwierig herauszufinden? :-))
Nun ich erhoffte mir einen Erfahrungsaustausch und eine Bestättigung!
wenn man den für den Access nimmt. :-)
Was macht man den sonst noch für sachen mit einem Switch/Router?
Also mit den Netgearteilen hatten wir schon so unsere Probleme mit Netzwerkzugriffen, die erhoffen wir uns mit höherwertigen Switch zu beheben.
geschrieben am 05.02.2009 um 21:55 von Sebastian
Hallo Neuland14,
ich denke mit den wenigen Eckdaten, die Du mitgebracht hast kann man keine vernünftige Lösung erarbeiten.
Eckdaten für mich sind:
1. Anzahl PCs/Server/Netzwerkgeräte
2. Anzahl User - Wachstum in 3 Jahren
3. Verteiler
3a. Anzahl Verteiler
3b. Netzwerkgeräte pro Verteiler
3c. VOIP Geräte pro Verteiler
3d. Verbindung von Verteiler zu Verteiler z.B. Glasfaser
Stern/Ring usw...
4. Verfügbarkeit
4a. Verteiler redundant anbinden
4b. Router redundant (VRRP, HSRP)
4c. Server redundant anbinden
5. Anwendung Infrastruktur
5a. z.B. Server Hosting
6. Security
6a. WLAN
6a1. WLAN für Gäste
6a2. WLAN Produktion - Scanner,POS
6a3. WLAN Interne Notebooks
6b. Netzwerk Zugang/Segmentierung
6b1. VLANS
6b2. 802.1x
6b3. MAC based authentication
6b4. DHCP protection/verification
6c. Sicherheitsanforderungen durch Geschäftsführung/Verordnungen
...
Erzähl doch einfach mal was Du genau machne willst. Ich glaube nicht, dass es sinnvoll/wirtschaftlich ist bei so einer Portanzahl in die Unterverteilung 54er zu stellen.
Zur Info die 54er können auch dyn. Routing bzw. VRRP brauchen dafür aber auch eine Premium-Lizenz EVK 2899 €.
Ohne jetzt viel über Dein Umfeld zu wissen würde ich prinzipiell in den Unterverteilungen normale Access Switches einsetzen.
Z.B.
Stockwerk 1:
2x 2610-24-PWR
Stockwerk 2:
2x 2610-24-PWR
Stockwerk 3:
2x 5406zl inkl Premiumlicense und Glasfasermodul
In diesem Fall würde ich eher zwei kleinere Switches in den Unterverteilern nehmen, damit bei einem Ausfall wenigstens noch etwas auf dem Stockwerk funktioniert.
Die 2610er sind dann jeweils mit einem Gigabit Uplink an einem 5405zl angebunden.
Die redundante Strecke wird via SpanningTree bzw. MSTP geblockt. Das Routing übernehmen als zentrale Instanz die beiden 54er, wobei die Defaultgateway Adresse via VRRP abgebildet wird. D.h. für die Clients spielt es keine Rolle ob ein 54er ausfällt, die Defaultgateway Adresse "wandert" dann nämlich auf den noch funktionierenden Switch.
Bei der VLAN Konfiguration bist Du mit dieser Lösung immer noch genauso flexibel. Das Routing macht halt dann immer der 54er und das schafft der auch locker...
Allgemein würd ich den Einsatz von VLAN's für Clients net übertreiben.
Damit kann man sich auch einen Haufen Probleme selbst schaffen, außer man weiß genau was man tut.
VLANs würde ich IP Technisch sinnvoll gruppieren z.B.
VOIP Netze:
VLAN ID100 (Telefon) 10.0.0.0/24
VLAN ID101 (reserviert) 10.0.1.0/24
bis
VLAN ID107 (reserviert) 10.0.7.0/24
Erstmal kannst Du dann das erste VOIP Netz nutzen und falls dann doch mal ein extremes Wachstum eintritt bzw. neues Gebäude usw. kannst Du die anderen Netze aktiv nehmen.
Zu deinem VLAN Konzept sag ich erstmal net mehr, weil ich mir net vorstellen kann wozu Du das nutzen willst.
Erzähl doch einfach mal weng mehr über dein Projekt.
Deinen ersten Vorschlag halte ich auf jedenfall nich für praktikabel/sinnvoll.
geschrieben am 06.02.2009 um 16:00 von neuland14
Hallo Sebastian,
danke für die Antwort.
Werde mir mal gedanken machen und nächste Wo. noch mehr Info's posten.
geschrieben am 09.02.2009 um 20:40 von bewa
Sebastian hat ja schon die richtigen Rückfragen gestellt - danke für die Fleißarbeit, das ging bei mir aus Zeitgründen nicht. Zu deinen Rückfragen:
wenn man den für den Access nimmt. :-)
Was macht man den sonst noch für sachen mit einem Switch/Router?
Beiden werden auch außerhalb eines LANs (also eines lokalen, begrenzten Netwerks) eingesetzt. Gemeint war aber in diesem Fall etwas anderes: In großen LANs betrachtet man in der Regel bis zu drei Funktionsebenen: (Hier etwas vereinfacht dargestellt):
1) Access - Dort werden die Endgeräte angeschlossen.
2) Distribution - Fasst die Access-Switche, z.B. alle Access-Switche einer Etage oder eines kleineren Gebäudes zusammen.
3) Core - Fasst wiederum die Distribution-Switche zusammen.
Die Ebenen können auch zusammengefasst sein, wenn das Netz recht klein ist oder es aus technischen Gründen sinnvoll erscheint. Die Vokabeln sind in diesem Fall "Cisco-Slang" - ist nunmal der Marktführer...
Im Access braucht man meistens keine allzu "intelligenten" Switche, da sie - der Name ist Programm - nur den "Access", also die Verbindung der Endgeräten mit dem LAN übernehmen, d.h. sie müssen z.B. meistens nicht routen. Distribution-Switche haben oft viele Aufgaben (Routen, Filtern, etc.). Core-Switche wiederum sind in der Regel "nur" dazu da, einfach möglichst schnell, die Distribution-Switche zu verbinden.
Nach dem - aus meiner Sicht guten - Vorschlag von Sebastian, bilden die 5406zl Core+Distribution, die 2610er den "Access".
Seinen Tip bzgl. VLANs kann ich übrigens nur unterstreichen - mehr VLANs bringen manchmal auch mehr Probleme...
Genaueres zu den IP-Netzen kann man dir erst vorschlagen, wenn du zumindest ein paar von Sebastians Fragen beantwortet hast.
Also mit den Netgearteilen hatten wir schon so unsere Probleme mit Netzwerkzugriffen, die erhoffen wir uns mit höherwertigen Switch zu beheben.
Welcher Art waren die Probleme denn?
[ Dieses Thema im Live-Forum aufrufen ]
|
