VLan Layer 2 vs. VLan Layer3

[Dr. oec. Dipl.Inf]

Hallo Fachinformatiker!

Ich habe bisher keine schlüssigen Informationen zu dem im Titel genannten Thema gefunden.

Beispiel: Ich habe ein Unternehmen mit mehreren Gebäuden(3), verschiedenen Etagen und Abteilungen.

1. Es sollen Subnetze gebildet werden

2. Es sollen VLans integeriert werden

So weit so gut. Meine Idee waren Subnetz-Adressbereiche für jedes Gebäude festzulegen. Innerhalb der Gebäude sollten dann über Switches VLans auf der Schicht 2 gebildet werden.

In diesem Falle dynamisch über die MAC-Adresse. Das hat meiner Meinung nach den Vorteil, dass die Nutzer die MAC-Adresse nicht beeinflussen können.

Beim VLan Layer 3 Switching würden die VLans ja dynamisch über die IP-Adressen eingeteilt. D.h.: Ich müsste erst alle Subnetze definieren, damit die VLans zugewiesen werden können.

Das andere Problem ist, dass der Nutzer am Rechner seine IP und Subnetzmaske ändern kann und so auch in einem anderen VLan ist.

Andererseits habe ich gelesen, dass Subnetz und VLan-Struktur übereinstimmen sollten.

a) Wie würdet ihr das Lösen?

Was sind die Vor- und Nachteile beider Varienten?

c) Wie integriere ich am besten gemeinsame Ressourcen wie z.B. Server die in mehreren VLans/Subnetzen verfügbar sein sollen?

d) Was für ein Switch benötige ich dafür?

[Capricious]

MAC Adressen sind genauso leicht fakebar. Wenn schon richtig, dann mittels 802.1x Authentifizierung.

[netzwerker]

Wozu möchtest Du denn dynamische VLANs einrichten?

Mirko

[Crash2001]

Dynamische vlans können schön sein, können aber auch ein grosser Fluch sein. Einfach aus dem Grunde, dass jedes vlan überall sein kann und falls irgendwelche Probleme auftreten die Gründe dafür manigfaltig sind und man den Bereich dann nicht mehr einfach eingrenzen kann anhand der vlan-Ausbreitung.

Zudem wird mehr Traffic verbraucht, da z.B. Broadcasts und Multicasts (falls ein Empfänger angemeldet ist) bis zum äussersten Winkel des Netzwerks gehen kann.

Bei kleinen Netzwerken mag das problemlos gehen, bei grossen hingegen ist das ein Problem, da z.B. nicht vorher geplant werden kann, wie viel Traffic wo generiert wird. Zudem muss Spanning Tree über das gesamte Netz für jedes vlan laufen.

[Dr. oec. Dipl.Inf]

MAC Adressen sind genauso leicht fakebar. Wenn schon richtig, dann mittels 802.1x Authentifizierung.

Ich ging von normalen Büro-Mitarbeitern aus. Eine IP-Adresse in den Netzwerkeinstellungen zu ändern, ist denke ich mal einfacher.

Dynamische vlans können schön sein, können aber auch ein grosser Fluch sein. Einfach aus dem Grunde, dass jedes vlan überall sein kann und falls irgendwelche Probleme auftreten die Gründe dafür manigfaltig sind und man den Bereich dann nicht mehr einfach eingrenzen kann anhand der vlan-Ausbreitung.

Zudem wird mehr Traffic verbraucht, da z.B. Broadcasts und Multicasts (falls ein Empfänger angemeldet ist) bis zum äussersten Winkel des Netzwerks gehen kann.

Bei kleinen Netzwerken mag das problemlos gehen, bei grossen hingegen ist das ein Problem, da z.B. nicht vorher geplant werden kann, wie viel Traffic wo generiert wird. Zudem muss Spanning Tree über das gesamte Netz für jedes vlan laufen.

Das Netzwerk erstreckt sich über mehrere Gebäude. Die ganze Hardware soll von CISCO sein. Der Preis spielt keine Rolle.

Soweit ich weiß, gibt es von CISCO eine Software, mit der man VLans zentral verwalten und einstellen kann.

ABER: Layer 3 Swichtes bräuchte ich ja sowieso, um die Switches und damit die VLans miteinander zu verbinden, oder?

Wie ist das dann mit den Subnetzen?

[Crash2001]

Zur zentralen Verwaltung der vlans meinst du jetzt das vlan trunking protocol oder was? :confused:

Schon mit Catalyst 2950ern kann man afaik implementieren, dass das vlan dynamisch - je nach MAC-Adresse vergeben wird.

Du brauchst dazu auf jeden Fall erst einmal einen VLAN Membership Policy Server o.ä., auf dem du die Zuordnung der MAC-Adresse und des vlans hast. Dieser wird kontaktiert und anhand der Antwort wird dann das entsprechende vlan gesetzt.

Was für Hardware du einsetzt hängt davon ab, wie der Durchsatz sein muss, wie viele User angeschlossen werden sollen, was an Techniken benötigt wird, u.s.w. - das kann dir so ohne weitere Infos niemand sagen.

Die vlans werden denke ich mal an einem zentralen Punkt verbunden - da ja eh jedes vlan überall hinkommen darf. Du bräuchtest also rein theoretisch auch nur dort einen Router oder Multilayer-Switch

[Dr. oec. Dipl.Inf]

Zur zentralen Verwaltung der vlans meinst du jetzt das vlan trunking protocol oder was? :confused:

Schon mit Catalyst 2950ern kann man afaik implementieren, dass das vlan dynamisch - je nach MAC-Adresse vergeben wird.

Du brauchst dazu auf jeden Fall erst einmal einen VLAN Membership Policy Server o.ä., auf dem du die Zuordnung der MAC-Adresse und des vlans hast. Dieser wird kontaktiert und anhand der Antwort wird dann das entsprechende vlan gesetzt.

Was für Hardware du einsetzt hängt davon ab, wie der Durchsatz sein muss, wie viele User angeschlossen werden sollen, was an Techniken benötigt wird, u.s.w. - das kann dir so ohne weitere Infos niemand sagen.

Die vlans werden denke ich mal an einem zentralen Punkt verbunden - da ja eh jedes vlan überall hinkommen darf. Du bräuchtest also rein theoretisch auch nur dort einen Router oder Multilayer-Switch

Mit der zentralen Verwaltung meinte ich sowas wie den Cisco Network Assistant. Der erstellt dir eine grafische Darstellung der Topologie. Man klickt dann z.B. ein Switch mit der rechten Maustaste dort an und kann VLans konfigurieren.

Beim Switch dachte ich eher an einen derCisco Catalyst 3750 E Series.

Meine Frage ist einfach, was sinnvoller ist: die Zuweisung über Schicht 2 oder 3.

Auf Router möchte ich weitesgehend verzichten. Router will ich eigentlich nur für die Internet-Anbindung und für VPN nutzen. So kommen schon mal nur Layer 3-Switches infrage.

Layer 3 VLans arbeiten ja mit Subnetzen. Angenommen man hat 5 Subnetze mit 10 Rechnern. Dann müsste ich ja an jedem Client IP/Subnetzadresse konfigurieren, damit das Switch die VLans zuweist.

Sowas möchte ich vermeiden und möglich zentral über ein Managementsystem steuern.

Achso! Die Switches werden nicht zu einem zentralen Knoten verbunden, sondern VLans erstrecken sich über mehrere Etagen. D.h., ein ich muss schon Trunking oder sowas einsätzen.

Bearbeitet 20. Mai 2009 von Dr. oec. Dipl.Inf

[netzwerker]

Meine Frage ist einfach, was sinnvoller ist: die Zuweisung über Schicht 2 oder 3.

Weder noch. Nimm statische VLANs. Pro Etagenverteiler oder Switch (je nach Größe) ein VLAN. Ich würde zu /24- oder /25-Netzen tendieren.

Warum glaubst du, dynamische VLANs zu benötigen? Gründe dagegen wurden ja bereits genannt.

Mirko

[Dr. oec. Dipl.Inf]

Weder noch. Nimm statische VLANs. Pro Etagenverteiler oder Switch (je nach Größe) ein VLAN. Ich würde zu /24- oder /25-Netzen tendieren.

Warum glaubst du, dynamische VLANs zu benötigen? Gründe dagegen wurden ja bereits genannt.

Mirko

Du meinst also statische Zuweisung über Ports - also "Schicht 1"?

Ich lese halt immer wieder, dass sich die logische Struktur 1 zu 1 decken sollen. Also die VLans = Subnetze sind.

Ich will das eben zentral steuern, ohne, dass ich an 10 Switches Ports und 100 Rechnern IP/Subetz konfigurieren muss.

Es gibt eben mehrere Abteilungen und die sollen jeweils ein VLan bekommen und ein weitere zwingende Vorraussetzung sind Subnetze.

Bearbeitet 21. Mai 2009 von Dr. oec. Dipl.Inf

[Crash2001]

[...]ohne, dass ich an 10 Switches Ports und 100 Rechnern IP/Subetz konfigurieren muss.[...]

Wieso solltest du auch nur an einem Rechner Subnetz konfigurieren müssen? einfach aufm Switch ein vlan Interface machen. Dann ip helper adressen eintragen zum DHCP-Server und fertig.

Und auf dem DHCP-Server halt entsprechende Bereiche freigeben als DHCP-Bereiche. Anhand des helpers wird dann eine IP ausm entsprechenden Bereich verteilt.

[Dr. oec. Dipl.Inf]

Wieso solltest du auch nur an einem Rechner Subnetz konfigurieren müssen? einfach aufm Switch ein vlan Interface machen. Dann ip helper adressen eintragen zum DHCP-Server und fertig.

Und auf dem DHCP-Server halt entsprechende Bereiche freigeben als DHCP-Bereiche. Anhand des helpers wird dann eine IP ausm entsprechenden Bereich verteilt.

Ist das kein Layer-3-VLAN?

[DocInfra]

Vielleicht solltest du dir über den Begriff VLAN noch mal etwas Gedanken machen. Ein VLAN ist einfach nur eine logische Gruppierung von Ports. Wie die Ports in den VLAN kommen, ob nun per Hand konfiguriert oder anhang von MAC-Adressen, soll erstmal egal sein. Wenn du zwischen VLANs Daten austauschen willst, musst du Routen. Darum wirst du nicht herumkommen. Wo du routest, ist deine Sache. Entweder zentral am Core oder schon am Gebäudeverteiler... kann beides Sinn machen. Regel ist: Ein Subnetz pro VLAN. DHCP sollte dank DHCP Relay/ IP-Helper kein Problem sein.

[Dr. oec. Dipl.Inf]

Vielleicht solltest du dir über den Begriff VLAN noch mal etwas Gedanken machen. Ein VLAN ist einfach nur eine logische Gruppierung von Ports. Wie die Ports in den VLAN kommen, ob nun per Hand konfiguriert oder anhang von MAC-Adressen, soll erstmal egal sein. Wenn du zwischen VLANs Daten austauschen willst, musst du Routen. Darum wirst du nicht herumkommen. Wo du routest, ist deine Sache. Entweder zentral am Core oder schon am Gebäudeverteiler... kann beides Sinn machen. Regel ist: Ein Subnetz pro VLAN. DHCP sollte dank DHCP Relay/ IP-Helper kein Problem sein.

Achso, ihr kennt die Unterscheidungen gar nicht!

3.2.2 Schicht 1 VLANs

Schicht 1 VLANs sind die älteste und einfachste Form der Realisierung von VLANs. Ursprünglich aus der Idee von Intelligenten Hubs kommend, können verschiedene Ports zu einer Broadcast-Domain zusammengefaßt werden. Sehr gut nachvollziehbar sind die Zuordnung der Stationen zu den einzelnen VLANs. Bei Bedarf muß man lediglich nachsehen, an welchem Port eine Station angeschlossen ist. Die Sicherheit ist hoch, da Verkehr wirklich nur an die an einem VLAN Beteiligten geht, alle Broadcasts sind nur am VLAN beteiligten Endgeräten empfangbar. Fehler können fast so einfach wie bei traditionellen LANs gesucht und gefunden werden.

Nachteil ist, daß pro Port nur ein VLAN unterstützt werden kann. Falls Endgeräte in zwei unterschiedlichen VLANs kommunizieren wollen, müssen sie dies über einen Router tun, der Geld kostet, zwei Ports benötigt und auch noch zu konfigurieren ist. Die ``Sparversion'' ist die Verwendung von mehreren Netzwerkkarten an den Endgeräten, die mit mehreren VLANs kommunizieren wollen. Der Multicast-Support ist gering, jede Nachricht wird an alle Teilnehmer eines VLANs gesendet. Wenn ein Benutzer umzieht, müssen noch wirklich Kabel umgesteckt werden. Also ist diese Lösung noch nicht sonderlich flexibel.

3.2.3 Schicht 2 VLANs

Bei Schicht-2-VLANs dienen MAC-Adressen innerhalb der Pakete als Zugehörigkeitsmerkmal zu einem VLAN. Wenn also ein Benutzer umzieht, bemerkt dieses der Switch und paßt automatisch seine Adreßtabellen an, eine manuelle Umkonfiguration entfällt. Positiv ist ebenfalls, daß mehrere Endgeräte an einem Port zu verschiedenen VLANs gehören können. Allerdings ist dadurch die Sicherheit ggf. niedriger, da Endgeräte anderer VLANs einen Teil des Verkehrs des VLANs mithören können. Des weiteren unterstützen nicht alle höheren Protokolle mehrere VLANs pro Segment, da höhere Protokolle, wie z.B. IP, davon ausgehen, daß alle Stationen an einem Segment die gleiche Netzwerkadresse haben, was hier ja nicht mehr unbedingt zutreffen muß. Es gibt Switche, die aus diesem Grund automatisch die Netzwerkadresse entsprechend anpassen, um die sonstige ``Kastration'' auf einen Schicht-1-VLAN zu umgehen. Positiv ist auch, daß Verkehr nicht mehr an alle an einem VLAN beteiligten Geräte gesendet werden muß, da ja die MAC-Adresse eindeutig ist.

Für das Management problematisch kann das Umgehen mit MAC-Adressen sein. Falls ein Switch keine Auto-Konfiguration unterstützt, ist das Eingeben der MAC-Adressen in die Adreßtabellen des Switches ein sehr mühseliger und fehleranfälliger Vorgang. Des weiteren ist die Zuordnung von Endgeräten zu VLANs deutlich schwieriger als bei Schicht-1-VLANs, da erst die MAC-Adresse in einer Tabelle gesucht werden muß; die Portnummer am Switch ist ja uninteressant geworden. Verschiedene Schicht-2-VLANs benötigen ebenfalls einen Router, um miteinander kommunizieren zu können; mit den gleichen Nachteilen wie bei Schicht-1-VLANs.

3.2.4 Schicht 3 VLANs

Bei Schicht-3-VLANs dienen die Schicht-3-Adressen, also z.B. die IP-Adresse, um die Zugehörigkeit zu einem VLAN zu bestimmen. Hier gehören nicht mehr Endgeräte zu einem VLAN, sondern nur noch Pakete.

Der Hauptvorteil von Schicht-3-VLANs ist, daß direkte Kommunikation zwischen verschiedenen Endgeräten verschiedener VLANs unterstützt wird, und dies ohne zusätzliche teure Router. Dies wird natürlich mit erhöhten Verarbeitungskosten in den Switches bezahlt, da ja nun mehr Informationen eines Datenpaketes auszuwerten sind. Die Konfiguration ist einfacher als bei Schicht-2-VLANs, da das umständliche Hantieren mit MAC-Adressen entfällt. Interessant ist die Möglichkeit, pro Schicht-3-Protokoll ein eigenes VLAN zu definieren, also z.B. ein eigenes VLAN für IPX, eins für AppleTalk, eins für IP, etc. Ebenfalls positiv ist der effiziente Multicast-Support, da ja dem Switch klar ist, welche Endgeräte gemeint sind.

[DocInfra]

Achso, ihr kennt die Unterscheidungen gar nicht!

YMMD! Schönes C&P, Google, erster Hit. Aber danke, ich bin lange genug im Netzwerkbereich unterwegs um den Unterschied zu kennen. Du scheinst dich aber im Gegenzug auf irgendwelche literarischen Definitionen zu beziehen. Aber gut, du machst das schon. Wir sind ja offensichtlich unwissend.

[Dr. oec. Dipl.Inf]

YMMD! Schönes C&P, Google, erster Hit. Aber danke, ich bin lange genug im Netzwerkbereich unterwegs um den Unterschied zu kennen. Du scheinst dich aber im Gegenzug auf irgendwelche literarischen Definitionen zu beziehen. Aber gut, du machst das schon. Wir sind ja offensichtlich unwissend.

Da ich nicht aus der Praxis komme, muss ich mich auf Literatur beziehen und wenn auf jeder Seite, die ich im Internet finde steht, dass bei Schicht-3-VLANs nur Layer-3-Switches und keine Router benötigt werden, dann muss ich das glauben.

Ich will ja nur wissen, was man tun muss, wenn man sowohl VLANs als auch Subnetze einrichten möchte, ohne dass zusätzliche Router verwendet werden müssen. Das Budget beträgt mehrere Hundertausend-Euro und es sollen Cisco-Geräte der neuesten Generation verwendet werden.

Wenn ihr aber sagt, dass Schicht-1-VLANs die beste Alternative ist, dass glaube ich euch das natürlich. Ich möchte ja nur eine Begründung dafür!

[DocInfra]

Da ich nicht aus der Praxis komme, muss ich mich auf Literatur beziehen und wenn auf jeder Seite, die ich im Internet finde steht, dass bei Schicht-3-VLANs nur Layer-3-Switches und keine Router benötigt werden, dann muss ich das glauben.

Layer-3 Switches routen mit Wirespeed. Kein Grund einen externen Router zu verwenden. Also lassen die Switches routen. Ist nur die Frage wo... ich bin eigentlich ein Freund von Routing im Core. Mittels VRRP oder HSRP kann man das auch hübsch redundant machen.

Ich will ja nur wissen, was man tun muss, wenn man sowohl VLANs als auch Subnetze einrichten möchte, ohne dass zusätzliche Router verwendet werden müssen.

Gar nicht. Sonst kannst du zwischen den Subnetzen keine Daten austauschen. Ein VLAN ist ein abgeschlossenes LAN. Betrachte sie auch so. Und um Daten zwischen Netzen zu vermitteln brauchst du... einen Router.

Das Budget beträgt mehrere Hundertausend-Euro und es sollen Cisco-Geräte der neuesten Generation verwendet werden.

Bester Tipp im ganzen Thread: Dann zweige von dem Geld was ab und bezahle jemanden dafür, dass er dir das hübsch macht.

[Dr. oec. Dipl.Inf]

Gar nicht. Sonst kannst du zwischen den Subnetzen keine Daten austauschen. Ein VLAN ist ein abgeschlossenes LAN. Betrachte sie auch so. Und um Daten zwischen Netzen zu vermitteln brauchst du... einen Router.

Die Cisco Catalyst 3750-E Series Switches haben laut Cisco Routingfähigkeit und sollen angeblich auch Inter-VLan-Kommunikation ermöglichen.

Aber danke, das ist schon mal eine wertvolle Info. Router wollte ich eigentlich nur für die Gebäude-Verbindung, VPN und Internet nutzen.

Also muss ich zwischen jedes VLan Router hauen?

[DocInfra]

Ja natürlich. Aber ich glaube mehr und mehr das du dir einen Dienstleister einkaufen solltest. Im Prinzip ist es doch ganz einfach: In jedes VLAN ein IP-Interface mit einer IP in dem Subnetz. Diese IP bei den Clients als Defaultgateway eintragen. Den Routingtable baut der Switch selber. Von dort aus kannst du auch alle weiteren Routen, in Richtung VPN oder Internet steuern und über ACLs absichern. Du kannst nur auf dem Core-Switch routen, oder aber, wenn die Etagenswitches es können, auch schon dort. Hat den Vorteil das Verkehr schon vor dem Core-Switch geroutet werden würde. Das würde den Core-Switch entlasten. Redundanz kannst du über redundante Anbindungen der Etagen, bzw. Gebäudeverteiler, an den/ die Core-Switche(s) erreichen. Über VRRP bzw. HSRP kannst du das Routing hochverfügbar machen. STP kannst du dir evtl. sparen, wenn du die redundanten Anbindungen über VLANs trennst und die Wegwahl über Routingprotokolle erledigst. Unser Cisco-Papst Crash2001 kann dir dazu sicherlich mehr Informationen geben. Ich bin da eher HP-lastiger.

[Dr. oec. Dipl.Inf]

Und wieso kann man nicht alle Layer-3-Switches einfach an einen Router anschließen, der die Pakete routet?

Es wäre doch sonst totaler Nonsens, überhaupt Layer-3-Switches einzusätzen.

[Crash2001]

Und wieso kann man nicht alle Layer-3-Switches einfach an einen Router anschließen, der die Pakete routet?

Es wäre doch sonst totaler Nonsens, überhaupt Layer-3-Switches einzusätzen.

Alleine schon aus dem Grund, dass Router im Normalfall eine niedrigere Bandbreite haben beim Routing als Layer3-Switche und es sonst direkt die Backplane bzw die maximale Layer3-Switching-Durchsatzrate als begrenzenden Faktor hat und nicht die Leitungsgeschwindigkeit. Nur mal so als kleines rechenbeispiel. Ein 48-Port-Switch mit Fast-Ethernet-Ports kann 4,8GBit/s eingehenden Verkehr gleichzeitig verarbeiten. Sein Uplink ist aber normal nur 1GBit/s schnell. Die Daten würden also zwischen Switch und Router mit 1GBit/s transportiert ohne dass man Etherchannel benutzt. Das wäre Flaschenhals Nummer 1. Auf dem Router wird Routing anders umgesetzt als auf Multilayerswitchen, wodurch es dann langsamer geht (nicht in Hadrdware implementiert wie das Switching und Layer3-Switching, sondern alles in Software, was einfach mehr Leistung braucht). Das ist dann Flaschenhals Nummer 2. Da die Daten dann auch noch wieder zurück (evtl. sogar zu genau dem Switch von dem sie kommen) gelangen müssen, begrenzt dann wieder die Leitungsgeschwindigkeit den Durchsatz. Das ist Flaschenhals Nummer 3. Das Gateway sollte aus diesem Grunde möglichst nah an den Access-Switchen liegen.

Diese Schicht-Einteilung ist totaler Schwachsinn von den Definitionen her. Es gilt einfach nicht alles was da steht. Und vor allem kann man auch alle drei "Schichten" kombinieren und das wird auch eigentlich immer gemacht, wenn mit mehreren vlans hantiert wird und Interkonnektivität dazwischen bestehen soll.

Wenn du einen Mulitlayer-Switch hast, dann kannst du also z.B. den Ports vlans zuweisen (Layer 2 vlans). Diese vlans bekommen dann ein vlan-Interface (Layer 3 vlan) auf dem Router, was eine IP-Adresse besitzt und entweder das vlan-Interface, oder der komplette Switch (je nachdem, ob alles zu einem Multilayerswitch oder Router geroutet wird, oder aufgeteilt wird), ein Default-Gateway. DAs GAteway sollte dabei redundant ausgelegt sein und anhand HSRP/VRRP redundant ausgelegt werden, so dass du keinen single point of failure hast. Vom Gateway aus wird dann ins Internet geroutet.

Innerhalb eines vlans wird dann nur geswitcht. Zwischen den vlans und nach aussen hin wird hingegen geroutet. Beides kann auf einem Multilayer-Switch geschehen.

Wie schon gesagt - anhand der ip-Helper Adressen kann dann der DHCP-Server sehen, in welchem Netz ein DHCP-Request gestellt wird und anhand dessen dann Adresssen aus dem richtigen Segment vergeben.

Die Ports zu konfigurieren geht mittels Interface-Range-Kommando innerhalb von Sekunden für einen ganzen Block.

Von dynamischen vlans würde ich dir - besonders aufgrund dessen, da du dich in dem Thema anscheinend nicht auskennst - definitiv abraten. Das bringt dir mehr Ärger ein, als du im ersten Moment denkst. Ein Grund ist z.B., dass jedes vlan überallhin konfiguriert werden muss - auch wenn es dort momentan gar nicht benötigt wird. Das öffnet Tür und Tor für Angriffe und erzeugt zusätzlichen und unnötigen Traffic. Ein vlan sollte nur so weit verbreitet werden, wie es auch genutzt wird. Ansosnten geht ein Vorteil von vlans - die Begrenzung des Broadcast-Traffics auf den vlan-Bereich - komplett flöten.

Da ihr ja eh Cisco-HArdware einsetzen wollt, würde ich dir vorschlagen, mal auf der cisco-Seite dich zum Thema vlan zu informieren. Da hast du dann auch die entsprechenden Infos für die Hardware, die ihr verwenden wollt. Stichworte sind dabei z.B. VTP, vlan, inter vlan routing, HSRP/VRRP, Spanning Tree (STP/MSTP/RSTP)

Aber wie mein Vorposter schon meinte - ich würde dir auch dazu raten, jemanden für die Planung zu engagieren. Ein Netzwerkdesign ist nicht so ohne, wenn es bedacht gemacht werden soll. Das ist nicht einfach nur x Switche aneinanderstöpseln. Da spielen noch diverse Sachen wie Redundanz, Überwachung, Plazierung der Gateways und der Spanning-Tree-Roots und noch diverse andere Sachen rein. Dazu dann natürlich acuh noch die access-listen und Absicherung der Sicherheitslücken wenn xyz eingesetzt wird. Dafür muss man die entsprechenden Angriffsmöglichkeiten kennen und wie man sich dagegen schützen kann. Allein schon um die richtige STP-Variante auszuwählen und die PArameter sinnvoll anzupassen, ist schon einiges an Wissen nötig.

Also entweder eignest du dir das entsprechende Wissen an (CCNA und zumindest den BCMSN und BSCI - das kann aber eine ganze Weile dauern dann) oder aber du suchst dir jemanden der das Wissen hat und lässt ihn das Netzwerk planen. Das ist besser, als wenn du ein Netzwerk planst, das an vermeidbaren Problemen lahmt und dann doch wieder umgestellt werden muss, oder einfach unsicher ist.

Bearbeitet 21. Mai 2009 von Crash2001

[DocInfra]

Und wieso kann man nicht alle Layer-3-Switches einfach an einen Router anschließen, der die Pakete routet?

Es wäre doch sonst totaler Nonsens, überhaupt Layer-3-Switches einzusätzen.

Warum wäre das totaler Nonsens? Wenn ich einen MLS habe, warum sollte ich dann einen externen Router benötigen??? :eek

[Dr. oec. Dipl.Inf]

Alleine schon aus dem Grund, dass Router im Normalfall eine niedrigere Bandbreite haben beim Routing als Layer3-Switche und es sonst direkt die Backplane bzw die maximale Layer3-Switching-Durchsatzrate als begrenzenden Faktor hat und nicht die Leitungsgeschwindigkeit. Nur mal so als kleines rechenbeispiel. Ein 48-Port-Switch mit Fast-Ethernet-Ports kann 4,8GBit/s eingehenden Verkehr gleichzeitig verarbeiten. Sein Uplink ist aber normal nur 1GBit/s schnell. Die Daten würden also zwischen Switch und Router mit 1GBit/s transportiert ohne dass man Etherchannel benutzt. Das wäre Flaschenhals Nummer 1. Auf dem Router wird Routing anders umgesetzt als auf Multilayerswitchen, wodurch es dann langsamer geht (nicht in Hadrdware implementiert wie das Switching und Layer3-Switching, sondern alles in Software, was einfach mehr Leistung braucht). Das ist dann Flaschenhals Nummer 2. Da die Daten dann auch noch wieder zurück (evtl. sogar zu genau dem Switch von dem sie kommen) gelangen müssen, begrenzt dann wieder die Leitungsgeschwindigkeit den Durchsatz. Das ist Flaschenhals Nummer 3. Das Gateway sollte aus diesem Grunde möglichst nah an den Access-Switchen liegen.

Diese Schicht-Einteilung ist totaler Schwachsinn von den Definitionen her. Es gilt einfach nicht alles was da steht. Und vor allem kann man auch alle drei "Schichten" kombinieren und das wird auch eigentlich immer gemacht, wenn mit mehreren vlans hantiert wird und Interkonnektivität dazwischen bestehen soll.

Wenn du einen Mulitlayer-Switch hast, dann kannst du also z.B. den Ports vlans zuweisen (Layer 2 vlans). Diese vlans bekommen dann ein vlan-Interface (Layer 3 vlan) auf dem Router, was eine IP-Adresse besitzt und entweder das vlan-Interface, oder der komplette Switch (je nachdem, ob alles zu einem Multilayerswitch oder Router geroutet wird, oder aufgeteilt wird), ein Default-Gateway. DAs GAteway sollte dabei redundant ausgelegt sein und anhand HSRP/VRRP redundant ausgelegt werden, so dass du keinen single point of failure hast. Vom Gateway aus wird dann ins Internet geroutet.

Innerhalb eines vlans wird dann nur geswitcht. Zwischen den vlans und nach aussen hin wird hingegen geroutet. Beides kann auf einem Multilayer-Switch geschehen.

Wie schon gesagt - anhand der ip-Helper Adressen kann dann der DHCP-Server sehen, in welchem Netz ein DHCP-Request gestellt wird und anhand dessen dann Adresssen aus dem richtigen Segment vergeben.

Die Ports zu konfigurieren geht mittels Interface-Range-Kommando innerhalb von Sekunden für einen ganzen Block.

Von dynamischen vlans würde ich dir - besonders aufgrund dessen, da du dich in dem Thema anscheinend nicht auskennst - definitiv abraten. Das bringt dir mehr Ärger ein, als du im ersten Moment denkst. Ein Grund ist z.B., dass jedes vlan überallhin konfiguriert werden muss - auch wenn es dort momentan gar nicht benötigt wird. Das öffnet Tür und Tor für Angriffe und erzeugt zusätzlichen und unnötigen Traffic. Ein vlan sollte nur so weit verbreitet werden, wie es auch genutzt wird. Ansosnten geht ein Vorteil von vlans - die Begrenzung des Broadcast-Traffics auf den vlan-Bereich - komplett flöten.

Da ihr ja eh Cisco-HArdware einsetzen wollt, würde ich dir vorschlagen, mal auf der cisco-Seite dich zum Thema vlan zu informieren. Da hast du dann auch die entsprechenden Infos für die Hardware, die ihr verwenden wollt. Stichworte sind dabei z.B. VTP, vlan, inter vlan routing, HSRP/VRRP, Spanning Tree (STP/MSTP/RSTP)

Aber wie mein Vorposter schon meinte - ich würde dir auch dazu raten, jemanden für die Planung zu engagieren. Ein Netzwerkdesign ist nicht so ohne, wenn es bedacht gemacht werden soll. Das ist nicht einfach nur x Switche aneinanderstöpseln. Da spielen noch diverse Sachen wie Redundanz, Überwachung, Plazierung der Gateways und der Spanning-Tree-Roots und noch diverse andere Sachen rein. Dazu dann natürlich acuh noch die access-listen und Absicherung der Sicherheitslücken wenn xyz eingesetzt wird. Dafür muss man die entsprechenden Angriffsmöglichkeiten kennen und wie man sich dagegen schützen kann. Allein schon um die richtige STP-Variante auszuwählen und die PArameter sinnvoll anzupassen, ist schon einiges an Wissen nötig.

Also entweder eignest du dir das entsprechende Wissen an (CCNA und zumindest den BCMSN und BSCI - das kann aber eine ganze Weile dauern dann) oder aber du suchst dir jemanden der das Wissen hat und lässt ihn das Netzwerk planen. Das ist besser, als wenn du ein Netzwerk planst, das an vermeidbaren Problemen lahmt und dann doch wieder umgestellt werden muss, oder einfach unsicher ist.

Danke, schöner Beitrag. Dass es so große Diskrepanzen zwischen Theorie und Praxis gibt, war mir nicht klar.

Man kann also auf dem DHCP-Adressräume für die Subnetze festlegen und er teilt den Clients automatisch das Richtige Subnetz zu?

(Ps: Ich bin CCNA)

[netzwerker]

Der DHCP-Server erkennt das Netz am Absender des DHCP-Discovers.

Mirko

[Dr. oec. Dipl.Inf]

Der DHCP vergibt die IP-Adressen ja anhand der MAC-Adressen.

Habt ihr Erfahrungen mit software-gesteuerten DHCPs? Es gibt ja die Möglichkeit mit dem CISCO Network Assistant ein Switch oder einen Router als DHCP festzulegen.

Was mir noch nicht ganz klar ist, ist das Verhältnis der VLans zu den Subnetzen. In der Literatur heißt es ja, dass VLAN und Subnetz 1 zu 1 sein sollen - also VLAN=Subnetz. Alle Clients der Abteilung "Marketing" wären in einem VLAN und auch im selben Subnetz. Was darf ich davon halten?

Sorry, dass ich euch so auf die Nerven gehe.

[ardcore]

Wenn euer Budget bei mehreren Hunderttausend Euro liegt, dann sollten auch 4000 Euro für ne Service-Firma drin sein.

Ein gängiger Tagessatz sind 800€. Damit solltet ihr für 4000€ (das wird euch auch in etwa ein 3750E kosten) eine Woche Beratung einkaufen können. In einer Woche sollten Konzept, Umsetzung und Dokumentation problemlos machbar sein.

Ich halte es auf jeden Fall für eine gute Investition in deinem Falle.