VLan Layer 2 vs. VLan Layer3

[ardcore]

In der Literatur heißt es ja, dass VLAN und Subnetz 1 zu 1 sein sollen - also VLAN=Subnetz. Alle Clients der Abteilung "Marketing" wären in einem VLAN und auch im selben Subnetz. Was darf ich davon halten?

Das ist in 99% der Fälle auch in der Realität so.

PS: Ein CCNA sollte das aber wissen.

[Dr. oec. Dipl.Inf]

Das ist in 99% der Fälle auch in der Realität so.

PS: Ein CCNA sollte das aber wissen.

Ich werd ihn dieses Jahr wieder erneuern müssen. Ich bin zwar studierter Informatiker, arbeite eigentlich nicht in der Netzwerktechnik und das Projekt leite ich auch nicht alleine. Dennoch muss ich ein paar Ideen zu dem Konzept beitragen. Die Netzwerkadminstration übernimmt danach jemand anders - also schon ein ausgebildeter Admin.

Geht also bitte davon aus, dass danach ein erfahrner Praktiker und kein Theoretiker-Nerd wie ich daran arbeitet.

Auf dem Bild hab ich mal ein Ausschnitt von dem CNA. Eigentlich sieht das recht einfach aus.

[ardcore]

Auf dem Bild hab ich mal ein Ausschnitt von dem CNA. Eigentlich sieht das recht einfach aus.

Wenn schon CNA dann aber bitte in separiertem Management-VLAN.

Ansonsten viel Erfolg bei eurem Projekt.

[Crash2001]

Ein Praktiker wird das aber wohl eher nicht anhand deines Tools da machen. Das ist viel zu umständlich. Um einen einzelnen Port zu konfigurieren - ok, das geht damit evtl gleich schnell. Aber eine Interface range von sagen wir mal 48 Ports konfiguriert man auf Console einiges schneller. Vor allem wenn man sich eine Config erstellt und dort dann nur die vlan-Zuordung und IP-Adressen ändert für den jeweiligen Switch. Meist macht man einen Bereich, der auf allen Switchen gleich ist (storm-control, spanning-tree, logging-einstellungen, aaa-Einstellungen, allgemeine Access-listen für z.B. Management und automatische Config-.Sicherungen per Cisco-Works u.s.w.) und einen dynamischen Bereich (IP-Adresse, auf dem Switch vorhandene vlans, VTP-Domain (falls mehrere verwendet werden, ansonsten in den statischen Bereich damit), vlan-Zuordnung zu den einzelnen Ports, spezielle Port-Einstellungen nach Bedarf, wie z.B. port-security, u.s.w.), Dann hat man in (wenn auf jedem Switch nur z.B. 2 vlans drauf sind) innerhalb von 2 Minuten pro Switch eine config und kann sie dann einfach per copy & paste einfügen und der Switch ist fertig konfiguriert danach. (speichern nicht vergessen. )

Die grafischen Tools brauchen da dann doch etwas länger und vor allem muss man den Switch dann vorher trotzdem noch von Hand anpassen, damit man mit dem Tool überhaupt Zugriff drauf hat....

Der DHCP vergibt die IP-Adressen ja anhand der MAC-Adressen.[...]/quote]Anhand der MAC-Adresse vergibt der DHCP-Server nur Adressen, wenn das Subnetz aus dem eine IP angefordert wird das gleiche ist, wie ein vorhandenen MDHCP-Eintrag. (feste Zuordnung zwischen MAC-Adresse und IP-Adresse, damit ein PC immer die gleiche IP-Adresse vom DHCP-Server bekommt) Stimmt das Subnetz aus dem die Anforderung kommt nicht mit einem evtl vorhandenen MDHCP-Eintrag überein, dann wird einfach die nächste freie dynamische IP-Adresse aus dem entsprechenden Subnetz vergeben. Diese IP-Adresse wird dann der entsprechenden MAC-Adresse zugeordnet. Solange der PC an ist, bekommt er dann auch keine neue IP-Adresse, da er nach der Hälfte der Lease time den Lease wieder erneuert. Bei einer Lease Time von z.B. 8 Stunden würde sie also alle 4 Stunden erneuert. Wird sie nicht erneuert, so wird die Zuordnung von MAC-Adresse und IP-Adresse nach Ablauf der restlichen Lease time aufgehoben.

MDHCP-einträge lohnen sich eigentlich nur für User, die besondere Berechtigungen haben. Alle anderen können ruhig dynamische Adressen vom DHCP-Server beziehen, was den Administrationsaufwand minimiert.

Softwareseitige DHCP Server kenne ich z.B. Infobloxx (dürfte für euer Netz evtl etwas oversized sein - in der Umgebung wo wir das zurzeit einsetzen sind dann eher so ca. 3000 Switche darüber gemanaged plus die dranhängenden User, was insgesamt dann mehr als 150.000 Einträge sind) und diverse freie unter Linux und Windows von denen mir die Namen entfallen sind. Dazu dann natürlich noch den DHCP-Server von den verschiedenen Windows Server Versionen (2k, 2k3, 2k8).

P.S.:

Vollquotes sind doof. Dann lieber mittels [...] abkürzen, so dass nur der Teil davon gepostet wird, auf den man sich grad bezieht.

[edit]

Was du halt auch noch überlegen müsstest, wäre, ob du eine VTP Domain machst, mehrere, oder alle Switche als transparent laufen lässt. Falls du eine VTP-Domain machst, dann musst du dir auch noch überlegen, welcher Switch der primäre VTP Server sein soll und welcher der sekundäre Server. Falls du eine VTP Domain machst, dann musst du die vlans nciht manuell dahinleiten, sondern das geschieht dann automatisch. Mittels vlan pruning können dann die nicht benötigten vlans automatisch auf den Clients gedroppt werden, so dass wirklich nur die vlans dort sind, die auch wirklich benötigt werden.

[/edit]

Bearbeitet 22. Mai 2009 von Crash2001

[Dr. oec. Dipl.Inf]

Pro Subnetz ein DHCP-Server ist irgendwie nicht so das Wahre.

[netzwerker]

Pro Subnetz ein DHCP-Server ist irgendwie nicht so das Wahre.

Zwei DHCP-Server reichen vollkommen aus.

Mirko

[DocInfra]

(Ps: Ich bin CCNA)

Darf ich mal fragen wie du das geschafft hast??!!

[Dr. oec. Dipl.Inf]

Darf ich mal fragen wie du das geschafft hast??!!

Durch Bestehen der Tests? Man muss sich wirklich anstrengen, um da unter 90% zu landen.

Ist wie beim Führerschein - da wundert man sich auch, was für Leute den bekommen. Aber ganz unter uns: die Aussagekraft des CCNA wird überschätzt. Da gibt es andere Zertifikate, die mehr aussagen. Aber das nur mal am Rande

[Crash2001]

Zwei DHCP-Server reichen vollkommen aus.[...]

Für das "Mini-Netz" da reicht auch einer vollkommen aus... ein zweiter höchstens aus Redundanzzwecken als Backup... viel wird der ja eh nicht zu tun haben, falls da nicht noch DNS oder sonstige Sachen gleichzeitig drüber laufen. Zudem hat man bei zwei Servern oft auch keine zentrale Verwaltung mehr, sondern sie laufen unabhängig voneinander. Das kann ein Vorteil sein, kann aber genauso auch ein Riesennachteil sein.

[...]Man muss sich wirklich anstrengen, um da unter 90% zu landen.[...]

Sehe ich anders. Wenn man das wirklich LERNT, und nicht einfach nur per Testking/Braindump/Pass4Shure o.ä. einfach die Fragena auwendig lernt, ist das schon anders. Ich würde einfach mal spontan drauf tippen, dass du den zweiten Weg gegangen bist.

Aber ganz unter uns: die Aussagekraft des CCNA wird überschätzt. Da gibt es andere Zertifikate, die mehr aussagen. Aber das nur mal am Rande

Wenn man den Stoff danach kann, dann hat der sehr wohl Aussagekraft. Und klar, ein CCIE-Zertifikat ist eine komplett andere Liga. Aber der CCNA ist ja auch nur das Einstigeszertifikat (bzw mittlerweile gibts noch eins darunter). Wirklich aussagekräftig ist ein CCNA-Zertifikat halt nur mit Berudserfahrung im entsprechenden Bereich, weil es einfach zu viele gibt, die die Fragen und Labs einfach nur stur auswendig lernen, den Test bestehen und dann danach absolut nichts können, da sie nicht den Stoff verstanden haben.

[Dr. oec. Dipl.Inf]

Für das "Mini-Netz" da reicht auch einer vollkommen aus... ein zweiter höchstens aus Redundanzzwecken als Backup...

Das Mini-Netz war nur ein Beispiel. So sollen die Etagen aufgebaut sein und im Keller eben die Server etc.

Das ganze soll noch mit einem zweiten Gebäude über Router verbunden werden. Auch wieder mit mehreren Etagen. Insgesamt kommen wir auf ca. 60 Mitarbeiter mit 5 bis 10 VLans/Subnetzen.

Sehe ich anders. Wenn man das wirklich LERNT, und nicht einfach nur per Testking/Braindump/Pass4Shure o.ä. einfach die Fragena auwendig lernt, ist das schon anders. Ich würde einfach mal spontan drauf tippen, dass du den zweiten Weg gegangen bist.

Keine Ahnung, was du meinst. Als ich das gemacht habe, musste man stundenlang vorm PC sitzen und ellenlange Texte lesen und am jedes mal Ende Tests absolvieren und das insgesamt 4 mal, bevors dann ins Cisco-Center ging.

Praktiche Aufgaben gab es damals noch gar nicht. Das einzige, was man machen sollte, waren im Packet Tracer Netzwerke zusammenklicken.

[Crash2001]

[...]Insgesamt kommen wir auf ca. 60 Mitarbeiter mit 5 bis 10 VLans/Subnetzen.

Ich sag doch das Mini-Netz. Im Vergleich zu Netzen mit mehr als 1000 Hosts oder sogar Switchen ist das einfach nur Mini.

Keine Ahnung, was du meinst. Als ich das gemacht habe, musste man stundenlang vorm PC sitzen und ellenlange Texte lesen und am jedes mal Ende Tests absolvieren und das insgesamt 4 mal, bevors dann ins Cisco-Center ging.

Praktiche Aufgaben gab es damals noch gar nicht. Das einzige, was man machen sollte, waren im Packet Tracer Netzwerke zusammenklicken.

Das war dann die Cisco-Academy. Aber ich dachte eigentlich immer, dass man da auch die richtige CCNA-Prüfung machen muss und nicht so etwas, wie du da grad beschrieben hast. Ich hatte in meiner CCNA-Prüfung 2006 jedenfalls auch Labs mit drin... mit Packet Tracer hingegen hatte ich gar nichts drin. Labs sind dabei aber als virtuell zu verstehen - also nicht dass man an der Hardware etwas machen müsste o.ä., sondern wie im Packettracer o.ä. ... Und das auf einer viel zu niedrigen Auflösung, die flackerte und das ganze zusätzlich erschwerte...

Du kannst dir ja mal auf der Cisco-Seite anschauen, was da mittlerweile alles im CCNA mit drin ist - unter anderem z.B. IPV6 und etwas Voice und WLAN... innerhalb 3 Jahren hat sich so einiges getan.

[Dr. oec. Dipl.Inf]

Wie gesagt, ich bin Chef-Entwickler im Bereich Software-Engineering und habe mit Netzwerken normalerweise überhaupt nichts zu tun.

Den CCNA habe ich nun mal und der ist ja auch für jeden Informatiker ein Standard.

Aber das wird jetzt auch wenig Off-Topc. Bei meiner anfänglichen Frage gings ja ums VLAN Layer 2 vs. VLAN Layer3. Ich fasse zusammen:

1. Ihr empfehlt VLANS manuell am Port einzustellen.

2. Für mein Netz reicht ein DHCP-Server

3. Auch wenn ich Layer-3-Swichtes benutze, brauche ich mind. 1 Router für die Kommunikation unter den VLANs.

Ich bedanke mich auf jeden Fall für die Informationen und die Geduld! :]

[ardcore]

Wie gesagt, ich bin Chef-Entwickler im Bereich Software-Engineering und habe mit Netzwerken normalerweise überhaupt nichts zu tun.

Den CCNA habe ich nun mal und der ist ja auch für jeden Informatiker ein Standard.

Aber das wird jetzt auch wenig Off-Topc. Bei meiner anfänglichen Frage gings ja ums VLAN Layer 2 vs. VLAN Layer3. Ich fasse zusammen:

1. Ihr empfehlt VLANS manuell am Port einzustellen.

2. Für mein Netz reicht ein DHCP-Server

3. Auch wenn ich Layer-3-Swichtes benutze, brauche ich mind. 1 Router für die Kommunikation unter den VLANs.

Ich bedanke mich auf jeden Fall für die Informationen und die Geduld! :]

1.) Ja, bei der kleinen Umgebung sinnvoller.

2.) Immer min. zwei DHCP-Server betreiben. Stichwort Redundanz

3.) Nein, brauchst du nicht.

[DocInfra]

Wie gesagt, ich bin Chef-Entwickler im Bereich Software-Engineering und habe mit Netzwerken normalerweise überhaupt nichts zu tun.

Den CCNA habe ich nun mal und der ist ja auch für jeden Informatiker ein Standard.

Ich glaube du bist gar nichts und stellst dich hier eher dar. Ich glaube auch das du den CCNA dank Testking/Braindump/Pass4Shure geschafft hast. Wenn nicht, wüsstest du das alles hier schon.

3. Auch wenn ich Layer-3-Swichtes benutze, brauche ich mind. 1 Router für die Kommunikation unter den VLANs.

Wieder ein Indiz: Du weißt scheinbar nicht was ein Layer-3 Switch macht und das du dir damit den Router sparst...

[hades]

Bitte nur noch Antworten zum eigentlichen fachlichen Thema.

Ob und wie hier jemand ein Zertifikat erworben hat steht nicht zur Debatte.

Bearbeitet 23. Mai 2009 von hades

[Crash2001]

[...]

1. Ihr empfehlt VLANS manuell am Port einzustellen.

2. Für mein Netz reicht ein DHCP-Server

3. Auch wenn ich Layer-3-Swichtes benutze, brauche ich mind. 1 Router für die Kommunikation unter den VLANs.

[...]

1. Definitiv ja.
   
2. Falls du keinen Fallback brauchst, auch hier ein definitives JA. Falls du redundanz brauchst, brauchst du mindestends zwei DHCP-Server. Von der Leistung her nötig, sind sie jedoch nicht.
   
3. Ein Layer3-Switch IST doch mehr oder weniger ein Router. Er kann zumindest vom einen ins andere IP-Netz routen. Zwischen den verschiedenen Techniken umsetzen kann er hingegen nicht oder nciht zwischen allem. Das kann ein router dann wieder besser. (Beispiel SDH auf Ethernet z.B.)
   Du brauchst jedoch eventuell dennnoch einen Router für deine VPN-Anbindung. Die Frage lässt sich so also nicht eindeutig beantworten. Das hängt unter anderem davon ab, welche IOSe du auf den Multilayer-Switchen verwendest. Die meisten Switche können es - jedoch nicht mit jedem IOS. Entweder nimmst du also ein entsprechende teureres IOS für den entsprechenden Switch, oder aber du nimmst dir einen günstigen Router, der VPN kann, wie z.B. ein Gerät aus der 18xxer Serie. Leider schreibst du jedoch nirgends, was das überhaupt für eine VPN-Verbindung sein soll (also welcher Typ VPN, wie viele User, welche Bandbreite, ob Einwahl per Telefon/ISDN oder Einwahl über das Internet). erst nachdem die Fragen geklärt sind, kann man da eine definitive Aussage zu treffen.

Bearbeitet 24. Mai 2009 von Crash2001

[dgr243]

Nachdem ich beim Lesen des Threads mehrfach geschmunzelt habe vielleicht noch mal eine kurze Gegenüberstellung von Router und Layer 3 Switch.

Prinzipiell machen ein Layer 3 Switch und ein Router genau dasselbe. Sie routen.

Rechner A will an Rechner B ein Paket senden. Beide stehen in unterschiedlichen IP Netzen.

Rechner sendet also sein Paket an die IP von B mit der Ziel MAC Adresse seines Gateways (aka Router oder L3 Switch).

RouteR/L3 Switch nimmt dieses Paket an und sendet es mit seiner MAC Adresse und der IP von Rechner A als Quelle an MAC und IP von Rechner B.

Die Antwort funktioniert dann eben umgekehrt.

DAS und nichts anders macht ein Router.

Unterschiede:

L3 Switch bezeichnet ein Gerät, welches Pakete in Wirespeed routen kann. Das geschieht dadurch, dass das Pakethandling in Hardware läuft, wohingegen auf einem normalen Router dasselbe über die CPU desselben läuft und aufgrund der höheren Verarbeitungsdauer kein Wirespeed möglich ist.

Das wiederrum bezieht sich aber auf normale Router. Die kriegst du heute aber im professionellen Umfeld kaum mehr. Wenn wir bei Cisco bleiben, wirst du in 99,9% der Fällen Cisco Express Forwarding (CEF) vorfinden, welches eben Teile der Routingfunktionalität wieder näher an die Hardware rückt. Bei aktueller Hardware ist der einzige echte Unterschied, dass ein Switch eine deutliche höhere Portdichte hat als ein Router und ein Router dahingegen eine höhere Auswahl an Interfacearten (PDH/SDH, DSL, Ethernet, ATM,....). So ziemlich jede andere Funktion findest du zwischenzeitlich sowohl auf Routern wie auch auf Switchen.

Bewegst du dich ausschliesslich im LAN Bereich (ohne WAN Anbindung), würde ich bei deinem Mininetz dazu tendieren:

- L2 Switches im Access Bereich (Etagenswitches)

- Collapsed Core Modell durch Zusammenfassen von Distribution und Core Layer

- Collapsed Core durch L3 Switch(es) abbilden

Im Idealfall wird das dann so aussehen, dass du 2 Collapsed Core Switches hast, die einander auf Layer 2 per RPVST (Rapid per VLAN Spanning Tree) und auf Layer 3 per VRRP/HSRP backuppen. Alle Access Switches haben dann je einen Link auf Core1 und einen auf Core2.

Einen "Serverbereich" bindest du durch einen entsprechenden Access Switch an, an welchem ausschliesslich die Server hängen.

Des weiteren: Das Netz welches du da bauen willst verwundert mich. Wieso sitzt man mit 60 Mitarbeitern (aka Ports) in 2 verschiedenen Gebäuden? Und wieso hat man für die kleine Mitarbeiteranzahl ein 100 Kilo€ Budget?

Sorry, aber für 100kilo€ würde ich hier den kompletten Standort neu machen können. Und wir reden hier von 2 Datacentern mit je 45 Racks und 400 Mitarbeitern mit je 3 Ethernetports....