Topologie, Vlan, Routing - Fachgelaber

Zero_Official

Lieutenant
Registriert
Sep. 2012
Beiträge
689
Ich habe 4 Switche:
1x als Core den TPlink T1700G-28Q L2+
und 3x T1600G -18S L2+
Die Switche sind in Stern Topologie mit jeweils 4x Lacp verbunden, 1x Syno 918+ NAS und ER-4 mit 2x Lacp dran.

Das alles ist mit 6 Vlans bestückt und der Core Routet zwischen.

Jetzt ergeben sich Fragen:
kann man das noch optimieren? zb. Subnetze ins Vlan packen oder umgekehrt!?
Wäre zb. für jeden Vlan auf jedem Switch ein Interface hilfreich? oder reicht der Core? man kann dem Client eh nur eine Gateway mitgeben...

Auf dem ER-4 kann ich Vlans generieren oder Statische Routen angeben, bei einem routet der Switch auf ein interface und zurück über Router Vlans, bei der Anderen Möglichkeit ein interface(untag) und statische Routen auf dem Router.

Was ist besser? Route Path check funktioniert nur bei Statischen Routen.... da es auf demselben interface passiert, als bei Vlans...

Verbesserungs Vorschläge?
 
1. Eine Zeichnung hilft mehr als 1000 Worte
2. Zwischen VLANs wird nicht geroutet. VLANs sind Layer 2. Routing ist Layer 3.
3. Man optimiert nur, wenn etwas schlecht läuft. Was läuft denn bei dir schlecht?
4. Switche switchen. Router routen.

Meiner bescheidenen Meinung nach machen VLANs eh nur Sinn (Ausnahmen gibts immer), wenn man sie mit einem Subnetz kombiniert. Also zB VLAN 10 = 192.168.10.0/24, VLAN 20 = 192.168.20.0/24 usw. Dann kannst du auch routen oder eine Firewall einsetzen. Wobei ich jetzt mal mutmaße, dass in deiner kleinen bescheidenen Bastelumgebung keine Notwendigkeit für Routing oder Firewalling besteht. Zur Erweiterung des Horizonts kann man das aber gerne so umsetzen.
 
  • Gefällt mir
Reaktionen: snaxilian
@DonConto
Selbstverständlich können Vlans über Interface geroutet werden.
Alle Vlans haben. eigenen Subnet.
Zeichnung? wofür? man kann sich im Kopf ausmahlen das der Core in der Mitte ist und die anderen 3 Sternförmig um ihn herum.
Nein es läuft gut, aber ich optimiere gern und bin für alle möglichen Verbesserungs vorschläge offen....
oder zumindest warum nicht anders Meinungen.
 
Wenn du schon keine Zeichnung anhängen willst, dann würde ich mich wenigstens an die korrekten Begrifflichkeiten halten. VLANs werden nicht geroutet. Du kannst von mir aus bridgen. Sobald du routest, sprichst du nicht mehr von VLANs sondern von Subnetzen. Du brauchst IP Adressen zum routen. Keine VLAN IDs. Selbst wenn du zu jeden VLAN ein Subnetz hast, routest du Subnetze und nicht VLANs. Ich weiß was du meinst, du bennenst es trotzdem falsch. Du wolltest Fachgelaber, nicht ich :D

An deiner Umgebung kann man nix verbessern. Niemand weiß, was das soll und was du damit machst. Und funktionieren tut sie ja anscheinend auch. Also...alles super. Lass es so.

Achja: Oben schreibst du:
kann man das noch optimieren? zb. Subnetze ins Vlan packen oder umgekehrt!?

und unten

Alle Vlans haben. eigenen Subnet.

Egal...vielleicht mag dir ja ein anderer "helfen"...
 
  • Gefällt mir
Reaktionen: h00bi und snaxilian
Ichtiander schrieb:
Verbesserungs Vorschläge?
Ja, du könntest damit anfangen, die korrekte Bezeichnung deiner Geräte zu verwenden. Es gibt keinen T1700G-28Q und keinen T1600G -18S. Da fehlen Buchstaben in der Bezeichnung. Glaubst du ernsthaft, hier kennt jeder jedes Modell? Wenn man dann wissen will ob und ggf. welche Features ein Produkt bietet und man das genannte Produkt nicht findet, bzw. nur ähnliche dann ist das nicht hilfreich.
Ichtiander schrieb:
Alle Vlans haben. eigenen Subnet.
In deinem Fall vielleicht aber das muss nicht grundsätzlich so sein. Ja, der am häufigsten anzutreffende Fall ist ein eigenes Subnetz pro VLAN und aufgrund der Tatsache, dass Routing zwischen den Subnetzen stattfindet mag man dann vereinfachen und annehmen, dass ja zwischen VLANs geroutet wird aber diese Vereinfachung und Schlussfolgerung ist halt falsch aber das hat dir @DonConto ja bereits erklärt und diese Fehlannahme wird hier 3-4mal im Jahr in irgendwelchen Threads jedes Mal mit dem gleichen Ergebnis geklärt.

Auch wenn wir uns die physikalische Situation vorstellen können beschreibst du nicht wirklich ob du alle VLANs an allen Switchen brauchst oder nicht.
Grundlegend: Wenn du VLANs und mehrere Subnetze verwendest weil du Systeme voneinander separieren willst und diese nur begrenzt untereinander kommunizieren sollen, dann ist es sinnvoller nicht am "Core" Switch zwischen den Subnetzen zu routen sondern am Router denn solche L2/L3 Switche stoßen schnell an ihre Grenzen wenn da noch größere ACLs hinterlegt sind.

Ansonsten gilt natürlich das KISS Prinzip. Jede weitere Komplexität erhöht nur den Aufwand zur Fehlersuche wenn etwas nicht klappt wie es soll. Wenn alles läuft wie gewünscht, lass es so. Tritt nirgends Paketverlust auf und erreichst du durchgehend 1GBit/s dann braucht es da nix zu optimieren.
Was nicht kaputt ist, muss nicht repariert werden und was so funktioniert wie es soll, muss nicht optimiert werden.
 
  • Gefällt mir
Reaktionen: 0-8-15 User
also mit T1700G und T1600G kann man nichts falsch machen, Google spuckt schon das richtige aus.

Natürlich sind die Vlans auf dem Zentralem und erweiterten Switches auf den ports/lags getagt bzw ungetagt am Endgräte ports, das ist selstverstänlich.
Der Core hat die Vlan interfaces und Routet somit, da ist auch defalt GW zum Router.

Die Frage ist: wurde es was bringen auf jeweiligen Switchen auch ein Interface anzulegen?
zb. SW1 192.168.0.1 SW2 192.168.0.2 usw.. dem client wird ja nur ein GW/Vlan vom Core mitgeteilt.

Würde es was bringen in einem "Subnet" zu bleiben und zb Vlan 2 192.168.0.0/28 und Vlan3 192.168.0.16/28
usw zu machen? man könnte dann ARP Local proxy einsetzen.....

Ich kenne viel Netzwerke die funktionieren aber keinen der Optimal funzt.
 
Ichtiander schrieb:
wurde es was bringen auf jeweiligen Switchen auch ein Interface anzulegen?
Was erhoffst oder erwartest du dir davon? Abgesehen vom Management-Port haben Switche keine IPs, da Layer 2.
Ichtiander schrieb:
client wird ja nur ein GW/Vlan vom Core
WAS?
Wenn du mit Client einen PC/Server meinst der am Switch hängt bekommt der vom DHCP-Server in der Regel IP, Subnet, Gateway. Die VLAN-IDs bekommen die Pakete ja erst, wenn diese vom Client "in" den Switch gehen und wenn die Pakete vom Switch zum Client gehen wird die VLAN-ID wieder entfernt.
Ichtiander schrieb:
Würde es was bringen in einem "Subnet" zu bleiben
Sieh eoben. Was erhoffst oder erwartest du dir davon?

Es gibt nicht die eine perfekte Art und Weise ein Netzwerk einzurichten, sondern das ist abhängig von den Anforderungen.
 
Ichtiander schrieb:
Würde es was bringen in einem "Subnet" zu bleiben und zb Vlan 2 192.168.0.0/28 und Vlan3 192.168.0.16/28
usw zu machen? man könnte dann ARP Local proxy einsetzen.....
Das ist nicht ein Subnetz, sondern 2. Es ist einerlei ob du in VLAN2 nu ein /28er Subnetz verwendest oder ein /8er Subnetz. Subnetz bleibt Subnetz. Wenn Subnetze jedoch über einen Router verbunden sind, dürfen sie sich nicht überlappen, weil es sonst Probleme beim Routing gibt. Dennoch ist es dem Router - sei es ein dedizierter Router oder ein Layer3-Switch mit Routing - vollkommen egal wie groß oder klein die Subnetzmaske ist, solange es keine Überschneidungen gibt.

Ob du nu also im VLAN2 192.168.0.0/28 und in VLAN3 192.168.0.16/28 nutzt oder 192.168.2.0/24 bzw 192.168.3.0/24, spielt keine Rolle - es sind de facto auf Layer2 isolierte Netzwerke, so als wenn sie auf komplett separaten Switches laufen und /28er Subnetze haben keinerlei Vorteile gegenüber /24er Subnetzen. Letztere haben aber insofern einen Vorteil, dass man die IP-Adressen menschenlesbar einem VLAN zuordnen könnte wie gerade angedeutet (192.168.VLANID.0/24).


Ichtiander schrieb:
Zeichnung? wofür? man kann sich im Kopf ausmahlen das der Core in der Mitte ist und die anderen 3 Sternförmig um ihn herum.
Das erleichtert dennoch das Verständnis und vermeidet Missverständnisse.


Statische Routen sind im übrigen bei lokalen Subnetzen nicht nötig. Sobald ein Interface eine IP nebst Subnetzmaske bekommt, wird automatisch eine Subnetzroute (ohne Gateway, da lokal) angelegt. Gib mal bei Windows "route print" ein und du wirst dort 3 automatische Routen finden, die Subnetzroute (zB x.y.z.0), die localhost-Route (x.y.z.123) und die Broadcast-Router (zB x.y.z.255). Dasselbe passiert zB beim ER-4, wenn du an einem Interface eine IP-Adresse einstellst. Das heißt, dass so ein Router sofort und ohne weitere Maßnahmen anfängt, zu routen, sobald du seine IPs eingestellt hast! Statische Routen braucht man nur für "fremde" Subnetze, die nicht lokal am Router anliegen, sondern hinter einem Gateway liegen.
 
  • Gefällt mir
Reaktionen: snaxilian
@Raijin
das ist mir auch klar, was mir nicht klar ist:
Es sind alles Layer 2+ Switche also alle können Routen, bringt es was auf allen Switschen mit zb. Vlan 10
Interfaces anzulegen? zb. SW 1 192.168.01, SW 2 >2 SW3 >3 usw, z. Zeit sind bei mir Alle Switche/ports getagt aber nur der Core hat Interfaces und Routet. daher bringt es was auch an restlichen Switches Interfaces anzulegen und wenn ja der Zweck?


Die Frage zu Static Routen bezog sich auf ER-4.

Ich kann auf ER-4 ganz einfach Static Routen anlegen und alle Vlans erreichen, Switch Port untag.
Ich kann auf ER-4 jeweils Vlans erzeugen und auf dem Switsch Port mit nötigen Vlans taggen.

Die einen Routen sind static die anderen Connected, auf der Firewall kann ich Route path check auf "Strict" setzen, was bei Static klappt da derselbe weg hin und zurück aber bei Connected nicht weil hin über default GW/Switch und zurück über jeweiligen Vlan.
was ist besser bzw der Standard.

Die Subnetz Frage und Vlan bezog sich auf ARP Proxy eisatz, ob man darüber Routing "entlasten" kann.
TPlink dazu:
"Generally, the transmission of ARP packets are restricted in one broadcast domain. If a host sends an ARP request to another host that is not in the same broadcast domain but on the same network segment, the switch will drop the ARP request packet. With proxy ARP enabled, the switch can respond the ARP request with its own MAC address. After that, the ARP request sender sends packets to the switch, and the switch forwards the packets to the intended device."
 
Naja du kannst schon auf jedem der Switche das Routing machen aber wenn du nicht eine Vollbelegung aller Ports hast und alle Ports konstant in beide Richtungen das Netz auslasten wirst du den Unterschied zwischen Routing am Access Switch und Routing am Core Switch vermutlich nicht einmal messen können.
Hast du irgendwann mal doch Probleme im Netz ist dafür dein Aufwand bei der Fehlersuche um einiges komplexer weil die Pakete ja jetzt an mehreren Geräten fehlgeleitet sein könnten. Wie gesagt: So simpel wie möglich und nur so komplex wie nötig. Wenn du keine Notwendigkeit für so eine höhere Komplexität hast dann lass es.
Ichtiander schrieb:
Routing "entlasten" kann
Selbst wenn das eine Entlastung bringen würde, hättest du diese Last dann an anderer Stelle, denn auch der ARP Proxy braucht irgendwie CPU Zeit. Ich würde mal behaupten das simple weiterleiten der ARP Pakete verursacht weniger Last auf dem Switch als ein ARP Proxy.
Ichtiander schrieb:
host that is not in the same broadcast domain but on the same network segment
Hier fängt es ja schon an... Meint TPLink damit Netzwerksegmente auf Layer 1, 2 oder 3? https://de.wikipedia.org/wiki/Segment_(Netzwerk)
Komplexität erhöht die Last, da aufwendiger.
 
snaxilian schrieb:
Hier fängt es ja schon an... Meint TPLink damit Netzwerksegmente auf Layer 1, 2 oder 3? https://de.wikipedia.org/wiki/Segment_(Netzwerk)
Komplexität erhöht die Last, da aufwendiger.

Sie meinen Layer 3 Netze. Das von TPLink beschriebene Szenario meint, dass du ein L3 Netz hast und dieses mittels 2 VLANs in zwei Bereiche teilst. Die VLANs sind dann deine Broadcast Domäne. Wenn du jetzt 2 Clients hast, die zwar im gleichen L3 Netz sind, aber in unterschiedlichen VLANs, dann benötigst du am Switch ein Interface in jedem VLAN und du musst Proxy Arp aktivieren damit die Clients miteinander reden können.

Proxy Arp ist in meinen Augen eine Krücke. Eine Segmentierung löst man mit VLANs und Routing zusammen.
 
  • Gefällt mir
Reaktionen: snaxilian
das Problem was mich eigentlich beschäftigt ist:
auf jedem switch sind 6 Vlans getagt, aber nur der Core hat jeweils IP Interface dazu,
das Problem: Switch 1 hat Client im Vlan 2 und einen Client im Vlan 3 um miteinander zu kommunizieren müssen beide über Core Switch/interface geroutet werden obwohl die auf demselben switch sind.
 
Das ist der Sinn der Segmentierung. Wenn du das nicht willst, hebe die Segmentierung auf. Wenn es sich hier um Arbeitsplätze handelt, wirst du eh wenig bis kein Client to Client Traffic haben.

Ein meiner Meinung nach vernünftiges Design sieht vor, dass man pro Switch ein VLAN und ein IP Segment passend zur ungefähren Anzahl der Switchports hat. Also Switch A mit VLAN 10 und Segment 192.168.0.0/26, Switch B mit VLAN 20 und Segment 192.168.0.64/26 usw. Server entweder an den Core oder je nach Geldbeutel eben auch an eigene Switche.

Wie gesagt, es gibt nicht DAS EINE Design. Definiere Anforderungen, erhalte Lösungsmöglichkeiten. Wenn es irgendwo klemmt wird optimiert. Du kannst vieles konfigurieren. Alles wird irgendwo einen Nachteil haben wenn man sich ein spezifisches Problem ausdenkt.
 
  • Gefällt mir
Reaktionen: snaxilian
es geht hier nicht um Client zu Client, es geht um Traffik innerhalb eines Switches, wo Clients in Verschiedenen Vlans stecken und durch 2 Switch geroutet werden.

Ein Vlan pro Switch ist imho blödsinn da es immer verschiedene Client Kategorien an einem Switch angeschlossen sind.

Ich mache nicht Vlan Server und Vlan client um die dann doch an einem Switch zu vereinen, ausserdem würde es die Sache unnötig verkomplizieren weil ich Zb. Clients die zusammen gehören in verschiedenen Vlans hätte.
 
Ichtiander schrieb:
Ein Vlan pro Switch ist imho blödsinn da es immer verschiedene Client Kategorien an einem Switch angeschlossen sind.
Mist, hätten wir dich doch die letzten 20 Jahre gehabt. Dann wäre uns viel Blödsinn erspart geblieben. Was auch immer "Client Kategorien" sind...wieso packst du die in unterschiedliche VLANs?
 
Es gibt Server, es gibt Clients, es gibt Externe Clients, es gibt printers... alarmanlagen.... Cams....
aber wenn du das alles zusammen schmeisst ist dein Ding.
 
Nö, das mache ich nicht. Ich löse das vernünftig. Aber das willst du ja nicht :)
 
Zurück
Oben