Anbindung SAN-Netzwerk an Unternehmens-LAN

Es gibt 16 Antworten in diesem Thema, welches 523 mal aufgerufen wurde. Der letzte Beitrag () ist von Phil-DE.

    Moin zusammen,

    ich stehe momentan vor der Herausforderung, unser Unternehmensnetzwerk mit UniFi abzubilden.

    Für das SAN-Netzwerk (Storage-Systeme + Hypervisor + Backup-Server) sind 4x Aggregation (8 Port) Switches beschafft worden.


    Der iSCSI Traffic läuft über ein eigenes VLAN. Über die SAN-Switche würde hier dann nur der iSCSI-Traffic geswitcht werden.

    Der Datenverkehr der virtuellen Maschinen vom Hypervisor werden direkt an die "Core-Switche" angeschlossen. Zur Anbindungen an den Core wurden USW-Aggregation Pro beschafft.


    Hat jemand eine Idee wie ich die zwei USW-Aggregation 8 Port Switche an das LAN angebunden bekomme, um eine Verbindung zum Controller zu bekommen?

    (2 Stück werden wir uns als Reserve vorhalten, UniFi kann ja kein Stacking soweit ich weiß)


    Da ich RSTP im Unternehmen verwende, würde (so ist zumindest meine Vermutung) die Verbindung zwischen beiden SAN-Switchen deaktiviert werden, richtig?

    Oder baut UniFi pro VLAN ein eigenes Spanning-Tree auf?


    Plan wäre nämlich der gewesen, über die SAN-Switche nur die iSCSI-VLANS zu switchen und den Rest an den "Uplink-Ports" gar nicht erst hereinzulassen.

    Ich habe dazu mal einen groben Netzwerkplan angefertigt (Datei im Anhang).


    Kann mir da jemand einen Tipp geben?

    Danke!

    Zitat von Phil-DE

    Da ich RSTP im Unternehmen verwende, würde (so ist zumindest meine Vermutung) die Verbindung zwischen beiden SAN-Switchen deaktiviert werden, richtig?

    Oder baut UniFi pro VLAN ein eigenes Spanning-Tree auf?

    Das währe dann eigentlich MSTP ich weis das die Edge Dinger das machen können bei manueller configuration.

    Ober das auch mit Unifi geht weiß ich nicht. Auf den fürs MGTM gedachten Ports RTP deaktivieren ist keine Option ?

    Sonsten testen und berichten...

    Guten Morgen,

    ich werde das mit Deaktivieren des STP auf den "Uplink-Ports" versuchen und dabei über diese Verbindung nur VLAN-1 durchreichen. Zwischen den SAN-Switchen müsste ich dann ja vermutlich ein anderes "Default VLAN" hinterlegen, weil ich sonst ja hier einen Loop bekommen würde, oder bin ich da falsch? Einziger Nachteil dieser Lösung ist, nur wenn die Verbindung von einem SAN-Switch getrennt wird, taucht der Switch als Offline auf, da das VLAN-1 ja keinen anderen Weg mehr findet.


    Oder hab ich da einen Denkfehler?

    Zitat von Phil-DE

    Oder hab ich da einen Denkfehler?

    Ich glaube nicht, aber die "Advance" Switch Geschichten sind ja noch schlechter dokumentiert bei

    Unifi als es eh schon ist. Da bleibt ggf nut testen. Evt klappt es auch direkt mit STP auf den PORTS

    wenn das ISASI VLAN nicht mit auf den PORTS ist... weil das dann ja auch keinen anderen weg hat.


    Wobei der SAN weg eh immer Trio haben sollte da er günstiger ist...


    Denke das wird du in einem wartungsfester tatsächlich mal für dich testen müssen.

    Hallo Phil,


    laut offiziellem Forum (hier und insbesondere hier) arbeiten die Switche in Sachen RSTP VLAN-unabhängig.

    Mein Ansatz wäre auch, RSTP portbasiert zu deaktivieren und zu testen. Es kann sicherlich auch nicht schaden, im Vorfeld einfach mal den Support anzutickern. Insbesondere bei den schlecht dokumentierten Bereichen sollte dieser ja ganz besonders in der Pflicht stehen, zu unterstützen.

    Zitat von Phil-DE

    (2 Stück werden wir uns als Reserve vorhalten, UniFi kann ja kein Stacking soweit ich weiß)

    Kurz noch dazu: "Stacking" wie es die üblichen Verdächtigen machen, macht Unifi nicht. Stacking hat aber auch aus meiner Sicht nur begrenzt mit Redundanz und Ausfallsicherheit zu tun, in welchem Kontext Du es erwähnst, sondern v.a. mit Vereinfachung von Management.

    Von daher macht Unifi so gesehen wesentlich umfangreicheres Stacking als andere Hersteller, da sich sämtliche Produkte, also Switches, APs, Router etc. über eine Oberfläche managen lassen.

    Sooo, iSCSI läuft jetzt soweit...


    Nachdem ich heute die Hauptverteilung ausgetauscht habe, habe ich leider noch ein paar Probleme...

    - Accesspoints wollen sich nicht mehr UDM verbinden. (Status: Wird verwendet). Ein Reset der APs kann ja nicht Sinn der Sache sein, ich komme an manche Positionen sowieso nicht so schnell ran um diese zu resetten...

    - Switche stellen diverse Ports auf "blocked" aufgrund von Spanning-Tree. Ich tippe hier auf die APs, die noch Mesh aktiviert haben. Zum Deaktivieren komme ich da bedauerlicherweise nicht, wie oben beschrieben. Ich habe sowieso bisher noch keine Stelle gefunden, wo ich Mesh global deaktivieren kann.

    - Ich bin mir noch ein bisschen unklar, wie ich die STP Prioritäten verteilen soll. Ich habe 2x2 Switche an der Hauptverteilung (2x Pro Aggregation & 2x Pro-48) und im zweiten Server-Raum dasselbe. Stelle ich alle 8 Switche auf die 4096 Priorität, da diese ja als "Hauptverteilung" gesehen werden? Die Verteilungen in den Gebäuden müssten dann die 8000er bekommen und die Verteilungen darunter die 16000er, oder?) Die Sophos, die als Router arbeitet, besitzt ja keine STP-Priorität. (Ich habe dazu mal ein vereinfachtes Netzwerk-Diagramm gezeichnet und es angefügt).


    Kann mir da einer helfen? Mir fehlt es da etwas an Erfahrung...

    Zitat von Phil-DE

    - Switche stellen diverse Ports auf "blocked" aufgrund von Spanning-Tree. Ich tippe hier auf die APs, die noch Mesh aktiviert haben. Zum Deaktivieren komme ich da bedauerlicherweise nicht, wie oben beschrieben. Ich habe sowieso bisher noch keine Stelle gefunden, wo ich Mesh global deaktivieren kann.

    System-->Advanced-->Wireless Connectivity. Die Settings haben übrigens eine Suchfunktion. :winking_face:

    Unabhänging von Spanning Tree wäre es natürlich auch schon vorher schlau gewesen, Mesh abzuschalten, wenn man gar keine gemeshten APs im Einsatz hat.

    Entweder ist jetzt Turnschuh-Administration mit Leiter gefragt, oder Du schaltest STP noch einmal temporär ab und wartest, bis Du die APs wieder erreichen kannst.

    Hast Du das gesamte Netzwerk erst vor ein paar Tagen übernommen?

    Ich dachte, die Switches blockieren Ports? Wenn das so wäre, würdest Du auch keinen Switch mehr pingen können.

    Wann waren die APs denn im Status "erreichbar" und was hast Du getan, nachdem sie es nicht mehr waren?

    Ich fange mal anders an...

    Das Netzwerk habe ich im Laufe meiner Ausbildung übernommen.

    Das Netzwerk bestand aus Switchen diverser Hersteller mit verschiedenen STP-Protokollen. (RSTP, STP und MSTP) war parallel vertreten) und LACP und Static und dynamic Linkagg. Daher wollte ich das Netzwerk auf einen Stand ziehen (Homogener Hersteller) und identische Protokolle, etc...


    In den Zweigstellen ist noch kein UniFi Switch vorhanden, ich wollte erst an der Zentrale anfangen, um danach die Zweigstellen in Angriff zu nehmen.

    In der Hauptverteilung waren bisher MikroTik Switche (CRS) + einen CCR als Router verbaut. Da diese Geräte in der Hauptverteilung ausgetauscht werden sollten, und die Entscheidung getroffen wurde, dass auf UniFi gesetzt, werden soll, sind hier UniFi Switche beschafft worden. Vorher liefen die Accesspoints über die MikroTik Switche + CCR.


    Nun habe ich heute die Hauptverteilung Stromlos gemacht, ausgebaut und neu verkabelt. Die UDM wieder mit dem LAN-Port an einen Trunk-Port angeschlossen (damit diese an das AP-VLAN herankommt). Und danach habe ich allem wieder Strom gegeben. Statt dem CCR habe ich dann die Sophos als Router eingerichtet, da der CCR schon des öfters Probleme gemacht hat. Die Server sind auch alle erreichbar, daher kann man ja einen Defekt der Switche ausschließen.


    Sprich, vor dem Umbau liefen die APs noch mit dem Controller. Die haben schlussendlich ja nur einmal die Verbindung verloren zur UDM.

    Die Switche schalten die Ports nicht dauerhaft auf Blocked. Es war nur auffällig, dass die überhaupt auf Blocked gehen. Eingesetzt ist eine Sterntopologie (Zur Zeit)

    Wer war denn vor der UDM als Controller aktiv? Es liest sich für mich, dass da die MikroTik Switche (CRS) + einen CCR als Router ja das Netzwerk "im Griff" hatten. Dass es da schon die UDM im Hintergrund und gab es zu dem Zeitpunkt andere IP-Range. Wenn die AP durch konfiguriert sind, können sie auch ohne Controller laufen. Wenn die UDM jetzt ein anderes Mgt-Netz zu ihnen benötigt, denken sie wohl, dass ein neuer Controller im Spiel ist. Mindestens könnte es irgendetwas in diese Richtung sein als Denkanstoß.

    Die UDM war vorher auch schon als Controller aktiv. Die UDM war damals auch über den LAN-Port am Trunk-Port dran. Die IP-Bereiche sind auch dieselben wie vorher. Es hat sich also in der Theorie nichts verändert. Das Gateway ist lediglich ein anderer Typ (Gleiche IP-Adresse). Also die APs sollten keinen Unterschied merken...

    Wer spielt denn den Primary DNS? Hast schon mal versucht die AP's mit set inform <IP> einzubinden? Just my ² Cts, kann auch sein das ich mit meinen Gedankengang völlig falsch liege :face_with_tongue:


    LG

    ⢀⣴⠾⠻⢶⣦⠀ Debian - The universal operating system user
    ⣾⠁⢠⠒⠀⣿⡁ https://www.debian.org
    ⢿⡄⠘⠷⠚⠋⠀
    ⠈⠳⣄⠀

    :right_arrow: Dumme Gedanken hat jeder, nur der Weise verschweigt sie. (Wilhelm Busch) :left_arrow:

    Sooo kurzes Update. Die APs haben wieder zum Controller gefunden.

    Die DHCP-Server sind die AD-Controller. Ich habe jetzt den DHCP für das AP-LAN auf die UDM gelegt, und siehe da, es geht wieder.


    Zu den anderen Problemen scheint es an der Spanning-Tree Konfiguration zu liegen.

    Hat jemand mit Spanning-Tree schon etwas mehr gearbeitet? :grinning_squinting_face: