mehrere VLANs auf SFP+ Port

Es gibt 39 Antworten in diesem Thema, welches 12.729 mal aufgerufen wurde. Der letzte Beitrag () ist von SGzwei.

    Hallo an alle,


    ich habe gerade ein kleines Problem bzw. benötige ich Hilfe.


    Wir schauen uns gerade die Unifi Produkte an und sind auf die Dream Machine Pro gestoßen. Unser Plan ist ca. 50-60 APs später im Einsatz zuhaben.

    Aktuell habe ich die Dream Machine Pro und 2 APs bei mir liegen.


    Mein Gedanke war jetzt, da ich nicht alle 50-60 APs über eine 1Gig Leitung anchsließen will nehme ich die 10Gig Ports die an der Dream Machine Pro sind. Somit wäre ein 10Gig für alle APs und der andere 10Gig Anschluss für WAN.

    Zusätzlich will ich auf dem 10Gig Anschluss der APs mehrere VLANS haben.


    Ich muss zugeben das der ganze Unifi Kram für mich noch neu ist. Ist das so möglich ?


    Aktuell habe ich einen der 10 Gig mit Wan angeschlossen und konfiguriert und wollte tesetweise hier WAN und die APs laufen lassen. Ich finde aber auch hier nicht den Punkt mit mehreren VLANs auf einem Interface, vorallem auf dem WAN Interface.


    Vielen Dank und Grüße


    SGzwei

    Hallo,


    ich nutze bei meiner UDM Pro den WAN 1G Port (an FritzBox)

    Der 10G WAN Port ist bei mir ungenutzt.

    Für LAN nutze ich den 10G Port Dieser geht an mein Switch und von dort mit 10G weiter an die anderen Switche.

    Clients und APs sind mit 1G an den Switchen.


    Die UDM gibt alle VLANs und auch das untagged Management LAN über den 10G LAN Port an die Switche. Dabei musste ich nichts in der UDM pro für den LAN 10G Port einstellen


    Grüße


    Niko

    1G Kabel / FB 6591 / UDM-Pro / Zyxel xgs1930-28 & GS1900-24 / UAP-AC-Pro & AC-M / Div. Server & NAS (Synology)

    Gefällt mir 1

    Hallo Niko,


    danke für deine Antwort, ich sehe nur nicht wie das jetzt hilft. Denn ich will die 1 Gig ports nicht benutzen. Weil ich die Anzahl an APs nicht über 1 Gig abfahren will bei ca. 50-60APs, bei uns wird sehr viel wlan genutzt und auch größere Datenmengen kopiert. Dazu muss ich sagen das wir im Backend Verbindungen >=40 Gig haben und nach draußen >3 Gig. Somit wäre für meine WLAN user die 1 Gig Nummer ein ordentlicher Flaschenhals. Mir würde schon lediglich reichen ein 10Gig Port als WAN zu nehmen und den anderen 10 Gig mit mehreren VLANs als Lan.


    Ist das so möglich?


    Viele Grüße


    SGzwei

    Hallo SGzwei,


    die UDM Pro hat 2 WAN Ports (einen 1G und einen 10G)

    Somit ist WAN 10G kein Problem.

    LAN Seitig hat sie 8x 1G Ports und eien 10G Port.

    Ich nutze davon nur den 10G Port zu den Servern, APs und allem andere. Da laufen alle VLANs drüber. Die 1G Ports sind bei mir nicht in Nutzung.


    Also LAN 10G -> UDM -> 10G WAN sollten kein Problem sein.



    Grüße


    Niko

    1G Kabel / FB 6591 / UDM-Pro / Zyxel xgs1930-28 & GS1900-24 / UAP-AC-Pro & AC-M / Div. Server & NAS (Synology)

    Hallo Niko,


    ahh so wird ein Schuh draus, mir war nicht klar das die beiden 10 Gig Ports hard unterschieden werden ...

    Gut dann habe ich durch Zufall den 10 Gig Wan-Anschluss erwischt.

    Dann stecke ich mal in den anderen port.


    Vielen Dank und Grüße


    SGzwei

    • Offizieller Beitrag

    Ich habe einen Trunk erstellt, um das Port-Profil von ALL auf ein spezielles zu ändern. Wenn Dir das egal ist, dann lässt Du die Uplinks auf ALL stehen und gut ist's.

    10GBit/s wird Dir bei 50-60 APs mit rrrrrrrrrrichtig Durchsatz der User auf Dauer auch nicht helfen, könnte ich mir vorstellen. Aber mit 1GBit/s bist Du natürlich deutlich eher am Ende.

    Ich bin gespannt, ob und was Du weiter von Deinem Aufbau berichtest.

    Hi Razor,


    geht denn ein Trunk auf den beiden SFP+ Ports bei der Dream Machine Pro, denn ich finde nichts der gleichen. Das würde ich natürlich bevorzugen.


    Aktuell ist es jetzt so, einer der SFP+ Ports ist 10 G WAN und der andere SFP+ 10G WLAN. Daran laufen gerade über einem VLAN X , 2 x UAP-nano-HD und der Client ist ein Surface Book 2 und Verbunden via 5G mit 866mbps.

    Nach außen bekomme ich knapp 550mbps aber leider nach intern nur knappe 260mbps. Was daran natürlich doof ist, das er über den einen 10G Port die Daten vom Server holt und über den gleichen 10G Port die Daten an den AP zum Client schiebt. Die Frage die ich mir jetzt hier stelle ist, ist die Dream Machine Pro für uns das richtige? Ich finde die APs und das Produkt Portfolio gut, da wir auch auf die Kameras gehen wollen. Ist es denn Möglich einen Physischen Server hinzupacken mit sag ich mal 25G Anschlüssen oder mehr (bei uns schon vorhanden) und da den Controller zu installieren ?


    Viele Grüße


    SGzwei

    Einmal editiert, zuletzt von SGzwei ()

    • Offizieller Beitrag

    Moin,

    ich fange mal von unten an: ich denke ganz klar nicht, dass ein Controller auf einem solchen Server - zumal beim Switch bei 10GBit/s Schluss ist - Dein Problem in irgendeiner Weise lösen wird, denn der Controller hat mWn mit dem Speed im LAN praktisch nix zu tun: zwischen den VLANs routet das GW (UDM-P) oder ein entsprechend aktueller Switch. Ich hatte hier im Forum in einem andern Thread eine kurze Übersicht bzgl. des Switching Speed gesehen, kann mich aber nicht mehr an den Thread selbst erinnern.

    Den Trunk erstellst Du im Controller (bei mir unter Settings --> Profiles --> Switch Ports). Anschließend musst Du den Port mit dem entsprechenden Trunk konfigurieren. Das war's dann auch schon.

    Hallo SGzwei,


    um irgendwelche Empfehlungen aussprechen zu können fehlen uns ein paar Informationen zum restlichen Netzwerk, z.B. sind auch Unifi Switche vorhanden oder wird andere Hardware eingesetzt? Allgemeine Netzwerklast, VLANs, Datenverkehr zwischen den VLANs (läuft über den Uplink der UDM Pro), Datenraten WAN (10Gbit symmetrisch?) usw.


    Wenn ihr 10Gbits habt und ausnutzen können möchtet, dann ist die UDM, denke ich, das falsche Produkt :smiling_face:


    Grundkonfiguration der Switch-Ports (Switch Port Profil "ALL") ist ein Trunk. Das Default LAN (VLAN 1) ist meine ich untaggt und alle weiteren VLANs taggt.


    Den Controller auf einem eigenen Server laufen lassen ist natürlich möglich, ist aber eben auch nur der Controller und braucht nicht sonderlich viel Leistung oder gar Bandbreite. Die UDM bzw. UDM Pro lässt sich dort aber nicht einbinden. Diese sind ehr als Art eierlegende Wollmilchsau gedacht.

    Die Unifi Security Gateways benötigen einen separaten Controller. Leider ist Ubiquiti was das angeht gerade nicht gut aufgestellt, bzw. sind die Produkte alt und viele warte sehnsüchtig auf deren Nachfolger.

    Evtl. wäre die USG-XG-8 (8 10G SFP+ Ports) etwas für euch gewesen?

    SGzwei


    Kannst Du kurz erläutern wozu Du APs mit dahinter liegender Infrastruktur mit so hoher Bandbreite brauchst?


    ... wenn ich richtig mit meiner Vermutung liege, dann reicht Dir der bisherige Architekturansatz nicht aus, deshalb die Frage.

    ------

    vg

    Franky

    SGzwei


    Die Problemstellung lässt mich rätseln!


    Der Ansatz ist, 50-60 Access-Point's zu betreiben und diese über eine UDM Pro mit dem Internet zu verbinden.


    Fassen wir mal zusammen; die UDM Pro kann sowohl WAN-seitig wie LAN-seitig 10GBit.

    Also wird Deine Bandbreite zum ISP >3GBit unterstützt.


    Zitat SGzwei:

    Somit wäre für meine WLAN user die 1 Gig Nummer ein ordentlicher Flaschenhals.


    Für Deine User ,die sich über WLAN verbinden, sind schon die Access-Point's ein Flaschenhals.

    In der Regel haben die aktuellen Access-Point's jeweils einen 1Gbit LAN-Anschluß und eine Bandbreite von max. 1300 Mbps im 5GHz-Band und im Idealfall. Die max. 1300 Mbps teilen sich dabei alle User des Access-Point untereinander.


    Alleinig der UWB-XG hat einen 10Gbit LAN-Anschluss.

    Die Bandbreite im Funkbereich 5GHz ist hier jedoch für alle eingebuchten USER max. 5200 Mbps im Idealfall.

    Bei einem Verkaufspreis je Stück von zurzeit € 1.510,11, wird das bei bis zu 60 Access-Point eine Investition wie für einen Mittelklasse-Wagen.


    Erst bei Nutzung solcher Access-Point's hast Du den von Dir angeführten "Flaschenhals" (1Gbit) nicht.


    Dann benötigst Du aber auch ganz andere Bandbreiten im Backbone und zum ISP.


    Gruß!

    Guten Morgen,


    ich versuche mal auf die Punkte soweit einzugehen.


    Mit der Aussage das bei Switchen bei 10Gig Schluss ist, ist nicht ganz so korrekt. Ich gebe mal einen kleinen Überblick wie es bei uns aufgebaut ist.

    Wir haben einen Mix von Brocade (ICX7750) und DELL (S5248) Switchen. Serverräume sind mit 2 x 100Gig angefahren (Core zu Serverräumen und zwischen den Serverräumen) und Server selbst zwischen 2 x 25 bzw. 2 x 50 Gig. Zu den Etagen selbst geht es mit 2 x 40Gig. Ergo ist bei 10 gig am Switch nicht Schluss ;), sondern eher beim Client selbst mit 10 gig :winking_face: (Kupfer).


    Wir sind relativ groß was die Fläche angeht (Gewächshäuser), deswegen die vielen APs, hier werden Messungen vom Wachstum der Pflanzen etc durchgeführt das Produziert schon etwas an Daten (genauer kann ich hier nicht eingehen, da es um Forschung geht). Deswegen reicht 1Gig am AP schon aus, da hier keine 20 Personen oder mehr an einem AP befinden. Dann in dem Bürobereich gibt es klar den Anschluss via Kabel. Es gibt aber unter den Wissenschaftlern tolle Personen die unbedingt Ihre Freiheit brauchen und über WLAN flexibel sein wollen und eben dann ihre 50 oder 100 Gig an Daten gerne mobil über WLAN ziehen und bearbeiten wollen, ist leider so. Das ist leider kein einzelfall, das gute ist,das sich hier die Personen auf das Geäude gut verteilen. Weswegen ich denke, das 1 Gig am AP noch ausreichen sollte. Ja ich weis auch das die Datenrate runter geht bei vielen kleinen Datein, hier reden wir aber davon das eine Datei schnell diese 50GB hat. Somit sind es meist nur 2 oder 3 Datein die Kopiert werden. Ich brauch einfach den Durchsatz im Backend und nicht direkt am AP. Klar sollte eine gute / hohe Datenrate über 5Ghz zum Client vorhanden sein, aber wenn viel gleichzeitg passiert ist der Controller der Flaschenhals.


    Die Daten scheinen aber über die Dream Machine zu laufen, denn die ist ja das Gateway für die APs. Denn das VLAN mit der SSID geht ja erst zur Dream Machine und von da dann weiter über das WAN Interface zur Firewall (bzw. Router) die sich dann weiter um alles kümmert (wo welcher Client hin darf). Hier wäre natürlich die Frage kann ich das umgehen. Sprich das ich sage das Gateway ist direkt unser Core-Router bzw. je nach SSID die Firewall? Denn dann, ist die Dream Machine raus und nicht mehr direkt mit dem händeln der Daten zuständig, sondern nur noch mit der Auswertung beschäftigt. Ich kenne es nur von unserem bisherigen Produkt so, das eben der Controller eben auch das Gateway ist. Dieser ist alt und eben in die Jahre gekommen und schafft es nicht für genügend Durchsatz zu sorgen.


    Ich bin eben auch nur auf die Dream Machine gekommen, weil sie uns empfohlen wurde und ich eben gesehen habe das sie 2 x 10 Gig hat. Zudem war die Anbindung der Kameras ein nettes Feature das uns die Dream Machine bringt, denn hier sind wir auch aktuell am Schauen. Das wäre also eine nette Lösung gewesen. Sollte sich raustellen das Unifi eben doch nicht das richtige ist, dann ist es eben so. Ich fand die Oberfläche sehr nett und auch die APs sehen vernünftig aus. Für mich ist das ganze Thema Unifi sehr neu deswegen diese vielen vielleicht unbeholfenen Fragen ;).


    Ich hoffe das ich alles soweit beantworten konnte.


    Viele Grüße


    SGzwei

    2 Mal editiert, zuletzt von SGzwei ()

    Du gehst mit deinen Erläuterungen auf die Datenmenge, nicht aber auf die Netzstruktur ein. Dies erschwert etwas Vorschläge zu unterbreiten.


    ICH würde die Unifi APs direkt an die jeweilig ideal gelegenen Core Switche hängen und die APs mit einem separaten Controller (kostenlos bei Unifi) administrieren.


    Je weniger Subsysteme Du hast, umso einfacher wird es im Burst Betrieb.


    Damit bleibt es ausschließlich deinen Core Systemen überlassen mit der Bandbreite zurecht zu kommen. Der Controller managed letzendlich nur die APs und ist im eigentlichen Datenverkehr raus.


    Die Administration des Netzwerkes ist damit zwar grundsätzlich etwas schwerer zu betreiben, aber aufgrund deiner bisherigen Infrastruktur sollte das für Dich kein Problem darstellen.


    Sollte später die Kamerathematik relevant werden, kannst Du noch immer überlegen auf UDM pro oder auf DVR-Rekorder zu gehen.

    ------

    vg

    Franky

    Gefällt mir 1

    Hallo,


    anbei mal ein Bild wie die aktuelle Struktur ist. Man kann sich vorstellen an fast jeden der schwarzen Punkt wird mindestens ein AP maximal 7 APs hängen. Wie gesagt ziemlich weit gestreut das ganze.



    Die Dream Machine steht aktuell bei dem Punkt in der Mitte vom Stern. Hier befindet sich der Core-Router und auch die FW. Von der Firewall geht ein VLAN 1 (nicht die echte ID, untagged an der Dream Macine) über den Core zur Dream Machine an den 10 Gig WAN-Anschluss. Dann geht VLAN 2 (MGMT der APs , am AP untagged) von der Dream Machine über den Core ins Netz (tagged) und ist aktuell nur verteilt bis zu den 2 Test-APs(die an 2 verschiedenen Punkten stehen). Dann gibt es ein 3. VLAN mit der SSID X auch wieder von der Dream Machine zum Core und dann direkt zu den APs (tagged). Ergo müssen die APs aktuell über die Dream Machine Kommunizieren und über den WAN-Anschluss zur FW. Die FW erlaubt dann den Traffic von Clients zu bestimmten Diensten etc.


    Die Dream Machine bekommt auf ihrem WAN-Anschluss die IP via DHCP Reservierung von der FW, und im MGMT Vlan der APs verteilt die Dream Machine die IP-Adressen sowie in der WLAN SSID X.


    In der Besten aller Welten wäre also die Konfiguration so.

    Ein VLAN für Interne geschichten, geht direkt zum Core (dann mit ACLs) oder Firewall und dann können die Clients sich via Radius Authentifizieren. IP Soll aber von der Dream Machine kommen.

    Ein VLAN für Gäste, geht direkt zur FW und raus. ( IP kann hier auch von der Dream Machine kommen, geht aber auch von der Firewall)

    Und die Dream Machine ist halt wirklich nur für Konfiguration da und logging etc. denn hier interessiert uns aus der IT gerade die Wifi experience etc., aber kein Man in the Middle mehr für die Kommunikation

    Später dann für die Kameras wieder ein VLAN das zur Dream Machine geht.


    Ich verstehe nur nicht wie ich den SSIDs ein eigenes Gateway mitgebe. Bzw. habe ich ein Verdacht. Im Bereich der SSID kann man ja die DHCP Einstellungen vornehmen und hier gibt es ja auch den Punkt Gateway/Subnet. Ich bin mir nur nicht sicher, ob das die IP von der Dream Machine auf der WLAN SSID ist oder ob ich hier sagen kann, ok ich bin DHCP aber euer Gateway ist meinetwegen die FW mit folgenden Subnetz. Denn dann würde der Verkehr richtig laufen wie gewünscht und ich kann granular jeder SSID das Gateway mitgeben.


    Ich bedanke mich für eure Geduld :smiling_face: und ich verstehe das ich es nicht jedem leicht mache ;).


    Viele Grüße,


    SGzwei

    Drei Fragen stellen sich mir in dem erläuterten Zusammenhang:


    1. Welche maximale AP Anzahl schafft die UDM pro? (In den Datenblättern habe ich leider keinen Hinweis darauf gefunden -> da solltest Du mal den Support fragen)


    2. Bist Du sicher, dass Du mit einem Layer 2 Switching auskommst? Bei deiner Anforderung(en) würde ich auf Layer 3 Switching gehen


    3. Welche Verfügbarkeit wird erwartet? Bei den Anforderungen solltest Du ein Redundanzkonzept vorsehen.


    Ich würde versuchen die Netzstruktur zu vereinfachen. Das lässt sich in dieser Ausprägung kaum mehr monitoren / supporten.

    ------

    vg

    Franky

    Gefällt mir 1

    Hi,


    Zu Frage 1:

    How many access points (APs) can the UniFi Dream Machine Pro support?

    At least 16 but the exact upper limit is unclear because Ubiquiti couldn’t complete their internal testing due to COVID-19.


    The UDM Pro can also support at least 24 UniFi Protect devices.


    I’ll update this section when I get new test results from Ubiquiti.

    UniFi Dream Machine Pro Review [Comparison to UDM and USG Pro] (michaelkummer.com)


    Wenn das wirklich so ist, dann hat sich das ganze erledigt xD ..... gibt es hier etwas von unifi das mehr kann, ode gleich komplett cloud ?


    Zu Frage 2:

    Aktuell passt das wunderbar, denn das ganze routing etc. reicht auf dem einen Core. Der Rest ist mit diversen VLANs versehen, ich sehe aktuell kein Grund bei den Switchen auch auf Layer 3 zu gehen, da ich nicht dort schon mit routen arbeiten muss. In anbetracht der WLAN geshichte wäre es ja gut wenn ich der SSID ein eigenes Gateway mitgeben könnte, das wäre der Punkt den ich zuvor angesprochen hatte, wofür genau das Gateway/Subnet im Network --> Advanced Dialog steht.


    Zu Frage 3:

    Redundanz wäre das nächste Thema, wenn die Basis funktionen geklärt wären.


    Diese lässt sich nicht vereinfachen, da es mehrer Gebäude sind mehrere Gewächshäuser etc. Ich finde es geht ganz gut, habe nicht so wirklich trouble mit dem System sind aktuell knapp 170 Switche. RMON ist hier ein mitel der Wahl und eben Monitoring via SNMp / SNMP Traps. Daher bekomme ich relativ schnell Informationen. Dann gibts noch ein Netzwerkzugangsschutz der mir sicherstellt das kein mist passiert mit Fremdgeräten.

    Daher passt das schon.


    Viele Grüße und danke für die Hilfe


    SGzwei

    So wie ich das sehe, kann man in einem Cloud gehosteten Controller, oder einem alleinstehenden (ohne UniFi-Gateway) CloudKey den im Controller angelegten Netzwerken jeweils eigene Gateway IP/Subnet's zuweisen.


    Dann wäre es auch möglich, den WiFi-Netzen diese angelegten Netzwerke zuzuweisen und damit die SSID's auf die jeweiligen Gateway's (Core-Router) zu "routen"!


    Ist im Netzwerk ein UniFi Gateway (USG oder eine UDM) bezieht sich der UniFi-Controller auf dieses Gateway und die im Controller definierten IP/Subnet's werden dort angelegt und auch dorthin geroutet.


    Für die UDM bin ich mir da ziemlich sicher, da sie den UniFi-Controller als App mitbringt. Eine Möglichkeit dem UniFi-Controller der UDM ein weiteres Gateway anzugeben habe ich nicht finden können. Ob ein zusätzliches USG im Controller adopted werden kann, habe ich nicht ausprobieren können.


    Das mit einem Cloud-basierten Controller kannst Du ja testhalber mal ausprobieren.


    Ich habe in meinem Cloud-Controller eine "Site" in der ich ein Netzwerk einer FRITZ!Box angelegt habe und AccessPoint's mit ihren SSID's dorthin route. Dabei administriere ich ausschließlich die AccessPoint's mit ihren SSID's!


    Gruß!

    Hi,


    vielen Dank für den Link bzw. Info, das werde ich mir gleich mal anschauen :).

    Die Hoffnung stirbt zuletzt ;). Aber das war auch mein Gedanke den ich vorher schon weiter oben hatte. Das Stück Software auf einem Server bei uns zu packen. Denn lieber wäre mir eine on premise installation bei uns auf einen der ESX-Server, denn dann habe ich auch eine gewisse Hochverfügbarkeit.


    Grüße


    SGzwei