Aufbau eines redundanten Netzwerks

Du kannst hintereinander liegende Ports aggregieren. Das ist allerdings dann 2 oder mehr Portverbindungen zwischen genau 2 Switchen, nicht von einem zu zwei oder mehreren Switchen verteilt.

Ansonsten baust Du da schöne Loops im Bild. Wenn es überhaupt vernünftig läuft, ist die Frage wo Unifi dann den Loop durch Portblockierung öffnet.

Und wofür die UDM wenn es ne Sophos gibt? Die UDM ist ein Gateway und möchte auch so arbeiten. Da macht der Controller wohl als Software mit geeignetem Unterbau Sinn, bei der zu erwartenden Anzahl an Clients.

Das USP-RPS ist keine USV, falls dir das nicht bekannt ist. Du braucht damit in jeder UV 2 getrennte Stromkreisläufe, einen für die USP-RPS und einen für den Switch. Fällt die AC-Versorgung für den Switch aus, bekommt er DC-Strom von der USP-RPS (solange die noch Netzspannung hat).

Ne echte USV wäre da sinnvoller, wobei ich sowas je nach Größe eher im Gebäudemanagement sehe. Was bringt ein blinkender Etherlight-Switch, wenn die Arbeitsplätze stromlos sind …

Quote from nico

Genau das ist ja die Frage. Gibt es eine Möglichkeit eine solche Ausfallsicherheit herzustellen, wenn einer der Aggregation-Switche ausfällt?

...

Ja stimmt, wir brauchen nur einen Hardware-Controller um die Umgebung zu verwalten, das Gateway ist hier wohl fehl am Platz. Was wäre eine Alternative?

Ich wüsste keine Möglichkeit eine solche Ausfallsicherheit zu schaffen. Damit hab ich mich auch nie befasst.

Den Controller als Hardware fertig gibt es nur den Cloudkey Gen2 Plus ... bei der Masse an Geräten dürfte der aber vielleicht überfordert sein, zumindest wird die Oberfläche sehr zäh aktualisieren. Die Softwareversion auf einer VM oder Blech wäre die Alternative. Redundanz gibts da aber eher nicht ... zumindest nicht ohne Bastelei.

Quote from nico

Genau das ist ja die Frage. Gibt es eine Möglichkeit eine solche Ausfallsicherheit herzustellen, wenn einer der Aggregation-Switche ausfällt?

Gibt es mit Sicherheit, ich weiss aber nicht ob Unifi das unterstützt - wenn die Enterprise sein wollen, müssen die sowas können.

Aber das ist wieder so eine Thema, der Aufbau eines solchen Netzwerkes ist nichts für den Gelegenheits-Admin der das zwischen Frühstück und zweitem Kaffee macht. Das setzt eine ordentliche Planung mit Background-KnowHow voraus.

Für solche Installationen wäre sicherlich der CloudKey-Enterprise die sinnvolle Lösung.

Quote from nico

Alles soll in ein bestehendes Unternehmen implementiert werden. DHCP, DNS und Co. auf Windows Server 2022.
Davor hängt noch eine Sophos XGS 2100 als zentrale Firewall.

Eigentlich müsstest du hier schon mal ansetzen und eine 2. beschaffen, die als Spiegel mitläuft, dies ist ja bei Sophos schon immer (min. 10 Jahre, so lange haben wir es in der Firma) implementiert. Und daran jeweils eine UDM, warum auch immer. Eigentlich kann die UDM es doch nichts besser als die Sophos incl. ihrer APs. Zwar ist die neue Fw in der UnifiOS besser geworden, aber an die von Sophos kommen sie einfach nicht ran.

PS: welche Verfügbarkeit möchtest du denn erreichen. Man kann diese ja auch in lokale Bereiche/Arbeitsbereiche/Aufgabenbereiche aufteilen.

Quote from phino

Eigentlich müsstest du hier schon mal ansetzen und eine 2. beschaffen, die als Spiegel mitläuft, dies ist ja bei Sophos schon immer (min. 10 Jahre, so lange haben wir es in der Firma) implementiert. Und daran jeweils eine UDM, warum auch immer.

Korrekt, die Sophos kann das definitiv, jede bessere Firewall kann das auch, hab selbe ne OPNSense installiert in HA Ausführung und auch Unifi UDM's können das mittlerweile - aber ich würde auch dazu raten, die Sophos zu nutzen als HA-Installation

Was hier in dem Fall notwendig ist, bezeichnet Unifi als "MC-LAG" = Multi-Chassis Link Aggregation - zwei Switche als natlose Redundanz und Lastverteilung., nachfolgende Switch werden über zwei Link angebunden. und Ausfall erfolgt dann ein Failover.

Das ist eine Funktion der Enterprise-Switch ( aber wohl nur dem Enterprise Campus Aggregration Switch ) , wird so auf der Webseite beworben, ob die anderen das können, kann ich nicht sagen, bei den PRO-Switch ist es nicht aufgelistet.

Das ist eine Funktion, die erwarte ich von einem Enterprise-Produkt einfach, das ich redundaten Switche + Links konfigurieren kann.

Quote from Tomcat

Das ist eine Funktion, die erwarte ich von einem Enterprise-Produkt einfach, das ich redundaten Switche + Links konfigurieren kann.

Ja, das ist bei dieser Klasse üblich. Die HPE Switche bei der Arbeit haben dies auch. Gibt es da ab der 3500er Serie.
Die sind dann in derselben Preisklasse.

Quote from phino

Ja, das ist bei dieser Klasse üblich. Die HPE Switche bei der Arbeit haben dies auch. Gibt es da ab der 3500er Serie.
Die sind dann in derselben Preisklasse.

Ganze Backbone-Netz werden redundant aufgebaut, oder die Rack-Anbindung im Rechenzentrum und wichtige Server mit redundanten Netzwerkanbindungen - kenne ich garnicht anders.

Quote from Tomcat

Ganze Backbone-Netz werden redundant aufgebaut, oder die Rack-Anbindung im Rechenzentrum und wichtige Server mit redundanten Netzwerkanbindungen - kenne ich garnicht anders.

Ja natürlich. Aber bei einer Firma schon eine andere Hausnummer. Hängt finde ich stark von den aufgaben ab. Bei einer Installationsfirma, auch wenn sie etwas größer ist, sind redundante Netzwerke nicht unbedingt notwendig, aber Backup etc. sehr wichtig.
Sieht bei einem Architekturbüro selbst mit nur 10 Mitarbeiter aber schon anders aus. Wobei die Übergänge zum mobilen Arbeiten und Cloud auch eine Rolle spielen.

Wenn nico jedenfalls darüber nachdenkt, sind an verschiedene Stellen USV auch noch eine wichtige Aufgabe.

Quote from phino

Hängt finde ich stark von den aufgaben ab.

Ja, vor allem aber von den prognostizierten Kosten eines Ausfalls. Die BWLler können Dir für jede Abteilung genau sagen, was die Firma an dieser Stelle eine Stunde IT-Ausfall kostet. (Ob das wirklich immer belastbar ist oder nicht auch häufig Finanz-Schamanentum sei mal dahingestellt). Auf dieser Grundlage wird jedenfalls entschieden, wie lange RTA/RTO und RPO sein dürfen - woraus die IT wiederum ableiten muss, was es konkret braucht, um diese Vorgaben einhalten zu können.

Es ist durchaus auch good practise, statt hot spare auf cold spare zu setzen, also baugleiche Ersatzgeräte im Schrank zu haben. Diese können häufig (teil-)vorkonfiguriert werden, um die Ausfallzeit weiter zu minimieren. Wenn die Vorgabe natürlich lautet "100% Verfügbarkeit", ist Redundanz über hot spares logischer Weise der einzige Weg.

Das was du willst geht nur mit der Enterprise-Serie von Unifi

Alle anderen Geräte, Pro-Sumer, wenn man das so nennen will, können das nicht. Hier geht RSTP. Das funktioniert aber auch ganz okay.

Quote from nico

Ja korrekt, eine USV ist in jeder Unterverteilung vorhanden.

Was willst mit ner USB an den Switchen, wenn die ganzen Clients keinen Strom mehr haben ?

Sorge lieber dafür, das zentrale System wie Server ne ordentlich große USV haben und dann auch kontrolliert bei längerem Ausfall runtergefahren werden oder es eine Netz-Ersatz-Anlage gibt ( = Generator )

Switch mit USV halte ich überhaupt nur im Serverraum für sinnvoll.

Quote from Tomcat

Was willst mit ner USB an den Switchen, wenn die ganzen Clients keinen Strom mehr haben ?

Sorge lieber dafür, das zentrale System wie Server ne ordentlich große USV haben und dann auch kontrolliert bei längerem Ausfall runtergefahren werden oder es eine Netz-Ersatz-Anlage gibt ( = Generator )

Switch mit USV halte ich überhaupt nur im Serverraum für sinnvoll.

Dies erscheint mir heutzutage nicht mehr sinnvoll.
Meine Tochter arbeitet bei Samsung. 3 Tage Home / 2 Tage Office. Sie arbeite immer mit ihrem Laptop.
Klar kommt er in irgendeine Dockingstation im Büro, aber es wird auch dort per WLAN bei Meetings etc. gearbeitet. Sprich, es ist schon wichtig, dass die Etagen-Switch Strom haben, um die AP weiterzubetreiben.