Moin in die Runde,
ich plane aktuell den kompletten Austausch von EOL-Switches und Sophos-Firewalls gegen UniFi-Hardware bei einem Kunden und würde gern eure Meinung zur geplanten Topologie hören.
Aktuelles Setup:
- 2x 24-Port Switches (EOL)
- 2x Sophos SG125 im HA-Verbund
- 1x LANCOM 1800EF-5G am Telekom-Modem (eigene PPPoE-Einwahl + VPN-Tunnel)
- 1x Telekom-Modem → PPPoE-Einwahl läuft direkt über die Sophos
- Vom Vorgänger wurde hier alles wild verkabelt, eine echte Redundanz ist nicht gegeben
Geplantes Setup:
- 2x UDM Pro Max im Shadow Mode (VRRP)
- 2x USW-Pro-24-PoE+
- 2x UniFi WAN Switches (je einer pro WAN-Leitung)
- LANCOM bleibt bestehen (VPN-Tunnel + zweite WAN-Leitung)
- Dual-WAN mit Load Balancing (gewichtet nach Bandbreite)
- LACP Trunk zwischen den beiden Access-Switches (Port 23+24)
- STP-Priorities sauber gesetzt (Switch #1 = Root)
Zum Thema Switch-Redundanz:
Da der Kunde sein Budget schonen möchte, habe ich bewusst auf ECS-Aggregation Switches mit MC-LAG verzichtet. Stattdessen ist mein Kompromiss: Jede UDM hat einen aktiven LAN-Uplink (Port 11 SFP+) zum zugeordneten Switch, plus ein zusätzliches Notfall-Kabel (Port 1 RJ45) das bereits zum jeweils anderen Switch gesteckt, aber in Port Manager deaktiviert ist.
Bei einem Switch-Ausfall gehe ich per Site Manager auf die betroffene UDM, deaktiviere Port 11 und aktiviere Port 1
Macht das so Sinn oder übersehe ich etwas? Bin für jeden Input dankbar.
