Aufbau Unternehmensnetz mit UI

Es gibt 10 Antworten in diesem Thema, welches 3.207 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

    Hallo zusammen


    nachdem ich UI in meinen eigenen 4 Wänden betreibe, ist es nicht weiter verwunderlich, dass ich meine Begeisterung auch beruflich entsprechend weitergebe. Wir planen nun den Umzug und die Neuausrüstung zweier Standorte und wollen das mit UI realisieren. Ich habe dafür Planung übernommen.


    Derzeit haben wir an jedem unserer Standorte folgende Hardware stehen:

    • 19" Serverschrank à 43HE
    • 2x Netgear-Switche für User-Netz1
    • 2x Netgear-Switche für User Netz2
    • HP-PoE Switche
    • Fritzbox für User-Netz1
    • Fritzbox für User-Netz2

    WIe ihr seht haben wir also zwei Netzwerke, die physikalisch voneinander getrennt sind und somit auch zwei getrennte Fritzboxen haben.


    Beispielhaft für einen Standort habe ich ein Diagramm erstellt, anhand dessen man meine derzeitige Fragen ableiten kann:



    HINWEIS:

    Was man nicht auf der Skizze sieht, ist die eigentliche Ursache, weswegen ich UI verwenden will: Access-Points. Derzeit nutzen wir AVM 3000er via LAN-Bridge. Da der 3000er aber nur EINE SSID aufmachen kann, die er von der Fritzbox bekommt, ist das für uns ungünstig. Wir müssen dann immer zwei der AVM 3000er in unmittelbarer Nähe verbauen, dass User-Gruppe1 und User-Gruppe2 WLAN haben. Mit meinen UI-APs zu Hause kann ich mehrere SSIDs auf einem Gerät aktivieren.

    Hintergrund: Natürlich könnte ich auch beim AVM-Gerät zwei SSIDs einstellen, nämlich das eigentliche Netzwerk und ein Gäste-Netzwerk. Das aber ist von der IP her festgelegt. Außerdem wollen wir User auch mittels LAN einbinden, die dann wiederum im gleichen Netzwerk wie WLAN-User ihres Bereich sind. Das könnte ich zwar AUCH mit AVM machen (Gäste-Port an Fritzbox deklarieren und an diesen Port dann ein Switch hängen) aber das ist alles andere als "korrekt".


    Idee:

    Jedes Stockwerk erhält einen Pro-Switch (z.B. einen USW24-Pro). Auf diesem deklariere ich 12Ports für VLANx und 12 für VLANy. Den Uplink des obersten Stockwerks von netz1 lasse ich auf einen Switch-Aggregator laufen. Auf dem ist ebenfalls eine trennung von Ports in Netz1 und Netz2 deklariert, der die Netze mit anderen Switchen in anderen Stockwerken verbindet.

    So haben alle Stockwerke genug Leistung untereinander zuzugreifen, und vorallem auf den Server im EG zuzugreifen, der zwei getrennte Schnittstellen besitzt.


    Geht so etwas? Also kann der UPLINK eines Switches für ein besteimmtes Netzwerk deklariert werden. Denn ansonsten würde ich mir ja mehrere Schleifen einbauen, die im Netzwerk tödlich sind.


    Die zwei Fritzboxen werden dann zusammengelegt, d.h. eine davon ist der Hauptzugriffspunkt, und die andere die ggf. als FailOver-Lösung, wenn die erste ausfällt. Das ganze bedarf natürlich noch einer UDM-Pro, die auf dem Bild nicht abgebildet ist.

    Darüber hinaus wird mit Firewall-Regeln vermieden, dass User aus Netz1 in Netz2 zugreifen können - bzw. mit Ausnahmen von bestimmten IPs (die das dann aber doch dürfen).


    Vierlen Dank im Voraus.


    Mfg

    Zitat von Kolungate

    Geht so etwas?

    Warum sollte das nicht gehen? Du nutzt hier ja das sogenannte portbasiert Vlan, was dann aber leider zur Folge hat, dass Du diese komischen Aggregatoren benötigst, da zumindest Deine Switchs im EG und OG1 jeweils zwei Uplink-Ports zu wenig haben.


    Warum nutzt Du denn aber nicht Tagged-Vlan, schließlich wurde dies ja dafür "erfunden", um auf einer einzigen physikalischen Netzwerkinfrastruktur mehrere virtuelle Netzwerke aufbauen zu können (welche dann aber auch wieder absolut voneinander getrennt sind). So kannst du dann auch den Backbone ganz einfach von Etagenswitch zu Etagenswitch durchschleifen (die zwei Uplink-Ports je Switch reichen dann ja aus) und die ominösen Aggregatoren können entfallen.

    hallo bic

    Danke für die Info... wow ... habe ich nicht gewusst, dass die UIs das können.

    Mmh stimmt ich kann für einen switch doe Netzwerke deklarieren. Ich dachte durch den Uplink würden sich die Netze dann vermischen.... Tagged-WLAN. Mmmh sind die Lans dann auch getrennt?

    Zitat von Kolungate

    ... habe ich nicht gewusst, dass die UIs das können.

    Das kann jeder 50,-- € smartmanaged Switch :smiling_face:


    Ich habe es hier schon einmal gezeigt, man lernt ja durch Wiederholung :winking_face:


    Was du im Moment mit Deinen Switchen vorhast, ist ja im Prinzip dies:



    Daher portbasiertes Vlan, die Vlans quasi beschränkt auf das Innere des Switchs. Bleibst Du dabei und kommt dann noch ein zweiter (oder gar dritter) Switch dazu, musst Du diese leider derart miteinander verbinden:



    Ob man dafür nun die explizit als Uplink-Ports bezeichneten Ports verwendet oder x-beliebige andere Ports, ist zumindest für die Funktion wurscht - die zwei Leitungen und damit zwei Ports je Switch benötigt man halt. Kommt dann nun auch noch ein dritter Switch dazu, werden bei diesem dann sogar sogar vier Ports verbraten :frowning_face:


    Hier kommt dann tagged Vlan ins Spiel:



    Hier beschränkt sich Verbindung zweischen den Switchen auf eine Leitung, über welche beide Vlans "übertragen" werden. Pro Switch reicht hierfür ein Port, kommt dann noch ein dritter, vierter, fünfter .... dazu, kommt man dann bei diesen jeweils mit zwei Ports aus - dies ist ein großer Vorteil.


    Sorgen, dass sich irgendetwas "vermischen" könnte, musst du nicht haben, die Ports der Switche müssen nur entsprechend konfiguriert werden, damit diese den im Ethernetframe enthaltenen Vlan-Tag auswerten:



    Bei UI ist die Konfiguration jedoch bequem von zentraler Stelle aus möglich.

    Hallo zusammen

    Danke bic


    Ich habe mir das mal auf der UDM-Pro angesehen und ein paar Videos auf Youtube gecheckt. Ich konnte bisher nichts mit den "Port Profiles" anfangen. Dahinter scheint sich das zu verbergen. Ich kann also einem Port ein ganz gewissen Profil zuweisen, wie z.B. User-Netz1. Dann würde der Port nur für dieses Netzwerk offen sein. Ich kann aber auch einen Port taggen. Dann gebe ich z.B. als "Native Network" "User Netz1" an und als Tagged Network "User Netz2". Und das würde also dazu führen, dass auf diesem Port alle Datenpakete von Netz1 und Netz2 zum nächsten Switch weitergereicht werden.


    Ahh .. also klar. Ich erstelle 3 Portprofile bzw. 2 Netzwerke . Durch das erstellen wird automatisch ein Portprofil erstellt. Jetzt erstellöe ich noch einen Trunk, das ist ein "Verbinder", der wie oben beschrieben Netz1 und Netz2 kann. Auf dem Switch weise ich jetzt einzelne Port Netz1 zu und andere Netz2, die auch nur in ihren Netzen kommunizieren können. Und das wars? Geil... :grinning_squinting_face: Und wenn ich einen Access-Point anschließen will, dann deklariere ich den Port für diesen auch als Trunk also als Profil mit beiden Netzen?


    Danke im Voraus

    Es reicht auch, wenn du das bereits vorhandene Profil "All" nutzt. Aber du kannst natürlich auch ein "Trunk"-Profil anlegen und nutzen.

    Ich habe es noch ein bisschen weiter getrieben und sogar zwei weitere Profile angelegt, die im Prinzip nur eine Kopie von "All" sind:

    • Ich habe ein Profil "APs", das alle Ports bekommen, an denen ein AP angeschlossen ist und
    • ein Profil "Switch", das analog für alle Up- und Downlinks bei Switches verwendet wird. Ist wie gesagt nicht notwendig, schadet aber auch nicht und macht die Konfig sprechender.

    Hallo zusammen


    Wegen der derzeitigen Lieferengpässe bei den Layer3-Switchen wie dem USW24Pro frage ich mich derzeit, ob ich die VLAN-Sachen udn deren Verwaltung ausegehend von der DreamMaschinePro auch mit USW24-Witches realisieren kann - also den Layer2-Varianten?


    Und zudem: Wenn ich also ein tagged-vlan betreiben kann, kann ich theretisch auch zwei Router an einem Switch anschließen? Also ein Router zur Weitergabe Netzwerk an die Switche und einen Router direkt (ohne über die UDMPro zu gehen)? Natürlich kann ich dann den Internetverkehr nicht überwachen via der Funkltionen der UDMPro - aber ich könnte dem Netz2 ganz salopp Internet geben, während Netz1 via UDMPro Internet bekommen udn via UDMPro auch verwaltet werden kann?

    Zitat von Kolungate

    frage ich mich derzeit, ob ich die VLAN-Sachen udn deren Verwaltung ausegehend von der DreamMaschinePro auch mit USW24-Witches realisieren kann - also den Layer2-Varianten?

    Die Abgrenzung zwischen Layer 2 und Layer 3 Switchen ist etwas schwammig, ein "echter" Layer 2 Switch ist quasi plug and play, an dem kann man nichts konfigurieren. Alles was so an managed Switch rumschwirrt, ist so etwas wie Layer 21/2, also Layer 2 mit ein paar Layer 3 Funktionen. Dazu dürfte auch der USW24 gehören, denn an sonst würde der ja die "software defined networking"(SDN)-Philosophie von UI zerschießen - kaum vorstellbar. Also ja, das sollte gehen, wenn nicht muss jemand anderes etwas dazu sagen.

    Zitat von Kolungate

    Wenn ich also ein tagged-vlan betreiben kann, kann ich theretisch auch zwei Router an einem Switch anschließen?

    Das kann man ohnehin, nur wenn Du damit meinst, zwei getrennte Netze mit je einem Router betreiben zu wollen, dann ja. Voraussetzung ist, dass der Switch Vlan und/oder Portvereinzelung unterstützt.


    An sonst - ich kann nicht ganz nachvollziehen, warum Du Dich zur Lösung deiner Aufgabe so auf UI versteifst. Einmal davon abgesehen, dass ich nicht versteh, was Du in einer (wenn auch vielleicht kleinen) Enterprise-Umgebung mit einer DreamMaschine anfangen willst (meine Mitarbeiter kleben aus Sorge vor Kontrolle sogar die Webcams am Bildschirm zu), würde ich die Sache ganz einfach aufziehen und auf das vermeintlich so bequeme SDN verzichten.

    Denn was musst Du schon konfigurieren? Zwei, respektive bei Vlan-Fähigkiet nur ein Firewall-Router und je Etage ein Vlan-Switch. Das ist ruckzuck erledigt und im Enterprise-Umfeld muss man da so schnelle nicht wieder bei, anders als bei den Spielwiesen zu Hause (und wenn, dann ist dies über den Webbrowser auch schnell erledigt).

    Das Ganze hätte dann auch den Vorteil, eben nicht auf das angewiesen zu sein, was UI so gerade hat und liefern kann, sondern dass man sich die benötigten Komponenten nach Gusto am Markt aussuchen kann. Und vor allem würde ich die Fritten loswerden wollen und hierfür auch nichts von UI nehmen, sondern auf echte NG-Firewalls setzen, welche zumindest auch Emal-Protektion beherrschen. Denn nur einmal einen Verschlüsselungstrojaner eingefangen und Du kannst den/die Laden gleich dichtmachen - eine vernünftige Backupstrategie wird ja wohl auch nicht existieren.

    Zitat von bic

    eine vernünftige Backupstrategie wird ja wohl auch nicht existieren.

    Hallo bic


    Also grundsätzlich mal vorne weg: nur weil jmd. einen Hersteller (den er aus heimischer Verwendung kenn) nun auch im Unternehmen favorisiert, bedeutet es nicht, dass alles in Frage zu stellen wäre - ganz sicher noch von oben herab....


    Natürlich haben wir Backup-Strategien via Windows Server 2016, QNAPs und externen HDD-Sicherungen, sodass als redundant und ausfallsicher ist - wir haben sogar eine USV :grinning_squinting_face:


    Spass beiseite.


    Danke erstmal für deinen Beitrag: es scheint es wohl GRUNDSÄTZLICHES zu klären geben, obgleich ich darauf nicht weiter eingehen wollte. Ich habe mir auf diversen Messen das SDN-Konzept von netgear und von TP-Link angesehen. Erstbenanntes gefiel mir gar nicht - im Besonderen die monatlichen Preis. Omada von TP-Link sah gut aus... Dennoch habe ich mir persönlich dann UI angeschafft und war von deren SDN überzeugt.


    Wir wollen gerade wegen der Dokumantation SDNs einsetzen, um uns die Network-Maps ansehen zu können, Portbelegungen usw. - alles hakt oftmals an der Dokumentation. Soll heißen: ich komme zur Vertretung eines IT-Kollegen (der Standorte xy betreibt) an eben jene, weil irgendwas nicht funktioniert. Ich beschrifte alle meine Kabel im Serverschrank und auch alle Kabel, die in den Büros an den PCs angeschlossen sind. Naja wenn ich dann da hinkommen ist meist sehr viel im Argen, dass ich erstmal 1-2h brauche zu schauen, wo welches Kabel aufgelegt ist, ehe ich das Problem beheben kann. Das macht eine Online-Lösung, an der die Namen der PCs via SDN angezeigt werden natürlich einfacher. So sehe ich gleich dass an Port 5 des USW24-Pro-PoE ggf. User abc angeschlossen ist, oder dass Switch Flex-Mini in Büro 24 nicht am Netz ist und somit auch seine User nicht....

    Also eine SDN-Lösung ist einfach schlüssiger.


    Natürlich können wir alles auch anderweitig lösen. Wir haben derzeit im Grund genommen 100% Netgear verbaut, aber brauchten bislang keine Layer3-Switche. Als ich den unteranderem Standort-Berlin übernommen habe, hat der Standort 5 Etagen mit jeweils einem separaten internetzugang. Nun kam heraus, dass das Humbuck ist, weil ich entdeckt habe, dass es eine Verbindung zwischen den Stockwerken gibt. Et voila - jetzt brauchen wir plötzlich eine Layer3 -Lösung, um im Gebäude EIN Netzwerk aufzubauen, und nicht 5 verschiedene, die nicht miteinander kommunizieren, obgleich die Mitarbeiter in OG4 auch auf den Server im UG zugreifen müssen - derzeit machen das alle via VPN - aber hey das ist Schrott, wo doch alle in einem Netzwerk untergebracht werden könnten.....


    Angesicht der Lieferengpässe von UI wäre Omada von TP-Link natürlich eine Alternative....

    Also Kolungate - was soll ich sagen? Das kollidiert alle nun ein wenig mit Deinem Eingangsthread (und auch den folgenden), da waren schon -na ich sag mal- spürbare Lücken im Basiswissen erkennbar und nun bist Du auf einmal der große Zampano, welcher sich Network-Maps ansehen möchte, übernimmst die Vertretung von IT-Kollegen und sogar einen Standort mit 5 Etagen in Berlin. Da entdeckst Du dann das ganz große Drama und benötigst nun unbedingt Layer 3 Switche - 24h vorher wusstest Du noch gar nicht genau, was das eigentlich ist.

    Sorry, aber was soll das sein? Wolltest Du uns testen?