Routeren meerdere subnetten

Pagina: 1
Acties:
  • 779 views sinds 30-01-2008
  • Reageer

  • Baarsjes
  • Registratie: April 2002
  • Niet online
Op dit moment bestaat ons netwerk grof gezegd uit 1 groot subnet. Dit willen we gaan opsplitsen in verschillende subnetten. Iedere afdeling zijn eigen subnet. Met een dergelijke opzet willen we ook regels opstellen zodat het verkeer gereguleerd kan worden. Iemand van kantoor heeft niets te zoeken in een productie netwerk, en ook andersom.

Om dit te realiseren zal er een router 'in het midden' van het netwerk moeten komen. Zover mij bekend routeren de meeste standaard router tussen twee netwerken, bijvoorbeeld internet en het LAN netwerk. Dit is dus niet afdoende. Eigenlijk zijn we dus opzoek naar een router waar een X aantal subnetten mee gerouteerd kan worden. Dit kan natuurlijk dmv een server met even zoveel NIC's erin, maar dat lijkt mij nogal een knutseloplossing.

En dus opzoek naar een router, nou heb ik vernomen dat een layer 3 switch dit zou moeten kunnen. Ik betwijfel echter sterk of ik dit goed heb begrepen. Bijvoorbeeld een Cisco Catalyst 3750G-24T-S zou in dat geval afdoende zijn. Echter kan ik dus nergens terug vinden of de specifieke wensen mogelijk zijn met een dergelijke switch.
- Kan een dergelijke switch routeren?
- Zijn er firewall mogelijkheden per poort?

En mocht dit nou zo zijn, dan komt het volgende probleem. Ik wil dan met 1 server alle subnetten kunnen bedienen met DHCP. Dit zou moeten kunnen met een functie waar ik de naam niet meer van kan vinden. Iets met Protocol-21 of zo, de experts weten vast de juiste benaming. Hiermee zou ik de source poort kunnen afvangen in de DHCP server en zo een correct IP adres kunnen uitdelen.

Kan iemand enige links of tips verzorgen omtrent dit gebeuren? Ik zie onderhand door alle mogelijke typen switches en routers het bos niet meer. Dit terwijl dit volgens mij een vrij normale opzet zou moeten zijn voor een netwerk.

http://www.bonuszoeken.nl


  • FatalError
  • Registratie: Juni 1999
  • Laatst online: 20:19
Ja, die Cisco kan prima routeren.
Nee, er is geen firewall, maar wel n accesslist per poort, en dat voldoet in verreweg de meeste situaties ook.

Voor DHCP is er inderdaad n functie die heet : ip helper-address zodat je dhcp server alle subnetten kan bedienen.
Eventueel kan je deze Cisco ook DHCP server laten spelen.

Toevoeging:
De 3750 is niet geschikt om n enkele internetverbinding mee te delen over je netwerk, daar heb je een router voor nodig die NAT kan (tenzij je n enorm subnet van je provider hebt gekregen).

[ Voor 24% gewijzigd door FatalError op 17-10-2006 20:30 ]

If it ain't broken, tweak it! | gasloos sinds oktober 2025, hoekwoning 1978 | 10kWp PV, Panasonic K serie 7kW, Atlantic Explorer V5 270L | Tesla Model Y


  • Baarsjes
  • Registratie: April 2002
  • Niet online
FatalError schreef op dinsdag 17 oktober 2006 @ 20:18:
Nee, er is geen firewall, maar wel n accesslist per poort, en dat voldoet in verreweg de meeste situaties ook.
Maar in geval van een accesslist kan ik waarschijnlijk alleen aangeven welke machines er naar binnen mogen op een poort. En dus niet aangeven dat subnet A wel naar B mag, maar C niet naar B?
Voor DHCP is er inderdaad n functie die heet : ip helper-address zodat je dhcp server alle subnetten kan bedienen. Eventueel kan je deze Cisco ook DHCP server laten spelen.
Als ik het goed heb gelezen is de ip helper-adress alleen maar een mogelijkheid om UDP DHCP request te forwarden naar een bepaald IP adres. Dan kan ik echter nog niet detecteren vanaf welk subnet het request komt, en indien het een onbekend MAC adres is, uit welke pool het adres dus moet komen.
Toevoeging:
De 3750 is niet geschikt om n enkele internetverbinding mee te delen over je netwerk, daar heb je een router voor nodig die NAT kan (tenzij je n enorm subnet van je provider hebt gekregen).
Dank, dit is echter niet van toepassing, voor dat doel heb ik reeds een router.

http://www.bonuszoeken.nl


Verwijderd

Je zou kunnen overwegen om een Windows 2003 machine te plaatsen als router, die kan het zeker.

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

die cisco voldoet inderdaad prima. Volgens mij kan dat ding zelfs NAT maar dan moet je hem met een ander template laten draaien denk ik. ACL zijn ook geen probleem. Als het een L3 switch is kan die ook routeren anders zou het geen L3 switch zijn
Baarsjes schreef op woensdag 18 oktober 2006 @ 07:43:
[...]
Maar in geval van een accesslist kan ik waarschijnlijk alleen aangeven welke machines er naar binnen mogen op een poort. En dus niet aangeven dat subnet A wel naar B mag, maar C niet naar B?
Jawel hoor je geeft aan in een ACL wat de source en destination zijn en eventueel zelfs op poortniveau (TCP/UDP) dus dat is geen enkel probleem
[...]
Als ik het goed heb gelezen is de ip helper-adress alleen maar een mogelijkheid om UDP DHCP request te forwarden naar een bepaald IP adres. Dan kan ik echter nog niet detecteren vanaf welk subnet het request komt, en indien het een onbekend MAC adres is, uit welke pool het adres dus moet komen.
Jawel als de router/switch het request forward past hij de source van de broadcast (normaal 255.255.255.255 dacht ik) aan naar het adres van de binnenkomende poort. De DHCP server deelt dan een DHCP adres uit uit de pool waarbinnen dit source adres valt.

edit vanuit de RFC
o A new address allocated from the server's pool of available
addresses; the address is selected based on the subnet from which
the message was received (if 'giaddr' is 0) or on the address of
the relay agent that forwarded the message ('giaddr' when not 0).

[ Voor 78% gewijzigd door TrailBlazer op 18-10-2006 08:35 ]


  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 05-02 12:59
Zoals gezegd is de 3750 een L3 switch. Het is echter wel een dure oplossing, aangezien deze switch stackable is (via een stacking cable kun je er tot 7 aan elkaar hangen die dan als 1 logische switch gemanaged kunnen worden). Heb je dit niet nodig en gaat het puur om het routeren, dan is een 3560 ook een optie. (En afhankelijk van het feit of er wel of geen glaspoorten nodig zijn en of de koperpoorten gigabit moeten zijn, scheelt het ook enorm in de kosten, dus let goed op welk type je besteld).

Tenslotte zou ik er niet voor kiezen om een ip helper te gebruiken, maar om de DHCP server meerdere IP adressen te geven (in ieder subnet 1). Mocht je dan nog ooit gaan uitbreiden en de DHCP server toch per subnet willen wegzetten, dan is er al een adres in dat subnet beschikbaar.
Dit is tevens een stuk makkelijker als je je subnetten gaat 'upgraden' tot vlans.

Wat betreft firewall mogelijkheden, wat precies wil je daarvoor weten? ACL's zijn al uitgelegd. Als je VLANs gaat bouwen dan kun je zelfs poorten zo configureren dat ze bij een specifiek VLAN (subnet) horen. Een IP nummer uit een ander VLAN krijgt dan automatisch geen toegang als hij (direct of indirect) wordt aangesloten op die poort.

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

bazkar schreef op woensdag 18 oktober 2006 @ 08:59:
Tenslotte zou ik er niet voor kiezen om een ip helper te gebruiken, maar om de DHCP server meerdere IP adressen te geven (in ieder subnet 1). Mocht je dan nog ooit gaan uitbreiden en de DHCP server toch per subnet willen wegzetten, dan is er al een adres in dat subnet beschikbaar.
Wat bedoel je hiermee :?

Je wilt je DHCP-server meerdere NIC's geven en elke Nic in een subnet hangen? Lijkt me een slecht plan...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Question Mark schreef op woensdag 18 oktober 2006 @ 09:23:
[...]
Wat bedoel je hiermee :?

Je wilt je DHCP-server meerdere NIC's geven en elke Nic in een subnet hangen? Lijkt me een slecht plan...
my thoughts exactly ip-helper is gewoon een standaard die overal wordt toegepast. Je maakt LANS of VLANS waar enkel een type host in zit en daar laat je het bij

  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 05-02 12:59
Question Mark schreef op woensdag 18 oktober 2006 @ 09:23:
[...]
Wat bedoel je hiermee :?

Je wilt je DHCP-server meerdere NIC's geven en elke Nic in een subnet hangen? Lijkt me een slecht plan...
Meerdere NIC's? Waarom dat? Gewoon een IP adres uit iedere range op 1 en dezelfde NIC hangen.
En ja, IP helper is een standaard die hier vaak voor gebruikt wordt, maar op het moment dat er ranges verhuisd worden, of zelfs achter VPN verbindingen komen te zitten, is het handig om alvast een DHCP adres in de goede range te hebben. En op mijn manier heb je dus geen IP helpers nodig (die de zaak minder transparant maken IMHO).

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

bazkar schreef op woensdag 18 oktober 2006 @ 10:00:
[...]
Meerdere NIC's? Waarom dat? Gewoon een IP adres uit iedere range op 1 en dezelfde NIC hangen.
Je vergeet even dat een DHCP discovery een broadcast is. Zonder ip-helper gaat deze dus niet over de verschillende subnetten heen. De TS wil immers gerouteerde subnetten. Vandaar dat de server een fysieke verbinding moet hebben met alle subnetten zonder gebruik van een ip-helper.

[ Voor 17% gewijzigd door Question Mark op 18-10-2006 10:06 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

en in welk lan hang je die server dan? IPhelpers over een WAN werkt ook prima anders. Echt ik zie totaal het nut niet van jouw oplossing. Meerdere DHCP servers maakt het ook niet makkelijker om te beheren.

  • Baarsjes
  • Registratie: April 2002
  • Niet online
En wat is dan het verschil tussen IPHelper en Option 82? Option 82 is bij de 3560 wel beschikbaar en lijkt hetzelfde te doen?

Ik hoef verder geen SFP of iets derglelijks, 24 10/100/1000 poorten zijn afdoende. Echter kan ik bij de 3560 hier niet voor kiezen en dus ben ik verplicht 4 SFP poorten te nemen. De 3750 heeft wel een variant zonder SFP. Qua prijs is de 3750 dan rond de 500 euro duurder. Is dit verschil op enig gebied gerechtvaardigt? Of betaal ik dan echt 500 euro voor een stackable fucntie die ik nooit gebruik?

[ Voor 61% gewijzigd door Baarsjes op 18-10-2006 14:38 ]

http://www.bonuszoeken.nl


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

option 82 heb ik nog nooit van gehoord. Het lijkt iets te zijn voor ATM. ip helper moet je hebben dat is de optie die je zoekt. Als ik zo kijk is de 3560 prima. Overigens kost een SFP je al gauw een paar 100 euro dus daar moet je ook rekening mee houden.

[ Voor 33% gewijzigd door TrailBlazer op 18-10-2006 14:48 ]


  • DGTL_Magician
  • Registratie: Februari 2001
  • Laatst online: 30-01 15:53

DGTL_Magician

Kijkt regelmatig vooruit

Question Mark schreef op woensdag 18 oktober 2006 @ 10:04:
[...]
Je vergeet even dat een DHCP discovery een broadcast is. Zonder ip-helper gaat deze dus niet over de verschillende subnetten heen. De TS wil immers gerouteerde subnetten. Vandaar dat de server een fysieke verbinding moet hebben met alle subnetten zonder gebruik van een ip-helper.
Je kan prima een 802.1q trunk aanmaken op de switch en de dhcp server. Op die manier is hij keurig te bereiken vanuit elk VLAN. Vond ik in onze situatie wel zo'n fijne oplossing.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

ja maar access beperken tot die server is weer lastig. Ik vind een server lan altijd wel makkelijk

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

DGTL_Magician schreef op woensdag 18 oktober 2006 @ 15:05:
[...]Je kan prima een 802.1q trunk aanmaken op de switch en de dhcp server. Op die manier is hij keurig te bereiken vanuit elk VLAN.
Das waar, maar als ik moet kiezen tussen het gebruik van een ip-helper of het gebruik van een Trunk, dan kies ik voor de ip-helper. Als je kiest voor een Trunk, dan krijgt de server toch ook al het broadcast verkeer van elk VLAN voor zijn kiezen? Met een ip-helper kun je met het "no ip forward.... " commando goed en eenvoudig/overzichtelijk regelen dat alleen DHCP broadcasts geforward worden.

Even nieuwsgierig, wat is in jullie geval het voordeel dan ten opzichte van een ip-helper?

[ Voor 28% gewijzigd door Question Mark op 18-10-2006 17:33 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • mookie
  • Registratie: Juni 2002
  • Laatst online: 15-06-2025

mookie

Heerlijk Helder

wellicht kun je aangeven wat je nu probeert te bereiken.
Je netwerkverkeer gaat er echt niet hard op achteruit hoor, meestal eerder op vooruit.

Als je switches/kabels echt vol raken dan zul je moeten gaan segmenteren en niet 1 groot kabel segment maken. Dit heeft niets met subnetten te maken.
Als je gewoon het verkeer wilt scheiden zul je subnetten moeten maken maar dat is veel meer werk en veel storings gevoeliger.

Stel dat je een subnet hebt voor je servers, en 1 voor je computers.
Dus server(10.1.1.1) --- router ---- computer (10.2.1.1)
Dan gaat al het verkeer tussen computers en servers eerst naar die router en dan naar de server, vervolgens terug van server naar router en dan naar je computer.
Als je dit op 1 kabelsegment doet verdubbel je het verkeer op de kabel en gaat je netwerk snelheid echt drastisch omlaag. Dan hebben we het nog niet eens gehad over de enorme hoeveelheid geheugen en processor belasting die die router gaat hebben. En al helemaal als je niet een router pakt maar gewoon een switch met layer 3 functionaliteiten die dat erbij moet gaan doen. Die switches kunnen vaak echt niet honderden MB's tegelijkertijd routeren (dus b.v. 23 computers op een switch + 1 servers).
Plus als die router/switch eruit ligt houdt echt alles op.

Bepaal eens:

Waarom zouden de computers van het ene netwerk niet met het andere mogen praten?
Doen ze dat dan soms? zoals gebruikers die zitten rond te gapen ofwat?
Wil je bandbreedte reduceren (wat je zo niet lukt) of echt iets beveiligen?

Mogen ze niet via IP met elkaar praten of echt niet? Als ze echt niet met elkaar mogen praten (dus ook geen NETBIOS) zul je de segmenten fysiek moeten gaan scheiden ipv alleen gescheiden IP subnets te maken.

[ Voor 7% gewijzigd door mookie op 20-10-2006 15:29 ]

mookie


  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025
Euhm volgens mij wil topic starter het volgende:

- Voor elk netwerk een eigen vlan
- Voor elk netwerk een eigen ip reeks
- Op de 3560 voor elk vlan een ip helper maken die de dhcp request doorstuurd naar de DHCP Server
- Op de 3560 voor elke vlan interface een ip adres opgeven die de pc`s op het netwerk gebruiken als default gateway

interface Vlan5
description Kantoor
ip address 10.5.1.201 255.255.0.0
ip helper-address 10.13.10.1

interface Vlan10
description Productie
ip address 10.10.1.201 255.255.0.0
ip helper-address 10.13.10.1

interface Vlan13
description Server
ip address 10.13.1.201 255.255.0.0


interface Vlan14
description ADSL/Internet Modem
ip address 10.14.1.201 255.255.0.0


Verder kan je per vlan een acceslist maken om zo het verkeer te beperken

En een aantal routes toevoegen zodat ze weten waar ze heen moeten


Voordeel van ieder eigen vlan is dat je broadcast domain kleiner wordt omdat alleen de pc`s binnen 1 vlan met elkaar mogen babbelen. Je netwerk wordt dus sneller door het segmenteren.

[ Voor 10% gewijzigd door raymonvdm op 20-10-2006 15:46 ]


Verwijderd

"Dan hebben we het nog niet eens gehad over de enorme hoeveelheid geheugen en processor belasting die die router gaat hebben. En al helemaal als je niet een router pakt maar gewoon een switch met layer 3 functionaliteiten die dat erbij moet gaan doen. Die switches kunnen vaak echt niet honderden MB's tegelijkertijd routeren "

Daarom switchen ze ook.

"Wil je bandbreedte reduceren (wat je zo niet lukt) "

Jawel, wel eens van broadcasts gehoord?

"Als ze echt niet met elkaar mogen praten (dus ook geen NETBIOS) zul je de segmenten fysiek moeten gaan scheiden ipv alleen gescheiden IP subnets te maken."

Hoezo, dat zou met vlans kunnen, echter wil de TS juist wel dat er communicatie kan plaatsvinden, alleen met bepaalde beperkingen. Daarvoor kunnen gewoon acl's gebruikt worden.

  • PerfectPC
  • Registratie: Februari 2004
  • Laatst online: 01-02 11:46
mookie schreef op vrijdag 20 oktober 2006 @ 15:25:Dan hebben we het nog niet eens gehad over de enorme hoeveelheid geheugen en processor belasting die die router gaat hebben. En al helemaal als je niet een router pakt maar gewoon een switch met layer 3 functionaliteiten die dat erbij moet gaan doen. Die switches kunnen vaak echt niet honderden MB's tegelijkertijd routeren (dus b.v. 23 computers op een switch + 1 servers).
Plus als die router/switch eruit ligt houdt echt alles op.
Als je al je servers op een plek gaat zetten waar naar gerouteerd moet worden ben je heel slecht bezig... enne _stel_ dat je de boel niet zou gaan segmenteren, dan nog ligt het pc-park plat als de acces of core switch er uit vliegt hé ;)

  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 05-02 12:59
PerfectPC schreef op vrijdag 20 oktober 2006 @ 16:20:
[...]

Als je al je servers op een plek gaat zetten waar naar gerouteerd moet worden ben je heel slecht bezig... enne _stel_ dat je de boel niet zou gaan segmenteren, dan nog ligt het pc-park plat als de acces of core switch er uit vliegt hé ;)
Tja, dat is ook het idee achter een CORE switch. Die zijn als het goed is ook redundant uitgevoerd, dubbele voeding, achter UPS, service contract erop etc. etc. (Iets waar de TS of diens manager over mag nadenken).
Ik mag hopen dat je als je een WAN hebt, dat dat geen ongerouteerd netwerk is met 1 subnet want anders gaan je WAN lijnen echt wel plat van de broadcasts (als je dat al voor elkaar krijgt, aangezien de meeste WAN lijnen niet op laag 2 gekoppeld zijn en dus wel zullen MOETEN routeren).

Er werd door de TS ook nog de vraag gesteld of stackability het enige verschil was tussen een 3750 en een 3560. Het antwoord is nee. De 3750 heeft wel technische dezelfde switching capaciteit, RAM en CPU, maar wel zaken als 10Gbit mogelijkheden. Niet iets wat denk ik echt boeiend is voor jouw situatie.

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

mookie schreef op vrijdag 20 oktober 2006 @ 15:25:
wellicht kun je aangeven wat je nu probeert te bereiken.
Je netwerkverkeer gaat er echt niet hard op achteruit hoor, meestal eerder op vooruit.

Als je switches/kabels echt vol raken dan zul je moeten gaan segmenteren en niet 1 groot kabel segment maken. Dit heeft niets met subnetten te maken.
Als je gewoon het verkeer wilt scheiden zul je subnetten moeten maken maar dat is veel meer werk en veel storings gevoeliger.
Kabel segment leef jij nog in de tijd van COAX en hubs? Alles in een groot LAN plaatsen is lekker handig een groot broadcast domein. Servers die op alle mogelijke manieren zijn te benaderen. Het is gewoon de standaard om een server LAN te maken. Je kan dan lekker op een router of firewall bepalen welke segmenten welk systeem mogen benaderen.
Stel dat je een subnet hebt voor je servers, en 1 voor je computers.
Dus server(10.1.1.1) --- router ---- computer (10.2.1.1)
Dan gaat al het verkeer tussen computers en servers eerst naar die router en dan naar de server, vervolgens terug van server naar router en dan naar je computer.
Ja wat maakt dat nou uit. De gemiddelde client zal echt een mb/s per secondes trekken.
Als je dit op 1 kabelsegment doet verdubbel je het verkeer op de kabel en gaat je netwerk snelheid echt drastisch omlaag. Dan hebben we het nog niet eens gehad over de enorme hoeveelheid geheugen en processor belasting die die router gaat hebben. En al helemaal als je niet een router pakt maar gewoon een switch met layer 3 functionaliteiten die dat erbij moet gaan doen.
Die switches kunnen vaak echt niet honderden MB's tegelijkertijd routeren (dus b.v. 23 computers op een switch + 1 servers).
Plus als die router/switch eruit ligt houdt echt alles op.
Die cisco waar de TS het over heeft is een L3 switch als er iets goed is in dit werk dan is het dit wel. Die dingen hebben er chips (ASICS) in zitten die kunnen routeren op wire speed. Dus geheugen en CPU lekker belangrijk die worden nauwlijk aangesproken. Niets staat de TS in de weg om alles dubbel uit te voeren Spanningtree icm HSRP is hardstikke betrouwbaar
Bepaal eens:

Waarom zouden de computers van het ene netwerk niet met het andere mogen praten?
Security niet meer en niet mindern
Doen ze dat dan soms? zoals gebruikers die zitten rond te gapen ofwat?
voorkomen is beter dan genezen
Wil je bandbreedte reduceren (wat je zo niet lukt) of echt iets beveiligen?
beveiligen zie TS
Mogen ze niet via IP met elkaar praten of echt niet? Als ze echt niet met elkaar mogen praten (dus ook geen NETBIOS) zul je de segmenten fysiek moeten gaan scheiden ipv alleen gescheiden IP subnets te maken.
NETBIOS wordt niet gerouteerd dus komt nooit zijn VLAN uit volgens mij

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

PerfectPC schreef op vrijdag 20 oktober 2006 @ 16:20:
[...]

Als je al je servers op een plek gaat zetten waar naar gerouteerd moet worden ben je heel slecht bezig... enne _stel_ dat je de boel niet zou gaan segmenteren, dan nog ligt het pc-park plat als de acces of core switch er uit vliegt hé ;)
kun jij dat even aan mijn huidge klant uitleggen. Die hebben in Amsterdam alle servers staan nu nog alleen voor Nederland binnenkort voor heel Europa. Dit is alleen extreem redundant opgebouwd. Dubbele core routers, dubbele distributie switches, dubbele access-switches. Tussen alle switches hangen trunks die bestaan uit meerdere glasvezels.

  • Baarsjes
  • Registratie: April 2002
  • Niet online
Het is inderdaad met name bedoeld voor veiligheid, onbekende PC"s mogen wat mij betreft wel naar het internet, maar op de rest hebben zij niets te zoeken. Zo zijn er nog wel wat dingen te bedenken die wat eenvoudiger te doen zijn op het moment dat je het opdeelt. Het heeft wat mij betreft niets met broadcast verkeer of zo te maken.

Het is inderdaad zo dat ik hiermee een single point of failure creeer, dat is echter wel overzichtelijk en goed te beheren. Uiteraard zijn service contracten e.d. essentieel dan, wellicht dat ik er simpelweg 2 koop om de werking te garanderen.

http://www.bonuszoeken.nl


  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Baarsjes schreef op maandag 23 oktober 2006 @ 15:12:
Het is inderdaad met name bedoeld voor veiligheid, onbekende PC"s mogen wat mij betreft wel naar het internet, maar op de rest hebben zij niets te zoeken. Zo zijn er nog wel wat dingen te bedenken die wat eenvoudiger te doen zijn op het moment dat je het opdeelt. Het heeft wat mij betreft niets met broadcast verkeer of zo te maken.

Het is inderdaad zo dat ik hiermee een single point of failure creeer, dat is echter wel overzichtelijk en goed te beheren. Uiteraard zijn service contracten e.d. essentieel dan, wellicht dat ik er simpelweg 2 koop om de werking te garanderen.
Het is heel eenvoudig. Je wilt je broadcast domains scheiden per afdeling, zodat niet iedere PC meer met elke andere PC contact kan maken zonder expliciet toegestaan.

De meest eenvoudige manier om dit op te lossen is door een Cisco 3750 te kopen. Dit is een entrylevel switch die de volgende mogelijkheden heeft:

- VLANs --- Met vlans kun je je poorten in 'groepen' verdelen waardoor je fysiek gescheiden subnetten krijgt. Hiermee kun je het verkeer scheiden.

- Inter VLAN routing --- Deze switch bevat een router, zodat je op IP verkeer tussen je gescheiden subnets kan routen. (Ondersteunt ook nog CEF, dus wirespeed routing)

- Access lists --- Hiermee kan je aangeven welk verkeer waar naartoe mag. Zo kun je verkeer van VLAN 1 naar VLAN 2 toestaan, maar niet vv. en bijv. wel VLAN 3 naar het internet toestaan, maar niet VLAN 4.


De combinatie van deze 3 features zorgt voor alles waar jij behoefte aan hebt.
PerfectPC schreef op vrijdag 20 oktober 2006 @ 16:20:
[...]

Als je al je servers op een plek gaat zetten waar naar gerouteerd moet worden ben je heel slecht bezig...
Vreemd, de Cisco Enterprise Campus Architecture geeft nochtans aan dat dat een vrij goede keuze is...

[ Voor 12% gewijzigd door JackBol op 23-10-2006 17:51 ]

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


Verwijderd

Een fatsoenlijke cisco switch of een extreme switch met vlan en dot1q support is genoeg, als router voldoet een OpenBSD machine prima voor intervlan routing ;)

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik kan me vergissen, maar ik denk niet dat een machine met routersoftware @wirespeed kan routeren. En da's iets wat een Layer3 switch wel kan, juist omdat deze het in de hardware Asics afhandeld. (Route once, Switch many).

Ook introduceer je nu weer een extra SPOF.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

_DH schreef op maandag 23 oktober 2006 @ 17:45:

Vreemd, de Cisco Enterprise Campus Architecture geeft nochtans aan dat dat een vrij goede keuze is...
ja de cisco best practices zijn zaligmakend :p
in dit geval wel natuurlijk maar om nou te zeggen dat cisco altijd gelijk heeft

  • mookie
  • Registratie: Juni 2002
  • Laatst online: 15-06-2025

mookie

Heerlijk Helder

als hij dat wel kan dan is dat prima, maar dat moet dan toch een flinke zijn.

principe blijft dat als je computer en je server in een apart subnet zitten het verkeer dus door een switch moet.
Als je 10 computers op 100 mbit hebt en 1 server op een gigabit en ze trekken allemaal de lijn vol dan moet je dus wel op gigabit gaan routen.
Ikzelf heb die situatie alleen eens gezien met 3com (is zowiezo vragen om problemen) en daar hadden ze 6 vlans voor clients en 1 voor servers op zitten met ieders een eigen subnet.
Als er dan een keer veel verkeer was flipte die compleet, voornamelijk door geheugen fragmentatie (veel kleine pakketjes is echt killing als je op hoge snelheid route).

Ik ben er heilig van overtuigd dat het met een degelijke cisco beter gaat maar dan nog ben ik straks zeker beniewd naar het resultaat.

Tja, het moet wel heel toevallig zijn dat net alle clients proberen data op te halen....
Dan moet je maar eens ff software via een pakket als ms sms distribueren... dan gaat het hard hoor.

Routen zal ie wel goed doen maar zodra je met access lists gaat werken krijg je toch een heel andere CPU load want volgens mij kunnen asic's geen access lists toepassen op hun te routen verkeer, dat gebeurt gewoon op de processor.

Zowiezo heb je als het goed is weinig broadcast verkeer tenzij nodig. Je zou eens moeten proberen te achterhalen hoeveel verkeer op je netwerk (of op een gedeelte) nu broadcast is en wat unicast is. Dan weet je meteen of segmenteren zal helpen en vaak is het probleem op een andere manier beter op te lossen, zoals stoppen met NETBEUI of net wat er op je netwerk zit dat veel onnodig verkeer veroorzaakt. Als dat geen optie is ga je segmenteren...

No offense beste man, maar ik heb te vaak gezien dat mensen ergens hebben gelezen dat subnetten ervoor zorgt dat je verkeer daalt en dan gaan ze even het netwerk in zoveel mogelijk subnetten opdelen. Zeker als ze dat doen op 1 fysiek segment/broadcast domain met daarop 1 router die alles maar tussen de subnetten rond moet pompen dan loopt gewoon alles vast.
Heb het in grote bedrijven ook gezien...

Als je wel weet wat je doet en je maakt segment + subnetten + je hebt degelijke routers om alles aan elkaar te knopen, dan zal je oplossing zeker 100% werken, qua security en bandbreedte reductie. De vraag is dan altijd alleen of het de kosten en de moeite waard is...


En: ik ben echt reuze benieuwd hoe goed of slecht het gaat werken.
Laat het aub wel even weten

mookie


  • overhyped
  • Registratie: Januari 2003
  • Laatst online: 21:52
Waarschuwing, algemene frustratieuitpost!!

Goed, er wordt een hoop zinnigs gezegt hier, maar wat een dom geblaat ook zeg! iedereen met een tere ziel die niet tegen lomp commentaar kan please niet verder lezen.

Normaal doe ik iets vriendelijker, maar de totale bullshit die ik bij elkaar gelezen heb in dit topic doet mij even lomp reageren, zonde dat het prachtige netwerk vak zo verkracht wordt als wat ik hier lees.

Over de 3750: ik denk dat in alle netwerken bij elkaar waar ik ze gebruikt heb ik er totaal 400 weggezet heb, samengevat het is een top apparaat, in kleine netwerken een prima coreswitch, in grotere netwerken een prima access of distributieswitch. Een van de meest veelzijdig inzetbare switches van cisco op dit moment.

De mensen die denken dat de 3750 't niet aankan, RTFM

De mensen die denken dat routeren zwaarder is dan switchen voor moderne apparatuur RTFM (zoek eens op CEF op cisco.com) een moderne l3 switch heeft op l3 dezelfde performance als op l2

Bazkar DGTL_magician, alsjeblieft, ontwerk geen netwerken meer. jullie zijn vast heel goed in jullie vak, maar het is duidelijk niet networking. een server met een dot1q trunk in ieder VLAN hangen... Rilll!! De server een ip uit iedere range geven.. Rill!!!

perfect_PC> dit gebeurt overal tegenwoordig, echt nergens staan de servers en de clients in hetzelfde VLAN (bij nieuwe ontwerpen that is)

Mookie> Een 3750 kan zonder performance verlies routeren, ACL's QOS etc. CEF is een erg mooie uitvinding :)

trailblazer: Succes met CCIE, ik kan je uit ervaring meedelen dat de stap van NP level naar IE leven een moeilijke/grote is, als je een keer offline wat ervaringen wilt delen > volgens mij heeft got wel PM toch :)

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

overhyped schreef op maandag 23 oktober 2006 @ 22:07:
trailblazer: Succes met CCIE, ik kan je uit ervaring meedelen dat de stap van NP level naar IE leven een moeilijke/grote is, als je een keer offline wat ervaringen wilt delen > volgens mij heeft got wel PM toch :)
moet je ze wel ff aanzetten he

  • overhyped
  • Registratie: Januari 2003
  • Laatst online: 21:52
TrailBlazer schreef op dinsdag 24 oktober 2006 @ 07:00:
[...]

moet je ze wel ff aanzetten he
idem voor jou :)

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

overhyped schreef op maandag 23 oktober 2006 @ 22:07:
de stap van NP level naar IE leven een moeilijke/grote is
Ik wist niet dat certificering zoveel impact had :+

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

_DH schreef op dinsdag 24 oktober 2006 @ 16:37:
[...]


Ik wist niet dat certificering zoveel impact had :+
sommoge CCIE'ers denken dat ze god zijn indien ze CCIE zijn
mijne staan aan toch

[ Voor 41% gewijzigd door TrailBlazer op 24-10-2006 18:40 ]


  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

PerfectPC schreef op vrijdag 20 oktober 2006 @ 16:20:
[...]

Als je al je servers op een plek gaat zetten waar naar gerouteerd moet worden ben je heel slecht bezig...
Oh, waarom dan? Want zo heeft zo ongeveer elk bedrijf dat meerdere subnetten gebruikt om wat voor reden dan ook z'n netwerk ingericht, elke universiteit, elke overheidsinstelling en dat 't hele internet zo werkt laten we maar even achterwege...
Question Mark schreef op maandag 23 oktober 2006 @ 19:58:
Ik kan me vergissen, maar ik denk niet dat een machine met routersoftware @wirespeed kan routeren. En da's iets wat een Layer3 switch wel kan, juist omdat deze het in de hardware Asics afhandeld. (Route once, Switch many).
Mwoah, ik ben er geen voorstander van maar met de huidige machines kun je een heel eind komen hoor.
Ook introduceer je nu weer een extra SPOF.
Dat doe je per definitie als je een niet-redundant bezig gaat. Maar laten software routers nou van dezelfde protocollen als VRRP e.d. gebruik kunnen maken als hardware routers..

[ Voor 42% gewijzigd door CyBeR op 24-10-2006 20:23 ]

All my posts are provided as-is. They come with NO WARRANTY at all.


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

CyBeR schreef op dinsdag 24 oktober 2006 @ 20:21:
[...]
Dat doe je per definitie als je een niet-redundant bezig gaat. Maar laten software routers nou van dezelfde protocollen als VRRP e.d. gebruik kunnen maken als hardware routers..
Ik doel hier meer op het feit dat een enkele Cisco 3750 'minder' SPOF is, dan een L2 switch in combinatie met een pc als router. In het laatste geval hebben het toch echt wel over een extra SPOF. Overigens is TS hier van bewust en zal de juiste maatregelen nemen. :)
Baarsjes schreef op maandag 23 oktober 2006 @ 15:12:
Het is inderdaad zo dat ik hiermee een single point of failure creeer, dat is echter wel overzichtelijk en goed te beheren. Uiteraard zijn service contracten e.d. essentieel dan, wellicht dat ik er simpelweg 2 koop om de werking te garanderen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025
Hmm gezellig hier.

Maar toch zou ik gaan voor een vlan voor elk netwerk en de routering door je 3750. Zo gebeurt het hier ook met een core switch (3750 met 12 Gbics). Ding is layer 3 gateway voor 4 glaslocaties @ Gbit. Met +- 1000 werkstation. En het ding vreet nog uit zn neus doet ondertussen ook nog ff ACL.

Dus een 3750 trekt het echt wel. De rest van de routing voor de overige gebouwen gebeurt op zn grote broer de 4510R maar die is wat aan de grote kant voor TS

Volgens mij zijn inderdaad veel instellingen fout overigens, Wij dus ook 8)
PerfectPC schreef op vrijdag 20 oktober 2006 @ 16:20:
[...]

Als je al je servers op een plek gaat zetten waar naar gerouteerd moet worden ben je heel slecht bezig...

[ Voor 5% gewijzigd door raymonvdm op 27-10-2006 15:21 ]


  • Predator
  • Registratie: Januari 2001
  • Laatst online: 16:54

Predator

Suffers from split brain

CyBeR schreef op dinsdag 24 oktober 2006 @ 20:21:

Mwoah, ik ben er geen voorstander van maar met de huidige machines kun je een heel eind komen hoor.

[...]


Dat doe je per definitie als je een niet-redundant bezig gaat. Maar laten software routers nou van dezelfde protocollen als VRRP e.d. gebruik kunnen maken als hardware routers..
Tussen client VLANs en server VLANs ga je toch echt niet met via software routeren...
Dat is echt te gek. Dan is een layer-3 switch de enige echte oplossing.

Everybody lies | BFD rocks ! | PC-specs

Pagina: 1