Bekabeling redundant switches

Hann1BaL schreef op maandag 9 januari 2023 @ 20:00:
Er zal vast ergens wel een SPOF blijven zitten, maar in feite hoeft elk apparaat maar in contact te staan met 2 andere apparaten om uitval van een apparaat op te kunnen vangen.

Daarmee is er geen sprake van redundancy, want dan moet je uiteraard per plek 2 switches hebben. Als je namelijk clients aansluit op de switch en die switch valt uit, dan moet er op die plek nog een switch zijn voor redundantie.

De Active router hoeft niet verbonden te worden met alle 3 de switches, want de switches onderling zijn ook al verbonden. Als switch 1 en switch 2 verbonden zijn en switch 3 hangt aan switch 1 en 2 dan zit je qua uitval al goed. Dat geldt dus ook voor de Passive uiteraard.

Je laat elk apparaat nu met elk apparaat verbinden en dat is dus helemaal niet nodig.

Maar wat wil je precies bereiken? Hebben al je apparaten 2 netwerkpoorten zodat die apparaten om kunnen gaan met een switch die omvalt? Zo nee, wat ga je dan bereiken met deze opstelling? Want je zult dan fysiek toch moeten ompluggen.

Je hebt in ieder geval meer kabels getekend dan nodig

Rolfie schreef op maandag 9 januari 2023 @ 20:26:
[...]

Gebruiken je Firewalls wel dezelfde Internet verbinding? Of gebruik je ook 2 verschillende Internet verbindingen?


[...]


Vaak voor redundantie, staan er 2 switches op 1 locatie, met uplinks naar 2 verschillende switches.


[...]

Je kunt vaak een bound of Team aanmaken met failover mogelijkheid. De meeste OS ondersteunen dit native, of via additionele tooling.


[...]

belangrijke vraag, hoe belangrijk is dit werkelijk?


[...]

2de netwerkkaart aanschaffen.


[...]
Is dit een zakelijke of een privé setup? Ik krijg het gevoel dat dit namelijk een thuissituatie is?

Want hoe complexer de setup, hoe meer kans op admin fouten of vage storingen.

BCC schreef op maandag 9 januari 2023 @ 21:20:
In het Datacenter is dit vrij standaard met Spanning tree en dan is met bijvoorbeeld cisco tooling ook zo te configureren. Wat heb je nu voor hardware/swtiches/proxies? Met rstp moet het ook wel in elkaar te zetten zijn.

Rolfie schreef op maandag 9 januari 2023 @ 21:41:
[...]

Glasvezel kan nog sneller aan, mits je switches en SFPs het ondersteunen.


[...]

Kan je ook oplossen met switches en VLAN's.

Overal denk ik dat je het alleen maar complexer en storingsgevoeliger maakt met je opzet. KISS is vaak veel eenvoudiger in mijn ervaring. Gewoon juiste kwaliteit apparatuur nemen en eventueel spare hardware beschikbaar houden.

Ik heb zelf ook een grote landhuis waarin ik meerdere ISP's heb inclusief een bepaalde redundantie in de switches / servers. Ervaring leert, KISS is vaak veel gemakkelijker te troubleshooten als er al storingen optreden.

Mijn Cloud Console gaat via de backup internet verbinding en "backup" netwerk infrastructuur het Internet op. RSTP is actief, maar had ik in het verleden vage issues mee, waarmee ESX in de stress schoot.
Mocht er dan iets met de core infrastructuur staan, dan kan ik via de unifi console via Internet en iemand op locatie het netwerk herconfigureren, of RSTP Uplinks weer aanzetten.

Ik heb zoveel mogelijk KISS gebruikt waar ik kon, mede omdat er altijd storingen optreden die je niet verwacht en lastig op afstand vaak te troubleshooten zijn.

jadjong schreef op maandag 9 januari 2023 @ 21:59:
Als je spanning tree gaat gebruiken zou ik het bij een ring houden. FW1>SW1>SW2>SW3>FW2>FW1

jadjong schreef op maandag 9 januari 2023 @ 22:16:
[...]

Geen bypass port? Stop je twee kabels tussen FW1 en FW2. Eentje voor data door de bypass poorten en eentje voor Heartbeat.

Sissors schreef op dinsdag 10 januari 2023 @ 10:44:
Ik vraag me toch wel wat af wat je doel hier is. Als je dit graag als hobby wil doen, be my guest en ik heb niks gezegd verder.

Maar van wat je schreef dat je het wil doen om een betrouwbaarder netwerk te hebben voor als je een keer van huis bent en je vriendin thuis is en je netwerk stopt ermee: Hoe realistisch is dit probleem echt? Zeker als we het over switches hebben, of stomme ethernet kabels. Hoe vaak stoppen die bij jou met werken? De router heb ik nog weleens spanningsloos moeten maken (maar ook dan hebben we het over één keer in de paar jaar), maar een domme switch? Nooit.

En wat andere ook al hebben gezegd: Je introduceert ook weer meer risico's. Bij mijn werkgever hadden we op bedrijventerrein paar jaar geleden een keer internet storing. Tot aan de toegangspoortjes die het niet meer deden. Het probleem? Systeem dat automatisch moest switchen van ene naar andere internet verbinding bij storing was kapot. En dus niet dat een internet verbinding het niet meer deed en hij switchte niet goed over, beide inkomende verbindingen deden het prima, dat systeem werkte niet. Ze hebben toen de redundante verbinding eruit getrokken en alles begon weer te werken.
Een N=1 geval waar ik alleen wat mails vanaf de zijlijn heb gezien hoor, maar wel een algemeen punt: Hoeveel mogelijke problemen introduceer je om iets op te lossen waarvan je je kan afvragen of het echt een probleem is.

(En nogmaals, wil je dit gewoon als hobby doen, negeer mijn post).

Techneut schreef op dinsdag 10 januari 2023 @ 16:15:
[...]
Mag ik vragen wat de zin sowieso is van dat streven naar redundantie? Dat wekt namelijk mijn nieuwsgierigheid. Met het gewoon enkel doorlussen werkt het immers ook probleemloos en het blijft met minder kabeltjes veel overzichtelijker. Mijn eigen ervaring is dat met meerdere switches achter elkaar, wat ik al jaren heb, nooit iets mis is. Dus wat beoog je hiermee, zie ik hiermee misschien iets over het hoofd waar ik zelf nooit wat mee heb te maken?

Techneut schreef op dinsdag 10 januari 2023 @ 17:24:
Oké ik denk dat ik je enigszins begrijp, zekerheid voor alles en daar is niets op tegen. Ik sta hier een klein beetje anders tegenover. Ik zou in zo'n geval als dit alleen met netwerkkabels werken met compleet in de fabriek aangegoten stekkertjes waarmee als het werkt nooit een verbinding zomaar plat gaat. Maar goed, dat is mijn ervaring met m'n al ruim 20 jaar bestaande verbindingen.

Rolfie schreef op maandag 9 januari 2023 @ 20:06:
Je kunt nooit genoeg kabels hebben is mijn ervaring.....Als het kan zou ik er een paar extra trekken.
je kunt bijvoorbeeld zo maar in eens een Management Interface aansluiting hebben als je de firewalls vervangt.

Maar waarom ook niet direct een paar glasvezelkabels, voor de toekomst?

Rolfie schreef op donderdag 12 januari 2023 @ 20:20:
[...]


Ik zou ze afmonteren in een patch paneel, zodat je de kabels zelf nooit meer hoeft los te halen. Er zijn gewoon koppel connectors voor beschikbaar icm keystones, of specialeglas patchkastje. Daarna met losse patchkabels naar je switch gaan.

Als je meerdere kabels legt, zou ik voor redundantie direct beide kabels gebruiken. Om in worse case bij een een kabelbreuk je redundantie te houden.

Afhankelijk van de meer kosten, kan je eventueel 3 kabels trekken, 1 complete kabel als reserve, aangezien dit voor de rest van je leven ligt. Of dit het de meerprijs waard is, is een andere

Rolfie schreef op donderdag 12 januari 2023 @ 22:39:
[...]

Zeker een goede optie.


[...]

Kans is denk ik wel heel groot.


[...]

Trek er een aantal extra draaien in. Eventueel wat losse zwarte 1,5mm elektriciteits draaien, alternatief touw of visdraad. Als je dan ooit iets extra wilt trekken, gaat dit heel gemakkelijk. Elektriciteits zal het sterkste zijn over tijd.

jadjong schreef op vrijdag 13 januari 2023 @ 07:59:
Het idee van een mantelbuis is dat je deze legt van het ene droge en schone punt naar het andere, zonder onderlinge koppelingen.

MasterL schreef op vrijdag 13 januari 2023 @ 10:14:
Je hebt aardig wat wensen, mijn tip drop OM3 en ga voor OS2. Waarom?
Met single mode kabels kun je ook BIDI's gebruiken waarbij je maar 1 vezel nodig hebt voor RX en TX
wat bij multimode OM3 lastig is. Prijs verschil is ook redelijk te verwaarlozen.
Hoewel waarschijnlijk een beetje buiten je budget is (D)(C)WDM in de toekomst ook nog een optie.

Persoonlijk snap ik het nut van L3 switches niet, wil je tussen VLANS/netwerken routeren met 10Gbit?
Je geeft aan een Proxmox HA cluster te hebben, 2 redudant (Linux) VM's met IPtables, keepalived (VRRP) en Bird (voor BGP e.d.) routeren makkelijk 10Gbit.

Mijn tip: maak het niet te moeilijk, het moet wel functioneel blijven.
Wil je het "goed" doen?
1: Bouw een "core" met 2 aggregation switches, stacked of met MLAG (R)STP vind ik persoonlijk een vieze oplossing.
2: Bouw een "fiber ring" (single mode) tussen de locaties/plaatsen.
3: Verbind je access switches (redundant/LAG) met beide aggregation switches (kan ook met een LAG).
4: Vanuit kosten oogpunt zou ik alle 10Gbit apparatuur aansluiten op (beide) aggregation switches.

Verder is het een kwestie van dimensioneren, wil je 10Gbit access switches? Prima maar daar zit een prijs kaartje aan.
Wil je 10Gbit aggregation switches? Ook prima daar zit ook een prijs kaartje aan.

Gooi een L1,L2 en L3 ontwerp a.u.b. niet op een hoop, hier zijn niet voor niets compleet andere ontwerpen voor.

MasterL schreef op vrijdag 13 januari 2023 @ 12:31:
[...]


OS2 is niet voor lange afstanden, ja dit kan maar is niet "verplicht" 10GBASE-LR kan prima gebruikt worden zonder (veel) demping zonder dat je transceivers eruit fikken.
10GBASE-ER of ZR is een ander verhaal maar daar heb ik het niet over.
Hoezo andere componenten? De transceivers? Bij FS kost een 10GBASE-SR transceiver 20 euro en een LR 27.. Toegegeven duurder maar het verschil is niet het einde van de wereld. Een BIDI kost 40 euro trouwens. Toegegeven ik zie ook geen toepassing voor WDM maar het is een optie met single mode en niet met multimode.

Tuurlijk kan je routeren (L3) op 1Gbit, 10Gbit, 100Gbit met switches die geen L3 kunnen. Het enige is dat de switches niet kunnen routeren dus dat je dit op een andere plek moet doen. Vandaar mijn suggestie om dit op VM's t doen. Wat jij nu doet is exact alles op 1 hoop gooien "Daarom moet ook alles na de FW/router L3 zijn" waarom? Moeten jouw Sophos apparaatjes 10Gbit routeren? Prima dimensioneer ze dan op die manier.

Je kan toch prima (2) virtuele routers bouwen die 10Gbit connected zijn op welke switch dan ook die het intra-vlan verkeer (primair) afhandelen en het overige (0.0.0.0/0) verkeer routeren naar de Sophos devices?
Dit kan ook prima afgehandeld worden door een andere (serie) routers en/of L3 switches maar nogmaals hier zit een prijskaartje aan. Mijn punt is dus een switch is niet (perse) een router en vice versa. Dus maak een design waarbij je netwerken/VLANS in ogenschouw neemt, bepaal welk verkeer er geswitched kan/mag worden (L2 ontwerp). Bepaal welk verkeer (intra-vlan?) geroute moet worden en maak een L3 ontwerp.
Een L1 ontwerp (fysieke kabels) vind ik imo erg gerelateerd aan het L2 ontwerp. Een soort noodzakelijk kwaad.

MasterL schreef op vrijdag 13 januari 2023 @ 13:35:
[...]


Nee precies dat lijkt mij ook onverstandig.
Kijk Ceph is mooi maar vereist (eigenlijk) ook gelijk 3 nodes en je verliest natuurlijk 66.666% aan capaciteit.
Er is een verschil kwa VM availability en network availability. Een VM zoals ik omschreef zou kunnen draaien op een USB stick bij wijze van spreken. Er is in deze geen nood/wens voor data integriteit dus ik zou mijn storage/SAN infra niet aanpassen aan jouw netwerk wensen/eisen. Een kale Linux VM zonder dynamische data zou je wellicht nog kunnen draaien op dezelfde storage als je Proxmox host.
Als je dit op beide machines doet en dit netwerk technisch redundant inricht maakt het eigenlijk niet uit of 1 VM "down" gaat. Hetzelfde als het niet uitmaakt als 1 van jou Sophos routers uit valt. Natuurlijk moeten deze VM's geen SPOF delen (zoals ZFS) maar vergis je niet ook een Ceph (OSD) zou een SPOF kunnen zijn. Het is hier eerder genoemd (KISS-principe), 2 VM's op (local) storage en je hebt een hele leuke failover situatie.

Als je deze twee (Proxmox) machines aansluit op twee fatsoenlijke switches (stacked/MLAG) zoals ik eerder heb genoemd, de Sophos routers aansluit op de switches en de "access switches" ook op deze twee switches kom je heel aardig in de buurt denk ik.