Glasvezel en multiplexing

Op m'n werk zijn er 2 lokaties met ieder afzonderlijk 2 ethernet-netwerken. Deze netwerken willen we per paar aanelkaar knopen. Dus er zijn nu 4 afzonderlijke netwerken en we willen er 2 van maken. De reden voor de afzonderlijke netwerken is veiligheid: tussen beide typen netwerken mag geen verkeer zijn en ze moeten fysiek gescheiden zijn.
Aangezien de afstand tussen de lokaties best groot is, moet er van glasvezel gebruik worden gemaakt. De oplossing is ook maar tijdelijk. Daarom willen we het liefst maar 1 glasvezel gebruiken om de 4 netwerken per paar aanelkaar te knopen. Een multiplexer willen we dan gebruiken om het verkeer op fysiek niveau te scheiden (via de golflengte). Is dit mogelijk? En wat voor multiplexer hebben we dan nodig? Of is het handiger om het verkeer op de Ethernet-laag te scheiden?

De 4 netwerken hebben allemaal een layer 2/3 ethernet-switch met een glasvezelaansluiting en 12/24 UTP poorten.

Tekening:

Bij de VLAN-oplossing, hoe configureer je dan de switch? Moet je dan op een switch 2 VLAN's configureren waarbij 1 poort (de poort met de glasvezel naar de andere lokatie) in beide VLAN's zit? Is deze oplossing 100 % veilig? Kunnen bijvoorbeeld computers uit netwerk 1 op lokatie 1 niet computers uit netwerk 2 op lokatie 2 bereiken? Volgens mij houd je namelijk bij VLAN's nooit de verbinding gescheiden: kun je bijvoorbeeld alsnog van netwerk 1 op lokatie 1 naar netwerk 2 op lokatie 2. Dat is beslist niet de bedoeling.

Is het niet een mogelijkheid om een DWDM multiplexer in te zetten? Of zijn deze erg duur?

[ Voor 28% gewijzigd door Theodoor op 14-08-2003 21:05 ]

Volgens mij is de optie om VLAN's te creeeren niet veilig. Je kan dan alsnog vanuit netwerk 1 op lokatie 1 netwerk 2 op lokatie 2 bereiken. Dat kan je niet voorkomen met het gebruik van VLAN's.

Ik heb dit document nog gevonden met apparatuur van multiplexers en doublers. Dan heb je geen aparte switch nodig. http://www.compricon.nl/pdf/N3Controlware/CWfiber.pdf
Misschien dat ik deze mensen maar eens ga bellen. En dan ga ik uitzoeken of ik toch niet een aparte vezel moet laten trekken.

Het mooiste zou zijn als ik van de snelheid van een glasvezel zou kunnen profiteren (gigabit ethernet). Dat kan met VPN waarschijnlijk niet omdat VPN hardware daarvoor niet snel genoeg is.

[ Voor 7% gewijzigd door Theodoor op 15-08-2003 10:59 ]

Je maakt dus twee VLAN's op elke switch en door VLAN tagging kan je die VLAN's groeperen? Wat voor switches heb je dan nodig?

[ Voor 7% gewijzigd door Theodoor op 16-08-2003 13:34 ]

Daar heb ik ook van gehoord. Maar het was toch zo dat als een switch wordt geflood, dat de switch dan 'vergeet' welke mac-addressen bij welke poort horen?

Ik heb nu een aantal 3COM superstack3 3300's staan. Door in de switches een extra glasvezelpoort in te bouwen, VLAN's te configureren etc. zouden we al klaar zijn. De enige investering die we dan zouden moeten doen is de aanschaf van een paar glasvezelpoorten. Investering van 80 - 100k per lokatie is geen optie.

Maar het gaat ons ook om veiligheid: we willen absoluut niet dat vertrouwelijke informatie gesniffed wordt en op straat komt. Daarom mij vraag: hoe betrouwbaar zijn VLAN's? Als een switch gespoofed/geflood wordt, blijft het verkeer dan in het VLAN bij gebruik van 802.1q VLAN tagging? Of wordt er dan ook gebroadcast naar switchpoorten die in een ander VLAN zitten?

Het hangt allemaal af van welke apparatuur we gaan aanschaffen. We hebben nu een aantal 3COM superstack2 en 3's 1100/3300 staan. We kunnen dan 1 switch pakken om die voor de ene kant van de glasvezelverbinding te gebruiken. We moeten dan nog wel zo'n glasvezelmodule kopen. Zo'n module kan 1 poort bevatten. Zo'n module is geschikt voor lange afstanden (afhankelijk van de soort heb je multimode of singlemode ondersteuning). Multimode (tot 550 meter) is voldoende voor ons. De andere switch op dezelfde lokatie is ook een 3COM. Waarschijnlijk gaan we deze switch dmv van een poorttrunk op de andere switch aansluiten. De switch aan de andere kant van de verbinding gaan we waarschijnlijk gewoon aanschaffen en het zal wel een core-switch worden van 3COM of HP, maar hier hebben we verder nog niet over nagedacht.