EthernetConnect/Netzwerkaufbau

[Maerad 15]

Hallo,

 

bräuchte mal ein paar Meinungen/Ideen zu obigem Thema - die Threads hier im Forum dazu sind von 2009, hat sich ja doch in den letzten paar Jahren ein wenig geändert. :)

 

Wir haben zwei Standorte, welche via SDSL/VPN über zwei Cisco Router verbunden sind. Daher natürlich auch zwei unterschiedliche Subnetze. Als AD/DC im Netzwerk wird Server 2012 Standard genutzt - Hauptstandort A hat zwei AD/DC, Niederlassung einen. Im AD sind Standorte konfiguriert und werden genutzt. Switche sind smart managed, DGS-1500 von DLINK mit VLAN, VLAN Routing funktion, RSTP, FlowControl usw.

 

Alles wunderbar - nur zieht die Niederlassung in ein Gebiet um, in welchem kein SDSL verfügbar ist...

Und bevor sich da einer meldet - ja, wir haben das vorher mit der Telekom direkt abgeklärt. Meinten 16 Mbit ADSL und 2 Mbit SDSL kein Problem - hab dann (leider erst nach Unterschrift des Vertrages) eine manuelle Prüfung durchsetzen können (Vertreter war im Urlaub, Stellvertretung wollte nicht) - und die ergab erstaunlicherweise, das SDSL nur 256 Kbit geht. ADSL lustigerweise soll aber volle 16 Mbit packen ... Naja, no comment.

 

Nach einigem "hin und her" mit diversen Anbietern, Techniken usw. haben wir uns nun für EthernetConnect entschieden mit 2,5 Mbit. Falls es jemand nicht kennt - man bekommt einen Kasten von der Telekom in jedem Standort, verbindet den mit dem Switch und tada - fertig. Kann man sich in etwa so vorstellen, das einer in Standort A das Kabel in den Switch steckt und mit der Kabeltrommel zum anderen Standort rennt. Ist ein direktes Routing quer durch Deutschland, ohne Gateway, externe IP Adressen oder ähnliches.

 

Das stellt mich nun allerdings vor ein prinzipielles Problem ... wie richte ich am besten das Netzwerk damit ein?!

 

Gibt m.E. nur zwei Möglichkeiten:

1. Mit den D-LINK Switchen zwei VLAN aufbauen und zwei Subnetze beibehalten (Hauptswitche in Standort A + B sind dann auch Gateway in das jeweilige Subnet), alles andere bleibt beim alten

2. Gemeinsames Subnet (IP Adressen reichen locker), Standorte via Zuordnung der Computer/Benutzer manuell, DHCP als Loadbalancing zwischen einem Server in Standort A und B (bei Ausfall der Leitung können beide Netzwerke aufrecht erhalten werden)

 

Andere Ideen? Hat jemand vielleicht so etwas bereits in Praxis laufen? Bin beim Thema VLAN usw. zwar theoretisch gut informiert, aber noch nie in der Praxis größer umgesetzt (Szenario oben mit den Switchen geht aber, gibts einen Guide von DLink selbst). Der Umzug dauert zwar noch 3 Monate, aber besser zu früh als zu spät damit angefangen :)

[lefg 276]

Wozu VLAN, wozu Subnet?

 

Ein Netz mit einem IP-Bereich, fertig ist die Laube.

 

Falls man an beiden Standorten einen DHCP haben will, dann teilt man den Gesamtbereich eben auf.

 

Ist das aber notwendig? Nun ja, man vertraut dem Provider wohl doch nicht so ganz, oder?

 

Gegeben sei  Gesamtnetz 192.168.0.x/23,

 

dann Standort 1 DHCP 192.168.0.x-192.168.0.y,

und Standort 2 DHCP 192.168.1.x-192.168.1.y

 

Falls man will, dann kann man natürlich Subnetze bilden und einen Router dazwischen setzen oder auch zwei und damit ein eigenes Zwischennetz bilden. Man sollte sich natürlich die Frage beantworten können, warum, wofür ist es notwendig?

bearbeitet 3. Oktober 2013 von lefg

[NeMiX 76]

Fallls Ihr dem Provider nicht traut. Ihr könnt immer noch mit den Ciscos ein VPN über das Etherconnect aufbauen. 

Kabel vom Etherconnect in den Cisco und dann darüber weitermachen.

[Maerad 15]

Hätte vielleicht noch etwas mehr dazu schreiben können. Jeder Standort hat einen eigenen Internetzugang und VoIP-Telefone, deren Konfig. via DHCP ausgegeben wird usw. usf. Sollte einmal die Verbindung ausfallen, dann müssen sich natürlich auch die MA im Standort anmelden können  - das hat nichts mit Vertrauen in den Provider zu tun, sondern ist einfach vorausschauende Planung. Auch der Grund warum die Niederlassung einen eigenen AD/DC hat bzw. der Hauptstandort zwei.

 

Werde zwar noch über die 16 Mbit DSL Leitung etwas realisieren, wenn aber mal wieder ein Bagger die Hauptleitung der Telekom kappt, bringt das auch recht wenig (ja, Beschädigung/Ausfall der Hauptleitung ist zumindest in der Gegend der Niederlassing in 3 Jahren nun 4 oder 5 mal aufgetreten ...).

 

Momentan haben wir ja zwei getrennte Netze, in Zukunft ist es rein von der TEchnik her nur noch ein Netz. Problem ist auch nicht das Scoping via DHCP oder ein /22'er Netz (brauch 10.65.65.0 u. 10.65.66.0), sondern u.a. das die Leitung lt Telekom eine Latenz von ca. 10 ms haben sollte. Wenn nun aus welchen Gründen auch immer, ein DHCP Server etwas ausgelastet ist und der andere schneller auf den Request antwortet, dann ist das ein Problem. Die zwei getrennten Subnets würden über den Dlink Switch im Hauptstandort realisiert - kein zusätzlicher Router, das macht der Switch direkt und fungiert in dem VLAN auch als Weg nach draussen - z.B. siehe Link: KLICK. Lt. Dlink ist dieses Routing auch nicht verlustbehaftet (vor allem mit einem Gateway). Möchte da auch eigentlich nix über VPN machen, weil das ja wieder konträr zur Latenz und zum Durchsatz wäre - wenn es überhaupt geht mit den R042G...

 

VPN Verbindungen mit mehreren Modems/Routern/Gateways usw. hab ich schon zu genüge gesehen ... sowas hatte ich bisher aber noch nicht. Daher eben etwas unsicher :)

[Leuchtkondom 17]

Ich versteh das Problem nicht? Lass doch die Netze genau so wie Sie sind und mache das VPN über das EthernetConnect mit den beiden Ciscos genau so wie es vorher war, ganz einfach dann musst du 0 umstellen, deine Kommunikation über das Telekomnetz ist trotzdem verschlüsselt und DHCP ist auch kein Thema.

[Leuchtkondom 17]

Ps: 1 Netz für alles wie von lefg vorgeschlagen würde ich definitiv nicht machen, sonst laufen über die jetzt schon nicht dicke Leitung dann auch noch Broadcasts etc.

[lefg 276]

Ps: 1 Netz für alles wie von lefg vorgeschlagen würde ich definitiv nicht machen, sonst laufen über die jetzt schon nicht dicke Leitung dann auch noch Broadcasts etc.

 

Hallo,

 

well, wenn Switches in einem Netzwerk gelernt, welche MAC's über welche Ports erreichbar, wozu soll es da noch Broadcasts geben? In einem Switching Network ist jede Verbindung eine Broadcast-Domain. Allerdings, falls man keine Switches vorhanden, die wenigstens Spanning Tree können und ein Teilnehmer verursacht einen Quasi Broadcast Storm, dann wird das Netz zugedrückt.

 

Natürlich kann man routed Subnet einrichten, so man will, es mindestens für sich begründen kann. Ein Grundgedanke von EthernetConnect ist aber, auf Routing zu verzichten zu können, auch verteilte Standorte wie ein LAN darzustellen und zu behandeln in einem Adressraum.

bearbeitet 10. Oktober 2013 von lefg

[DocData 85]

In einem Netzwerk mit Switches stellt jedes VLAN eine Broadcastdomain dar, nicht jeder Switchport. Und in einem LAN wirst du noch genügend Broadcastverkehr haben, egal wie viel deine Switches gelernt haben. Das fängt schon damit an, dass die Hosts per Broadcast ihren ARP Table füllen. Eine Broadcastdomain begrenzt einen Broadcast (daher der Name). Ein Switchport tut das nicht. Daher ist ein einzelner Switchport keine Broadcastdomain. Ein VLAN begrenzt Broadcasts, daher ist ein VLAN eine Broadcastdomain.

 

Bei 2,5 Mbit würde ich im Traum nicht daran denken, mein LAN über so eine Verbindung zu erweitern. Da würde ich in jedem Fall vor beide Enden Router setzen und den Verkehr ganz klassisch routen. Die Leistung wird allein wegen des normalen Grundrausches ausgelastet sein.

 

Wegen dem Grundgedanken der EtherConnect: Der Grundgedanke dahinter ist nicht, dass man sein LAN einfach erweitern kann, sondern dass man "günstige" Interfaces an aktiven Komponenten verwenden kann und nicht mit "komplexen Protokollen" hantieren muss. Natürlich kann ich eine schneller EtherConnect (alles ab 1 Gb/s) einfach auf beiden Seiten auf einen Switch stecken. Aber um ein LAN transparent über eine WAN Strecke zu ziehen brauche ich kein EtherConnect. Das kann ich auch z.B. per VPLS realisieren.

bearbeitet 10. Oktober 2013 von DocData

[lefg 276]

@DocData

 

Danke für die Erläuterung :)

[DocData 85]

Gerne :)

[Maerad 15]

Hallo,

 

danke für die vielen Antworten, nun auch mal ein wenig Feedback :)

 

1. Sicherheit

Mit der Telekom nochmal gesprochen und deren Vertriebler hat auch mal direkt beim Techniker angefragt.

 

EC ist mitunter eine der sichersten Verbindungen überhaupt (alles Aussage von denen, nicht von mir) und alleine schon Aufgrund der Art der Verbindung nur mit sehr viel krimineller Energie abgreifbar. Und selbst dann (wenn man sich zwischengeschaltet hat) ist die Verbindung nochmal zusätzlich gesichert und die Telekom hat ein System, das Leitungsänderung sofort bemerkt und die dann einschreiten. Na ja - wie gesagt, vom Vertriebler ;)

 

2. Was ich nun geplant habe.

Wir haben zwei L3 Switche von DLink (DGS-1500-28p und 52) - mit diesen werde ich ein Vlan aufbauen und Routing konfigurieren, damit wir unsere bestehenden Subnetze (normales VPN zur Zeit) beibehalten können, Zusätzlich QOS und Bandbreitenmanagement für den EC Port aktivieren (kein FlowControl, da dies mit QoS zu Problemen führen kann/könnte bzw. garnicht möglich ist. Daher auch das Bandbreitenmanagement).

 

Dann ist jedes Netz autark, kein Broadcasting das den Port belastet und natürlich sehr viel schneller als über einen seperaten Router.

Klar, könnte auch noch der Sicherheit halber einen Router mit VPN einsetzen, aber einer der Vorteile von EC ist ja die super Latenz, die ich mir damit wieder verschlechtern würde und auch mehr Overhead produziere.

 

Schaun wa mal was das wird :)

[DocData 85]

Wenn du über die EtherConnect ein Transit-VLAN baust, dann ist das eine durchaus praktikable Lösung. Wichtig ist, wie du schon richtig erkannt hast, dass kein unnötiger Broadcast-Verkehr über die Leitung geht. Durch das VLAN ist das sichergestellt.