Generalrenovierung des Netzwerkes (Catalyst 35xx raus, 4500 mit 2960G rein)

[thomas_hind 10]

Hallo.

Hat hier jemand Erfahrung mit "Catalyst 35xx raus, 4500 mit 2960G rein"?

 

Ziel ist eine ziemliche Generalrenovierung des Netzwerkes, jetzt sind z.T. mehrere 3500 hintereinander-geschaltet, Clients mit Giga-Netzwerkkarten können nur 100 Mbit wegen der Etagenswitche etc.

 

Aktuell vorhanden: zwei Gebäude mit je 4 Etagen, ca. 50-80 Ports pro Etage, davon ca. 75% in Benutzung (teilweise Testhallen und Besprechungszimmer, Keller)

Demnächst wird ein drittes Gebäude gebaut, ebenfalls 4 Etagen

 

Momentan ist ein grosser 4500er im Gespräch oder zwei "kleine" 4500er plus eben einem guten Dutzend 2960G für die Etagen (bisher über 1x LWL angebunden, zukünfig evtl. über 2x LWL). Nach Bau des dritten Gebäudes vermutlich Anpassung/Erweiterung, z.B. dritter kleiner 4500er. Ca. 150 Mitarbeiter bisher, später 200

 

VLANs haben wir nicht, überhaupt ist die Firma netzwerkmässig immer noch ne Garagenfirma. Es gibt keine Software zur Netzwerk"überwachung" bisher

 

Trotz der finanziellen Grössenordnung ist das auf meinem Tisch gelandet :suspect:

 

Meine bisherigen Gedanken:

- die 10 Gbit-Option macht i.A. noch keinen Sinn (?), weil mit nur zwei Gebäuden. Da kann man doch später "einfach" nen zweiten Supervisor kaufen? Zu dem "jetzt" gekauften einfach hinzustecken?

- Gibt es die 5-4-3-Regel noch? Die Server würde ich an 1-2 Switche anschliessen, die direkt an den 4500, von da in die Etagen (1.Bau) oder eben mehrfach gebündelt zum zweiten 4500, von da in die Etagen.

- Jetzt haben wir einige alte 3500 und 3550 im Einsatz, die sind alt, kann man die noch weiterverwenden? Was macht das Weiterverwenden evtl kaputt?

- Hinter den Etagenswitchen hängen manchmal noch Billigswitche, DLINK DGS-1214 z.B.

Was macht mir das kaputt?

- Redundanz ist bisher kaum vorhanden, falls jetzt mal ein Switch kaputt geht, fährt jemand im Mediamarkt und holt nen DLINK, echt!

- Machen VLANs Sinn bei "nur" 200 Mitarbeitern? Wir haben allerdings gern mal n halbes Jahr lang ne Kundenumgebung mit 25+ Maschinen im Haus, manchmal auch mehrere Kundenumebungen. Da sind z.T. komische Protokolle am Werk.

 

Sicherlich ist bei einem Projekt solcher finanzieller Grössenordung externe Beratung eingekauft, keine Frage (Empfehlungen / Warnung über einzelne Dienstleister gern per PM), aber die machen gern alles redundant und mit 5 Extrafeatures, die uns kaum was bringen (aber denen Dienstleistungsumsatz).

 

Was sind eure Erfahrungen?

 

Tschüß

[starfoxx 10]

Hi,

 

also die Dlinks würde ich raushauen.

Für "Arbeitsgruppen" eventuell die alten 3550 / 3524 nehmen.

 

Das ganze so aufbauen dass SpanningTree funzt.

Kaputt machen dir die 100Mbit Switche eher nichts. Gigabit für Sachbearbeiter halte ich für überzogen. Einfach die Wichtigen Sachen (Server Backbone - Switche und Clientswitche per Gigabit) verkabeln. Die User mit 100 Mbit dran.

Redundanz, naja durch Spanning Tree wenn dir mal ne Gigabit Connection abhanden kommt. Wenn nat. sich einer in Luft auflöst oder zusammenschmilzt ist das schon ärgerlich. ich würde die 3550 und 3524 Switche als Austauch behalten. Die haben ja 2x Cisco Gbits Anschlußmöglichkeiten oder per Stackmodule stacken.

 

Grüße

starfoxx

[#9370 10]

Hallo,

 

die 3550iger würde ich auf alle Fälle behalten - die können gleich viel wie 3560/3750 Switches. Sie haben halt nur 10/100 MBit Ports für die User.

Wenn du das Netzwerk erneuerst würde ich die D-Link und XL Switches austauschen. Die Gründe dafür sind Performance und Features. Ich arbeite selber für einen Dienstleister, würde dir aber auch als Neutraler zu den tollen Features raten, die die neuen Switches bringen. Dazu gehören MST (Multiple SpanningTree), DHCP Snooping und Dynamic ARP Inspection, vielleicht auch 802.1x, ersteres um niedrige Konvergenzzeiten zu erziehlen und wenige SpanningTree Instanzen zu haben. Die anderen eignen sich super um L2 Attacken zu erkennen und abzuwehren und den Zugriff auf das Netzwerk zu kontrollieren. Es gehören dann noch andere, schon länger verfügbare Dinge dazu, aber das würde den Post nur unendlich lang machen.

VLANs finde ich bei der Größe auf alle Fälle notwendig. Du schreibst von ca 500 benutzten Ports. Da kommt schon einiges an Broadcasts usw. zusammen, die alle User erhalten. Außerdem würde sich die Security erhöhen lassen, wenn das Netzwerk segmentiert wird und nicht jeder alles darf (ACLs oder FW zwischen den Segmenten). Ganz wichtig wäre es, die Gast User und Testumgebungen vom Produktionsnetz fernzuhalten.

Von der Topologie würde ich ein Standard Design verwenden: Zwei Core Switches; zwei Switches pro Stockwerk, die miteinander verbunden sind; Der erste Stockwerkswitch geht auf Core Switch 1 under der zweite auf den Core 2. Die Core Switches mit einem Channel verbinden.

Ich würde dir zu einem Designworkshop mit deinem Lieferanten raten, bei dem die Features und Topologie durchgesprochen wird.

 

/#9370

[Weihnachtsmann 10]

Nachdem ihr noch nicht mal mehrere VLANs im Einsatz habt würde ich mir mal Gedanken machen ob es nicht eine preiswertere alternative zu Cisco gibt.

 

Ich würde hierfür HP Procurve empfehlen, die einmal viel preiswerter sind und auch vom Support einiges mehr bieten (Lebenslange Garantie, kostenlose Softwareupdates).

 

Klar kann HP Cisco nicht das wasserreichen aber wenn man die funktionen eh nicht nutzt.

 

Mehr Infos gibts hier: ProCurve Networking by HP

 

Für die 4500er würde ich 5400 nehmen und anstatt den 2960G 29xx wenn 10Gb benötigt wird 2810er wenn Gigbit an den Clients benötigt wird und 26er wenn nur Gigabit Uplinks benötigt werden.

 

Die unmanged Switches würde ich auf alle Fälle entfernen da diese das Troubleshooting erheblch erschweren und auch keine Funktionen wie Spanningtree, VLANs, ... bieten.

 

VLANs würde ich auch einsetzen vor allem um die Testumgebungen der Kunden logisch vom Firmen Netzwerk abzugrenzen. Ob man auch firmenintern mehrere VLANs einsetzt sollte auf alle Fälle näher untersucht werden.

 

Gruß

Weihnachtsmann

[thomas_hind 10]

Hallo

 

a) Etagenswitche

 

Wenn jetzt die Clients durch die neuen Switche alle auf einmal Gigabit-Verbindung zum Switch haben, dann ist natürlich ein einziger Gigabit-Uplink zum Server-Switch nicht viel.

 

Bei den Etagenswitchen, die ja 4x LWL haben, wir sind da die Bündelungsoptionen? Ist das immer 50 / 50 (d.h. 2 LWL aktiv, 2 LWL passiv) oder geht da auch 75 / 25 (d.h. nur ein LWL für den Fall, dass ne Maus im Haus die Kabel anknabbert)

 

 

Ich muss zugeben, ich habe VLANs (noch?) nicht verstanden.

VLANs sind eine logische Gruppierung auf einem gemeinsam genutzten Verkabelung. Soweit richtig?

Wir haben nun (z.B.) Videokameras mit Ethernet-Ausgang im Haus, die ziemlich viel "Rotz" ins Netzwerk kippen.

Bisher hat man da extra Cat5-Kabel quer durch die Häuser gezogen. Das ist nun nicht mehr nötig, wenn nun VLANs eingeführt werden? Richtig?

 

Wie setze ich VLANs praktisch um?

Die Firma hat natürlich einen Einkauf, einen Verkauf, eine Buchhaltung.

Dann noch die Entwickler, die (zum Teil) monatelang (!) auf Kundenausrüstung (PCs, Server, Drucker mit anderen IPs) zugreifen müssen, die (momentan) in einem anderen Gebäude stehen.

In Halle 1 heute Projekt A, morgen Projekt B und C, dann monatelang Projekt D. In Halle 2 ist monatelang Projekt E.

In den Kundenumgebungen laufen zum Teil auch DHCP-Server (müssen laufen), die in der Vergangenheit (aufgrund Fehlkonfiguration) schon mal nem Buchhaltungs-PC n Lease gegeben haben.

Aber die Entwickler wollen auch mit Laptops ihre Hausmails lesen und auf die Haus-Fileserver zugreifen, sodass eine getrennte mechanische Verkabelung nicht nur teuer wäre, sondern auch dem Zweck nicht komplett erreichen würde.

 

Bis jetzt bauen die sich einfach eine zweite Netzwerkkarte in ihren Arbeitsplatz-PC (irgendwo in irgendeinem Gebäude) und konfigurieren dort ne zweite Netzwerkumgebung.

Die ARP-Broadcasts (und andere, oder?) schlagen aber bei jeden PC auf, auch in der Buchhaltung. Soweit richtig?

Wie kann man das konfigurieren, ohne dass die Entwickler die Hände über dem Kopf zusammenschlagen "ich will hier nur arbeiten und nicht dauernd umkonfigurieren?"

 

 

 

 

Ciao

[thomas_hind 10]

b) Backbone-Bereich

Hat hier jemand 4500er im Einsatz?

 

Mich stört ziemlich, dass trotz 18 LWL-Löchern auf der Frontseite nur max. 6 GBit auf der Backplane ankommen? Bei dem Preis?

Wenn ich 3560 zusammenschnüre (mittels der Anschlüsse auf der Rückseite) dann kann ich doch 3-4 mal 12 Ports (relativ) sauber zusammenbündeln? Oder?

 

3-4 mal 12 ist 36-48, das sollte doch für 12 Stockwerke reichen? Okay, jedes Stockwerk muss mit mind. 2 LWLs angebunden werden, plus 12 Server.

Macht ca. 30 % Reserve. Obwohl, die doppelte Anbindung macht ja nur einmal Traffic, d.h. 12 Stockwerke plus 12 Server = max. 24 Gbit/s, da ist noch Luft au der Backplane (32 Gbit, gell?)

 

Allerdings kann ich so kein 10 GBit machen? Oder kann ich die Rückseitenverbindung auch zu einem 10 Gbit-Switch nutzen? Welchen?

 

Wir wissen auch noch nicht, ob wir einen grossen 4500er kaufen oder zwei bis drei kleine (einem pro Gebäude), die dann "schnell" miteinander verbunden werden.

Für den Fall, dass wir mehrere 4500er nehmen, wäre 10 Gbit zur Verbindung der 4500er untereinander natürlich gut, evtl. sofort evtl. später.

 

Angenommen, wir stellen einen Stapel 3560 in das Gebäude "Links" und "Rechts", z.B. 2 Stück mit 24 Ports sollte ja reichen, um die Etagenswitche redundant anzubinden.

Allerdings kommen da (max.) 4 Gbit/s an, falls wir zwei LWL pro Stockwerk benutzen. Die müssen zum "Zentralswitch" im "Zentralbau". wie kann da ein dritter 3560-Switch konfiguriert werden.

Die Daten von den Etagenswitch kommen über das Switch-Verbindungskabel auf der Rückseite. Wie kann ich die 12 Ports zusammenbündeln? 50% aktiv und 50% passiv wären 6 Gbit pro Sekunde, das würde erstmal reichen, für die Zukunftssicherheit wäre aber 75 % aktiv, 25 % passiv besser,

das wäre 9 Gbit/s, mithin 100% Bandbreiten reserve.

Der "Zentralswitch" im "Zentralbau" könnte ja auch "erstmal" (?) ein Stapel 3560 sein.

Hintergrund dieser "Kostendrückerei" ist einfach die Unsicherheit, ob die teuere Lösung (4500) soviel mehr Leistung bringt als die "billige" (mehrere 3560-Stapel).

 

Ein mögliches (aber unwahrscheinliches) "Risiko" ist, dass die Firma ca. 1 Dutzend Produkte hat. Mein letzter AG hat die einzelnen Produkte irgendwann in einzelne GmbHs überführt, da ist es natürlich gut, wenn dass auch netzwerkmässig trennbar ist.

 

Für mehr als drei Gebäude ist kein Platz auf dem Grundstück, übrigens.

 

c)

Wie überwache ich das ganze? Z.B. wenn ein LWL-Link zum Stock 2 im Gebäude C ausfällt, dann merke ich das ja erstmal nicht, weil die Links ja redundant sind.

Wenn nun aber die Maus ne Woche später das zweite Kabel annagt, dann wirds kritisch. Wie vermeidet ihr solche Situationen, ohne 50.000 EUR für HP OpenView oder so Kram auszugeben?

Was ist bei euch tatsächlich im Einsatz?

[ck84 10]

Mit Nagios oder OpenNMS.

[Danielsun 10]

Fürs Monitoring eventuell IP-Check von Paessler und PRTG wenn du noch Traffic/CPU/etc. auswerten möchtest.

 

Im Gegensatz zu freier Frickelsoftware sind die Produkte einfach zu installieren und auch zu administrieren.

 

Als Ergänzung sollte dann noch ein Syslog z.b. Kiwisyslog genommen werden, um alle aventuealitäten und Probleme langfristig zu archiviren.