Neues Netzwerkdesign VLAN oder physisch getrennt?
-
Hallo Gemeinde,
nach Anschaffung einer SG 4860 möchte ich nun unsere bestehende Installation aus drei LANs (eigentlich 4 inkl. VPN) in ein neues Netzwerkdesign überführen. Hierbei stellen sich für mich folgende Fragen und Anforderungen:
1. LANs physisch (eigene Switches, Kabel) oder logisch (VLAN tagged oder untagged) trennen
2. Internet Gateways über Load Balancing oder Redundanz installieren
3. Position der pfSense zu den drei LANs
4. Admin der APs und pfSense in den drei LANs auch über die VPN-Anbindung
5. die Last wird weiter zunehmen (iPTV, Facetime, ) im Maximum bei ca. 50 Internetnutzern (Durchschnitt 10 Nutzer); inzwischen hat jeder Nutzer mindestens zwei Geräte parallel online
6. Bisher nutze ich https für das Captive Portal, was aber bei den Nutzern wegen der Fehlermeldung "fehlendes Zertifikat" eher zur Verwirrung führt; ist http eher für einen "Massenbetrieb" geeignet? (siehe Startseiten mit https ….)Folgende Situation ist heute installiert:
- Zwei Internetgateways (Cable und DSL)
- ein LAN/WLAN für den Office-Betrieb
- ein externer Hotspot (MaxSpot) für Gäste (soll zukünftig als CaptivePortal über die pfSense laufen) mit mehreren leitungsbasierenden (nicht managerbaren ) Switches und APs
- ein interner Hotspot über die pfSense als CaptivePortal (für Student) mit mehreren leitungsbasierenden (nicht managerbaren) Switches und APs
- wenn pfSense ausfällt (LOG-Datei läuft über, etc), dann geht zumindest noch das Office-LAN
Hier das Netzwerkdesign (IST mit SOLL):
LAN-Privat
:
.–---+-----.
| FB6490 |
'-----+-----'
:
: Cable-Provider
:
WAN / Internet
:
:
VPN (Privat2Office)
:
:
WAN / Internet WAN / Internet
: :
: Cable-Provider : DSL-Prorvider
: :
FIX IP (Office) PPPoe
| |
.----+-----------------------------. .-----------------------.
| NG VPN Firewall FVS336GV2 | | TPL ER6120 |
'----+-----------------------------' '-----------------------'
| (IST: gegenseitig via DMZ redundant und/oder load balance)
| |SOLL:
(Office an die pfSense hängen oder getrennt lassen?)
| (von VPN-Privat) |
.–---+---------------------------. Anforderung: Admin von pfSense, CP-Gast (LAN, APs) und CP-Student (LAN, APs)
| Switch-Office (MaxUser 10) | |
'-----+---------------------------' |
| | |
LAN1-LANx AP1-APx |(im SOLL, wie anzubinden?)
|
|
.---------------------------------------------+--------------------------------------------.
| pfSense |
| CP-Gast CP-Student |
'----------------+------------------------------+------------------------------------------'
| |
| (User 50/10) | (User 20/10) (Max/Durschnitt)
.---------------+-----------------------. .------+----------------------------.
| EG: Switch-Gast | | 1.OG: Switch-Student |
'---+--+--+--+---+-------------------' '---+--+--------+-------------------'
| | | | | | | | |
| | | | LAN1-x AP1-x | LAN1-x AP1-x
| | | | |
| | | .-+--------------------. .----+----------------------------.
| | | | 1.OG: Switch-Gast | | 4.OG: Switch-Student |
| | | '------+--------+-----' '----------------------------------'
| | | | |
| | | LAN1-x AP1-x
| | |
| | .-+------------------------.
| | | 2.OG: Switch-Gast |
| | '----------+--------+-----'
| | | |
| | LAN1-x AP1-x
| |
| .-+------------------------.
| | 3.OG: Switch-Gast |
| '----------+--------+-----'
| | |
| LAN1-x AP1-x
|
.-+------------------------.
| 4.OG: Switch-Gast |
'--+--------+------------'
| |
LAN1-x AP1-xEs wäre super, wenn ich ein paar Hinweise für die zukünftige Architektur von euch erhalten könnten!
-
Hi,
der beste Hinweis den ich habe ist der, dich an ein anderes Forum zu wenden, denn das hat nicht so richtig was mit pfsense zu tun.
Schaue auf administrator.de Dort wirst du u.a. auf aqui treffen, der dir in seiner charmanten Art hervorragend helfen wird. Evtl mußt du aber erst durch die Netzwerker-Presse :'( wonach du weisst, dass du nichts weisst ;D . Lies vorher die vielen Tutorials, die sehr gut sind!
Gruß
pfadmin -
VLAN oder echtes Kabel, ist recht einfach und auch nur durch dich selbst zu klären: Nötiger Durchsatz, Kosten/Nutzen bei neu zu verlegenden Kabeln.
VLAN teilt nur vorhandenes virtuell auf, brauchst du aber 2GBit/s brauchst du 2 Kabel oder 2,5/5/10GBit/s-Technik.
Gruß
pfadmin -
Hi,
der beste Hinweis den ich habe ist der, dich an ein anderes Forum zu wenden, denn das hat nicht so richtig was mit pfsense zu tun.
Schaue auf administrator.de Dort wirst du u.a. auf aqui treffen, der dir in seiner charmanten Art hervorragend helfen wird. Evtl mußt du aber erst durch die Netzwerker-Presse :'( wonach du weisst, dass du nichts weisst ;D . Lies vorher die vielen Tutorials, die sehr gut sind!
Gruß
pfadminVielen Dank für den gut gemeinten Ratschlag. Bei administrator.de bin ich schon länger "unterwegs"….
Mir ging es mehr um die Diskussion zur Leistungsfähigkeit von "pfSense" als zentrale Instanz (single point of failure) oder eher mehrgleisig fahren? Insofern kommen die spezifischen pfsense-Einstellungen später im Detail.
Beste Grüsse -
Ok, das habe ich aus deiner Fragestellung nicht herausgelesen! Da kann ich dir nicht helfen, bin aber auch gespannt.
Gruß
pfadmin -
Moin,
die Ausfallsicherheit kannst Du doch auch erhöhen: https://doc.pfsense.org/index.php/High_Availability
Ich nutze es noch nicht, deshalb keine Erfahrungswerte meinerseits aber hier sind ein paar sehr pfiffige Profis unterwegs ;)-teddy
-
Hallo,
Mein Bauchgefühl sagt mir, dass du bei der Nutzerzahl und unter der Annahme, dass du überall 1GBit/s anliegen hast, du mit VLANs dein Ziel gut erreichen wirst.
Gruß,
Marcel -
Hallo,
Mein Bauchgefühl sagt mir, dass du bei der Nutzerzahl und unter der Annahme, dass du überall 1GBit/s anliegen hast, du mit VLANs dein Ziel gut erreichen wirst.
Gruß,
MarcelDanke Marcel, die Kabel sind nicht das Problem - KAT 6/7 liegen schon alle oder können relative einfach nachgezogen werden; es ging mehr eher um Vereinfachung und Managebarkeit. Momentan habe ich eigentlich drei physisch getrennte Nezwerkbereiche (nur bei den Gateways zum Internet werden die teilweise zusammengeführt);
Habe beispielsweise gerade einen dd-wrt-AP (LS WRT45) mit zwei physischen Kabeln "gebridget" um zwei WLAN-SSID bereitzustellen.
Wenn ich eine "Virtualisierung" (Netz, pfSense, AP, …) einführe, ist wohl die Nachvollziehbarkeit im Änderungsfalle "etwas" schwieriger. Oder?
-
Welchen Durchsatz kann Deine Internet-Anbindung bereitstellen?
Erwartest Du viel (oder überhaupt) Traffic zwischen den Netzsegmenten?Wenn Du genug Interfaces an der pfSense für dedizierte Segmente hast und Switchports auch reichlich zur Verfügung stehen, dann mache es physikalisch getrennt. Damit schaffst Du Dir auch keinen Flaschenhals, wenn Traffic einen Trunk zweimal durchläuft (von einem Segment ins Nächste).
Wenn Du aber sowieso nur upstream auf eine VDSL Leitung oder so konzentrierst, dann wäre das ziemlich wurscht.Unüberschaubar oder schlecht zu managen ist eine VLAN Lösung nicht, man muss ggf. einmal mehr nachdenken, bevor man Einstellungen ändert.
Wenn Du mit gescheiten AccessPoints mehrere SSIDs ausstrahlen willst, dann kommst Du fast nicht um einen Trunk zum AP herum, und dann taggst Du sowieso schon. Dann kann man das auch gleich konsistent überall machen.
Ferner lässt sich ein Management VLAN einrichten, auf dem man (nur) die Hardware administriert. Das funktioniert mit physikalischer Verteilung nur eingeschränkt und/oder mit großem Aufwand, wenn überhaupt. -
Welchen Durchsatz kann Deine Internet-Anbindung bereitstellen?
Erwartest Du viel (oder überhaupt) Traffic zwischen den Netzsegmenten?Wenn Du genug Interfaces an der pfSense für dedizierte Segmente hast und Switchports auch reichlich zur Verfügung stehen, dann mache es physikalisch getrennt. Damit schaffst Du Dir auch keinen Flaschenhals, wenn Traffic einen Trunk zweimal durchläuft (von einem Segment ins Nächste).
Wenn Du aber sowieso nur upstream auf eine VDSL Leitung oder so konzentrierst, dann wäre das ziemlich wurscht.Unüberschaubar oder schlecht zu managen ist eine VLAN Lösung nicht, man muss ggf. einmal mehr nachdenken, bevor man Einstellungen ändert.
Wenn Du mit gescheiten AccessPoints mehrere SSIDs ausstrahlen willst, dann kommst Du fast nicht um einen Trunk zum AP herum, und dann taggst Du sowieso schon. Dann kann man das auch gleich konsistent überall machen.
Ferner lässt sich ein Management VLAN einrichten, auf dem man (nur) die Hardware administriert. Das funktioniert mit physikalischer Verteilung nur eingeschränkt und/oder mit großem Aufwand, wenn überhaupt.Vielen Dank Chris; ich werde es zunächst physisch getrennt lassen und iterativ, mit dem Kauf VLAN-fähiger Switches und den "steigenden" Anforderungen mich ins Thema VLAN wagen… (zumindest eine Bridge an einem dd-wrt-AP mit zwei physischen Kabeln und zwei SSID habe ich schon hingekriegt).
Beste Grüsse
Nikolaus T.
