VLan Routing mit Layer 3 Switch

magicteddy · Dec 8, 2016, 2:51 PM

Moin,

heute Nachmittag ist mir doch ein Cisco SG300-20 zugelaufen 8).
Jetzt brauche ich mal ein wenig Nachhilfe: Ich habe den Switch aufgenommen weil ich meine pfSense vom VLan Routing entlasten möchte

VLan 1 192.168.12.0/24 Gate 192.168.12.254 [u. a. 1 Server und 2 Drucker]
VLan 20 192.168.20.0/24 Gate 192.168.20.1
VLan 30 192.168.30.0/24 Gate 192.168.30.1

Als Gateway dient in allen VLan pfSense.

Jetzt möchte ich das aus den VLan 20 & 30 auf meinen Server & Drucker in VLan 1 zugegriffen werden kann, ins Internet soll es weiterhin über das jeweilige Interface der pfSense gehen, dort sind Regeln, Zeitrahmen und Limits hinterlegt. Nur der Zugriff auf die Drucker und den Server soll über den SG300 mit Wirespeed erfolgen. Wie muss ich vorgehen?

-teddy

JeGr · Dec 9, 2016, 9:23 AM

Nur der Zugriff auf die Drucker und den Server soll über den SG300 mit Wirespeed erfolgen. Wie muss ich vorgehen?

Wirst du ohne böse Schweinereien nicht hinbekommen. Der Default Router in jedem Netz ist die pfSense ergo würde alles darüber geroutet. Und nur eine IP dran vorbei zu routen, müsste:

a) der Switch eine IP in jedem VLAN bekommen, also ein "echtes Interface"
b) jedem Client in VLAN20 und 30 wiederum verklickern, dass er <drucker-ip>über den Switch routen muss
c) gleichzeitig dem Drucker verklickern, dass er JEDE IP aus VLAN20/30 über den Switch routen muss, sonst hättest du asymetrisches Routing.

Das wird eklig - was besseres fällt mir aber leider nicht ein, es sei denn du kannst dem Drucker noch ein zweites Interface verpassen oder packst den in ein eigenes Netz, dass du dann anders routen kannst.</drucker-ip>

magicteddy · Dec 9, 2016, 10:57 AM

Moin JeGr,

Drucker & Server in ein eigenes Netz ist dann wohl das Einfachste und die sinnvollste Vorgehensweise.
Dafür ein L3 Switch ist fast wie Perlen vor die Säue, aber der Lern- und Spielfaktor ist da ;D, ich will mich mit dem CLI vertraut machen.

-teddy

JeGr · Dec 9, 2016, 11:33 AM

Dafür ein L3 Switch ist fast wie Perlen vor die Säue, aber der Lern- und Spielfaktor ist da ;D, ich will mich mit dem CLI vertraut machen.

jaaaa… nee. :) Das Problem ist: Um das über Linespeed ohne über pfSense zu gehen abzuwickeln, musst du vorher routen, also Core-Routing. Dann hast du aber - wahrscheinlich - keine so schöne Filterregelung wie über die pfSense, zumindest sind die meisten L3 Switche gruselig zu konfigurieren wenn man wirklich VLANs isolieren will. Oder kosten dann ziemlich.

Wir sind davon im Prinzip wieder weg, weil Linespeed zwar schön ist, für den meisten Kram wars aber unnötig und der Vorteil alles zentral auf der pfSense zu verwalten war zu groß - und das Regelwerk der Switche zu mies - zumal die oft noch stateless sind und das bringt wieder Probleme mit sich.

Wenn du Routen an die Geräte/Clients in 20&30 pushen kannst und den Switch dann bspw. in jedes Netz als .254 oder so einbauen kannst, dann wäre es evtl möglich, damit hättest du aber "hintenrum" auch deine Regeln über die pfsense ausgehebelt, denn ein Client könnte zum Zugriff von VLAN20 auf 30 einfach sein Gateway ändern und dann das Gerät abrufen. Deshalb ist das alles nicht wirklich schön.

Gruß

michaeljk · Jan 2, 2017, 10:40 PM

@JeGr:

Wir sind davon im Prinzip wieder weg, weil Linespeed zwar schön ist, für den meisten Kram wars aber unnötig und der Vorteil alles zentral auf der pfSense zu verwalten war zu groß - und das Regelwerk der Switche zu mies - zumal die oft noch stateless sind und das bringt wieder Probleme mit sich.

Ich möchte dieses Jahr auch endlich das Netzwerk bei uns umbauen (zur Zeit befindet sich alles in einem Subnet, nur eingeteilt über bestimmte IP-Bereiche je nach Gerätegruppe). Hier im Forum hatte ich damals schonmal gefragt, ob eine APU.1 für das Routing ausreichend wäre, da wurde mir aber auch zu einem Layer 3 Switch als Ergänzung geraten. Allerdings würde ich die Konfiguration auf der pfSense auch wesentlich komfortabler finden, die Frage ist eben nur, ob die Performance dann noch stimmt.

Prinzipiell sind die Netzbereiche recht überschaubar: Büro (PC, Drucker, …), Privat (Mobile Rechner, Multimedia-Geräte im Wohnzimmer, Konsolen), WLAN-AP, VOIP-Telefone, Server (Virtualisierungshost und NAS). Wie verliefe denn der Datenverkehr, wenn beispielsweise ein Video-Stream vom NAS in das Privat-VLAN gestartet würde, unter der Annahme dass das NAS bereits selbst das Tagging der Pakete übernimmt?

NAS -> Switch -> Multimedia-Device
oder
NAS -> Switch -> pfSense -> Switch -> Multimedia-Device

Zudem baut man sich durch die Segmentierung auch einen weiteren SPOF (pfsense-Router) ein - fällt dieser aus, dann wäre zumindest der Traffic zwischen den Subnetzen nicht mehr möglich. Glücklicherweise findet bei mir der meiste Datentraffic entweder innerhalb eines Subnetzes statt oder eben in/vom Internet aus, das hieße man müsste lediglich dafür sorgen, das gemeinsam genutzte Geräte/Server möglichst schon von sich aus in mehreren VLAN-Segmenten erreichbar sind?

JeGr · Jan 9, 2017, 3:46 PM

Hi Michael,

eine APU.1 wirst du eh nicht mehr finden ;) also wird es mind. eine APU2 :) Die Frage ist da eher ob du an irgendeiner Stelle wirklich Gigabit zwischen zwei VLANs haben musst oder nicht. In Verbindung mit einem VLAN fähigen Switch kannst du dann die Netze noch sinnvoll aufteilen, die APU hat ja 3 Interfaces, somit hättest du bei einem WAN noch 2 LANs frei.

unter der Annahme dass das NAS bereits selbst das Tagging der Pakete übernimmt?

Braucht es nicht wenn du einen VLAN fähigen Switch hast. Deshalb wurde m.E. auch der Switch empfohlen :)

Wie verliefe denn der Datenverkehr, wenn beispielsweise ein Video-Stream vom NAS in das Privat-VLAN gestartet würde,

VLAN_NAS -> pfSense -> VLAN_Privat

Deshalb genau die Frage, ob du irgendwo Gigabit Linespeed brauchst. Wenn du nur ein WAN hast und 2x LAN quasi haben kannst, dann macht es Sinn, wenn du heavy-Hitter auf einzelne LAN Ports legst. Bspw. dein Server/NAS VLAN bspw. auf einem physischen Interface, Privat, Voip und so auf dem zweiten Interface. Damit kannst du mit vollem Speed aus Privat->NAS bzw. Büro -> Server zugreifen, es sei denn es würden eben mehrere Zugriffe parallel laufen, aber das war ja vorher auch so. Das müsste man eben sehen wo was praktischer aufgehoben ist.

Grüße

michaeljk · Jan 9, 2017, 4:01 PM

Hallo,

also die APU.1 steht hier schon bei mir fertig im Rack, daher die spezifische Frage seinerzeit :)

Momentan habe ich dort die 3 bekannten Netzwerk-Ports, daran angeschlossen sind 1x LAN (alle Geräte zusammen), 1x WAN1 (DSL für VOIP) und 1x WAN2 (DSL/LTE-Hybrid). Zusätzlich hängt ein HP1810 24-Port-Switch bereits im Rack, das mit der Einrichtung der VLANs wäre damit kein Problem. Mir war lediglich unklar, ob der Traffic immer und ausnahmslos über die pfsense laufen muss, wenn man dort beispielsweise 1x LAN1, 1x LAN2 und 1x WAN benutzen würde und das NAS selbst bereits in beiden Netzen vertreten wäre. Man könnte natürlich den vorhandenen Switch gegen einen L3-Switch tauschen und die pfSense als reine Firewall vornedran nutzen, das wäre aber zusätzlicher Konfigurationsaufwand.

Bzgl. "heavy-Hitter auf einzelne LAN Ports": Damit meintest du gesonderte LAN-Ports an der pfSense? Womit wir dann wieder bei dem Problem wären, dass Hardware mit mehr als 3 Ports entsprechend im Preis steigen.

Der meiste Datentraffic spielt sich eigentlich im geschäftlichen LAN ab, der VOIP-Traffic wäre gesondert und eine handvoll Geräte bräuchte Zugriff aus das NAS bzw. 1-2 vServer würden dem Privatnetz zugeordnet, der Rest dem geschäftlichen. Das müsste aber dann wohl direkt auf dem Virtualisierungssystem vorgegeben werden. Der größte Flaschenhals wäre dann wohl, wenn beide LANs auf einem Port per VLAN eingerichtet wären und zwischen den Netzen entsprechender Traffic entsteht, rein rechnerisch würde sich dann die Bandbreite zwischen diesen halbieren?