pfSense redundant an Switch Stack

tpf

Servus,
ich plane einen Switch Stack und möchte pfS redundant mit 2x10GE an besagten Stack anschließen. Also ein Kabel pro Switch.

Was ist hier die best practice? LACP?

Danke & Grüße

JeGr

Du hast nur eine Box? Oder zwei/Cluster?

tpf

Servus,
zunächst eine. Später ggf. mal ein Cluster.

JeGr

Bei einem Cluster ist best practice eigentlich eine Ader pro Firewall zum Switch, also fw1 zu sw1 und fw2 zu sw2. Wenn du 20G brauchst dann ggf. 2 Adern zum gleichen Switch mit LACP, wobei das dann nicht zwangsläufig immer 20G sind - die Limits von LACP hatten wir ja schon an anderer Stelle, dass das erst mit mehreren Clients wirklich zieht.
Wenn 20G kein Thema sind und 10G dicke reichen - siehe oben bei Cluster.

Bei nur einem Gerät siehts anders aus, da würde ich aber erstmal den Switch Stack klären, ob der bspw. LACP über mehrere Planes sauber kann. Das kann tatsächlich nämlich auch bei teureren Geräten nicht jeder und dann steht man da und bekommt lustige Probleme/Phänomene mit wackelnden Verbindungen oder keinem sauber aufgebauten LACP Bond.

Wenn der Switch als Stack das wirklich kann, dann würde ich wirklich eine Ader pro Plane nehmen und die als LACP definieren um dich ein bisschen abzusichern, aber die eine Firewall bleibt dann trotzdem der SPoF vom Netz :) Ansonsten würde ich - außer aus Bandbreitengründen - LACP eigentlich versuchen zu vermeiden und eher dann intern VLANs sinnvoll auf die 10G Interfaces verteilen. Vermeiden deshalb, weil es eine weitere "virtuelle" Schicht Netzwerk ist und je weniger man übereinander stapelt umso besser lässt es sich hinterher noch debuggen ;)

tpf

Danke für die Info.Dann lag ich ja grundsätzlich richtig. Der Stack kann zwei Uplinks. Muss über STP zwar irgendwie konfigururiert werden, da es sonst zu einer Loop führt. Allerdings sollte das ja machbar sein.

Viele Grüße,
Thorsten

JeGr

@tpf said in pfSense redundant an Switch Stack:

Danke für die Info.Dann lag ich ja grundsätzlich richtig. Der Stack kann zwei Uplinks. Muss über STP zwar irgendwie konfigururiert werden, da es sonst zu einer Loop führt. Allerdings sollte das ja machbar sein.

Hey Thorsten,

dann ist das aber kein LACP (normalerweise), denn LACP kümmert sich selbst um Loop Detection etc. Lieber nochmal genau nachlesen/nachschauen, wie gesagt nicht jeder Stack kann wirklich LACP über zwei unterschiedliche Backplanes. Wenn das dann doch nur ein Failover Bond ist muss das auch an pfSense Seite anders konfiguriert werden. Wenn man am Switch dazu mit (R)STP erst nochwas rumbasteln muss wäre ich auf der Hut, das klingt wie gesagt nicht danach, dass wirklich Active-Active LACP konfigurierbar ist.

Wenn doch - umso besser :)

Gruß Jens