Sinnvolle Netzwerkaufteilung bei einer XG-7100
-
Hallo zusammen,
ich bin neu im Thema Netgate Appliances und habe daher eine Frage. Durch einen anderen Thread hier im Forum bin ich ins Nachdenken gekommen.
Bisher sah meine pfSense Konfiguration beispielsweise bei einer SG-3100 folgendermaßen aus:
WAN Port von der Netgate geht auf ein VDSL Modem und die Einwahl geht über PPPoE.
DMZ Port von der Netgate geht auf einen Switch mit VLAN 10
In diesem VLAN hängen dann Webserver und Uploadserver.LAN Port 1 von der Netgate geht auf einen Switch. Dort sind dann verschiedene VLANS Konfiguriert 20, 30 40 und 50.
Das heißt mein gesammter interner Netzwerktraffic von den VLANS 20, 30, 40 sowie 50 gehen alle über nur einen Port der Firewall. Klar bei einer SG-3100 ist das auch soweit ok da ja alle vier Netzwerkports am gleichen internen Switch hängen und somit die Geschwindigkeit nicht besser werden würde wenn ich es auf verschiedene Ports aufteile.
Meine Überlegung war nun die XG-7100 hat ja intern 2,5GB zur Verfügung. Was bedeutet wenn ich mit einem Netzwerkkabel an die Netgate hänge habe ich ja "nur" 1GB pro Port?
Wäre es dann nicht sinnvoller mit zwei Kabeln in die Netgate zu gehen zum Beispiel einmal mit dem Servernetzwerk und somit 1GB zu haben und einmal mit dem Clientnetzwerk um nochmal 1GB zu haben?Ich hoffe es ist einigermaßen verständlich auf was ich hinaus möchte.
-
@johndo said in Sinnvolle Netzwerkaufteilung bei einer XG-7100:
Meine Überlegung war nun die XG-7100 hat ja intern 2,5GB zur Verfügung.
Nein, sie hat 2x2,5 Gbps gebündelt auf 5Gbps zur Verfügung. Hatte ich schon beschrieben. Das musst du dir wirklich mal genauer anschauen und verstehen :)
Was bedeutet wenn ich mit einem Netzwerkkabel an die Netgate hänge habe ich ja "nur" 1GB pro Port?
Na die 8 Ports die ausgeführt sind, verbinden sich ganz normal mit Gigabit, ja. Warum sollten Sie nicht? :)
Wäre es dann nicht sinnvoller mit zwei Kabeln in die Netgate zu gehen zum Beispiel einmal mit dem Servernetzwerk und somit 1GB zu haben und einmal mit dem Clientnetzwerk um nochmal 1GB zu haben?
Genau das maschst du doch momentan in deinem anderen Thread, in dem du LAN, Gästenetz und DMZ und Management einzeln da reindrömelst und entsprechend auf die Ports verteilt hast? Warum dann jetzt die Frage hinerher?
Es ist nur dann relevant, wenn du Intra-VLAN Traffic hast, der an 1Gbps rankommt. Solange du bspw. an ETH1 das WAN anschließt und du da nur - bspw. - 100Mbps hast und es nur darum geht, dass deine DMZ, LAN und Gästenetz Internet haben, ist jegliche Bandbreitenüberlegung überflüssig und unnötig, weil das Limit eh dein WAN/Internet ist.
Wenn du aber die Netze mit VLANs auftrennst und mehrere interne Netze baust, bspw.
- DMZ
- LAN
- WLAN
- IOT/Media/whatever
- Gast mit Portal
und du ebenfalls bspw. in deine DMZ dein NAS reinstellst, weil das auch teils aus dem Internet erreichbar sein soll, du aber aus LAN und WLAN ständig auf die Datei-Freigabe auf dem NAS zugreifst, dann willst du da natürlich von LAN/WLAN <-> DMZ entsprechend möglichst genauso guten Durchsatz haben, als wenn das NAS im gleichen Netz stehen würde und nur am Switch hängt. Also möglichst Gigabit (außer du hast Geld wie Heu und ein 10G NAS ;)).
Ergo kommt dann natürlich die Bandbreite der Ports bzw. der Backplane ins Spiel.Somit sollte in meinem Beispiel also es trotzdem möglich sein, dass jemand aus Gast das Internet voll ausreizt (100Mbps bspw.) und gleichzeitig willst du trotzdem mit 2-3 Clients vom LAN vom NAS was kopieren. Also läuft da gleichzeitig Gigabit drüber (optimalerweise). Somit hast du jetzt Bedarf:
- WAN <-> Gast 100Mbps
- LAN <-> DMZ 1Gbps
Wenn jetzt wie bei der SG3100 Gast, LAN und alle anderen VLANs an einem Trunk Port hängen, dann teilen die sich natürlich das eine Gigabit weil vom Switch mit einem Port her gar nicht mehr geht. Somit hat man dann einen kleinen Flaschenhals.
Verteilt man Netze mit starkem Bandbreiten-Bedarf jetzt auf eigene Ports, dann hast du von diesen auf andere Ports immer noch 1Gbps Durchsatz ohne dass dir die Sachen ins Gehege kommen. Auf der 7100 also würde Gast vom WAN volle Leistung bekommen und du trotzdem von LAN auf die DMZ mit Max Durchsatz gehen können ohne dass du dem Gast die Leistung wegnimmst. Wäre Gast mit LAN und DMZ auf dem gleichen Trunk, wäre es natürlich anders, dann würden über den Port 100Mbps von Gast die Bandbreite auf 900 drücken und wenn gleichzeitig noch was anderes mit drüber spricht wird sich das alles versuchen die Bandbreite mit Gigabit zu teilen.
Wie ausgeführt hängt man dann einfach die Netze mit starkem Bedarf an einen eigenen Port. Bei anderen, die eh nie so viel brauchen (Gast soll bspw. nur Internet, WLAN oder IoT soll bspw. auch nur Internet können und hat sonst keinen großen Traffic, etc. etc.) kann man dann zusammenfassen und getaggt über einen kombinierten Trunkport laufen lassen. Die Abschätzung was und wieviel man einzeln nutzt, liegt da ganz beim Bedarf und deinem Platz am Switch :)
Cheers
\jens -
Hi,
das mit dem internen Backplane habe ich nun verstanden. Da ist schon Dampf da :-).
Meine Überlegung war eben nicht alles über einzelne Ports zu machen wie in meinem anderen Thread.
Wie von dir schon geschrieben würde ich vielleicht einige Netze auf einen Port zusammenfassen.
Mir fehlt da aber die Erfahrung was sinnvoll ist zusammen zu legen.
Eine Überlegung wäre:
ETH1 - WAN, DMZ, Gäste WLAN
ETH2 - LAN Server
ETH3- LAN Clients
ETH4 - Alles andere IOT etc..
ETH8 - Management -
Hallo johndo,
was spricht denn gegen Link Layer Aggregation (LAG)? Alles was am Ende eh über den selben Switch läuft macht meines Erachtens keinen Sinn darüber nachzudenken, wie man die VLANs auf mehrere Uplinks verteilt. Dann lieber die Uplinks bündeln bis zur Bandbreite, die man gerne hätte. Bleibt eigentlich nur die Frage, auf wieviele Switche man das Setup verteilt.
LG
-
@johndo said in Sinnvolle Netzwerkaufteilung bei einer XG-7100:
ETH1 - WAN, DMZ, Gäste WLAN
NIE WAN. Lass WAN einzeln und gut. Man will sich da keinesfalls irgendwas bauen, was plötzlich aufs WAN durchsickert. Nononononono, No :D
was spricht denn gegen Link Layer Aggregation (LAG)?
Die Hardware. Bitte mal die XG-7100 anschauen und nochmal die Kommentare von mir durchlesen. Die XG hat intern KEINE echten Interfaces sondern einen Switch und Uplink auf intern 2x2,5 Gbps Switch Chipsätze. Das ist keine Hardware wo man vorne einfach 2-4 Ports zusammennehmen kann. Haben wir jetzt aber glaube ich oft genug gehabt ;)
ETH1 - WAN, DMZ, Gäste WLAN
ETH2 - LAN Server
ETH3- LAN Clients
ETH4 - Alles andere IOT etc..
ETH8 - ManagementAlso:
- Management hatte ich dir geraten, mach das LAN zum Management (was die XG / pfsense angeht). Also nutze das interne Interface "lan" nicht für dein eigentliches LAN, sondern als Dummy Mgmt Netz zur pfSense. DHCP und DNS drauf, dann ist da auch die any-any default Regel und die Anti-Lockout super aufgehoben, denn das will man ja von einem Management Zugang.
- LAN Client & LAN Server (od. DMZ) -> potentiell diejenigen, die meistens den schwesten Traffic haben und daher würde ich die einzeln packen. Die Unterscheidung LAN Server und DMZ sollte man sich da genau überlegen, wenn man die Server eh einzeln packt, hat man quasi eine DMZ, die Frage stellt sich eben nach Trennung: welche Server haben externen Kontakt, welche nicht, trenne ich die oder nicht, etc.
- alles andere IOT, etc. -> keine Ahnung was du da noch hast, klingt aber nicht nach viel Traffic, sonst hättest dus ja eher im Kopf ;)
- Gäste WLAN -> mit welchen Rechten? Muss sich Gast an irgendwas anmelden oder ist das ein isoliertes Netz das nur ins Internet soll? Dann hat man Maximalbandbreite "Internet" und damit meist weit weniger als Gigabit.
Somit würde ich bei dir momentan eher sehen:
- WAN
- DMZ
- ggf. Server
- LAN / Clients
- Trunk mit IoT, Gäste WLAN und sonstigem Gedöns
- restliche Ports am Gerät die nicht gebraucht werden (ETH5-8) -> Management/"Konsole"
Cheers
\jens -
Hi JeGr,
das sieht serh schlüssig aus und so werde ich es auch umsetzen. Das "LAN" habe ich bereits als Management Netz eingerichtet. Scheinbar wurde aber das Regelwerk neu geschrieben nachdem ich es von LAN nach MGMT umbenannt habe. Die Anti Lockout Regel ist noch drin der Rest war aber weg.
Aber kein Problem das baue ich wieder so wie es war mit der Any Regel.Sollte man das Management LAN auf einen dedizierten Port hängen oder kann man das auch mit dem Servernetz kombinieren?
-
@johndo said in Sinnvolle Netzwerkaufteilung bei einer XG-7100:
Sollte man das Management LAN auf einen dedizierten Port hängen oder kann man das auch mit dem Servernetz kombinieren?
OK den verstehe ich jetzt nicht so ganz?
-
habe ja beispielsweise an ETH2 mein Server Netz. Sollte ich dann das Management Netz an den ETH8 Port an der Firewall hängen?
Sprich das Management dediziert an einem eigenen Port der Firewall hängt wo sonst nichts dran ist? -
@johndo Ich hätte damit einfach das lan ersetzt der XG und dein eigentliches LAN als neues Extra Interface