VLAN Routing Design

In der Regel (noch) üblicherweise über die Core Switches. Das ändert sich mit der Verbreitung von DCB bzw. Fabric Switches aber langsam.
Letztere benutzen TRILL oder SPB statt Spanning Tree und sind damit erhelblich flexibler einzusetzen in Bezug auf dynamisches Redesign. In moderen Netzen hat man nicht mehr diese typische, starre Nord Süd Design Anforderungen sondern zunehmend auch West Ost Traffic. besonders in RZs.
DCB bzw. Fabric Switches supporten ein Routing auf allen beteiligten Backbone Knoten inklusive local Forwarding, sprich das jeder Knoten auch L3 switched wo dieser Traffic auftaucht. Keine alten Master Slave Konzepte mehr wie bei VRRP, HSRP usw. Das ist überholt.
Eine Firewall das machen zu lassen ist erheblich kontraproduktiv, denn das erzwingt eine zentralistische Struktur die man ja generell nicht mehr will.
Dazu kommt das in größeren Backbones so gut wie immer dynamische Routing Protokolle genutzt werden womit Firewalls noch Schwierigkeiten haben aus Performance- und Skalierungssicht. Deren primäre Aufgabe ist es in einem Netz für Kommunikationssicherheit zu sorgen NICHT aber relevant fürs L3 Packet Forwarding zu sein. Das sollte immer bei der Infrastruktur selber bleiben !
Firewall Routing bzw. L3 Forwarding ist in solchen modernen Backbone Designs ein falscher Weg und führt in die Sackgasse.
Natürlich ist eine Firewall notwendig für die externe Kommunikation oder besonders zu schützende Netzwerkbereiche, das steht außer Frage. Insofern hat sie in Teilbereichen durchaus ihre Berechtigung, niemals aber für das globale L3 Forwarding im Backbone.
Moderne L3 Switches haben heute L3-4 Filtermechanismen die das auch erledigen können.

Hallo,

Das kommt immer ganz auf das Netzwerkdesign und die Nutzung an. Und vor allen anderen Dingen
kommt es auch auf die gesamte Netzwerktopologie an die dort vorherrscht und ob sich das Netzwerk
in einem Gebäude befindet, über zwei oder mehrere Gebäude erstreckt (Campus LAN) oder gar über
eine größere Distanz und Fläche verteilt und in sich geschlossen ist (MAN) oder die Distanzen und
Fläche noch größer sind und es sich nur um eine Firma handelt (WAN). Vor allen Dingen ist es schon
wichtig zu wissen was für Routingprotokolle zum Einsatz kommen wie zum Beispiel, VRRP, HSRP, OSPF,
RIP, oder gar BGPi / BGPe und wie die Switchtopology dahinter dann selber aussieht. Also als Beispiel;
Core Layer (hinter den Routern und/oder Firewalls), Distributed Layer (ganze Stockwerke oder Gebäude ), Access Layer (Anbindung der Geräte in den Abteilungen vor Ort)

Man kann das in so vielen unterschiedlichen Variationen betreiben und sogar weitere Layer einfügen
das kommt aber immer auf die betrieblichen Gegebenheiten, Erfordernisse und sicherlich auch der
Einstellung des Adminteams an. Einige Admins lieben es einen zentralen Punkt zu haben von dem
sie aus alles verwalten können und nutzen von daher die Firewall oder den Router dazu alles mittels
Firewalregeln zu administrieren und zu regeln. Das kann praktisch sein und auch Zeit sparen, aber
eben nicht in allen Fällen und nicht bei jedem Design! Ein Beispiel dazu; man hat zwei Firewalls und
zwei Core Switche im HA Betrieb, dann macht das je nach eingesetztem Routingprotokoll Sinn und
wenn man ca. 900 Endgeräte hat, aber eine flache VLAN-Struktur dann kann das auch Sinn machen,
aber in sehr vielen anderen Fällen ist das nicht so der "Bringer" und man hat dann in der Regel auch
mehrere Admins die sich alle Aufgaben teilen, wie z.B. die Administration der Server, SAN/NAS, Switche,
Router und Firewalls, ebenso wie die Drucker und Scanner oder der Multi-Funktionsgeräte. Das ist eben
von Fall zu Fall immer unterschiedlich und meist auch durch Vorgaben im Betrieb geregelt.

Sag uns doch einmal etwas mehr zu der gesamten Struktur und/oder der Anzahl der Geräte, der Benutzer,
angebotenen Protokolle, Anzahl der eingesetzten Server und SAN/NAS Systeme. Dann kann man da schon
besser etwas zu sagen sonst raten wir hier alle nur im Kreis herum und das ist dann auch nicht mehr so toll.
Ebenso wäre die Netzwerklast, und gesamte Topologie schon nett zu wissen, also, mit WLAN, mit SAN,
was ist an Geräten vorhanden und was soll noch angeschafft werden und wie hoch ist das Budget dafür.

Was dem einen Freude macht verschmäht der andere und denkt sich seinen Teil!
Worauf der eine schwört, das ist dem anderen zu wieder und der eine kann es bezahlen was dem anderen
seinen Chef sofort per Herzinfarkt töten würde. Jeder sollte das so individuell hier beschreiben denn so
einfach über den Kamm scheren kann man das leider alles nicht.

Man kann Switche stapeln (Switch Stack) und dann immer einen Layer3 Switch den gesamten
Stack routen lassen und man kann nur Layer3 Switche stapeln und zu einem Stapel (Switch Stack)
zusammen schließen und wenn einer ausfällt kann der nächste übernehmen, das kommt immer
darauf an was denn alles vorhanden ist!!!! Man kann auch nur Layer2 Switche stapeln (Switch Stack)
und dann die Core Switche die Stapel routen lassen, das kommt immer darauf an wie das gesamte
Netzwerk aufgebaut ist. Es gibt auch Netzwerke wo nur zwei Schichten vorhanden sind, also die Firewall
und die dahinter liegenden Access Switche also flach wie nichts. Schreib doch bitte erst einmal etwas zu
Eurer Netzwerktopologie und dem gesamten Aufbau.

Pauschal kann man nur sagen ist es immer gut, je nach Netzwerklast, mehrere Layer aufzubauen, und
die Last über so viele Switch-Chips zu verteilen um die Geschwindigkeit zu erhöhen oder die Last zu
schultern und in der Regel sind selbst die KMU Switche heute in der Lage zwischen den VLANs mit
wire speed Geschwindigkeit zu routen.

Gruß
Dobby

Indem man Fachliteratur, Magazine usw. liest und kostenlose Herstellerseminare besucht oder auch nur die Webseiten der Hersteller besucht, die diese Technologien supporten...