Alsjeblieft, niet boos worden om deze vraag, maar ik vraag me af of dit de beste optie is voor onze organisatie. We zijn een middelgrote organisatie met waarschijnlijk zo’n 75 - 100 subnets. Onze huidige setup is een mix tussen 1G en 100MB switches, waarschijnlijk in 10+ kasten verspreid door onze organisatie. Elke kast heeft een layer 3 switch met een 10G uplink terug naar een 10G kern. Elke subnet eindigt bij de gateway in die kast. Vervolgens gebruiken we statische routes (zoals het was ingesteld) om te routeren naar elke kast en ander infrastructureel verkeer. We zijn langzaam bezig met het upgraden van elke toegangsswitch naar 1G poe+ poorten en we heroverwegen de 10G uplink in deze kasten.
Een ding om te noteren is dat wij een non-profit organisatie zijn, dus het budget is zeer belangrijk. Mijn eerste gedachte was om ubiquity edge routers als gateway te gebruiken, maar die hebben geen 10G poorten, behalve de infinity router, die boven ons budget ligt. We zijn recentelijk verliefd geworden op pfsense en onze nieuwste gedachte is om gewoon een hoop daarvan te kopen, ze te installeren als gateways in de kast en alles uiteindelijk te verplaatsen naar OSPF, zonder de firewall-functie van pfsense te gebruiken. Gezien onze budgetbeperkingen denk ik niet dat dit een slecht plan is (ik hoor graag jullie mening).
Maar vanochtend begon ik meer na te denken en vroeg ik me af of “router on a stick” niet eigenlijk een betere optie is. Het enige grote nadeel hiervan zou zijn dat we voorzichtig moeten zijn welke VLANs getagd zijn in de kern, zodat broadcastverkeer niet unnecessary switches raakt. En aangezien we maar één router hoeven te kopen (of twee voor redundantie), zouden we iets meer kunnen uitgeven aan een beter product. We hebben ook veel beveiligingscamera’s, access points en telefoons; we zouden één of twee grote VLANs kunnen hebben voor al die apparaten in plaats van de meer dan 10 die we nu hebben. Wat betreft cross-VLAN verkeer, is er wat verkeer, maar we verplaatsen onze e-mail en bestandsopslag naar de cloud, dus ik kan me niet voorstellen dat we genoeg verkeer hebben om de verwerking door de routers te maxen. Routers in elke kast lijken op een oplossing voor een probleem uit 2008, dat is dat van bandbreedte.
Het begint voor mij een goed idee te lijken, maar ik ben benieuwd: is dat zo? Is het gebruikelijk voor een middelgrote organisatie met zoveel switches/subnets/apparaten om alles te laten routeren via één apparaat? Of moeten we gewoon bij het huidige plan blijven? Het komt er waarschijnlijk op neer dat er één router in de distributielaag is die meerdere structuren verbindt. Of, nog beter, heb je nog betere aanbevelingen? Bedankt voor je tijd!
Het probleem is dat als je één router wilt die al dat verkeer aankan, dat veel duurder is dan een switch met dezelfde doorvoerscapaciteit, als je überhaupt zo’n router kunt vinden.
Router on a stick betekent dat AL het verkeer tussen VLANs door de router moet. Als al je clients op VLAN 20 zitten en al je servers op VLAN 10, dan raakt iedere communicatie tussen clients en servers de router. Bijvoorbeeld, als je een internetverbinding hebt van 100Mb, kun je volstaan met een Cisco 4351 die ongeveer $5k kost. Wil je een internetverbinding van 100Mb plus 1G inter-VLAN verkeer, dan heb je een Cisco 4451 nodig die €15k kost. Wil je een router die 10Gb+ aankan, dan zit je tussen de €20k en €50k. Een Cisco 4500-X switch kost ongeveer €7k. De prijzen voor niet-Cisco apparaten zullen goedkoper zijn, maar je betaalt nog steeds een gigantisch premium voor die doorvoer.
RoaS is prima voor kleine sites met slechts 1 of 2 VLANs en heel weinig clients. Wanneer je naar meerdere kasten met 1G of 10G uplinks kijkt, heb je een kernswitch nodig met veel hogere doorvoercapaciteit dan een vergelijkbare router.
Je hebt al layer 3 tot aan de kast, dat is over het algemeen veel beter dan router on a stick. Je moet alleen de statische routes verwijderen en een routeringsprotocol implementeren (hoogstwaarschijnlijk OSPF) zodat je statische routes niet uit de hand lopen.
Ik begrijp het probleem dat je probeert op te lossen niet helemaal, behalve dat je van je statische routes af wilt.
We zijn een middelgrote organisatie met waarschijnlijk zo’n 75 - 100 subnets.
Dit klinkt voor mij helemaal niet “middelgroot”. Een site met 100 subnets is best wel groot.
Elke kast heeft een layer 3 switch met een 10G uplink terug naar een 10G kern. Elke subnet eindigt bij de gateway in die kast. We gebruiken statische routes om te routeren naar elke kast en ander infrastructureel verkeer. We upgraden langzaam elke toegangsswitch naar 1G poe+ poorten en we heroverwegen de 10G uplink in deze kasten.
Dit klinkt prima, afgezien van de statische routes.
Ik zou beginnen met een IGP, dat regelt de statische routes, failover, en houdt het onderhoud laag als je subnets gaat samenvoegen. Denk er ook aan je uplinks te verdubbelen. 10G is nog steeds een goede snelheid voor toegang, vooral als je nog op 100base-TX draait. Tweemaal 10G (of meer) is makkelijk te doen, zeker met L3 verbindingen.
Maar vanochtend begon ik meer na te denken en vroeg ik me af of “router on a stick” niet eigenlijk een betere optie is
Ik kan geen enkele reden bedenken waarom dat zo zou zijn.
Routers in elke kast lijken op een oplossing voor een probleem uit 2008, namelijk die van bandbreedte.
Dat is helemaal niet waar. L3 naar de toegangslus is een relatief nieuwe (in de praktijk) topologie die beter is in bijna alles, behalve in enkele oude, legacy problemen. Waarom zou bandbreedte geen probleem zijn vandaag?
Het klinkt alsof OP “router on a stick” gebruikt om te beschrijven wat de meesten van ons noemen “gecollapsd kern”.
In elk geval is het resultaat vrijwel hetzelfde: alle routeringsfuncties vinden plaats op het centrale apparaat, 802.1Q is vereist tussen kern en toegang, VLAN pruning wordt aangeraden om BUM-verkeer te beperken.
Het opgeven van de L3-kasten voor een klassiek ontwerp voelt voor mij ook als een achteruitgang, maar gezien de (niet zo expliciete) kostenbeperkingen kan dat een geldige keuze zijn.
Wat betreft routingprotocollen, statische routes zou ik niet kiezen (ervan uitgaande dat ik hardware/support licenties heb), maar ze zijn niet expliciet fout zolang er maar één pad is.
Je hebt niet genoeg informatie gegeven om je het beste advies te geven.
Hoeveel gebouwen/verdiepingen?
Hoeveel mensen per gebouw/verdieping?
Hoeveel mensen totaal?
Hoeveel bandbreedte beweegt er gemiddeld tussen je gebouwen/verdiepingen en je kern?
Wat is je geschatte totale budget?
Er zijn 10 verschillende manieren om dit te doen.
Je kunt een firewall als kernrouter gebruiken. Hoogste kosten, hoogste beveiliging.
Je kunt een fancy kernrouter gebruiken als kernrouter. Hoge kosten, weinig voordelen tegenwoordig.
Je kunt een minder fancy L3 switch gebruiken als kernrouter.
Je kunt een gebruikte high-end L3 switch gebruiken als kernrouter.
Je kunt L2 gebruiken naar je toegangsswitches.
Al deze opties kunnen geldig zijn, afhankelijk van je 1) regelgeving, 2) cyberveiligheid, 3) prestaties, 4) budget.
Ik zou zeggen dat gebruikte HPE L3 switches veel verkeer kunnen verwerken, OSPF kunnen doen en alles wat je wilt behalve de firewall. Ze zijn op eBay heel goedkoop te krijgen. Koop er een paar reserve. Hou je werk.
Als je een goedkope firewall wilt, zou ik ook naar Sophos kijken. Ze hebben veel firepower voor heel weinig geld.
Nee. Gewoon niet. 75-100 subnets en RoaS? Nee. Ik ben het eens met de anderen, wat is het probleem precies? Je hebt al L3 switches, gebruik er gewoon één als kern.
Ik zou ook naar Mikrotik kijken als je budgetvriendelijk wilt blijven, je kunt voor weinig geld goede poortopties krijgen (CCR1009’s kosten ongeveer $300 per stuk en kunnen een 10G poort hebben, als voorbeeld).
Als je al setup hebt met edge routers voor elke subnet, oftewel de subnets spreiden zich niet uit over meerdere kasten/edges, dan is dat misschien beter.
Wat je punt betreft, gemak van beheer en budget kunnen eigenlijk beter uitpakken met twee grotere routers (voor redundantie) in de kern, en VLANs naar de kasten met alleen switches. Het hangt allemaal af van je echte budget en throughputverwachtingen om de juiste middenweg te vinden.
Ik denk niet dat pfsense zoveel goedkoper zou zijn dan ubiquiti edgerouter voor gelijke prestaties, vooral wanneer je in de 10G-range komt.
Een tekening zou handig zijn met je huidige setup versus hoe je “router on the stick” eruit zou zien.
Je hoeft niet per se een L3-capabel apparaat in elke kast te hebben - je zou die gewoon kunnen uplinken naar je kern en de standaard gateway voor elke node hierin kunnen configureren in plaats van in elke kast. Maar dit hangt af of je L2- forwarding tussen hosts in dezelfde kast wilt of dat je die op dat niveau wilt segmenteren.
Omdat dat makkelijk te fixen is door beschermde VLAN’s te activeren zodat hosts alleen met de uplink kunnen spreken.
Een mogelijk nadeel van het verplaatsen van L3 van de kast naar je kern is de hoeveelheid hosts die je hebt en hoe groot de ARP- en MAC-adres-tabellen van de kernapparaten zijn.
Stel dat je 1000 hosts per kast hebt en 10 kasten.
Door L3 in de kast te hebben, moet de ARP/MAC-adres-tabel capaciteit voor dat L3-apparaat minimaal 1000 zijn.
Als je L3 op de kern plaatst (dan wordt je kast puur L2), moet je kernapparaat +10.000 ARP- en MAC-adres-invoer aankunnen.
Behalve als je beschermde VLAN’s hebt om volledige isolatie op L2 tussen hosts binnen dezelfde VLAN te realiseren, zou je afhankelijk van de fysieke interconnecties elke VLAN kunnen gebruiken op de huidige switches en die in je kern laten eindigen (dat is je kern die dient als standaard gateway).
Dus nogmaals, een tekening zou helpen om de optimale ontwerpen voor jouw situatie te bepalen.
Er is zelden één ontwerp dat voor alles geschikt is, vanwege verschillende beperkingen in het huidige netwerk waarop je moet aanpassen (tenzij je een volledige rebuild doet en budget hebt).