VLAN Router in 10Gbit Netz

    Ich habe eine technische Verständnisfrage.


    Wenn PC, Switch und NAS im gleichen Netz sind und über 10Gbit besitzen, dann sollte der Datenverkehr ja mit dem vollen möglichen Speed laufen.

    PC => Switch => NAS


    Wie sieht das nun aus, wenn ich über eine Firewall pfsense in ein anderes VLAN gehen würde? Muss dann die Verbindung zur pfsense auch 10Gbit sein?

    PC => Switch => pfsense => Switch => NAS


    Oder braucht es nur zur Initierung den Router und dann läuft der restliche Datenverkehr nur noch über den Switch wie im ersten Beispiel?

    Wenn die Pfsense Teil des aktiven Datenverkehrs ist (NAT, etc) dann mûssen die Daten auch da durch ..und wäre dann der Flashenhals


    10GbE wird eh nur erreicht wenn alle Teile mitspielen (NAS und Platten, PC und Platte)

    Das war eben meine Überlegung, Wenn ich auf 10 Gbit umsteigen möchte, muss der L3-Switch (steht nicht im Keller, weil ich zu wenig Platz in den Rohren habe) auch 10 Gbit haben. Dann nützt es nichts, im Keller einen PC, Switch und NAS etappenweise auf 10 GBits umszustellen, weil mein L3-Switch dann wieder alles ausbremst!?

    Im ersten Szenario läuft der Datenverkehr komplett über die pfsense.

    Das muss er auch, sonst könnte sie ihn nicht kontrollieren.

    Für volle 10 GBit Durchsatz muss die pfsense also in jedes der VLANs mit je 10 GBit angebunden sein.

    Als router-on-a-stick mit 1x10GBit dot1q trunk wären noch 10 GBit halfduplex oder 5 GBit fullduplex drin, je nachdem, wie asymmetrisch Dein Traffic ist.


    Wenn der Switch L3, also Routing macht, könnte er die VLANs auch direkt verbinden.

    Dann ist die Firewall aber außen vor.

    Allenfalls kann der Switch selbst, wenn er ACLs unterstützt, ein bisschen stateless packetfiltering machen.


    Bei mehr als zwei VLANs sind auch Kombinationen denkbar, z.B. zwei High-Traffic-VLANs direkt im L3-Switch gekoppelt und ein DMZ-VLAN per externer Firewall abgeschottet.

    Muss man überlegen, ob man die Komplexität will und braucht.

    Einmal editiert, zuletzt von tgsbn ()

    Hast du wirklich eine L3 Switch eingerichtet @home?

    In der Firma klar aber @home reicht mir ein Netz für die Clients und das NAS da brauche ich kein eigenes für die Server.

    Und wenn ist es eh eine DMZ und da muss alles durch die Firewall.


    Den Durchsatz bekommst du ab einer SG-7100, aber ist das @home wiederum notwendig?

    Wenn du 10G Internet hättest ok dann brauchst du mindestens so ein Monster.

    Aber wenn du Gbit oder noch wenigee hast reicht auch eine FW die ein paar GBit Durchsatz schafft mehr als aus.


    Und wenn du einen Core betreibst, dann ausschließlich mit einem Transfernetz zwischen Firewall und Core arbeiten!

    Äh, ich verstehe jetzt nicht so viel von dem Thema, aber wäre es statt dieser Konstruktion

    Zitat von mue64

    PC => Switch => pfsense => Switch => NAS

    nicht besser, PC => L3-Switch => NAS zu bauen mit einem L3-Switch mit Firewall-Fähigkeiten und 10GbE? Die 10GbE-Switches CRS-305 und CR-309 von Mikrotik mit Router-OS sind recht günstig und haben L3-Fähigkeiten.


    Ich habe hier zwar einen der genannten Mikrotik-Router, aber ich habe nicht wirklich die Ahnung, ob und wie man da so etwas konfigurieren könnte.


    Hier zwei Links von Leuten, die da mehr Ahnung haben als ich:

    https://www.trustradius.com/co…s-and-switches-vs-pfsense

    https://administrator.de/tutor…ient-software-115798.html

    Ein L3 Switch kann ggf. ACLs, das ist aber Stateless und kann nicht mit einer Statefull Firewall verglichen werden!


    Wann setzt man einen L3 Switch ein?

    Wenn man Bandbreite benötigt, ein 10G 48 Port Core kann 960GBit/s Switchen, sogar noch mehr wenn er über weitere QSFP+ Uplinks verfügt.

    Wenn man Ports benötigt um Clients, oder Infrastruktur anschließen zu können.

    Hier wird keine State Tabelle gepflegt, es wird bei ACLs geschaut ob das Quellnetz/IP auf die Ziel IP/Netz zugreifen darf, wenn ja go bei nein drop.

    Beim reinen Switchting werden die Pakete kurz im buffer geparkt bis der senden Port bereit ist und dann gehts gleich weiter.

    Beim Routen wird das Paket durch die CPU gejagt und die TTL geändert, das kostet minimal mehr Zeit.



    Wann setzt man eine Firewall ein?

    Man möchte Netzwerksicherheit schaffen und granular Ports, IPs, Services usw. Freischalten.

    Bandbreite ist hier deutlich teuer, eine Firewall die 1000GBit verarbeiten kann ist eine ganz andere Hausnummer als ein 1HE Core, so kommen leistungsstarke Firewalls bei 1HE auf ca. 20GBit Bandbreite.

    Hier wird jedes Paket kontrolliert, ist es ein aufbau, darf IPx auf IPy mit Port z zugreifen, wenn ja States erzeugen, raussenden.

    Antwort kommt rein, state ID ist bekannt und kommt von der richtigen IPy und will zu IPx, dann weiter.


    Viel wichtiger ist hier wie viele Verbindungen diese pro Sekunden aufbauen kann und da wird es ebenfalls teuer. Und eine Client Server Verbindung kann mal eben einige hundert States erzeugen und das pro Sekunde.


    Zudem wir im LAN auch Jumbos einsetzen können und dann sind viel weniger Pakete unterwegs, bei Zugriffen ins Internet gehen aber auch oft sehr viele kleine Pakete hin und her und das drückt dann aufgrund der PPS Limitierung die Praxis Bandbreite in den Keller.


    Siehe Vergleich iPerf vers. iMix.

    Danke für eure Infos und Rückmeldungen. Habe mir schon gedacht dass meine einfache Idee eben nicht umsetzbar sein wird. Wie es so ist, ist die ganze Informatik mit verschiedenen Zufällen gewachsen. Im Moment ist der Leidensdruck noch nicht so weit, das Ganze komplett umszustellen oder anzupassen. Als ich vor 16 Jahren im Haus eingezogen bin, habe ich in den wesentliche Räumen gleich LAN Kabel einziehen lassen. Ins Rohr in den Keller passte aber beispielsweise nur noch ein Kabel rein.

    Mit Keller und ausgebautem Dachgeschoss sind es 4 Stockwerke. Ursprünglich kam der DSL Anschluss im 1. OG in meinem Büro rein, weshalb die Verteilung von da aus organisiert ist. Leider hat sich da nie etwas getan, so dass auch heute max. 30 Mbits möglich sind. Inzwischen haben wir Kabel mit 100/10 Mbits (1 Gbit wäre möglich). Nur habe ich im Büro keinen Kabelanschluss. Wir haben zwar in den 3 oberen Geschossen Kabelanschluss, aber nur Wohnzimmer (EG) spielt die Familie mit. Somit stehen auf den beiden mittleren Stockwerken je ein Cisco SG300-10 und zuoberst und im Keller je ein Cisco SG200-8.


    Internet kommt über eine USG im EG rein, welche auch das VLAN routet, war früher auf dem Cisco im OG1. Die USG möchte ich mit einer pfsense ersetzen, weil das VPN auf der USG mich bisher nicht so überzeugt hat.


    2 Server und inzwischen auch das NAS stehen im Keller. DAS QNAP ist zwar inzwischen auch noch im Keller, soll aber ortsfremd ausgelagert werden.


    Da aus meiner Sicht die Pfsense zum Internetanschluss gehört, kann ich da entweder das VLANrouting nicht drauf machen oder wenn ich auf 10Gbits bei Server, NAS und PC im Büro ausbauen will muss ich mind. 3 Switche mit 10Gbits ersetzen.