Am besten Du fängst bei der Zeichnung oben an. Beispiel eine Firma mit Standleitung ins Internet und zu anderen Standorten, vielleicht ein Call Center. Bei Firmen ist immer eine Hochverfügbarkeit (Redundanz) wichtig. Daher alles folgende doppelt (2 Core Router, 2 Firewalls etc). Alles ist von oben nach unten mit Cat 5 Kabeln verbunden. Alle Netzwerkgeräte in einen 19" Schrank. Ganz unten 1 große USV (Unterbrechungsfreie Stomversorgung) über die auch die Server mit Strom versorgt werden.
Als erstes oben eine Wolke in der Internet steht. Darunter 2 Router recht und links, die das ganze interne Netz nach außen routen (statische Routen ohne das Routing Protokol OSPF), das sind dann die Router vom Provider (auch MPLS Router genannt - Multi-Protocol Label Switching) dem die IP Kreise aus dem internen Netz mitgeteilt werden und die es auch darauf programmieren. Jeweils an einer Standleitung mit je 34 Mbit angebunden (also 2 Standleitungen). Darunter fängt das interne Netz der Firma an.
Also unter den 2 Routern rechts und links je eine Firewall (z.B. Juniper ssg5, netscreen, so nennt sich auch die Programmierung der Firewalls). Die beiden sind untereinander 1 mal querverbunden mit LWL Kabeln (Lichtwellenleiter)(Geschwindigkeit 1 Gbit). Diese Übertragungsart (Kabel) ist unempfindlich gegen elektromagnetische Felder (Störungen) von außen. Ganz wichtig, weil über diese Leitung die Master Firewall von der Backup Firewall abgefragt wird ob die noch da ist. Die Master Firewall sendet in regelmäßigen Abständen ein „Hello“ über diese Leitung zum Backup, bleibt es aus (Ausfall der Master-Firewall), stuft sich die Backup automatisch zum Master hoch und es geht weiter. Ist der Master wieder da, stuft der sich wieder runter. Das Ganze wird programmiert, VRRP Protokoll nennt sich das (Virtual Router Redundancy Protocol). Es wird also jeweils eine IP für die beiden Firewalls vergeben um die einzeln ansprechen zu können und eine IP für das VRRP. Spricht man die VRRP IP an, meldet sich das Geraät, welches gerade aktiv ist und die wird auf den anderen Geräten (Router) als Gateway angegeben. Wenn eins ausfällt, ist das andere verfügbar über die gleiche VRRP IP. Wenn der Fall eintritt merkt man es nicht, es geht nahezu sofort weiter, liegt im Millisekunden Bereich die Umschaltung.
OK, darunter kommen 2 Core Router rechts und links. Wie geschrieben, zu den Firewalls darüber mit Cat 5 verbunden. Diese beiden Core Router sind untereinander mit 4 LWL´s (Lichtwellenleiter) verbunden (4x1Gbit), der Grund wie bei den Firwalls (VRRP). Auch hier je Router eine IP und eine für das VRRP, dieses Protokoll beherrschen auch diese Router/Switche. Diese Verbindung wird „Trunk“ genannt auch bei den Firewalls. Für so ein kleines Netzwerk nimmt man da 2x 24 Port z.B. Alcatel 6850 die sowohl als Router als auch als Switche programmiert werden können (Oder wie in diesem Fall beides) für 100 - 200 Mitarbeiter reicht das. Bei großen Netzwerken nimmt man die Alcatel 9000er Serie z.B. 2 OS9800. Die haben 16 Slots und je Slot ein 48 Port Interface möglich (diese Interface´s können 8er, 24er oder 48er sein). Also gute Erweiterbarkeit. Würde bedeuten, die Clients und Server dort anschließen, aber die Redundanz ist dann nicht gegeben. Fällt einer aus, sind alle die dort angeschlossen sind auch „tot“. Das Gateway für diese Router ist die VRRP Adresse der Firewalls. Wegen der Redundanz nimmt man einen oder mehrere, je nach Mitarbeiter und Drucker, Alcatel 6850 Switche. Bei dem kleinen Netz reicht ein 24 Port, gibt es auch mit 48 Ports. Dieser 6850 übernimmt keine Routing Funktionen, nur Switch. Das sind dann die Access Switche an denen alle Clients, Server und Drucker angeschlossen werden. Auch diese Switche haben 4 LWL Ports. Port 1 geht per LWL auf den Master Core links oben auf dem Plan. Port 2 per LWL auf den Backup Core oben rechts auf dem Plan. Als Gateway wird die VRRP Adresse der beiden Cores auf dem Switch angegeben. Die Geräte (Drucker,Clients, Server) werden per Cat5 an dem Switch angeschlossen. Die LWL-Ports haben 1 Gbit/s und die anderen 100Mbit/s, reicht vollkommen aus.
Ab ca. 50 Geräte würde ich dann Vlans einrichten (Virtuelle locale Netzwerke). Das ist auch ein Grund für diese Art Switche/Router/Firewalls, weil die auch mit Vlans umgehen können. Hat man ein großes Netzwerk, können sogenannte Broadcast-Stürme auftreten und die Bandbreite extrem belasten. Daher teilt man die in mehrere Vlans auf. Z.B. Ein Server Vlan, ein Drucker Vlan, ein User Vlan oder mehrere (User1, User2 u.s.w.), je Vlan 50 User. Ein weiterer Vorteil für die Vlan´s ist die Mobilität und das Management. Angenommen ein 48 Port Switch. 8 Ports für die Server, 4 für die Drucker, 16 für das User Vlan 1 und 16 für das User Vlan 2 (4 Ports sind LWL Ports zur Verbindung untereinander und / oder zu den Core Routern). Wenn ein Mitarbeiter umzieht, brauche ich nur per Remote (Telnet) auf den anderen Switch wo die Netzwerkdose seines neuen Büros angeschlossen ist, und das entsprechende Vlan auf diesen Port programmieren. User Vlan 2 könnte z.B. eine bestimmte Abteilung sein. Verschiedene Abteilungen haben auf den Servern ja verschiedene Rechte. Dieser User muss dann wieder in dieses Vlan. Da muss dann weder ein Kabel noch irgendwelche Änderungen auf den Servern gemacht werden sondern nur seinen Anschluss (Port) per Befehl / Programmierung ins richtige Vlan setzen. So ein Befehl sieht z.B. so aus: Vlan1 port default 1/36 ( 1 ist das Interface und 36 der Port an dem er hängt), speichern, das war es.
Also der Plan oben 2 MPLS Router (Provider) nebeneinander, darunter die 2 Firewalls jeweils rechts und links und untereinander verbunden mit LWL Kabeln (Trunk,VRRP), darunter die 2 Core Router rechts und links, links Master rechts Backup, untereinander verbunden mit LWL Kabeln (Trunk,VRRP). Darunter 1 oder mehrere Switche (Access Switche) die jeder mit Port 1 auf den Master per LWL gehen und mit Port 2 auf den Backup.
Das ist ein Beispiel für ein hochperformantes, hochverfügbares und leicht erweiterbares Netzwerk bei dem 1 Core Router und eine Firewall ausfallen können ohne Ausfälle. Achso, die Switche/Router können natürlich auch das VOIP (Voice over IP) weiterleiten. Was dann nach der Firewall per Uniphi Leitung auf eine z.B. Aspect Anlage geht. An die Core Router können dann noch je ein Proxy Server angeschlossen werden, auch 2 wegen der Redundanz. Diese Art Switche/Router werden bei uns auch von HP und Cisco eingesetzt, aber überwiegend Alcatel weil günstiger. Mittlerweile ist HP aber im gleichen Preissegment.
Etwas über die großen Alcatels hier:
http://www.stadler-fmt.de/Produkte/Data_Switch/OSW90…
Hoffe das kam einigermaßen verständlich rüber und habe nichts vergessen. Ansonsten fragen.
