Preiswerter Redundanter Switch

[RedMoon]

IRF bei HPE ist leider tod, Comware Switches sind teilweise EOL

das ist mir jetzt neu. Muss mal morgen meinen Dienstleister anhauen. Ich habe 2x HPE 5700 Flexfabrics als IRF Verbund im Corebereich und eigentlich mag ich das Comware OS von denen sehr gerne. Von EOL hat mir HPE nichts gesagt und sonst melden die sich bei jedem Mist bei mir (Insight, Infosight). Min 5 Jahre müssen die noch halten.

 

[underclocker2k4]

HP Networking End of Sale Products | HP®

The HP Networking end of sale page provides a way for customers to quickly navigate to legacy products or products that have recently gone end of sale.

techlibrary.hpe.com

5700 ist EOS und damit absehbar am Ende.

 

[fard dwalling]

Hey, super das ihr auch so ausführlich argumentiert. Absolut top!
Und ich bin da absolut bei euch. Am Hauptstandort gibt ein Systemhaus, mit dem wir aber etwas unzufrieden sind.
Wechsel der Firewall haben wir vor 2 Jahren schon einmal gemacht, dann den Wechsel auf die L3 Switche inkl. Routing anpassen. Jetzt Routing auf die Firewall übergangsweise umgestellt, alles gut.
Ich weiß durchaus, daß man sich in die Abhängigkeit der Firewall Hersteller begibt, wenn man das Hauptrouting über die Kisten macht. Aber tu ich doch rein mit den Regeln auch. Beim wechseln auf eine andere geb ich auch alle Regeln wieder neu ein.

Es klappt auch ganz gut, das Routing subnetz für subnetz umzustellen, natürlich nicht tagsüber, aber abends hats ganz gut geklappt.

Wir lassen uns den Weg ja auch offen, um das Routing wieder zurück auf die Switche zu holen, sollten wir feststellen, daß uns das mit der Firewall nicht passt.

Bzgl. des Routing und User-Based Policy: Indirekt schon. Unsere Netze sind schon recht Kleinteile segmentiert, daher findet vom Client zum Server oder Management schon ein Routing statt. Und wenn der switch das tut, kann die Firewall nicht User-Policy Based etwas zulassen oder blockieren. Oder doch?
Und Switch ACLs sind zwischen den Segmenten, ziemlich starr. Darf aus dem segment rdp oder nicht.

Ach, das macht schon Spaß mit euch da ausgiebig drüber zu diskutieren. ;-)

Aber erstmal geht es mir jetzt um die Anbindung des Hyper V Cluster.

 

[underclocker2k4]

Aber tu ich doch rein mit den Regeln auch. Beim wechseln auf eine andere geb ich auch alle Regeln wieder neu ein.

Nach dem Chinesenprinzip kann man das so machen. Intelligenter wäre es, die Regeln zu exportieren, zu transformieren und dann wieder zu importieren.
Ansonsten, kannst mit einer L2 Firewall-Kaskade im Migrationsfall auch beide Regelwerke parallel laufen lassen und lasst so das ganzen ganz langsam raus wachsen.
Sprich am Freitag Abend baust du die neue Firewall (auch gerne ohne Regeln) ein, testest kurz und machst dann Wochenende. Musst keine Angst haben, dass am Montag nichts mehr geht.
Das wäre bei so ner all in one FW nicht der Fall. Denn da fummelst du, siehe oben, das gesamte Netzwerk erstmal auseinander, damit da überhaupt was geht.
Eine L2 Firewall kennt auf ihren Interfaces kein L3 und ist damit also keine Baustelle.

Bzgl. des Routing und User-Based Policy: Indirekt schon. Unsere Netze sind schon recht Kleinteile segmentiert, daher findet vom Client zum Server oder Management schon ein Routing statt. Und wenn der switch das tut, kann die Firewall nicht User-Policy Based etwas zulassen oder blockieren. Oder doch?

Warum sollte das nicht gehen? Du musst nur dafür sorgen, dass der Verkehr zwischen den Subnetzen 1x über die Firewall geht. Da gibt es mehrere Ansätze, einer wäre es, die Tabellen mittels VRF zu trennen und dann die Nutznetze so zu leiten, dass sie über die FW zu einem Vermittlungsnetz gehen, das routet dann erst zwischen den Netzen und damit kann die FW da eingreifen.
Andere Alternative wäre PBR oder alles über VLANs über die FW ziehen und dahinter dann erst die L3 Instanz. Aufpassen muss man dann bei großen Netzen, irgendwann sind die Tabellen in den Geräten am Ende.
Auch hier wieder, es gibt nicht die Lösung, je größer die Anforderungen, desto größer der Hammer.
Der billigste Weg wäre das über VLANs zusammenzufahren, das über einen Trunk über die FW zu ziehen und dahinter dann die L3-Instanz aufzubauen. Geht bis 10k Teilnehmer easy, danach muss man in die Datenblätter schauen, wieviel MAC und Routingeinträge gehen.

Es soll Anwendungen geben, da werden 1k Subnetze über eine L2 Firewall geleitet und ja, das geht, und ja, der Verkehr wird abgefangen.

Und wenn man jetzt eh Switche beschafft, dann kann man direkt ne Coreebene bauen, die neben den Servern auch gleich den ganzen anderen Kram, wie eben Clientnetze, gleich mitmacht. Ist dann nämlich nur 1x etwas mehr Geld als 2x oder 3x etwas weniger Geld.

Es klappt auch ganz gut, das Routing subnetz für subnetz umzustellen, natürlich nicht tagsüber, aber abends hats ganz gut geklappt.

Und jetzt spiel das Ganze mal durch, wenn du die Firewall ersetzt. Dann musst du nämlich nicht nur das Routing doppelt pflegen (so wie jetzt/getan), sondern auch die Regeln. Wer sonst nix zu tun hat, der mag das toll finden, andere hingegen wollen das schnell vom Tisch haben.

 

[niklasschaefer]

das ist mir jetzt neu. Muss mal morgen meinen Dienstleister anhauen. Ich habe 2x HPE 5700 Flexfabrics als IRF Verbund im Corebereich und eigentlich mag ich das Comware OS von denen sehr gerne. Von EOL hat mir HPE nichts gesagt und sonst melden die sich bei jedem Mist bei mir (Insight, Infosight). Min 5 Jahre müssen die noch halten.

Leider ja, mir hat man damals schon gesagt das war 2018 das von Comware nichts mehr neues kommt und so langsam aber sicher der Schritt kommt alles mir Aruba CX Büchsen zu machen. Ich finde den Feel & Like bei Comware super. Deshalb hatte ich bei meiner alten Firma selbst im Client segment Comware 5130 mit POE und im Core ein Verbund aus 6 x 5700.

 

[Joe_Dalton]

Moin,

Grundsätzlich sollte man sich überlegen, was für eine Art Redundanz man will.

...und braucht.

Von daher ist auch IRF oder VSF, wenn man mal bei Aruba/HPE bleibt, noch immer ein Stacking, nur dass man dem oldschool Stacking ein paar Sacken oben drauf gesetzt hat, damit der Master kein SPOF mehr ist.

Da kommen wir an den Punkt, wo ich sagen würde: Mehr wird wahrscheinlich hier nicht gebraucht werden. Konstrukte mit zwei aktiven Controlplanes sind zwar schick, aber nicht jeder braucht diese hohe Verfügbarkeit.

Hier wäre dann der Aruba 8320 zu nennen. Leider gibt es davon keine kleineren Varianten, also direkt 48x 10GBE.

Den würde ich auch nicht mehr empfehlen, sondern eher Richtung 8325 bzw. 8360 schauen. Letzteren gibt es als 16 Port Variante, aber der Preisrahmen dürfte etwas abseits der Vorstellungen des TE sein.

Über welche SKU beim 6300M habt ihr denn konkret gesprochen? JL658A?
Der liegt Liste bei ~15k ohne den restlichen Kram, den man noch braucht.
Der JL479A (8320) liegt bei 22k, all inkl.

Laut Iris liegt der JL479A im Bundle aktuell bei 25043.- EUR. Ein 8360 mit 16 Ports bei 21036.- EUR. Der 6300M (JL685A) mit redundanten Netzteilen bei 18146.- EUR. Transceiver kämen in beiden Fällen noch oben drauf. Alles Listpreise und jeweils ein Switch...

VRF sollte man aber grob mit einplanen, egal bei welchem Hersteller. Denn hat man so ne 48Port Krawallkiste, kann man die Ports auch für die "normalen" Netze nehmen und so kann man, je nach Infrastruktur, auch DMZ, oder auch anderes, von anderen Netzen trennen, auch auf L3-Ebene.

Wir reden hier immer noch über eine Umgebung mit *drei* Hyper-V Hosts, die über jeweils 2x 10 GbE angeschlossen werden und wo eine Firewall das Routing übernimmt. Das VRF-Feature wird wahrcheinlich das gleiche Schicksal teilen, wie ca. 95% der restlichen Features: es wird mit hoher Wahrscheinlichkeit nicht genutzt.

Auch das mit der Firewall und Routing würde ich mir überlegen. Bei großen Netzen, mit viel L3-Config, ist das ein echter pain in the ass, wenn man neben dem Regelwerk noch nen Haufen L3-Funktionen hat. Und so mancher FW-Hersteller kann zwar Firewall, hat aber kaum Ahnung von L2/L3 und das sieht man recht eindeutig, gerade bei großen Strukturen.

Bei *großen* Strukturen: ja, da gebe ich Dir uneingeschränkt recht. Aber haben wir das im hier vorliegenden Fall?

Sowas kann man noch beliebig weiter spinnen.

Das ist hier in meinen Augen der wesentliche Punkt: Die genannten Designs und Aufbauten sind für entsprechende Umgebungen notwendig und sinnvoll, aber ich glaube hier schießt Du mit sehr großen Kanonen auf Spatzen.

EDIT:
Und wer es richtig fancy haben will, der kann den Aruba 10000 nehmen, der hat dann gleich ne Firewall mit dabei. Gibt es seit 1Monat....

Wenn ich mir den AFC und dessen Entwicklung ansehe, dann sollte man an dieser Stelle kurz abwarten und in einem Testaufbau dem CX 10000 erstmal auf den Zahn fühlen.
Ebenso würde ich nicht soweit gehen und das Pensandokonstrukt wie eine NGFW sehen. Zumindest am Anfang wird es zwar besser als ACLs sein, aber kein vollwertiger NGFW-Ersatz im DC sein.

Wenn Du einen in die Finger bekommen solltest: Sag Bescheid. Bei uns ist die Teststellung zwar angefragt, aber ich habe bisher nichts von den Lieferzeiten mitbekommen.

Beitrag automatisch zusammengeführt: 22.02.2022

das ist mir jetzt neu. Muss mal morgen meinen Dienstleister anhauen. Ich habe 2x HPE 5700 Flexfabrics als IRF Verbund im Corebereich und eigentlich mag ich das Comware OS von denen sehr gerne. Von EOL hat mir HPE nichts gesagt und sonst melden die sich bei jedem Mist bei mir (Insight, Infosight). Min 5 Jahre müssen die noch halten.

Halten werden sie mit recht hoher Wahrscheinlichkeit, aber wahrscheinlich wirst Du ab 2025 keinen Support mehr erhalten.

Beitrag automatisch zusammengeführt: 22.02.2022

Leider ja, mir hat man damals schon gesagt das war 2018 das von Comware nichts mehr neues kommt und so langsam aber sicher der Schritt kommt alles mir Aruba CX Büchsen zu machen. Ich finde den Feel & Like bei Comware super. Deshalb hatte ich bei meiner alten Firma selbst im Client segment Comware 5130 mit POE und im Core ein Verbund aus 6 x 5700.

Wenn die Arubakollegen keinen Mist erzählt haben, wird Comware auch ein Revival erfahren: ohne Trump ist Comware (theoretisch) wieder eine Option. Eine Roadmap für neue Switches gibt es auch.

Aber die Weichen stehen recht deutlich in Richtung ArubaOS-CX und ich würde mich freuen, wenn HPE/Aruba mal eine Richtung einschlägt und diese auch konsequent durchzieht: einheitliches Management, einheitliches OS und Transceiver, die man ohne Nachdenken problemlos zwischen den Switches tauschen kann. Wenn man dann noch die Portgruppen auf den 83xx-Switches loswerden würde... Ponyhof und so...

 

[underclocker2k4]

Das ist hier in meinen Augen der wesentliche Punkt: Die genannten Designs und Aufbauten sind für entsprechende Umgebungen notwendig und sinnvoll, aber ich glaube hier schießt Du mit sehr großen Kanonen auf Spatzen.

Grundsätzlich würde ich das so nicht unterschreiben.
Ein 8400 wäre eine große Kanone.
Und ja, ein 8320 (oder vergleichbare) würde für ein mini Hyper-V Frontend etwas drüber sein, wenn da nicht das aber wäre.
So ein 8320 ist schon mächtig genug, dass er in einem solch kleinem Netzwerk die Coreebene abbilden kann. Da wäre der Hyper-V dann nur ein kleiner Teil des Ganzen. Und genau darauf zielt meine Diskussion ab.
Wenn man einmal Geld in die Hand nimmt, dann kann man das auch gleich "richtig" machen. Das muss man bewerten. Ich kenne weder das Netz, noch die Strukturen, die Supportmöglichkeiten und Weiteres.

Grundsätzlich haben alle Größen die selben Probleme und damit auch die selben Lösungsansätze, nur in unterschiedlicher Ausprägung.
Ob ich eine Firewall in einem 100 Mann Unternehmen tausche oder in einem 100k Mann Unternehmen, ist am Ende immer die Frage der zu beherrschenden Komplexität. Entweder muss man das Routing mit anfassen oder nicht.
Und da man in der Regel eh L3 Geräte hat, kann man die euch gleich verwenden.
Wer natürlich nur L2-Geräte hat und dann die FW eh braucht um Routen zu können, der wird den Invest in ein L3-Switch natürlich scheuen.
Aber warum die Geräte mit den Features, die btw. mit bezahlt, nicht auch verwenden?

Es hat alles ein Für und Wider.
Die von mir angeführten Sachen sind Denkanstöße, wie man es auch machen kann und wo ich die Vorteile sehe, ja auch im Kleinen.
Ich kenne leider auch viele Kleinnetze, die so verknotet sind, dass der Betrieb eines Großnetzes mit sauberen, klaren und abgetrennten Aufgaben einfacher ist. (und das sollte einem zu denken geben)
Ohne jetzt zu unterstellen, dass beim TE alles Grütze ist.
Er muss aus den Zutaten die Suppe für sich selber kochen.

PS: Transceiver kauft man nicht bei/von Aruba.

@ CX 10000
Da wissen selbst die HPler noch nicht wirklich viel drüber.
Das ist einfach nach zu neu um da jetzt bereits Umsetzungen zu planen.
Auch was NGFW oder andere Späße angeht, muss sich das erstmal noch Beweisen.
AFC kostet auch nen haufen Geld, besonders wenn man nur wenige Geräte hat. Brauchen tut man ihn ja nicht wirklich.
Auch der PSM muss sich noch beweisen und gerade die Migrationspfade von einer klassischen FW zu so einem Ding müssen sich auch erstmal aufzeigen und natürlich auch wieder zurück.
Ich selber sehe da 5 Jahre Planungshorizont im Moment, außer Aruba überrascht uns.

 

[RedMoon]

Beim wechseln auf eine andere geb ich auch alle Regeln wieder neu ein.

Nope, die Zeiten sind vorbei. Zumindest wenn du von x nach Fortinet gehen möchtest.

FortiConverter Service for Firewall Migration

FortiConverter provides automated migration service to simplify transition to FortiGate NGFW from a wide range of legacy firewalls quickly and securely.

www.fortinet.com

Ist ein tolles Tool und der Preis lohnt sich. Hat uns bei meiner Migration (Forti auf Forti und CheckPoint auf Forti) vor einem Jahr min. 1 Woche Arbeit erspart

 

[Joe_Dalton]

Grundsätzlich würde ich das so nicht unterschreiben.
Ein 8400 wäre eine große Kanone.
Und ja, ein 8320 (oder vergleichbare) würde für ein mini Hyper-V Frontend etwas drüber sein, wenn da nicht das aber wäre.
So ein 8320 ist schon mächtig genug, dass er in einem solch kleinem Netzwerk die Coreebene abbilden kann. Da wäre der Hyper-V dann nur ein kleiner Teil des Ganzen. Und genau darauf zielt meine Diskussion ab.
Wenn man einmal Geld in die Hand nimmt, dann kann man das auch gleich "richtig" machen. Das muss man bewerten. Ich kenne weder das Netz, noch die Strukturen, die Supportmöglichkeiten und Weiteres.

Ja, die 83xx würde ich auch als Campus-/DC-Core nehmen, wenn es erforderlich ist. Aber der TE erweckt an der Stelle imho nicht den Anschein dafür das Geld und den Bedarf zu haben. Beides ist keine Abwertung des TEs, sondern eine Wertung der Anfrage und der genannten Switches.

Grundsätzlich haben alle Größen die selben Probleme und damit auch die selben Lösungsansätze, nur in unterschiedlicher Ausprägung.
Ob ich eine Firewall in einem 100 Mann Unternehmen tausche oder in einem 100k Mann Unternehmen, ist am Ende immer die Frage der zu beherrschenden Komplexität. Entweder muss man das Routing mit anfassen oder nicht.
Und da man in der Regel eh L3 Geräte hat, kann man die euch gleich verwenden.

Ob ich es wirklich die gleichen Probleme nennen würde, weiß ich nicht. Während die einen froh sind, dass sie endlich Vmotion/Lifemigration/etc. über 10 GbE machen können, gibt es andere die sich über Under-/Overlay Gedanken machen. Routing per se ist nichts schlimmes und mir in Teilen deutlich lieber als riesige L2-Domänen. Trotzdem muss es letztlich der Admin vor Ort beherrschen und jemand den Geldbeutel aufmachen.

Wer natürlich nur L2-Geräte hat und dann die FW eh braucht um Routen zu können, der wird den Invest in ein L3-Switch natürlich scheuen.
Aber warum die Geräte mit den Features, die btw. mit bezahlt, nicht auch verwenden?

Ich kenne auch Firmen mit entsprechenden Fabrics, die nur mit L2 laufen und deren Gateways auf externen Firewalls liegen. Häufig in dem Gedanken verhaftet, dass man das schon immer so gemacht hat.

PS: Transceiver kauft man nicht bei/von Aruba.

Das ist auch Ansichtssache. Wobei ich inzwischen mit 2-3 3rd Party Anbietern schon gute Erfahrungen gemacht habe. Aber auch hier gibt es Kunden, die die Originale haben wollen.

@ CX 10000
Da wissen selbst die HPler noch nicht wirklich viel drüber.

Sie haben aber schon Marketingfolien!

AFC kostet auch nen haufen Geld, besonders wenn man nur wenige Geräte hat. Brauchen tut man ihn ja nicht wirklich.

Preislich gegen die Ciscolizenzen gerechnet ist das gar nicht sooo schmerzhaft, aber auch weit weg von billig. Abgesehen vom Preis finde ich eher die Funktionalität verbesserungswürdig bzw. es war gut sichtbar, welche Verbesserungen in den letzten Monaten immer wieder eingebracht wurden. Die hätte ich eigentlich von Anfang an erwartet.

Auch der PSM muss sich noch beweisen und gerade die Migrationspfade von einer klassischen FW zu so einem Ding müssen sich auch erstmal aufzeigen und natürlich auch wieder zurück.
Ich selber sehe da 5 Jahre Planungshorizont im Moment, außer Aruba überrascht uns.

Ich mag keine Überraschungen in dem Bereich: Es sind selten gute Neuigkeiten. Warten wir die ersten Modelle ab...

 

[fard dwalling]

Wenn wir das Routing über die Switche laufen lassen würden, hat wer Erfahrung mit Aruba Clearpass? Würde sich ja als Network Security anbieten wenn wir eh schon Aruba Switche hätten.

 

[Joe_Dalton]

Wenn wir das Routing über die Switche laufen lassen würden, hat wer Erfahrung mit Aruba Clearpass? Würde sich ja als Network Security anbieten wenn wir eh schon Aruba Switche hätten.

Clearpass ist kein Ersatz für eine Firewall, sondern "nur" ein aufgebohrter RADIUS-Server. Ansonsten tut es, was es im Rahmen von 802.1X tun soll.

Ich kenne die ISE bzw. Clearpass nur vom gelegentlichen Blick über die Schulter von Kollegen: nehmen sich beide wahrscheinlich nicht sehr viel.

 

[fard dwalling]

Das ist klar, aber es würde das sizing der Firewall beeinflussen.
Und die Switche natürlich auch. Bis jetzt fehlt uns so eine Lösung auch. Wobei ich dann am Cluster nicht einen anderen Hersteller einsetzen könnte.

 

[Joe_Dalton]

Das ist klar, aber es würde das sizing der Firewall beeinflussen.
Und die Switche natürlich auch. Bis jetzt fehlt uns so eine Lösung auch. Wobei ich dann am Cluster nicht einen anderen Hersteller einsetzen könnte.

Clearpass funktioniert recht gut, musst halt bei den Lizenzen aufpassen, was und wieviel Du haben willst. Ggfs. wäre der MS NPS noch eine Alternative: weniger Features, aber i.d.R. einfacher/schneller zu bekommen (wenn man denn eine MS Infrastruktur bei sich hat). Oder natürlich alle anderen Open Source Projekte, die RADIUS bieten.