Ich halte das irgendwie nicht für eine gute Idee. Dein Internetzugang ist dann unmittelbar abhängig von deinem Switch. Mir ist klar, dass dein Switch sowieso eine wichtige Rolle spielt, aber trotzdem finde ich es suboptimal, wenn du überhaupt kein Internet hast, wenn der Switch rumspackt. Abgesehen davon wäre mir der Switch zu sehr exponiert. Ich würde versuchen direkt mit dem Glas in die Firewall zu gehen. Aber ist nur meine bescheidene Meinung.
[Sammelthread] 10Gbit Homenetzwerk
- Ersteller barnacle2k
- Erstellt am
Dwayne_Johnson
Legende
- Mitglied seit
- 24.12.2009
- Beiträge
- 18.011
@Techlogi
Oder für unter 30€ - zzgl MwSt wären das 34,88€ inkl. Versand
Das „F“ in „ATF“ soll „fanless“ bedeuten (sagt Google)
Btw:
@craxity die RTL8127-RJ45 (schwarzes PCB) gibts aktuell für 25€ inkl. Versand (ohne MwSt versteht sich)
Wenn ich mich nicht irre…
Oder für unter 30€ - zzgl MwSt wären das 34,88€ inkl. Versand
Btw:
@craxity die RTL8127-RJ45 (schwarzes PCB) gibts aktuell für 25€ inkl. Versand (ohne MwSt versteht sich)
Wenn ich mich nicht irre…
- RTL8127 = PCIe4.0 x1 - ~2W
- RTL8127 AT = PCIe3.0 x4 (elekt x2) - ~2W
- RTL8127 ATF = PCIe3.0 x4 (elektr x2) - <1W
Zuletzt bearbeitet:
besterino
Legende
@underclocker2k4: dann LR auf beiden Seiten und so'n Dämpfungsding, korrekt?
Zuletzt bearbeitet:
Oder für unter 30€ (zzgl MwSt wären das 34,88€ inkl. Versand
Ja, das wäre auch eine Möglichkeit. Problem ist, dass ich bereits drei X540 in der Sense verbaut habe. Wenn ich da nochmal eine SFP+ Karte einbaue habe ich bisschen ein Problem mit der Kühlung. Da habe ich atm von den freien PCIe Slots her einen Venti drauf gerichtet. Habe eine 1HE Maschine auf einen Supermicro Tower umgebaut. Board ist ein X10SLH-LN6TF, das hat drei X540 fest verlötet. Das mit der SFP+ Karte in der Sense war ursprünglich mal gedacht, aber davon bin ich weg gekommen.
Dachte dann, ich nehme einfach einen Media Converter. Gemini meinte, der Switch sei sogar noch sinnvoller, weil ich im Dashboard noch den Link überprüfen kann.
Das wäre auch meine Hauptsorge bei dem Konstrukt. Gerade auch, weil ich mit Switches jetzt nicht sooo der Profi bin, da ist schnell was falsch konfiguriert.
Mit Einfuhrumsatzsteuer und Auslagenpauschale bin ich dann bei fast 41€.@Techlogi
Oder für unter 30€ - zzgl MwSt wären das 34,88€ inkl. Versand
Ich bin zwar Sparfuchs, aber für 2€ registriere ich mich nicht bei Alibaba.
Theoretisch könnte Malware auf deinem Switch doch amok laufen und du würdest es kaum mitbekommen, oder?
Im Vergleich zu den drei X540 wäre eine ConnectX-3 vernachlässigbar.
Beitrag automatisch zusammengeführt:
Wenn ich Bedarf hätte, würde ich die blaue nehmen. Der Kühler ist bei der nicht nur größer, sondern m.E. auch besser befestigt.
Wie meinst Du denn das? Malware aus einem der VLANs hinter dem Switch? Das tun die eh andauernd, klicke ja grundsätzlich auf jeden Link und Anhang. Oder meinst Du eine Malware, die direkt auf dem Switch läuft? Sehe da jetzt keinen Unterschied, ob der Switch den Mediaconverter mimt, oder ob das ein zusätzliches Gerät macht bezüglich ob ich das mitbekomme. Habe eher Angst, dass ich was falsch konfiguriere und das Probleme macht.
Die Firewall zieht so zwischen 65-95W bislang, sollte sich also kühlen lassen. Wüsste aber nicht wie ich den Venti anders platzieren könnte im Tower, der wär jetzt ziemlich ideal angebracht. Im Moment steckt noch eine Quad NIC in den freien PCIe, die geht mir schon auf den Senkel weil sie den Luftstrom blockiert.
Sieht in etwa so aus:
Die Firewall zieht so zwischen 65-95W bislang, sollte sich also kühlen lassen. Wüsste aber nicht wie ich den Venti anders platzieren könnte im Tower, der wär jetzt ziemlich ideal angebracht. Im Moment steckt noch eine Quad NIC in den freien PCIe, die geht mir schon auf den Senkel weil sie den Luftstrom blockiert.
Sieht in etwa so aus:
Ich meine schon den externen Traffic. Einen Switch derart zu exponieren erscheint mir sehr unorthodox. Ein Medienkonverter ist ja genau dafür gedacht transparent verschiedene Medien zu verbinden. Ein Switch ist eigentlich nicht dafür gedacht und durch Fehlkonfiguration, Backdoors oder Sicherheitslücken kann es schieflaufen.
underclocker2k4
Mr. Alzheimer
Pro Seite ein LR SFP.
Gehen tuts auch erstmal ohne Dämpfung.
Wenn man das dann machen will, dann auf nur einer Seite pro Faser je ein Ding. Also z.B. 2 Stück für die 1930-Seite.
Beitrag automatisch zusammengeführt:
Naja, warum ist das unorthodox?
Sowas wird Millionenfach gemacht.
Da werden hunderte oder tausende Securityzonen auf Switches zusammengefahren, um sie dann auf Server oder Firewalls zu schieben.
Bei uns läuft der Verkehr für Firewalls über vorgelagerte L2/L3 Switche oder auch Router. Das ist also nicht zu komisch, wie man denkt.
Man sollte freilich wissen was man tut.
Es ist also durchaus ein üblicher Weg, sowas zu machen. Und dem Switch selber ist der Traffic erstmal egal, wenn man PPPoE oder sowas nochmal drüber fährt, sogar noch mehr.
Ein Switch ist nur dann exponiert, wenn das MGMT Interface exponiert ist. Ist es das nicht, ist das Ding einfach nur ein Paketschupser.
Was meinste, was beim Provider den Traffic handelt? Meinste nicht, dass da irgendwo auch Switche beteiligt sind?
Oder wie ist das bei Hostern? Meinste nicht, dass bei z.B. Hetzner nicht auch hunderte Switche verbaut sind? (die haben zig tausend Server)
Auf der anderen Seite ist ein 10GBE Medienkonverter nun auch keine riesige Investition.
Zuletzt bearbeitet:
besterino
Legende
Ist bestellt. Da bin ich ja mal gespannt.
Ist es tatsächlich ein üblicher Weg, dass ungefilterter, externer und gefilterter Traffic über den selben Switch laufen? Mir ist klar, dass interner Traffic auf dem Switch getrennt wird, aber irgendwie habe ich kein gutes Gefühl dabei, wenn der Core-Switch gleichzeitig ungefiltert im Internet hängt.
Wie stellt man das sicher? Besteht nicht die Gefahr, dass durch Fehlkonfiguration oder Softwarefehler doch ein externer Zugriff auf das Management möglich wird? Wenn man von einem IoT-VLAN oder Gäste-VLAN auf das Management zugreifen könnte, wäre es schon unschön, aber vom Internet aus fände ich es etwas dramatischer.
Ja, ist es. Wird in Redundanzszenarien für Geschäftskunden mit BGP Anbindung normalerweise genauso gemacht.
Die Dataplane ist da was Anderes als die Controlplane, das ist auch das, was @underclocker2k4 mit Mgmt-Netz meinte.
Ob man die Switche/Cluster noch für andere Zwecke nutzen möchte, bleibt dann dem Kunden überlassen. Die Meisten nutzen es noch als DMZ Switchcluster.
Habe auch noch im OPNsense Forum die selbe Frage gestellt. Die meinten auch "ja mach mal". Gibt offensichtlich sogar welche, die fahren WAN und LAN über ein einziges Kabel. Nennt sich glaube ich dirty switch, dirty WAN, dirty vlan bzw. router on a stick, so was ich gestern erfahren habe.
Zuletzt bearbeitet:
Dwayne_Johnson
Legende
- Mitglied seit
- 24.12.2009
- Beiträge
- 18.011
Bekommt man irgendwie angezeigt, ob die Sendeleistung (Lichstärke) bei zu geringer Dämpfung zu hoch ist oder muss das immer manuell gemessen werden?
underclocker2k4
Mr. Alzheimer
Gute SFPs geben das aus und gute Geräte zeigen das an.
Man kann das aber auch Messen, wenn man unbedingt muss. Das ist aber @home alles übertrieben.
Man kann das aber auch Messen, wenn man unbedingt muss. Das ist aber @home alles übertrieben.
Dwayne_Johnson
Legende
- Mitglied seit
- 24.12.2009
- Beiträge
- 18.011
Hatte gelesen, wenn die Dämpfung unpassend zu gering ist (zu hohe Lichtstärke), dass die Empfängersensoren schneller "verschleißen". Aber das wisst ihr sicher besser (die, die tagtäglich damit arbeiten)
Auf jeden Fall interessantes Thema...
Auf jeden Fall interessantes Thema...
Das ist aber kein Zeichen für großes Vertrauen, oder?
underclocker2k4
Mr. Alzheimer
@Dwayne_Johnson
Nominell passiert das nicht.
Fürs Gefühl hängt man da einfach 5dB rein und gut ist.
@craxity
Das hat nichts mit Vertrauen, sondern vor allem auch klaren Strukturen zu tun.
Nur weil man mit einem 200Port Switch alles machen kann, was man so können müsste, macht es ggf. doch Sinn, wenn man das doch mechanisch trennt.
Und ne DMZ ist eben die nächst größere Stufe nach "ist komplett öffentlich". Daher liegt es hier nahe. sich den extra Switch für sowas zu sparen und das zu konsolidieren. Und LAN ist dann LAN, mitunter sogar noch mehrfach auf einem internen Cluster getrennt. (verschiedenen Departments)
Wir haben auch etliche (ein paar Dutzend) Switch-/Routercluster, die getrennt für sich arbeiten.
Technisch kann man das auch auf einem großen (3-stellige Portanzahl) Switch zusammenfahren. Da gewinnt man durch Konsolidierung halt auch was.
Es gibt da kein richtig und kein falsch, wenn man es richtig umsetzt.
Nominell passiert das nicht.
Fürs Gefühl hängt man da einfach 5dB rein und gut ist.
@craxity
Das hat nichts mit Vertrauen, sondern vor allem auch klaren Strukturen zu tun.
Nur weil man mit einem 200Port Switch alles machen kann, was man so können müsste, macht es ggf. doch Sinn, wenn man das doch mechanisch trennt.
Und ne DMZ ist eben die nächst größere Stufe nach "ist komplett öffentlich". Daher liegt es hier nahe. sich den extra Switch für sowas zu sparen und das zu konsolidieren. Und LAN ist dann LAN, mitunter sogar noch mehrfach auf einem internen Cluster getrennt. (verschiedenen Departments)
Wir haben auch etliche (ein paar Dutzend) Switch-/Routercluster, die getrennt für sich arbeiten.
Technisch kann man das auch auf einem großen (3-stellige Portanzahl) Switch zusammenfahren. Da gewinnt man durch Konsolidierung halt auch was.
Es gibt da kein richtig und kein falsch, wenn man es richtig umsetzt.
Ähnliche Themen
