Router und Layer 3 Switch

[Eleu]

Hallo Community,

kann mir mal jemand erklären, was man im Gegensatz zu einem Layer 3 Switch

nur mit einem Router machen kann ?

Worin besteht der Unterschied.

Wird in einem Layer 3 Switch auch eine Routingtabelle angelegt ?

Kann man einen Layer 3 Switch auch für DHCP konfigurieren ?

Gruß

Eleu

[VaNaTiC]

Layer 3 Switch arbeitet in derselben OSI-Schicht, wie ein Router.

Deshalb ist das im Endeffekt ein Switch und ein Router in einem Gerät.

Wobei ich jetzt ganz bewusst nicht auf die diversen unterschiedlichen Protokolle eingehe, wie ICMP, IGMP, IP und IPX, die alle in Layer3 arbeiten.

[Eleu]

Kann ein Layer 3 Switch auch als Firewall verwendet werden ?

Also bestimmte Sockets unterbinden indem man

bestimmte Ports sperrt (Z.B. Port 102 für ISO on TCP oder Port 135

für DCOM) ?

Kann man das auch mit einem Baystack 450 ?

[DocInfra]

Theoretisch kannst du das auch auf einem Layer-3 Switch, wie auch auf einem Router, mit entsprechenden ACLs und ACEs bauen. Aber das ist keine Firewall - das ist nicht mehr als ein Packetfilter. Eine Firewall macht noch etwas mehr und sollte als Konzept verstanden werden.

Mit dem Baystack geht das nicht.

[Eleu]

Schönen Dank.

Gruß

Eleu

[Crash2001]

Der grösste Unterschied zwischen Router und Layer3-Switch ist wohl, (laut Cisco-Definition), dass L3-Switche das Routing und Switching in Hardware vornehmen und bei Routern dies rein per Software implementiert ist. Daher, und weil sie durch mehrere Ports natürlich auch eine höhere Bandbreite erreichen können, haben L3-Switche auch einen höheren Durchsatz als Router.

Es gibt aber mittlerweile auch schon genug Router, die das Routing ebenfalls per Hardware realisieren. Die Unterscheidung, was nun ein L3-Switch ist und was ein Router, ist also gar nicht mehr so einfach. A

Afaik erwarten Router, wenn man einen Port in ein Netz hängt, dass das komplette Netz dort zu finden ist. Somit kann man nicht einfach z.B. 3 Rechner im gleichen Netz an 3 Routerports hängen, ohne die Netzgrösse anzupassen, da ein Netz lokal jeweils nur immer an einer Stelle hängen kann. (Per Routingprotokollen erreicht werden kann es natürlich trotzdem über mehrere Interface.) Dafür müsste man dann einen Switch an einen Routerport hängen. Auf einem L3-Switch hingegen ist dies kein Problem, da das Routing intern anders funktioniert. Dort wird z.B. einfach ein vlan auf den jeweiligen Port gelegt, ein vlan interface mit IP-Adresse konfiguriert, der Port sozusagen auf Layer2 begrenzt und die Layer3-Kommunikation läuft dann über das vlan-Interface ab. Quasi wie wenn man virtuell verkabelt einen Router mit dranhängendem Switch hätte. Das geht so sonst nur bei Routern mit Switchingports, was aber ja eigentlich dann schon wieder laut Definition einem L3-Switch oder einem Router mit integriertem Switch entsprechen würde.

Ein L2-Switch kann das Routing nicht und ein reiner Router kann das Switching nicht. Ein L3-Switch hingegen kann beides.

[Eleu]

Hi Crash2001,

vielen Dank für die umfangreiche Erklärung.

Hört sich so an, als ob die gewöhnlichen Router irgendwann

mal vom Markt verschwinden und es nur noch Layer 3 Switche gibt.

Bei Wiki hab ich gelesen, dass eine klassische Firewall aber

meistens in Routern enthalten ist.

Aber auch da könnte ich mir vorstellen, dass das nur eine

weitere Softwareimplementierung im Layer 3 Switch ist.

Interessant finde ich die Entwicklung im Bereich der Automatisierung,

wo bereits einige Ethernet CP`s an einer SPS über zwei Ports als Switch

verfügen (Z.B. Siemens).

Aber ob es schon SPS`sen mit mehreren integrierten Ports

gibt, die überdies noch VLAN können ist mir nicht bekannt.

Was aber schon geht, ist die Angabe einer Routeradresse im CP....

Aber vielleicht kommt da ja irgendwann mal was mit VLAN ?

Der SPS`sen könnten dann untereinander selber routen

und man müsste keinen EDV Router mehr einsetzen.

Gruß

Eleu

[Crash2001]

Das wird wohl kaum passieren, dass es nur noch L3-Switche aber keine Router mehr gibt. Alleine schon aufgrund der verschiedenen Schnittstellen, die ein Router haben kann.

Die Switche haben ja nur Ethernet und nicht z.B. Anschlüsse für eine E3 oder STM1 oder DSL o.ä. Zudem haben die Switche auch gar nicht die entsprechende Software, um z.B. Wählverbindungen aufzubauen

Reine Router wird es also wohl noch eine ganze Weile geben.

Eine klassische Firewall ist ja nichts anderes als eine Accessliste, die bestimmte Verbindungen erlaubt und den Rest dicht macht.

Bearbeitet 8. März 2009 von Crash2001

[hades]

Die Switche haben ja nur Ethernet und nicht z.B. Anschlüsse für eine E3 oder STM1 oder DSL o.ä.

SONET/SDH und ATM sind fuer viele Modelle der groesseren Nortel-Switches kein Fremdwort.

[VaNaTiC]

... laut Cisco-Definition

Aus Ermangelung an professioneller Konkurenz kann sich CISCO schon fast erlauben sich selbst als Standard zu bezeichnen. Das geht mir manchmal ganz schön gegen den Strich

dass L3-Switche das Routing und Switching in Hardware vornehmen und bei Routern dies rein per Software implementiert ist

Das stimmt, wobei der Beweis offen bleibt, ob nicht bei ebenbürtiger finanzieller Hardwareausstattung nicht tatsächlich eine Softwarelösung sogar noch effizienter wäre.

Interessant finde ich die Entwicklung im Bereich der Automatisierung,

wo bereits einige Ethernet CP`s an einer SPS über zwei Ports als Switch

verfügen (Z.B. Siemens).

Hmm, sorry, wenn ich da bei SIEMENS in einen wunden Punkt stichel, aber das gibts bei SAIA schon lange: PCD2.M480 hat zwei RJ45 drauf. Die Schweizer bauen damit auf Steuerungsebene zwei redundante Ringe auf!

Aber ob es schon SPS`sen mit mehreren integrierten Ports

gibt, die überdies noch VLAN können ist mir nicht bekannt.

Hmm, mir fällt momentan kein Szenario ein, wo ich in der Automatisierungstechnik VLAN einsetzen würde, außer als Notlösung, weil es physikalisch nicht anders oder nicht mehr zu lösen ist. Setzt ihr das in wiederkehrenden Szenarios öfter ein?

Was aber schon geht, ist die Angabe einer Routeradresse im CP....

Das gehört meiner Meinung nach zur Mindestausstattung, wenn sich ein Gerät im IP-Raum bewegen möchte.

[Crash2001]

[...]Das stimmt, wobei der Beweis offen bleibt, ob nicht bei ebenbürtiger finanzieller Hardwareausstattung nicht tatsächlich eine Softwarelösung sogar noch effizienter wäre.[...]

Nunja, eine für etwas optimierte Hardware ist wohl im Normalfall schneller, als wenn es per Software gelöst wird. Die Software kann zwar auch optimiert werden, ist aber auf die Hardware angewiesen, die dann eben nicht explizit für eine Sache optimiert ist. Dafür ist die reine Softwarelösung aber einiges flexibler, was die Implementierung von neuen Standards u.s.w. angeht.

SONET/SDH und ATM sind fuer viele Modelle der groesseren Nortel-Switches kein Fremdwort.

Ja das stimmt. Ist aber da dann immer die Frage, ob das eher ein Router, eher ein Switch, oder ein Zwischending zwischen beidem ist. Aber gut. Wenn Nortel sagt, das ist ein Switch, ist es halt ein Switch. Aber ob die Switche alle Funktionen bieten, die die Router bieten, wage ich zu bezweifeln. Dafür kenne ich mich aber auch zu wenig mit Nortel aus, um das zu beurteilen. Ansonsten könnte man sich die Unterscheidung aber direkt komplett sparen und das als Swouter oder Rotch oder so deklarieren. Wenn man sich die Nortel-Produkte so anschaut, dann sieht man, dass die grösseren Teile dort anscheinend immer als Switche bezeichnet werden, auch wenn es meiner Meinung nach eher Router mit Switchingmodulen sind, als Switche. Aber das ist wohl, wie immer, eine Sache der Definition.

Gut, in einen Cisco 6500er Switch kann man auch z.B. T1/E1-Module einbauen. Gemacht wird das jedoch eher selten. Die Umsetzung zwischen den verschiedenen Protokollen und Interfaces wird noch immer meist auf einem dafür optimierten echten Router gemacht. Zumindeste trifft das auf grosse Firmen zu.

Bei Cisco und ich meine auch bei Juniper ist es jedenfalls so, dass es für Switche fast ausschliesslich Ethernet-Ports gibt und alles andere dann unter die Bezeichnung Router fällt. (Siehe z.B. 6500er und 7600er) Das kommt aber auch daher, dass die Switch-Images klein gehalten werden sollen und somit die Kompatibilität mit diversen anderen Techniken als Ethernet nicht dort implementiert wird, um Speicher zu sparen und somit performanter in ihrem Hauptgebiet, dem Switching, zu sein. Wenn man ein Allroundgerät haben will, greift man da also eher zum Router als zum Switch.

[DocInfra]

Switch/ Router... ganz schwierige Trennung. Schau dir mal die großen Router von Juniper an. Die können auch alles - auch Ethernet. Aber wird da viel in Software gemacht? Wohl kaum. Das meiste machen auch die Wirespeed, sofern möglich.

Switches die mehr als Ethernet können sind selten, Außnahmen bilden bekanntlich die Regel. Router wird es immer geben, allein wenn man sich die großen Trümmer von Cisco oder Juniper ansieht.

Layer-3 Switches sind halt doch "nur" aufgebohrte Bridges die etwas IP routen können.

[Eleu]

Hi VaNaTic,

Hmm, sorry, wenn ich da bei SIEMENS in einen wunden Punkt stichel, aber das gibts bei SAIA schon lange: PCD2.M480 hat zwei RJ45 drauf. Die Schweizer bauen damit auf Steuerungsebene zwei redundante Ringe auf!

Zwei Ethernet Ports hat der AC800M für zwei unterschiedliche Subnetze auch.

Meines Wissens, kann Siemens das bei hochverfügbaren Steuerungssystemen mit zwei Ethernet CP`s in der S7400H. Also über zwei redundante Subnetze.

Nicht das wir uns missverstehen (Ich bin nicht mit Siemens verheiratet)

Hmm, mir fällt momentan kein Szenario ein, wo ich in der Automatisierungstechnik VLAN einsetzen würde, außer als Notlösung, weil es physikalisch nicht anders oder nicht mehr zu lösen ist. Setzt ihr das in wiederkehrenden Szenarios öfter ein?

Nein, tun wir nicht.

Wenn Du mit einer PC-Station auf zwei SPS`sen zugreifen möchtest,

die aber in unterschiedlichen Subnetzen liegen, musst du auf der PC-Station unter TCP-IP Eigenschaften eine

Gatewayadresse angeben, um die zweite SPS zu erreichen.

Also brauchst du doch einen Router oder einen Layer 3 Switch.

Wenn die SPS auch Router oder Layer 3 Switch sein könnte,

müsste man keinen EDV-Router oder Layer 3 Switch mehr einsetzen.

Ob man das braucht, steht natürlich auf einen anderen Blatt Papier.

(Man würde halt ein Gerät einsparen..)

Oder hab ich da einen Denkfehler ?

Gruß

Eleu

[Forcid]

Was ich in eurer Diskussion vermisse, sind sämtiche Switche die modular mit diversen Interfacen zusätzlich bestückt werden können und somit teilweise flexibler zu händeln sind, als Router.

[DocInfra]

Also brauchst du doch einen Router oder einen Layer 3 Switch. Wenn die SPS auch Router oder Layer 3 Switch sein könnte, müsste man keinen EDV-Router oder Layer 3 Switch mehr einsetzen. Ob man das braucht, steht natürlich auf einen anderen Blatt Papier. (Man würde halt ein Gerät einsparen..)

Also wenn ich Netzwerkadministrator wäre, dann würde ich dir auf die Finger hauen. Außer mit routet da niemand. Viel zu großes Sicherheitsrisiko, außer man würde dafür wieder dedizierte Netze aufbauen usw.

Und mal ehrlich: Ist das wirklich ein Problem, oder ist es nicht viel mehr "nice to have", wenn SPSen routen könnten?

Was ich in eurer Diskussion vermisse, sind sämtiche Switche die modular mit diversen Interfacen zusätzlich bestückt werden können und somit teilweise flexibler zu händeln sind, als Router.

Jein... nenn mir mal Switches die mehr als Ethernet können und wirklich Switches sind! Switches sind aufgebohrte Bridges. Wenn ein Switch routen kann, dann kann er trotzdem nur mit Ethernet umgehen und dem bisschen IP was da drin lungert.

Wenn eine Kiste wirklich mehr kann, dann ist es i.d.R. ein Router. Ausnahmen bestätigen die Regel. Aber bitte mal konkrete Beispiele posten.

[VaNaTiC]

... S7400H...

Das ist aber eine gaaaanz andere Preiskategorie

Aber ok, ich denk ich hab verstanden, wie das zusammenpasst bei Euch.

Nicht das wir uns missverstehen (Ich bin nicht mit Siemens verheiratet)

hehe, das ist meiner Meinung nach auch gut so

Sorry, wenn ich den den Eindruck erweckt habe, dass ich das dachte.

Wenn Du mit einer PC-Station auf zwei SPS`sen zugreifen möchtest, die aber in unterschiedlichen Subnetzen liegen, musst du auf der PC-Station unter TCP-IP Eigenschaften eine

Gatewayadresse angeben, um die zweite SPS zu erreichen.

Jein, das ist etwas undeutlich ausgedrückt. Es kommt sehr wohl darauf an, wie die physikalische (von VLAN mal abgesehen) Netzwerkstruktur ist.

Ein (schlechtes) Beispiel wäre, wenn SPS1 und SPS2 in einem physikalischen Netzwerk beheimatet sind, aber unterschiedlichem IP-Netz angehören, dann kannst Du sehr wohl in Deinem Rechner einem Interface zwei passende IP-Adressen aus den jeweiligen Netzen geben, ABER das ist weder erwünscht noch gut und sollte meiner Meinung nach vermieden werden, genauso wie VLAN

Bisher sind mir in der Automatisierung immer physikalisch getrennte Netze vorgegeben worden.

[Crash2001]

Was ich in eurer Diskussion vermisse, sind sämtiche Switche die modular mit diversen Interfacen zusätzlich bestückt werden können und somit teilweise flexibler zu händeln sind, als Router.

Cisco 6500er und 4500 er sind alle modular aufgebaut und man kann diverse Einschübe reinschieben. Ausser E1/T1 gibt es da aber afaik nur Einschübe für die diversen Ethernet-Varianten. Von 10MBit-Ethernet bis 10Gigabit-Ethernet über Kuper (RJ45) oder Glasfaser (GBig oder SFP oder direkt auf dem Board drauf der Anschluss), oder auch evtl per POF. Ist aber dennoch alles Ethernet (ich glaub für Token Ring gibts auch noch Einschübe, aber die lasse ich jetzt einfach mal hinten runter fallen ).

Die meisten Router (oberhalb von den Kleingeräten) sind auch modular aufgebaut und können mit den diversen WICs, VICs, VWICs, NMs, kompletten Boards, u.s.w. bestückt werden. Die sind also nicht wirklich weniger flexibel, sondern noch flexibler, da es mehr verschiedene Einschübe dafür gibt als für die Switche.

[Eleu]

Also wenn ich Netzwerkadministrator wäre, dann würde ich dir auf die Finger hauen. Außer mit routet da niemand. Viel zu großes Sicherheitsrisiko, außer man würde dafür wieder dedizierte Netze aufbauen usw.

Und mal ehrlich: Ist das wirklich ein Problem, oder ist es nicht viel mehr "nice to have", wenn SPSen routen könnten?

Hi,

na klar wär das nice to have..

Ja, es wären in dem Denkmodel pysikalisch getrennte dedizierte Netze

und die Administration würde aus dem Automatisierungssystem heraus erfolgen (Visu o.ä).

Aber kein Grund in Panik zu geraten (War ja nur ein Gedankenspiel)

Gruß

Eleu

[Eleu]

Wenn eine Kiste wirklich mehr kann, dann ist es i.d.R. ein Router. Ausnahmen bestätigen die Regel. Aber bitte mal konkrete Beispiele posten.

Also ich hätte mal ein Beispiel

Es gibt von Siemens z.B. SCALANCE X414-3E.

Mit modularer Aufbauweise für Industrial Ethernet im Verbund mit z.B.

Speicher Programmierbaren Steuerungen

Man kann Funktionen wie z.B. SNMP, Rapid

Spanning Tree, VLAN, Routing oder E-Mail nutzen.

Siemens - Industry Automation and Drive Technologies - Service& Support - Automation Service, Automation Support, Simatic Service, Simatic Support, Technical Support, Technical Consulting

Auszug aus der Doku:

Den SCALANCE X414-3E können Sie auch als Router konfigurieren. Damit ist es möglich,

verschiedene IP-Subnetze miteinander zu verbinden. Sie können statische Routen eintragen

und/oder Router-Protokolle RIP/OSPF und VRRP aktivieren. Über diese standardisierten

Protokolle kann SCALANCE X414-3E mit anderen Routern im Netz die Konfiguration

abgleichen.

Frage: Ist das Ding ein Router oder ein Layer 3 Switch ?

Gruß

Eleu

[DocInfra]

Is ein Switch. Aber was ich eigentlich wollte waren eher Beispiele für Switches die mehr als bisschen Etheret können, also z.B. SONET, ATM usw.

[hades]

Fuer den bereits genannten Nortel Baystack 450 gibt/gab es auch ein ATM-Modul.

Dann gibt es auch noch die Nortel Passport/ERS 8600 Serie, fuer den es auch entsprechende Linecards gibt.

Der Switch Cisco Catalyst 6500 hat dasselbe Chassis und dieselben Linecards wie die Cisco-Router aus der 7600 Serie und damit gibt es dann auch beim 6500er SONET-Interfaces.

Hier ist nur das Betriebssystem (IOS) anders.

Bearbeitet 10. März 2009 von hades