ComputerBase Menü
Aktuelles

Kleines Firmennetzwerk

Wenn man jetzt einen Layer-2 Switch verwendet und VLANs hinterlegt, wird doch noch ein Router am Ende benötigt und bei einem Layer-3 Switch wäre das doch (wenn ich mich nicht irre) überflüssig, oder hab ich an dem Tipp mit dem Layer-2 Switch was falsch (oder zu viel) hinein interpretiert?

Gruß, Domi
 
Jein. Ein Layer3-Switch mit Inter-VLAN-Routing kann direkt von Port x in VLAN 10 zu Port y in VLAN 20 switchen, ohne den Traffic von VLAN 10 an einen übergeordneten Router durchzureichen, der das dann wiederum in VLAN 20 wieder zum Switch zurück routet. Der Vorteil liegt darin, dass das Routing über einen separaten Router natürlich durch den Uplink limitiert ist. Sprechen 5 Ports in VLAN 10 mit 5 Ports in VLAN 20, teilen sich diese 5 Verbindungen den Uplink zum Router, zB 1 Gbit/s. Der Layer3-Switch kann dies jedoch intern direkt regeln mit entsprechend höherer Performance, weil es keinen geteilten Uplink gibt.

Überflüssig wird ein Router dadurch aber nicht. Ein Layer3-Switch routet zwischen VLANs, macht aber zB kein NAT oder dergleichen. Mag sein, dass es Modelle gibt, die auch das können, aber in der Regel geht's eben darum, VLANs direkt im Switch zu routen, ohne sie quer durch die Weltgeschichte zu einem separaten Router zu schicken.
 
  • Gefällt mir
Reaktionen: supastar
Raijin schrieb:
Überflüssig wird ein Router dadurch aber nicht. Ein Layer3-Switch routet zwischen VLANs, macht aber zB kein NAT oder dergleichen.
Zum Vergrößern anklicken....
Ähm... ich denke mal, meine Aussage war da etwas falsch. Der Router wird natürlich für das Internet (z.B. DSL Anschluss) verwendet. Ich wollte also nicht ausschließen, dass man gar keinen Router braucht.

Der Layer-3 Switch macht nur den separaten Router für die VLANs überflüssig, während bei einem Layer-2 Switch ein separater Router (oder der bereits vorhandene Router) die VLANs routen kann / muss. Ich selbst habe einen US-16-150W bei mir zuhause verbaut, zum Routen der VLANs wird der USG benötigt weil der Switch (glaube ich) nur Layer-2 kann. Glaube aber der ES-16-150W wäre ein richtiger Layer-3 Switch, will mich da aber nicht zu weit aus dem Fenster hängen.

Ich wüsste jetzt nicht, auf was ich bei Geizhals achten müsste um echte Layer-3 Switch zu finden. Aber schon mal Danke für die Aufklärung. Vielleicht kaufe ich mir irgendwann für Zuhause mal einen richtigen Layer-3 Switch... ist schon zu viele Jahre her (Ausbildung) das ich damit mal etwas gemacht habe.
 
Domi83 schrieb:
Ich wüsste jetzt nicht, auf was ich bei Geizhals achten müsste um echte Layer-3 Switch zu finden. Aber schon mal Danke für die Aufklärung. Vielleicht kaufe ich mir irgendwann für Zuhause mal einen richtigen Layer-3 Switch...
Zum Vergrößern anklicken....

Zu Hause braucht sowas auch kaum jemand wirklich, das macht man dann eher aus Spielerei.
Und wenn ich sehe, wie viele Fehler bei Geizhals drin sind, will ich auch gar nicht, dass man nach sowas bei Switches suchen kann, das wäre in der Regel eh falsch.
Dazu müssten sich die, die die Artikel anlegen und zuordnen, näher mit Netzwerktechnik befassen.
Ich vermute, manche 2-Mann IT-Buden würden das nicht hinbekommen...
 
  • Gefällt mir
Reaktionen: Raijin
Klar, einen Router extra für die VLANs bzw. auch einfach nur für mehrere LANs kann man sich damit sparen.

So richtig zum Tragen kommt das alles aber erst mit wachsender Infrastruktur. In einem überschaubaren Netzwerk mit einer Ebene und zB 10 Workstations oder so wird der Uplink zu einem Router jetzt nicht permanent voll ausgelastet sein. => In kleinen Firmen und gerade in Heimnetzwerken wirkt sich das nur in Ausnahmesituationen aus. Am Ende wäre sowieso zB die Anbindung vom Server bzw. NAS limitierend, weil das in diesem Bereich meist nur 1x 1Gbit/s kann.

Denkt man nun aber an eine Infrastruktur mit mehreren Ebenen und zB 2-3 Switches "in Reihe", dann sieht das schon ganz anders aus, weil die Uplinks dann ganze Switches mit all ihren Clients handhaben müssen. Die Uplinks werden dann natürlich auch gern mit 10 Gbit/s ausgeführt oder wenigstens mit Link Aggregation, o.ä. aber das Prinzip der belasteten Uplinks bleibt und auch 10 Gbit/s sind schnell voll, wenn darunter mehrere vollbesetzte Switches hängen. In solchen Szenarien wird es natürlich deutlicher, wenn der Traffic den Switch im Idealfall gar nicht erst verlassen muss und lokal geroutet werden kann.

Bei der Auswahl des Switches sollte man stets einen Blick ins Datenblatt werfen. Früher war "managed" relativ eindeutig, weil es eben nur die Profi-Switches mit Management gab und dann die dummen, reinen Layer2-Switches. Die Smart oder auch Web Managed Switches sind Hybride, Layer2-Switches mit vereinzelten Management-Funktionen, vorwiegend VLANs, LAG und vielleicht ein bischen QoS. Weder Managed noch Smart Managed oder Web Managed sind aber in irgendeiner Form standardisiert. Um auf der sicheren Seite zu sein, sollte man daher das Datenblatt nach den benötigten Funktionen durchstöbern. Grundsätzlich sind aber Layer3-Switches deutlich teurer als ihre smarten Layer2-Pendants. Schon allein aus dem Grunde würde ich mir daheim so ein Teil nicht ohne Not hinstellen. Der Performancegewinn wirkt sich im Heimnetzwerk aus oben genannten Gründen kaum bis gar nicht aus - wenn das NAS nur 1 Gbit/s kann, ist es egal ob es von 3 PCs direkt angesteuert wird oder von 3 PCs über einen geteilten Uplink......

Hinzu kommt, dass man einen solchen Switch auch "kaputtkonfigurieren kann". Nicht kaputt im Sinne von Rauchschwaden, sondern im Sinne von "Huch? Netzwerk is tot".
 
  • Gefällt mir
Reaktionen: supastar
supastar schrieb:
Zu Hause braucht sowas auch kaum jemand wirklich, das macht man dann eher aus Spielerei.
Zum Vergrößern anklicken....
Was anderes wäre es bei mir auch gar nicht. Meine Basis besteht aus folgenden Komponenten,
- Draytek Vigor 130
- Ubiquiti USG
- Ubiquiti US-16-150W
- Ubiquiti US-8-150W

daher wäre ein vollwertiger Layer-3 Switch bei mir wirklich nur ein "nice-to-have" um sich damit mal wieder zu befassen. Habe in der Berufsschule während der Ausbildung nur einmal mit einem Layer-3 Switch von Cisco Kontakt gehabt, dass war es dann aber auch schon.

Aber gut, ich will mich nicht weiter einmischen, wird sonst zu sehr Off-Topic das ganze, hab auf jeden Fall einige Informationen bekommen und bedanke mich schon mal.

Nachtrag: Ach ja, dass mit dem "Full-Managed" bei den Geräten kenne ich auch noch. Heutzutage sind diverse Geräte Managed und bieten gerade mal einen Teil der Features wie sie Layer-3 Geräte können.
 
eigs schrieb:
Wie soll ein übernommener Switch sicherer sein als ein unmanaged Switch?
Zum Vergrößern anklicken....

:rolleyes:
Der Switch muss ja erst mal übernommen werden und die gesamte Netzwerksicherheit ist bei richtiger Konfiguration aller Netzwerkgeräte eben höher als ohne die Konfigurationen.

Durch VLANs kann ich eben auch dafür sorgen, dass nicht jeder auf alles zugreifen darf, was eben die interne Sicherheit schon mal erhöhen kann.

Und bei nem echten Managed Switch braucht man dazu ja eh erstmal Zugriff auf das Netzwerk, somit sind diese per se natürlich sicherer als Smart-Managed-Switches, auf die man von überall aus über eine Weboberfläche kommen kann.

Aber ja, wenn man wenig Ahnung hat, sollte man natürlich auf alles verzichten, was man nicht versteht, dass bringt ansonsten natürlich mehr Angriffsfläche ins Netzwerk.

Deshalb empfiehlt hier ja auch niemand ernsthaft einen L3-Switch oder professionelle Router.
Das sind dann eher Sachen für Vollzeitadmins oder besser IT-Abteilungen.
 
Zuletzt bearbeitet:
supastar schrieb:
die gesamte Netzwerksicherheit ist bei richtiger Konfiguration aller Netzwerkgeräte eben höher als ohne die Konfigurationen.
Zum Vergrößern anklicken....
Und bei entsprechend falscher Konfiguration ist die gesamte Netzwerksicherheit niedriger als ohne dieser Konfigurationsmöglichkeit.
supastar schrieb:
Und bei nem echten Managed Switch braucht man dazu ja eh erstmal Zugriff auf das Netzwerk
Zum Vergrößern anklicken....
Wenn der Admin nicht kompetent genug ist bekommt der Angreifer diesen Zugriff. Zum Beispiel waren 100.000 MikroTik RouterBoard über eine öffentliche IP Adresse erreichbar. Es gibt immer wieder jemand der Geräten öffentliche IP Adressen zuweist oder Portweiterleitungen einrichtet für Sachen die im Internet nichts zu suchen haben.
supastar schrieb:
Aber ja, wenn man wenig Ahnung hat, sollte man natürlich auf alles verzichten, was man nicht versteht, dass bringt ansonsten natürlich mehr Angriffsfläche ins Netzwerk.
Zum Vergrößern anklicken....
Genau auf das wollte ich hinaus. ;)
 
Guys, ein Frage noch. Würdet ihr allen Teilnehmern im Netz eine statische IP geben oder nur dem Server.
 
IPs werden vom DHCP Server verteilt, dort habe ich allerdings statische Zuweisungen anhand der MAC vorgenommen. Einfache zentrale Verwaltung und irgend welche Gründe gibt es bestimmt noch :)
 
Geräten der Infrastruktur gebe ich stets statische IP-Adressen. Reservierte IPs im DHCP bleiben dynamisch und sind per Definition nicht statisch. D.h. sobald es Probleme mit dem DHCP gibt - sei es lokal am Gerät oder gar netzwerkweit (zB durch Probleme am DHCP-Server selbst), hat man keine Ahnung mehr wie man Switches, APs und ggfs weitere Router erreichen kann.

Tauscht man den DHCP aus (in der Regel durch Tausch des kompletten Internet-Routers), dann müsste man zudem alle Reservierungen neu anlegen. In meinem Fall (statische IP für Server, Switch und Co) passe ich lediglich mit wenigen Klicks die IP des getauschten Routers an (=selbes Subnetz wie vorher) und stelle die DHCP-Range ein. Das Prozedere dauert ca. 7,43 Sekunden, während die Neureservierung aller reservierten DHCP-Geräte mit wachsender Anzahl regelrecht in Arbeit ausarten kann.

Aus diesen Gründen vergebe ich all diesen Geräten feste IP-Adressen und verwende den DHCP nur für Geräte bei denen die IP auf gut deutsch gesagt sch***egal ist.

Letzten Endes ist das aber Geschmackssache. Wenn man den Router über Jahre behält, nie Probleme mit DHCP hat und eh nur 2-3 "feste" DHCP-Geräte hat, ist der Aufwand überschaubar.

Der wichtigste Grundsatz ist die saubere Dokumentation. Wenn man nach dem Routertausch zB dem Drucker aus Versehen/Vergesslichkeit die .240 reserviert, er aber vorher die .250 hatte, kann niemand mehr drucken.... Also immer eine Liste mit IPs führen - unabhängig davon welche Philosophie man bei "festen" IPs verfolgt.
 
Dokumentation ist in jedem Fall alles, das gilt natürlich nicht nur IP-Adressen, sondern auch für Zugangsdaten (und vorher erwähnt VLANs oder herkömmliches Subnetting, ...), evtl. besondere Freigaben, ...
 
Dem stimme ich zu, eine Dokumentation ist in jedem Fall sinnvoll... Zu meiner Aussage muss ich aber auch ergänzend sagen, Server (.1, aufsteigend bis X) und Router (.254, absteigend bis X) haben statische Adressen.

Bei uns in der Firma sind Arbeitsplatz Durchwahl sogar mit IP des Clients identisch. Sprich, wenn Mitarbeiter X die Durchwahl 21 hat, hat der Client auch den Namen "client21" und die IP 21 am Ende. Wenn man es noch genauer haben will... 10.20.0.0/24 sind meine Adressbereiche, das zweite Oktett (die 20) wäre ein Teil der PLZ vom Standort des Netzwerkes.

Das dritte Oktett kann man auch noch als Teil der PLZ verwenden, oder man nummeriert einfach hoch :) Die Clients bei mir im Büro bekommen aber ihre IP Adresse vom DHCP Server mittels statischer Zuweisung über die MAC Adresse... mehr fällt mir so spontan nicht ein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
  • Gesperrt
Mit privatem VPN in das Firmennetzwerk (beim Home Office) möglich?
Antworten
17
Aufrufe
1.131
Zensai
Zensai
A
Firmennetzwerk: WLAN weiterleiten
2
Antworten
26
Aufrufe
2.191
eigs
eigs
S
PPTP/Firmennetzwerk
Antworten
13
Aufrufe
854
Sotrich
S
B
nanoHD Access Point und E-Auto Ladestation vom Firmennetzwerk abschotten
Antworten
4
Aufrufe
1.575
co-pilot
co-pilot
C
Kleines Firmennetzwerk - Ergänzung und Schnittstelle Mac / Windows
Antworten
7
Aufrufe
2.132
corbu
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz