Switch mit Port-Shutdown per MAC

[eehm]

Hallo,

ich habe mir zum testen einen Zyxel GS1900 (8-Port) Switch gekauft, weil es der günstigste war der 802.1Q und 802.1x beherrscht.
Aktuell arbeite ich mich hier in VLANs ein und spiele mit einem Radius Server in Kombination mit einer OPNsense.
Der Switch besitz sogar eine Funktionalität, dass er einen Port Shutdown durchführt, wenn eine unbekannte MAC-Adresse kontaktiert wird.
Zu öffnen ist der Port dann nur von innen durch die GUI.
Finde die Funktion echt Klasse. Hier ist die Funktion beschrieben: https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=016213&lang=EN

Da ich auch das TP-Link Omada System (zentraler Kontroller als VM möglich) sehr interessant finde habe ich hier in den Handbüchern gesucht, aber leider keine solche Funktion gefunden.
Hat TP-Link dies z.B nicht oder suche ich unter dem falschen Begriff?
Und kennt ihr noch andere Hersteller (bis ins mittlere Preissegment) die dieses Feature unterstützen?

 

[madmax2010]

kannst dich auch via SSH einloggen. Einstellungen via SSH kannst du jedoch nur ab der 2000er Serie setzen

 

[Raijin]

Das Feature nennt sich Port Security.

 

[eehm]

Ja, aber darunter werden oft viele Features verstanden wie mir scheint.
Mir geht es rein um die Funktion mit dem echten Shutdown.
Bei TP-Link finde ich das nicht im Handbuch.
Vielleicht kann auch wer aus Erfahrung die Funktion bei TP-Link bestätigen?

 

[emulbetsup]

Und kennt ihr noch andere Hersteller (bis ins mittlere Preissegment) die dieses Feature unterstützen?

Was ist für dich ein mittleres Preissegment?

Ansonsten:
Cisco kann das auch in deren mittlerem Preissegment (C2960L), was aber nicht deckungsgleich mit deinem sein muss. Aruba auch entsprechend. Ansonsten sind vielleicht noch die Edge-Switche von Ubiquiti interessant.

 

[eehm]

Was ist für dich ein mittleres Preissegment?

Wahrscheinlich muss ich mich jetzt geich wegducken.
Aber ich würde sagen

• 24 Port: ca. 400 Euro (1 Gbit); 600 Euro (1 Gbit + 2-4x SFP+ 10GB/s)
• 48 Port: ca. 600 Euro (1 Gbit); 800 Euro (1 Gbit + 2-4x SFP+ 10GB/s)

 

[norKoeri]

Selbst wenn es der TP-Link Switch könnte, deren Controller-Software ist bisher nur eine Abstraktion, die nicht alle Funktionen bereitstellt. Wenn ich mir den Emulator des Hardware-Controller OC200 mit dem aktuellen SDN-Controller 5.x anschaue, dann sehe ich keinen Port-Shutdown. Oder TP-Link macht das dann automatisch?

Vielleicht kommt noch jemand mit einem Omada SDN-Controller vorbei. Bis dahin befürchte ich, dass das eine Frage für ein Web-Forum ist, dass auf den Omada SDN-Controller spezialisiert ist. Kennt jemand was Gutes außer dem TP-Link eigenen? Vielleicht Administrator Technology?

kennt ihr noch andere Hersteller (bis ins mittlere Preissegment) die dieses Feature unterstützen?

Mit der Zyxel GS1900-Serie bist Du schon im unteren Segment. Allerdings wüsste ich bei Zyxel bisher nur von einem Cloud-basierten Controller. Du möchtest ja auch einen Controller über alle Geräte, richtig? Und der soll nicht Cloud sondern lokal sein, richtig?

802.1X

Wenn Du damit arbeitest, brauchst Du einen Port-Shutdown nicht. Oder stehe ich gerade irgendwie auf dem Schlauch. Nachtrag: Zyxel bietet bei vielen Switchen 802.1X lediglich für die Anmeldung an der Web-Oberfläche; Port-basierte Zugangskontrolle geht bei Zyxel erst ab der GS1920 und höher. Allerdings willst Du auch noch dynamische Zugangskontrolle …

 

[eehm]

Mit der Zyxel GS1900-Serie bist Du schon im unteren Segment.

Ja, das war wirklich der billigste der 802.1Q und 802.1x kann. Ist auch nur ein 8 Port für mich zum Testen und Lernen.

Du möchtest ja auch einen Controller über alle Geräte, richtig?

Ja, der OC200 hätte mir schon gefallen, weil man ihn auf einer VM laufen lassen kann und alles auf den Geräten eingerichtet wird. Heißt ein Ausfall der VM ist kein Thema und keine Redundanz nötig!

Und der soll nicht Cloud sondern lokal sein, richtig?

Ja auf keinen Fall Cloud. Hoffe das mit der Cloud setzt sich nicht irgendwann flächendeckend durch ....!

Wenn Du damit arbeitest, brauchst Du einen Port-Shutdown nicht. Oder stehe ich gerade irgendwie auf dem Schlauch.

Stimmt, aber für den Anfang ist der Port Shutdown schon einfacher.
Aber ich mache auch mit meinem Test-Radiusserver auf meiner OPNsense VM schon Fortschritte.
Recht hattet ihr aber schon. Ich habe bestimmt schon 20-30 Stunden ins Einarbeiten investiert, aber es macht mir sogar Spaß!

 

[emulbetsup]

Wahrscheinlich muss ich mich jetzt geich wegducken.
Aber ich würde sagen

• 24 Port: ca. 400 Euro (1 Gbit); 600 Euro (1 Gbit + 2-4x SFP+ 10GB/s)
• 48 Port: ca. 600 Euro (1 Gbit); 800 Euro (1 Gbit + 2-4x SFP+ 10GB/s)

Der Markt ist im Moment leider echt kaputt und SFP+ lassen sich die meisten Hersteller vergolden. Wenn der ES-48-500W mal wieder lieferbar wäre, dann wäre er in dem Preisbereich und würde Port-Security unterstützen. Mit SFP gibt es ein paar mehr Alternativen.

Gebraucht könnten noch Cisco C2960X, C3560X, C3750X usw. in Frage kommen oder vielleicht auch HP Aruba 2530 oder Aruba 2540, aber die haben in der Regel lediglich SFP oder sind nach wie vor teuer.

Müsste ich jetzt aktuell ein solches Gerät anschaffen, würde ich bei begrenztem Budget wahrscheinlich eher noch bei FS.com durchgucken. Da dann aber in jedem Fall vorher den CLI-Guide durchsehen, ob die Features die man den möchte tatsächlich von dem Modell unterstützt werden.

 

[eehm]

Der Markt ist im Moment leider echt kaputt und SFP+ lassen sich die meisten Hersteller vergolden.

Ist das noch wegen Corona oder ist der Markt generell kaputt?
Und danke für deine Tipps, das werde ich mir mal genauer ansehen.
Bei Ubiquiti habe ich aber Cloud Zwang oder?

Müsste ich jetzt aktuell ein solches Gerät anschaffen, würde ich bei begrenztem Budget wahrscheinlich eher noch bei FS.com durchgucken.

Wenn es am Ende sein muss, dann gebe ich halt mehr aus. Aber ich finde das schon nicht wenig Geld für ein Switch in einem EFH.

 

[emulbetsup]

Ist das noch wegen Corona oder ist der Markt generell kaputt?

Keine Ahnung was genau das Problem ist, aber zwei Beispiele:

Wie haben Ende 2020 einige C2960CX und C3560CX gekauft. Damals war der Preis je nach Modell bei etwa 400 bis 500 EUR netto. Letzte Preisabfrage ergab Preise von 1200 EUR bis fast 2000 EUR netto je nach Modell.

Wir haben Anfang letzten Jahres sechs Cisco Nexus 9300 für's Data-Center bestellt. Liefertermin war damals für den September angekündigt. Wir warten aber immer noch.

Bei Ubiquiti habe ich aber Cloud Zwang oder?

Nein, nur bei den UniFi-Geräten. Die Edge-Switche sind ganz gewöhnliche Stand-Alone Geräte mit einer Cisco-ähnlichen CLI.

Wenn es am Ende sein muss, dann gebe ich halt mehr aus. Aber ich finde das schon nicht wenig Geld für ein Switch in einem EFH.

Ok, mir war irgendwie nicht klar, dass du ganz konkret für dich privat suchst und den Switch dann wahrscheinlich 24/7 mit deinen Strom betreiben willst. Hatte die Diskussion so verstanden, dass du das Feature echt gut findest und dann so wissen wolltest, wer das noch so kann.

Dann würde ich mir genau überlegen, ob du wirklich SFP+ brauchst und einen Schwerpunkt auf den Stromverbrauch legen. Ein C3560G mit 48 Ports nuckelt bspw. schon ohne Last um die 60 Watt aus der Steckdose.

Die Lautstärke von so großen Switchen ist auch nicht zu verachten. Wie kannst du den Switch unterbringen? Ist PoE ein Thema für dich? Bei PoE und großer Portzahl brauchen die Dinger auch einiges an Einbautiefe.

 

[eehm]

Dann würde ich mir genau überlegen, ob du wirklich SFP+ brauchst und einen Schwerpunkt auf den Stromverbrauch legen. Ein C3560G mit 48 Ports nuckelt bspw. schon ohne Last um die 60 Watt aus der Steckdose.

OK, danke für den Hinweis. Das hört sich erst nicht wild an, aber das sind etliche kWh im Monat ...
Werde ich mehr die Datenblätter ansehen.
Wobei ich denke es wird schwierig, wenn POE ins Spiel kommt, weil das ja dann immer so eine Sache ist mit der Leistungsangabe.
SFP+ brauche ich nicht wirklich. Wäre ggf. gut gewesen um z.B. den ESXi-Server (inkl. Storage) mit 10Gbit anzubinden.

Die Lautstärke von so großen Switchen ist auch nicht zu verachten. Wie kannst du den Switch unterbringen? Ist PoE ein Thema für dich? Bei PoE und großer Portzahl brauchen die Dinger auch einiges an Einbautiefe.

Lautstärke und Platz ist egal.
Kommt in den Keller da habe ich zwei Technikräume und dann in alles in einen Serverschrank.
Den muss ich zwar noch kaufen, aber da werde ich dann einen mindestens 80 cm tiefen nehmen.
Also bleibt wirklich nur der Strom, aber vielen Dank für den Hinweis. Da hätte ich beim Switch nicht drauf geschaut!

 

[emulbetsup]

Ja, das kann man schnell mal übersehen. Vor einiger Zeit habe ich einen Switch mit 24 Ports managed mit PoE gesucht. Habe dann mal auf der Arbeit ein paar Switche und deren Leistungsaufnahme im Leerlauf genauer angesehen:

Cisco WS-C3560G-24PS-S
54,0 Watt

Cisco WS-C3560G-48PS-S
75,8 Watt

Cisco WS-C2960CX-8PC-L
19,8 Watt

Ubiquiti UniFi US-8-150W
12,5 Watt

Ubiquiti US-24-250W
23,6 Watt

Ubiquiti US-16-150W
15,9 Watt

HP Aruba 2530-8G-PoE+ (J9774A)
12,0 Watt

Die aktuelleren großen Ciscos wie die C2960X, C3560X oder C3750X habe ich mir damals nicht angesehen.

Habe mich dann für einen gebrauchten Ubiquiti ES-24-500W entschieden, den ich für einen schmalen Taler über eBay bekommen konnte. Die EdgeSwitche unterscheiden sich imho nur in Lackierung und Firmware von den UniFi-Geräten, sollten also eine vergleichbare Leistungsaufnahme haben.

 

[norKoeri]

bleibt wirklich nur der Strom, aber vielen Dank für den Hinweis. Da hätte ich beim Switch nicht drauf geschaut!

Bei einem konfigurierbaren Switch musst Du leider immer den Strom-Verbrauch messen, mit so einem Stecker-Messgerät für 10 €, wenn er selbst seine Watt nicht anzeigt. Viele solcher Switche kommen nämlich mit schlechten Voreinstellungen ab Werk und befeuern zum Beispiel alle Ethernet-Ports dauerhaft. Hatte ich auch bei einem meiner Switche. Ab Werk irgendwas über 30 Watt. Nach umstellen einer (!) Option dann 12 Watt, dann noch zwei Optionen → unter 10 Watt; ohne Komfortverlust.

der OC200 hätte mir schon gefallen, weil man ihn auf einer VM laufen lassen kann und alles auf den Geräten eingerichtet wird. Heißt ein Ausfall der VM ist kein Thema und keine Redundanz nötig!

Nur damit kein Missverständnis entstand: Ich meinte, dass Du eine Konfigurationsoberfläche haben möchtest, die alles steuert, also nicht nur WLAN-Access-Point sondern auch Switch (und vielleicht sogar den Router). Das ist eine Marktlücke, die UniFi bedient. Und TP-link so langsam ebenfalls besetzen möchte.

Die anderen Hersteller kommen so langsam hinter her. Leider ist der Markt wahnsinnig unübersichtlich, auch Cloud und non-Cloud; denn man müsste eigentlich jede Switch-Plattform einmal haben, um aus dem ganzen Werbe-Geschriebene heraus zu destillieren, was wirklich Sache ist. Oft kapiert nämlich die Werbe-Abteilung es selbst nicht und kann es daher auch nicht erklären.

Ein Ausweg für uns Privat-Anwender ist, alles einzeln zu konfigurieren, also Router, Switch und jeden einzelnen WLAN-Access-Point. Das geht. Und man kann wegen offener Standards bzw. unabhängigen Konzepten sogar auch Hersteller mischen. Daher mein Tipp: Wenn Du mit der Zyxel GS1900-Serie zufrieden bist – günstig ist nicht Schlechtes – dann bleib bei der und lass diesen Ansatz eine-Oberfläche-für-alles links liegen.

Radius […] OPNsense […] Recht hattet ihr aber schon. Ich habe bestimmt schon 20-30 Stunden ins Einarbeiten investiert, aber es macht mir sogar Spaß!

Klingt doch gut und freut mich. Wäre natürlich schöner, wenn es nicht soviel Aufwand wäre. Aber vielleicht erkennt irgendein Hersteller diese Lücke irgendwann.

 

[eehm]

Ja, das kann man schnell mal übersehen. Vor einiger Zeit habe ich einen Switch mit 24 Ports managed mit PoE gesucht. Habe dann mal auf der Arbeit ein paar Switche und deren Leistungsaufnahme im Leerlauf genauer angesehen:

Danke für die Daten.
Ist ja echt ein riesiger Unterscheid zwischen den Geräten.

Macht es ggf. vielleicht vom Stromverbrauch her Sinn auf einen Switch ohne POE zu setzen und dann Injektoren zu benutzen?
Aktuell bräuchte ich nur 5 POE-Anschlüsse. Davon wären nur zwei essenziell, weil ich da wirklich keine 230V zur Verfügung habe.
Überall anders könnte ich die Accesspoints auch an eine Steckdose anschließen.
Dachte POE wäre für die Zukunft halt sinnvoll, weil man auch bei einem kleinen "dummen" Switch eine POE-Version nehmen könnte und ein Netzteil weniger hätte.

Klingt doch gut und freut mich. Wäre natürlich schöner, wenn es nicht soviel Aufwand wäre. Aber vielleicht erkennt irgendein Hersteller diese Lücke irgendwann.

Naja, ich glaube da bin auch ich schuld.
Ich fing wirklich bei fast 0 an und muss halt bei vielen Dingen viel Lesen bis ich es wirklich verstanden habe. Aber es wird schon!