ComputerBase Menü
Aktuelles

Switche für (verteiltes) Vlan?

I

INe5xIlium

Lieutenant
Registriert
Aug. 2010
Beiträge
655
Hallo,
da ich mir bald einen Vlan fähigen Router kaufen werde (wahrscheinlich den bintec RS123, der hoffentlich dann auch in der Praxis >500Mbit/s durch das Nat bekommt auch wenn das VPN leider recht langsam zu sein scheint),
würde ich gerne die Vlan Funktion nutzen, um IOT, normale PCs und Wlan-Gäste zu trennen.

Einfaches Problem
Portx->Switch für zuverlässige Geräte
Porty->Switch port 1-4 Gast/4-8 IOT

Wunschproblem
Portx-> Switch im Raum1
Porty-> Switch im Raum2
Dabei sollen dann alle Vlans in beiden Räumen verfügbar sein.
So ähnlich, wie hier beschrieben: https://networkengineering.stackexc...g-using-two-layer-3-switches-in-packet-tracer

Das einfache Problem lässt sich wahrscheinlich lösen, wenn ich einen beliebigen Switch mit Vlan-Tagging nehme und in der Konfig des Switches die Vlans den Ports zuordne. Es wird wahrscheinlich kein Problem sein da 1Gbit an Durchsatz zu bekommen.

Aber was benötige ich beim Wunschproblem? Damit ich von Vlan1 im Raum1 zum Vlan2 in Raum2 kommen kann, bräuchte ich auf alle Fälle Layer3 Switche (ich nehme an, dass es da nichts für weniger als 120€ gibt?). Könnte man es lösen, indem man einfach mehrere Vlans macht und Vlan1 im Raum1 mit Vlan2 im Raum2 über den Router verbindet? Edit: Dieses Problem ist eindeutig gelöst, da man ein Vlan macht und die verbundenen Switche nach der Aussage von KillerCow als Bridge pro Vlan funktionieren, so dass es wie ein normales Netzwerk + Vlan funktioniert.

Höchstens bleibt noch das Problem welchen Switch ich nehme, weil es scheinbar auch schlechte gibt, die (wie auch immer es funktionieren soll) nicht zwischen den Vlans trennen. Außerdem muss ich mir überlegen, wie ich aus dem internen Netzwerk am besten doch auf nicht so sichere Festplatten, die zum Fernseher gehören am besten zugreife. Momentan denke ich an VPN für Windowsfreigaben oder etwas wie SSH, was dann über die IP laufen könnte, ohne im gleichen Netz sein zu müssen.

Ich werde wohl versuchen mit OpenSSH einen Server auf dem unsicheren Windows zu öffnen und habe hoffentlich die Möglichkeit dem BintecRouter zu sagen, dass man darauf nur aus den internen Vlan zugreifen kann.
 
Zuletzt bearbeitet:
Eventuell verstehe ich dein "Problem" nicht richtig. Wenn es nur darum geht, mehrere VLANs über zwei Switche zu transportieren, dann verbinde beide Switche und konfiguriere die Verbindung als Trunk bzw. tagged Port und erlaube auf dieser Verbindung alle gewünschten VLANs.

Die einzelnen Ports zu den "Zielen" konfigurierst du dann entweder als access port (untagged) für jeweils ein VLAN oder wieder als trunk (tagged). Je nachdem, was für ein Gerät dran hängt.

Den Layer3 Switch (also einen router) brauchst du erst dann, wenn du aus einem IP Netz in ein anderes möchtest, was mit VLANs erstmal nichts zu tun hat ;)

VLAN = Layer 2 (da gibts kein IP)
Routing = Layer 3 (ab hier gibts IP)
 
Du hast es richtig verstanden und mir damit gesagt, dass ich absolut JEDEN Switch, der Vlan kann, nehmen kann und es auch fast beliebig verkabeln kann. Ich muss nur zwischen den Netzwerkgeräten die Verbindung als Trunk/tagged definieren, damit der Vlan-Tag nicht entfernt wird (wäre auch nützlich, wenn ich ein Vlan Wlan anschließe). Die Funktion des Layer2 Switches als Bridge auch bei Vlan hatte ich nicht beachtet. Ohne Vlan müsste man den Unterschied zwischen den Ports und Trunks weniger beachten.

Du schlägst vor
Router -> Switch1->Switch2
Man müsste dem Router auch sagen können, dass er den Vlan-Tag auf 2 Trunks ausgeben soll, so dass man auch
Router->Switch1
Router->Switch2
als Netzstruktur nehmen könnte, falls das besser zu verkabeln ist, oder?


Edit: Bei Geizhals kann man die Vlan-Fähigkeit nicht einfach selektieren. Suchen muss man nach Smart Switches, oder?
Ich sehe auch, dass teilweise eine Zahl zu den Mac-Adressen steht. Der hier hat 4k
TP-Link TL-SG10 Desktop Easy Smart Switch
Zur Vlan-Fähigkeit stand erst im Datenblatt etwas. Vielleicht ist das ein schlechter Start gewesen, die Bewertungen bei Amazon deuten darauf hin, dass das Vlan nicht funktioniert: https://www.amazon.de/gp/customer-r...f=cm_cr_arp_d_rvw_ttl?ie=UTF8&ASIN=B00JKB63D8
Wobei ich mich frage, wie dieser Fehler genau funktionieren soll.

Wahrscheinlich nehme ich dann den Netgear ProSAFE Plus GS100 Desktop Gigabit Smart Switch, 8x RJ-45, PoE
https://geizhals.de/netgear-prosafe...t-switch-gs108pe-a606916.html?hloc=at&hloc=de
Die Backplane scheint dort so stark zu sein, dass es unmöglich ist, dass es zu einem Engpass kommt, der hat auchnoch PoE und ist gut bewertet.
Es ist erstaunlich, wie schnell es dann teurer wird. PoE+ und Link Aggregation und man liegt schon bei 200€ Netgear ProSAFE GS500 Desktop Gigabit Smart Switch, 8x RJ-45, 2x SFP, 75W PoE+

Edit2: Wenn jetzt der Fernseher/FernsehPC eine Festplatte hat, wäre es eigentlich schön, wenn ich darauf vom sicheren Netz zugreifen könnte. Ohne dem Fernseher Zugriff auf das gesamte sichere Netz zu geben müsste man das mit einer Art VPN erledigen oder besser mit einem OpenSSH-Server, wobei man über die Firewall SSH nur aus den anderen Vlans zulässt.
 
Zuletzt bearbeitet:
Vergiss die Amazon-Bewertungen. Eingekaufte Bewertungen, zusammen gemischte Bewertungen von div. Produkten einer Produktgruppe, etc.

Backplane ist sehr wohl möglich auszulasten. Du hast 8 Ports, jeder mit 1 GBit und man betreibt idR heutzutage ja Duplex-Mode, sprich 1 GBit pro Richtung. Sind alle 8 Ports belegt und haben volle Auslastung dann ist auch die Backplane am Limit.

Layer2/3: Layer3 brauchst du nur wenn der Switch auch Routing betreiben soll, ansonsten routet eben der vlan-fähige Router zwischen den Netzen.

VLAN allgemein: Ja du kannst verschiedene Hersteller mischen aber es verkompliziert die Konfiguration und die Fehlersuche. Alles von einem Hersteller ist einfacher zu managen.

Dein Edit2 ist bisschen schwurbelig geschrieben: Ich lese daraus folgendes: Dein Fernseher bzw der PC am Fernseher hat ne Festplatte und diese ist als Netzlaufwerk verfügbar. Fernseher bzw der TV hängt im vlan_iot und du willst aus dem vlan_secure darauf zugreifen? Dann brauchst du weder ein VPN noch SSH sondern 2 Dinge:
1. Dein Router sollte alle Routing-Einträge korrekt haben, sodass theoretisch Routing zwischen den VLANs möglich ist.
2. Sofern alle VLANs per Firewall des Routers voneinander abgetrennt sind brauchst du eine Regel die von vlan_secure nach vlan_iot smb erlaubt (und aufgebaute Verbindungen bzw die Antworten auch in Gegenrichtung) erlaubt.
 
"Smart Switch" ist leider sehr schwammig definiert und jeder Hersteller kocht sein eigenes Süppchen. Normalerweise ist VLAN stets dabei, aber darüberhinaus muss man ganz genau hinschauen welche "smarten" Funktionen denn tatsächlich drinstecken.

Es ist nachvollziehbar, dass die Preisspanne bei Switches recht groß ist, weil sich eben auch der Funktionsumfang massiv unterscheidet. PoE zB ist ja nicht einfach nur ein Bit, das der Hersteller im LAN-Controller freischaltet. Da steht komplexe Elektronik dahinter, die auch entsprechend Leistung zur Verfügung stellen kann, quasi ein extra Netzteil. Reine Netzwerkfunktionen hingegen (VLAN, Link Aggregation, QoS, etc) wird meist eh vom Controller unterstützt und nur aktiviert. Daher gibt es ja Non-PoE-Smart-Switches auch schon für ~40€ anstelle der von dir genannten 200€ inkl. PoE.

Was die Größe des Switches angeht, solltest du dir genau überlegen wieviele Ports du aktuell brauchst und was in Zukunft noch dazukommen kann. Ein 8er Switch ist schneller voll als man glaubt und einen 2. Switch direkt daneben stellen, ist immer ärgerlich.

Den Zugriff zwischen den VLANs muss ein VLAN-fähiger Router regeln - entweder als waschechter Router (zB EdgeRouter-X @50€) oder aber auch ein Layer3-Switch mit Routing-Funktion. In der Firewall kann man dann genau definieren wer was wie wo Zugriff haben soll oder eben nicht. VPN zum TV scheitert daran, dass TVs zu 99,9% kein VPN können, ebensowenig wie SSH.
 
@snaxilian: Das mit der Auslastung meinte ich, dass es extrem unwahrscheinlich ist auf allen Ports 100% Sende und Empfangsleistung zu brauchen. Gerade bei billigen Produkten hatte ich eigentlich erwartet, dass dort weniger als 20% zur Verfügung stehen, deshalb war ich von der großen Leistung überrascht.
Aber schon bei diesem Switch von TP-Link scheint es so, als würde diese Leistung nur bei einer bestimmten Paketgröße erreicht https://geizhals.de/tp-link-tl-sg10...itch-tl-sg1016de-a958998.html?hloc=at&hloc=de
Backplane: 32Gb/​s, 23.8Mp/​s
Wenn die Pakete <1000Byte sind, was im Durchschnitt der Fall ist, erreicht man die 32Gb/s schon nicht mehr. Wie tief andere Firmen in diesem Wert sinken ist oft nicht angegeben (Netgear scheint sich da nicht zu äußern)

Das mit der Portanzahl ist mir auch aufgefallen. Seit 2002 bin ich mit 8 Ports am Router gut ausgekommen, spätestens wenn ich dann 2 Switche über Link Aggregation verbinde und den Router schließe, habe ich im Büro nur noch 5 Ports. Daran 2 Laptops, ein Computer (meine Hardware seit 2006), bald Telefon, ein Kabel für Besucher und ich habe gar keinen Port mehr für dLan in den Keller oder Bastelprojekte.

Bei dummen Switches habe ich sehr gute Erfahrungen mit TP-Link gemacht, mein Gigabit Router jetzt stürzt aber mehrmals am Tag ab, deshalb schwanke ich, ob ich Netgear oder TP-Link nehmen sollte. TP-Link wäre deutlich günstiger, bei NetGear denke ich zwar an Backdoors, aber ich hoffe auf stabiliere Hardware. Link Aggregation scheint dann noch hinzu zu kommen, was ich aber praktisch nicht brauche, es wird ohnehin meistens nur zwischen zwei Geräten gesendet/empfangen.

Zum TV-Problem
Der Bintec RS123 ist ein VPN Router. Ich muss zugeben, dass ich mich nicht weiter über die Funktion informiert habe, ich hatte aber angenommen, dass dies bedeutet, dass ein VPN-Server darin enthalten ist, über den man sich in ein bestimmtes Netz einwählen kann.
Die Festplatte am TV wollte ich eventuell durch einen Intel NUC/Mini PC realisieren.

Da könnte ich eine Windowsfreigabe machen. Das wäre über das Routing gelöst aber eventuell ein Sicherheitsrisiko für andere PCs, wenn da neue Schwachstellen bekannt werden.

Wenn ich die Netze soweit trenne, dass der Broadcast nicht mehr normal durchgeht, ich mich mit VPN aber temporär einwählen kann, wenn ich etwas auf dem NUC ablegen will, hätte ich ein problem mit einer richtig schlechten Datenrate über den RouterVPN.
Lokal könnte ich da natürlich auch gleich das Routing anpassen, wobei man nicht ständig in der Routerconfig sein will.

Im Moment würde ich dann möglicherweise noch immer etwas wie SSH nehmen, aber die Ports durch den Router freischalten. Dann würde zumindest das Netzwerk nicht in der Geschwindigkeit limitieren und das SSH geht nur vom Client (sicher) zum Server (auf dem Intel NUC am TV). Da könnte sich also wenig versehentlich verbreiten.


Probleme bei der Switchwahl:
Hab gerade ewig viele Router nach dem IEEE 802.1Q Standard überprüft, den viele nicht zu haben schienen. Ich sehe das Problem der Amazon Bewertungen. Von Geizhals kommt man schon auf ein leicht anderes Modell als bei Amazon dann angezeigt. Dort kommt man dann auf Bewertungen KOMPLETT anderer Produkte, als würde bei der Mercedes E Klasse der mangelnde Kofferaum vom Smart kritisiert und von jemanden, der von einem Renault spricht bestätigt. In der ersten Hektik habe ich dann im Datenblatt nur IEEE 802.1Qat gefunden und dachte schon, es wäre ein echtes Problem.

Es bleibt für mich also die Frage Netgear oder TPlink. Mit meinem TP-Link Router hatte ich wohl Pech, wobei in meiner Familie weitere Router von TP-Link schon ausgefallen sind. Von SMC hatte ich einen mit integriertem Netzteil, der von 2002 bis 2014 bis auf sehr wenige Abstürze ab 2006 praktisch ununterbrochen lief. Router mit integriertem Netzteil und Rackmontagemöglichkeit kommen mir dabei irgendwie hochwertiger vor.

Einen mit 16 Ports und einen mit 8Ports + PoE.

Netgear ProSAFE GS700 Rackmount Gigabit Smart Switch, 16x RJ-45, 2x SFP, V3 (GS716T-300)


Der hier wäre teurer, sieht aber irgendwie mehr nach Consumer-Hardware aus und ich vermisse die Mehrleistung:
Netgear ProSAFE Plus GSS100 Click Desktop Gigabit Smart Switch
Vielleicht als 8 Port den hier
Netgear ProSAFE GS500 Desktop Gigabit Smart Switch, 8x RJ-45, 2x SFP, 75W PoE+
Wobei ich nur auf die Parameter geschaut habe, bei dem Preis ist 2x 16 Ports und im Zweifelsfall ein POE Injector für Hardware, die das wirklich benötigt, wohl sinnvoller.
Eher also der hier:
Netgear ProSAFE Plus GS100 Desktop Gigabit Smart Switch, 8x RJ-45, V3 (GS108E-300)
Für die Differenz kann ich mir einen guten Accesspoint + PoE Injector kaufen und eine Kiste in der ich das verstecke.

Irgendeinen WlanAccesspoint würde ich mir noch kaufen wollen und einige brauchen PoE. Danke für die Tipps auf alle Fälle. Kann man von NetGear die Qualität erwarten, die den Aufpreis rechtfertigen? Wahrscheinlich werde ich den Tipp von snaxilian beherzigen und versuchen alle Produkte von einem
Hersteller zu nehmen.

Edit:
Wobei ich jetzt fast dazu tendiere mir statt dem Bintec RS123 einen Cisco RV345 (RV345-K9-G5) zu kaufen

Das ist günstiger als einen Bintec RS123 + großem Netgear Switch, ich habe PoE, besseren Nat-Durchsatz, wenn ich es richtig sehe und vor allen Dingen unter den Vlans mehr Geschwindigkeit, weil er sonst zum Routing immer über eine Leitung zum Bintec Router müsste. Da würde auch zwischen den Netgear Switches keine Link aggregation helfen. Mit dem Netgear könnte ich mit 1Gbit zum Netgear Switch senden und gleichzeitig mit 200Mbit ins Internet, vorher würde das 1Gbit die Leitung zum Router belegen.
Spricht etwas dagegen? Die Möglichkeit Backdoors zu haben hat man ja eigentlich in jedem Router, oder?

Bintec Performance http://www.bintec-elmeg.com/produkte/informationen/informationen/rs-serie-performance/
Cisco behauptet hier IPSEC VPN: 600Mbps, NAT: 900Mbps; SSL 35Mbps; PPTP 100 Mbps https://www.cisco.com/c/en/us/produ...ness-rv-series-routers/models-comparison.html
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

I
Schneller >= 2.5Gb/s und stabiler 8-Port Switch mit Vlan 802.1q
Antworten
19
Aufrufe
6.535
0-8-15 User
0
T
i7 System für verteiltes Rechnen und Web designing. Budget: ca. 1'600€
Antworten
13
Aufrufe
1.149
treesun
T
wolf
programm für verteiltes mpeg2-kodieren
Antworten
2
Aufrufe
1.215
wolf
wolf
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz