VLAN für 2 Wohnungen - separate und gemeinsam genutzte Netze

[Alter5ack]

Hallo,

wir (meine GöGa und ich) werden in die Einliegerwohnung des Hauses unseres Sohnes ziehen, das gerade im Entstehen ist.

Ich mache mir gerade Gedanken über die IT und dabei insbesondere über das Thema VLANs.

Es soll ein gemeinsamer Internetzugang genutzt werden.

Wir vertrauen einander zwar, so dass aus diesem Grund keine Trennung der Netzwerke nötig wäre. Es gibt aber Gründe, die die Einrichtung von VLANs nötig machen. Beispielhaft nur folgende:

• jeder Haushalt hat ein SONOS System. Zwei SONOS Systeme im gleichen Netzwerk geht nicht.
• Verhinderung, dass Geräte "nach Hause telefonieren" und Zugriff auf interne Geräte haben (z.B. Staubsaugerroboter).

Ein Bild der Struktur hängt hier an.

Ich bin zwar recht IT affin und kenne mich mit den Basics gut aus, aber VLAN ist absolutes Neuland für mich.

Lässt sich das so realisieren? Habe ich die Struktur richtig dargestellt?

Dann die Infrastrukturhardware:

• Zwei Ubiquity Accesspoints sind jetzt schion vorhanden und ziehen mit um.
• In Wohnung 1 soll ein 24 Port PoE-Switch (12 x PoE reicht) und min. 2 10GB Ports werkeln.
• In Wohnung 2 reicht wohl ein kleiner PoE-Switch mit 8 Ports, davon der Uplink 10GB.

Welche Switche könnt ihr mir empfehlen? Müssen die Layer 3 können?
Können die Ubiqutity APs Clientbasierend VLANs? (Also z.B. AP hängt am Switch-Port, der VLAN1 und 2 hat, gibt aber Client a nur VLAN1, Client b VLAN2 und Client c beide).

...und wenn es dann an die Einrichtung geht, komme ich bestimmt wieder, verlasst euch drauf

 

[foofoobar]

Irgendwas was routet und ggf. ACLs/Firewalls implementiert wirst du benötigen, da beißt die Maus keinen Faden ab.

 

[Zeroflow]

Hi,

Welche Switche könnt ihr mir empfehlen?

Da du bereits Unifi hast, würde ich bei denen bleiben.

Müssen die Layer 3 können?

Nein, müssen sie nicht. Allerdings muss dann eben Traffic der von VLAN A zu VLAN B will zwangsmäßig über den Router. Sollte aber kein Problem sein.

Können die Ubiqutity APs Clientbasierend VLANs? (Also z.B. AP hängt am Switch-Port, der VLAN1 und 2 hat, gibt aber Client a nur VLAN1, Client b VLAN2 und Client c beide).

Nein, du kannst nur mehrere SSIDs machen, die jeweils ein eigenes VLAN haben, z.B. Wohnung1 -> VLAN1, Wohnung2 -> VLAN2

------------

Nun genereller:

Was dir definitiv noch fehlt, ist ein VLAN fähiger Router. Keine Ahnung, was du aktuell hast, aber da würde sich eine Unifi Dream Machine Pro oder ähnliches anbieten.

Bezüglich deiner Aufteilung Gemeinsam / Wohnung 1 / Wohnung 2 kann ich dir nur sagen, dass du da vor allem mit Smart Devices die man nicht auf IP-Basis konfigurieren kann, Probleme haben wird.

Effektiv wirst du bei dir 3 VLANs brauchen:

• Main (Shared)
• Wohnung 1
• Wohnung 2

Dazu kommen dann die Firewall Regeln. Als Beispiel:

Wohnung 1 darf ins Internet und zu Main
Wohnung 2 darf ins Internet und zu Main
Main darf alles (W1, W2, Internet)
Je nachdem, was du dann per WLAN noch brauchst machst du 2 oder 3 SSIDs mit den jeweiligen VLANs.

In Summe kannst du da noch viel mehr oder detailierter machen, aber das wäre nur so eine Idee.

 

[foofoobar]

Können die Ubiqutity APs Clientbasierend VLANs? (Also z.B. AP hängt am Switch-Port, der VLAN1 und 2 hat, gibt aber Client a nur VLAN1, Client b VLAN2 und Client c beide).

VLAN A -> SSID A1
VLAN B -> SSID B1

Kann jeder Plasterouter auf dem openwrt läuft.

 

[DJKno]

Eine günstige Option wäre ein TP Link ER605.
Da hätte man neben dem WAN Port noch 4 LAN Ports für VLANs.
Das lässt sich auch über das Webinterface komfortabel konfigurieren.

 

[HighTech-Freak]

Tu Dir selbst einen Gefallen und leiste Dir ein Unifi System und nicht nur die Access Points.
Endet sonst in Frickelei.

 

[redjack1000]

Ich würde einfach eine UnifiDreamMachine einsetzen, da ist das ganze ohne großen Aufwand konfiguriert.

Cu
redjack

 

[Raijin]

Können die Ubiqutity APs Clientbasierend VLANs? (Also z.B. AP hängt am Switch-Port, der VLAN1 und 2 hat, gibt aber Client a nur VLAN1, Client b VLAN2 und Client c beide).

Wenn du damit meinst, dass die Clients unabhängig ihres Standortes ein VLAN zugewiesen bekommen, dann ja, das geht. 802.1x bzw. RADIUS ist das Stichwort. In deinem Falle ist das meines Erachtens aber unnötig, da die VLANs ja nicht örtlich gemischt auftreten, sondern explizit separate Teile des Hauses betreffen. Auch ist es ja eher unwahrscheinlich, dass du mit LAN-Geräte mal hier und mal da anstöpselst. Die Dynamik von MAC-basierten VLANs bringt daher keinerlei Vorteile.


Grundsätzlich gibt es natürlich mehrere Möglichkeiten, getrennte Netzwerke zu erreichen, nicht nur mit VLANs. Alle Varianten haben Vor- und Nachteile.

1) Routerkaskade mit 3 Routern

www
|
InternetRouter
|
| (DMZ / gemeinsam nutzbares Netzwerk)
|
+-- (WAN) WohnungsRouter#1 (LAN+WLAN) --- WohnungsNetzwerk#1
+-- (WAN) WohnungsRouter#2 (LAN+WLAN) --- WohnungsNetzwerk#2

Vorteile: Es wird keine VLAN-fähige Hardware benötigt, weder Switches noch Router noch APs. Die Router werden prinzipiell einfach nur zusammengesteckt und die WAN-Ports bzw. die internen Firewalls sorgen out-of-the-box für eine Trennung der Netzwerke
Nachteile: Doppel-NAT. Für den Zugriff von außen müssten stets 2 Portweiterleitungen eingerichtet werden, eine im InternetRouter und eine im jeweiligen WohnungsRouter. WLANs jeweils lokal auf die entsprechende Wohnungs fokussiert.


2) Routerkaskade mit 2 Routern

www
|
InternetRouter
|
| (WohnungsNetzwerk#1)
|
+-- (WAN) WohnungsRouter_mitFirewallRegel (LAN+WLAN) --- WohnungsNetzwerk#2

Vorteile: Es wird keine VLAN-fähige Hardware benötigt. Die Router werden ebenfalls nur zusammengesteckt, ähnlich wie bei 1), aber hierbei muss im WohnungsRouter eine Firewallregel angelegt werden, die ausgehenden Verkehr ins Subnetz des WohnungsNetzwerk#1 blockiert.
Nachteile: Doppel-NAT, aber in diesem Falle nur für das nachgelagerte WohnungsNetzwerk#2. WLAN lokal wie bei 1).
Alternativ: WohnungsRouter kann ggfs in das Gastnetzwerk des InternetRouters gehängt werden. Die Notwendigkeit der Firewallregel entfällt, aber es sind je nach InternetRouter meistens keine Portweiterleitungen in das Gastnetzwerk möglich.

3) VLANs

www
|
InternetRouter (fortgeschritten)
|
VLAN-Switch
|
+--VLAN_A-- WohnungsNetzwerk#1
+--VLAN_B-- WohnungsNetzwerk#2

Vorteile: Flexibilität. Nach Bedarf könnten weitere VLANs eingerichtet werden. Wohnungs-WLANs können mittels VLAN-fähiger APs im gesamten Haus gleichermaßen verbreitet werden, jeder Bewohner hat also im gesamten Haus stets das eigene WLAN mit vollem Empfang zur Verfügung.
Nachteile: VLAN-fähige Hardware wird benötigt. Der InternetRouter muss entweder auch VLANs unterstützen oder über ausreichend autarke Netzwerkschnittstellen verfügen. Komplexes Setup mit VLAN-Konfiguration und Firewalls.



Natürlich muss jeder für sich selbst überlegen ob die Vorteile auch tatsächlich relevant sind. So sind beispielsweise VLAN-APs nur dann wirklich sinnvoll, wenn der WLAN-Empfang in der jeweils anderen Wohnung schlecht ist - zB wenn Papa und Sohn gemeinsam einen Sportevent im TV gucken. Auch die Nachteile sind durchaus individuell. Doppel-NAT muss nicht zwingend ein Problem sein und man merkt es womöglich gar nicht, weil die herkömmliche Internetnutzung (browsen, email, streaming, etc) sich nicht an Doppel-NAT stört.

 

[Alter5ack]

Zuerst einmal vielen Dank für die zahlreichen Tipps. Auch wenn ich mit meinem IT-Halbwissen noch nicht alles bis ins Detail verstanden habe - aber da helft ihr mir bestimmt wieder .

Der entscheidende Hinweis war der mit der UDM. Die UDM Pro SE ist ja die eierlegende Wollmilchsau. Da spare ich mir z.B. schon den NVR. Auch der UniFi Controller, der auf einer VM des Servers geplant war, ist da integriert.

Ich habe den eingangs gezeigten Hardware-Setup mal angepasst. Passt das nun?

Folgende Frage habe ich noch:
Unser Internetanschluss wird Glasfaser von der Telekom werden. Kommt aber erst Anfang kommenden Jahres. Vorher wird DSL per Kupfer ins Haus geführt.
Was brauche ich da zur UDM noch an Hardware? Nur ein Modem?

 

[h00bi]

Tu Dir selbst einen Gefallen und leiste Dir ein Unifi System und nicht nur die Access Points.
Endet sonst in Frickelei.

Würde davon ausdrücklich abraten. Und von einer dream machine erst recht.Völlig unnötig teuer und kompliziert.
Die UDM ist nicht für den deutschen Markt gemacht, hatte jahrelang Probleme mit pppoe und anderen Eigenheiten der deutschen Internetanbieter.
Wenn man mal auf die schnelle googlet hat das Teil immer noch Probleme mit pppoe, was bei der Telekom Pflicht ist.

Sofern es die Hausverkabelung es zulässt brauchst du genau einen VLAN fähigen Switch. Da richtest du 4 VLANs ein (Kameras separates VLAN) und weisst diese den entsprechenden Ports zu.

Also im wesentlichen würde ich 4 getrennte nette aufbauen, die dann über VLAN regelwerke miteinander verbunden werden.
WHG1 darf auf alles außer WHG2
WHG2 darf auf alles außer WHG1
Shared darf nur auf VIDEO
ViDEO darf auf nichts

 

[HighTech-Freak]

@h00bi seit der SE ist die UDM mE durchaus eine passable Option. Überteuert ist sehr relativ... gerade wenn 10G relevant ist, ist die UDM sogar eine recht billige Option.
Was an einer UDM kompliziert sein soll is mir nicht ganz klar... kA wann Du das letzte mal damit zu tun hattest, aber mittlerweile funktioniert der Einrichtungsprozess der UDM/UDR Geräte so wie er sollte.
Dass ehere Problem der Unifi Setups ist der beschränkte Funktionsumfang. Für das Setup vom OP ist es aber eigentlich perfekt.

Bezüglich PPPOE: zum Setup WAN-Modem temporär im NAT Betrieb nutzen und gut ist... Im Nachgang geht das PPPOE Setup meines Wissens ohne Probleme. Mit Glasfer reicht dann angeblich dieses SFP Modul direkt in der UDM: https://geschaeftskunden.telekom.de/internet-dsl/produkt/digitalisierungsbox-glasfasermodem-kaufen

(Der teure part in dem initialen Setup war vorrangig der Switch in der 2ten Wohnung wegen 10G. Wenn man die Kohle hat, ist ein USW-Enterprise-8-PoE sicher die beste Lösung vA 2,5G und PoE bereits integriert.
Die Kombi aus PoE und 10G ist halt schweinsteuer. Billigere Lösung: PoE über Injektoren fahren.

Im Bereich 10G und PoE ist der Markt echt dünn und es wird sowieso teuer... ich hab selbst einen Netgear MS510TXPP hier der nur marginal billiger war als der damals nicht verfügbare Unifi Enterprise Switch.)

 

[Raijin]

Ich habe den eingangs gezeigten Hardware-Setup mal angepasst. Passt das nun?

So ganz kann ich dein Setup nicht nachvollziehen. Du mischst eifrig "gemeinsam genutzt" mit "Wohnung x". Das ergibt für mich keinen Sinn. Wenn das LAN in Wohnung1 eh "gemeinsam genutzt" wird, widerspricht das dem Grundgedanken der Trennung der Netzwerke.

 

[Alter5ack]

So ganz kann ich dein Setup nicht nachvollziehen. Du mischst eifrig "gemeinsam genutzt" mit "Wohnung x". Das ergibt für mich keinen Sinn. Wenn das LAN in Wohnung1 eh "gemeinsam genutzt" wird, widerspricht das dem Grundgedanken der Trennung der Netzwerke.

Tja, beim Thema VLANs hat es wohl noch nicht "klick" in meinem Hirn gemacht.

Wenn ich die Konfig von h00bi heranziehe...

WHG1 darf auf alles außer WHG2
WHG2 darf auf alles außer WHG1
Shared darf nur auf VIDEO
ViDEO darf auf nichts

...und daraus ein einfaches Setup plane (siehe Anhang), kann ich das doch mit tagged VLANs realisieren?

Wie müssen denn dann die Ports konfiguriert werden (siehe Tabellen auf der Zeichnung)?

 

[Raijin]

Tja, beim Thema VLANs hat es wohl noch nicht "klick" in meinem Hirn gemacht.

VLANs sind virtuell, steckt ja im Namen, aber prinzipiell sind es separate Netzwerke. Ohne VLANs und mit 2 Netzwerken müsste jedes Netzwerk über komplett eigene Infrastruktur verfügen, eigene Switches, eigene Access Points und eigene Kabel. Mit VLANs kann diese Infrastruktur jedoch gemeinsam genutzt werden, nämlich durch eine virtuelle Trennung. Ein VLAN-Switch mit 8 Ports, von denen 4 Ports zu VLAN A und 4 Ports zu VLAN B gehören, ist nichts anderes als 2 4er Switches. Er könnte aber genauso in 2+3+3 Konfiguration laufen, also effektiv 3 Switches darstellen. Mit VLANs spart man also vereinfacht ausgedrückt physischen Kabelaufwand und doppelt und dreifache Geräte.

Wenn ich die Konfig von h00bi heranziehe...
...und daraus ein einfaches Setup plane (siehe Anhang), kann ich das doch mit tagged VLANs realisieren?

Erstmal nicht, nein. VLANs sind wie gesagt nur virtuelle Netzwerke, nicht mehr und nicht weniger. Die Verbindung untereinander muss über ein Gateway erfolgen, einen Router. Dieser ist dafür verantwortlich, den Zugriff zwischen diesen Netzwerken zu erlauben oder zu unterbinden.

Wie müssen denn dann die Ports konfiguriert werden (siehe Tabellen auf der Zeichnung)?

Aus obigem Grund lässt sich das so nicht sagen bzw. es bringt im ersten Moment wenig. Du hast in der Zeichnung nur zwei Switches. Da kannst du munter Geräte anschließen, aber ein Gateway hast du damit trotzdem noch nicht und die Geräte hätten auch nur in ihrer jeweiligen Port-Gruppe aka VLAN Kontakt zueiandner, aber nicht zwischen den Gruppen/VLANs.
Bevor Einwürfe kommen: Ich spreche hier von einem L2-VLAN-Switch. Layer3-Switches sind Hybride zwischen Switch und Router, aber natürlich auch teurer.

Ungefähr so könnte ein VLAN-Setup mit in diesem Fall 3 Netzwerken aussehen:

############################
# Router (fortgeschritten) #
############################
  LAN1       LAN2       LAN3
(Wohnung1) (Wohnung2) (Shared)
   |          |          |
P1@VLAN10  P2@VLAN20  P3@VLAN30
###############################                               ########################
# VLAN-Switch                 # P8@10+20+30 ----- P8@10+20+30 # VLAN-Switch          #
###############################                               ########################
 P4@10   P5@10   P6@20   P7@30                                 P1@10   P2@20   P3@30
   |       |       |       |                                     |       |       |
W1Gerät W1Gerät W2Gerät SharedGerät                           W1Gerät W2Gerät SharedGerät

Der Router beinhaltet in seiner Firewall die Zugriffsregeln. Dort wird also definiert, dass VLAN10 aka Wohnung1 nicht mit VLAN20 aka Wohnung2 reden darf und umgekehrt, aber beide dürfen mit VLAN30 aka Shared reden - oder wie auch immer man die Zugriffsrechte individuell einrichten möchte.


Nicht ohne Grund habe ich in #8 auch zwei Lösungen präsentiert, die gänzlich ohne VLANs auskommen und auch keine nennenswerten Firewall-Kenntnisse voraussetzen. VLANs bewegen sich nun mal klar außerhalb der 08/15 Netzwerktechnik, die man von Fritzbox und Co kennt. Dementsprechend steigt die Komplexität und die Lernkurve ist entsprechend.

 

[Alter5ack]

Hallo Raijin,

erst mal vielen Dank für deine ausfühliche Erklärung.

VLANs sind virtuell, steckt ja im Namen, aber prinzipiell sind es separate Netzwerke...
... Ein VLAN-Switch mit 8 Ports, von denen 4 Ports zu VLAN A und 4 Ports zu VLAN B gehören, ist nichts anderes als 2 4er Switches....

So weit hatte ich VLAN auch verstanden.

...kann ich das doch mit tagged VLANs realisieren?

Erstmal nicht, nein. VLANs sind wie gesagt nur virtuelle Netzwerke, nicht mehr und nicht weniger. Die Verbindung untereinander muss über ein Gateway erfolgen, einen Router...
Dieser ist dafür verantwortlich, den Zugriff zwischen diesen Netzwerken zu erlauben oder zu unterbinden.

aah... jetzt... ja!
Hast du es gehört? Es hat "klick" gemacht.
Ich hatte schon mal in meinem derzeit vorhandenen VLAN-fähigen Switch herumgeklickt und vermutet, dass die "Verbindung" der Netze durch das Tagging passiert. Die weiteren Überlegungen sind jedoch dann an die Wand gelaufen, weil mir bewusst wurde, dass dann ja die Trennung der Netze ad absurdum geführt würde.
Darauf, dass eine übergeordnete "Intelligenz" den Verkehr zwischen den (auch beim Tagging) getrennten Netzen regelt, bin ich gar nich gekommen. Ich dachte immer, dass ein Switch, der per Definition "VLAN-fähig" ist, das alleine regelt.
Was ich bisher an Tutorials und Infoseiten zu VLANs gelesen habe, hat mir also nur die Darstellung getrennter Netze erklärt und nicht, wie der Verkehr/Zugriff zwischen diesen Netzen möglich ist.

Nicht ohne Grund habe ich in #8 auch zwei Lösungen präsentiert, die gänzlich ohne VLANs auskommen und auch keine nennenswerten Firewall-Kenntnisse voraussetzen. VLANs bewegen sich nun mal klar außerhalb der 08/15 Netzwerktechnik, die man von Fritzbox und Co kennt. Dementsprechend steigt die Komplexität und die Lernkurve ist entsprechend.

Das Lernen und erweitern meiner Kenntnisse ist einer der großen Antriebe und hält mich auch in meinem fortgeschrittenen Alter geistig fit.
Deshalb wird es im neuen Domizil einen Router und VLANs geben .

Das von h00bi beschriebene Setup...

WHG1 darf auf alles außer WHG2
WHG2 darf auf alles außer WHG1
Shared darf nur auf VIDEO
ViDEO darf auf nichts

...wird also mit der UDM Pro SE und den Switches USW-Lite-8-PoE funktionieren?

 

[Raijin]

Darauf, dass eine übergeordnete "Intelligenz" den Verkehr zwischen den (auch beim Tagging) getrennten Netzen regelt, bin ich gar nich gekommen. Ich dachte immer, dass ein Switch, der per Definition "VLAN-fähig" ist, das alleine regelt.

Wie ich oben kurz erwähnt habe gibt es auch Switches, die das können. Switches kann man grob in 3 Kategorien einteilen:

Spoiler: Exkurs Switches

1) Unmanaged / Layer2
Diese einfachsten aller Switches sind "dumm". Sie haben keine GUi, weil es nix zu konfigurieren gibt. Kabel einstecken und der Switch verteilt munter Pakete, ohne darüber nachzudenken.
Unmanaged Switches arbeiten ausschließlich auf Layer2, sie kennen also unterm Strich nur MAC-Adressen, haben von IPs (L3) keine Ahnung.

2) Smart managed / Layer2+
Diese Switches sind prinzipiell auch dumm, bieten aber ein paar sinnvolle erweiterte Funktionen, ohne dass man gleich technologisch in die vollen greifen muss. Sie arbeiten prinzipiell auch auf Layer2, also MACs, haben aber ein Webinterface und bieten zB VLAN-Unterstützung. Die VLANs werden jedoch lediglich verteilt.

3) Full managed / Layer3
Layer3 Switches (auf Layer3 liegen IP-Adressen) findet man vorwiegend in großen und komplexen Netzwerken. Sie bieten echte Layer3-Funktionen, die man sonst nur von Routern kennt. Das heißt, dass sie tatsächlich auch routen können, direkt von Port zu Port und VLAN-übergreifend. Ebenso kann man mittels ACLs (Access Control Lists) festlegen welche dieser Verbindungen erlaubt ist und welche nicht - eine Art Firewall. Auch DHCP-Server sind meistens mit an Bord.
Ein L3-Switch ersetzt aber keinen Internetrouter, weil ihm nicht nur das Modem fehlt (das fehlt reinen WLAN-Routern ja auch), sondern auch die Möglichkeit für eine Interneteinwahl - zB PPPoE - sowie NAT. Ausnahmen mögen hier allerdings die Regel bestätigen


Wann und warum nutzt man Router und L2+ Switch (2)? Und wann L3?

Bei einem simplen, flachen Netzwerk, das beispielsweise nur aus 1-2 Switchebenen besteht, ist es halb so wild, wenn jeder VLAN-übergreifende Traffic erst den ganzen Weg zum Router hoch- und von dort dann wieder runtergehen muss.

Ist das Netzwerk aber komplexer, sieht das anders aus, weil der Router ganz oben womöglich sogar in einem anderen Gebäude sitzt. Die Uplinks zwischen den Switches und zum Router werden entsprechend stark belastet und der Router selbst hat plötzlich auch echt ne Menge zu tun, bei ein paar Hundert Clients, die kreuz und quer wollen. Hier werden L3-Switches interessant, weil sie den Router gar nicht mehr behelligen müssen und quasi direkt vor Ort von VLAN zu VLAN routen können.


Man sieht, dass Switch eben nicht gleich Switch ist und VLAN-Switch nicht gleich VLAN-Switch. Streng genommen verschwimmen sogar obige 3 Kategorien ein wenig ineinander, weil man immer ins Datenblatt schauen muss, ob die gewünschte Funktion XY tatsächlich unterstützt wird.

 
 

Das von h00bi beschriebene Setup...
...wird also mit der UDM Pro SE und den Switches USW-Lite-8-PoE funktionieren?

Prinzipiell ja. Unifi ist immer ein wenig teurer, aber das muss jeder selbst wissen. Ich mag - und hab - die APs, aber Switches und Router sind mir zu teuer und hatten in der Vergangenheit auch stets ein paar Problemchen - wobei ich absolut nicht auf dem Laufenden bin was das angeht.

 

[norKoeri]

Können die Ubiqutity APs Clientbasierend VLANs? (Also z.B. AP hängt am Switch-Port, der VLAN1 und 2 hat, gibt aber Client a nur VLAN1, Client b VLAN2 und Client c beide).

Ja, das geht über dynamische VLANs. Einfach im UniFi Controller den Haken dafür anmachen … und einen FreeRADIUS aufsetzen … und am WLAN-Client dann WPA-Enterprise einstellen. Aber bei (nur) zwei VLANs würde ich eher mit zwei SSIDs und ganz normal mit WPA-PSK arbeiten, wie bereits vorgeschlagen.

Vorher wird DSL per Kupfer ins Haus geführt. Was brauche ich da zur UDM noch an Hardware? Nur ein Modem?

Ja, solange brauchst ein DSL-Modem … (die Frage ging irgendwie unter oder habe ich die Antwort überlesen )

Zwei Ubiquity Accesspoints sind jetzt schion vorhanden

Ich hoffe es kommen mehr, denn ich vermute zwei WLAN-Access-Points werden nicht ausreichen. Muss man dann messen …

 

[Alter5ack]

Ich ziehe diesen Thread jetzt nochmal hoch.

Ich habe jetzt die UDM Pro SE bestellt und möchte nun die Netzwerkinfrasruktur aufbauen:

Im gleichen Rack wie die UDM sollen noch 8 (evtl. 16) zusätzliche Ports, vorzugsweise 2,5 Gb bereitgestellt werden. Nennen wir ihn mal "Switch1".
Abgesetzt, in Wohnung 2, soll ein "Switch2" mit 8 (2,5Gb) Ports installiert werden. Es ist wünschenswerrt, wenn dieser mit 5 oder 10Gb an der UDM (bzw. indirekt über o.g. Switch) hinge. Ist aber kein unbedingtes Muss. Verbindung ist Kupfer.

Verbindungssetup also:

UDM <-10GbFiber-> Switch1 <-min.2,5GbKupfer-> Switch2

Ich hoffe, ich habe das mit meinem Laienwissen richtig dargestellt.

Habt ihr Empfehlungen für die beiden Switche? Wichtig ist die VLAN-Fähigkeit.

Switch1:

• 8/16 Ports 2,5 Gb
• 1 Port SFP+ 10Gb
• (Downlink Switch2 möglichst schnell)

Switch2:

• 8 Ports 2,5Gb (PoE wäre nett)
• Uplink möglichst schnell (wünschenswert 5 oder 10Gb), passend zum Port an Switch 1

 

[Raijin]

Naja, was heißt Empfehlungen. Das Setup kann beliebig teuer werden und ohne Budget kann man daher weitestgehend nur geizhals bemühen: Klick!

Die QNAP-Switches werden im Kontext von 2,5 GbE häufig empfohlen, weil sie preislich attraktiv sind. Alternativ kommen zB CloudRouterSwitches - kurz CRS - von MikroTik oder TP-Link JetStream in Frage. Nach oben hin ist das natürlich offen, aber mit um und bei 1000€ musst du alles in allem schon rechnen.

 

[Alter5ack]

Hallo Raijin,

ich danke dir für deine aufschlussreiche Antwort.

Der MikroTik CRS310 sieht hier insbesondere preslich interessant aus.

VLANs kann der? Auf was, welche Begriffe, muss ich da bei der Auswahl achten?

Zu den SFP+ Ports:
Sind da gewöhnlich nur die Slots vorhanden, in die noch ein SFP-Modul eingesteckt werden muss?
Für 10GBase-T müsste dann also einfach nur ein entsprechendes Modul rein?