Beratung zu gebrauchten Cisco Switches SG200, SG220, SG250 & SG350

[eehm]

Hallo,

ich habe jetzt viel gelesen und bin der Meinung, dass es vielleicht besser ist Geld in einen gebrauchten Enterprise Switch zu investieren als in einen neuen Consumer.
Sehr billig seinen die Cisco SG200.
Weißt jemand zufällig was die großen Brüder SG220, SG250 und SG350 mehr bzw. besser können?
Wichtig wäre mir z.B. "MAC based VLAN". Kann das jemand ggf. schon beim SG200 bestätigen?

 

[itm]

Welchen genau?
Es gibt nicht nur einen SG200

 

[eehm]

Welchen genau?

z.B. den SG200-50p

 

[Donnidonis]

Die Frage ist, was du alles benötigst, dann kann man auch fundierte Antworten geben. Vielleicht listest du einmal auf, welche Funktionen benötigt werden, wie viele Ports etc.

 

[rezzler]

Wichtig wäre mir z.B. "MAC based VLAN". Kann das jemand ggf. schon beim SG200 bestätigen?

Was spricht gegen Port-Based VLAN?

 

[Hammelkoppter]

Welchen genau?
Es gibt nicht nur einen SG200

Auf denen läuft überall die selbe Software (egal ob 8 oder 48 Ports)

@TE

Mit Verlaub - Cisco SGs sind Small Business - kein Enterprise.

Zu deinem Thema:
Hast du so viel Dynamik im Netzwerk, dass du die Ports nicht fest einstellen kannst? Kann ich mir nicht wirklich vorstellen. Wenn doch, nimm nen Switch der 802.1X bzw. MAB kann und richte dir irgendwo auf dem NAS / Raspi nen Radius Server ein die Zuweisung macht.

Bei Ubiquiti kann z.B. die USG Radius Server sein, die das dann übernimmt.

Die SG200 sind nur noch bis Ende Oktober supported. Danach bekommst du keine Updates mehr - würde ich also lassen. Die 220 und 250 sind noch bis Mitte 2027 unter Support. - 4 Jahre find ich jetzt auch nicht wirklich geil.

Unterschied 220 und 250 - Es sind nur Detail Unterschiede, SNMP Support, CLI Support, PoE+, IPv6 QoS, 4096 statt 256 VLANs usw.

Die 350er können auch Layer 3.

 

[eehm]

Was spricht gegen Port-Based VLAN?

Ich habe manche Geräte die ich an verschiedenen Dosen verwenden will.
Um Konfigurieren des Ports wäre zwar möglich, aber eine dynamische Lösung würde ich als viel komfortabler und vor allem als weniger Fehleranfällig betrachten. Falsch angesteckt ist mal schnell!

Hast du so viel Dynamik im Netzwerk, dass du die Ports nicht fest einstellen kannst? Kann ich mir nicht wirklich vorstellen. Wenn doch, nimm nen Switch der 802.1X bzw. MAB kann und richte dir irgendwo auf dem NAS / Raspi nen Radius Server ein die Zuweisung macht.

Ja das wäre natürlich auch eine Möglichkeit.
Damit spiele ich in meinem Testsetup auch gerade herum. Habe auch schon einen Radius auf eine OPNsense eingerichtet. Aber mein Testswitch Zyxel GS1900 kann leider trotz 802.1X keine dynamischen VLANs per Radius. Somit kann ich gerade nicht weiter experimentieren.
Also ist hier meine Erkenntnis, dass 802.1X alleine wohl leider nicht reicht bzw. nicht jeder Hersteller hier alle möglichen Funktionen darunter implementiert!

Die SG200 sind nur noch bis Ende Oktober supported. Danach bekommst du keine Updates mehr - würde ich also lassen. Die 220 und 250 sind noch bis Mitte 2027 unter Support. - 4 Jahre find ich jetzt auch nicht wirklich geil.

Danke für den Hinweis.
Deshalb sind die wohl so billig ....!
Support wäre schon schön. Wobei die Frage ist, ob das bei einem Switch relevant ist, wenn er mal läuft?
Eigentlich ist der ja hinter einer Firewall oder mache ich hier zum Thema Support einen Denkfehler?

Die Frage ist, was du alles benötigst, dann kann man auch fundierte Antworten geben. Vielleicht listest du einmal auf, welche Funktionen benötigt werden, wie viele Ports etc.

• ca. 35 Ports inkl. Uplink
• VLAN
• 2-8 POE-Ports
• MAC oder Radius basiertes VLAN
• ggf. noch Port Security Funktionen
• möglichst stromsparend

Vielleicht wäre auch eine Aufteilung auf zwei Switches, also einmal mit und einmal ohne POE sinnvoll ...?
Und vielleicht ist die Suche auf dem Gebrauchtmarkt ggf. auch ein Irrweg?

 

[Hammelkoppter]

Moin,
hm 2-8 PoE Ports ist relativ schwammig. Bei 2 Porta würde ich auf PoE Injektoren setzen. Bei 8 Ports dann schon eher auf nen PoE Switch. Kommen denn PoE Injektoren überhaupt in Frage?
Grüße

 

[norKoeri]

dynamischen VLANs per Radius [aka RADIUS-Assigned VLAN]

Die ganz alte Modell-Serie „Zyxel GS1910“ konnte das. Die findest Du auch gebraucht in eBay bzw. eBay-Kleinanzeigen. Hier die PoE-Modelle … Aber jene Serie ist schon seit über acht Jahren End-of-Life, solange, dass Zyxel deren Firmware-Updates nicht mehr führt. Willst Du die Serie heute noch verwenden, solltest Du unbedingt LLDP abschalten, denn das war auf der Serie nachweislich kaputt.

Laut diesem Community-Thread kann der eigentliche Nachfolger – die zu Deiner „Zyxel GS1900“ eins höhere Modell-Serie „Zyxel GS1920“ – das auch nicht. Folglich wäre mindestens ein Zyxel GS2220-10HP fällig? Siehe Post #18 …

Vielleicht wäre auch eine Aufteilung auf zwei Switches, also einmal mit und einmal ohne POE sinnvoll ...?

Normal schon, weil Du mit einem großen Switch dann nicht mehr passiv sondern aktiv kühlst.

vielleicht ist die Suche auf dem Gebrauchtmarkt ggf. auch ein Irrweg?

Wenn die gewünschte Ausstattung/Größe gebraucht verfügbar ist – was aber reines Glück ist –, dann ist das oft ein Preisfaktor 10 wenn nicht sogar noch günstiger. Probleme bei alten Switchen ist nicht nur Glück haben und nicht nur die Management-Oberfläche(n) wie HTTPs oder SNMP – die man kapseln könnte –, sondern eben auch viele Dienste, die darauf laufen – wie LLDP.

Also wenn Du einen Tipp haben willst, den ich Dir so eigentlich so nicht geben dürfte, weil End-of-Life: Hust … Mit einem Zyxel GS1910-48HP kannst Du alles Spielen – jedenfalls laut obigen Link –, und der ist so günstig, dass Du den nach dem Test auch schmerzlos einfach wegwerfen könntest.

 

[itm]

Auf denen läuft überall die selbe Software (egal ob 8 oder 48 Ports)

@TE

Mit Verlaub - Cisco SGs sind Small Business - kein Enterprise.

Zu deinem Thema:
Hast du so viel Dynamik im Netzwerk, dass du die Ports nicht fest einstellen kannst? Kann ich mir nicht wirklich vorstellen. Wenn doch, nimm nen Switch der 802.1X bzw. MAB kann und richte dir irgendwo auf dem NAS / Raspi nen Radius Server ein die Zuweisung macht.

Bei Ubiquiti kann z.B. die USG Radius Server sein, die das dann übernimmt.

Die SG200 sind nur noch bis Ende Oktober supported. Danach bekommst du keine Updates mehr - würde ich also lassen. Die 220 und 250 sind noch bis Mitte 2027 unter Support. - 4 Jahre find ich jetzt auch nicht wirklich geil.

Unterschied 220 und 250 - Es sind nur Detail Unterschiede, SNMP Support, CLI Support, PoE+, IPv6 QoS, 4096 statt 256 VLANs usw.

Die 350er können auch Layer 3.

Es ging mir explizit darum das es da auch 100 Mbit Elektroschrott gibt

 

[eehm]

Also wenn Du einen Tipp haben willst, den ich Dir so eigentlich so nicht geben dürfte, weil End-of-Life: Hust … Mit einem Zyxel GS1910-48HP kannst Du alles Spielen – jedenfalls laut obigen Link –, und der ist so günstig, dass Du den nach dem Test auch schmerzlos einfach wegwerfen könntest.

Danke für den Tipp. Werde ich darüber nachdenken.
Aber verstehe ich das generell richtig, dass für den Dauerbetrieb ein Switch ohne Updates in der Hand eine nicht besonders Erfahrenen Users ein Sicherheitsrisiko darstellen kann?

Kommen denn PoE Injektoren überhaupt in Frage?

Theoretisch schon. Fraglich ist halt, ob sich das vom Stromverbrauch bei mehr als 1-2 Ports überhaupt lohnt?

 

[Hammelkoppter]

Es geht weniger um den Stromverbrauch. PoE Switches sind meist viel teurer als non-PoE Switches. Daher macht es ggf. Sinn, nach nem Switch ohne PoE zu suchen und dann noch ein 2 PoE Injektoren einzusetzen.

 

[norKoeri]

Sicherheitsrisiko

Schwieriges Thema. Es ist eine aktive Komponente in Deinem Heimnetz, dass keine Security-Updates mehr erhält. Dadurch dass ein konfigurierbarer Switch eine Verwaltungsoberfläche hat, und niemand weiß, was inzwischen alles kompromiert ist … die andere Frage ist aber, wie man auf einen solchen Switch drauf kommt.

 

[eehm]

die andere Frage ist aber, wie man auf einen solchen Switch drauf kommt.

Wäre es dann richtig es so zu sehen.
Wenn der Switch hinter einer Firewall ist und das Management-LAN überhaupt keinen Internetzugriff hat, dann ist das Risiko gering bis nicht vorhanden?

 

[norKoeri]

Wenn der Switch hinter einer Firewall ist …

Schwieriges Thema. Alles in Deinem Heimnetz kann (theoretisch) auf den Switch. Das bedeutet sogar, dass eine präparierte Webseite auf den Switch könnte, also sogar irgendwo eine Werbe-Einblendung auf einer normalen Webseite.

Aber die Probleme sind viel banaler. Ich hatte die GS1910er-Serie mal. Ein Gerät mit korrektem aber komplexen LLDP angeschlossen. Nach ein paar Minuten landete der Switch in einer Dauer-Boot-Schleife. Klassischer Denial-of-Service. Gut. in dem Fall war es einfach zu retten, indem ich LLDP im Switch bzw. jenem Gerät abschaltete. Wobei mich die Analyse einige Stunden gekostet hat. Und den Fehler melden, konnte ich mir ebenfalls sparen.

 

[eehm]

Zyxel hat das dynamische VLAN bei den nueren wirklich gestrichen. Komisch aber scheinbar ist das nicht so gefragt oder man will die Leute zu den teuren Modellen drängen.
Steht auch hier nochmal ganz deutlich

Wenn im Datenblatt eines Switches 802.1X und GVRP aufgeführt sind, kann ich dann sicher davon ausgehen, dass er dynamische VLANs mittels Radius Server beherrscht?

 

[eehm]

Die SG200 sind nur noch bis Ende Oktober supported. Danach bekommst du keine Updates mehr - würde ich also lassen. Die 220 und 250 sind noch bis Mitte 2027 unter Support. - 4 Jahre find ich jetzt auch nicht wirklich geil.

Unterschied 220 und 250 - Es sind nur Detail Unterschiede, SNMP Support, CLI Support, PoE+, IPv6 QoS, 4096 statt 256 VLANs usw.

Die 350er können auch Layer 3.

Ich habe mir jetzt die SG200 noch genauer angesehen.
Die können scheinbar auch kein dynamisches VLAN mittels Radius Server. Hätte ich nie gedacht bei einem Small-Business-Gerät (ich dachte zuvor sogar Enterprise).
Scheinbar kann auch nur der SG300 bzw. SG350 dynamisches VLAN.
SG300 ist auch bald EOL und der SG350 ist auch gebraucht sehr teuer.

Ist das dynamische VLAN so teuer zu implementieren oder wieso hat das so gut wie kein Switch?
Bei Zyxel von den günstigen und gebrauchten wohl nur der GS1910 und bei TP-Link befürchte ich wird es nicht besser aussehen!

 

[norKoeri]

Zyxel hat das dynamische VLAN bei den Neueren wirklich gestrichen.

Muss diesen fast drei Jahren alten Thread nochmal hochholen, auch weil ich Blödsinn geschrieben hatte. Daher nochmal ganz von Vorne: Zyxel hat mehrere Software-Serien, nicht nur Easy-Managed und Besser, sondern auch innerhalb der letzten Gruppe noch weitere Abstufungen. Bei Zyxel versteckt sich „dynamisches VLANs per Radius“ aka „RADIUS-Assigned VLAN“ im Datenblatt unter dem Feature:

• 802.1x VLAN and 802.1p assignment by RADIUS
  bzw.
• 802.1x VLAN and bandwidth assignment by RADIUS.

In der Web-Oberfläche schaltest Du das über „Security → AAA → AAA Setup → (Authorization) Dot1x“ ein. Dann wählt man sich mit Benutzername/Kennwort ein, der RADIUS-Server vergibt das VLAN.

@eehm was Du suchst war das VLAN rein anhand der MAC zu ermitteln. Das nennt Zyxel

• MAC-based VLAN
  bzw.
• MAC authentication
  bzw.
• MAC-based authentication per VLAN.

Daher entstand der Eindruck, die „neuere“ S1900er-Serie hätten das nicht. Aber jene Serie ist nicht neuer, sondern einfach nur ein Parallel-Angebot zu vielen anderen Series. Bereits die S1915er-Serie hat das von Dir Gewünschte, also die MAC-Authorization, etwas versteckt unter: Advanced Application → VLAN
→ (oben rechts) VLAN Configuration (Support, Datenblatt, Handbuch Kapitel 9.4). Die S1920er-Serie bietet daneben auch noch die RADIUS-Authorization. Beides zusammen auf einem Port gleichzeitig, also

• MAC + RADIUS = Compound authentication

bieten nur noch Bessere wie die S2220er-Serie; wenn das vorhanden ist, steht das dann auch im Datenblatt so drin, bei einigen aber nachzukaufen: XS1930er- und XMG1930er-Serie.

Vielleicht ist die Suche auf dem Gebrauchtmarkt ggf. auch ein Irrweg?

Eigentlich nicht, denn man bekommt dort Switche erheblich günstiger. Nur einfach so Zurückgeben wenn eine Funktion wider Erwarten fehlt, in Kombination mit einer anderen Funktion klemmt oder man generell nicht mit der Konfiguration klar kommt, ist dann leider nicht drin; man müsste den Switch dann selbst wieder privat verkaufen. Problem ist, dass die S1915er-Serie oder genau das gewünschte Modell gebraucht quasi nie oder erst nach Monaten aufschlägt. Daher wärst Du bei der S1920er-Serie besser dran, denn die taucht immer wieder auf.