Kaufberatung Switch/Router - VLAN,ACL, DHCP

[teufelschultz]

Hallo,

ich plane folgende Unterteilung meines bestehenden Netzwerks:

-Internet per Glasfaser (derzeit FB 7590 als Router)

• mehrere WLAN SSID's
• Unterteilung des LAN's in mehrere VLAN's, filtern des Netzwerkverkehrs zwischen den VLAN's mit ACL
• DHCP in allen VLAN's

Für das WLAN bevorzuge ich derzeit den Unifi AP AC Pro. POE-Adapter liegen dem AP bei, sodass der Switch nicht zwingend POE beherrschen muss.
Bezüglich des Switch/Router bin ich mir absolut unsicher. Generell könnten Layer 3 Switches wohl meine Anforderungen abbilden, sind aber wohl zu langsam. Deswegen habe ich die Empfehlung gelesen für ACL einen separaten Router einzusetzen.

Kann mir jemand helfen bzw. eine Empfehlung für konkrete Modelle aussprechen? Vor allem bezüglich ACL und DHCP finde ich nicht viel Informationen.

Gruß
Robert

 

[leipziger1979]

Andere Frage, wie gut sind deine Netzwerkkenntnisse?
OSI Modell, Routing, Switching, etc.?

Denn wenn man, warum auch immer, so große Geschütze auffahren will sollte man wissen was man tut.

 

[Zero_Official]

Stimme obenposter zu, dazu dein Budget? und der Zweck? OSI braucht kein Schwein...

es gibt Switche die ACL's in Software abbilden und welche die Hardware nutzen, ist die Frage des Preises.

 

[Groug]

Die ca. Anzahl an Ports wäre hilfreich.

Wenn dir 24 Ports reichen würde ich es mit einem CRS326-24G-2S+IN versuchen.

 

[foofoobar]

Kann mir jemand helfen bzw. eine Empfehlung für konkrete Modelle aussprechen? Vor allem bezüglich ACL und DHCP finde ich nicht viel Informationen.

Welche Geschwindigkeit?
Welche Lautstärke?
Wie viele Ports?
Wie viele Netze?

 

[konkretor]

Fritzbox kann kein vlan

 

[Raijin]

Unifi AP AC Pro

Ne, nimm lieber den nanoHD. Das ist gewissermaßen der Nachfolger mit MU-MIMO und sinnvollerer Ausrichtung auf mehr 5 GHz. Ich gehe davon aus, dass der Pro früher oder später ausläuft...

Generell könnten Layer 3 Switches wohl meine Anforderungen abbilden, sind aber wohl zu langsam.

Und wie soll man dir etwas empfehlen, wenn du kein Wort darüber verlierst wie diese Anforderungen denn aussehen? Bisher schreibst du ja nur "mehrere VLANs".

 

[teufelschultz]

Sorry für die späte Antwort.
Ich möchte all eure Fragen beantworten.

@leipziger1979
Meine Netzwerkkenntnisse sind so Schulnote 3 würde ich sagen. Bin Fachinformatiker Systemintegration, aber mein Schwerpunkt liegt eher auf Windows Clients, Server und co.

@Ichtiander
Ich habe nicht direkt eine Budgetgrenze, aber möchte auch nicht zu viel für das Thema ausgeben.
Ich habe mehrere Smarthome-Systeme und möchte dieser aus Gründen der Sicherheit per VLAN trennen.
Das ist m. E. im Privathaushalt eher nice to have und mir daher auch nicht zu viel Geld Wert.

@Groug
24 Ports passt perfekt. Ich schaue mir den Switch in Ruhe an. Den Hersteller habe ich vorher noch nie gehört. Der kann VLAN und ACL? Gibt es Erfahrungen zur Performance bei Verwendung der ACL? Habe dazu gelesen, dass dies die Performance massiv beeinträchtigt. Also allgemein, nicht auf diesen Switch bezogen.

@foofoobar
Gigabit Ports
Nicht lauter als ein NAS, dann ist alles i. O.
24 Ports
Mindestens 3 Netze (private Endgeräte, SmartHome, Gäste)

@Raijin
Vielen Dank für den Hinweis mit dem Unifi.

Vielleicht noch etwas detaillierter die Anforderungen.
Ich möchte mein normales VLAN von den SmartHome Geräten (Türschloss, openhab Server, Türklingel) trennen. Der Zugriff soll VLAN-übergreifend möglich sein, aber nur für bestimmte IP's und Ports. Also quasi per Firewall bzw. ACL Regeln für die Zugriffe definieren.
Dann noch ein 3 VLAN für Gäste. Der WLAN AP soll die VLAN's entsprechend nutzen können und demzufolge mehrere SSID's aufspannen. Die Performance soll nicht zu sehr darunter leiden, wobei die SmartHome Geräte keine großen Performanceansprüche haben. Wenn also das "normale" VLAN performant läuft, reicht dies eventuell aus.

Gruß
Robert

 

[Raijin]

Ich möchte mein normales VLAN von den SmartHome Geräten (Türschloss, openhab Server, Türklingel) trennen. Der Zugriff soll VLAN-übergreifend möglich sein, aber nur für bestimmte IP's und Ports. Also quasi per Firewall bzw. ACL Regeln für die Zugriffe definieren.

Da möchte ich deine Euphorie etwas bremsen. So nachvollziehbar der Plan auch sein mag, so kompliziert ist er doch in der Umsetzung. Viele smart devices sind nur schlecht oder gar nicht auf komplexe Netzwerke mit mehreren VLANs bzw. Subnetzen ausgelegt. Viele Smarthome-Apps finden ihre Geräte bzw. Bridges über Broadcasts. Dadurch würde ein Smartphone im Haupt-WLAN beispielsweise eine Bridge für [irgendwassmartes] im Nachbar-VLAN nicht finden. Leider bieten nur wenige dieser Apps alternativ eine Verbindung mittels IP-Eingabe an und so lassen sich die Funktionen ausschließlich innerhalb ein- und desselben Subnetzes nutzen.
Man könnte also sagen, dass viele Smarthome-Systeme am Ende doch gar nicht so smart sind wie man denken sollte. Ich rate dir daher dringend, dich vorher mit deinen Geräten und Apps auseinanderzusetzen und zu prüfen ob sie in einem Multi-Netzwerk-Setup überhaupt funktionieren.

Bezüglich des Switch/Router bin ich mir absolut unsicher. Generell könnten Layer 3 Switches wohl meine Anforderungen abbilden, sind aber wohl zu langsam.

Diese Aussage kann ich nach deiner Beschreibung nicht wirklich nachvollziehen. Du sprichst im Prinzip von 3 VLANs, wenn ich das richtig verstanden habe. Haupt-VLAN, SmartHome-VLAN und Gast-VLAN. Die Traffic zwischen diesen VLANs wird mutmaßlich gegen Null tendieren und das Routing zwischen ihnen sollte daher kein großes Problem darstellen. Ich würde behaupten, dass dafür ein EdgeRouter-X für 50€ bereits vollkommen ausreicht. Der hat 5x Ethernet und könnte jedes VLAN mit einem physischen Port versorgen, VLANs brauchst du dann nur auf den Switches dahinter.

 

[teufelschultz]

@Raijin
m. E. ist das mit allen meinen bisherigen Geräten kein Problem, da diese nicht auf Broadcast oder ähnliches setzen, sondern entweder direkt übers Internet mit dem Hersteller sprechen oder halt per IP angesprochen werden.

Das mit dem EdgeRouter-X hatte ich auch gelesen, dann müsste der Switch ja nur VLAN können, kein ACL usw. Dann würde m. E. ja ein sehr einfacher Switch ausreichen.

Aber genau auf diese Frage zielt mein Beitrag ab. Was ist der beste Weg. Separater Router oder Switch mit allen gewünschten Funktionen.

Aktuell würde ich dann für EdgeRouter-X + Switch 24Port GBit mit VLAN plädieren, aber mal schauen was die anderen noch zu sagen haben.

Vielen Dank schonmal an alle für die Hilfe.

 

[Groug]

24 Ports passt perfekt. Ich schaue mir den Switch in Ruhe an. Den Hersteller habe ich vorher noch nie gehört. Der kann VLAN und ACL? Gibt es Erfahrungen zur Performance bei Verwendung der ACL? Habe dazu gelesen, dass dies die Performance massiv beeinträchtigt. Also allgemein, nicht auf diesen Switch bezogen.

RouterOS kann so ziemlich alles, incl. als Router arbeiten. Mußt dich halt etwas mit beschäftigen.

 

[teufelschultz]

RouterOS kann so ziemlich alles, incl. als Router arbeiten. Mußt dich halt etwas mit beschäftigen.

Okay, das werde ich machen. Wäre dann ggf. eine alternative zu der Variante EdgeRouter-X + Switch.
Der Preis ist ja auf jeden Fall absolut in Ordnung. Mit PoE sogar, das wäre natürlich perfekt.

 

[Raijin]

Wie gesagt, da in deinem Szenario so wie es aussieht kaum Daten zwischen den VLANs bzw. Netzwerken laufen werden, ist auch die Performance vernachlässigbar. Die einzige Stelle, an der Daten von einem ins andere Netzwerk geht, ist der Weg ins Internet.

Bei den hybriden Switches von MikroTik findet man diverse Quellen, in denen explizit erwähnt wird, dass es am Ende immer noch ein Switch ist und kein Router. Die Routing-Performance soll durchwachsen sein - wobei ich beim kurzen googlen Threads und Artikel von 2014 bis 2019 gefunden habe, müssen also nicht zwingend auch 100% für die aktuellen Modelle gelten. Hierzu also bitte selbst recherchieren.

Auf der anderen Seite routet zB der ER-X nur in Summe volle 1 Gbit/s. Das heißt, dass man im worst case nicht volle 1 Gbit/s aus dem Internet bekommt, wenn parallel eben doch gerade viel Traffic zB vom Haupt- ins Smart-Netzwerk geht. Wie relevant dieses Szenario ist, musst du ebenfalls selbst wissen. Dennoch kostet der ER-X eben auch nur 50€. Eine Nummer größer wäre dann zB der ER-4. Alternativ hat auch MikroTik einen kleinen Router im Angebot, den hEX bzw. hAP in diversen Varianten.

Den ER-X habe ich hier übrigens selbst im Einsatz und auch beruflich arbeite ich damit. Es spricht aber nichts gegen MikroTik, im Gegenteil, das ist ein Hersteller mit einem sehr interessanten Line Up.

 

[teufelschultz]

Ein paar Daten werden auch zwischen den VLAN's ausgetauscht, da z. B. über Smartphone auf den openHAB Server zugegriffen werden soll. Aber das ist nur ein simples WebIF, also nix performancelastiges.

Ich werde ausführlich dazu recherchieren. Am Ende spielt natürlich auch die einfache Bedienbarkeit eine Rolle.
RouterOS kann man ja auch unter Windows installieren, so kann man sich das schonmal anschauen.
Wie bereits erwähnt würde ich meine Netzwerkkenntnisse mit Schulnote 3 bewerten, sodass es mir natürlich entgegen kommt, wenn die Systeme gut erklärt bzw. einfach zu bedienen sind.
Ich sehe jetzt schon auf mich zukommen, dass ich so einige Abende/Wochenende an meinem Netzwerk arbeiten werde ;-)

 

[Raijin]

Nix wird so heiß gegessen wie es gekocht wird. Einen ER-X hat man binnen 5 Minuten fertig konfiguriert, inkl. Firmware-Update. In deinem Fall sind ja keine nennenswerten Änderungen an der Standardkonfiguration nötig. Der ER-X bringt beispielsweise Wizards mit, die automatisch WAN und LAN bzw. 2x LAN konfigurieren, inkl. Firewall am WAN und DHCP für die LANs. Genau genommen braucht man das WAN bei dir aber nur bedingt.

Eine Setup mit ER-X könnte daher ganz banal so aussehen * :

ER-X
eth0 = Richtung Fritzbox
eth1 = Hauptnetzwerk
eth2 = Smartnetzwerk
eth3+4 frei
Firewall = Nach Prinzip einer DMZ: Haupt->Smart = ja / Smart->Haupt = nein

Fritzbox
Statische Routen für die Subnetze Haupt und Smart via ER-X

Switch
Port 1-8 Haupt VLAN 10 (1x Uplink zu ER-X eth1)
Port 9-16 Smart VLAN 20 (1x Uplink zu ER-X eth2)
Port 17-22 Gast VLAN 30 (1x Uplink zu Fritzbox LAN4)
Port 23-24 Trunk mit 10, 20, 30 (Uplink zu VLAN-fähigen APs)


Bei einem CRS von MikroTik wäre das ähnlich, nur eben in einem Gerät.


* Das ist nur ein Beispielsetup, das ich mal eben hingeschmissen habe.

 

[teufelschultz]

@Raijin
Du bist eingestellt, wann richtest du mein Netzwerk ein?
Ist die Konfig beim MikroTik denn ähnlich einfach?
Von Ubiquity hört man m. E. wirklich viel positives was die Bedienung anbelangt, so beschreibst du es ja auch.

Bei der Variante mit dem ER-X kann der Switch doch wirklich ein ganz einfacher sein oder? Hauptsache er unterstützt VLAN und die Switchkapazität ist ausreichend? PoE brauch er nicht zwingend, dem Unify AP liegt ja ein PoE-Injektor bei und der ER-X kann auch mit Netzteil betrieben werden.

 

[Groug]

Bei den hybriden Switches von MikroTik findet man diverse Quellen, in denen explizit erwähnt wird, dass es am Ende immer noch ein Switch ist und kein Router.

Sicher, nicht umsonst gibt es die CCR Reihe von Mikrotik aber solange man es nicht übertreibt gehen die CSS/CRS auch.

 

[Raijin]

Ist die Konfig beim MikroTik denn ähnlich einfach?

Im Prinzip habe ich ja nur den grundsätzlichen Aufbau beschrieben - besser gesagt einen möglichen Aufbau. Das lässt sich so mit jedem x-beliebigen Router mit min. 3 Ethernet-Schnittstellen umsetzen - oder eben innerhalb eines "RouterSwitches" wie dem besagten CRS, den @Groug verlinkt hat.
Im direkten Vergleich MikroTik-GUI vs. EdgeRouter-GUI würde ich wohl sagen, dass MikroTik die Nase leicht vorn hat, zumindest in fortgeschrittenen Szenarien.

Von Ubiquity hört man m. E. wirklich viel positives was die Bedienung anbelangt, so beschreibst du es ja auch.

Eigentlich habe ich nur kurz den Wizard angedeutet. Der lädt eben eine vorgefertigte Konfiguration, das ist alles.
Was die Bedienung angeht muss man hier differenzieren. Ubiquiti hat grundsätzlich zwei Serien im Programm, die EdgeRouter/-switches und Unifi. Letzteres umfasst das USG als Router, die UDM als Router+Controller, die UAPs als Access Points sowie die US als Switches. Beide Serien sind autark. Während Unifi über einen gemeinsamen Controller konfiguriert wird, haben die Edge-Geräte eine klassiche WebGUI, jedes für sich. Verschiedene Konzepte, unterschiedliches Look and Feel. Bevor du dich beim ER-X also auf den Unifi-Controller freust, solltest du lieber das eine oder andere Video bei youtube schauen, um den Unterschied zu sehen.

Bei der Variante mit dem ER-X kann der Switch doch wirklich ein ganz einfacher sein oder? Hauptsache er unterstützt VLAN und die Switchkapazität ist ausreichend?

Ein "ganz einfacher" Switch kennt keine VLANs.

Man kann Switches grob in drei Kategorien einordnen.

Unmanaged (Layer2; kann nix außer switchen)
Smart oder auch web managed (Layer2; unterstützt VLANs und ggfs rudimentäre Layer3-Funktionen wie QoS)
Full managed (Layer3; VLANs, QoS, DHCP, Inter-VLAN-Routing)

Hier reicht einer aus der zweiten Kategorie, wichtig ist, dass 802.3Q unterstützt wird, das sind die VLANs.



@Groug : Eben. Ich wollte es nur erwähnen, so wie ich auch den vermeintlichen Nachteil des ER-X erwähnt habe. Bei diesem Anwendungsfall denke ich aber, dass beide den Zweck erfüllen sollten. Wobei ich selbst noch keinen CRS in der Hand hatte, geschweige denn ihn testen konnte.

 

[Zero_Official]

habe sowas ähnliches wie Raijin beschreibt mit TPLink T1700-28TQ + Ubiquiti ER-4 und TP Link EAP245 realisiert.
Der T1700-28TQ ist Layer 2+ das heisst der kann Vlans Routen kann auch ACL's kostet nicht die Welt und hat dazu 10 Gbit SFP+ x4 für zuküfntige Erweiterungen.
Der ER-4 ist etwas leistunsfähiger als ERX und kann minderstens dasselbe ausser Switch.
Die EAP245 können Vlans, mit der Leistung bin ich überaus zufrieden, abe Geschmacksache auch Ubiquiti AP's sind gut.
Das ganze über Frizbox Exposed Host.

 

[teufelschultz]

Eigentlich habe ich nur kurz den Wizard angedeutet. Der lädt eben eine vorgefertigte Konfiguration, das ist alles.
Was die Bedienung angeht muss man hier differenzieren. Ubiquiti hat grundsätzlich zwei Serien im Programm, die EdgeRouter/-switches und Unifi.

Das meinte ich mit einfach konfigurieren, der Vorschlag mit YouTube Videos ist gut. Ich schaue mir das an.

Ein "ganz einfacher" Switch kennt keine VLANs.

So meinte ich das auch.

Ist m. E. nun einfach eine Frage was ich besser finde. RouterOS oder Edge. Ich werde mir beides ausführlich anschauen.

habe sowas ähnliches wie Raijin beschreibt mit TPLink T1700-28TQ + Ubiquiti ER-4 und TP Link EAP245 realisiert.

Bis auf den AP auf jeden Fall teurer als die bisher vorgestellten Varianten. Für meine Zwecke reicht m. E. der ER-X oder alternativ der MikroTik.


Ich denke mir wurden nun ausreichend Möglichkeiten aufgezeigt. Vielen Dank für eure Hilfe. Ich berichte auf jeden Fall nochmal wenn alles läuft, das wird dann aber 2021 sein.