Layer 3 Switch Suche

[OpenMedia]

Guten Tag zusammen,

ich suche einen 8-12 Port Switch der folgende Aufgaben bewerkstelligen soll :

Er soll 3 VLANs haben die alle einen eigenen Adressbereich haben sollen

VLAN1 = 10.10.1.1

VLAN2 = 10.20.1.1

VLAN3 = 10.30.1.1

Jedes VLAN soll an einem bestimmen Port am Switch gebunden sein und jedes VLAN soll auch Adressen vergeben können im jeweiligen VLAN Adressbereich ohne extra DHCP Server im VLAN .

Alle VLANs sollten untereinander kommunizieren können und auch ins Internet gehen dürfen. Jetzt meine Frage welchen Switch könnt ihr mir empfehlen ?

Habe an den Netgear GS510TLP gedacht kann er alle meine Anforderungen erfüllen ? Insbesondere das alle VLANs untereinander kommunizieren können und auch ins Internet gehen können. Und ganz wichtig er muss Adressen im jeweiligen VLAN geben können.



Ich habe noch speziell an den 8 Port Jetstream von TPLINK gedachtet nur da kann man nicht VLANs zusammen routen(Layer2) Hier könnte ich dann wahrscheinlich nur einen VLAN erstellen wo alle Geräte zusammen kommunizieren können. Kann dieser Switch denn Adressen im VLAN vergeben ? Stichwort DHCP Relay ?

 

[d2boxSteve]

Routing und DHCP sind Layer3, die Mehrzahl der managebaren Switche ist Layer2.
Du brauchst zwingend einen Layer3 Switch dafür!
Mal ehrlich, ein normaler Layer2 managebar und eine kleine PfSense Firewall oder ähnliches sind da wesentlich billiger :=)

 

[OpenMedia]

Routing und DHCP sind Layer3, die Mehrzahl der managebaren Switche ist Layer2.
Du brauchst zwingend einen Layer3 Switch dafür!
Mal ehrlich, ein normaler Layer2 managebar und eine kleine PfSense Firewall oder ähnliches sind da wesentlich billiger :=)

Ich habe gelesen der TP Link Jetstream hat DHCP VLAN Relay bist du dir sicher das der kein DHCP kann ?

 

[d2boxSteve]

Der Netgear hat nur "Layer 3 Lite Features", der kann grad mal statische Routen, aber er kann definitiv kein DHCP.

Ergänzung (8. Juni 2018)

Relay heisst nur, er kann über VLAN Grenzen hinweg die Broadcasts für DHCP weiterleiten.

Ergänzung (8. Juni 2018)

Broadcasts (ala "wer ist hier der DHCP, ich will ne Adresse") finden immer nur innerhalb eines Netzbereichs statt und können nicht geroutet werden (Stichwort: Broadcastadresse).

Ergänzung (8. Juni 2018)

Wenn du kein POE (also Stromversorgung für z.B. WLAN AP) brauchst, kann ich den Zyxel GS1900-24E (https://www.amazon.de/Zyxel-24-Port-Gigabit-Managed-Switch/dp/B00FZ6IC5E) empfehlen (hab den selber 2x und einmal den -8) und eben eine kleine Box mit der Firewalldistribution PfSense, z.B. sowas: https://www.ebay.de/itm/Fujitsu-Thi...080958?hash=item239e620b7e:g:pTAAAOSwsFVaz5~C

 

[OpenMedia]

Der Netgear hat nur "Layer 3 Lite Features", der kann grad mal statische Routen, aber er kann definitiv kein DHCP.

Ergänzung (8. Juni 2018)

Relay heisst nur, er kann über VLAN Grenzen hinweg die Broadcasts für DHCP weiterleiten.

Ergänzung (8. Juni 2018)

Broadcasts (ala "wer ist hier der DHCP, ich will ne Adresse") finden immer nur innerhalb eines Netzbereichs statt und können nicht geroutet werden (Stichwort: Broadcastadresse).

Ergänzung (8. Juni 2018)

Wenn du kein POE (also Stromversorgung für z.B. WLAN AP) brauchst, kann ich den Zyxel GS1900-24E (https://www.amazon.de/Zyxel-24-Port-Gigabit-Managed-Switch/dp/B00FZ6IC5E) empfehlen (hab den selber 2x und einmal den -8) und eben eine kleine Box mit der Firewalldistribution PfSense, z.B. sowas: https://www.ebay.de/itm/Fujitsu-Thi...080958?hash=item239e620b7e:g:pTAAAOSwsFVaz5~C

@d2boxSteve kann der auch Routing zwischen VLANs ? und kann er im vlan auch dhcp betreiben ? Ist pfsense automatisch auf dem zyxel router drauf ?

 

[SoDaTierchen]

Warum willst du dir mit VLANs das Leben schwer machen, wenn die Geräte sowieso alle miteinander kommunizieren sollen? Es wäre erheblich einfacher einen dummen Switch hinzustellen und die IPs über DHCP von ner kleinen pfSense/OpnSense Firewall vergeben zu lassen. Die Firewall würdest du zwischen Internet-Zugang (Router) und Switch packen. Ich sehe in deinem Fall nicht den Bedarf für VLANs.

 

[d2boxSteve]

Langsam ..... der Zyxel ist nur ein Switch der VLAN's trennen kann.
Die PfSense auf einem PC installiert ist dann der Router der die IP Adressen pro VLAN hat und auch DHCP kann und natürlich das Ganze ins Internet bringt.

 

[OpenMedia]

Warum willst du dir mit VLANs das Leben schwer machen, wenn die Geräte sowieso alle miteinander kommunizieren sollen? Es wäre erheblich einfacher einen dummen Switch hinzustellen und die IPs über DHCP von ner kleinen pfSense/OpnSense Firewall vergeben zu lassen. Die Firewall würdest du zwischen Internet-Zugang (Router) und Switch packen. Ich sehe in deinem Fall nicht den Bedarf für VLANs.

Weil ich den hohen Broadcasttraffic vermeiden möchte Pro vlan wären 50 Clients die 24/7 Kommunizieren

Ergänzung (8. Juni 2018)

Langsam ..... der Zyxel ist nur ein Switch der VLAN's trennen kann.
Die PfSense auf einem PC installiert ist dann der Router der die IP Adressen pro VLAN hat und auch DHCP kann und natürlich das Ganze ins Internet bringt.

Kann man einfach den PFSense sagen er sol im VLAN1 einen DHCP Server eröffnen ? Also muss man den Switch an den PFSense PC Anschließen Im Switch VLANS erstellen und in der PFSENSE die VLANs auch erstellen ?

 

[Merle]

24/7? 150 Clients?
Also ich sag dir, dass wir das so machen könnten. Aber die Kategorie an Geräten ist mit an Sicherheit grenzender Wahrscheinlichkeit weder finanziell attraktiv, noch kann man sie ohne Kenntnis administrieren.
Catalyst 3750Gv2 zB mit dem IPService Image. 12.2 44 bekommst bestimmt auf eBay. Neu = schwer bezahlbar.
Das alles konfiguriert sich aber ausschließlich gut über CLI.

Mein Fazit wäre auch: managed L2 Switch und eine weitere Komponente als FW/Router, die Trunking/Subinterfaces, DHCP per VLAN und Zugriffsregeln/Inter-VLAN Routing kann.
Auf der anderen Seite geht der ganze Broadcasttraffic dann über den einzelnen Port zwischen L2-Switch und Router/FW, wenn auch logisch getrennt. Und ob sich der Aufwand lohnt? Bei uns sind in einem VLAN ja auch 200+ Clients und die Broadcasts fallen kaum ins Gewicht.

 

[SoDaTierchen]

Was irgendwie nicht passt: Bei 150 Clients, die 24/7 laufen. Das klingt nach einer mittelgroßen Serverfarm. Frag doch mal in eurer IT-Abteilung nach, was die davon halten, bevor du eigenmächtig Hardware organisierst und ins Netzwerk hängst. Die meisten Admins werden sehr grillig, wenn "irgendwer" VLANs im Netz aufsetzen möchte.

Ungeachtet dieser fragwürdigen Umstände folgender Gedanke:
8-12Port Switch, an dem 150 Clients hängen? Ihr habt da eine sehr lustige Netzwerkkonstellation. Da werden doch die Ports zwischen den Switches limitieren. Die einfachste Konfiguration ist in dem Fall tatsächlich einfach VLANs, wobei jedem VLAN ein Netzwerkport auf der pfSense zugewiesen wird. Also dort einfach eine 4x1Gb/s Ethernet-Karte rein, davon ein Anschluss Richtung Internet, die anderen drei jeweils ein Anschluss pro VLAN. Dann kannst du alles so konfigurieren, wie du es brauchst, auch mit eigenen DHCPs pro VLAN. In diesem Fall brauchst du dir um die Performance keine Gedanken machen, die 12Port-Switches werden so stark limitieren, dass die pfSense keinen Einfluss mehr haben kann.

 

[snaxilian]

Vielleicht ist der TE ja "die IT", wäre nicht das erste Mal, dass ein KMU keine IT oder auch kein Systemhaus hat und irgendein Mitarbeiter das mit machen darf.
Ich würde aber auch die Aufgaben teilen: Einen reinen L2 Switch + eine Firewall (ipfire, pfsense, opnsense, sophos, was auch immer nach persönlichen Vorlieben und Anforderungen oder eben ne fertige Lösung, haben alle ihre Vor- & Nachteile).

 

[Joe Dalton]

Moin!

Grundsätzliche wäre es ja schon schön, wenn man wüsste, wofür der Aufbau geeignet sein soll. Grundsätzlich würde ich einfach nach einem Cisco SG300 oder einem Aruba 2930 schauen und damit das ganze umsetzen. Vielleicht nicht unbedingt die billigste Lösung, aber es sollte ausreichend funktionieren.

Grundsätzlich ist Segmentierung nicht schlecht, wenn man weiß, was da getan wird.

Grüße,
Christian

 

[Harrdy]

Broadcasts (ala "wer ist hier der DHCP, ich will ne Adresse") finden immer nur innerhalb eines Netzbereichs statt und können nicht geroutet werden (Stichwort: Broadcastadresse).

Es gibt auch Techniken ala IP-Helper um solche Anfragen zielgerichtet über verschiedene Netze hinweg weiterzuleiten.

 

[Joe Dalton]

24/7? 150 Clients? [...] Und ob sich der Aufwand lohnt? Bei uns sind in einem VLAN ja auch 200+ Clients und die Broadcasts fallen kaum ins Gewicht.

Es gibt Software die mit Broadcasts sehr eklige Schweinerein treibt. Da braucht es dann nicht viele Hosts im Subnetz, um die Interfaces zu "sättigen". Dazu müsste sich der TE allerdings mal äußern, wozu er die 50 Clients/Subnetz trennen muss.

 

[d2boxSteve]

So wieder im Lande .... ja, an der PfSense kann man viele VLAN's erstellen und pro VLAN entscheiden, ob man einen DHCP macht und mit welchen Optionen.

 

[Beast2x]

Moin!

Grundsätzliche wäre es ja schon schön, wenn man wüsste, wofür der Aufbau geeignet sein soll. Grundsätzlich würde ich einfach nach einem Cisco SG300 oder einem Aruba 2930 schauen und damit das ganze umsetzen. Vielleicht nicht unbedingt die billigste Lösung, aber es sollte ausreichend funktionieren.

+1 für einen Cisco SG300...
Verwende selber ein Cisco SG300-10Port-10PP und bin sehr zufrieden mit dem Gerät.
Ist nicht grade billig aber sehr zuverlässig und gut supported, gibt es natürlich auch ein wenig günstiger ohne PoE+.

Auch wirklich gut und sehr viel Günstiger sind z.B. die Zyxel Switche aus der GS1900er Reihe...
z.B den GS1900-8-EU ab ~65eur: https://geizhals.de/zyxel-gs1900-de...1900-8-eu0101f-gs1900-8-gb0101f-a1027658.html
Ein kollege hat davon einige im Einsatz und hat bisher nur gutes über die Geräte berichtet. Ledeglich mit LACP hatte er wohl mal kleinere Probleme...

Die günstigen managed Switche von TP-Link sind imho nicht zu empfehlen, genauso wie die günstigen Netgear Geräte.
Aber man muss halt selber wissen ob und wo man spart... ein teuren Cisco braucht man nicht unbedingt aber damit hat man Ruhe, keine Performance Probleme und guten Support + Anleitungen.
Ein Zyxel aus der GS1900er Reihe tut es aber auf jeden Fall auch, kostet teilweise nicht mal die Hälfte von den Cisco Geräten und ist ebenfalls gut Supported !!

Es lohnt sich bei Switchen imho auch mal bei eBay oder Kleinanzeigen zu schauen, dort kann man zum Teil echte Schnapper machen und Marken Switche gehen auch (in der Regel) nicht mal eben so kaputt !!

 

[Raijin]

Prinzipiell braucht man dabei gar nicht mal unbedingt VLANs im eigentlichen Sinne. Ein Router mit der passenden Anzahl an Interfaces ist ausreichend. Allerdings braucht jedes Interface dann seinen eigenen Switch oder man nimmt eben doch einen großen VLAN-Switch - dies kann dann aber ein simpler L2 web/smart managed Switch sein, weil er nur die Ports aufteilt und keinerlei Routing, etc. betreibt. DHCP kommt dann natürlich ebenfalls vom Router.

Grundsätzlich würde da sogar sowas wie ein EdgeRouter-X reichen, 5 LAN Interfaces. Wahlweise kann man den ER-X auch als 5-Port L3-Switch konfigurieren.

Die beste Lösung ist aber selbstredend ein großer L3-Switch, weil damit das Inter-VLAN-Routing nicht auf die schmalen Uplinks zum übergeordneten Router angewiesen ist. Allerdings macht ein L3-Switch in der Regel eben auch nur das, Inter-VLAN-Routing. Für NAT Richtung Internet, etc. braucht man daher dennoch einen richtigen Router. Es kann aber durchaus sein, dass die teuren Ciscos das evtl. auch können, aber dazu setze ich zu wenig Cisco ein, um das aus dem Stegreif sagen zu können.

Grundsätzlich sehe ich das ganze Vorhaben äußerst skeptisch. Es klingt mal wieder danach, dass einfach der nächstbeste Mitarbeiter, der immerhin weiß wie man einen Drucker einrichtet, als IT-Admin bestimmt wurde. Der Eindruck kann aber auch täuschen, also bitte nicht persönlich nehmen.
Ich kann auch nur jeden davor warnen, der sich ohne entsprechende Kenntnisse so eine Aufgabe aufbrummen lässt. Sobald etwas im Netzwerk passiert, Viren, Datenverlust, etc. wird der Chef den Pseudo-Admin dafür verantwortlich machen - obwohl der Chef letztendlich selbst schuld daran ist, weil er kein Budget für ein Systemhaus oder einen Freelancer bereitstellt.
Wenn das hier nicht zutrifft, bitte nicht auf den Schlips getreten fühlen @OpenMedia . Es wäre aber nicht das erste Mal hier im Forum, dass das so läuft. Ansonsten hast du oben ja schon ein paar Anregungen und Empfehlungen bekommen.

So oder so will aber natürlich auch ein Cisco L3-Switch konfiguriert werden. Es kommt also nicht zuletzt auch auf deine Kenntnisse und Fähigkeiten an. Nur über's Forum oder aus Youtube-HowTos lernen ist da nicht der richtige Weg. Für ein adäquates Setup braucht man nämlich mehr Details zum Netzwerk an sich. Sonst sind alle Anleitungen bestenfalls grobe Fahrpläne, die aber unter Umständen im Detail eben doch nicht 100%ig auf dein Szenario passen.

 

[Merle]

Für NAT Richtung Internet, etc. braucht man daher dennoch einen richtigen Router. Es kann aber durchaus sein, dass die teuren Ciscos das evtl. auch können, aber dazu setze ich zu wenig Cisco ein, um das aus dem Stegreif sagen zu können.

Ja, ACLs/VLAN Access maps (Firewall-ähnliche Funktionen bis L4 ohne DPI abbildbar, in jede Richtung, Interface- oder VLAN-Basis), NAT, mehrere DHCP Server, und noch wesentlich mehr enterprise-Zeugs können die Catalyst natürlich. Preislich aber nur bei Gebrauchtkauf machbar für Privatpersonen. Aufs IPService-Image achten, wenn du mal zugreifst

*edit: für die SG200/300 kann ich das nicht beantworten, das sind die ehemaligen Linksys-Geräte, da habe ich nur rudimentären Kontakt gehabt bisher

 

[WeltalsWille]

Der sg300 bringt m. E. alle gewunschten Funktionen mit: VLAN, statisches Routing, ACL, DHCP Server. Mit etwas Glueck kann man den auch bei ebay zum kleinen Preis erwerben. Neu wuerde ich inzwischen zum Nachfolger sg350-10 greifen. Der ist bei geizhals mit ca. 138,- deutlich guenstiger als der SG300-10. Um von jedem VLAN aus mit dem Internet zu kommunizieren, braeuchte man lediglich einen Internetrouter der seinerseits in verschiedene LAN routen kann. Fritzboxen koennen das, Speedports hingegen nicht.