sEs4m schrieb:
Eine Sache ist mir aber noch nicht klar, wie funktioniert in deinem Beispiel der Austausch von Daten zwischen Gerät 3 und Gerät 2 oder 4?
Ganz einfach gesagt: Mit einem Router.
Damit ist jetzt natürlich nicht diese bunte Mischung aus
"DSL-Modem, Ethernet Switch, WLAN Access Point, DHCP Server, DECT Basisstation, VPN Server, NAS Funktionalität, etc., ... und Router" gemeint, die man von seinem Internet Provider als Router verkauft bekommt, sondern einen ganz klassischen Router - also quasi der Router-Begriff wie er ursprünglich aus der Netzwerktechnik kommt.
Ein Router verbindet (mindestens) zwei Netzwerke miteinander, und über die Routing-Tabelle entscheidet er welchen Weg ein Netzwerkpaket nehmen soll. Ein Router arbeitet auf Layer 3.
Also im Grunde genau das was so eine handelsübliche FritzBox auch (neben den ganzen anderen oben genannten Sachen) macht: Sie übernimmt das Routing der Netzwerkpakete zwischen deinem Heim-Netz und dem großen Inter-Net(z).
Und wenn du nun deine beiden Netzwerke (bzw. VLANs) per Router verbunden hast, stehst du im Prinzip wieder vor deinem alten Problem: Alle Geräte können beliebig miteinander kommunizieren. Der Router macht also genau das was er soll! Also alles wunderbar? Nicht ganz...
Denn genau das wollten wir ja verhindern: Kameras und Heimnetzwerk sollen getrennt sein! Für die Lösung des Problems gibt's wieder diverse Möglichkeiten:
1. Die Firewall (je nach Gesprächspartner auch ACL oder Paketfilter genannt)
Also ein Gerät, das anhand von Protokoll (z.B. IPv4 oder IPv6) und Quell- und Ziel-IP die Weiterleitung von Netzwerkpaketen erlaubt oder verbietet. Damit lässt sich nun also ziemlich einfach festlegen, dass alle IP-Adressen aus dem Kamera Netzwerk ausschließlich auf mit dem NAS (ich verwende hier einfach mal das NAS als Server, der sich um die Videostreams der Kameras kümmert) kommunizieren dürfen, um dort ihre Daten abzulegen.
2. Ein zweites Netzwerkinterface am NAS
Hier wird das Netzwerk so konfiguriert, dass an Netzwerkport 1 vom NAS dein normales Heimnetzwerk hängt (z.B. IP Bereich 10.0.1.x) und an Netzwerkport 2 hängt das Kamera Netzwerk (IP Bereich 10.0.2.x). Hier fungiert quasi das NAS als Firewall, weil so ein NAS üblicherweise keine Router-Funktionalität integriert hat und so die beiden Netzwerke voneinander abgeschottet sind.
Man kann nun also vom PC aus dem Heimnetzwerk auf das NAS zugreifen, und das NAS kann mit den Kameras kommunizieren,
aber es gibt keinen Weg um vom PC direkt auf die Kameras (oder umgekehrt) zuzugreifen.
Mit einer Firewall ist man natürlich wesentlich flexibler, weil man z.B. auch einzelne andere Geräte im Heimnetzwerk damit beschränken kann, und natürlich nicht durch die 2 Ports am NAS beschränkt ist und dadurch mehr als 2 getrennte Netzwerke damit verwalten kann.
Aber aber aber, wozu brauche ich jetzt überhaupt noch VLANs und so einen teuren Switch?
Berechtigte Frage, denn: Es geht auch ohne VLAN, aber dann bräuchte es eben wieder mehr (unmanaged) Switches, einen Router mit einem Port pro Netzwerk, etc.
Ein VLAN Switch ist ja im Grunde einfach nur eine einfach konfigurierbare Möglichkeit, um mehrere getrennte Netzwerke zu erstellen. Soll heißen: Statt einem VLAN Switch mit 2 VLANs, kann ich auch einfach 2 Switches ohne VLAN nehmen, die
nicht(!) miteinander verbunden sind. Das Ergebnis ist dasselbe: 2 getrennte Netzwerke, die nicht miteinander kommunizieren können. Mit einem VLAN Switch kann ich allerdings die Verteilung der Ports auf die Netzwerke beliebig gestalten, brauche nicht für jedes Netzwerk einen separaten Switch, und mit VLAN Tagging kann ich ganz viele getrennte Netzwerke über ein Kabel laufen lassen.
Und welche Geräte braucht es nun für das alles? Wie üblich, gibt's für jede Aufgabe das passende Gerät, oder Geräte, die mehrere Sachen gleichzeitig können:
Wenn man den "unmanaged" Weg gehen will, hieße das:
Pro Netzwerk einen (unmanaged) Switch, und einen Router, der für jedes Netzwerk einen getrennten Port hat. Und dazwischen noch eine Firewall (oder im Router integriert). Das kann sehr schnell ziemlich teuer werden, vor allem wenn man einen Router mit extrem vielen Ports braucht, und natürlich ist es unflexibel. Alternativ kann man natürlich auch mehrere kleine Router hintereinander schalten, aber dann hat man noch mehr Kisten im 19"-Rack und die Konfiguration wird richtig umständlich.
Und deshalb gibt's (smart) managed Switches mit VLANs und allem was dazu gehört. Aber auch hier hat man natürlich wieder die Qual der Wahl. Hier ein paar der üblichen Lösungen:
3 getrennte Geräte für Switch, Router und Firewall. Je nach Router und Firewall (ob er VLAN kann oder nicht), reicht dann ein Gerät mit 1 oder 2 Ports, oder eben so viele Ports wie man VLANs hat - was am Switch natürlich auch wieder pro VLAN einen Port belegt.
Alternativ dasselbe Spiel nur mit einem Router mit integrierter Firewall (bzw. umgekehrt, weil eigentlich jede Firewall auch Routing macht).
Oder man nimmt einen Layer 3 Switch mit integriertem Router und Firewall, wie z.B. die EdgeSwitch Geräte von Ubiquiti.
Aber: Kosten, Kosten, Kosten?
So ein 24 Port Layer 3 Switch mit PoE kann ziemlich in's Geld gehen. Evtl. lohnt es sich den PoE Kram auszulagern. Ich hab das jetzt nicht durchgerechnet, aber falls du an diesen Punkt kommen solltest, kannst du dein Netzwerk auch z.B. so umsetzen:
Hier wird ein kompletter unmanaged PoE Switch dem VLAN 2 zugeordnet. Weil er unmanaged ist, gehören automatisch all seine Ports auch zu VLAN 2. Hier könnte man nun einfach alle Kameras anschließen und gebündelt vom restlichen Netzwerk abschotten bzw. nur Zugriff auf einen einzelnen Rechner geben.
Für's WLAN gibt's (natürlich) auch wieder mehrere Optionen. Es gibt VLAN fähige Access Points, wo man dann mehrere SSIDs anlegen kann und jede SSID einem anderen VLAN zuordnen kann. Oder man benutzt einfach mehrere Kabel und mehrere ganz normale Access Points und hat dann pro Access Point ein VLAN.
Die Möglichkeiten in der Netzwerktechnik sind unendlich. Viele Wege führen zum Ziel. Aber ich würde sagen: Für den Privatgebrauch ist ein einzelnes Gerät, mit dem sich alles steuern lässt, sicherlich die einfachste Lösung. Weitere unmanaged Switches lassen sich ja einfach hinzufügen, um die VLANs zu erweitern.
Und noch ein Hinweis zur Namensvergabe:
Benutze NIEMALS(!) VLAN 1 Bei den meisten Switches wird das intern verwendet, d.h. entweder zerschießt du dir damit die Konfiguration oder baust dir ein Sicherheitsloch in dein System. Im Normalfall benennt man die VLANs in 10er Schritten: 10, 20, 30, 40, etc. Die Zahlen dazwischen sind natürlich auch okay, Hauptsache niemals die 1.