Planung Serverschrank + Switch Neubau

[Midium]

Spätestens wenn Ehefrau 1.0 mitreden darf, wirst Du zurecht gute Argumente dafür brauchen wieso man so viel Luft in einem großen, hässlichen und unpraktischen Gehäuse einpacken muss.

Immerhin ist es der Keller. Wenn die Luft ansonsten sowieso nur ungenutzt herumgestanden hätte, hält sich der Nachteil dadurch in Grenzen.
Dabei kommt es natürlich auf die Wahl einer passenden (verständnisvollen) Version der Ehefrau an. Schließlich sollten Partner ja Hobbys und Wünsche des anderen akzeptieren, ohne das es immer einen unbedingten Sinn hat.

Da muss dann aber aber noch ein Router dazu, der genügend VLANs auch untereinander Routen kann.
Und mindestens ne 3kW USV.
Ein Blade Server könnte auch nicht Schaden.
Ne Hardware Firewall ist ja hoffentlich Pflicht. Das muss man ja nicht extra empfehlen.
Welches Klimagerät willst Du denn nutzen? Und welchen Pool mit der Abwärme heizen?

Der eine kauft sich ein Auto mit 400 PS, der andere ein Klimagerät um den Technikraum auf Temperatur zu halten. Diskutieren kann man über beides.

 

[bender_]

Dein Hobby ist es also Mehrfachsteckdosen für Netzwerktechnik in Serverschränke einzubauen?
Ist nicht besonders zeitaufwendig und hinterlässt hässliche Kisten wo es keine braucht, oder?
Womöglich noch mit Glastür, dass man die blinkenden LEDs vom Switch sehen kann? Und denen siehst Du dann stundenlang zu, oder wie soll ich mir das vorstellen?
So erledigt sich das Thema mit Ehefrau 1.0 natürlich ganz von selbst.

 

[blackshuck]

Mhhh also meine Ehefrau 1.0 hat Gott sei Dank keine Probleme damit

 

[madmax2010]

Zur not müsstest du kurz patchen

 

[blackshuck]

Muss ja kein Major-Patch sein. Reicht ja von 1.0 auf 1.1

 

[madmax2010]

jo, richtiges refactoring mit upgrade ist definitiv nicht nötig

 

[sEs4m]

Irgendwo sind wir hier vom Thema abgekommen Meine Frau trägt aber alles mit und ist selber an einem ordentlichen und aufgeräumten Raum im Keller interessiert. Also kann dieser Punkt, zumindest für mich, abgehakt werden :-)

Danke @benneq für die wertvollen Hinweise. Um irgendwie zu starten, habe ich mal die gh Suche bedient. Dabei bin ich auf folgendes Switch gestoßen, welches u.a. eine Weboberfläche (fairer Punkt übrigens!) und den 802.1q Standard unterstützt: Netgear JGS524PE. Der Punkt mit der Link Aggregation ist auch valide, da unser NAS über zwei Gigabit Ports verfügt und auch so angeschlossen werden soll. Hierzu steht in der Anleitung folgendes: Link-Aggregation/Port-Trunking für größere Uplink-Bandbreite (16-Port- und 24-Port-Modelle unterstützen nur statische manuelle LAGs. Passt das?

Das Switch von oben hat jetzt die PoE Ports integriert. Wenn ich jetzt aber ein großes (smart) managed ohne PoE Ports installiere und die PoE Ports über ein separates Switch bereitstelle, muss dieses dann auch (smart) managed sein, damit die VLANs untereinander funktionieren?

Aktuell schaue ich noch nach dem Stromverbrauch der Teile, da ich das auch für einen wichtigen Punkt halte. Ist ja bei einigen Kommentaren auch angeklungen. Ich frage mich, was die stromsparende (und umweltfreundliche) Alternative wäre. Ein unmanaged Switch und ein kleines PoE Switch?

 

[benneq]

Aktives PoE frisst natürlich am meisten Strom Aber das liegt ja in der Natur der Sache. Wenn du an die PoE Ports keine PoE Geräte anschließt, dann wird sich der Stromverbrauch auch nicht wirklich von anderen nicht-PoE-Switches unterscheiden.

Und ich bezweifle, dass zwei Switches weniger Strom brauchen als ein einzelner, der alles kann. Zumal dann wieder die VLAN Geschichte etwas komplizierter wird, weil man in beiden Switches die Konfiguration vornehmen muss. Es gibt natürlich auch komplette Netzwerksysteme wie z.B. von Ubiquiti, Cisco und co. wo man das gesamte Netzwerk (also alle Switches, WiFi Access Points, Router, etc. pp.) von einem zentralen Punkt aus konfigurieren kann. Inkl. Monitoring bzgl. Auslastung, Latenzen und Flaschenhälsen und so. Klingt zwar erst mal verlockend, aber in einem kleinen Heimnetzwerk schaut man sich das nach spätestens 2 Tagen nie wieder an.
Und dann muss man natürlich alle Geräte von einem Hersteller nehmen - koste es was es wolle (das darfst du gern wörtlich nehmen).

Oder ganz einfach ausgedrückt: Wenn das Finanzielle keine all zu große Rolle spielt und du Bequemlichkeit auf Apple-Niveau willst, kauf bei Ubiquiti ein. Aber dann solltest du auch gleich alle Geräte für die Netzwerkinfrastruktur dort kaufen, sonst lohnt es sich nicht wirklich. Cisco und co. bieten da ähnliche Lösungen, aber bei Ubiquiti hat man sich vor allem die Benutzerfreundlichkeit ganz groß auf die Fahnen geschrieben.

---
EDIT: Die Nachteile von Ubiquiti sollte man natürlich auch aufführen: Produktvielfalt und Herstellergarantie.
Bei Ubiquiti muss man auf ein vergleichsweise kleines Portfolio zurückgreifen, und dann im Zweifelsfall halt ein deutlich zu großes Gerät kaufen - oder mehrere kleine. Z.B. wenn man einen 32 Port Switch braucht. Bei den anderen Herstellern findet man was passendes in jeder Größe.
Bei Cisco, Netgear, HP und ZyXEL bekommt man 10 Jahre Herstellergarantie (offiziell heißt es "lebenslang", aber in Deutschland wird das, soweit ich weiß, auf 10 Jahre begrenzt), bei Ubiquiti nur 1. Möglicherweise bieten manche Händler auch kostenpflichtige Erweiterungen des Garantiezeitraums an, aber für mich persönlich hinterlässt es immer einen faden Beigeschmack, wenn scheinbar schon der Hersteller seinen Produkten nur ein Jahr über den Weg traut. Vor allem wenn es nicht gerade um irgendwelchen billigen Kram geht, wo man auch nichts anderes erwartet. Bei Apple ist das ja auch nicht anders. ... und ja, ... ich kaufe es trotzdem In manchen Bereichen gibt's halt (noch?) einfach keine wirklichen Alternativen.
Preislich tun sich die großen Hersteller nichts. Je nach Ausstattung ist mal der eine, mal der andere, ein ganzes Stück günstiger oder teurer. Und beim nächsten Gerät sieht's wieder umgekehrt aus.
---

Zur Verwendung mehrerer Switches gibt's unten im SPOILER Kasten auch noch mal ein paar wichtige Hinweise.

Für den Heimgebrauch mit 3-4 VLANs und 20 Endgeräten sollte man aber auch problemlos mit einem (Smart) Managed Switch zurecht kommen. Umrüsten kann ja später bei Bedarf immer noch.

Bzgl. VLAN habe ich gerade mal ein kleines Bild gemalt:

Erklärung: Grundsätzlich muss (bzw. sollte) man bei einem VLAN Switch jedem Port ein VLAN zuordnen. Alles in BLAU ist VLAN 1 und alles in ROT ist VLAN 2. (Der Einfachheit halber habe ich es bei 2 VLANs belassen, mit mehr VLANs verhält es sich nicht anders, es wäre nur noch bunter und unübersichtlicher geworden)

Verbindung zwischen Switch 1 (VLAN-fähig) und dem Switch 3 (ohne VLAN) läuft folgendermaßen ab: Der Port von Switch 1 an dem Switch 3 hängt wurde VLAN 2 zugeordnet. Also wird Switch 1 nur Netzwerkpakete die für VLAN 2 bestimmt sind an diesen Switch weiterleiten - und umgekehrt alle Netzwerkpakete die von diesem Switch kommen auch nur an andere VLAN 2 Ports (also in diesem Fall "Gerät 2" und "Switch 2") weiterleiten. Heißt vereinfacht zusammengefasst: Alles was an Switch 3 hängt gehört automatisch zu VLAN 2.

Verbindung zwischen Switch 1 (VLAN-fähig) und Switch 2 (VLAN-fähig): Da gibt es grundsätzlich 2 Varianten. Ein mal eine Verbindung mit einem Kabel mittels Tagging, oder alternativ eine Verbindung mit einem Kabel pro VLAN ohne Tagging.

Spoiler: Es sind natürlich auch noch diverse Mischformen möglich

Man kann natürlich auch die Verbindung mit "einem Kabel" mittels Link Aggregation über mehrere Kabel laufen lassen, um die Bandbreite zu erhöhen.
Und man könnte auch eine Verbindung mit 2 Kabeln und 3 VLANs realisieren, sodass z.B. auf Kabel 1 nur VLAN 1 übertragen wird und auf Kabel 2 mittels Tagging VLAN 2 und VLAN 3. (Und natürlich könnte man diese Verbindungen durch den Einsatz mehrerer Kabel mittels Link Aggregation noch jeweils in der Bandbreite erhöhen)

Insgesamt dient das alles aber demselben Zweck: Bandbreite erhöhen bzw. aufteilen.

Bedenke: Wenn du 2 Switches mit einer 1Gbit/s Verbindung verbindest, dann hast du zwischen diesen beiden Switches einen Flaschenhals geschaffen. Wenn nun z.B. an Switch 1 das NAS hängt und an Switch 2 die ganzen Endgeräte, die auf das NAS zugreifen wollen, dann läuft der gesamte Datenverkehr über das 1Gbit/s-Nadelöhr zwischen Switch 1 und Switch 2. Da hilft es dann auch nicht, dass das NAS mit 2x 1Gbit/s an Switch 1 angebunden ist.
Stell dir eine 4-spurige Autobahn vor, die in der Mitte plötzlich 1-spurig wird. Da ist der Stau vorprogrammiert, wenn der 4-spurige Teil ausgelastet ist.

Einfacher ist es in jedem Fall zwei Switches mit 10Gbit Port (egal ob SFP+ oder RJ45 Ethernet) zu nehmen, dann hat man Bandbreite genug. Sowas gibt's natürlich auch wieder in mehreren Ausführungen: Z.B. ein 24-Port-10Gbit/s-Switch, also mit 24x 10Gbit/s Ports - sehr teuer und für 99% der Endgeräte unnötig. Oder z.B. einen 24-Port-1Gbit/s-Switch, der zusätzlich noch 2x 10Gbit/s Ports hat, um halt 2 Geräte mit erhöhter Bandbreite anzubinden. (Und natürlich noch diverse Abstufungen dazwischen)

Verbindung mit einem Kabel und Tagging: Alle Netzwerkpakete, die zwischen den Switches ausgetauscht werden, werden mit einer Zusatzinformatik versehen, zu welchem VLAN sie gehören. Also weiß der Switch aus welchem VLAN das Netzwerkpaket kommt, und an welche Ports das Paket weitergeleitet werden muss.

Verbindung mit zwei Kabeln ohne Tagging: Die Ports der Switches wurden ja bereits für ein bestimmtes VLAN konfiguriert, hier übernimmt quasi die Kabelverbindung das Tagging. Wenn man an einem der beiden Switches die Kabel vertauscht, sind nun plötzlich andere Geräte in den jeweiligen VLANs. Das kann bei der Variante mit einem Kabel nicht passieren, weil dort die Zuordnung in der Konfiguration des Switches vorgenommen wurde. (Also klar, wenn man in der Konfiguration die VLANs vertauscht erhält man dasselbe Ergebnis).

 

[sEs4m]

Wow, vielen Dank für deine ausführliche Erklärung @benneq! Das weiß ich wirklich sehr zu schätzen. Denke ich habe alle Punkte verstanden. Die Flaschenhalsthematik ist auch klar, sollte aber kein Problem sein, da hypothetisch nur die Kameras im Außenbereich auf einem kleinen PoE Switch hängen, was per Kabel mit dem "Hauptswitch" verbunden wird.

Eine Sache ist mir aber noch nicht klar, wie funktioniert in deinem Beispiel der Austausch von Daten zwischen Gerät 3 und Gerät 2 oder 4?

So wie es sich für mich aber gerade abzeichnet gehen wir auf ein kombiniertes (smart) managed Switch inkl. PoE. Und hier finde ich die Idee von den Ubiquiti Geräte mit der benutzerfreundlichen Software sehr interessant. Vor allem weil wir genug mit der Parametrierung unseres KNX zu tun haben. Andererseits, wie du schon richtig schreibst, richtet man so etwas einmal ein und ändert dann ohnehin nur noch sehr selten etwas an den Einstellungen.

 

[benneq]

Eine Sache ist mir aber noch nicht klar, wie funktioniert in deinem Beispiel der Austausch von Daten zwischen Gerät 3 und Gerät 2 oder 4?

Ganz einfach gesagt: Mit einem Router.

Damit ist jetzt natürlich nicht diese bunte Mischung aus "DSL-Modem, Ethernet Switch, WLAN Access Point, DHCP Server, DECT Basisstation, VPN Server, NAS Funktionalität, etc., ... und Router" gemeint, die man von seinem Internet Provider als Router verkauft bekommt, sondern einen ganz klassischen Router - also quasi der Router-Begriff wie er ursprünglich aus der Netzwerktechnik kommt.

Ein Router verbindet (mindestens) zwei Netzwerke miteinander, und über die Routing-Tabelle entscheidet er welchen Weg ein Netzwerkpaket nehmen soll. Ein Router arbeitet auf Layer 3.

Also im Grunde genau das was so eine handelsübliche FritzBox auch (neben den ganzen anderen oben genannten Sachen) macht: Sie übernimmt das Routing der Netzwerkpakete zwischen deinem Heim-Netz und dem großen Inter-Net(z).

Und wenn du nun deine beiden Netzwerke (bzw. VLANs) per Router verbunden hast, stehst du im Prinzip wieder vor deinem alten Problem: Alle Geräte können beliebig miteinander kommunizieren. Der Router macht also genau das was er soll! Also alles wunderbar? Nicht ganz...

Denn genau das wollten wir ja verhindern: Kameras und Heimnetzwerk sollen getrennt sein! Für die Lösung des Problems gibt's wieder diverse Möglichkeiten:
1. Die Firewall (je nach Gesprächspartner auch ACL oder Paketfilter genannt)
Also ein Gerät, das anhand von Protokoll (z.B. IPv4 oder IPv6) und Quell- und Ziel-IP die Weiterleitung von Netzwerkpaketen erlaubt oder verbietet. Damit lässt sich nun also ziemlich einfach festlegen, dass alle IP-Adressen aus dem Kamera Netzwerk ausschließlich auf mit dem NAS (ich verwende hier einfach mal das NAS als Server, der sich um die Videostreams der Kameras kümmert) kommunizieren dürfen, um dort ihre Daten abzulegen.

2. Ein zweites Netzwerkinterface am NAS
Hier wird das Netzwerk so konfiguriert, dass an Netzwerkport 1 vom NAS dein normales Heimnetzwerk hängt (z.B. IP Bereich 10.0.1.x) und an Netzwerkport 2 hängt das Kamera Netzwerk (IP Bereich 10.0.2.x). Hier fungiert quasi das NAS als Firewall, weil so ein NAS üblicherweise keine Router-Funktionalität integriert hat und so die beiden Netzwerke voneinander abgeschottet sind.
Man kann nun also vom PC aus dem Heimnetzwerk auf das NAS zugreifen, und das NAS kann mit den Kameras kommunizieren, aber es gibt keinen Weg um vom PC direkt auf die Kameras (oder umgekehrt) zuzugreifen.

Mit einer Firewall ist man natürlich wesentlich flexibler, weil man z.B. auch einzelne andere Geräte im Heimnetzwerk damit beschränken kann, und natürlich nicht durch die 2 Ports am NAS beschränkt ist und dadurch mehr als 2 getrennte Netzwerke damit verwalten kann.

Aber aber aber, wozu brauche ich jetzt überhaupt noch VLANs und so einen teuren Switch?

Berechtigte Frage, denn: Es geht auch ohne VLAN, aber dann bräuchte es eben wieder mehr (unmanaged) Switches, einen Router mit einem Port pro Netzwerk, etc.
Ein VLAN Switch ist ja im Grunde einfach nur eine einfach konfigurierbare Möglichkeit, um mehrere getrennte Netzwerke zu erstellen. Soll heißen: Statt einem VLAN Switch mit 2 VLANs, kann ich auch einfach 2 Switches ohne VLAN nehmen, die nicht(!) miteinander verbunden sind. Das Ergebnis ist dasselbe: 2 getrennte Netzwerke, die nicht miteinander kommunizieren können. Mit einem VLAN Switch kann ich allerdings die Verteilung der Ports auf die Netzwerke beliebig gestalten, brauche nicht für jedes Netzwerk einen separaten Switch, und mit VLAN Tagging kann ich ganz viele getrennte Netzwerke über ein Kabel laufen lassen.

Und welche Geräte braucht es nun für das alles? Wie üblich, gibt's für jede Aufgabe das passende Gerät, oder Geräte, die mehrere Sachen gleichzeitig können:
Wenn man den "unmanaged" Weg gehen will, hieße das: Pro Netzwerk einen (unmanaged) Switch, und einen Router, der für jedes Netzwerk einen getrennten Port hat. Und dazwischen noch eine Firewall (oder im Router integriert). Das kann sehr schnell ziemlich teuer werden, vor allem wenn man einen Router mit extrem vielen Ports braucht, und natürlich ist es unflexibel. Alternativ kann man natürlich auch mehrere kleine Router hintereinander schalten, aber dann hat man noch mehr Kisten im 19"-Rack und die Konfiguration wird richtig umständlich.

Und deshalb gibt's (smart) managed Switches mit VLANs und allem was dazu gehört. Aber auch hier hat man natürlich wieder die Qual der Wahl. Hier ein paar der üblichen Lösungen:
3 getrennte Geräte für Switch, Router und Firewall. Je nach Router und Firewall (ob er VLAN kann oder nicht), reicht dann ein Gerät mit 1 oder 2 Ports, oder eben so viele Ports wie man VLANs hat - was am Switch natürlich auch wieder pro VLAN einen Port belegt.
Alternativ dasselbe Spiel nur mit einem Router mit integrierter Firewall (bzw. umgekehrt, weil eigentlich jede Firewall auch Routing macht).
Oder man nimmt einen Layer 3 Switch mit integriertem Router und Firewall, wie z.B. die EdgeSwitch Geräte von Ubiquiti.

Aber: Kosten, Kosten, Kosten?

So ein 24 Port Layer 3 Switch mit PoE kann ziemlich in's Geld gehen. Evtl. lohnt es sich den PoE Kram auszulagern. Ich hab das jetzt nicht durchgerechnet, aber falls du an diesen Punkt kommen solltest, kannst du dein Netzwerk auch z.B. so umsetzen:

Hier wird ein kompletter unmanaged PoE Switch dem VLAN 2 zugeordnet. Weil er unmanaged ist, gehören automatisch all seine Ports auch zu VLAN 2. Hier könnte man nun einfach alle Kameras anschließen und gebündelt vom restlichen Netzwerk abschotten bzw. nur Zugriff auf einen einzelnen Rechner geben.

Für's WLAN gibt's (natürlich) auch wieder mehrere Optionen. Es gibt VLAN fähige Access Points, wo man dann mehrere SSIDs anlegen kann und jede SSID einem anderen VLAN zuordnen kann. Oder man benutzt einfach mehrere Kabel und mehrere ganz normale Access Points und hat dann pro Access Point ein VLAN.

Die Möglichkeiten in der Netzwerktechnik sind unendlich. Viele Wege führen zum Ziel. Aber ich würde sagen: Für den Privatgebrauch ist ein einzelnes Gerät, mit dem sich alles steuern lässt, sicherlich die einfachste Lösung. Weitere unmanaged Switches lassen sich ja einfach hinzufügen, um die VLANs zu erweitern.

Und noch ein Hinweis zur Namensvergabe: Benutze NIEMALS(!) VLAN 1 Bei den meisten Switches wird das intern verwendet, d.h. entweder zerschießt du dir damit die Konfiguration oder baust dir ein Sicherheitsloch in dein System. Im Normalfall benennt man die VLANs in 10er Schritten: 10, 20, 30, 40, etc. Die Zahlen dazwischen sind natürlich auch okay, Hauptsache niemals die 1.

 

[commandobot]

Irgendwo sind wir hier vom Thema abgekommen
Aktuell schaue ich noch nach dem Stromverbrauch der Teile, da ich das auch für einen wichtigen Punkt halte.

Wie sieht das Ergebnis deines Projekts aus?

 

[sEs4m]

Kleiner 19 Zoll Serverschrank mit 9 HE und Ubiquiti USW-24-PoE. Liegt aber alles noch verpackt im Keller. Aktuell stehen zwei Fritzboxen rum und versorgen die notwendigsten Geräte. Die Fritzboxen brauche ich später leider ohnehin für DECT Telefonie.

Melde mich mit einem Update, sobald alles verbaut ist.