ComputerBase Menü
Aktuelles

Umstellung auf vLans

G

gunpie

Newbie
Registriert
Okt. 2021
Beiträge
5
Hallo, bisher sieht unser Netzwerk im Schülerlabor so aus:
Folie1.JPG

Doch jetzt kommen neue Anforderung dazu:
1. der Drucker muss von allen Clients im Lan erreichbar sein, also auch aus dem Gästenetzwerk an FB Lan4
2. Wir benötigen ein eigenes wLan für bestimmte Versuchsaufbauten, auch hier muss der Drucker erreichbar sein
3. Wir wollen das Nasslabor vom Seminarraum trennen, da hie zukünftig zeitgleich Kurse laufen werden.

Ich habe dazu folgende Idee, bei deren Umsetzbarkeit ich aber nicht sicher bin. Als gemeinnütziger Verein wurden wir von dem Lockdown sehr hart getroffen und damit ist auch unser Investitionsvolumen dehr überschaubar. Teure aber erfolglose Experiment können wir uns nicht leisten.
Deshalb hier mein Plan:
Folie2.JPG

Den neuen Switch und den Accesspoint habe ich durchaus auch mit dem Blick auf die Kosten gewählt, bin aber nicht bereits gebunden sondern brauche Vorschläge, Tipps und Hinweise.

Danke vorab!
 
Für vLANs braucht ihr auch entsprechend gateways, wenn übergreifende (geregelte) Kommunikation gewünscht ist. Die f*box wird mit vlan-tags nicht wirklich viel anfangen können.

Ein PoE-Switch ist der Zeichnung nach völlig überflüssig. Bei nur einem PoE-fähigen Teilnehmer reicht auch ein injector.
 
  • Gefällt mir
Reaktionen: Yesman9277 und t-6
Twostone schrieb:
Für vLANs braucht ihr auch entsprechend gateways, wenn übergreifende (geregelte) Kommunikation gewünscht ist. Die f*box wird mit vlan-tags nicht wirklich viel anfangen können.

Ein PoE-Switch ist der Zeichnung nach völlig überflüssig. Bei nur einem PoE-fähigen Teilnehmer reicht auch ein injector.
Zum Vergrößern anklicken....

So wie ich das sehe brauchen die APs das POE, also macht der POE Switch schon sind. Die FB ist hinter dem Switch und hat dann als default GW nichts mehr mit den VLANs zu tun. Was halt bedacht werden muss, dass der Switch in der Mitte (hier der TP) Layer 3 Routing können muss. Sonst löft da nichts.
 
Twostone schrieb:
Ein PoE-Switch ist der Zeichnung nach völlig überflüssig. Bei nur einem PoE-fähigen Teilnehmer reicht auch ein injector.
Zum Vergrößern anklicken....
Das ist richtig, aber hier denke ich auch an die Zukunft und den Einsatz von Überwachungskameras.
-Overlord- schrieb:
Kann der Switch Routing auf Layer 3?
Zum Vergrößern anklicken....
muss ich prüfen.
Twostone schrieb:
Für vLANs braucht ihr auch entsprechend gateways, wenn übergreifende (geregelte) Kommunikation gewünscht ist. Die f*box wird mit vlan-tags nicht wirklich viel anfangen können.
Zum Vergrößern anklicken....
Wenn wLan der Fritzbox somit den Drucker an vLan1 nicht erreichen kann, dann werde ich das zukünftige wLan auch über einen AP an einem vLan betreiben. Das Gäste wLan hat sowieso nix auf dem Drucker verloren. Die Gäste dürfen ins Internet und sonst nix. Sie können noch nicht einmal untereinander kommunizieren.
 
Wenn ihr noch einen kleinen, stromsparenden Rechner habt, der nicht mehr gebraucht wird, könnt ihr den entsprechend als Gateway (DHCP, DNS-Relay, firewall, etc) nutzen. Irgend etwas werdet ihr jedoch brauchen, damit die vlans sauber voneinander getrennt sind, jedoch Namensauflösung und Adressvergabe noch funktionieren können.
 
  • Gefällt mir
Reaktionen: Yesman9277
Ich würde die vorhandene(?) FB nur noch als Modem nutzen und alle weiteren Funktionen über Router/Switch(L3) erledigen. Alles andere ist unprofessionel und wenn etwas nicht passt, läuft man in die Haftung rein.

Die TP-Link AP (andere Hersteller haben das auch) können mehrere SSID (Mitarbeiter, Gäste, Seminar, Nass etc.) von einem AP aussenden bzw. über schiedene AP.

Muss der AP WiFi6 können? Funktionen kosten alle nur Geld.

Wenn ich von mehreren Räumen lese, Abdeckung überdenken und kritisch prüfen, ob wirklich ein AP reicht.


gunpie schrieb:
Das ist richtig, aber hier denke ich auch an die Zukunft und den Einsatz von Überwachungskameras.
Zum Vergrößern anklicken....
Wenn du dich an ein Forum wendest, bitte stelle alle möglichen Informationen zur Verfügung und lass dir das nicht aus der Nase rausziehen (No offence)
Netzwerkplan? Bezeichnung von Switchen?

Entweder hat man von der Materie Ahnung oder man arbeitet sich da hinein.
Ansonsten ab zum Profi. Der kann sich das auch vor Ort anschauen und in einem persönlichen Gespräch lassen sich Dinge oft am besten klären. Wenn der das macht, kostet es natürlich, aber dann ist wes wenigstens nicht erfolglos.
 
F31v3l schrieb:
Wenn du dich an ein Forum wendest, bitte stelle alle möglichen Informationen zur Verfügung und lass dir das nicht aus der Nase rausziehen (No offence)
Zum Vergrößern anklicken....
Da habe ich mich wohl aus Glatteis locken lassen, als ich mich erdreistet habe auf einen Einwand zu antworten, denn unsere Zukunftspläne stehen doch gar nicht zur Debatte!!!
F31v3l schrieb:
Netzwerkplan? Bezeichnung von Switchen?
Zum Vergrößern anklicken....
Den Ist zustand habe ich doch beschrieben, welche Rolle spielen hier die aktuellen Switche? Sie sollen doch nur genügend Ports, so wie bislang auch, anbieten. Ist beim Betrieb von Switches in einem vLan da etwas zu beachten? Drohen hier Funktionalitätsverluste?
F31v3l schrieb:
Entweder hat man von der Materie Ahnung oder man arbeitet sich da hinein.
Zum Vergrößern anklicken....
Bin gerade in der Einarbeitungsphase
Ergänzung ()

F31v3l schrieb:
ch würde die vorhandene(?) FB nur noch als Modem nutzen und alle weiteren Funktionen über Router/Switch(L3) erledigen. Alles andere ist unprofessionel und wenn etwas nicht passt, läuft man in die Haftung rein.
Zum Vergrößern anklicken....
Kannst du hier etwas genauer werden, was bedeutet in diesem Kontext "unprofessionel" Wer haftet wann wofür?
F31v3l schrieb:
Die TP-Link AP (andere Hersteller haben das auch) können mehrere SSID (Mitarbeiter, Gäste, Seminar, Nass etc.) von einem AP aussenden bzw. über schiedene AP
Zum Vergrößern anklicken....
Nett zu wissen, war aber nicht Teil meiner Frage. Ich suche nicht nach einer wLan-Gesamtlösung. Die Lans haben schon ihren Sinn. Ich habe die zusätzliche wLan abdeckung durchaus im Blick, aber auch hier: kein Teil meiner Frage.
 
Zuletzt bearbeitet:
Also laut Datenblatt ist der TL-SG2210P ein Layer2+ Switch inkl. DHCP-Server, statischen Routen und auch ACLs. Es ist scheinbar "fast" ein Layer3-Switch. Das heißt, er müsste für den gewünschten Zweck ausreichend sein.

Wie gut der Switch dazu taugt, vermag ich aber nicht zu beurteilen. Alternativ kann man natürlich auch einen MikroTik oder einen EdgeRouter an dieser Stelle als Router betreiben.
 
-Overlord- schrieb:
Was halt bedacht werden muss, dass der Switch in der Mitte (hier der TP) Layer 3 Routing können muss. Sonst löft da nichts.
Zum Vergrößern anklicken....
Das kann der geplante Switch wohl nicht, aber Layer3 Switches/Router sind sicher beschaffbar. Ich muss doch nur sicherstellen, dass der Drucker von (fast) allen erreichbar ist.
 
Eine FB ist für den Heimeinsatz gedacht, vllt. auch noch ein kleines Unternehmen. Aber wenn wie in diesem Fall VLANs ins Spiel kommen, ist die FB technisch einfach raus. Dann braucht es entsprechende Geräte und dann sollte man die nicht mit Consumerprodukten mischen, wenn es nicht sein muss (z.B. Telefonie).

Haftung ist spätestens nach Einführung der DSGVO/GDPR ein richtiges Thema. Sprich die Ausstattung ist so zu wählen und zu konfigurieren, dass niemand unbefugten Zugriff auf persönliche Daten hat. Wenn nicht, sitzt du auf einer Bombe. Und es muss am Ende ja nur eine Person geben, die ein Fass aufmacht.
Und am Ende bist du persönlich derjenige, der dafür verantwortlich ist. Die Argumente "gemeinnütziger Verein", "Corona" und "wenig Geld" helfen wenn nur strafmildernd, aber die Scherereien haste auf jeden Fall an der Backe. Also gut überlegen.
 
  • Gefällt mir
Reaktionen: <NeoN>
Nur so zum Verständnis, ich meine, dass ein VLAN-fähiger Layer-2-Switch durchaus geeignet ist, verschiedene Ports voneinander zu trennen. Was halt nicht geht ist Routing etc.
Ergo, was der TE anscheinend möchte, sollte keinerlei Problem sein.
Hab aber quasi keine eigene Erfahrung damit.

Danach kämen Fritzbox und Drucker z.B. ins VLAN1, alle anderen Ports bekämen ihre eigene PVID und sind Untag Egress Member der eigenen PVID und PVID1, der Port mit FB und Drucker wiederum auch Untag Egress Member der verschiedenen PVID.
 
Zuletzt bearbeitet von einem Moderator:
F31v3l schrieb:
Eine FB ist für den Heimeinsatz gedacht, vllt. auch noch ein kleines Unternehmen. Aber wenn wie in diesem Fall VLANs ins Spiel kommen, ist die FB technisch einfach raus. Dann braucht es entsprechende Geräte und dann sollte man die nicht mit Consumerprodukten mischen, wenn es nicht sein muss (z.B. Telefonie).
Zum Vergrößern anklicken....
Du sagst also, dass alle die eine Fritzbox nutzen eigentlich sicherheitstechnische Idioten sind.
F31v3l schrieb:
Haftung ist spätestens nach Einführung der DSGVO/GDPR ein richtiges Thema. Sprich die Ausstattung ist so zu wählen und zu konfigurieren, dass niemand unbefugten Zugriff auf persönliche Daten hat. Wenn nicht, sitzt du auf einer Bombe. Und es muss am Ende ja nur eine Person geben, die ein Fass aufmacht.
Und am Ende bist du persönlich derjenige, der dafür verantwortlich ist.
Zum Vergrößern anklicken....
Klingt bei mir nach typischer Berater/Marketing Phrase. Ich werde meinen Vorstandskollegen auf gar keinen Fall dazu raten einen externen Berater dazu ziehen.
Ich habe selber jahrelang im ITIL Bereich beraten und kenne die typischen Phrasen mit denen man einen potentiellen Kunden weich kocht. Verschon mich bitte damit.
 
gunpie schrieb:
Du sagst also, dass alle die eine Fritzbox nutzen eigentlich sicherheitstechnische Idioten sind.
Zum Vergrößern anklicken....
Sagt er keineswegs. Er sagt nur, daß die f*box für einen anderen Einsatzzweck konzipiert wurde, als für Unternehmen benötigt wird.

gunpie schrieb:
Klingt bei mir nach typischer Berater/Marketing Phrase.
Zum Vergrößern anklicken....
Er hat schon recht, beim Bereitstellen und Erheben von Daten ist auch nach dem alten Datenschutzgesetz einiges zu beachten. Solltest Du in Betrecht ziehen, wenn Du Zugangsberechtigungen und -beschränkungen auch in der Infrastruktur erstellst. Aber das weißt Du sicherlich auch. Die DSGVO zieht die alten Anforderungen teilweise gar ad absurdum, ist dennoch aber zu beachten. Auch bei solch "kleinen" Projekten.

Neben den technischen Anforderungen solltest Du Dich auch unbedingt in die rechtlichen Anforderungen einlesen.
 
Scheinbar hat sich niemand außer mir die Mühe gemacht, das Datenblatt des Switches anzuschauen...
 
Bei L2+ switchen bitte immer Bedenken, dass die Routingleistung schnell ziemlich drastisch abfällt 10-100MBit/s sind da eher sie Regel als die Ausnahme....
 
Bob.Dig schrieb:
Ich bleib dabei, es wird gar kein Routing benötigt.
Zum Vergrößern anklicken....
Das mag sein. Was aber ist mit der restlichen Infrastruktur, wie z.B. einem DHCP? Und manche Geräte sollen ja außerhalb ihres vLANs mit Clients kommunizieren können, wie z.B. der Drucker. Also wird auch routing und filtering benötigt.
 
@Twostone DHCP macht die Fritzbox und "Filtering" findet über das quasi portbasierte VLAN statt, es bleibt bei nur einem Netz. Ich meine so etwas mal mit meinem Smart Switch gemacht zu haben.
 
Wen die Fritzbox den DHCP für alle vLANs stellen muß, dann wird die Fritzbox alle vLANs wieder zu einem gemeinsamen Netz bündeln - kann man sich die Einrichtung der verschiedenen vLANs auch sparen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Mahagonii
Bewertung Leitung nach Umstellung auf VDSL250
Antworten
19
Aufrufe
1.337
Mahagonii
Mahagonii
D
Umstellung auf Proxmox Debian
2
Antworten
25
Aufrufe
1.503
Recalion
R
I
Umstellung auf 11
Antworten
13
Aufrufe
1.184
ItsMe57
I
R
Kein Zugriff auf BIOS nach Umstellung von MBR auf GPT (UEFI soll aktiviert werden)
Antworten
4
Aufrufe
881
richardo06
R
U
TrueNAS Scale - Netzwerkabbrüche seit Umstellung auf Bridge
Antworten
14
Aufrufe
1.049
kieleich
kieleich
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz