Hi. Ich suche einen bezahlbaren Managed Switch (4-8 Ports) für folgendes Einsatzszenario: 3 VLANS. 1 und 2 sind zwei Wohneinheiten. 3 sind geteilte Ressourcen (Gemeinsames NAS und SatIP Headend) -Zwischen VLAN 1 und 2 sollen nur Daten ausgetauscht werden, wenn es sich um Unicasts handelt und die MAC Adresse im Switch freigegeben ist. Multicasts und Broadcasts sollen grundsätzlich im jeweiligen Netzbereich bleiben. Damit sollen die beiden Netzte zwar eigenständig sein. Manuell konfigurierte Direkt-Verbindungen sollen aber möglich sein. -Der Zugriff auf bestimmte IP Adressen oder Mac Adressen aus dem anderen VLAN soll unterbunden werden können. Der Internetrouter mit DHCP Server der jeweils anderen Wohnung soll nämlich nur aus dem jeweiligen Subnetz zugänglich sein, damit DHCP Anfragen und der Internetzugang immer nur vom eigenen Router bedient werden. -Auf VLAN 3 sollen beide Parteien zugreifen dürfen. Die Geräte in VLAN 3 bedinden sich in einer eigenen IP Range, und die jeweiligen Clients werden händisch darauf konfiguriert.
Ein Layer 2 Switch mit VLANs implementiert über die VLANs getrennte Netze, die mit Mitteln des Switches nicht miteinander kommunizieren. Ein Layer 3 Switch enthält zusätzlich Router-Funktion, um solche VLANs verbinden zu können. Der routet dann aber nicht anhand von MAC-Adressen, sondern IP-Adressen aus verschiedenen IP-Netzen. Und ist ein wenig teurer.
:
Bearbeitet durch User
Hab einen gefunden der auch nicht so teuer wäre: TP-Link TL-SG2008 Der kann z.B. Zugriffskontrollliste L2-..L4-Paketfilterung, basierend auf Quell- und Ziel-MAC-/IP-Adresse, TCP-/UDP-Ports, 802.1p, DSCP, Protokoll und VLAN-ID Zeitbasiert Damit wäre es doch möglich, DHCP Traffic über den Switch auszuschließen und auch die jeweilige Internet-Router-IP zu sperren, oder? Damit jeder seinen eigenen Internetrouter nutzt, sich die DHCP Server nicht in die Quere kommen, aber trotzdem interner Datentransfer und Zugriff auf das gemeinsame NAS und den SatIP Headend möglich ist.
Was mit VLANs auch ohne ACLs erreichbar ist: Eine Gerät ist aus mehreren VLANs erreichbar, indem der zugehörige Port mehreren VLANs zugeordnet ist. Damit lassen sich deine unter "VLAN 3" aufgeführten Geräte erreichen. Ein drittes VLAN ist dafür nicht erforderlich. Die Trennung der beiden Heimnetze wird interessanter, da du keine echte Trennung haben willst, sondern nur eine halbe. Bei getrennten VLANs ist mit Mitteln des Switches m.E. keine direkte Quer-Kommunikation möglich, egal ob Broad-, Multi oder Unicast. Wenn du das also so realisieren willst dann brauchst du eigentlich überhaupt keine VLANs, musst aber alle unerwünschte Kommunikation per ACL blocken.
:
Bearbeitet durch User
@A.K Einen Port beiden VLANS zuordnen, damit die Geräte von beiden Seiten aus erreicht werden können - Gute Idee. Auf eine direkte Kommunikation zwischen Rechnern in beiden Netzen würde ich notfalls noch verzichten, wenn es dadurch einfacher und günstiger wird. Man kann ja das NAS auch als temporäre Datenablage für die Transferdaten nutzen. Der Grund für die Installation ist: Es soll eine gemeinsame SAT-Anlage installiert werden, die auch nicht nur im Wohnzimmer genutzt werden kann. Mangels ausreichend Coaxkabeln (Sat braucht ja eine Sterninstallation, pro Receiver 1 Kabel zum Multischalter, von Systemen wie Unicable mal abgesehen) wäre das aber nicht ohne Installationsarbeiten machbar. Deswegen will ich auf Sat-IP gehen. Ein extra TV-LAN macht aber auch keinen Sinn. Und das NAS soll dann als gemeinsamen Datenspeicher für die PVR Funktion genutzt werden. Außerdem kann man dann Dateien untereinander tauschen, ohne dass es übers Internet läuft oder man einen "USB-Stick-Per-Pedes" Dateiaustausch macht. Beide Lans direkt mit Patchkabel verbinden geht auch nicht, da sich dann die beiden Internetrouter mit DHCP Server gegenseitig in die Quere kommen. Bei allen Endgeräten manuell die IP Adresse vergeben und DHCP ausschalten ist auc nicht zweckmäßig. Ein einziges "großes" Netz für beide Parteien mit geteiltem Internet kommt leider nicht in Frage, da meine Schwiegereltern gerne das "eigene" Internet behalten wollen.
Sven schrieb: > Einen Port beiden VLANS zuordnen, damit die Geräte von beiden Seiten aus > erreicht werden können - Gute Idee. Setzt allerdings voraus, dass diese Geräte eine feste IP kriegen. Und alle "einseitigen" Geräte, die damit kommunizieren sollen, disjunkte IPs haben.
:
Bearbeitet durch User
Naja, die TV SatIP Boxen und den SAT-IP Headend+NAS kann ich manuell konfigurieren. Das bau ich einmal auf, konfiguriere es und dann ist Ruhe. Das ist dann ein sozusagen eigenes Netz, aber ohne eigene Kabel, denn die würden keinen Sinn machen, dann könnt ich auch gleich Coax legen. Bei den PC's, Tablets und Smartphones wäre eine manuelle IP Konfiguration nicht Zielführend. Da ist zu viel Wechsel drin. Und dann auch noch die Geräte von Gästen. Ich hatte schon angeboten, dass die Schwiegereltern über unseren Internetanschluss mitsurfen so dass wir einfach 1 gemeinsames Netz aufbauen können. Das haben sie aber abgelehnt weil sie bei dem Anschluss "wissen was sie haben". Umgekehrt bei denen mitsurfen kommt aber auch nicht in Frage, weil die nur einen ganz kleinen, alten DSL Tarif haben. Wenn es mich nicht täuscht, nur 1 Mbit/s im Downstream und ein Upgrade ebenfalls abgelehnt wird.
Sven schrieb: > Bei den PC's, Tablets und Smartphones wäre eine manuelle IP > Konfiguration nicht Zielführend. Wenn beide Netze disjunkte DHCP-Ranges haben brennt da nichts an.
Naja, wir haben unterschiedliche IP Ranges. Die haben 192.168.0.x Wir haben 192.168.178.x Wenn ich ein Patchkabel anbringe, passiert folgendes: Alle neueren Geräte landen früher oder später in unserem Netz. Und alles was mit IPv6 zu tun hat, geht über uns, da der Router von den Schwiegereltern mit IPv6 nichts anzufangen weiß. Nur der olle Desktop-PC mit Windows XP vom Schwiegervater bleibt auf deren Router, der wechselt nicht. Theoretisch würden die Schwiegereltern es gar nicht merken, wenn man alles über uns laufen lassen würde. Denn Internet ist ja da. Deren Router und der DSL Anschluss wären dann quasi nur noch Deko. Auffallen würde es nur, wenn ich mal wieder am "Basteln" bin oder unser Internetanschluss mal wieder down ist, der ist deutlich anfälliger als der alte T-Online ADSL Anschluss von denen. Wenn sie einen eigenen Anschluss haben, sollen sie den dann auch wirklich nutzen.
Sven schrieb: > Die haben 192.168.0.x > Wir haben 192.168.178.x Geht nicht. Beide Seiten müssen das gleiche IP-Netz verwenden, aber eben mit verschiedenen DHCP-Ranges. Sonst funktioniert das bei mit gemeinsamen Geräten nicht. Die müssen mit einer festen IP-Adresse auf beiden Seiten ins IP-Netz reinpassen. PS: Oder du verwendest einen internen Router statt der Trickserei mit VLANs und gemeinsamen Geräten. Dann gibts 3 VLANs und einen Router, der sie koppelt.
:
Bearbeitet durch User
Hi, wenn du dich mit Netzwerktechnik auskennst, dann würde ich dir zu MikroTik Geräten raten. Mit denen ist deine Aufgabenstellung problemlos umsetzbar. Und das Preis- / Leistungsverhältnis ist sehr gut. Damit du aber gewarnt bist: Deine Konfiguration erfordert sicher einiges an Einarbeitungszeit bis du deine Konfiguration Umsetzten schaffen wirst. MikroTik Geräte bieten so viel Funktionalität das damit auch eine gewisse Komplexität einhergeht. Je nachdem welchen Traffic (Bandbreite) du zwischen den verschiedenen Segmenten "routen" willst, würde ein anderes Modell passen. Ich würde vermutlich zu einem CRS109 (ca. 150 Euro) greifen. https://routerboard.com/CRS109-8G-1S-2HnD-IN Liebe Grüße, Lui
> Der kann z.B. > Zugriffskontrollliste L2-..L4-Paketfilterung, basierend auf Quell- und > Ziel-MAC-/IP-Adresse, TCP-/UDP-Ports, 802.1p, DSCP, Protokoll und > VLAN-ID > Zeitbasiert Richtig lesen. Die ACLs beziehen sich auf das Web Management Interface. Sonst kann der Switch nicht allzuviel außer VLAN.
Den Sat-IP Kram und die TV Boxen wollte ich auf einer komplett anderen Range laufen lassen und manuell konfigurieren. Also z.B. 192.168.200.x Oder ich hänge den TV Kram in meinen IP Bereich rein. Hauptsache PC-Mäßig bleibt bei den Schwiegereltern erst mal alles wie gehabt. Dank DVB-T Abschaltung darf ich nun endlich eine "hässliche" Satellitenschüssel installieren. Vorher haben die Schwiegereltern das abgelehnt. Im Wohnzimmer gabs Kabel-TV (Nur Analog und unverschlüsselte Kanäle), und für die Nebengeräte reichte "DVB-T" Das Argument mit "DVB-T2 kostet monatlich" war der Punkt, wo sie sagten, nagut, dann gibts ne Sat Anlage. Aber eben so schonend wie möglich, und ohne neue Kabel in der Wohnung.
> Den Sat-IP Kram und die TV Boxen wollte ich auf einer komplett anderen > Range laufen lassen und manuell konfigurieren. Jo mei, dann teil' das halt auf 3 VLAN auf. Eins für SAT-IP, eins für deine Schwiegereltern und eins für dich. Dazu irgendwo ein VLAN-fähiger Router (irgendeine Billigkiste mit OpenWRT/LEDE) und dann passt das.
Hi, ich hab nochmal über deine Anforderungen nachgedacht. Wenn du wirklich nur ein Gerät mit 3 Ports brauchst (für deine 3 Netze) dann wäre es auch noch eine Möglichkeit zu einem MikroTik Router zu greifen. Diesen dann nur im Bridging Modus betreiben (Bridge Firewall enabled) und mit den entsprechenden Firewall-Rules füttern. Die Konfiguration ist damit einfacher (als VLANs) und von der Performance her sollte es reichen. Ich habe gerade gesehen, dass ein neuer RB750 herausgebracht wurde. Kostet < 60 Euro und kann was du brauchst. https://routerboard.com/RB750Gr3 Liebe Grüße, Lui
1N 4. schrieb: > Richtig lesen. Die ACLs beziehen sich auf das Web Management Interface. > Sonst kann der Switch nicht allzuviel außer VLAN. Hmm nagut. Die Direktverbindungsmöglichkeit kann wie gesagt erst mal wegfallen. Solange dann von beiden Seiten die TV-Anlage nutzbar ist, ist alles okay. Statt FTP-Direktverbindungen zu machen, können wir den Dateiaustausch ja auch übers NAS machen.
Sven schrieb: > Statt FTP-Direktverbindungen zu machen, können wir den Dateiaustausch ja > auch übers NAS machen. Mit Router geht auch direkt.
Wie oben beschrieben reichen zwei VLANs dafür aus. Geräte die von beiden VLANs aus erreicht werden sollen bekommen eben beide VLANs zugeordnet. Eines der Geräte das von beiden VLANs aus erreichbar ist, könnte dann zusätzlich noch IP Routing zwischen den beiden Netzen machen und damit für die Verbindung zwischen den Netzen sorgen. (Und dabei dass dann auch entsprechend deinen Wünschen filtern). Z.b. die NAS, die läuft meist ja sowieso 24h. Wenn Du da ein eigenes System mit Linux aufsetzt lässt sich das sehr einfach realisieren. Wir haben in der Firmware in unseren Testracks gute Erfahrungen mit Netgear GS105E und GS108E Switchen gemacht.
> Wie oben beschrieben reichen zwei VLANs dafür aus. Geräte die von beiden > VLANs aus erreicht werden sollen bekommen eben beide VLANs zugeordnet. Woher weiß der Switch, dass er die Pakete von einem ungetaggten Port auf mehrere VLANs verteilen soll? Würde mich nicht darauf verlassen, dass das reibungslos funktioniert.
1N 4. schrieb: > Woher weiß der Switch, dass er die Pakete von einem ungetaggten Port auf > mehrere VLANs verteilen soll? Würde mich nicht darauf verlassen, dass > das reibungslos funktioniert. man muss es festlegen. Und man kann nur ein VLAN festlegen. Das wird meines wissen so nicht funktionieren. Ich würde sagen, man braucht einen Router zwischen beiden Netzen.
Nachtrag: eventuell geht es mit einen Switch der "Port Isolation" unterstützt. Da kann man festlegen das z.b. Port1 niemals mit Port2 direkt reden darf.
Beitrag #4938824 wurde vom Autor gelöscht.
Inwieweit welche Switches Ports in mehreren VLANs unterstützen ist natürlich die Frage. Ich meine, mal vor längerer Zeit sowas in der Hand gehabt zu haben, daher aus dem Gedächtnis obiges Konzept. Scheint aber nicht so zu sein, also vergiss diese Idee lieber wieder.
:
Bearbeitet durch User
Ich würde einen managed switch + einen router nehmen (am besten einen mini-PC mit Linux). Einen router braucht man sowieso und es ist eigentlich egal ob er zwischen WAN und (mehreren) (V)LANs routet oder ob er auch zwischen den VLAN tut. Die VLANs würde ich strikt separat halten, sonst hat es kein Sinn.
Andreas M. schrieb: > Wir haben in der Firmware in unseren Testracks gute Erfahrungen mit > Netgear GS105E und GS108E Switchen gemacht. Allerdings muss man wissen, dass Netgear seine Nutzer ausspioniert. Und das finde ich richtig ekelhaft, wenn immer beim konfigurieren der Switch (bzw. der Browser) nach hause "telefoniert"...
...also mir ist bis jetzt auch kein Switch untergekommen, der auf einem Port mehr als EIN ungetaggtes VLAN zulässt. Wie sollte er auch die auf diesem Port eingehenden Pakete wieder einem VLAN zuordnen? Eigentlich ist die Aufgabenstellung der klassische Fall für einen L3 Switch mit ACLs, oder aber ein L2 Switch mit einer Firewall/Router (wahlweise über mehrere physikalische Interfaces oder 802.1q trunk angebunden). Was bedeutet denn "bezahlbar"?
...vlt. kannst Du ja auf eBay einen Cisco SG300-10 günstig schiessen. Der würde alle Deine Anforderungen erfüllen, die Konfiguration ist allerdings rein CLI basiert. Aber sicher gibt es auch von anderen Herstellern noch günstigere Sachen...
Ja, zum beispiel HP-Enterprise Switches 1820/30er Serie. Wenn wirklich nur 8 Ports nötig sind dann sind die auch vergleichbar günstig wie der TP-Link - ich würde HP aber immer vorziehen...
Sven schrieb: > Ich suche einen bezahlbaren Managed Switch (4-8 Ports) für folgendes > Einsatzszenario: Ich persönlich würde das mit den VLANs lassen, Consumer-Hardware ist oft nicht wirklich dafür vorbereitet und passende Profi-Hardware ist teuer. Vermutlich ist es einfacher, zwei richtige LANs mit verschiedenen Adress-Ranges zu benutzen, Deine gesharten Ressourcen in ein drittes LAN ebenfalls mit einer eigenen Adreß-Range zu packen, und die gesharten Ressourcen über eine Triple-Homed-Maschine mit Reverse Proxies bereitzustellen. Dann sind Deine Netzwerke komplett voneinander isoliert, Du muß in keinem der Netze irgendwelche Konfigurationsänderungen vornehmen, und das Einzige, was Du brauchst, ist ein oller PC oder ein SBC mit drei GBit-NICs, wie etwa ein Soekris net6501-30 oä.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.