Hallo Leute! ich brauche bei mir ein Netzwerk mit etwa 3-4 Rechnern und einem Datenbankserver. Ich habe an zwei VLANs gedacht. Das eine mit einem Datenbankserver + NAS und das andere mit den Rechnern. Wie macht man heute sowas? Für zwei VLANs muss ich ja routen dafür bräuchte ich ja ein Router usw. Wie realisiere ich nun das ganze in Realität/Praktisch? Danke!
Werauchimmer schrieb: > Ich habe an zwei VLANs gedacht. > Das eine mit einem Datenbankserver + NAS und das andere mit den > Rechnern. Was soll das VLAN genau bezwecken? Warum packst Du die nicht gemeinsam in ein LAN? Willst Du einfach einen "dummen" Switch nehmen und in allen Rechnern VLAN-Tags konfigurieren? Oder ein managebaren Switch nehmen und dort für jeden Port die passenden VLANs konfigurieren? Ich will Dich nicht davon abbringen oder Dir davon abraten - mir geht es eher darum, daß Du Dir Gedanken über die Anforderungen und Ziele machst. Soll das ganze die Sicherheit durch Netzwerktrennung erhöhen? Oder dafür sorgen, daß sich die Rechner nicht gegenseitig stören, z.B. durch irgendwelche Broadcasts? Oder irgendwelche anderen Gründe?
Werauchimmer schrieb: > Hallo Leute! > > ich brauche bei mir ein Netzwerk mit etwa 3-4 Rechnern und einem > Datenbankserver. Ich habe an zwei VLANs gedacht. > Das eine mit einem Datenbankserver + NAS und das andere mit den > Rechnern. > > Wie macht man heute sowas? Für zwei VLANs muss ich ja routen dafür > bräuchte ich ja ein Router usw. > > Wie realisiere ich nun das ganze in Realität/Praktisch? > > Danke! Du brauchst dafür einen Layer-3 managed Switch mit vlan Unterstützung. Dann kannst du dem über den Switch vlans aufbauen. Z.B. in dem du einen physischen RJ-45 Port jeweils zu ein vlan zuweisst oder über den Port zwei oder mehr vlans laufen lässt. Im letzteren Fall muss das Betriebssystem auf dem Clientrechner aber vlan auch können. Bei Linux geht das seit irgendeiner älteren Kernelversion Haus aus. Bei Windows ist es teilweise eine Treibersache. Hier sind dann Netzwerkchips von Intel empfehlenswert. Bei Windows 10 soll es offiziell unterstützt sein, aber diese Aussicht ist nicht gesichert, also mit Vorsicht zu genießen. Falls die Clientrechner kein vlan können, dann brauchst du am Client zwei physisch vorhandene RJ-45 Ports, zwei Leitungen und am Switch dann zwei Ports, wovon du einen bspw. für VLAN 1 und den anderen für VLAN 2 konfigurierst. Falls ein DSL oder Kabelrouter im Spiel ist, dann achte darauf, dass der nur zu einem VLAN eine Verbindung hat und nur für dieses einen DHCP Dienst bietet. Für das andere VLAN sollte der Layer 3 Switch dann als DHCP Server einspringen. Du darfst nämlich nicht zwei DHCP Server im gleichen Netzwerk haben, das führt nur zu Problemen. Alternativ kannst du auch statische IPs vergeben, aber diese Lösung ist unschön. Sonstige Geräte, wie Drucker, billige Konsumer NAS usw. werden wahrscheinlioch auch kein VLAN beherrschen, die brauchen dann am Switch einen eigenen Port auf dem nur ein VLAN zugewiesen ist. Ein Switch mit dem das alles definitiv geht ist bspw. der Cisco SG350-10 Small Business Switch, den habe ich nämlich selber im Einsatz und ich nutze zwei VLANs. Den gibt es auch mit mehr Ports, falls gewünscht und mit Power over Ethernet. Ansonsten kannst du dir auch die Layer 3 Switches von HP mal ansehen. Es muss zwingend ein Layer 3 Switch und ein managed Switch sein. Das muss beides vom Switch erfüllt werden, wenn du VLAN und einen DHCP Server darauf laufen lassen können willst. Alternativ dazu geht auch die alte Lösung mit 2 Switches, ein Router und für jeden Client 2 Kabel und 2 Netzwerkinterfaces, aber das ist eher unschön.
Noch eine Ergänzung: Werauchimmer schrieb: > Ich habe an zwei VLANs gedacht. > Das eine mit einem Datenbankserver + NAS und das andere mit den > Rechnern. Wenn du mit den Geräten vom einen VLAN Pakete in das andere VLAN leiten willst, dann ist dafür ein Router notwendig. Routerfähige Switches sind allerdings teuer. Alternativ könntest du einen externen Rechner an den Layer3 Switch anschließen und diesen Rechner als Router einsetzen. Auf den Rechner kannst du dazu dann ein Linux installieren, dass das Routen durchführt. FW & Co kann man da dann auch einrichten, sofern notwendig.
Gerd E. schrieb: > > Soll das ganze die Sicherheit durch Netzwerktrennung erhöhen? > Hallo Gerd! Genau das, Datenmässig ist das ganze ein Witz ist ne 50mb Datenbank. Nano! Das Bier geht auf mich! Was für wunderbarer Post! Meine Idee war das ganze aus Sicherheitszwecken schön in zwei VLANs zu trenen . Ob das ganze wirklich notwendig ist weiß ich nicht. Es sind wie gesagt 3-4 Rechner und ein Datenbankserver.
Wieauchimmer schrieb: > Meine Idee war das ganze aus Sicherheitszwecken schön in zwei VLANs zu > trenen . Ob das ganze wirklich notwendig ist weiß ich nicht. Es sind wie > gesagt 3-4 Rechner und ein Datenbankserver. Ich selbst nutze das zweite VLAN um damit mein Servermainboard per IPMI zu konfigurieren. IPMI ist von Haus aus nämlich leider kein besonders sicheres Protokoll. Dadurch dass der RJ-45 Port zum Baseboard Management Controller (BMC) dieses Servermainboards im eigenen VLAN ist und nur über meinen Adminrechner, der ebenfalls in diesem VLAN ist, konfiguriert werden kann, ist eine Konfiguration via IPMI des BMC von den anderen Rechnern, die sich noch im Netz befinden nicht möglich. Das erhöht also die Sicherheit. Wenn man diese Infrastruktur schon hat, dann kann man verschiedene VLANs auch dazu nutzen, um sichere von unsicheren Rechnern zu trennen. Die ganzen Smart-TVs, Smartphones usw. bekommen bspw. irgendwann keine Updates mehr. Damit die nicht die die Arbeitsrechner gefährden, die in diesem Szenario also gepatched und sicher gelten, könnte man sie bspw. in ein eigenes VLAN packen. Und die Arbeitsrechner in ein eigenes. Auch dadurch wird die Sicherheit erhöht. In deinem Fall könntest du das NAS, den Datenbankserver und falls vorhanden, den Netzwerkdrucker in ein eigenes VLAN packen und die anderen Rechner nur über einen Router auf diese zugreifen lassen. Im Router könntest du dann FW Regeln anlegen oder sogar einen Proxy konfigurieren. Damit wären diese Geräte von den Arbeitsrechnern von einander gut abgeschottet. Zwingend notwendig ist es aber bei einem kleinen Überschaubaren Netz mit reinen gut gepflegten Arbeitsrechnern eher nicht, wenn es für das NAS immer noch Sicherheitspatches gibt und der Datenbankserver auch abgeschottet und gut gepatched ist. Ein via vlan getrenntes Netz könnte aber gegen Zero Day Exploits einen gewissen Schutz bieten. Und wenn auf einem Clientrechner irgendwelche Dubiose Software installiert und Po*nosammlungen angeschaut werden, dann wäre es auch sinnvoll, den vom Datenbankserver und dem NAS in einem separaten Netz zu trennen.
Und wie genau soll die Trennung zweier Netze, die durch den Router (Routing Switch oder sonstwas) dann wieder verbunden werden die Sicherheit erhöhen? Wen willst du damit überhaupt gegen was schützen? Angreifer aus dem bösen Internet? Weitere Geräte im Netz die du nicht erwähnt hast? Oder sollen einfach die Kids mit ihren Smartphones und Zocker-PCs nicht im Büronetzwerk rumfummeln? Klar, du kannst dir nen L3-Switch auf den Tisch legen und VLANs darauf bauen. Die Wahrscheinlichkeit, dass du dir ein nutzloses Ei legst, scheint mir aber gerade recht hoch.
Mhm also einfach: Router -> Switch und alles dran 4-5 Clients Datenbankserver NAS Und das wars? Also so kann ich ein Netz aufbauen und es laufen lassen?
P. W. schrieb: > Und wie genau soll die Trennung zweier Netze, die durch den Router > (Routing Switch oder sonstwas) dann wieder verbunden werden die > Sicherheit erhöhen? Per Proxy. Durch eine bloße Portweiterleitung wird die Sicherheit natürlich nicht erhöht. In dem Fall beschränkt sich die Sicherheit nur darauf, dass man alle Ports dicht macht, die man bspw für das Datenbankmanagementsystem nicht benötigt und man eine gewisse Kontrolle darüber hat, wer sich alles vom internen Netz 1 überhaupt mit dem DBMS in Netz 2 verbinden darf. Bspw. Arbeitsrechner 1 und 2 dürfen eine Verbindung aufbauen, die Gamingrechner von Tochter und Sohn dürfen es nicht. Wird der Port des DBMS nach außen weitergeleitet und Arbeitsrechner 1 hat darauf Zugriff und ist mit Schafsoftware verseucht und das DBMS enthält eine Sicherheitslücke, dann hilft so eine Netzwerktrennung natürlich auch nichts mehr. Sollte der Datenverkehr zur Datenbank über einen Proxy laufen, den man auf dem Router einrichten kann, dann sieht es natürlich anders aus. Beim Netzwerkdrucker kann man den Router als Printserver einrichten, der kann die Druckaufträge dann an den Netzwerkdrucker weiterleiten. Das erhöht dann bspw. die Sicherheit dadurch, dass der Netzwerkdrucker mit seiner veralteten und eventuell anfälligen Firmware nicht mehr im gleichen Netzwerk hängt, in dem die ganzen anderen Rechner hängen.
Wieauchimmer schrieb: > Mhm also einfach: > > Router -> Switch und alles dran > > 4-5 Clients > Datenbankserver > NAS > > Und das wars? Also so kann ich ein Netz aufbauen und es laufen lassen? So kann man das auch machen, ja. Die meisten Homerouter verfügen aber bereits über 4-6 RJ-45 Ports und WLAN. D.h. hängt man alles ins gleiche Netz, dann kann man bei ausreichender R-45 Port Anzahl auch den Switch weglassen. Die Fritzbox verfügt übrigens über die Möglichkeit eines Gastzugangs für Gäste die mal zu Besuch kommen. Der Gastzugang wird per vlan vom normalen LAN getrennt. Willst du vlans benutzen, dann kann deine Konfiguration z.b. so aussehen. DSL bzw Cable Router <-> Switch Und am Switch hängt alles dran + zusätzlich ein interner Router, der zwischen den VLANs routet. Das kann dann bspw. ein raspberry Pi sein. Aber auch andere Varianten sind möglich bzw. wegen den Bedingungen vor Ort notwendig. Meine Fritzbox und mein CICSO Switch sind bspw. nicht im gleichen Raum. Am CISCO Switch hängt mein NAS, mein Adminrechner und mein Raspberry Pi den ich hier aber nicht zum Routen verwende. An der Fritzbox hängt der Switch und noch 3 weitere Rechner die in anderen Räumen stehen, einschließlich des Netzwerkdruckers. In einem separaten VLAN ist also nur der CISCO Switch, der Amdinrechner und der IPMI Zugang für das NAS. Sinnvoll wäre es noch, den Drucker wie oben beschrieben in ein eigenes VLAN zu hängen und einen Router einzusetzen, aber da der Netzwerkdrucker in einem anderen Raum steht und ich keine zweite Leitung durch die Wand habe, funktioniert das so nicht. Es gibt genaugenommen also recht viele Lösungen ein Netzwerk zu konfigurieren.
Vielen Herzlichen Dank! Nano du hast mir wirklich sehr weitergeholfen!!!!! Muss jetzt mal eine Nacht darüber schlafen!
Dazu braucht er aber erstmal nen Router der vernünftig VLan unterstützt. Speedport gaaaanz schlecht. Und wenn er auf dem Nas User mit Passwörtern angelegt hat, dann ist doch schon mal die erste Hürde geschafft. Evtl. andere PW als auf den Rechnern. Auch wenn's mal nervt.
VLAN ist zwar eine schöne Sache, WENNN es funktioniert. Man muß es aber auch beherrschen und immer ausreichend dokumentieren. Sonst wird die Fehlersuche recht lustig. Ausfallzeiten können teuer sein.
Thomas schrieb: > Dazu braucht er aber erstmal nen Router der vernünftig VLan > unterstützt. Ein Linux Rechner kann das. vlan Support gibt's dort schon eine ganze Weile. Ein paar Dutzend Ports braucht er nicht, das übernimmt der Switch. Natürlich muss der Datenverkehr dann durch dieses Nadelöhr, mit einem echten Hardwarerouter ist das nicht zu vergleichen, aber auch in einem Netz mit 4-6 Rechner auch kaum nötig. Und wenn doch, dann kann man auch einen 10 GBit/s Switch kaufen (teuer) und für den PC Router 1 oder 2 NICs mit 10 GBit/s Interface einbauen. Das ist möglicherweise immer noch günstiger als ein echter Hardwarerouter mit vlan Unterstützung. > Und wenn er auf dem Nas User mit Passwörtern angelegt hat, dann ist doch > schon mal die erste Hürde geschafft. Evtl. andere PW als auf den > Rechnern. Auch wenn's mal nervt. Die kommerziellen NAS werden ja leider nicht ewig mit Sicherheitspatches supported. Da gibt es gute Geräte, z.B. von Synology oder QNAP, wo der Support recht lange dauert, aber auch schlechte, wo nur Hardware verkauft werden soll und man nach 2 Jahren im Stich gelassen wird.
Ach noch etwas, mit link aggregation kann man das Nadelöhr auch etwas breiter machen. Dann reichen zwei 1 GBit/s Ports im Router PC, der oben genannte 1 Gbit/s Switch kann link aggregation. Damit kann der Traffic von zwei Clientrechner mit jeweils voller 1 Gbit/s Geschwindigkeit gleichzeitig durch den Router an jeweils zwei verschiedene andere Netzwerkgeräte oder ein NAS mit Link Aggregation Unterstützung geleitet werden, sofern die HW des Routers das packt, wovon ich bei einem richtigen PC auszugehen wäre. Mit einem Raspi geht's natürlich nicht. Das ist dann eine recht günstige Lösung, die heute für wenig Geld zu haben ist und ohne 10 GBit/s NICs und ohne 10 GBit/s Switch günstig realisierbar ist.
Willst Du ihm nen Linux-PC als Proxy aufziehen lassen? Entschuldige bitte ... Ich denke, er hat bestimmt schon vorher Probleme. Aber die Leute wollen alles 'maximal' billig, aber die Sicherheit kommt zu kurz. Heuzutage ist ein 'fähiger' Router unabdingbar. Selbst die Standard- Fritzbox - Schiene taugt nix, und stürzt auch noch ab. Ich selbst hab einen Lancom 1781VAW. Da kommt mir nix rein. Und wenn der Router zugescannt wird, dann trennt er sich vom Wan, und dann ist ruhe. Und er schreibt es mir. Kostet halt etwas mehr. Aber das ist es mir wert!
Nano schrieb: > Damit kann der Traffic von zwei Clientrechner mit jeweils voller 1 > Gbit/s Geschwindigkeit gleichzeitig durch den Router an jeweils zwei > verschiedene andere Netzwerkgeräte oder ein NAS mit Link Aggregation > Unterstützung geleitet werden, Kleine Korrektur. Es kann sein, dass die Link Aggregation zwischen Router und NAS nicht funktioniert. Normalerweise kann bei der standardisierten link aggregation die Geschwindigkeit nicht kombiniert werden, sondern es können nur zwei verschiedene Geräte mit der vollen Geschwindigkeit des NICs bedient werden. Ich bin mir also nicht sicher, ob das zwischen dem PC Router mit 2 oder 4 RJ-45 Ports zum Switch und dem NAS mit 2 RJ-45 Ports und dem Switch dazwischen, die alle link aggregation können, so funktioniert. Für PC 1 und PC 2 im vLAN 1, die an PC Router mit 2 x 1 GBit/s NICs die mit vLAN 1 verbunden sind, funktioniert also die volle Geschwindigkeit von jeweils 1 Gbit/s durch Link Aggregation. Aber auf der anderen Seite, also vLAN 2 muss der Datenverkehr dann wiederum an zwei getrennte Rechner gehen um mit voller 1 Gbit/s Geschwindigkeit die Daten übertragen zu können. Ich glaube nicht, dass hier vom PC Router mit 2 * 1 GBit/s NICs auf Seite von vlan 2 eine 2 * 1 Gbit/s fähige Verbindung zum NAS mit Link Aggregation aufgebaut werden kann, da die Pakete, die vom Router kommen nicht als von zwei Geräten kommend zählen, sondern eben von diesem einen Router. Aber so genau bin ich mir da nicht sicher. In dem Beispiel gehe ich davon aus, dass der PC Router über 4 x RJ45 Ports verfügt die Link Aggregation beherrschen. Die 4 RJ45 Ports können auch gerne über 2 PCIe Netzwerkkarten realisiert sein, dass muss also keine 4er Kombikarte sein. Die sind AFAIK auch recht teuer.
@Wieauchimmer: An der Stelle wo du ein paar Rechner mit einem Switch zusammensteckst oder in ein gemeinsames WLAN einbuchst, hast du ein Netzwerk aufgebaut. Da gehört noch nichtmal ein Router mit einer Internetanbindung dazu - geht völlig ohne. Ist trotzdem ein Netzwerk. Wenn es keine weiteren Geräte in diesem Netz gibt, wird das so funktionieren. Ganz ohne VLANs. Also nochmal die Fragen: - Gibt es außer diesen Geräten weitere Geräte im geplanten Netzwerk? - Soll eine Anbindung an das Internet erfolgen? - Wer muss mit wem sprechen können? - Welche Infrastruktur besteht bisher schon? - Gibt es Nutzer die die Infrastruktur (WLAN) nutzen sollen, aber nicht auf das Datenbank- und NAS-System zugreifen? @Nano: Du kannst dir auch nen Loch ins Knie bohren, Milch rein schütten und warten dass sie sauer wird. Offenbar hast du deutlich mehr Informationen über die Infrastruktur des Fragestellers als wir. Oder, was wahrscheinlicher ist: Du schreibst Blech. Zumindest käme ich nicht auf die Idee mich pauschal darin zu versteigen, dass man doch einen Proxyservice für die Datenbank auf dem Router laufen lassen möge - ohne zu wissen um welche Datenbank es sich überhaupt handelt, geschweige denn ob die zu nutzende Anwendung damit zurecht kommt. Was du mit Portforwarding in einem gerouteten LAN ohne NAT anstellen willst erschließt sich mir auch nicht. Explizite Portfreigaben beim Einsatz eines Paketfilters sind zwar üblich, aber eine ganz andere Baustelle. Ganz oben schreibst du, dass zwingend ein managebarer Layer 3 Switch einzusetzen sei. Nö, muss es nicht sein! VLANs sind Layer 2, Managementfähigkeit ist auch kein Layer3-Feature und Routing kann auch ein anderes Gerät machen. Deine Aussagen zu DHCP stimmen auch nur in diesem angenommenen Kontext einigermaßen. Mitnichten muss das ein L3-Switch machen und anderswo sind mehrere DHCP-Server pro Netzsegment aus Redundanzgründen sogar üblich (natürlich sind die auch entsprechend konfiguriert). Bis hierhin hättest du dem Fragesteller jetzt verkauft: - einen Layer3 Switch - mehrere Netzwerkkarten für die Clients - Einen PC als Router oder gleich eine ganze Firewallappliance - nen Haufen Dienstleistung für die Einrichtung Kannste schon so machen, aber seriös ist anders. Wohlgemerkt: Einem Fragesteller der nicht genau weiß was er will und hier fragt ob ihm VLANs helfen können. Nachtrag: Jetzt auch noch Link Aggregation. Das war gar nicht die Frage. Wir wissen immer noch nichtmal was in der Bude überhaupt vorhanden ist. Da wo ich herkomme nennt man das "mit Kanonen auf Spatzen schießen". Oder ist das mit dem dankbaren Gast hier eine sehr aufwendige Art sich selbst zu beweihräuchern?
:
Bearbeitet durch User
50mb db-trafic in einem lokalen netz, lokal entkoppelt über vlan... und das hinter einer fritzbox, sorry aber da ist die draht/mütze korrelation nicht mehr gegeben. das hört sich nach "anleitung für cardsharing" für idioten an. my 5 cent
Thomas schrieb: > Willst Du ihm nen Linux-PC als Proxy aufziehen lassen? > > Entschuldige bitte ... Ich denke, er hat bestimmt schon vorher Probleme. So schwer ist das auch wieder nicht. Ich habe früher einen Linux Router mit Slackware drauf direkt am DSL Modem betrieben, als solche Home Router noch nicht verfügbar oder schweine teuer waren. Zwischen den Rechnern hing dann nur ein billiger 10 Mbit/s Hub, das war nicht einmal ein Switch, hat aber funktioniert und war ausreichend. Mehr als AFAIK DSL 768 KBit/s gingen da ja eh noch nicht. Dadurch konnte ich, mein Bruder und mein Vater gleichzeitig ins Internet, während alle anderen noch ihren Win9x oder Win2k Rechner am DSL Modem hingen haben und sich über Schadsoftware geärgert haben. Am schönsten war es bei der Neuinstallation auf den Clientrechnern, denn es musste das DSL Modem nicht extra konfiguriert werden, das Netzwerk stand über den Linux Router einfach zur Verfügung und die statische IP war schnell eingerichtet. DHCP habe ich zu dem Zeitpunkt noch nicht genutzt. > Aber die Leute wollen alles 'maximal' billig, aber die Sicherheit kommt > zu kurz. Mit einem Linux Rechner kann er beides haben. Eine günstige Lösung und Sicherheit. Er muss nur etwas Zeit investieren. Mit heutiger Hardware und einem Debian System ist das aber kein großer Aufwand. Ich musste damals vor > 20 Jahren noch Slackware nehmen, da ich meine Kernel wegen den nur 8 MB RAM auf dem alten Rechner noch alle selber backen musste. Bei nur 8 MB RAM wurde es da sehr eng, Debian konnte man damit nicht booten. Slackware ging aber. Er kann sich das alles sparen, da man heute für wenig Geld einen für solche Zwecke völlig ausreichenden PC mit mehr als genug RAM bekommt und Debian stable out of the box laufen wird. Die FW Regeln zu erstellen ist da wahrscheinlich noch die schwierigste Aufgabe, aber im Netz findet man heutzutage auch da genug Anleitungen.
Wenn man's kann ist es gut. Aber es gibt User die beschäftigen sich nicht damit, und wollen niemals mit der Komandozeile in berührung kommen.
P. W. schrieb: > Oder, was wahrscheinlicher ist: Du schreibst Blech. Du bist sehr aggressiv, dabei will ich nur helfen und nein ich schreibe keinen Blech nur weil es dir nicht gefällt. > Zumindest käme ich nicht auf die Idee mich pauschal darin zu versteigen, > dass man doch einen Proxyservice für die Datenbank auf dem Router laufen > lassen möge - ohne zu wissen um welche Datenbank es sich überhaupt > handelt, geschweige denn ob die zu nutzende Anwendung damit zurecht > kommt. Er möchte das und hat danach gefragt, ich habe ihm die Antwort dazu geliefert. > Was du mit Portforwarding in einem gerouteten LAN ohne NAT anstellen > willst erschließt sich mir auch nicht. Von "ohne NAT" habe ich nichts erwähnt. Es ist üblich dass man für jedes vlan eigene Subnetze verwendet, man muss das nicht machen, aber es ist aus diversen Gründen sinnvoll, kannst gerne im Internet nachschlagen. Also ist NAT durchaus sinnvoll, sofern wir über ein IPv4 Netzwerk sprechen, wovon ich ausgehe. > Explizite Portfreigaben beim > Einsatz eines Paketfilters sind zwar üblich, aber eine ganz andere > Baustelle. Ich habe nie behauptet das NAT und Paketfilter eins wären. > Ganz oben schreibst du, dass zwingend ein managebarer Layer 3 Switch > einzusetzen sei. Nö, muss es nicht sein! VLANs sind Layer 2, Den Layer 3 Switch brauchst du wegen dem DHCP Server. Natürlich kannst du den DHCP Server auch auf einem der Clientrechner oder dem extra Router aufsetzen, ist aber unnötig, wenn das dein Switch kann. Außerdem kosten Layer 3 Switchs heutzutage nicht die Welt und bieten noch eine ganze Reihe weiterer Vorteile. > Managementfähigkeit ist auch kein Layer3-Feature Das habe ich nie behauptet. Aber wie willst du den einzelnen Ports vLANs zuweisen, wenn der Switch unmanged ist? Also, merkst du hoffentlich selbst, dass der Switch managed sein muss. Das Blech Reden kann ich ab dem Punkt jetzt auch an dich zurückweisen. Ich habe dir in diesem Thread schon genug erklären müssen, gefällt dir nicht, ich weiß, aber niemand zwingt dich mitzudiskutieren. > und Routing kann auch > ein anderes Gerät machen. Ja, du kannst, so wie du es sagst, auch einen Clientrechner dazu abstellen (dumme Idee, dazu komme ich gleich), aber du willst doch hoffentlich nicht auf dem NAS oder DBMS routen (noch dümmere Idee). Eine dumme Idee ist das, weil der Clientrechner 1 wahrscheinlich auch nicht immer laufen wird und noch Anwendungssoftware laufen hat, auf dem routet und filtert man besser nicht. Das überlässt man einem dedizierten dafür abgestellten Rechner. Und ja, bei kleinem Datenaufkommen kann das ein kleiner Einplatinenrechner sein, der ist auch sehr sparsam. Das ein Raspi dafür nicht die beste Wahl ist, sagte ich schon. Und auf dem NAS und DBMS routet man aus Sicherheitsgründen nicht. Nur weil man vieles machen kann, bedeutet das nicht, dass es auch sinnvoll ist. Soviel zum Blech reden. > > Deine Aussagen zu DHCP stimmen auch nur in diesem angenommenen Kontext > einigermaßen. Mitnichten muss das ein L3-Switch machen Ein L3 Switch bietet sich dafür aber an. > Bis hierhin hättest du dem Fragesteller jetzt verkauft: > - einen Layer3 Switch Mein CISCO Switch den ich oben vorschlug, bekam ich für ca. 140 €. Für das was der kann ist das günstig. > - mehrere Netzwerkkarten für die Clients Nein, das war nur optional, wenn er zwingend einen hohen Datendurchsatz benötigt. Bitte besser lesen und weniger Blech reden. > - Einen PC als Router oder gleich eine ganze Firewallappliance Auch das war nur optional, wenn er zwingend einen hohen Datendurchsatz benötigt. Das mit dem Einplatinencomputer hast du wohl absichtlich vergessen. > - nen Haufen Dienstleistung für die Einrichtung > Kannste schon so machen, aber seriös ist anders. Von dir kam nichts zu seiner Frage. > Nachtrag: > > Jetzt auch noch Link Aggregation. Das war gar nicht die Frage. Wird aber relevant, wenn er den NAS auch mit hohem Datendurchsatz bedienen will, seine Anwendungsfall kennst du ja nicht, ich auch nicht. Das mit der Geschwindigkeit hat sich aber so im Laufe der Diskussion so ergeben. Und wie schon gesagt, auch das war nur optional und keine Pflicht. Ja, du kannst auch alles mit dem 100 MBit/s NIC und USB 2 Anbindung des Raspberry Pi 3 über die Grenze der beiden vLANs schaufeln, aber ob das eine schöne Lösung ist, wenn jeder Wald und Wiesen PC heutzutage schon ein 1 Gbit/s NIC hat, ist eine andere Frage. Meine erste Wahl wäre es nicht.
Weißt du, mein Gutester. Entweder hab ich es mit den Augen, mit dem Leseverständnis oder du mit der Interpretation. Der Threadersteller fragt hier nach der Möglichkeit der Netztrennung mittels VLAN für eine Handvoll Rechner, einen Datenbankserver und ein NAS. Unter der Prämisse dass werauchimmer und wieauchimmer die gleiche Person sein soll, noch mit dem Hinweis dass es sich lediglich um 50MB Datenbank handelt und er sich selbst nicht sicher ist, ob das notwendig sei. Ich lese da nichts von Performanceanforderungen. Aber auch nicht zur bestehenden Situation. Den Proxy-Server für die Datenbank hast du vorgeschlagen. Der Fragesteller hat sich dazu hier nicht geäußert. Dass das gewollt sei ist deine Aussage. Ich bezweifle dass der Fragesteller das will, wenn ihm Aufwand/Nutzen und Fehlermöglichkeiten bekannt gemacht werden. Wenn du von Routing sprichst, impliziert das nicht ein NAT. Wenn du NAT meinst, solltest du auch NAT schreiben. Ansonsten reden wir über Routing OHNE NAT. Ich bin mir folglich gerade nicht sicher ob wir in der gleichen Terminologie sprechen: Eigene IP-Netze pro VLAN meint in meiner Welt Netze mit unterschiedlichen Adressbereichen. Denn dann braucht es eben kein NAT dazwischen. Und für die Verbindung sorgt ja das Routing. Kannst du gerne im Internet nachlesen. >> - mehrere Netzwerkkarten für die Clients >Nein, das war nur optional, wenn er zwingend einen hohen Datendurchsatz >benötigt. Bitte besser lesen und weniger Blech reden. Bitte besser schreiben, denn von optional und hohem Datendurchsatz steht in deinem Beitrag nix. Hast du vielleicht gemeint, aber nicht geschrieben. "Falls die Clientrechner kein vlan können, dann brauchst du am Client zwei physisch vorhandene RJ-45 Ports, zwei Leitungen und am Switch dann zwei Ports, wovon du einen bspw. für VLAN 1 und den anderen für VLAN 2 konfigurierst." >> Ganz oben schreibst du, dass zwingend ein managebarer Layer 3 Switch >> einzusetzen sei. Nö, muss es nicht sein! VLANs sind Layer 2, > >Den Layer 3 Switch brauchst du wegen dem DHCP Server. >Natürlich kannst du den DHCP Server auch auf einem der Clientrechner >oder dem extra Router aufsetzen, ist aber unnötig, wenn das dein Switch >kann. >Außerdem kosten Layer 3 Switchs heutzutage nicht die Welt und bieten >noch eine ganze Reihe weiterer Vorteile. - Bei ZWEI Devices im "Servernetz" brauche ich nichtmal einen DHCP-Server. Das ist mit statischen IPs gut machbar. Ob man die Adresse auf dem Device selbst einträgt oder eine Reservierung auf dem Switch spielt da auch keine Geige. Bei 20 oder 200 Devices sieht die Sache natürlich ganz anders aus. - Ob ich im Clientnetz einen separaten DHCP brauche hängt von der restlichen Umgebung ab. Wenn das kein isoliertes Netz sein soll und am Internet hängt, hat man in der Regel nen kleinen Plastikrouter dabei der das sowieso schon macht. - Ich hatte eine entsprechende Rückfrage gestellt. >> Managementfähigkeit ist auch kein Layer3-Feature >Das habe ich nie behauptet. Aber wie willst du den einzelnen Ports vLANs >zuweisen, wenn der Switch unmanged ist? >Also, merkst du hoffentlich selbst, dass der Switch managed sein muss. Nochmal zum mitmeißeln: Es gibt auch managebare Switches die nur Layer 2 können. >> - Einen PC als Router oder gleich eine ganze Firewallappliance >Auch das war nur optional, wenn er zwingend einen hohen Datendurchsatz >benötigt. Aber er will doch einen Proxy für die Datenbank laufen lassen, hast du geschrieben.Und der läuft auf deinem Linksys-Switch? Ähhh, ich meine natürlich Cisco... >Das mit dem Einplatinencomputer hast du wohl absichtlich vergessen. Der auch manuell eingerichtet werden müsste. Wäre in der Anschaffung billiger, aber der Aufwand trotzdem vorhanden. Dafür mit geringerer Leistung und Durchsatz. Ja, scheint als hätte ich die nicht zielführende Idee ignoriert. > Von dir kam nichts zu seiner Frage. Du meinst außer Rückfragen, die dazu dienen zu beurteilen ob eine Netztrennung mittels VLAN für die gewünschte Anwendung wirklich sinnvoll ist? Da wo ich herkomme macht man das so wenn die Anforderungen nicht eindeutig sind: Man fragt nach. Nachdem er sich ja selbst nicht sicher war, hast auch du schon die Variante mit den üblichen vorhandenen Gastzugängen bei Plastikroutern festgestellt. In diesem Fall wäre übrigens der Plastikrouter das "andere Gerät" welches Routing und DHCP für beide Netzsegmente übernehmen würde. Eine andere Variante wäre das Kaskadieren derartiger Geräte. Funktioniert auch und man schafft mit überschaubarem Aufwand (!) ein internes Netz und eine DMZ. Richtig, ich stelle das gesamte Ansinnen "Netztrennung mittels VLAN" damit in Frage - und das so lange bis klar ist ob die Idee zum Szenario passt. >Ja, du kannst auch alles mit dem 100 MBit/s NIC und USB 2 Anbindung des >Raspberry Pi 3 über die Grenze der beiden vLANs schaufeln, Auf das schmale Brett auf einem Pi mit USB-NICs rumzuhampeln wäre ich nichtmal gekommen. Wozu auch? Dafür hat doch mal jemand VLANs erfunden. Und Linux kann damit umgehen. Dein Switch auch. Und ich halte fest, dass der Pi dein Vorschlag war, nicht meiner. >Ich habe dir in diesem Thread schon genug erklären müssen, gefällt dir >nicht, ich weiß, aber niemand zwingt dich mitzudiskutieren. Vielen Dank für deine Aufklärung. Und damit bin ich dann hier raus und im Bett. Gute Nacht.
P. W. schrieb: > Ich lese da nichts von Performanceanforderungen. Aber auch nicht zur > bestehenden Situation. Klar steht das nicht in den Anforderungen, wenn du den Threadverlauf aber folgst, dann kannst du merken, dass das für den Fall der Fälle erwähnt wurde, falls er es doch mal braucht. Ich halte nichts davon mit Informationen zurückhalten nur weil er nicht explizit danach gefragt hat. Zumal er da auch ein NAS betreiben möchte und nicht nur eine Datenbank. Auf dem NAS könnte bspw. die Fotosammlung oder Videos drauf kommen und schon ändern sich die Performanceanforderungen. > Den Proxy-Server für die Datenbank hast du vorgeschlagen. > Der Fragesteller hat sich dazu hier nicht geäußert. Dass das gewollt sei > ist deine Aussage. Er wollte die Datenbank in einem vlan, der Proxy kann hier die Sicherheit erhöhen, deswegen wurde der erwähnt weil die Sicherheit im Laufe des Threads zu einem Thema wurde. Dein ganzes Meckern würde sich daher erübrigen, wenn du dem Verlauf der Diskussion nur einmal von Anfang bis Ende nachgehen würdest, anstatt nur mal kurz reinzugucken was gerade ganz unten steht. >>Nein, das war nur optional, wenn er zwingend einen hohen Datendurchsatz >>benötigt. Bitte besser lesen und weniger Blech reden. > Bitte besser schreiben, denn von optional und hohem Datendurchsatz steht > in deinem Beitrag nix. Nein, das muss ich keineswegs besser schreiben, sondern du solltest besser dem Thread folgen, aus dem Verlauf kann man nämlich deutlich entnehmen, dass das optional ist. Würdest du den Thread sequentiell lesen, und nicht irgendwo mitten drin oder ganz unten anfangen, dann hättest du nicht fragen müssen. > Hast du vielleicht gemeint, aber nicht geschrieben. Siehe oben, das ergibt sich aus dem Threadverlauf und dem Kontext. > - Bei ZWEI Devices im "Servernetz" brauche ich nichtmal einen > DHCP-Server. > Das ist mit statischen IPs gut machbar. Ob man die Adresse > auf dem Device selbst einträgt oder eine Reservierung auf dem Switch > spielt da auch keine Geige. Habe ich nicht gesagt, aber ich habe gleich weitergedacht. Die meisten sind froh, wenn das Netzwerk einfach funktioniert, wenn ein neues Gerät angeschlossen wird. So gut wie alle Konsumergeräte holen sich per Defaultkonfiguration ihre IP von einem DHCP Server in dem sie nach diesem fragen. Klar kannst du auch statische IPs vergeben, aber erklär das mal jemand wie man das an einem Drucker macht, wenn er gar nicht das Webinterface erreicht weil im gegebenen Netz kein DHCP Server steht, der ihm eine IP geben könnte. Gerade wenn er Laie ist, vereinfacht ein DHCP Server einiges. Außerdem ignorierst du wissentlich, dass ich ganz oben folgendes geschrieben habe: "Alternativ kannst du auch statische IPs vergeben, aber diese Lösung ist unschön." Jetzt so zu tun, als wäre das Wort statische IP von mir nie gefallen ist schon ziemlich dreist, findest du nicht? Aber ich sagte ja, folge dem Thread komplett, dann würde sich ein Großteil deiner Meckerrei in Luft auflösen. > - Ob ich im Clientnetz einen separaten DHCP brauche hängt von der > restlichen Umgebung ab. Wenn das kein isoliertes Netz sein soll und am > Internet hängt, hat man in der Regel nen kleinen Plastikrouter dabei der > das sowieso schon macht. Aber nicht im zweiten VLAN. >>> Managementfähigkeit ist auch kein Layer3-Feature >>Das habe ich nie behauptet. Aber wie willst du den einzelnen Ports vLANs >>zuweisen, wenn der Switch unmanged ist? >>Also, merkst du hoffentlich selbst, dass der Switch managed sein muss. > Nochmal zum mitmeißeln: Es gibt auch managebare Switches die nur Layer 2 > können. Liest du eigentlich was da steht? In meinem Text, auf den du geantwortet hast und den du selbst zitiert hast, habe ich ganz klar klargestellt, dass ich nie behauptet habe, dass Managementfähigkeit ein Layer 3 Feature sei. Also kannst du dir denken, dass mir das sehr wohl klar ist, dass man Mangementfähigkeit auch mit einem Layer 2 Switch bekommt, aber darum ging es gar nicht, sondern darum, dass er managed sein muss. Mit einem unmanaged geht nämlich das nicht und du klebst an deinem Layerzeug fest obwohl ich dich ganz klar gefragt habe, wie du das mit unmangaed Switches machen willst, die Frage war nicht, wie du das mit einem Layer 2 Switch machen willst, sondern es ging um das managed vs. unmanaged und wenn du oben mal nachguckst, dann würdest du erkennen, dass vor dem Satz: >>> Managementfähigkeit ist auch kein Layer3-Feature noch mehr dran stand. Und dann nochmal, heutzutage macht es keinen großen Sinn mehr, auf einen Layer 3 Switch zu verzichten, weil dieses Feature schon fast geschenkt ist. Die Layer 2 Switches sterben nämlich nach und nach aus. Warum soll er dann ein altes Eisen kaufen? > >>> - Einen PC als Router oder gleich eine ganze Firewallappliance >>Auch das war nur optional, wenn er zwingend einen hohen Datendurchsatz >>benötigt. > Aber er will doch einen Proxy für die Datenbank laufen lassen, hast du > geschrieben.Und der läuft auf deinem Linksys-Switch? Ähhh, ich meine > natürlich Cisco... Den Router PC, Einplatinencomputer etc.. vergisst du jetzt absichtlich oder was oder doch eher doof oder hauptsache irgendwie mimimi machen damit man etwas dagegen schreiben kann? >>Das mit dem Einplatinencomputer hast du wohl absichtlich vergessen. > Der auch manuell eingerichtet werden müsste. Wäre in der Anschaffung > billiger, aber der Aufwand trotzdem vorhanden. Dafür mit geringerer > Leistung und Durchsatz. > Ja, scheint als hätte ich die nicht zielführende Idee ignoriert. Jeder Computer muss eingerichtet werden. Und oben meckerst du wegen der 50 MB Datenbank und einem schnellen Netzwerk, aber plötzlich reicht der Einplatinencomputer für die paar kbyte Traffic zur 50 MB Datenbank nicht mehr. Klingt irgendwie nach irgendwie dagegen halten, auch wenn gar kein Plan und kein Konzept dahinter steht. Und das ein Einplatinencomputer viel weniger Strom braucht und der deswegen eben doch möglicherweise zielführend sein kann, das ist dir auch nicht klar. Und nein, ganz oben im Thread sagte ich schon, dass der Raspi nicht die beste Lösung ist, aber es gibt Einplatinencomputer, die eine bessere Netzanbindung haben. Der Raspi wäre dann der unterste gemeinsame Nenner, so wie Link Aggregation und 10 GBit/s NICs usw. die obere Grenze bei einem akzeptablen Preis/Leistungsverhältnis darstellen. Dazwischen kann er sich was raus suchen, wie er es eben braucht. Wenn er nur 50 KBit/s zur Datenbank schieben muss, dann reicht nämlich der Raspi. Will er dagegen > 50 MB/s Traffic zum NAS schieben, dann sollte er besser was anderes nehmen. Insofern, so, ich mach jetzt Schluss, mir wird das mit dir schlichtweg zu doof. Mein Rat an dich, halte dich zukünftig einfach raus, wenn ich anderen Menschen die Fragen habe helfe und wenn du etwas zu sagen hast, dann mach einen unabhängigen Diskussionsstrang mit dem Fragesteller auf ohne dabei auf meine Antworten Bezug zu nehmen. Sag du ihm deine Tipps oder wie du es oben machen wolltest, frag ihn erstmal Löcher und lass mich meinen eigenen Diskussionsstrang mit ihm führen. Mir ist nämlich echt die Zeit zu schade, mich rumzustreiten wenn ich nur jemandem helfen wollte und dann Leuten wie dir alles mehrfach erklären soll, nur weil deinesgleichen meint, nicht den ganzen Thread von oben nach unten lesen zu müssen und Kontexte nicht beachten zu müssen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.