8
Anschaffung Switch, VLAN, 802.1x für private Umgebung (Haus)
Hallo!
Da sich der Hausbau so langsam dem Ende neigt, möchte ich nun in die Netzwerkplanung einsteigen. Generell habe ich da auch schon ein paar Vorstellungen, was ich haben möchte, habe so eine Umgebung aber noch nie so im Detail konfiguriert.
Ich habe 14 Netzwerkkabel, welche im Keller ankommen und dort auf unterschiedliche VLANs aufteilt werden möchten.
Aktuell möchte ich je ein VLAN vorsehen für:
- Internen Netzverkehr
- IoT-Geräte
- Gäste-LAN/W-LAN
Es könnte sein, das wenigstens teilweise statische Routen zwischen den Netzen erstellt werden. Dahinter liegt dann noch eine weitere Hardware-Firewall, die den Internetzugriff steuert.
Da ich das gerne etwas professioneller aufsetzen möchte, hatte ich daran gedacht auch direkt 802.1x zu konfigurieren.
Am besten so, dass dynamisch das jeweilige VLAN zugewiesen wird und zusätzlich als Fallback die MAC-Adresse zur Geräterkennung genutzt werden kann (z.B. für die PS3).
PoE wird für die APs genutzt und es wäre daher praktisch, wenn es schon im Switch vorhanden ist, auch im Hinblick auf zukünftige IoT-Geräte.
Als Gerät kam für mich bisher folgendes in Frage:
Cisco SG250
HP OfficeConnect 1920 oder 1920S (letztere lässt sich ja nicht mehr per Kommandozeile konfigurieren, sollte man daher vielleicht lieber das alte 1920er Modell nehmen?)
Mir ist eigentlich wichtig, dass das Gerät zuverlässig ist, nicht zu laut (es kommt in den Keller in ein Rack, so ist es jetzt nicht) und nicht zu viel Strom verbraucht, da es ja im Dauerbetrieb ist. Ich hatte mir eigentlich so 300-350 EUR als Maximalbetrag gesetzt, da fallen die Geräte schön drunter. Allerdings habe ich gelesen, dass der SG250 (im Gegensatz zum SG220) kein Mac-Auth bei 802.1x zulässt und es ist wohl auch noch unklar, ob die dynamische VLAN-Zuweisung tatsächlich funktioniert (siehe Cisco SG250 VLAN-Zuweisung mit 802.1x).
Zu meinen Fragen:
Was haltet ihr von den Geräten für den Anwendungszweck?
Kennt jemand sonst das Linksys LGS300-Gerät? Das passt preislich auch ganz gut, ich habe da aber noch recht wenig zu gehört.
Wie funktioniert die VLAN-Zuweisung bei den AP-Ports? Diese müssen sich ja eigentlich auch per 802.1x autorisieren oder machen das dann nur die Clients (entschuldigt die blöde Frage, aber dazu habe ich nicht viel gefunden)? Es soll mehrere SSIDs sowie ein VLAN pro SSID geben.
Wenn ich jetzt in einem Raum einen weiteren Switch (z.B. 8-Port, selbes Modell wie im Keller) anschaffen möchte/muss, kann ich das über (falls vorhanden) den Uplink-Port entsprechend anbinden und konfiguriere die gemeinsam oder individuell? Ist der (Uplink-)Port dann trotzdem irgendwie abgesichert, falls ein anderes Gerät stattdessen eingesteckt wird?
Vielen Dank für eure Antworten!
Da sich der Hausbau so langsam dem Ende neigt, möchte ich nun in die Netzwerkplanung einsteigen. Generell habe ich da auch schon ein paar Vorstellungen, was ich haben möchte, habe so eine Umgebung aber noch nie so im Detail konfiguriert.
Ich habe 14 Netzwerkkabel, welche im Keller ankommen und dort auf unterschiedliche VLANs aufteilt werden möchten.
Aktuell möchte ich je ein VLAN vorsehen für:
- Internen Netzverkehr
- IoT-Geräte
- Gäste-LAN/W-LAN
Es könnte sein, das wenigstens teilweise statische Routen zwischen den Netzen erstellt werden. Dahinter liegt dann noch eine weitere Hardware-Firewall, die den Internetzugriff steuert.
Da ich das gerne etwas professioneller aufsetzen möchte, hatte ich daran gedacht auch direkt 802.1x zu konfigurieren.
Am besten so, dass dynamisch das jeweilige VLAN zugewiesen wird und zusätzlich als Fallback die MAC-Adresse zur Geräterkennung genutzt werden kann (z.B. für die PS3).
PoE wird für die APs genutzt und es wäre daher praktisch, wenn es schon im Switch vorhanden ist, auch im Hinblick auf zukünftige IoT-Geräte.
Als Gerät kam für mich bisher folgendes in Frage:
Cisco SG250
HP OfficeConnect 1920 oder 1920S (letztere lässt sich ja nicht mehr per Kommandozeile konfigurieren, sollte man daher vielleicht lieber das alte 1920er Modell nehmen?)
Mir ist eigentlich wichtig, dass das Gerät zuverlässig ist, nicht zu laut (es kommt in den Keller in ein Rack, so ist es jetzt nicht) und nicht zu viel Strom verbraucht, da es ja im Dauerbetrieb ist. Ich hatte mir eigentlich so 300-350 EUR als Maximalbetrag gesetzt, da fallen die Geräte schön drunter. Allerdings habe ich gelesen, dass der SG250 (im Gegensatz zum SG220) kein Mac-Auth bei 802.1x zulässt und es ist wohl auch noch unklar, ob die dynamische VLAN-Zuweisung tatsächlich funktioniert (siehe Cisco SG250 VLAN-Zuweisung mit 802.1x).
Zu meinen Fragen:
Was haltet ihr von den Geräten für den Anwendungszweck?
Kennt jemand sonst das Linksys LGS300-Gerät? Das passt preislich auch ganz gut, ich habe da aber noch recht wenig zu gehört.
Wie funktioniert die VLAN-Zuweisung bei den AP-Ports? Diese müssen sich ja eigentlich auch per 802.1x autorisieren oder machen das dann nur die Clients (entschuldigt die blöde Frage, aber dazu habe ich nicht viel gefunden)? Es soll mehrere SSIDs sowie ein VLAN pro SSID geben.
Wenn ich jetzt in einem Raum einen weiteren Switch (z.B. 8-Port, selbes Modell wie im Keller) anschaffen möchte/muss, kann ich das über (falls vorhanden) den Uplink-Port entsprechend anbinden und konfiguriere die gemeinsam oder individuell? Ist der (Uplink-)Port dann trotzdem irgendwie abgesichert, falls ein anderes Gerät stattdessen eingesteckt wird?
Vielen Dank für eure Antworten!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 555488
Url: https://administrator.de/contentid/555488
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Genau die Frage war doch vor ein paar Tagen oder Wochen schon mal hier oder? Mit genau den gleichen Gegebenheiten....
300-350€ maximal? Sportlich.
Welches Gerät soll das Gateway spielen?
Warum mehrere WLAN SSID + zusätzlich 1 SSID mit dynamischen Vlan? Warum nicht alles in einem?
Am besten du liest dir das HowTo von aqui durch... dort ist alles super erklärt
300-350€ maximal? Sportlich.
Welches Gerät soll das Gateway spielen?
Warum mehrere WLAN SSID + zusätzlich 1 SSID mit dynamischen Vlan? Warum nicht alles in einem?
Am besten du liest dir das HowTo von aqui durch... dort ist alles super erklärt
Mit dem Cisco250 und da dem P Modell (PoE) machst du grundsätzlich nichts falsch. Ganz sicher ist allerdings nicht ob dies Modell dynamische VLANs supportet. 802.1x und Mac Passthrough beherrscht er aber dynamische VLANs waren bis dato immer den 3xx Modellen und höher vorbehalten. Mit dem SG350 bist du dann auf der sicheren Seite.
Hier hilft also nochmal ein sehr genauer Blick ins Datenblatt. Das gilt übrigens auch für alle anderen Hersteller ! Sehr viele der billigen Websmart Switches supporten zwar generell 802.1x und Mac Passthrough aber bei den dynmaischen VLANs wird die Luft dann sehr schnell sehr dünn.
Was deinen VLAN Konfiguration anbetrifft beantwortet das hiesige VLAN Tutorial alle deine Fragen zu dem Thema:
Layer 2 Installation:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 Installation:
Verständnissproblem Routing mit SG300-28
AP Port Konfiguration:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs im WLAN dynmaisch zuweisen:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Grundlagen zu 802.1x und dynmaischen VLANs:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hier hilft also nochmal ein sehr genauer Blick ins Datenblatt. Das gilt übrigens auch für alle anderen Hersteller ! Sehr viele der billigen Websmart Switches supporten zwar generell 802.1x und Mac Passthrough aber bei den dynmaischen VLANs wird die Luft dann sehr schnell sehr dünn.
Was deinen VLAN Konfiguration anbetrifft beantwortet das hiesige VLAN Tutorial alle deine Fragen zu dem Thema:
Layer 2 Installation:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 Installation:
Verständnissproblem Routing mit SG300-28
AP Port Konfiguration:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs im WLAN dynmaisch zuweisen:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Grundlagen zu 802.1x und dynmaischen VLANs:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Danke für die Rückmeldungen!
Ich hatte gelesen, dass wohl Mac-Auth nicht vom SG250 unterstützt wird, hatte mir ein paar ReleaseNotes durchgelesen und dann gesehen, dass dort tatsächlich teilweise neue Features dem SG250 hinzugefügt wurden. Das machte die Situation etwas unübersichtlich.
Danke auch für die ganzen Links, den AP-Link hatte ich noch nicht so wahrgenommen. Demnach wird der AP mit MAC-Passthrough angebunden. Da müsste ich dann auf den SG350 umstellen.
Zu den HP-Geräten habt ihr keine Erfahrung? Die sollten die Features eigentlich unterstützen, aber ich möchte halt auch nicht auf exotische Geräte setzen, die sonst niemand nutzt, oder die nicht so robust sind. Wobei das vermutlich noch mehr auf die Linksys-Geräte zutrifft.
Die wären halt in meinem aktuell vorgesehenen Budget...
Firewall wird ein IPFire-apu-Gerät (ich nutze das derzeit schon und bin damit sehr zufrieden). APs vermutlich von Ubiquiti.
Ich hatte gelesen, dass wohl Mac-Auth nicht vom SG250 unterstützt wird, hatte mir ein paar ReleaseNotes durchgelesen und dann gesehen, dass dort tatsächlich teilweise neue Features dem SG250 hinzugefügt wurden. Das machte die Situation etwas unübersichtlich.
Danke auch für die ganzen Links, den AP-Link hatte ich noch nicht so wahrgenommen. Demnach wird der AP mit MAC-Passthrough angebunden. Da müsste ich dann auf den SG350 umstellen.
Zu den HP-Geräten habt ihr keine Erfahrung? Die sollten die Features eigentlich unterstützen, aber ich möchte halt auch nicht auf exotische Geräte setzen, die sonst niemand nutzt, oder die nicht so robust sind. Wobei das vermutlich noch mehr auf die Linksys-Geräte zutrifft.
Die wären halt in meinem aktuell vorgesehenen Budget...
Firewall wird ein IPFire-apu-Gerät (ich nutze das derzeit schon und bin damit sehr zufrieden). APs vermutlich von Ubiquiti.
Zu den HP-Geräten habt ihr keine Erfahrung?
Eher negative. Besser die Finger von lassen. Billige OEM Ware mit wenig Features und unübersichtlichen GUIs.Muss aber jeder selber wissen. Besser sind dann noch Zyxel Switches oder NetGear. (in der Reihenfolge)
Gleiches gilt für UBQT APs. Die erfordern einen Zwangscontroller und auch andere Zwangshardware die dich dann in einen Vendor Lock zwingt. Nicht wirklich gut.
Besser sind dann Mikrotik APs wie z.B. der cAP ac:
https://www.varia-store.com/de/produkt/31918-mikrotik-rbcap2nd-routerboa ...
Oder als Dual Rdio AP mit 5 Ghz WLAN:
https://www.varia-store.com/de/produkt/31829-mikrotik-cap-ac-rbcapgi-5ac ...
Die haben wie du oben siehst ihren eigenen Controller schon gleich in der Firmware an Bord.
IP-Fire ist auch etwas in die Jahre gekommen. Etwas moderner und auch besser auf dem APU ist da pfSense oder OPNsense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Danke, dann weiß ich bezüglich HP Bescheid.
Ja, den Controller bei UBQT werde ich einfach virtualisieren, der muss ja nicht dauerhaft laufen, für mich ist das eine gute Lösung, ich verstehe aber, dass man das anders sehen kann. - Ich werde mir die Mikrotik APs aber noch einmal anschauen, von deren Routern habe ich bisher auch nur gutes gehört. Ähnliches gilt für IPFire, ich habe da schon häufiger Patches eingereicht und komme daher auch mit den Interna der Distribution daher gut zurecht. pfSense ist aber sicher auch eine sehr gute Wahl.
Aktuell gibt es auch noch Abverkäufe (Neuware aber EOL) von SG300, SG500 usw. zu günstigeren Preisen. Kann man da bedenkenlos zugreifen?
Ja, den Controller bei UBQT werde ich einfach virtualisieren, der muss ja nicht dauerhaft laufen, für mich ist das eine gute Lösung, ich verstehe aber, dass man das anders sehen kann. - Ich werde mir die Mikrotik APs aber noch einmal anschauen, von deren Routern habe ich bisher auch nur gutes gehört. Ähnliches gilt für IPFire, ich habe da schon häufiger Patches eingereicht und komme daher auch mit den Interna der Distribution daher gut zurecht. pfSense ist aber sicher auch eine sehr gute Wahl.
Aktuell gibt es auch noch Abverkäufe (Neuware aber EOL) von SG300, SG500 usw. zu günstigeren Preisen. Kann man da bedenkenlos zugreifen?
Ja, den Controller bei UBQT werde ich einfach virtualisieren
Auch das ist Schrott da mehr Stromverbrauch und weitere, zusätzliche HW Abhängigkeit von einem nicht Ausfall gesicherten Gerät.Warum muss man sich mit solchen sinnfreien Klimmzügen dann auch noch an einen Billighersteller fest binden wo viele andere es besser können ?!
Die Logik muss man erstmal verstehen. Aber egal... Jeder ist ja frei in seinen Entscheidungen und bekommt dann halt das Netzwerk was er verdient.
Kann man da bedenkenlos zugreifen?
Ja !
Danke für die Hinweise, habe jetzt einen SG500-28P für < 300 EUR bestellt, bin demnach tatsächlich gut im Budget geblieben.
Die Virtualisierung muss ja auch nicht dauerhaft laufen, sondern nur zur Einrichtung. Ich persönlich glaube, dass man unterschiedlicher Meinung sein kann, ob das Schrott ist und von einem Billighersteller stammt, aber trotzdem danke, die Tipps hier sind ja immer sehr hilfreich, da möchte ich jetzt keine Diskussion darüber beginnen.
Die Virtualisierung muss ja auch nicht dauerhaft laufen, sondern nur zur Einrichtung. Ich persönlich glaube, dass man unterschiedlicher Meinung sein kann, ob das Schrott ist und von einem Billighersteller stammt, aber trotzdem danke, die Tipps hier sind ja immer sehr hilfreich, da möchte ich jetzt keine Diskussion darüber beginnen.
Ich persönlich glaube, dass man unterschiedlicher Meinung sein kann, ob das Schrott ist und von einem Billighersteller stammt
Das ist, wie immer im Leben, relativ und rein davon abhängig welchen Horizont derjenige hat. Kennt der nur eine Handvoll billiger SoHo Hersteller ist das sicher etwas ganz anderes als wenn er das ganze mit Premium Hersteller überblickt. Aber tut hier auch nichts zur Sache.Mit dem SG500 hast du alles richtig gemacht. Besonders bei dem Preis.
