Cisco Catalyst 1200 vs HPE Aruba 1930?

802.1x gilt es bei diesem Preissegment schon genauer zu betrachten. Soll hier eine mehrfache Authentifizierung an einem Port erfolgen, welche Protokollvarianten sollen genutzt werden, wie genau sieht ein klassischer Arbeitsplatz aus, der mit 802.1x authentifiziert werden soll, etc.
Sicherlich können das auch billige Switches wie beispielsweise Zyxel, hier musste ich jedoch schon an eigenem Leib erfahren, dass die Switches im Segment bis 400 Euro 802.1x beispielsweise nicht in allen Varianten drauf haben, hier kann man beispielsweise nicht konfigurieren, dass an einem Port MAB und beispielsweise EAP-TLS auflaufen, es ging immer nur eine Variante.

Das macht der Cisco auch im Billigsegment mit verbundenen Augen würde ich behaupten. Also mach dir klar, was du wie haben möchtest, bevor du kaufst.

Soso. Würdest Du behaupten... weil halt Cisco drauf steht. Muss ja gut sein.
Dass Cisco bei den Produkten für den preissensiblen Markt vielleicht doch sehr bewusst funktionale und evtl. sogar qualitative Abstriche macht, um den Verkauf der höherpreisigen Produktlinien nicht zu gefährden, ist selbstverständlich völlig ausgeschlossen...

Mich würde tatsächlich mal interessieren, ob hier jemand bereits quantitativ und qualitativ belastbare Erfahrungen zu den 1200er und 1300er Catalysts hat. Da hat ja Cisco dem Vernehmen nach mal wieder "das Rad neu erfunden" und weder IOS noch IOS-XE reingepackt, sondern wieder was auf Linux-Basis neu zusammengerührt.

Gruß
sk

Moin,

zu C1300 kann ich nichts berichten, da diese Baureihe für uns nicht erforderlich war (L3-Routing, Stacking, Security...). Wir haben aber C1200 im Einsatz. Beide Serien sind ziemlich aktuell und werden entsprechend lang supportet.

Die C1200 nutzen wir als L2-Access Switche seit nun knapp 9 Monaten. Die Einrichtung war ziemlich einfach, auch für CLI-Laien problemlos umsetzbar. In dieser Serie ist kein IOS-(XE) sondern eine Form von "Embedded Web UI", viele der Cisco CLI Befehle sind aber vorhanden und nutzbar. Wir nutzen zudem die zentrale Steuerung und Monitoring-Lösung Cisco Business Dashboard, um einfache Änderungen vorzunehmen statt über einzelne Web- oder SSH-Logins zu verwalten.

Für zukünftige Anforderungen sind diese Switche auch gewappnet, hier insbesondere 802.1x, was auch der TO schreibt, kann fast jede Form der Sicherheit umgesetzt werden.

HPE und CISCO ist ne Nummer drübert.
Aber wenn es Gebrauchte Geräte ist kann man immer mal pech haben das einem der Kondensator im Netzteil auf wiedersehen sagt... sind meist die Gründe warum die Sterben die Switche... Aber Ersatznetzteil ist auch nicht die welt.

Ich würde mir keinen Aruba mehr kaufen weil ich habe mal spezielles Logging gemacht was die Ports angeht und HP Aruba konnte das einfach nicht... daher wenn gleicher Preis würd ich Cisco nehmen.

Und zur Diskussion, sogar die kleinen 8 Port Switche von Cisco SBS350er Serie z.B. können voll 802.1x etc...
Oder die alten 8 Port SG350-10P
äber grössere muss man garnicht diskutieren....
Man muss halt auch im Auge haben das man bei Cisco zwangsläufig ziemlich Commando Zeilen lastig ist, ich sag mal webinterface können andere besser

Absolut Finger weg aus meiner sicht ist NetGear, da hatte ich mal welche die teilweise im WebInterface gecrasht sind - liefen zwar noch aber ohne reboot konntest du nicht mehr aufs Webinterface....

@jimmmy
Kannst von mir 2x SG550X-48 haben für 500 EUR, haben jeweils 4x10GB UPLINK SFP..
2x SG550X-24 bekommst für 400 EUR... alles durchgeblasen und mit Firmware von 2024...
POE's habe ich auch noch "rumliegen"...
Somit haste immer einen als Ersatz ;)

Gruss Globe!

Ist ja kein Hexenwerk und der Cisco supportet da so ziemlich alles....
Freeradius Management mit WebGUI
Dot1x Livekonfig Cisco u. Ruckus
Mikrotik Switche shaben den Radius Server gleich mit an Bord:
Mikrotik: Wifi clients in anderes VLAN schieben?
Usw. usw.
Benutzerfreundlich ist, wie immer, relativ. Außerdem gilt: Real networkers do CLI! KlickiBunti kann ja jeder Hansel...

Ubiquiti ?
Ok... auch hier gibt es Leute die Dir helfen werden.. auch bei den neuen Ciscos.. oder Aruba...
Was das bringt ?... man wird es an Deinen Posts sehen..

Gruss Globe!

Bei Deinen Anforderungen kannst Du tatsächlich eigentlich so gut wie alles nehmen.
Denn die Frage bei der Zuverlässigkeit ist so wie die Erfahrung zu Mobilfunkanbietern: Du findest immer welche, die gute, und ebenso solche, die extrem schlechte Erfahrungen gemacht haben.

Netgear, oben erwähnt, soll raus sein. Netgear im Einstiegsbereich, dumme oder smart managed Switche, haben wir bei einem Kunden im Einsatz gehabt, wo sie über 15 Jahre einwandfrei liefen (kleine Umgebung, keine besonderen Anforderungen).

TP-Link: da, wo es passt, ja, laufen. Die einfachen im Metallcase laufen auch zuverlässig, auch da kennen wir Klein(st)unternehmen, die sich so etwas hingestellt haben, nicht wechseln wollen und wo die Dinger als einfacher Verteiler klaglos ihren Dienst tun.

Und bei den anderen halt ebenso.

D-Link ist so einer der wenigen Hersteller, wo ich grundsätzlich sehr skeptisch bin. Die haben in ihrer Historie schon so viele üble Sicherheitslücken in ihren Produkten gehabt, da mache ich möglichst einen Bogen herum.

Mikrotik oder Ubiquiti tun es sicherlich auch.

In professionellen Umgebungen gerne auch Ruckus, sehr zuverlässig, sehr leistungsstark, aber hier Kanonen auf Spatzen und so.

Gruß

DivideByZero

L3 "lite" also z.B. statisches Routing, Inter-VLAN-Routing, DHCP Relay...

Meine Güte, wieso turnen in diesem Forum, neben den Mitgliedern, die gute und konstruktive Hilfestellungen und Beratungen geben, eigentlich immer so passiv-aggressive Internetgangster rum?

Ein Blick ins Handbuch und der technischen Specs bei Cisco zeigt zwei Sachen klar auf:

1) Meine Behauptung bezüglich 802.1x trifft auf den C1200 nicht zu. Der kann beispielsweise kein MAB. Da lag ich falsch, der Blick in die Specs hilft.
2) Der C1300 kann mit MAB und dynamic VLAN Assignment eigentlich alles, um im professionellen Umfeld klarzukommen.

Wieso du diese Fakten hier nicht klar aufschreibst, sondern in ein Personen- und Herstellerbashing übergehst, bleibt dein Geheimnis, dem TO bringt das gar nix. Also biete bitte mal Fakten an, sofern du technisch soweit ausgebildet bist das zu beurteilen.
Ansonsten benötigst du auch keinen Erfahrungsbericht, sondern suchst dir selbst raus, was du brauchst, anhand der Specs bei den Herstellern. Standardisierte Netzwerkprotokolle können, sofern die Features supported sind, alle mehr oder weniger gleich gut im Billigsegment.

an den TO: wie du siehst gilt es sich klarzumachen, welche Features man genau benötigt und diese dann abzugleichen. Ansonsten hat man an den neuen Produkten nicht sehr lange seinen Spaß.
Überleg dir also genau wie die Arbeitsplätze aussehen, die am Switch hängen, ob beispielsweise ein IP-Phone am Switchport hängt und am Telefon wiederum ein Client. Dann benötigst du nämlich mindestens mal die Möglichkeit mehrfache Authentifizierungen an einem Port durchzuführen und je nach Design MAB für die Phones.

MAB ist quasi der Notnagel, wenn ein Gerät kein 802.1x kann. Es ist zwar ganz nett, wenn der Switch das regelt, aber mMn ist das bei vielen Switchen irgendwann unübersichtlich und aufwendig. Warum nicht gleich via RADIUS steuern? Da kann man dann für jede Geräteklasse eigene Richtlinien erstellen, in welches VLAN es gehen soll oder generell den Zugriff auf das Netz steuern.

Obwohl die offizielle 1200er Command Doku hier klar etwas anderes sagt:
https://www.cisco.com/c/en/us/td/docs/switches/campus-lan-switches-acces ...
Laut TAC ist die Doku aber vermutlich falsch. Siehe hier.
Nicht nur wahrscheinlich, das ist in der Tat reines Marketing Sprech und hat mit Technik nix zu tun!
MAB erfordert immer auch einen Radius!

@all..
Was geht ?
@jimmmy
Ein Switch austauschen und sonst nichts im LAN ?
OK.. ich bin raus..

Gruss Globe!

Hi..
Dann mach das.. und schliesse das Ding hier...

Gruss Globe!

Hi..
Dann sag uns doch bitte mal für was Du was brauchst.. Was hast Du vor ?
Ist das produktiv oder nur für Dein Lab?
Wenn es produktiv ist, ist es bedenklich.. wenn Du kein "beiwerk" hast...

Gruss Globe!

Also, lass gut sein.. finde Dein Glück!

Gruss Globe!

Ja, das ist korrekt. Der 1200er kann einfaches statisches Routing und DHCP Relay um Geräte in den VLANs mit DHCP Adressen von einem zentralen DHCP Server zu versorgen.

Da bin ich natürlich bei dir, am besten EAP-TLS für jedes Gerät nur leider gibt es hier mehrere Stolpersteine:

1) Liefert das jeweilige Gerät einen EAP-Client an Bord?
2) Wird EAP-TLS oder zumindest mal etwas auf Basis von PEAP unterstützt?
3) wie bekommst du im Zweifel die Zertifikate auf die Geräte? Insbesondere bei Telefonen, Druckern usw schwierig, wenn nicht mindestens mal SCEP unterstützt wird.
4) Wer macht den RADIUS? Microsoft NPS, FreeRADIUS, Cisco ISE etc?
4.1) Wenn NPS: wie automatisierst du, dass nicht in der Domain gejointe Geräte die zwingend erforderliche OID im Zertifikat als auch im Computerobjekt der Domäne beinhalten? Dazu gibt es zwar auch in diesem Forum eine Anleitung, die bei einer überschaubaren Menge an Geräten manuell ausgerollt werden können, eine Automatisierung erfordert jedoch die entsprechenden Skills sowie Protokolle wie SCEP. Microsoft erzwingt in Kürze das strong certificate Mapping, ohne OID bist du auf den schwachen Abgleich angewiesen.
5) Rechtfertigt der Aufwand den Nutzen? Je nach Regelwerk der Firewall, ist MAB bei Telefonen für eine Portauthentifizierung am Switch ausreichend, selbst wenn ein Angreifer die Adresse fälscht und Zugang erhält - entsprechende VLANS sowie Regelwerk natürlich vorausgesetzt.

Eine saubere und sichere 802.1x Umgebung erfordert sehr viel an Zeit und Wissen in größeren Umgebungen und muss auch bei kleinen Umgebungen sauber durchgeplant werden, um den gewünschten Sicherheitszugewinn und die Automatisierung (dynamic VLAN Assignment) zu erhalten.

Zum Abschluss: der C1200 klingt für die Anforderungen des TOs nicht verkehrt, die GS1920 von Zyxel tu auch ihren Dienst, jedoch mit einigen Einschränkungen für manche Protokolle. Wenn sie aber liefern was du brauchst, kann ich diese ebenfalls in diesem Preissegment empfehlen.

Also ich kann es leider gerade nicht testen aber ich habe die Tage erst eine Handvoll C1300 Switche beim Kunden angenommen und da konnte man IPv4 Routing aktivieren und die Interfaces ganz normal anlegen...? Bin dort leider erst wieder in 2-3 Wochen. Die liegen noch im Schrank Hier habe ich gerade nur noch einen C1200 zur Einrichtung liegen wenn Du davon irgendwas wissen willst kann ich es testen.

Trommel

Nur der Vollständigkeit halber: Dot1x muss nicht zwingend Zertifikate nutzen, das klappt natürlich auch mit Username/Passwort.

Das ist korrekt, der C1300 kann eigene Netze routen, der C1200 nicht, es gibt hier wie aufgeschrieben auch noch ein paar andere Unterschiede in Bezug auf DHCP, 802.1x, Routing, Stacking usw.


Das ist natürlich korrekt, im Sinne der sichersten Authentifizierungsmethoden aber zu eruieren, da beispielsweise MSCHAPv2 seit Jahren recht einfach knackbar ist, Abhilfe würde hier wiederum PEAP schaffen, wobei auch hier im inneren Tunnel MSCHAPv2 läuft.
Für die Zukunft wäre mein Rat Authentifizierungen mit 802.1x passwortlos zu gestalten, da hier das höchste Maß an Sicherheit in Bezug auf die Authentifizierung und die Integrität gegeben ist, aber auch am komplexesten zu konfigurieren ist.
Microsoft gibt das ebenso vor und blockt via Credential Guard ungeschütztes MSCHAPv2 bei Authentifizierung im WLAN ab.

Diese Aussage ist so gesagt technisch falsch! Als guter Admin hilft es immer VORHER zumindestens einmal die Spezifikationen im Datenblatt zu lesen bevor man sowas raushaut! 🧐
https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-1200 ...
Der C1200 supportet L3 mit statischem Routing. Ihm fehlen aber z.B. DHCP Server Funktionen. Das ist aber auch nicht nötig wenn man üblicherweise mit einem zentralen DHCP und Relay arbeitet was der C1200er ebenfalls kann.
Stacking kann er auch nicht das ist den 1300er vorbehalten. Ist ein ähnliches Featureset wie bei den Vorgängern CBS250 und CBS350.
Grundsätzlich hast du Recht aber vermutlich geht es dem TO gar nicht um ein Hochsicherheitsumfeld und ob er sich eine PKI anlegen will ist auch unklar.
Das geschilderte MS Verhalten kann man so nicht bestätigen. Ein aktueller Windows 10 und 11 Client arbeitet an Cisco und Ruckus APs hier mit PEAP und MSCHAPv2 fehlerfrei. Aber PEAP ist ja noch nicht alles es gibt ja auch noch TLS.

Credential Guard ist bei Windows 10 per Default gar nicht eingeschaltet und auch bei Windows 11 erst ab 22H2.
Aber auch dann verhindert CG nicht grundsätzlich das Anmelden an einem mittels PEAP/MS-CHAPv2 gesicherten WLAN, sondern m.W. nur den Zugriff auf gespeicherte Kennworthashes von AD-Konten. Das fällt also dann auf, wenn man z.B. SSO gegen die Computerkonten "fährt".

Gruß
sk

Nachdem ich über die Jahre neben einigen Ciscos, Mellanox und Comware-basierenden HPs (ehemals H3C), sehr vielen ProVision-basierenden HP/Aruba-Switches auch einige hundert ZyXEL-Switches im Access- und Aggregation-Layer betrieben habe, kann ich Dir von ZyXEL nur abraten: die fangen sofort Feuer, wenn man sie aus der Verpackung nimmt!!! Wir konnten sie nur deshalb teilweise mehr als 15 Jahre problemlos 24/7 betreiben, weil wir einen geheimen Trick aus dem Internet angewand haben: man klebt einfach einen kleinen Aufkleber mit einer stilisierten Golden Gate Bridge über das ZyXEL-Logo. Danach laufen die Dinger wie ein VW Käfer! Aber pssssst... nicht weitersagen!

Auch bei ZyXEL gilt: You get you get what you paid for... Du kannst auch bei diesem Hersteller 4.000 EUR pro Switch ausgegeben oder eben am untersten Ende der Produktportfolios "fischen" und dann vielleicht enttäuscht sein.

Gruß
sk

In den 9 Jahren, in denen ich länger als Du in diesem Forum unterwegs bin, musste ich nach hunderten konstruktiven Hilfestellungen leider einsehen, dass dies hier keinen interessiert und statt dessen ein fernab jeder sachlichen Auseinandersetzung hingerotztes "nimm Cisco oder Ruckus - die gehen über Wasser" immer die beste Lösung bzw. einzig honorierte Antwort ist. Mag sein, dass mich dies leicht passiv-aggressiv hat werden lassen.

Gruß
sk

Ich muss meine Aussage eventuell dahingehend korrigieren, dass zumindest bei einer Authentifizierung gegen den NPS MSCHAPv2 Authentifizierungen gar nicht an den NPS durchgereicht werden, gegen einen FreeRADIUS oder Cisco ISE habe ich nicht geprüft, dazu jedoch einige Artikel gelesen, die eine Umstellung auf EAP-TLS empfehlen.
Der Einwand, dass Credential Guard erst ab W11 22H2 aktiv ist, ist ebenso richtig.

Meine Aussage bezog sich nicht auf PEAP mit MSCHAPv2 als inneren Tunnel, sondern wirklich nur auf MSCHAPv2.

Dazu steht bei Microsoft unter Credential Guard:


Der Vollständigkeit halber noch der Link: https://learn.microsoft.com/de-de/windows/security/identity-protection/c ...


Zumindest ich für meinen Teil kann dieses Verhalten bestätigen, wobei hier nach meinem Verständnis MSCHAPv2 im Artikel nicht explizit als geblocktes Protokoll aufgeführt wird, sondern die Analogie zu NTLM hergestellt wird.
Es gibt jedoch auf reddit und anderen Plattformen mehrere Threads, die das gleiche Verhalten bestätigen, das ich vernommen habe.
Ansonsten freut es mich, dass man hier auch die Möglichkeit hat einen kleinen Security Deep Dive zu diskutieren, das bringt für alle doch viel mehr als sich gegenseitig an den Kragen zu gehen und man selbst oder auch andere, die dies lesen, können etwas mitnehmen und lernen.

CG ist ein clientseitiges Feature. Von daher würde es mich doch sehr wundern, wenn dies nur in Kombination mit NPS und nicht auch mit anderen Radius-Servern auftreten würde. Ich meine mich sogar zu erinnern, dass ich mir damals mit Wireshark den Traffic zwischen APs und NPS angesehen und gar keine Requests gesehen habe.
Da aber vermutlich die wenigsten alternativen Radius-Server in einer SSO-Konfiguration gegen AD-Konten betrieben werden, werden deren Betreiber schlicht deshalb entsprechend weniger betroffen sein.



Ich ebenfalls



dito. Hat sich doch gelohnt, Dich etwas zu "kitzeln" Vielen Dank dafür!

Gruß
Steffen

Ich will Dir den Cisco nicht ausreden und erst recht nicht einen ZyXEL aufschwatzen. Mich ärgert nur, wenn unreflektiert behauptet wird, Cisco wäre per se besser, als Komponenten anderer Hersteller. Das ist völliger Unsinn. Abgesehen davon, dass der Gradmesser immer die eigenen Anforderungen sind, hat auch Cisco - wie die meisten anderen Hersteller auch - unterschiedliche Produktlinien im Portfolio, welche sich u.a. funktional und hinsichtlich der Supportoptionen durchaus deutlich unterscheiden. Deshalb sind Aussagen wie "Das macht der Cisco auch im Billigsegment mit verbundenen Augen" eben mit größter Vorsicht zu genießen - wie AK47 dann ja auch einräumen musste.

Auch bei ZyXEL muss man genau schauen, was man kauft. Auch da gibt es zwischen den Geräteserien große Unterschiede. Die Switches im unteren Preissegment sind bei ZyXEL häufig extern zugekauft, umgelabert und hinsichtlich der Firmware etwas angepasst. Das muss nicht schlecht sein. Im Gegenteil: Es gab da in der Vergangenheit vereinzelt schon echte "Perlen", die funktional teils besser waren, als ZyXELs "Eigengewächse". Das Problem bei diesen Serien ist nur, dass hier keine langfristige Produktweiterentwicklung und -kontinuität gewährleistet ist. Solche Geräte sind dann gerne mal nur 2 bis 3 Jahre erhältlich, bekommen nur rudimentären Support und werden stiefmütterlich mit Firmwareupdates versorgt. Sowas kann ich im Enterprise-Segment nicht gebrauchen! Da benötige ich jahrelange Produktunterstützung und die Möglichkeit, Geräte einer Serie über Jahre immer wieder nacherwerben zu können. Und wenn mal ein Nachfolgeprodukt kommt, dann muss dieses zumindest wieder das gleiche Betriebssystem haben - ich kann schließlich meiner Mannschaft nicht zumuten, zig unterschiedliche Systeme zu kennen. Deshalb haben wir uns auf drei Hersteller festgelegt und achten bei deren Produkten auf diesbezügliche "Hygiene". Im Falle von ZyXEL bedeutet dies, dass wir nur Switche erwerben, auf denen deren eigenes Switch-Betriebssystem namens "ZyNOS" werkelt. Nicht weil es übermäßig toll wäre, sondern schlicht weil bei diesen dann über alle Geräte hinweg ein einheutliches Userinterface, ein konsistentes Featureset und langjähriger Support gewährleistet sind. Früher waren dies ausschließlich Geräte ab der 2000er Serie aufwährts - also sog. fullmanaged Switches mit vollwertigem CLI. Mittlerweise gibt es aber in Teilen der 1900er Serie auch sog. webmanaged Switche, die auf ZyNOS basieren und ganz brauchbar sind (und teils per einmaligem Lizenzkauf mit L3-Funktionen und CLI nachgerüstet werden können).
Und damit wären wir bei Deiner eigentlichen Frage angelagt: Ja, Du kannst bei den ZyNOS-basierenden Switches praktisch alle Einstellungen per Web-GUI vornehmen. ABER: Auch wenn diese Web-GUI in letzter Zeit etwas aufgehübscht wurde, wirkt sie dennoch völlig aus der Zeit gefallen und kann gegen den Mitbewerb optisch und hinsichtlich der Benutzerführung nicht "anstinken". Wenn man ein paar Jahre mit diesem System vertraut ist und sehr viele dieser Switches administriert, erkennt man zwar die durchaus vorhandenen Stärken des Konzepts und lernt sie sogar lieben, aber Neukunden kann man das eigentlich nicht mehr zumuten. Deshalb rate ich hier auch nicht dazu.

Nimm ruhig den 1200er Cisco, wenn er Deine Anforderungen erfüllt. Der geht "dem Papier nach" schon in Ordnung. Aber hoffe nicht darauf, dass Du Dir hiermit gegenüber günstigeren aber ebenfalls im Enterprise-Segment positionierten Mitbewerbern großartige funktionale oder gar qualitative Vorteile erkaufst, nur weil Cisco drauf steht. Auch Cisco hat nichts zu verschenken.

Gruß
sk