28
Empfehlung für Layer 3 Switch gesucht
Hallo zusammen,
Nachdem in den letzten Jahren immer mehr (W)LAN Geräte Einzug in mein Heimnetz gehalten haben, möchte ich dieses mittelfristig gerne in Bezug auf Sicherheit (und ggf. Performance) optimieren und in mehrere VLANs partitionieren (z.B. IoT, Gäste, ...).
Aktuell nutze ich eine FritzBox 6591 als Router, hierüber läuft auch das gesamte Netzwerk. Die FritzBox möchte ich gerne als Internetrouter beibehalten, unter anderem weil ich hierüber auch ein Site-to-Site VPN implementiert habe, was glücklicherweise stabil läuft. Außerdem vereinfacht die Nutzung der Miet-Box natürlich die Interaktion mit dem Provider.
Aus genanntem Grund tendiere ich zu einem Setup mit einem Layer 3 Switch, wie hier im Detail dargestellt:
VLAN Routing mit Layer 3 Switch ohne externen Router / Firewall
Meine konkreten Fragen an euch Experten:
1. Ist das genannte Setup sinnvoll oder habe ich da einen Denkfehler?
2. Könnt ihr mir einen Layer 3 Switch empfehlen, der
Herzlichen Dank im Voraus für eure Hilfe!
Gruß,
Schors.ch
Nachdem in den letzten Jahren immer mehr (W)LAN Geräte Einzug in mein Heimnetz gehalten haben, möchte ich dieses mittelfristig gerne in Bezug auf Sicherheit (und ggf. Performance) optimieren und in mehrere VLANs partitionieren (z.B. IoT, Gäste, ...).
Aktuell nutze ich eine FritzBox 6591 als Router, hierüber läuft auch das gesamte Netzwerk. Die FritzBox möchte ich gerne als Internetrouter beibehalten, unter anderem weil ich hierüber auch ein Site-to-Site VPN implementiert habe, was glücklicherweise stabil läuft. Außerdem vereinfacht die Nutzung der Miet-Box natürlich die Interaktion mit dem Provider.
Aus genanntem Grund tendiere ich zu einem Setup mit einem Layer 3 Switch, wie hier im Detail dargestellt:
VLAN Routing mit Layer 3 Switch ohne externen Router / Firewall
Meine konkreten Fragen an euch Experten:
1. Ist das genannte Setup sinnvoll oder habe ich da einen Denkfehler?
2. Könnt ihr mir einen Layer 3 Switch empfehlen, der
- in der Lage ist 4-6 VLANs zu handeln,
- das über einen einzelnen Access Point hinbekommt (oder hängt das nur vom auszuwählenden AP ab?),
- mDNS Gatewayfunktionalität besitzt (Bonjour soll zwischen den VLANs möglich sein),
- halbwegs userfreundlich einzurichten / zu managen ist,
- bei all dem budgetfreundlich
bleibt?
Herzlichen Dank im Voraus für eure Hilfe!
Gruß,
Schors.ch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4097536510
Url: https://administrator.de/contentid/4097536510
Ausgedruckt am: 17.11.2024 um 20:11 Uhr
28 Kommentare
Neuester Kommentar
Morschen.
Absolut nicht. Genau der richtige Ansatz, wenn man den vorhandenen Router nicht ersetzen oder eine Kaskade von Routern vermeiden möchte.
Der Mikrotik CRS326 (gibt es mit verschiedenen Port-Auslegungen) ist ein günstiger Kandidat. Die Lernkurve ist etwas steiler, aber Layer 3 Switches sind nicht unbedingt für den Heimgebrauch gemacht worden und haben daher gewisse Aufschläge an Komplexität und Kosten.
Auch die Cisco CBS250 Reihe mal anschauen.
Die Anzahl der geforderten VLAN wird kaum ein Gerät überfordern an der Stelle.
Der Access Point muss mit VLANs selbst umgehen können.
Gruß
Marc
Absolut nicht. Genau der richtige Ansatz, wenn man den vorhandenen Router nicht ersetzen oder eine Kaskade von Routern vermeiden möchte.
2. Könnt ihr mir einen Layer 3 Switch empfehlen, der
- in der Lage ist 4-6 VLANs zu handeln,
- das über einen einzelnen Access Point hinbekommt (oder hängt das nur vom auszuwählenden AP ab?),
- mDNS Gatewayfunktionalität besitzt (Bonjour soll zwischen den VLANs möglich sein),
- halbwegs userfreundlich einzurichten / zu managen ist,
- bei all dem budgetfreundlich bleibt?
Der Mikrotik CRS326 (gibt es mit verschiedenen Port-Auslegungen) ist ein günstiger Kandidat. Die Lernkurve ist etwas steiler, aber Layer 3 Switches sind nicht unbedingt für den Heimgebrauch gemacht worden und haben daher gewisse Aufschläge an Komplexität und Kosten.
Auch die Cisco CBS250 Reihe mal anschauen.
Die Anzahl der geforderten VLAN wird kaum ein Gerät überfordern an der Stelle.
Der Access Point muss mit VLANs selbst umgehen können.
Gruß
Marc
1
Bei MT alternativ auch nen Router. Der kann das natürlich auch und ist leistungsfähiger. Da ist aber halt bei ca. 10 Ports Schluss. Alternativ könntest Du z.b. auch 2 bis 4 sehr kompakte RB5009 kombinieren - einen ggfs. mit PoE/out.
CBS250 ... machen die intern verschiedene DHCPs für die Clients? Firewalling zwischen den vLANs? Oder muss an dafür evtl. auf die 350er wechseln?
CBS250 ... machen die intern verschiedene DHCPs für die Clients? Firewalling zwischen den vLANs? Oder muss an dafür evtl. auf die 350er wechseln?
1
Hallo ihr beiden, danke euch für die schnelle Rückmeldung. Mit dem Mikrotik bzw. dem CBS350 wäre ich bei ab ca. 210 - 230 EUR, das wäre also noch zu verschmerzen. Können denn die genannten Geräte mDNS Gateway? Sonst wird es mit dem ganzen Apple Environment und den diversen IoT Geräten u.U. schwierig. Habe dazu auf die Schnelle nichts gefunden in den Data Sheets. Liegt aber vielleicht auch an meiner mangelnden Erfahrung
Danke euch!
Danke euch!
CBS250 nicht 350, es sei denn du willst mehr Geld ausgeben oder wenn du die Features des 350ers benötigst?!
Ein Switch ist selten ein mDNS Proxy. Sowas findest du, wenn überhaupt, nur bei Premium Anbietern (Cisco Catalyst etc.) Routern oder APs. Bei SoHo sind die Chancen bei Mikrotik da noch am größten.
https://forum.mikrotik.com/viewtopic.php?t=174354
Ansonsten löst ein 10 Euro RasPi Zero das Problem
Bonjour an Subnetz weiterleiten
Ein Switch ist selten ein mDNS Proxy. Sowas findest du, wenn überhaupt, nur bei Premium Anbietern (Cisco Catalyst etc.) Routern oder APs. Bei SoHo sind die Chancen bei Mikrotik da noch am größten.
https://forum.mikrotik.com/viewtopic.php?t=174354
Ansonsten löst ein 10 Euro RasPi Zero das Problem
Bonjour an Subnetz weiterleiten
Na, wohl eher der hier:
https://forum.mikrotik.com/viewtopic.php?p=958394
Der Trend - oder sagen wir besser, die Hoffnung - geht in Richtung (Docker-) Container. Das wiederum macht aber eigentlich nur bei den Router-Modellen (idealerweise mit USB-Port) Sinn. Aber ja, damit ist man wahnsinnig flexibel, auch für spätere Erweiterungen/Setup-Anpassungen.
https://forum.mikrotik.com/viewtopic.php?p=958394
Der Trend - oder sagen wir besser, die Hoffnung - geht in Richtung (Docker-) Container. Das wiederum macht aber eigentlich nur bei den Router-Modellen (idealerweise mit USB-Port) Sinn. Aber ja, damit ist man wahnsinnig flexibel, auch für spätere Erweiterungen/Setup-Anpassungen.
1
Hi zusammen,
Danke aqui für den Hinweis zum CBS250. Der wäre sogar nochmal ne Latte günstiger.
Bzgl. mDNS auf Switches hatte ich gerade bezüglich Cisco etwas gelesen:
Chromecast or AirPlay in different VLAN on a Cisco Switch (>IOS15.2)
Daher war meine Hoffnung dass das auf zumindest den Cisco Layer 3 Switches funktioniert.
Den Workaround mit Raspberry Pi und Avahi hatte ich mir schonmal angeschaut (werde so etwas für mDNS announcement über die Site-to-Site VPN Verbindung nutzen), mir wäre eine im Switch integrierte Lösung allerdings deutlich sympathischer.
Bei der Raspberry Pi Variante bräuchte man dann vermutlich jeweils einen Pi für jede VLAN to VLAN Kombination für die man mDNS weiterleiten möchte, d.h. ein Pi hängt jeweils zwischen zwei VLANs. Ist das richtig?
Danke & Gruß,
Schors.ch
Danke aqui für den Hinweis zum CBS250. Der wäre sogar nochmal ne Latte günstiger.
Bzgl. mDNS auf Switches hatte ich gerade bezüglich Cisco etwas gelesen:
Chromecast or AirPlay in different VLAN on a Cisco Switch (>IOS15.2)
Daher war meine Hoffnung dass das auf zumindest den Cisco Layer 3 Switches funktioniert.
Den Workaround mit Raspberry Pi und Avahi hatte ich mir schonmal angeschaut (werde so etwas für mDNS announcement über die Site-to-Site VPN Verbindung nutzen), mir wäre eine im Switch integrierte Lösung allerdings deutlich sympathischer.
Bei der Raspberry Pi Variante bräuchte man dann vermutlich jeweils einen Pi für jede VLAN to VLAN Kombination für die man mDNS weiterleiten möchte, d.h. ein Pi hängt jeweils zwischen zwei VLANs. Ist das richtig?
Danke & Gruß,
Schors.ch
hatte ich gerade bezüglich Cisco etwas gelesen:
Bezieht sich wie du ja selber gelesen hast auf IOS basierte Switches (Catalysten), somit andere Baustelle. Oder du musst bei eBay einkaufen.Der RasPi müsste nur ein VLAN Bein in die Segmente bekommen wo er Proxy spielt.
Bezieht sich wie du ja selber gelesen hast auf IOS basierte Switches (Catalysten), somit andere Baustelle. Oder du musst bei eBay einkaufen.
Danke für die Klärung, die Dinger sind schon ne andere Hausnummer. Also gibt es wohl entweder die Möglichkeit mehr Geld in die Hand zu nehmen und einen solchen Catalyst Switch einzusetzen (ist wohl mit Kanonen auf Spatzen geschossen), oder man bleibt bei der "Budget-Variante" CBS250 oder Mikrotik, in Verbindung mit einem Raspberry Pi. Jetzt habe ich mal ein klareres Bild, danke euch allen dafür!
Gruß,
Georg
1
Vielleicht lässt sich der Raspi dann ja auch um Adguard erweitern. Im Heimnetz ein echter Gewinn
Oder eben bei eBay. Dort bekommt man die Catalysten recht preiswert als Second Hand was dann den RasPi erspart. 😉
Oder eben bei eBay. Dort bekommt man die Catalysten recht preiswert als Second Hand was dann den RasPi erspart. 😉
Da wäre dann aber darauf zu achten dass die Dinger neu genug sind um noch IOS 15.2 zu unterstützen. Sonst ist das mit dem mDNS Gateway auch wieder nix
Bei der aktuellen Liefersituation der RasPis ist das aber echt ne Überlegung wert...
3850er z.B. erfüllen alle diese Voraussetzungen:
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313 ...
https://software.cisco.com/download/home/286285449/type/282046477/releas ...
Cat 3750 und 4948 vermutlich nicht:
https://software.cisco.com/download/home/282526529/type/280805680/releas ...
https://software.cisco.com/download/home/279320804/type/280805680/releas ...
Allerdings sind die Angaben in dem Thread oben missverständlich. Im Bereich IOS-XE gibt es zwar das 15er Release ist aber offiziell nicht mehr supportet und bei IOS haben die latest L3 15.0.2. Ist unklar was der Verfasser da genau meint. Da hilft dann wohl nur ein Blick in die Relase Notes dieser Funktion.
https://www.cisco.com/en/US/docs/switches/lan/catalyst3850/software/rele ...
Dort steht auch das es in IOS-XE implementiert ist, also 38er Catalysten und aufwärts die IOS-XE nutzen. 😉
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2380057.m570.l1313 ...
https://software.cisco.com/download/home/286285449/type/282046477/releas ...
Cat 3750 und 4948 vermutlich nicht:
https://software.cisco.com/download/home/282526529/type/280805680/releas ...
https://software.cisco.com/download/home/279320804/type/280805680/releas ...
Allerdings sind die Angaben in dem Thread oben missverständlich. Im Bereich IOS-XE gibt es zwar das 15er Release ist aber offiziell nicht mehr supportet und bei IOS haben die latest L3 15.0.2. Ist unklar was der Verfasser da genau meint. Da hilft dann wohl nur ein Blick in die Relase Notes dieser Funktion.
https://www.cisco.com/en/US/docs/switches/lan/catalyst3850/software/rele ...
Dort steht auch das es in IOS-XE implementiert ist, also 38er Catalysten und aufwärts die IOS-XE nutzen. 😉
Ich bin mir ja des Umfangs der häuslichen Installation nicht bewusst und ich will auch die Vorfreude nicht schmälern...
aber der - könnte - unter Last mit seinem 350 Watt Netzteil ohne POE! (überraschend) kostspielig werden. Von der Lautstärke der Lüfter mal ganz abgesehen. Aber evtl. spart man das beim Gas wieder ein. Heutzutage ist das ja alles etwas komplizierter
aber der - könnte - unter Last mit seinem 350 Watt Netzteil ohne POE! (überraschend) kostspielig werden. Von der Lautstärke der Lüfter mal ganz abgesehen. Aber evtl. spart man das beim Gas wieder ein. Heutzutage ist das ja alles etwas komplizierter
Soviel habe ich da sicherlich nicht dranhängen. Dennoch wird es vermutlich auf die "Budget Lösung" mit RasPi hinauslaufen. Catalyst 3850 sind auch bei ebay nicht wirklich günstig, die Schnäppchen gibt es bei den 3750ern, und die kommen ja nicht in Frage.
Das ist üblicher Weise auch schlichtweg ne Lärmfrage. Zumindest in den Server-Räumen die ich kenne, möchte man nicht wohnen
Und die Verbrauchsrechnung ist oft eine Milchmädchenrechnung, denn die geht immer von einem voll bestückten System inklusive aller Transceiver aus. In einem Heimnetz ja eher nie der Fall.
So, nach weiterer Recherche hier im Forum muss es dann wohl doch ein CBS350 sein, die 250er haben nach meinem Verständnis keine DHCP Server Funktionalität für das vLAN (Switch - Layer, vLAN, DHCP), und die Fritz!Box ist dazu ohnehin keine Hilfe.
Vermutlich wird das dann das Setup: Fritz!Box --> CBS350 --> WLAN AP. Perspektivisch könnte ich vielleicht die Fritz!Box in den Bridge Mode versetzen (fungiert dann nur noch als Modem und für Telefonie) und einen vernünftigen Router/Firewall nachschalten. Dazu muss ich aber erstmal klären a) ob das überhaupt geht (Thema MAX CPE bei Vodafone BW) und b) wie ich das Thema Site-to-Site VPN dann umsetze.
By the way, habt ihr ggf. noch Empfehlungen für einen WLAN AP mit vLAN/MSSID Unterstützung? Idealerweise Desktop-Style, da Wand- oder Deckenmontage vermutlich nicht in Frage kommt.
Schönen Sonntag allerseits!
Vermutlich wird das dann das Setup: Fritz!Box --> CBS350 --> WLAN AP. Perspektivisch könnte ich vielleicht die Fritz!Box in den Bridge Mode versetzen (fungiert dann nur noch als Modem und für Telefonie) und einen vernünftigen Router/Firewall nachschalten. Dazu muss ich aber erstmal klären a) ob das überhaupt geht (Thema MAX CPE bei Vodafone BW) und b) wie ich das Thema Site-to-Site VPN dann umsetze.
By the way, habt ihr ggf. noch Empfehlungen für einen WLAN AP mit vLAN/MSSID Unterstützung? Idealerweise Desktop-Style, da Wand- oder Deckenmontage vermutlich nicht in Frage kommt.
Schönen Sonntag allerseits!
Soll ich jetzt nochmal Mikrotik sagen?
Bei mir läuft nen CRS an nem gebridgtem Vodafon Router mit vLAN inkl. dhcp, Firewall und Wireguard.
Aber Du kannst natürlich auch mit Cisco rumdoktern, die machen auch Router und Firewalls und dann guckste mal, wie Du da an firmware kommst 😏
Bei mir läuft nen CRS an nem gebridgtem Vodafon Router mit vLAN inkl. dhcp, Firewall und Wireguard.
Aber Du kannst natürlich auch mit Cisco rumdoktern, die machen auch Router und Firewalls und dann guckste mal, wie Du da an firmware kommst 😏
Klingt auch verlockend. Hast du zu dem Setup noch ein paar Details?
Das hängt primär von der Anzahl der notwendigen Ports ab!
Bei mir waren es ca. 24, deswegen ein CRS326 oder der CRS328 mit PoE. Da ist die NAT-Performance am WAN allerdings auf ca. 500 Mbit/s begrenzt. Je nach Bedarf solltest Du also auf etwas mehr (Doppel-)Wumms achten. Ist ja gerade eh en vogue.
Bei mir waren es ca. 24, deswegen ein CRS326 oder der CRS328 mit PoE. Da ist die NAT-Performance am WAN allerdings auf ca. 500 Mbit/s begrenzt. Je nach Bedarf solltest Du also auf etwas mehr (Doppel-)Wumms achten. Ist ja gerade eh en vogue.
die 250er haben nach meinem Verständnis keine DHCP Server Funktionalität
Das ist richtig, allerdings hat eine DHCP Server Funktionalität auf Switches in der Regel auch nichts zu suchen. Sowas macht immer ein zentraler DHCP Server oder eben Router oder Firewall.Zum Rest hat Kollege @Visucius ja schon alles gesagt.
Nur mal zum Vergleich:
Ne ordinäre Fritze von vor 2 Jahren hat schon nen Doppelkerner mit 1 Ghz.
Auch MT kann mit Linux nicht übers Wasser rennen, wenn es die HW nicht hergibt … aber schwimmen, schwimmen geht. Und das ist der Vorteil gegenüber anderen Herstellern, die die Funktion dann ganz weglassen
Ne ordinäre Fritze von vor 2 Jahren hat schon nen Doppelkerner mit 1 Ghz.
Auch MT kann mit Linux nicht übers Wasser rennen, wenn es die HW nicht hergibt … aber schwimmen, schwimmen geht. Und das ist der Vorteil gegenüber anderen Herstellern, die die Funktion dann ganz weglassen
Verstanden. Die "sauberste" Lösung wäre sicherlich die Fritz!Box zu bridgen und dahinter einen ordentlichen Router mit Firewall, DHCP und vLAN-Unterstützung zu hängen. Daran dann einen vLAN-fähigen Switch (nach Bedarf) und vLAN-fähigen Access Point. Oder die "kleine" Lösung mit einem Mikrotik Switch im Router Mode und entsprechenden Nachteilen bei der Performance. Werde mal mit der Vodafone Hotline in die Diskussion zu MAX CPE gehen, nach allem was ich recherchiert habe sollte es im Gebiet BaWü möglich sein die Fritz!Box im Bridge Mode zu betreiben.
Alternativ die Fritz!Box weiterhin als Router, plus ein Setup mit Layer 3 Switch, aber damit (nach meinem Verständnis) Nachteilen beim Thema Firewall. Außerdem bräuchte ich im Regelfall einen separaten DHCP Server für die Unterstützung der vLANs (ließe sich das nicht über einen RasPi realisieren?).
Alternativ die Fritz!Box weiterhin als Router, plus ein Setup mit Layer 3 Switch, aber damit (nach meinem Verständnis) Nachteilen beim Thema Firewall. Außerdem bräuchte ich im Regelfall einen separaten DHCP Server für die Unterstützung der vLANs (ließe sich das nicht über einen RasPi realisieren?).
Nachteilen beim Thema Firewall
Naja, eigentlich auch nur, wenn Du auf dem Router ein anspruchsvolleres Setup konstruieren würdest. "Alles raus aber nix unbekanntes darf rein", macht Dir die Statefull-FW der Fritze auch fehlerfrei.Es gäbe aber eigentlich auch den Mode "exposed host" bei AVM, wenn das mit dem Bridgen nicht möglich ist:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/131_DMZ-in-FR ...
nicht über einen RasPi realisieren
DHCP kann er bestimmt auch für alle vLANs. Auch wenn ich gerade dazu nix verlinken kann.Alternativ suchst Du Dir statt Router (hinter der Fritze bzw. Modem) ne potentere HW und installierst ne opensource FW a la pfSense oder OPNsense oder ähnlcihes:
https://geekflare.com/best-open-source-firewall/
Die machen dann üblicher Weise auch das vLAN-Thema fürs Netzwerk (inkl. DHCP)
Wenn er als L3 Switch einen Mikrotik betreibt hat er ja auch eine anständige SPI Firewall an Bord. Bei anderen dann halt nicht SPI fähige Accesslisten die aber für ein Heimnetz auch allemal reichen.
Auch wenn ich gerade dazu nix verlinken kann.
Guckst du HIER. 😉1
Danke
Man könnte auch mal gucken ob Adguard Home auf nem Raspi mehrere DHCPs für vLANs anbieten könnte. Zumindest schient er DHCPs für unterschiedliche Interfaces realisieren zu können. In meinen Augen spricht das dafür. Und damit hättest auf dem Raspi nen Werbebelocker und nen recht einfachen DHCP für Deine vLANs.
Man könnte auch mal gucken ob Adguard Home auf nem Raspi mehrere DHCPs für vLANs anbieten könnte. Zumindest schient er DHCPs für unterschiedliche Interfaces realisieren zu können. In meinen Augen spricht das dafür. Und damit hättest auf dem Raspi nen Werbebelocker und nen recht einfachen DHCP für Deine vLANs.
Ich danke euch, ich denke damit habe ich auf jeden Fall ein paar Ideen mit denen ich anfangen kann. Spannend wird’s dann wenn es ins doing geht 😉
Update: ich konnte erfolgreich meine Fritz!Box 6591 im Home Office in den Bridge-Mode umstellen. Genaugenommen ist es ja kein echter Bridge-Mode, es wird lediglich eine zweite öffentliche IP auf einen der Ports durchgeschaltet. Die Fritz!Box bekommt immer noch ihre eigene IP und kann theoretisch als Backupnetzwerk fungieren. Telefonie funktioniert auch weiter über die Fritz!Box.
Somit kann ich nun das "kleine" Home Office Netzwerk als Spielwiese nutzen um mich mit der vLAN Thematik vertraut zu machen. Wenn das gut klappt kann ich es auch auf den Heimbereich ausrollen. Habe noch einen alten ASUS RT-AC87U Router im Keller gefunden den ich an den gebridgten Port der Fritz!Box hängen werde. Da kommt dann zu Übungszwecken OpenWRT drauf. Im Ziel möchte ich aber dann einen Mikrotik Router einsetzen, schon wegen der Möglichkeit eines IPSEC Site-to-Site VPNs in den Heimbereich.
Somit kann ich nun das "kleine" Home Office Netzwerk als Spielwiese nutzen um mich mit der vLAN Thematik vertraut zu machen. Wenn das gut klappt kann ich es auch auf den Heimbereich ausrollen. Habe noch einen alten ASUS RT-AC87U Router im Keller gefunden den ich an den gebridgten Port der Fritz!Box hängen werde. Da kommt dann zu Übungszwecken OpenWRT drauf. Im Ziel möchte ich aber dann einen Mikrotik Router einsetzen, schon wegen der Möglichkeit eines IPSEC Site-to-Site VPNs in den Heimbereich.
1
