9
Good Practice für Segmentierung eines Heimnetzes in VLANs
Hallo,
nachdem ich mich durch etliche Tutorials, Manuals und Wikipedia Artikel gewühlt habe, fange ich an ein wenig durchzublicken. Allerdings fehlen mir noch generelle Hinweise zur Netzarchitektur, wieviele VLANs, warum, Einteilung der Endgeräte, etc...
In meinem Fall geht es um mehrere Laptops, Smart Phones, ein NAS, IPTV über Telekom Media Receiver, Spielekonsolen PS3/PS4, Smart Home Bridges (Hue, OpenHAB Server), Drucker (kabelgebunden am Netz), WLAN Access Points...
Der erste Gedanke wäre jede Gerätegruppe in ein eigenes VLAN zu packen. Vermutlich ist das jedoch nicht die sinnvollste Lösung!?
Vielleicht kann man diese Frage ja auch nutzen um generelle Tips zu sammeln a la "Es lohnt sich für IPTV ein seperates VLAN zu erstellen um unnötige Multicasts zu vermeiden"
nachdem ich mich durch etliche Tutorials, Manuals und Wikipedia Artikel gewühlt habe, fange ich an ein wenig durchzublicken. Allerdings fehlen mir noch generelle Hinweise zur Netzarchitektur, wieviele VLANs, warum, Einteilung der Endgeräte, etc...
In meinem Fall geht es um mehrere Laptops, Smart Phones, ein NAS, IPTV über Telekom Media Receiver, Spielekonsolen PS3/PS4, Smart Home Bridges (Hue, OpenHAB Server), Drucker (kabelgebunden am Netz), WLAN Access Points...
Der erste Gedanke wäre jede Gerätegruppe in ein eigenes VLAN zu packen. Vermutlich ist das jedoch nicht die sinnvollste Lösung!?
Vielleicht kann man diese Frage ja auch nutzen um generelle Tips zu sammeln a la "Es lohnt sich für IPTV ein seperates VLAN zu erstellen um unnötige Multicasts zu vermeiden"
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 292273
Url: https://administrator.de/contentid/292273
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Ob sich im privaten Umfeld sowas lohnt ist schon fraglich. Das hängt ja davon ab was du willst. Z.b. Dein multicast ist dir im netzwerk egal, der wird ja nicht überall hingeschossen sondern nur wenn das Gerät nen join macht.
Ob du jetzt z.B. Nen Wlan für gäste in nem eigenen vlan machst hängt davon ab ob du das auch sonst trennen willst. Haben die gäste z.b. dann trotzdem zugriff auf alles kannst es dir schenken.
Nimmst du deine openhab z.b. In nen eigenes vlan ist das sicher machbar und vermutlich sinnvoll. Aber auch da wirst du mit dem smartphone ran wollen. Also musst du eh min. Einen port dahin zulassen. Das macht eben sinn wenn du das dann auf den oh Server beschränkst. Gibst du alles in dem gesamten vlan frei ist das m.e. Unsinnig.
Die Anzahl der Netzgeräte wird normal kein Problem sein um alles in einem Netzwerk zu betreiben. Da brauchst du vermutlich keine vlans für.
Ob sich im privaten Umfeld sowas lohnt ist schon fraglich. Das hängt ja davon ab was du willst. Z.b. Dein multicast ist dir im netzwerk egal, der wird ja nicht überall hingeschossen sondern nur wenn das Gerät nen join macht.
Ob du jetzt z.B. Nen Wlan für gäste in nem eigenen vlan machst hängt davon ab ob du das auch sonst trennen willst. Haben die gäste z.b. dann trotzdem zugriff auf alles kannst es dir schenken.
Nimmst du deine openhab z.b. In nen eigenes vlan ist das sicher machbar und vermutlich sinnvoll. Aber auch da wirst du mit dem smartphone ran wollen. Also musst du eh min. Einen port dahin zulassen. Das macht eben sinn wenn du das dann auf den oh Server beschränkst. Gibst du alles in dem gesamten vlan frei ist das m.e. Unsinnig.
Die Anzahl der Netzgeräte wird normal kein Problem sein um alles in einem Netzwerk zu betreiben. Da brauchst du vermutlich keine vlans für.
Wozu VLANs ?
Warum der ganze Aufwand ?
Was willst du mit der Segmentierung erreichen ?
Meiner Meinung nach macht der ganze Aufwand in einem "kleinen" Homenetz keinen Sinn; der Aufwand steht in keinem Verhältnis zum Nutzen.
Multicasts, Broadcasts, "Netzwerkrauschen" etc. interessieren oder stören aktuelle Switche und andere Netzwerkkomponenten nicht wirklich. Durch eine Segmentierung mit VLANs, bzw. mehrere Netzwerke verschiebst du nur mögliche Probleme, hast aber eine zusätzliche Fehlerquelle eingebaut.
Wenn du mit VLANs bzw. mehreren Netzwerken arbeiten willst, bedenke: Sie müssen geroutet und der Traffic sollten ggf. auch durch Regeln (Firewall) kontrolliert werden. Für den Soho / Consumerbereich sind mir keine Komponenten bekannt, die dies vernünftig handhaben können.
-
Verstehe mich nicht verkehrt: Segmentierung von Netzwerken macht sehr häufig Sinn, aber meiner Meinung nach nicht in einem Homenetz.
Gruß
Christoph
Warum der ganze Aufwand ?
Was willst du mit der Segmentierung erreichen ?
Meiner Meinung nach macht der ganze Aufwand in einem "kleinen" Homenetz keinen Sinn; der Aufwand steht in keinem Verhältnis zum Nutzen.
Multicasts, Broadcasts, "Netzwerkrauschen" etc. interessieren oder stören aktuelle Switche und andere Netzwerkkomponenten nicht wirklich. Durch eine Segmentierung mit VLANs, bzw. mehrere Netzwerke verschiebst du nur mögliche Probleme, hast aber eine zusätzliche Fehlerquelle eingebaut.
Wenn du mit VLANs bzw. mehreren Netzwerken arbeiten willst, bedenke: Sie müssen geroutet und der Traffic sollten ggf. auch durch Regeln (Firewall) kontrolliert werden. Für den Soho / Consumerbereich sind mir keine Komponenten bekannt, die dies vernünftig handhaben können.
-
Verstehe mich nicht verkehrt: Segmentierung von Netzwerken macht sehr häufig Sinn, aber meiner Meinung nach nicht in einem Homenetz.
Gruß
Christoph
Erstmal vielen Dank für die Antworten!
Im Rahmen eines Umzugs, habe ich den Entschluss gefasst unser Heimnetzwerk aufzuräumen. Hier wurde ich dann auf das Thema VLANs aufmerksam gemacht, habe daraufhin ein wenig recherchiert und versucht mir die Grundlagen anzueignen. Es gibt mehrere Artikel (oder auch Tutorials hier), die zumindest immer nur teilweise erklären, warum ein LAN nun in bestimmte VLANs aufgeteilt wird bzw. warum welche Endgeräte oder Dienste gesondert behandelt werden sollten.
Inwiefern sich der Aufwand lohnt, kann ich absolut nicht einschätzen, da ich den Nutzen noch nicht konkret abschätzen kann. Ich erhoffe mir dadurch ein generell "schnelleres" WLAN und LAN sowie eine erhöhte Sicherheit.
Deshalb wüsste ich gerne auf welche Dinge bei der Planung/Aufteilung in VLANs geachtet werden sollte und warum.
Im Rahmen eines Umzugs, habe ich den Entschluss gefasst unser Heimnetzwerk aufzuräumen. Hier wurde ich dann auf das Thema VLANs aufmerksam gemacht, habe daraufhin ein wenig recherchiert und versucht mir die Grundlagen anzueignen. Es gibt mehrere Artikel (oder auch Tutorials hier), die zumindest immer nur teilweise erklären, warum ein LAN nun in bestimmte VLANs aufgeteilt wird bzw. warum welche Endgeräte oder Dienste gesondert behandelt werden sollten.
Inwiefern sich der Aufwand lohnt, kann ich absolut nicht einschätzen, da ich den Nutzen noch nicht konkret abschätzen kann. Ich erhoffe mir dadurch ein generell "schnelleres" WLAN und LAN sowie eine erhöhte Sicherheit.
Deshalb wüsste ich gerne auf welche Dinge bei der Planung/Aufteilung in VLANs geachtet werden sollte und warum.
Hi!
Vielleicht hilft dir das, stand vor 1 Jahr vor dem gleichen Thema mit wenig Erfahrung:
Einfamilienhaus Planung (Teil2): Skizze-Aufbau
Meine erste Frage in dem Forum war hier: Einfamilienhaus Planung - Netzwerkaufbau
Ohne der Hilfe und den Tutorials hätte ich es nie geschafft (an der Stelle nochmal Danke, speziell für die Tutorials!)
Mittlerweile ist alles am laufen. Mit der pfSense (für Routing, DHCP, als Router und Firewall) bin ich echt glücklich sowie der Entscheidung mit mehreren Vlans zu arbeiten. Warum es für mich(!) sinnvoll war:
- zusätzlich zu den klassischen Devices läuft vieles im Haus über ein Smart Home System (Licht, Türsteuerung, etc.)
- ich verwende aktuell mehr als 6 IP Cams
- plus eben ca. 25 Devices (Phones, Tablets, Laptop aber auch Beamer, AVR, usw.) -> diese kann ich mit den Vlans recht gut managen
- dazu arbeiten wir beide oft von zuhause und daher auch die Trenunng der Vlans nach Privat und Business 1 und 2
- VPN Verbindung, speziell für Smart Home Themen
Aber das Netzwerk (plus alles was dazugehört) hat mich beim Hausbau die längste Zeit gekostet... und bis heute 2-3h in der Woche, da es halt auch administriert werden will.
Da du noch sehr wenig zu euren Szenarien schreibst, würde ich damit beginnen (siehe eine meiner ersten Postings) - ich habe mal begonnen mir ca. 25 Szenarien aufzuschreiben, daraus Requirments gemacht und dann nach Lösungen gesucht -> also nicht brauche ich Vlan oder nicht, etc. -> sondern was will ich konkret
Aber auch was steht zur Verfügung an Möglichkeiten/Technik? (z.B. wusste ich vor dem Hausbau wir haben Standleitung Telekom sowie LTE Modem -> daher gesucht nach dem Thema Multi Wan und Gateways -> somit bis heute keine Minuten offline durch die 2 Systeme...)
Oder auch "NAS" Thema bei dir oben -> was genau? welche Dienste? (z.B.: läuft bei dir drauf neben klassischen Datenstorage noch ein wordpress, owncloud, Syslog Server, Kamerüberwachungs-Software, Radius Server ist gerade am entstehen, etc.) Bzw. 3 NAS Systeme die sich ergänzen (1 Produktives, 2 als Backup)
Ich hoffe das hilft vielleicht, lg noizede
Vielleicht hilft dir das, stand vor 1 Jahr vor dem gleichen Thema mit wenig Erfahrung:
Einfamilienhaus Planung (Teil2): Skizze-Aufbau
Meine erste Frage in dem Forum war hier: Einfamilienhaus Planung - Netzwerkaufbau
Ohne der Hilfe und den Tutorials hätte ich es nie geschafft (an der Stelle nochmal Danke, speziell für die Tutorials!)
Mittlerweile ist alles am laufen. Mit der pfSense (für Routing, DHCP, als Router und Firewall) bin ich echt glücklich sowie der Entscheidung mit mehreren Vlans zu arbeiten. Warum es für mich(!) sinnvoll war:
- zusätzlich zu den klassischen Devices läuft vieles im Haus über ein Smart Home System (Licht, Türsteuerung, etc.)
- ich verwende aktuell mehr als 6 IP Cams
- plus eben ca. 25 Devices (Phones, Tablets, Laptop aber auch Beamer, AVR, usw.) -> diese kann ich mit den Vlans recht gut managen
- dazu arbeiten wir beide oft von zuhause und daher auch die Trenunng der Vlans nach Privat und Business 1 und 2
- VPN Verbindung, speziell für Smart Home Themen
Aber das Netzwerk (plus alles was dazugehört) hat mich beim Hausbau die längste Zeit gekostet... und bis heute 2-3h in der Woche, da es halt auch administriert werden will.
Da du noch sehr wenig zu euren Szenarien schreibst, würde ich damit beginnen (siehe eine meiner ersten Postings) - ich habe mal begonnen mir ca. 25 Szenarien aufzuschreiben, daraus Requirments gemacht und dann nach Lösungen gesucht -> also nicht brauche ich Vlan oder nicht, etc. -> sondern was will ich konkret
Aber auch was steht zur Verfügung an Möglichkeiten/Technik? (z.B. wusste ich vor dem Hausbau wir haben Standleitung Telekom sowie LTE Modem -> daher gesucht nach dem Thema Multi Wan und Gateways -> somit bis heute keine Minuten offline durch die 2 Systeme...)
Oder auch "NAS" Thema bei dir oben -> was genau? welche Dienste? (z.B.: läuft bei dir drauf neben klassischen Datenstorage noch ein wordpress, owncloud, Syslog Server, Kamerüberwachungs-Software, Radius Server ist gerade am entstehen, etc.) Bzw. 3 NAS Systeme die sich ergänzen (1 Produktives, 2 als Backup)
Ich hoffe das hilft vielleicht, lg noizede
Vielen Dank für die ausführliche Antwort, noizede!
Über deine erste Frage bin ich auch schon ein paar mal hier gestolpert und hatte mir auch schon den ein oder andern Nutzen raus ziehn können.
Eigentlich wollte ich hier in dieser Frage wirklich generelle Tips sammeln und weniger konkrete für meinen Anwendungsfall. Ein oft genanntes Beispiel wäre "VoIP Telefone sollten in ein eigenes VLAN um unterbrechungsfreie Gespräche zu ermöglichen".
Die Antworten zu den Fragen nach der Technik:
VDSL50 Anschluss der Telekom inkl. T-Entertain
AVM Fritzbox 7490
Cisco SG300-28
Edimax WAP1200
QNAP TS-219PII (dient im Moment hauptsächlich als Netzlaufwerk, stellt aber u.a. die MySQL Datenbank für die Kodi HTPCs zur Verfügung)
Dazu kommt dann eben wie bei dir noch das ein oder andere Smart Home Gerät (werden sicher mehr), bisher 1 Kamera, VPN Zugriff und insgesamt (wenn das Netz "fertig" ist) vielleicht so ca. 15 unterschiedliche Clients (PCs, Laptops, Smart Phones, mini PCs, etc...). Wegen Gastnetz bin ich noch unentschlossen, da ich auch mit Gästen bestimmte Inhalte einfach teilen können will. (bzw. auch Dienste wie AirPlay von Gästen nutzen lassen möchte)
Ich hatte mir auch schon verschiedene Szenarien überlegt und eine Art "Access Listen Skizze" erstellt, werde versuchen das baldmöglichst hier in leserlicher Form zu posten.
Über deine erste Frage bin ich auch schon ein paar mal hier gestolpert und hatte mir auch schon den ein oder andern Nutzen raus ziehn können.
Eigentlich wollte ich hier in dieser Frage wirklich generelle Tips sammeln und weniger konkrete für meinen Anwendungsfall. Ein oft genanntes Beispiel wäre "VoIP Telefone sollten in ein eigenes VLAN um unterbrechungsfreie Gespräche zu ermöglichen".
Die Antworten zu den Fragen nach der Technik:
VDSL50 Anschluss der Telekom inkl. T-Entertain
AVM Fritzbox 7490
Cisco SG300-28
Edimax WAP1200
QNAP TS-219PII (dient im Moment hauptsächlich als Netzlaufwerk, stellt aber u.a. die MySQL Datenbank für die Kodi HTPCs zur Verfügung)
Dazu kommt dann eben wie bei dir noch das ein oder andere Smart Home Gerät (werden sicher mehr), bisher 1 Kamera, VPN Zugriff und insgesamt (wenn das Netz "fertig" ist) vielleicht so ca. 15 unterschiedliche Clients (PCs, Laptops, Smart Phones, mini PCs, etc...). Wegen Gastnetz bin ich noch unentschlossen, da ich auch mit Gästen bestimmte Inhalte einfach teilen können will. (bzw. auch Dienste wie AirPlay von Gästen nutzen lassen möchte)
Ich hatte mir auch schon verschiedene Szenarien überlegt und eine Art "Access Listen Skizze" erstellt, werde versuchen das baldmöglichst hier in leserlicher Form zu posten.
Ich erhoffe mir dadurch ein generell "schnelleres" WLAN und LAN sowie eine erhöhte Sicherheit.
Dies wird nicht durch VLANs erreicht.Wahrscheinlich ( oder vielleicht) hast du den Begriff bzw. die technische Umsetzung von VLAN auch noch nicht richtig verstanden, sondern meinst als Frage: Wie soll (kann) ich mein Hausnetzwerk in verschiedene Netze aufteilen um es sicherer und schneller zu machen und macht der Aufwand Sinn.
1. schneller wird LAN und WLAN durch Aufteilung bzw. VLANs nicht, eher im Gegenteil; Routing zwischen den Netzen wir langsamer sein, als wenn du nur ein Netz hast (oder ganz viel Geld). Bei WLAN kannst du nur die Performance durch die geeignete Auswahl, Ort der Installation (und ggf. Anzahl) der APs erhöhen.
2. erhöhte Sicherheit: wovor ? vor welchen "Bedrohungen" innerhalb deines Netzes musst bzw. willst du dich schützen ?
Eine Aufteilung in verschiedene Netze plus entsprechendes Firewalling kann Sinn machen, wenn z.B. folgendes zutrifft:
- betreibe ich ein Gewerbe von Zuhause aus und habe dafür einen eigenen PC und ggf. Server ?
oder
- will ich irgendwelche Dienste, Dateien oä. aus dem Internet verfügbar machen ? -> DMZ, wenn es nicht über VPN zu lösen ist.
oder
- habe ich eine sehr komplexe und kritische Homeautomatisierung ?
oder
habe ich so viele Gäste (oder Freunde der Kinder) den ich nicht traue, daß sie ein eigenes WLAN benötigen ?
etc.
Du solltest all deine Geräte im Netzwerk nach folgenden Kriterien betrachten:
wer soll mit wem kommunizieren ?
wer darf mit wem kommunizieren, auch wenn es nicht wirklich notwendig ist ?
wer darf unter keinen Umständen mit wem kommunizieren ?
lässt sich auf Geräten die nur eingeschränkt Verbindungen aufnehmen dürfen dies durch strenge Firewallregeln (auf dem Gerät), sichere Passwörter etc. erledigen ?
Aus den Antworten auf diese Fragen ergibt sich fast automatisch eine ggf. notwendige Aufteilung der Netze.
-
Ein anderer Ansatz ist z.B folgender:
Kaufe "vernünftige" Hardware
- Firewall (z.B. pfSense auf APU board, kleine Cisco ASA, kleine Juniper SGS oä)
- 16 od. 24 port managebarer Switch (z.B. TP-Link TL-SG2424)
- managebare AP(s) (z.B. TP-Link EAP120, Ubiquiti Unify AP etc.)
- falls notwendig noch ne kleine (200VA) USV.
Mit diesen Komponenten für dein Netzwerk kannst du (musst aber nicht) fast nach Belieben dein Netzwerk aufteilen, routen etc.
Mit meinen Vorschlägen ist es einfach (jedenfalls für mich) ein stabiles, sicheres und sehr wartungsarmes Netzwerk einzurichten.
die Stromkosten sind bei 60 bis 80W ca. 10€/Monat.
Gruß
Christoph
<---zitat-->
Eigentlich wollte ich hier in dieser Frage wirklich generelle Tips sammeln und weniger konkrete für meinen Anwendungsfall. Ein oft genanntes Beispiel wäre "VoIP Telefone sollten in ein eigenes VLAN um unterbrechungsfreie Gespräche zu ermöglichen".
<--/zitat-->
Moin,
das ist leider so erst mal eine völlig unsinnige Aussage! Auch da hilft dir ein VLAN erst mal nix.
a) Du hast dein Telefon an einem Switch dran: Der Switch kann Ports "exklusiv" schalten (und das macht der auch!). D.h. dein Telefon verbindet sich idR mit dem Voice-Gateway, der Fileserver und andere Geräte sind davon ausgenommen. Egal ob jetzt in einem eigenen VLAN oder nicht. Lediglich in großen Umgebungen mit extrem vielen Broadcasts u.ä. wäre da ein VLAN von Vorteil. Im Heimnetz kannst du dir GB-Weise die Daten aufs Nas an z.B. Port1 schießen, Port 2 mit dem Voice-Gateway kümmert das gar nich. Sind beide Geräte am selben Port (z.B. Linux-Fileserver mit ner Asterisk) bringt das VLAN auch nix, der Port ist immer noch exklusiv für das jeweilige Endgerät.
b) Du hast hinter dem Telefon noch einen PC o.ä. (also netzwerk durchschleifen). Jetzt kannst du natürlich VLANs verwenden, an der Geschwindigkeit am Kabel änderst du erst mal gar nix. Wenn du also deinen PC dann dazu bringst mit max. Netzwerkgeschwindigkeit zu senden/empfangen dann wird dein Telefongespräch störungen haben - egal ob nun mit oder ohne VLAN.
Das VLAN macht man grad in Firmennetzen gerne weil die Telefone da idR. in einem anderem IP-Range liegen und man auch gerne vermeiden möchte das jeder Depp sich mitm PC an den Voice-Server hängt. Oder man nimmt eben Telefone die sich automatisch auf ein VLAN konfigurieren damit man jeden Netzwerkport nehmen kann und der DHCP des Voice-Servers (gerne mit nem Boot-Server für Firmware-Updates usw.) nicht gleichzeitig den DHCP fürs Firmen-Netzwerk spielt. Da sind solche Überlegungen natürlich drin. Die Bandbreite der Datenverbindung ist eher selten das Problem. Wir reden hier über Voice, d.h. man kommt mit 64 kBit (ISDN-Qualität) + etwas overhead aus, selbst bei guter Sprachqualität brauchst du nicht viel Bandbreite. Es muss nur SCHNELL sein (nicht mehr als 300ms Verzögerung, sonst nimmt man das Gespräch als "Abgehakt" wahr). Dies ist aber im Heimnetzwerk selbst ohne VLAN locker möglich - oder du hast ganz andere Probleme...
Eigentlich wollte ich hier in dieser Frage wirklich generelle Tips sammeln und weniger konkrete für meinen Anwendungsfall. Ein oft genanntes Beispiel wäre "VoIP Telefone sollten in ein eigenes VLAN um unterbrechungsfreie Gespräche zu ermöglichen".
<--/zitat-->
Moin,
das ist leider so erst mal eine völlig unsinnige Aussage! Auch da hilft dir ein VLAN erst mal nix.
a) Du hast dein Telefon an einem Switch dran: Der Switch kann Ports "exklusiv" schalten (und das macht der auch!). D.h. dein Telefon verbindet sich idR mit dem Voice-Gateway, der Fileserver und andere Geräte sind davon ausgenommen. Egal ob jetzt in einem eigenen VLAN oder nicht. Lediglich in großen Umgebungen mit extrem vielen Broadcasts u.ä. wäre da ein VLAN von Vorteil. Im Heimnetz kannst du dir GB-Weise die Daten aufs Nas an z.B. Port1 schießen, Port 2 mit dem Voice-Gateway kümmert das gar nich. Sind beide Geräte am selben Port (z.B. Linux-Fileserver mit ner Asterisk) bringt das VLAN auch nix, der Port ist immer noch exklusiv für das jeweilige Endgerät.
b) Du hast hinter dem Telefon noch einen PC o.ä. (also netzwerk durchschleifen). Jetzt kannst du natürlich VLANs verwenden, an der Geschwindigkeit am Kabel änderst du erst mal gar nix. Wenn du also deinen PC dann dazu bringst mit max. Netzwerkgeschwindigkeit zu senden/empfangen dann wird dein Telefongespräch störungen haben - egal ob nun mit oder ohne VLAN.
Das VLAN macht man grad in Firmennetzen gerne weil die Telefone da idR. in einem anderem IP-Range liegen und man auch gerne vermeiden möchte das jeder Depp sich mitm PC an den Voice-Server hängt. Oder man nimmt eben Telefone die sich automatisch auf ein VLAN konfigurieren damit man jeden Netzwerkport nehmen kann und der DHCP des Voice-Servers (gerne mit nem Boot-Server für Firmware-Updates usw.) nicht gleichzeitig den DHCP fürs Firmen-Netzwerk spielt. Da sind solche Überlegungen natürlich drin. Die Bandbreite der Datenverbindung ist eher selten das Problem. Wir reden hier über Voice, d.h. man kommt mit 64 kBit (ISDN-Qualität) + etwas overhead aus, selbst bei guter Sprachqualität brauchst du nicht viel Bandbreite. Es muss nur SCHNELL sein (nicht mehr als 300ms Verzögerung, sonst nimmt man das Gespräch als "Abgehakt" wahr). Dies ist aber im Heimnetzwerk selbst ohne VLAN locker möglich - oder du hast ganz andere Probleme...
Erstmal vielen Dank für die ausführlichen Antworten!
Ich hoffe es stört euch nicht, dass ich die jetzt ein wenig zerpflücke, sonst vergesse ich wieder die Hälfte…
Ich habe sicherlich noch nicht alles richtig verstanden. Wie bereits erwähnt habe ich die letzten Wochen versucht mir die Grundlagen anzueignen. Die Frage wie ich mein Heimnetz aufteilen sollte hatte ich bereits hier gestellt…
Der Einfluss der Platzierung der APs ist mir grundsätzlich bewusst.
Auch das Routen zwischen VLANs für mehr Aufwand/Dauer/Verzögerung sorgen könnte, war mein erster Gedanke. Mittlerweile bin ich auch immer wieder auf die Aussage gestossen, dass sich VLANs im privaten Bereich nicht lohnen würden. Allerdings scheint dies, soweit ich es beurteilen kann, ein umstrittenes Thema zu sein.
Ausserdem findet man etliche Artikel, Tutorials oder Ähnliches im Netz, zur Aufteilung eines Heimnetzwerks in VLANs. Teilweise für Kleinstnetze (zB in Paket-Pipeline aus der c’t).
Es fallen auch des Öfteren so schöne Umschreibungen wie „performantere Netze“.
Nein, aber es ist möglich, dass im Laufe des Jahres ein Firmenlaptop für HomeOffice dazukommt.
Ja, NAS und verschiedene Smart Home Dienste. Wie erwähnt vermutlich über VPN am sinnvollsten?!
Noch nicht, wird jedoch im Laufe des Jahres um einige kritische Komponenten (zB Türöffner, weitere Kameras, u.ä.) erweitert werden.
Es reicht ja einer von vielen der Mist baut… wie gesagt, über die Entscheidung für oder gegen ein eigens Gäste WLAN bin ich mir noch nicht einig.
Diese Liste bin ich schon mehrmals durchgegangen und werde versuchen baldmöglichst etwas leserliches zu posten. Für mich ergab sich daraus jedoch immer nur ein grobes Bild, aus dem mehrere Aufteilungen resultieren könnten, da ich nicht wirklich weiß auf was Wert gelegt werden sollte bzw. wie die Prioritäten verteilt sind.
Ich denke mit dem SG300 Switch sollte ich auch das meiste ermöglichen können!? Wie gesagt, mir fehlen eigentlich so etwas wie „Design Guidelines“…
Danke für die Erklärung, letztendlich war es unter anderem genau das, worum es mir hier in dieser Frage ging. Generelle Tips, die aber auch fundiert erklärt bzw begründet werden. Deine Erklärung klingt für mich schlüssig und verstehe ich so, dass ich mir in meinen Fall keine Gedanken über ein eigenes VoIP VLAN machen sollte.
Auch in diesen Artikeln:
VLAN How to von SmallNetBuilder
Netzwerktraffic mit Hilfe von von VLANS taggen, segmentieren und managen von security-insider.de
VLAN: Virtuelles LAN von heise.de
sind die Tips entweder so offensichtlich oder aber eben mehr oder weniger schwammig und unbegründet/ohne richtige Erklärung.
Ich hoffe es stört euch nicht, dass ich die jetzt ein wenig zerpflücke, sonst vergesse ich wieder die Hälfte…
Zitat von @ChriBo:
Wahrscheinlich ( oder vielleicht) hast du den Begriff bzw. die technische Umsetzung von VLAN auch noch nicht richtig verstanden, sondern meinst als Frage: Wie soll (kann) ich mein Hausnetzwerk in verschiedene Netze aufteilen um es sicherer und schneller zu machen und macht der Aufwand Sinn.
Wahrscheinlich ( oder vielleicht) hast du den Begriff bzw. die technische Umsetzung von VLAN auch noch nicht richtig verstanden, sondern meinst als Frage: Wie soll (kann) ich mein Hausnetzwerk in verschiedene Netze aufteilen um es sicherer und schneller zu machen und macht der Aufwand Sinn.
Ich habe sicherlich noch nicht alles richtig verstanden. Wie bereits erwähnt habe ich die letzten Wochen versucht mir die Grundlagen anzueignen. Die Frage wie ich mein Heimnetz aufteilen sollte hatte ich bereits hier gestellt…
Zitat von @ChriBo:
1. schneller wird LAN und WLAN durch Aufteilung bzw. VLANs nicht, eher im Gegenteil; Routing zwischen den Netzen wir langsamer sein, als wenn du nur ein Netz hast (oder ganz viel Geld). Bei WLAN kannst du nur die Performance durch die geeignete Auswahl, Ort der Installation (und ggf. Anzahl) der APs erhöhen.
1. schneller wird LAN und WLAN durch Aufteilung bzw. VLANs nicht, eher im Gegenteil; Routing zwischen den Netzen wir langsamer sein, als wenn du nur ein Netz hast (oder ganz viel Geld). Bei WLAN kannst du nur die Performance durch die geeignete Auswahl, Ort der Installation (und ggf. Anzahl) der APs erhöhen.
Der Einfluss der Platzierung der APs ist mir grundsätzlich bewusst.
Auch das Routen zwischen VLANs für mehr Aufwand/Dauer/Verzögerung sorgen könnte, war mein erster Gedanke. Mittlerweile bin ich auch immer wieder auf die Aussage gestossen, dass sich VLANs im privaten Bereich nicht lohnen würden. Allerdings scheint dies, soweit ich es beurteilen kann, ein umstrittenes Thema zu sein.
Zitat von @brammer:
Ein Netz zu segmentieren oder segmentieren und in VLANs zu trennen ist auf jeden Fall sinnvoll.
Ein Netz zu segmentieren oder segmentieren und in VLANs zu trennen ist auf jeden Fall sinnvoll.
Zitat von @108012:
Alleine schon der Spielekonsolen wegen und des IPTV Receiver wegen sollte man in VLANs aufteilen.
Alleine schon der Spielekonsolen wegen und des IPTV Receiver wegen sollte man in VLANs aufteilen.
Ausserdem findet man etliche Artikel, Tutorials oder Ähnliches im Netz, zur Aufteilung eines Heimnetzwerks in VLANs. Teilweise für Kleinstnetze (zB in Paket-Pipeline aus der c’t).
Es fallen auch des Öfteren so schöne Umschreibungen wie „performantere Netze“.
Zitat von @ChriBo:
2. erhöhte Sicherheit: wovor ? vor welchen "Bedrohungen" innerhalb deines Netzes musst bzw. willst du dich schützen ?
Eine Aufteilung in verschiedene Netze plus entsprechendes Firewalling kann Sinn machen, wenn z.B. folgendes zutrifft:
- betreibe ich ein Gewerbe von Zuhause aus und habe dafür einen eigenen PC und ggf. Server ?
2. erhöhte Sicherheit: wovor ? vor welchen "Bedrohungen" innerhalb deines Netzes musst bzw. willst du dich schützen ?
Eine Aufteilung in verschiedene Netze plus entsprechendes Firewalling kann Sinn machen, wenn z.B. folgendes zutrifft:
- betreibe ich ein Gewerbe von Zuhause aus und habe dafür einen eigenen PC und ggf. Server ?
Nein, aber es ist möglich, dass im Laufe des Jahres ein Firmenlaptop für HomeOffice dazukommt.
- will ich irgendwelche Dienste, Dateien oä. aus dem Internet verfügbar machen ? -> DMZ, wenn es nicht über VPN zu lösen ist.
Ja, NAS und verschiedene Smart Home Dienste. Wie erwähnt vermutlich über VPN am sinnvollsten?!
- habe ich eine sehr komplexe und kritische Homeautomatisierung ?
Noch nicht, wird jedoch im Laufe des Jahres um einige kritische Komponenten (zB Türöffner, weitere Kameras, u.ä.) erweitert werden.
habe ich so viele Gäste (oder Freunde der Kinder) den ich nicht traue, daß sie ein eigenes WLAN benötigen ?
Es reicht ja einer von vielen der Mist baut… wie gesagt, über die Entscheidung für oder gegen ein eigens Gäste WLAN bin ich mir noch nicht einig.
Du solltest all deine Geräte im Netzwerk nach folgenden Kriterien betrachten:
wer soll mit wem kommunizieren ?
wer darf mit wem kommunizieren, auch wenn es nicht wirklich notwendig ist ?
wer darf unter keinen Umständen mit wem kommunizieren ?
lässt sich auf Geräten die nur eingeschränkt Verbindungen aufnehmen dürfen dies durch strenge Firewallregeln (auf dem Gerät), sichere Passwörter etc. erledigen ?
Aus den Antworten auf diese Fragen ergibt sich fast automatisch eine ggf. notwendige Aufteilung der Netze.
wer soll mit wem kommunizieren ?
wer darf mit wem kommunizieren, auch wenn es nicht wirklich notwendig ist ?
wer darf unter keinen Umständen mit wem kommunizieren ?
lässt sich auf Geräten die nur eingeschränkt Verbindungen aufnehmen dürfen dies durch strenge Firewallregeln (auf dem Gerät), sichere Passwörter etc. erledigen ?
Aus den Antworten auf diese Fragen ergibt sich fast automatisch eine ggf. notwendige Aufteilung der Netze.
Diese Liste bin ich schon mehrmals durchgegangen und werde versuchen baldmöglichst etwas leserliches zu posten. Für mich ergab sich daraus jedoch immer nur ein grobes Bild, aus dem mehrere Aufteilungen resultieren könnten, da ich nicht wirklich weiß auf was Wert gelegt werden sollte bzw. wie die Prioritäten verteilt sind.
Ein anderer Ansatz ist z.B folgender:
Kaufe "vernünftige" Hardware
…
Mit diesen Komponenten für dein Netzwerk kannst du (musst aber nicht) fast nach Belieben dein Netzwerk aufteilen, routen etc.
Mit meinen Vorschlägen ist es einfach (jedenfalls für mich) ein stabiles, sicheres und sehr wartungsarmes Netzwerk einzurichten.
Kaufe "vernünftige" Hardware
…
Mit diesen Komponenten für dein Netzwerk kannst du (musst aber nicht) fast nach Belieben dein Netzwerk aufteilen, routen etc.
Mit meinen Vorschlägen ist es einfach (jedenfalls für mich) ein stabiles, sicheres und sehr wartungsarmes Netzwerk einzurichten.
Ich denke mit dem SG300 Switch sollte ich auch das meiste ermöglichen können!? Wie gesagt, mir fehlen eigentlich so etwas wie „Design Guidelines“…
Zitat aus „Cisco Networking Academy’s Introduction to VLANs - 3.3.2.1 VLAN Design Guidelines“
Finally, voice traffic has stringent QoS requirements. If user PCs and IP phones are on the same VLAN, each tries to use the available bandwidth without considering the other device. To avoid this conflict, it is good practice to use separate VLANs for IP telephony and data traffic.
Finally, voice traffic has stringent QoS requirements. If user PCs and IP phones are on the same VLAN, each tries to use the available bandwidth without considering the other device. To avoid this conflict, it is good practice to use separate VLANs for IP telephony and data traffic.
Danke für die Erklärung, letztendlich war es unter anderem genau das, worum es mir hier in dieser Frage ging. Generelle Tips, die aber auch fundiert erklärt bzw begründet werden. Deine Erklärung klingt für mich schlüssig und verstehe ich so, dass ich mir in meinen Fall keine Gedanken über ein eigenes VoIP VLAN machen sollte.
Auch in diesen Artikeln:
VLAN How to von SmallNetBuilder
Netzwerktraffic mit Hilfe von von VLANS taggen, segmentieren und managen von security-insider.de
VLAN: Virtuelles LAN von heise.de
sind die Tips entweder so offensichtlich oder aber eben mehr oder weniger schwammig und unbegründet/ohne richtige Erklärung.
Hi und gerne!
Ich kann eben nur aus einer reinen Laien-Anwender Sicht berichten. Den Fehler, den ich beim Design nicht mehr machen würde ist es zu zerteilen.
Denn in der Praxis brauchte auf einmal fast jedes Vlan einen Zugang zum Anderen (zB.: IpCams (VlanC) anzeigen auf einem Tablet (VlanWlan) aber auch zugriff vom PC (VlanPCs)...
Sehe gerade dein Posting (letztes) hier: Heimnetz mit Telekom Entertain, DECT und einigen Endgeräten
Das waren dann auch genau meine Probleme (Bsp. Konsole (Vlan) musste dann doch ins WlanVlan (Tablett als Second-Controller) sowie auf das NASVlan (Medien abholen, wie MP3) usw.
Hätte ich mir vorher besser überlegen können bzw. feile ich jetzt noch immer an den Firewall Regeln.
Praktisch finde ich aber bis heute die Firewall Regeln auf den Vlans aufzuteilen und eine gute Übersicht zu haben (z.B.: Cams dürfen nie nach außen, und auch innerhalb sehr beschränkt -> damit wollte ich vermeiden, dass die China Cams auf die Idee kommen nach Hause zu telefonieren).
Auch gerade beim Smart Home Thema war/ist es für mich noch immer sinnvoll. Z.B. musste ich bereits 3x dem Hersteller Zugang geben aufgrund von Bugs. Da hatte ich schon ein besseres Gefühl durch die Vlans, da ich die Rechte besser setzen konnte (darf kurzfristig über Portforwarding nur auf das Vlan Smart Home, alles andere natürlich geblocked, etc.)
Aber wie gesagt, alls nur meine persönliche Erfahrung- was lange nicht heisst, dass es "richtig" ist
lg Noizede
Ich kann eben nur aus einer reinen Laien-Anwender Sicht berichten. Den Fehler, den ich beim Design nicht mehr machen würde ist es zu zerteilen.
Denn in der Praxis brauchte auf einmal fast jedes Vlan einen Zugang zum Anderen (zB.: IpCams (VlanC) anzeigen auf einem Tablet (VlanWlan) aber auch zugriff vom PC (VlanPCs)...
Sehe gerade dein Posting (letztes) hier: Heimnetz mit Telekom Entertain, DECT und einigen Endgeräten
Das waren dann auch genau meine Probleme (Bsp. Konsole (Vlan) musste dann doch ins WlanVlan (Tablett als Second-Controller) sowie auf das NASVlan (Medien abholen, wie MP3) usw.
Hätte ich mir vorher besser überlegen können bzw. feile ich jetzt noch immer an den Firewall Regeln.
Praktisch finde ich aber bis heute die Firewall Regeln auf den Vlans aufzuteilen und eine gute Übersicht zu haben (z.B.: Cams dürfen nie nach außen, und auch innerhalb sehr beschränkt -> damit wollte ich vermeiden, dass die China Cams auf die Idee kommen nach Hause zu telefonieren).
Auch gerade beim Smart Home Thema war/ist es für mich noch immer sinnvoll. Z.B. musste ich bereits 3x dem Hersteller Zugang geben aufgrund von Bugs. Da hatte ich schon ein besseres Gefühl durch die Vlans, da ich die Rechte besser setzen konnte (darf kurzfristig über Portforwarding nur auf das Vlan Smart Home, alles andere natürlich geblocked, etc.)
Aber wie gesagt, alls nur meine persönliche Erfahrung- was lange nicht heisst, dass es "richtig" ist
lg Noizede
