uhlacp
Goto Top

Kaufberatung Hardware für kleines Netzwerk

Hallo,

für ein kleines Netzwerk benötige ich Entscheidungshilfe bezüglich der Netzwerkhardware bestehend aus einem Small Business Router (mit Wi-Fi Access Point) und 1 bis 2 kleinen (Managed) Switch(es). Die Anbindung an das Internet erfolgt über ein 100MBit/s (symmetrisch) Netzwerkleitung im Gebäude mit dynamischer IP-Adresse. Cloud-Dienste und insbesondere Azure-AD werden nicht genutzt.

Anforderungen:
  • 2 Server mit diversen VMs (je 2 Netzwerkinterface mit 1GBit/s)
  • 1 NAS (2 Netzwerkinterface mit 1GBit/s)
  • 10 Clients (entweder via 1GBit/s LAN oder Wi-Fi)
  • 3 VLANs (Server, Clients und Gäste)
  • 2 WLANs mit WPA2-PSK (Clients und Gäste, Gäste-Wi-Fi)
  • Traffic intern wie extern entspricht typischem Office-Umfeld (Mail, Web, SMB, etc. aber kein VoIP, Video Streaming, etc.)
  • Budget für Netzwerkhardware max. 1.000,-EUR (Brutto)

Setup:
  • Router mit mind. 3 LAN-Anschlüssen erhält Internet, spannt die VLANs auf und übernimmt typischen Dienste des Routers (DHCP-Server, Firewall, Port-Forwarding, etc.)
  • VLAN 1: (Managed) Switch für administrative Dienste der 2 Server und des NAS
  • VLAN 2: Client Wi-Fi + 1 (Managed) Switch für Clients und Dienste des Servers
  • VLAN 3: Gäste Wi-Fi (ohne Captive Portal)

Recherchierte/Favorisierte Optionen:
  • Ubiquiti EdgeRouter ER-12P + Ubiquiti EdgeSwitch ES-10XP + Ubiquiti airMAX Cube Home Wi-Fi Access Point (*)
  • Ubiquiti EdgeRouter ERPoe-5 + Ubiquiti EdgeSwitch ES-10X + Ubiquiti airMAX Cube Home Wi-Fi Access Point (*)
  • Cisco Small Business RV130W + Cisco SG110D-08
  • Cisco RV260W + Cisco SG110-16HP
  • D-Link DSR250N + D-Link DGS-108
(*) Es ist durch Vorgaben des Eigentümers nicht möglich Geräte an Wänden oder der Decke zu montieren.

Zu welcher der Lösungen würdet ihr raten? Grundsätzlich kann ich mir auch ganz andere Lösungen vorstellen. Aktuell bin ich jedoch schon etwas auf Cisco, TP-Link und Ubiquiti festgelegt. D-Link gegenüber bin ich eher etwas skeptisch.

Franz

Content-ID: 556171

Url: https://administrator.de/forum/kaufberatung-hardware-fuer-kleines-netzwerk-556171.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

certifiedit.net
certifiedit.net 10.03.2020 um 15:49:44 Uhr
Goto Top
Hallo Franz,

ist es nicht genau dein Job das zu designen? Abgesehen davon, mit dem Budget wirst du wohl eher nicht hin kommen.

VG
uhlacp
uhlacp 10.03.2020 aktualisiert um 16:09:12 Uhr
Goto Top
Es geht um die IT unseres Fotoclubs. face-wink

Unser Netzwerk wurde missbräuchlich durch Dritte genutzt, weshalb jetzt aufgerüstet werden soll um alles etwas sicherer zu machen und unsere Server sowie unser NAS bereits auf Netzwerkebene zu schützen.
aqui
aqui 10.03.2020 aktualisiert um 16:05:51 Uhr
Goto Top
Diese sinnfreien Threads hatten wir hier die letzten Tage öfter. Einfach mal die Suchfunktion benutzen...
Nur so viel:
Von Ubiquity die Finger lassen. Da droht ein Vendor Lock mit proprietärer Software und was den Router anbetrifft ein gruseliges CLI. Was will man auch von einem WLAN Hersteller erwarten der diese Komponenten nicht selber entwickelt und nur aus China zukauft. Jeder weitere Kommentar erübrigt sich da.
Mit Cisco SG-220 und D-Link oder der TP-Link Hardware machst du nichts falsch.
Noch sinnvoller wäre statt des Routers eine Firewall mit einem entsprechenden NUR Modem zu verwenden und dann Cisco oder D-Link Switch HW.
Access Points von Mikrotik z.B. cAP ac https://mikrotik.com/product/cap_ac weil die gleich ein komplettes Management mit an Bord haben. Siehe auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Aber wie gesagt wirst du hier, wie immer, noch mindestens 10 persönliche Meinungen bekommen die weniger Technik bezogen sind.
Im Grunde reicht für sowas ein billiger TP-Link Switch und APs und ne einfache FritzBüx.
Etwas luxoriöser dann mit Cisco SG250X-P Modell mit 10 Gig Ports um Server und das NAS Backup mit 10G anzuschliessen und die APs und ggf. Telefone mit PoE versorgen.
pfSense Firewall die das Netz Absichert und ggf. einen Zugriff für mobile_User herstellt sowie ein [ Captive_Portal] mit Einmalvoucher für GastUser bereitstellt.
Eingermaßen skalierbare APs wie z.B. cAP ac für WLAN mit Captive Portal. Ruckus R320 wären nich besser.
All das überschreitet aber vermutlich dann geringfügig dein Budget.
Leider fehlen auch konkrete Anforderungen an die Infrastruktur so das man nur mit Schrot schiessen kann. Wie bereits gesagt reicht für das was oben steht auch TP-Link und ne simple FritzBox und gut iss.
Es geht um die IT unseres Fotoclubs.
Wie gesagt... FritzBox und TP-Link alles andere ist dann rausgeschmissenes Geld oder überflüssiger Luxus den vermutlich keiner nutzt das man dann besser in die Photo Umgebung investieren kann !
Visucius
Visucius 10.03.2020 aktualisiert um 17:14:11 Uhr
Goto Top
Wie groß ist denn die Fläche, die abgedeckt werden soll?


Ich finde die Kombination zwischen Edge und airMax Cube unglücklich.

Vendor-Lock hin oder her - den würde ich bei Ubiquiti eh nicht so problematisch sehen, wie @aqui: . Du benötigst - sinnvollerweise - einen Controller für die ausgewählten ACs. Und wenn Du den schon einsetzt, dann würde ich wohl auch Router und Switch aus der Unifi-Serie nehmen. Dann hast Du eine gemeinsame Oberfläche für alle Geräte und die kommunizieren untereinander besser.

Bzw. Du könntest natürlich auch mal nen 10 Port Mikrotik-Router nehmen und ggfs. den Switch sparen - auch kostenmäßig!
cykes
cykes 11.03.2020 aktualisiert um 07:55:36 Uhr
Goto Top
Moin,
Zitat von @uhlacp:
Unser Netzwerk wurde missbräuchlich durch Dritte genutzt, weshalb jetzt aufgerüstet werden soll um alles etwas sicherer zu machen und unsere Server sowie unser NAS bereits auf Netzwerkebene zu schützen.
Die Frage wäre außerdem, kannst Du oder ein anderes Mitglied eures Clubs das passend einrichten? Aufrüsten ist ja schön und gut, aber allein neue Hardware kaufen bringt ohne saubere Konfiguration auch nichts. Dann muss das auch noch irgendjemand überwachen/administrieren, um eine mißbräuchlichen Nutzung frühzeitig zu erkennen.
Der Konfigurationsaufwand ist für einen Laien nicht zu unterschätzen und vor allem nicht mithilfe eines Forums lösbar.

Sind die 10 Clients alles Privatgeräte der Mitglieder? Da kannst Du davon ausgehen, dass diese das größte Sicherheitrisiko sind.

Gruß

cykes
uhlacp
uhlacp 11.03.2020 aktualisiert um 08:25:14 Uhr
Goto Top
Zitat von @aqui:
Von Ubiquity die Finger lassen. Da droht ein Vendor Lock mit proprietärer Software und was den Router anbetrifft ein gruseliges CLI.

Wenn ich das richtig recherchiert habe, betrifft das Vendor Lock primär die SFP-Schnittstelle(n). Das mit den Wi-Fi Access-Points macht ja aber auch irgendwie Sinn. Oder siehst du bezüglich des Vendor Locks noch andere Probleme?

Zitat von @Visucius:
Wie groß ist denn die Fläche, die abgedeckt werden soll?

Ein sehr kleiner Raum, der abschließbar ist (2 Server, 1 NAS, 1 Desktop) und ein großer rechteckiger Raum (ca. 30 - 40 qm), zum dem auch Dritte Zugang haben.

Zitat von @Visucius:
Ich finde die Kombination zwischen Edge und airMax Cube unglücklich.

Warum? Kann der airMax Cube nicht über den Ubiquiti Router administriert werden, nur ein Wi-Fi ausstrahlen, ...?

Zitat von @cykes:
Die Frage wäre außerdem, kannst Du oder ein anderes Mitglied eures Clubs das passend einrichten? Aufrüsten ist ja schön und gut, aber allein neue Hardware kaufen bringt ohne saubere Konfiguration auch nichts. Dann muss das auch noch irgendjemand überwachen/administrieren, um eine mißbräuchlichen Nutzung frühzeitig zu erkennen.

Über die CLI kann keiner bei uns Netzwerkhardware konfigurieren oder administrieren. Eine UI im Stil einer FritzBox ist kein Problem. Auch sind Netzsegmentierung, VLAN, Port-Forwarding, usw. keine Fremdworte. Eine FritzBox kann jedoch nur zwei getrennte Wi-Fi ausstrahlen, aber wir benötigen drei voneinander strikt getrennte Netzsegmente mit definierten und begrenzten Kommunikationsmöglichkeiten. In die Handbücher der anfangs vorgeschlagenen Router habe ich schon einmal reingeblättert und das entspricht dem, was wir erwarten und auch noch selbst administrieren können.

Zitat von @cykes:
Sind die 10 Clients alles Privatgeräte der Mitglieder? Da kannst Du davon ausgehen, dass diese das größte Sicherheitrisiko sind.

Grundsätzlich richtig, jedoch sind die Clients der Mitglieder nicht dauerhaft mit dem Netzwerk verbunden bzw. überhaupt in den Vereinsräumlichkeiten. Zum Beispiel soll der RDP-Dienst unserer Server nur aus dem administrativen VLAN erreichbar ist, das wiederrum ausschließlich per Kabel in dem abschließbaren Raum erreichbar ist. Ähnliches gilt für die Web UI des NAS, wohingegen dieses via SMB und SFTP im administrativen wie auch Client VLAN erreichbar sein soll, aber nicht im Gäste Wi-Fi. Ziel ist es unser Netzwerk stärker zu segmentieren und logische Systemgruppen besser gegeneinander abschotten zu können.
Visucius
Visucius 11.03.2020 aktualisiert um 09:48:08 Uhr
Goto Top
Ne, @aqui: lässt da jetzt gleich seine "Schimpfkanonade" auf Ubnt los, á la Controller extern, keine Schrauböffnung, einfaches Antennendesign, usw.

Du benötigst halt ne SW zum konfigurieren, weil die jeweiligen Geräte keine eigene Oberfläche/Webinterface mitbringen. Aber wenn es eh nur "ein" AP ist, tuts wohl auch die iOS-App von Ubnt. Normalerweise gibts bei Unifi nen extra Controller, der alle Unifi-Geräte übergreifend über ein Webinterface konfigurierbar macht. Entweder auf eigener HW oder nem 70 EUR CloudKey von Ubnt. Und in dem Kontext kann es bequemer sein, LAN und WLan einheitlich konfigurieren und überwachen zu können.

Also 30/40 qm Raum, max. 10 User - das ist doch überschaubar. Die AirCubes (Amplifi?) hatte ich ehrlich gesagt noch gar nicht auf dem Schirm, weil im "Administrator-Forum" eher die Businessteile von Unifi rumschwirren, die ich selber auch verbaue. UNMS? ist das ein (neuer) Cloudcontroller von Unifi?! Da solltest Du ggf. wegen DSGVO aufpassen.

Wenn sich alle Clients - mir hohem Parallel-Nutzeranteil von Multimediadaten auf einen AP konzentrieren, würde ich heute (für die Zukunft) vermutlich keinen 2 x 2 mehr verbauen. Schau Dir doch mal die kleinen HDs Flex, Nano, ... an. Die Reichweite dürfte bei dem Einsatzszenario ja kein Thema sein und die einmal 80 EUR Mehrpreis würde ich wohl in die Hand nehmen.