zeppelin
Goto Top

LAN vs VLAN

Hallo Community,

ich führe grade eine hitzige Diskussion mit einem neuen Kollegen, welcher mich überzeugen möchte, dass wir in unserem Netzwerk unterschiedliche VLAN´s betreiben sollen und nun möchte er unsere gesamte Netzwerkinfrastruktur zerlegen.

Ich hingegen bin kein freund von VLAN´s bzw. finde diese für unsere Organisationseinheit nicht passend. Ich greife eher dazu, lieber ein weiteres physisches Netzwerk zu errichten.

So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein. Wir haben ein internes und ein externes WLAN, das externe WLAN ist in einem eigenen Netzwerk und so wie die IP-Telefone physisches vom eigentlichen Netzwerk getrennt. Im Hauptnetz, sind nur die Clients und die Peripheriegeräte.

Wenn mein Kollege das Netzwerk mit diversen VLAN´s einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht und zum anderen die IT-Sicherheit nicht mehr so hoch gehalten werden kann wie mit der momentanen Lösung.

Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist. Aufgrund der separaten Netze, kann ich einfach schneller prüfen was los ist und sollte ein Switch defekt sein, kann ich diesen relativ schnell austauschen.
Wenn ich jedoch eine aufwendige Config verwende und diese erst auf den neuen Switch aufsetzen muss und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand. So tausche ich einfach den Switch sofern ich die Default Einstellungen verwenden möchte.

Vielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken? Wie seht Ihr das?

Vielen Dank das Du an meiner Diskussion teilnimmst face-smile

Content-ID: 7895240146

Url: https://administrator.de/forum/lan-vs-vlan-7895240146.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

nachgefragt
nachgefragt 19.07.2023 aktualisiert um 10:10:47 Uhr
Goto Top
Zitat von @Zeppelin:
Netzwerk unterschiedliche VLAN´s betreiben sollen
+1
z.B. Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten

Ich greife eher dazu, lieber ein weiteres physisches Netzwerk zu errichten.
Auch gut, wenn Ressourcen (Zeit, Geld, Wartungsaufwand,...) keine Rolle spielen.

So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein.
Ein Klassiker, zum Teil sogar mit eigener Internetleitung. So ist z.B. der TK-Dienstleister in seinem eigenen Netz, max. eine Zuleitung ins Clientnetz falls CTI verwendet wird.

internes und ein externes WLAN
Auch physikalisch getrennt oder strahlt der AP zwei Netzwerke aus?

IT-Sicherheit
Moment, VLAN's sind bei dir ein Contra zur IT-Sicherheit?

Troubleshooting
IT-Monitoring (Observium kostenlos)
Alternative für PRTG für Windows Server - IT Monitoring

Vielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken?
Das solltest du, IT-Sicherheit liegt gerade "voll im Trend" (Zero Trust, NIS2,...).

Wie seht Ihr das?
Das der IT Beruf ein ständiges Dazulernen und (nicht selten) eine "jahrelange Berufserfahrung" obsolet ist.

face-smile
Mein Favorit sind VLANs welche Segmente bilden, diese am Ende aber doch wieder zusammengeführt werden. So sollten z.B. Drucker nur die Clients erreichen können/dürfen, die auch wirklich drucken müssen.

Du kannst ja mal hinterfragen wie dein neuer Kollege das umsetzt.

PS: Sei dankbar, in dem Fall kannst du vom neuen Kollegen dazulernen! Ich wünsche Euch eine gute Zusammenarbeit!
bitnarrator
bitnarrator 19.07.2023 um 09:53:44 Uhr
Goto Top
Und zu jedem Platz gehen also X Patchleitungen von jedem Switch?

Ich weiß noch, wie früher die IT-Abteilung bei uns aussah.... Unternehmensnetz, DMZ, Server, Video, Kundennetz.... alles auf einzelnen Patchleitungen :O

Heutzutage sind VLANs einfach State-of-the-Art, das macht jeder.

Wenn dir jetzt ein Switch ausfällt, wie schnell bist du wieder online? Erst wenn Ersatz da ist? Mit VLANs bist (mit genügend Reserveports auf anderen Switchen) schnell wieder Online.....
Mystery-at-min
Mystery-at-min 19.07.2023 um 09:53:55 Uhr
Goto Top
da bist du veraltet. Hat der neue Kollege recht.
Spirit-of-Eli
Spirit-of-Eli 19.07.2023 aktualisiert um 09:56:56 Uhr
Goto Top
Moin,

allein schon Kosten Technisch ist es sinnvoller VLans zu nutzen und die Physik quasi mehrfach zu verwenden.
Die Leitungen sind ja so gut wie nie voll ausgelastet. Daher kommt das meist nicht mal zum tragen.

Des weiteren machen VLans es so viel einfacher eine vernünftige Segmentierung zu implementieren. Oder willst du etwa >=10 separate Netze verwalten??
Best pratice ist derzeit mikro Segmentierung und so kleine Netze wie irgendwie möglich.
Außerdem kommt ja sonst auch bei großen Subnetzen das alleidige Thema Broadcast usw. zum tragen.

Das ganze physische Thema ist absolut obsolet.

Gruß
Spirit
kpunkt
kpunkt 19.07.2023 aktualisiert um 10:02:28 Uhr
Goto Top
So gesehen habt ihr beide irgendwie Recht (zumindest wenn man noch nix mit VLAN gemacht hat).

Ich würde aber immer VLANs den Vorzug geben. In der Regel gilt: wo zwei physische Netze, sind zwei logische besser, günstiger,....
Weil weder geht dabei die Übersicht veloren, noch wirds unsicherer. Was du physisch machst, machst du halt logisch. Und sparst dir dabei auch noch Kosten und Zeit. Und je kleiner du die VLANs anlegst, desto weniger Netzlast.

Und es hat den Vorteil, dass man da nicht extra verlegen muss. Du brauchst keine zusätzlichen Switche und auch die Netzlast wird geringer.
Viel mehr Aufwand bei z.B. einem ausgefallenen Switch ist da auch nicht. Konfig und Belegung habe ich z.B. auch bei einem 0815-Switch dokumentiert und stöpsel entsprechnd an. Man muss ja bei physisch getrennten Netzen ja auch dokumentiert haben, wie gepatcht wurde. Und so eine Konfig ist schnell aufgespielt.
Klar, wenn man bisher nur unmanaged einsetzt, dann mag das erstmal eine Umstellung sein.

Man kann sich da wohl vortrefflich streiten, was denn da jetzt initial mehr Arbeit ist. Unterm Strich wirds mit VLAN aber weniger arbeitsintensiv.

k.
SeaStorm
SeaStorm 19.07.2023 um 10:17:38 Uhr
Goto Top
Quote from @Zeppelin:

Hallo Community,
Hi

Ich hingegen bin kein freund von VLAN´s bzw. finde diese für unsere Organisationseinheit nicht passend.
Warum das?

So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein. Wir haben ein internes und ein externes WLAN, das externe WLAN ist in einem eigenen Netzwerk und so wie die IP-Telefone physisches vom eigentlichen Netzwerk getrennt. Im Hauptnetz, sind nur die Clients und die Peripheriegeräte.
Heisst du hast überall auf jeden Fall mal 4 Switche rumstehen nur um die einzelnen Netze betreiben zu können?

Wenn mein Kollege das Netzwerk mit diversen VLAN´s einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht und zum anderen die IT-Sicherheit nicht mehr so hoch gehalten werden kann wie mit der momentanen Lösung.
Wie genau stellst du denn aktuell Sicherheit her? Das WLAN wird ja mit dem LAN reden müssen.
Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist. Aufgrund der separaten Netze, kann ich einfach schneller prüfen was los ist und sollte ein Switch defekt sein, kann ich diesen relativ schnell austauschen.
Macht mit VLANs auch keinen unterschied.
Wenn ich jedoch eine aufwendige Config verwende und diese erst auf den neuen Switch aufsetzen muss und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand. So tausche ich einfach den Switch sofern ich die Default Einstellungen verwenden möchte.
Sehe da kein Problem. Neuen Switch hinstellen/schrauben und dann Port1 auf Port1, Port2 auf Port2 usw
Vielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken?
Aber ganze dringen face-smile
Nicht böse gemeint, aber das macht auf mich den Eindruck als würde sich da das typische "das machen wir seit 30 Jahren so, ich kenn nichts anderes, ich brauche nichts anderes" zeigen.
Wie seht Ihr das?
Wie dein Kollege. VLANs bieten sehr viele Vorteile. Weniger Hardware nötig, weniger Stromverbrauch, mehr flexibilität, mehr Sicherheit, mehr alles.
Das einzurichten ist ein minimum mehr an Komplexität. Und dann kann man auch Firewalls Sinnvoll einsetzen und Segmentierung betreiben.
LordGurke
LordGurke 19.07.2023 um 10:59:14 Uhr
Goto Top
Moin,

aus meiner Sicht sind

Zitat von @Zeppelin:

Wenn mein Kollege das Netzwerk mit diversen VLANs einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht
...und...
Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist.
...und...
und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand.

sich gegenseitig ausschließende Argumente.
Wenn du aktuell nicht darauf achten musst, in welchen Switchport du welches Kabel steckst, kann umgekehrt keine Dokumentation vorhanden sein, welches Kabel wo stecken müsste. Du kannst also nur, wenn du direkt in Person vor Switch und Patchpanel stehst erkennen, was wo angeschlossen ist. Remote ist Troubleshooting damit kaum möglich, wenn ein Nutzer alleine über Netzwerkprobleme klagt und du nichtmal weißt auf welchem Switch und Switchport er angeschlossen ist.
Ein Switch, in dem wenigstens die Ports korrekt benannt sind, würde dir da schon weiterhelfen und das allein setzt voraus, dass alle Kabel genau so stecken müssen wie im Switch dokumentiert.
Aus der Praxis kann ich dir versichern, dass ich schon 48P-Switches ausgetauscht habe und dies (trotz notwendiger korrekter Port-Zuordnung) in unter drei Minuten möglich war. Das wäre dann nur ein geringer Zeitaufwand verglichen mit der Downtime durch den defekten Switch selbst.

Von mir kommt daher auch eine ganz klare Empfehlung, VLANs zu verwenden.
Dann kannst du auch teurere Switches kaufen (brauchst du ja dann weniger von) und kannst dann auch, als Sicherheitsmaßnahme, so Dinge wie 802.1x-Authentifizierung einführen. Und mal die ungenannten Peripheriegeräte (Drucker?) in ein VLAN stecken und nur per Druckserver erreichbar machen. Das wäre eine sinnvolle Maßnahme, damit Schadsoftware nicht euren Drucker einnehmen und alle Druckaufträge ins Internet kopieren kann.

VoIP könnte man aber natürlich weiterhin über einen separaten Switch führen. Das kann dann auch ein PoE-Modell sein, die mit weniger Ports einfach spürbar günstiger sind.
wiesi200
wiesi200 19.07.2023 um 11:02:30 Uhr
Goto Top
Hallo,

man müsste erst mal wissen wie dein Konstrukt aussieht.
Bei wenigen Endgeräten mit wenigen verschiedenen Netzwerken, kann man das schon machen.
Wenn du W-Lan aufteilen musst, hast du wenig spaß.

Aber grundsätzliche veraltete Denkweise trifft es schon nicht mehr. V-Lan Geräte gibt's ja schon ewig.
Das ist eher Denkweise von Kleinststrukturen wie man es aus Handwerksklitschen kennt.
Milord
Milord 19.07.2023 um 11:19:52 Uhr
Goto Top
Wenn eure Hardware das kann, würde ich auch eher auf VLAN gehen, kommt natürlich auf die Struktur und die Anzahl der Geräte an.
Bei uns nutzen wir aktuell kein Vlan, weil die Switche das zum Teil nicht können und neue vorerst nicht angeschafft werden.
tech-flare
tech-flare 19.07.2023 um 12:03:18 Uhr
Goto Top
Muss dein Kollege da 100% Zustimmung.

Du bist da scheinbar nicht mehr auf dem Stand der Technik und sorry…. Etwas hinterm Mond.

In Zeiten von VOIP, NAC, Radius mit MAC Auth oder 802.1x löst man so etwas mit VLAN.

Ps.: durch VLAN verlierst du definitiv keine IT Sicherheit

Gruß
elix2k
elix2k 19.07.2023 um 12:46:16 Uhr
Goto Top
Ich kann mir Netzwerke ohne VLANs nicht mehr vorstellen. Du wirst mit dem Wechsel auf VLANs an Übersicht gewinnen und nicht andersherum. Moderne Switche bieten dir sehr viele Möglichkeiten Informationen über das Netz zu bekommen.

LG
Zeppelin
Zeppelin 19.07.2023 um 14:11:42 Uhr
Goto Top
Zunächst möchte ich mich bei euch für die zahlreichen Antworten bedanken.

Vielen Dank

Ich entnehmen, dass sich die Mehrheit für den Einsatz von VLAN entscheiden.
maretz
maretz 19.07.2023 um 14:14:11 Uhr
Goto Top
Moin, überall getrennte phy. Switches? Kann man machen - wo hast du denn die Zeitmaschine her die dich so in die 80er zurückgebracht hat? Arbeitest du auch noch mit nem Akkustik-Koppler weil man so ja das Telefon auch noch parallel als Not-Telefon nutzen kann?

Ernsthaft jetzt - VLAN ist seid einigen JAHREN bei sowas einfach standard. Und das aus gutem Grund - da es dir die Verwaltung deutlich erleichtert. Statt irgendwo im Verteilerraum Kabel zu verfolgen was nu wo eingesteckt ist bekommt der Port ne Beschreibung und jeder der sich darauf anmelden kann sieht genau was es ist (und ne Doku sollte natürlich trotzdem da sein). Das ganze ERHÖHT sogar die Sicherheit (wenn es richtig gemacht wird) - da man einfach die Ports die nicht genutzt werden auf Shutdown setzt - und schon kümmert es nicht ob sich jemand einfach dran anklemmt. Wenn man es noch weiter treiben will nimmt man nen NAC und thema is durch.

Das du bei nem Ausfall da schneller was tauscht als ich halte ich für nen Gerücht. Denn auch da ist es ne reine Frage des Aufwandes - nen simpler TFTP-Server ins Netz gestellt und schon lade ich die Config auf nem blanken Switch in 2 Minuten. Während du also noch die Kabel suchst hab ich meinen Kaffee schon am Tisch. Wenn das o.g. NAC im Einsatz ist gehts sogar noch einfacher...

Jetzt drehen wir das aber mal um. Du hast zB. fürs Gäste-Netzwerk ja irgendwo nen DHCP (wahrscheinlich). Für das interne ggf. auch? Für die WLAN-Telefone den 3ten? Mit VLANs lege ich das ganz simpel (und sicher) auf einen Server - während du also deine x Server verwalten musst hab ich ggf. noch 2 auf denen die Dienste laufen (2 wenn HA, sonst reicht natürlich auch einer). Und da ich natürlich nur 1-2 Server (als Beispiel!) da habe kann ich die auch deutlich leichter verwalten - was die Sicherheit noch erhöht.

Dazu kommt dann noch eine weitere Form der Sicherheit. Du brauchst ja prinzipiell dann schon mal 3 Switches (Gast, Intern, Telefon) oder mehr. Damit hast du auch 3 potentielle Switches die ausfallen können. Das gesparte Geld lieber in EINEN vernünftigen und falls wirklich nötig noch einen als Ersatz "ins Lager" legen - und du hast noch genug Geld übrig um nen Kasten Bier zu holen...

Solltest du also irgendwann mal planen die 80er Jahre zu verlassen würde ich sagen: Hör auf deinen Kollegen ;)
Looser27
Looser27 19.07.2023 um 14:16:10 Uhr
Goto Top
Weiterer Vorteil von VLANs in Verbindung mit VOIP:
Richtig konfiguriert, kannst Du den in den meisten Telefonen integrierten Switch für ein weiteres Endgerät (meist PC oder Notebook) verwenden.
Bei der von Dir vorgeschlagenen Trennung in physische Netze verlierst Du pro Arbeitsplatz eine Netzwerkdose. Und die werden heutzutage eh immer knapper installiert..... face-sad
HansDampf06
HansDampf06 19.07.2023 um 14:51:10 Uhr
Goto Top
Zitat von @Looser27:
Weiterer Vorteil von VLANs in Verbindung mit VOIP:
Richtig konfiguriert, kannst Du den in den meisten Telefonen integrierten Switch für ein weiteres Endgerät (meist PC oder Notebook) verwenden.
Bei der von Dir vorgeschlagenen Trennung in physische Netze verlierst Du pro Arbeitsplatz eine Netzwerkdose. Und die werden heutzutage eh immer knapper installiert..... face-sad
Das dürfte aber nur funktionieren, wenn diese Switch-Funktion kein "dummer (L2-)Switch" ist, sondern einer der auch VLAN kann, oder? Ansonsten wäre zu besorgen, dass der in ein anderes VLAN gehörende PC im VLAN der IP-Telefone wiederfindet ...
aqui
aqui 19.07.2023 aktualisiert um 23:09:05 Uhr
Goto Top
Als Netzwerker weiss man aber auch das das in der Telefonie verwendete 802.1p Layer 2 Priorisierungsverfahren, was ausnahmslos alle VoIP Telefone weltweit supporten, immer eine Teilmenge des 802.1q VLAN Headers ist bzw. diesen erzwingt. Folglich ist es also evident das damit generell alle in Telefone integrierte Switches auch immer VLAN Switches sind. Einfache Logik...
Solche einfachen Switch Basics sollte man aber schon kennen?! face-wink
HansDampf06
HansDampf06 19.07.2023 um 17:28:00 Uhr
Goto Top
Zitat von @aqui:
Solche einfachen Switch Basics sollte man aber schon kennen?! face-wink
... ab jetzt in jedem Fall! face-smile Du kennst bestimmt den Spruch mit der Kuh, dem Altwerden und dem ständigen dazulernen ... face-smile

Viele Grüße
HansDampf06
MysticFoxDE
MysticFoxDE 19.07.2023 um 21:23:03 Uhr
Goto Top
Moin @Zeppelin,

Ich entnehmen, dass sich die Mehrheit für den Einsatz von VLAN entscheiden.

definitiv. Ich will mir ehrlich gesagt gar nicht erst vorstellen, wie wir sonst die > 20 Netzsegmente bei grösseren Kunden und oder Behörden händeln sollten.

Und wenn du sicherheitsbedenken gegen VLAN hast, dann solltest du dir mal PVLAN (PRIVATE VLAN) anschauen.
Damit kannst du z.B. Clients im selben Segment vollständig gegeneinander Isolieren ohne dafür irgend eine Art von FireWall zu benutzen. 😉

Beste Grüsse aus BaWü
Alex
Bingo61
Bingo61 25.07.2023 aktualisiert um 15:17:08 Uhr
Goto Top
V Lan sind ja für solche Netz Trennungen erfunden worden.
Was dein Argument mit der Konfig betrifft, da hat der Entwickler die Datensicherung erfunden.
Man kann jede Konfig sichern, einen neuen Switch einbauen, Konfig übertragen ..fertig. Dazu brauchst keinen extra Server, die Datei auf Laptop mit USB an Switch und ...fertig ist der neue Switch.
aqui
aqui 25.07.2023 aktualisiert um 15:26:19 Uhr
Goto Top
..fertig ist der neue Switch.
Nicht einmal das braucht der clevere Netzwerk Admin, denn der nutzt natürlich DHCP Autoconfig mit einem entsprechenden Template. Azubi schicken, Switch auspacken, beim Anschliessen holt der automatisch seine Konfig, macht automatisch ein Firmware Update, fertisch. So geht Admin heute... face-wink

Zeit das der TO seinen Thread hier nun auch mal als erledigt schliesst, denn bezüglich seiner Frage zum best Practise ist diese ja nun hinreichend geklärt!!