coltseavers
Goto Top

Leiten "dumme" Switches VLAN-Tags mit durch?

Hallo zusammen,

eine Frage ist eigentlich schon in der Überschrift gestellt.
Ich habe ein LAN, das (wenn möglich) nach und nach mit VLAN ausgerüstet werden soll.
Konkret möchte ich erstmal Gäste-WLANs einrichten und taggen nach 802.1Q (z.B. VLAN-ID 11, die Acces-Points können das), der Rest würde so lange ungetagged bleiben, bis er auf den Router (Mikrotik) trifft. Dort kriegen dann alle ungetagged-ten Pakete dann z.B. eine VLAN-ID 10.
Zwischen AP und Router wären jedoch ein oder mehrere Switches, die kein 802.1Q können. Stellt das ein Problem dar, oder leiten auch solche Switches die getagged-ten Pakete durch?

Access-Point mit 802.1Q <=> unmanaged L2-Switch <=> Mikrotik hEX

Die zweite Frage bei diesem Aufbau wäre, ob man dann aus dem Gäste-VLAN "ausbrechen" kann?
Beispiel: Gäste-VLAN mit eigenem IP-Adressbereich: 192.168.1.1-254
Heim-LAN: 192.168.2.1-254

Wenn man im Gäste-VLAN ist und direkt eine IP aus dem Heim-LAN ansteuert, dann?
Ich vermute dann könnte die Anfrage vielleicht noch das Heim-LAN erreichen, die Antwort würde aber, da ohne VLAN-Tag kommend, nicht ins Gäste-VLAN kommen, oder wie ist das?

Vielen Dank vorab!

Gruß,
Colt

Content-ID: 346580

Url: https://administrator.de/forum/leiten-dumme-switches-vlan-tags-mit-durch-346580.html

Ausgedruckt am: 27.12.2024 um 10:12 Uhr

certifiedit.net
certifiedit.net 17.08.2017 um 17:56:04 Uhr
Goto Top
Ich würde spontan nein sagen.
Spirit-of-Eli
Spirit-of-Eli 17.08.2017 aktualisiert um 18:00:46 Uhr
Goto Top
Nein, die Pakete werden verworfen da quasi corrupted.
ashnod
ashnod 17.08.2017 um 18:14:08 Uhr
Goto Top
Hallo

Zitat von @coltseavers:
Zwischen AP und Router wären jedoch ein oder mehrere Switches, die kein 802.1Q können. Stellt das ein Problem dar, oder leiten auch solche Switches die getagged-ten Pakete durch?

Tatsächlich ist das Hersteller- und Geräteabhängig.
Du kannst Geräte haben die diese zusätzlichen informationen völlig ignorieren und weiterleiten oder auch Geräte die diese zusätzliche Information abtrennen. Hier geht nur probieren über studieren ... oki alternativ auch noch in der Gerätebeschreibung stöbern, vermutlich wirst du dazu eher nix finden.

Die zweite Frage bei diesem Aufbau wäre, ob man dann aus dem Gäste-VLAN "ausbrechen" kann?

Definiere ausbrechen face-wink

Auf enem Switch der alle Informationen weiterleitet, lassen sich auch alle Informationen auslesen.
In dem Sinne ja man kann "ausbrechen" ... im tatsächlichen Betrieb mit eher nichttechnischen Menschen wirst du diese Problematik allerdings nicht fürchten müssen.

Optimal ist das Netzdesign natürlich nicht!

Sanfte Grüße
certifiedit.net
certifiedit.net 17.08.2017 um 18:19:44 Uhr
Goto Top
Hallo Ashnod,

welche Geräte kennst du denn, die das einfach stumpf weiterleiten?face-smile

LG
ashnod
ashnod 17.08.2017 um 18:56:50 Uhr
Goto Top
Zitat von @certifiedit.net:
welche Geräte kennst du denn, die das einfach stumpf weiterleiten?face-smile

Ahoi
Ich gebe zu da fällt mir spontan keines ein, liegt aber auch daran das ich mich an so einem Design nicht versuchen wurde.

Rein technisch betrachtet besteht zumindest eine kleine Wahrscheinlichkeit.

Hauptfrage wird sein ob der Switch die zusätzlichen bits verarbeiten kann, bei älteren Geräten wird man das vermutlich gleich verneinen können.

Sanfte Grüße face-wink
certifiedit.net
certifiedit.net 17.08.2017 um 18:58:58 Uhr
Goto Top
Richtig und da setz ich an, wenn der Switch die Bits verarbeitet, dann ist er de facto auch VLAN fähig. Ansonsten wäre es ein wenig wie Reingold als vergoldet zu verkaufen. face-wink

Schönen Abend
Spirit-of-Eli
Spirit-of-Eli 17.08.2017 aktualisiert um 19:47:07 Uhr
Goto Top
Darauf wollte ich hinaus, mir ist kein "nicht L2/L3" Switch bekannt der VLans durchschleift!
certifiedit.net
certifiedit.net 17.08.2017 um 19:03:40 Uhr
Goto Top
Du meinst, kein nicht L2.

Nachhilfe in ISO/OSI
ashnod
ashnod 17.08.2017 um 19:04:02 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Darauf wollte ich hinaus, mir ist kein "nicht L3" Switch bekannt der VLans durchschleift!

Ahoi ...

Hier wäre auch eher ein "dummer" L2 Switch gefragt.

Sanfte Grüße
Spirit-of-Eli
Spirit-of-Eli 17.08.2017 um 19:46:13 Uhr
Goto Top
Ne ne, lest noch mal. L3 Switche können dies schließlich!
certifiedit.net
certifiedit.net 17.08.2017 um 19:46:43 Uhr
Goto Top
L2 Switches routen dir auch VLAN durch.
Spirit-of-Eli
Spirit-of-Eli 17.08.2017 aktualisiert um 19:47:55 Uhr
Goto Top
Ist mir gerade auch aufgefallen, ich habs korrigiert.

Danke ;)
Herbrich19
Lösung Herbrich19 17.08.2017 um 21:17:54 Uhr
Goto Top
Hallo,

Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.

Gruß an die IT-Welt,
J Herbrich
pelzfrucht
pelzfrucht 17.08.2017 um 22:43:38 Uhr
Goto Top
Spontan:


Einfache Switches ohne Managementinterface: Aktuelle Modelle verstehen die Bedeutung der VLAN-Tags und verarbeiten die Tags
korrekt; sie arbeiten im sogenannten automatischen Lern-Modus, können aber selbst keine Tagging-Funktionen definieren (kein Tag
Insert oder -Remove).
https://de.wikipedia.org/wiki/IEEE_802.1Q

Vorsicht ist aber besonders bei dynamischen VLANs bzw. bei Systemen geboten, die im automatischen Lernmodus (siehe Switch-Typen)
arbeiten. Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von
VLAN-Implementierungen unwirksam machen.
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network

Grüße
pelzfrucht
mrtux
mrtux 18.08.2017 um 00:10:08 Uhr
Goto Top
Hi!

Zitat von @certifiedit.net:
L2 Switches routen dir auch VLAN durch.
Das Wort "routen" habe ich jetzt vorsichtshalber mal überlesen.... face-wink

mrtux
certifiedit.net
certifiedit.net 18.08.2017 um 00:16:28 Uhr
Goto Top
Je nach Perspektive musst du es nicht überlesen. Ich sagte nicht, dass ein L2 Switch Netze routet, sondern VLANs, sprich von S1 über S2 hin zu S3 bzw eben korrespondierend getaggte Endgeräte. Hierbei leitet (routet) ein L2 Switch entsprechende VLAN Pakete durch sich durch.

Ist also auf die Satzsemantik bezogen durchaus korrekt oder stimmst du mir nicht zu?
LordGurke
LordGurke 18.08.2017 aktualisiert um 01:02:24 Uhr
Goto Top
Der Begriff ist trotzdem unrichtig.
VLANs werden schlicht nicht geroutet, der korrekte Begriff wäre "Forwarding" - denn die Pakete resp. Frames werden dabei nicht verändert und verlassen dabei auch ihren Netzbereich nicht (sie bleiben immer innerhalb der selben Broadcast-Domain).
Die Entscheidung des Switches, einen Frame über eine bestimmte Datenleitung zu schicken ist daher ein simples Forwarding.
Für das Routing fehlt es am Transport über Netzgrenzen hinweg.

Um auf die Frage des TO einzugehen:
Ich hatte mal TP-Link-Switches (so kleine unmanaged 8-Port-Dinger) in der Hand, die genau sowas konnten.
Aber zum einen kannst du dich bei deiner Technik ohne es auszuprobieren nicht darauf verlassen, zum anderen wäre es sinnvoller erstmal den Kern des Netzwerks für den Transport UND die Isolierung der VLANs fit zu machen. Denn selbst wenn der Switch die Tags unbeschädigt weiter-Transportiert, kann es dir passieren dass er Pakete falsch transportiert (doppelte MAC-Adresse in verschiedenen VLANs) oder dass unbeabsichtigt Loops gebaut werden.
Daher: Rüste erst deine Kern-Technik auf was vernünftiges VLAN-Fähiges hoch und erspare dir Zeit und Nerven mit kaum debugbaren Fehlern im Netzwerk die durch sowas auftreten können.
brammer
brammer 18.08.2017 um 08:49:15 Uhr
Goto Top
Hallo,

Wenn es sich bei den unmanaged Switchen wirklich um dumme Switche handelt, die die Pakete nur auf Basis ihrer Mac Address Table weiterleiten dann kann das funktionieren. Der dumme Switche liest ja nur die Mac Adresse des Paketes aus. Also reines Forwarding.
Anders sieht es aus wenn der dumme Switch nicht ganz so dumm ist ... dann kommen die Pakete nicht durch da diese Switche dann zumindest ein Default VLAN haben dürften....
Kannst du die dummen Switche mal beim Namen nennen?

Brammer
certifiedit.net
certifiedit.net 18.08.2017 um 08:54:08 Uhr
Goto Top
Moin LordGurke,

ich habe nicht gesagt, dass VLANs geroutet werden, sondern der Verkehr in einem VLAN, der durch einen Switch geleitet wird, wird dies. Ansonsten hast du mehr oder weniger Recht. Wobei die klare Trennung selbst Wikipedia schwer fällt.

Ansatzweise wohl das beste aus serverfault

Routing is the decision over which interface a packet is to be sent. This decision has to be made for locally created packets, too. Routing tables contain network addresses and the associated interface or nexthop. This refers to ip route and ip rule (in a Linux context).

Forwarding refers to packets which reach a system but are not destined for this system. Forwarding is a decision of the system: "I take the packet and try to get it towards its destination." Instead of just dropping it. "forwarding" is a common term in the context of packet filters. Linux' Netfilter has three chains in its base table: INPUT, OUTPUT, and FORWARD. This chain just makes the decision "Shall this packet be forwarded or dropped?" (if forwarding is generally enabled on the system; Linux again: /proc/sys/net/ipv4/ip_forward).


https://serverfault.com/questions/499760/difference-between-routing-and- ...

Im Kern hast du aber Recht, es kann nur nahegelegt werden, sich mit ordentlichen VLAN Geräten zu beschäftigen.

VG
aqui
Lösung aqui 18.08.2017 aktualisiert um 11:26:12 Uhr
Goto Top
In der Regel leiten dumme, ungemanagte Switches ein 802.1q VLAN Tag mit durch.
Das kannst du ganz einfach selber verifizieren indem du an einen Port so einen tagged Port eines gemanagten Switches anschliesst und am ungemanagten Switch dann mal mit einem Wireshark nachprüfst ob diese tagged Pakete durchgehen.
Wie gesagt in der Regel tun sie das aber leider nicht immer.
Viele Billighersteller oder China NoName Switches tun es aber auch nicht und droppen diese Frames. Man kann also leider keine pauschale Aussage dazu treffen.
Um ganz sicher zu gehen solltest du also immer mal schnell mit einem Wireshark Sniffer kontrollieren.
Dann kannst du dir 100pro sicher sein ob oder ob nicht.
Gemanagte Switches droppen tagged Frames an untagged Ports immer.

Wie bereits gesagt hat das Tagging und Weiterleiten von tagged Frames rein gar nichts mit dem Thema VLAN Routing zu tun. 2 ganz verschiedene Baustellen !!
Alles zum VLAN Routing findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. bei Layer 3 Switches (Routing Switches) entfällt natürlich der externe Router.
certifiedit.net
certifiedit.net 18.08.2017 um 11:30:48 Uhr
Goto Top
Wie bereits gesagt hat das Tagging und Weiterleiten von tagged Frames rein gar nichts mit dem Thema VLAN Routing zu tun. 2 ganz verschiedene Baustellen !!


Das (VLAN Routing) hab ich auch nie gesagt. Aber darüber lässt sich anscheinend echt gut reden.
mrtux
mrtux 18.08.2017 aktualisiert um 11:40:03 Uhr
Goto Top
Hi!

Uiiii...Hehe da hab ich wieder was losgetreten.... face-wink

Ich würde vorschlagen, wir einigen uns uns auf den Begriff "verbinden", denn genau das ist es was ein Switch macht, er schaltet die jeweiligen Ports für einen bestimmten Zeitpunkt zusammen und sind die Pakete dann durch, wird das (ich nenne es mal) "Switch Set" wieder anders gesetzt. Das sieht dann so aus als würden die Pakete "geroutet" werden aber tatsächlich ist es dann eher ein "Schalten" daher auch der Name "Switch".... face-wink

Und zum Thema des TO: Warum kaufst Du dir nicht gleich einen billigen Smart Switch? Je nach Anzahl der Ports bekommt man so Billigheimer schon ab 25 Euro. Wir haben mit so billigen TP-Link Geräten schon ganze Hotel WLANs realisiert und dort laufen die Dinger schon seit mind. 7 Jahren ohne Ausfall. Manche Modelle können so gar "Private VLAN" Setups, so dass man mehrere Access Points auf einen gemeinsamen "Uplink" Port schalten kann und sich somit die APs untereinander quasi nicht "sehen". In Verbindung mit einem "AP Isolation" Setup im AP kann man damit die einzelnen User sauber voneinander trennen. Mit einer pfSense davor, kann man dann so ziemlich jedes gewünschte Setup realisieren, auch was das Thema Sicherheit anbelangt.

mrtux
certifiedit.net
certifiedit.net 18.08.2017 um 11:35:13 Uhr
Goto Top
Hehe, natürlich. Freitag und so. Nur fehlt da ein Verb "und sind die Pakete dann durch." - hier würde ich "leiten" anbringen, was im englischen eben routen bedeutet. Das bedeutet eben nicht, dass ich in irgendeiner Form besag(t)e, dass zwischen einzelnen VLANs geroutet werden würde (zumindest per L2).

ist aber müßig.

VG
coltseavers
coltseavers 18.08.2017 um 13:12:52 Uhr
Goto Top
Ja hallo erstmal,

vielen Dank soweit für die Antworten und die große Beteiligung.

Toll finde ich, dass man hier so schnell Antworten erhält, einige davon sind sogar fachlich absolut top!!!
Was ist nicht so recht verstehe ist, warum einige Antworten reine Spekulation und Gedankenspiele sind - sowas ist (zumindest für mich) leider unbrauchbar. Hier hilft nunmal nur Wissen weiter. Aber dennoch vielen Dank an alle, die versuchen zu helfen!

Zur Sache:
Ich habe es übergangsweise so gelöst, dass ich zwischen dummen Switch und Router einen kleinen 5-Port smart managed Switch gesetzt habe, an dem dann auch der AccessPoint hängt. Somit ist es vorübergehend ausreichend gelöst. Der dumme Switch wird dann in einigen Tagen komplett ersetzt, damit es sauber gelöst ist.

Alternativ müsste man wohl tatsächlich ein wenig ausprobieren und Pakete sniffen, um zu sehen, was geht, oder auch nicht - sofern man die Zeit dafür hat.

Gruß,
Colt Seavers
coltseavers
coltseavers 18.08.2017 um 13:53:55 Uhr
Goto Top
Zitat von @mrtux:
Je nach Anzahl der Ports bekommt man so Billigheimer schon ab 25 Euro. Wir haben mit so billigen TP-Link Geräten schon ganze Hotel WLANs realisiert und dort laufen die Dinger schon seit mind. 7 Jahren ohne Ausfall.
mrtux

Solche Geräte werden von vielen hier nur belächelt (warum auch immer), aber ich selbst greife auch gerne auf diesen Hersteller zurück, weil die Kisten in der Tat gute Dienste leisten, und sie ab smart managed sogar "Lifetime Warranty" haben.
Wenn ich mir die großen Marken wie Cisco, Juniper, Dell etc angucke, und dann kritische Sicherheitslücken in deren Geräten bekannt werden, dann frage ich mich, was die Dinger so wertvoll macht. In KMUs sehe ich dafür keine Notwendigkeit.
Wenn es etwas mehr Funktionnalität braucht gibts ja schließlich immer noch Mikrotik.... face-wink
aqui
aqui 18.08.2017 aktualisiert um 14:55:54 Uhr
Goto Top
Es kommt wie immer darauf an was man damit machen will. Für kleine Heimnetze oder welche mit wenig bis gar keinen technischen Ansprüchen und Ausfallsicherheit ist das absolut richtig. Bei Netzen mit 500, 1000 oder noch mehr Ports mit hohen Redundanzforderungen ist das dann eben eine etwas andere Nummer.
Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!
Wenn man die interne ASIC Struktur dieser Geräte betrachtet dann muss man sich auch nicht mehr fragen warum es einen "Werteunterschied" gibt. All das hast du sicher noch nie in Betracht gezogen oder baust du Server auch mit ATOM Prozessoren auf ?
Für viele zählen zusätzlich eben auch die Langlebigkeit anderer Komponenten wie das Netzteil oder eine Wartung über einen bestimmten Zeitraum um Ausfallsicherheit zu garantieren. Sowas wird bei China Billigstware natürlich auch anders gehandhabt.
Wenn du einen BMW und einen Daccia betrachtest stellst du dir ja auch solche Fragen nicht, oder ?
Zum Einkaufen um die Ecke reichen beide... für andere Anforderungen ggf. nicht.
Wie immer im Leben ist das alles relativ und hängt von vielen Rahmenbedingungen ab die jeder anders wichtet und statt zu spekulieren oder laienhaft rumzuraten sollte man eben immer "unter die Haube" sehen und sich an Fakten halten !!
Binsenweisheiten zum Wochenende die eigentlich jeder kennt face-wink
pelzfrucht
pelzfrucht 20.08.2017 aktualisiert um 01:36:07 Uhr
Goto Top
Zitat von @Herbrich19:
Hallo,

Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.

Gruß an die IT-Welt,
J Herbrich

Unverständlich warum diese Aussage als Lösung gewählt wurde.
https://de.wikipedia.org/wiki/IEEE_802.1Q
Hättest du (@TO) dir meine Links als auch nur die Zitate nur ansatzweise durchgelesen, hättest du festgestellt das ältere und "dumme" / nicht managebare Switche VLAN Tags problemlos verarbeiten indem sie im sogenannten Automatischen Lernmodus arbeiten. Hierbei kann, muss es aber nicht zu einem Sicherheitsproblem kommen. Da das Ethernet-Frame nicht verändert, sondern nur erweitert wird, verarbeiten die meisten (sogut wie alle) das Ethernet Frame und leiten es weiter. Das es verworfen ist, ist die Seltenheit.

Grüße
pelzfrucht
coltseavers
coltseavers 20.08.2017 um 14:02:23 Uhr
Goto Top
Zitat von @pelzfrucht:

Zitat von @Herbrich19:
Hallo,

Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.

Gruß an die IT-Welt,
J Herbrich

Unverständlich warum diese Aussage als Lösung gewählt wurde.
...Das(s) es verworfen ist, ist die Seltenheit.

Nun, ich lese aus Deinen Ausführungen, dass es auch mit dummen Switches funktionieren sollte, dass ich mich aber nicht sicher darauf verlassen kann.
Hätte ich noch erwähnen müssen, dass ich eine Lösung benötige, auf die ich mich verlassen kann?

Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.

Gruß,
Colt Seavers
coltseavers
coltseavers 20.08.2017 aktualisiert um 14:33:43 Uhr
Goto Top
Zitat von @aqui:

Es kommt wie immer darauf an was man damit machen will. Für kleine Heimnetze oder welche mit wenig bis gar keinen technischen Ansprüchen und Ausfallsicherheit ist das absolut richtig. Bei Netzen mit 500, 1000 oder noch mehr Ports mit hohen Redundanzforderungen ist das dann eben eine etwas andere Nummer.

Absolut richtig, keine Frage. Viele Netze dürften aber irgendwo zwischen Heimnetz und 500 Ports liegen - sagen wir mal im Bereich 50-200 Ports.
Auch von TP-Link gibt es dafür ausreichende managed-Switches, oder halt von Mikrotik, welche preislich in der Region von TP-Link mithalten können.

Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!

*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Ich weiss nicht, ob ich bei diesen Kisten ein so viel besseres Gefühl hätte, siehe z.B.:
Sicherheitslücken in 300 Cisco-Modellen

Für viele zählen zusätzlich eben auch die Langlebigkeit anderer Komponenten wie das Netzteil oder eine Wartung über einen bestimmten Zeitraum um Ausfallsicherheit zu garantieren. Sowas wird bei China Billigstware natürlich auch anders gehandhabt.

Korrekt: in Unternehmen, wo Ausfälle schnell behoben werden müssen, habe ich neben einer Redundanz im System (sowas geht z.B. auch ganz locker bei Mikrotik) immer Ersatzhardware vorrätig.

Wenn du einen BMW und einen Daccia betrachtest stellst du dir ja auch solche Fragen nicht, oder ?
Der Vergleich hinkt: Sitze in einem BMW und in einem Daccia merkst Du den Unterschied.
Arbeite als Anwender in einem LAN und sage mir, von welchem Hersteller der Switch ist. face-wink

Zum Einkaufen um die Ecke reichen beide... für andere Anforderungen ggf. nicht.
Hier müsste man mal konkreter werden.
Bei kleinen Netzen beim Handwerker um die Ecke setze ich gerne und bereits seit über 10 Jahren u.a. auch TP-Link-Geräte ein, ich kann mich bisher nicht an einen Defekt erinnern (die Anzahl der von mir eingesetzten TP-Link-Geräte bewegt sich aber auch noch(!) im 2-stelligen Bereich) - so viel zum Thema Langlebigkeit. Im übrigen gibt TP-Link ab smart-managed eine Lifetime-Warranty - weil die Dinger laufen nunmal.
Keine Ahnung, ob Du denkst, dass die nach 2 Jahren in Flammen aufgehen oder so - und woher Du diese Infos hast - ich kann nur sagen: dem ist nicht so. (Wie Du selbst weiter unten anführst: lass uns mal bei den Fakten bleiben)

Gehen die Anforderungen höher (z.B. QoS, VPN etc) verwende ich gerne Mikrotik. Damit konnte ich bisher alle Anforderungen bei meinen Kunden performant und zuverlässig realisieren. Und mit Netzwerken, die man mit Mikrotik-Geräten nicht betreiben kann, komme ich ohnehin nicht in Berührung. Das wäre für mich als Einzelunternehmer auch eine Nummer zu groß.

Wie immer im Leben ist das alles relativ und hängt von vielen Rahmenbedingungen ab die jeder anders wichtet und statt zu spekulieren oder laienhaft rumzuraten sollte man eben immer "unter die Haube" sehen und sich an Fakten halten !!
Ja genau: siehe "Chinaswitch", Sicherheitslücken und weitere Bugs bei "Premium"-Herstellern, die ich gerne zahlreich zitieren kann.

Gruß,
Colt Seavers
LordGurke
LordGurke 20.08.2017 um 14:32:18 Uhr
Goto Top
Zitat von @coltseavers:
Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.

Ganz ehrlich: Das hättest du so oder so gemusst. Nur, weil die VLAN-Tags korrekt geforwarded werden, heißt das ja nicht, dass der Switch VLAN-Fähig ist. Du reißt dir damit ernsthafte Sicherheitslöcher auf, da der Switch anhand des VLAN-Tags ja keine Entscheidungen treffen kann und an genau diesen Switches dann der Ausbruch aus dem VLAN möglich wird. Von daher willst du an diesen Stellen wo VLAN nötig ist auch immer VLAN-Fähige Switches haben.
LordGurke
LordGurke 20.08.2017 aktualisiert um 14:48:27 Uhr
Goto Top
Zitat von @coltseavers:
Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!

*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Ich weiss nicht, ob ich bei diesen Kisten ein so viel besseres Gefühl hätte, siehe z.B.:
Sicherheitslücken in 300 Cisco-Modellen
[...]
Ja genau: siehe "Chinaswitch", Sicherheitslücken und weitere Bugs bei "Premium"-Herstellern, die ich gerne zahlreich zitieren kann.

Du vergisst ein Detail: Cisco hat die Lücken zügig geschlossen face-wink
Außerdem betrafen die Lücken ausschließlich das Management der Switches, welches optimalerweise nur aus eng begrenzten Netzbereichen zugänglich ist. Die reine Switching- oder Routing-Engine betrafen diese Lücken nicht.
Will heißen: Natürlich sollte man das zeitnah updaten, aber wenn du das Management-Netz sauber trennst und regulierst, kannst du auch zwei Tage später an einem Wochenende updaten ohne dass dadurch die Gefahr immens steigt dass einem die Büchse aufgemacht wird.
Kannst ja mal gucken, wann andere Hersteller zuletzt Firmware-Updates für > 4 Jahre alte Modelle veröffentlicht haben...

Ich habe hier teilweise noch Switches von Cisco stehen, die Baujahr 2001 sind und seitdem auch quasi ununterbrochen in Betrieb sind.
In der Zeit sind mir wasweißichwieviele Switche von D-Link und Netgear kaputtgegangen, die teilweise vielleicht 3-4 Jahre gehalten haben.

Oder - um ein anderes Beispiel zu geben: Wir setzen zig PDUs ein, um Server nötigenfalls komplett vom Netz zu trennen. Das impliziert also, dass ALLE Netzteile eines Servers an (verschiedene) PDUs angeschlossen werden müssen, damit man ihn komplett stromlos bekommt.

Inzwischen sind wir komplett bei Raritan gelandet. Da kostet so eine PDU mit 8 Ports zwar ab 600 € aufwärts, aber dafür bekommst du Geräte, die "einfach funktionieren". Man kann sie vernünftig untereinander Verbinden, so dass redundante Netzteile PDU-Übergreifend geschaltet werden können und die Software auf den PDUs ist absolut stabil und läuft zuverlässig.
Sicher tauchen da hin und wieder Lücken drin auf und man sollte die Firmware updaten - auch, wenn diese nicht aus dem Internet oder anderen Netzen erreichbar sind. Aber: Wenn du die Firmware updatest und dabei konsequenterweise rebooten musst, werden dadurch die Ausgänge nicht umgeschaltet.
Das ist nicht selbstverständlich. Die billigeren PDUs vorher haben beim Booten alle Ausgänge ausgeschaltet. Das wurde zunehmend ärgerlich, als einige von denen aufgrund instabiler Software unerwartet mitten in der Nacht neugestartet sind...
Neue Software gab es dafür nicht (auch wenn der Hersteller versprach, dass man sich um das Problem kümmert).

DAS ist der Preisunterschied zwischen dem 17 € China-Modell und dem 600 €-Modell, was zwar auch irgendwo im asiatischen Raum zusammengebaut wird, aber dafür einfach um Längen stabiler läuft. Der Preisunterschied ist zum einen die Stabilität, aber auch, dass sich mal jemand mit Sinn und Verstand Gedanken gemacht hat - z.B. dass es Leute stören könnte, wenn beim Booten die Last von allen PDU-Ports abgeworfen wird.
coltseavers
coltseavers 20.08.2017 um 15:09:57 Uhr
Goto Top
Zitat von @LordGurke:

Zitat von @coltseavers:
Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!

*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Ich weiss nicht, ob ich bei diesen Kisten ein so viel besseres Gefühl hätte, siehe z.B.:
Sicherheitslücken in 300 Cisco-Modellen
[...]
Ja genau: siehe "Chinaswitch", Sicherheitslücken und weitere Bugs bei "Premium"-Herstellern, die ich gerne zahlreich zitieren kann.

Du vergisst ein Detail: Cisco hat die Lücken zügig geschlossen face-wink
...nachdem sie öffentlich wurden. face-wink

Ganz nebenbei mal als Beispiel: die Firma Buffalo (ebenfalls ein Billig-China-Hersteller) hat kürzlich selbst für 10 Jahre alte NAS-Geräte Firmwareupdates bereitgestellt, kurz nachdem der Bug im SMB-Protokoll in diesem Jahr bekannt wurde.
Deshalb wiederhole ich gerne: man sollte wenn schon in beide Richtungen genauer hinschauen - es ist nicht alles schlecht was günstig ist.


Ich habe hier teilweise noch Switches von Cisco stehen, die Baujahr 2001 sind und seitdem auch quasi ununterbrochen in Betrieb sind.
In der Zeit sind mir wasweißichwieviele Switche von D-Link und Netgear kaputtgegangen, die teilweise vielleicht 3-4 Jahre gehalten haben.

Bei D-Link und Netgear kann ich Dir uneingeschränkt recht geben - diese ersetze ich auch regelmässig bei meinen Kunden (die den Kram woanders gekauft haben) - deshalb führe ich diese beiden Hersteller nicht. Bei TP-Link und Mikrotik kann ich diese Kurzlebigkeit nicht feststellen.

Gruß,
Colt
pelzfrucht
pelzfrucht 20.08.2017 aktualisiert um 15:34:19 Uhr
Goto Top
Zitat von @coltseavers:
Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.

Gruß,
Colt Seavers

Moin,

Mein Einwand bezog sich darauf das er gerade das nicht schrieb:

Zitat von @Herbrich19:
Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.

Meiner Meinung nach suggerierte diese Aussage das man "dumme", nicht managebare Switche einsetzen kann ohne Sorge zu haben das die VLAN Pakete irgendwo landen. Sie würden normalerweise einfach verworfen.
Da aber gerade dies nicht zutrifft, sondern sie normalerweise weitergeleitet werden, mein Einwand auf diese Formulierung seitens Herbrich face-smile

Und soweit ich das verstand, ist das weiterleiten ja gerade unerwünscht.

Grüße
pelzfrucht
aqui
aqui 21.08.2017 aktualisiert um 11:41:16 Uhr
Goto Top
*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Zeigt auch das der sehr beschränkte Horizont dieses Kommentars immer an den Billigst- oder Billiglinien aufhört und wo sich das Know How bewegt.
Es gibt ja auch noch Netzwerke jenseits dieses beschränkten Horizonts, die mit Catalysten und anderen Premium Herstellern bestückt sind und hardwaretechnisch andere Innenleben haben. Sollte man als wirklicher Administrator eigentlich auch kennen wenn man sein Umfeld nicht nur im China- und Billigsektor sieht...Aber egal, das nur nebenbei....
coltseavers
coltseavers 21.08.2017 aktualisiert um 11:50:23 Uhr
Goto Top
Ich weiss zwar nicht, wie man von einem Beispiel auf einen Horizont schließen kann, aber wahrscheinlich können das "wirkliche Administratoren".
Schade, diese herabschauende Art steht Dir nämlich nicht.
brammer
brammer 21.08.2017 um 11:56:35 Uhr
Goto Top
Hallo,

Man muss aber wohl unterscheiden zwischen China Billig Switchen und in China gefertigten Switchen eines Herstellers wie Cisco.
Bei einem Cisco Switch steckt eine ganze Menge an Entwicklung, technischem Design und know how in Gerät... bei den billig Switchen ist Hardware oft nur zusammengeschustert.. und die Software dazu ist mit der heissen Nadel gehäkelt.

Es gibt für beides Einsatzzwecke.
Im Haushalt oder kleinen Umfeld kann man die preiswerten Geräte unbedenklich einsetzen... bei Anforderungen wie Redundanz oder Performance würde ich mit einem China Billig Switch schlecht schlafen.

Brammer
aqui
aqui 21.08.2017 aktualisiert um 13:40:51 Uhr
Goto Top
wahrscheinlich können das "wirkliche Administratoren".
Es ging lediglich darum aufzuzeigen das kommerzielle bzw. skalierbare und verlässliche Netz Infrastrukturen eben nicht auf China- oder Billigprodukten basieren die einen vollkommen andere Zielclientel bedienen.
Deine Einstellung wäre bei Infrastrukturen im kommerziellen RZ Bereich, medizinischen Bereich, der Verkehrs- oder Sicherheitstechnik oder in industrieller Produktion sicher vollkommen fehl am Platze.
Leider kam dieser Punkt in deinem Feedback gar nicht vor was den Schluss zulässt das dir Erfahrungen dort schlicht fehlen. Nichtmal die Internet Infrastruktur oder die von Hostern basiert auf solcher Hardware, geschweige denn Netze der oben genannten Art. Es gibt eben hier auch ein Gros an Administratoren die andere Netze managen mit eben ganz anderen Anforderungsprofilen als den deinen. Genau um den "Horizont" ging es und nichts anderes.
Kollege brammer hat ja schon alles zu dem Thema gesagt....