Leiten "dumme" Switches VLAN-Tags mit durch?
Hallo zusammen,
eine Frage ist eigentlich schon in der Überschrift gestellt.
Ich habe ein LAN, das (wenn möglich) nach und nach mit VLAN ausgerüstet werden soll.
Konkret möchte ich erstmal Gäste-WLANs einrichten und taggen nach 802.1Q (z.B. VLAN-ID 11, die Acces-Points können das), der Rest würde so lange ungetagged bleiben, bis er auf den Router (Mikrotik) trifft. Dort kriegen dann alle ungetagged-ten Pakete dann z.B. eine VLAN-ID 10.
Zwischen AP und Router wären jedoch ein oder mehrere Switches, die kein 802.1Q können. Stellt das ein Problem dar, oder leiten auch solche Switches die getagged-ten Pakete durch?
Access-Point mit 802.1Q <=> unmanaged L2-Switch <=> Mikrotik hEX
Die zweite Frage bei diesem Aufbau wäre, ob man dann aus dem Gäste-VLAN "ausbrechen" kann?
Beispiel: Gäste-VLAN mit eigenem IP-Adressbereich: 192.168.1.1-254
Heim-LAN: 192.168.2.1-254
Wenn man im Gäste-VLAN ist und direkt eine IP aus dem Heim-LAN ansteuert, dann?
Ich vermute dann könnte die Anfrage vielleicht noch das Heim-LAN erreichen, die Antwort würde aber, da ohne VLAN-Tag kommend, nicht ins Gäste-VLAN kommen, oder wie ist das?
Vielen Dank vorab!
Gruß,
Colt
eine Frage ist eigentlich schon in der Überschrift gestellt.
Ich habe ein LAN, das (wenn möglich) nach und nach mit VLAN ausgerüstet werden soll.
Konkret möchte ich erstmal Gäste-WLANs einrichten und taggen nach 802.1Q (z.B. VLAN-ID 11, die Acces-Points können das), der Rest würde so lange ungetagged bleiben, bis er auf den Router (Mikrotik) trifft. Dort kriegen dann alle ungetagged-ten Pakete dann z.B. eine VLAN-ID 10.
Zwischen AP und Router wären jedoch ein oder mehrere Switches, die kein 802.1Q können. Stellt das ein Problem dar, oder leiten auch solche Switches die getagged-ten Pakete durch?
Access-Point mit 802.1Q <=> unmanaged L2-Switch <=> Mikrotik hEX
Die zweite Frage bei diesem Aufbau wäre, ob man dann aus dem Gäste-VLAN "ausbrechen" kann?
Beispiel: Gäste-VLAN mit eigenem IP-Adressbereich: 192.168.1.1-254
Heim-LAN: 192.168.2.1-254
Wenn man im Gäste-VLAN ist und direkt eine IP aus dem Heim-LAN ansteuert, dann?
Ich vermute dann könnte die Anfrage vielleicht noch das Heim-LAN erreichen, die Antwort würde aber, da ohne VLAN-Tag kommend, nicht ins Gäste-VLAN kommen, oder wie ist das?
Vielen Dank vorab!
Gruß,
Colt
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346580
Url: https://administrator.de/forum/leiten-dumme-switches-vlan-tags-mit-durch-346580.html
Ausgedruckt am: 27.12.2024 um 10:12 Uhr
37 Kommentare
Neuester Kommentar
Hallo
Tatsächlich ist das Hersteller- und Geräteabhängig.
Du kannst Geräte haben die diese zusätzlichen informationen völlig ignorieren und weiterleiten oder auch Geräte die diese zusätzliche Information abtrennen. Hier geht nur probieren über studieren ... oki alternativ auch noch in der Gerätebeschreibung stöbern, vermutlich wirst du dazu eher nix finden.
Definiere ausbrechen
Auf enem Switch der alle Informationen weiterleitet, lassen sich auch alle Informationen auslesen.
In dem Sinne ja man kann "ausbrechen" ... im tatsächlichen Betrieb mit eher nichttechnischen Menschen wirst du diese Problematik allerdings nicht fürchten müssen.
Optimal ist das Netzdesign natürlich nicht!
Sanfte Grüße
Zitat von @coltseavers:
Zwischen AP und Router wären jedoch ein oder mehrere Switches, die kein 802.1Q können. Stellt das ein Problem dar, oder leiten auch solche Switches die getagged-ten Pakete durch?
Zwischen AP und Router wären jedoch ein oder mehrere Switches, die kein 802.1Q können. Stellt das ein Problem dar, oder leiten auch solche Switches die getagged-ten Pakete durch?
Tatsächlich ist das Hersteller- und Geräteabhängig.
Du kannst Geräte haben die diese zusätzlichen informationen völlig ignorieren und weiterleiten oder auch Geräte die diese zusätzliche Information abtrennen. Hier geht nur probieren über studieren ... oki alternativ auch noch in der Gerätebeschreibung stöbern, vermutlich wirst du dazu eher nix finden.
Die zweite Frage bei diesem Aufbau wäre, ob man dann aus dem Gäste-VLAN "ausbrechen" kann?
Definiere ausbrechen
Auf enem Switch der alle Informationen weiterleitet, lassen sich auch alle Informationen auslesen.
In dem Sinne ja man kann "ausbrechen" ... im tatsächlichen Betrieb mit eher nichttechnischen Menschen wirst du diese Problematik allerdings nicht fürchten müssen.
Optimal ist das Netzdesign natürlich nicht!
Sanfte Grüße
Ahoi
Ich gebe zu da fällt mir spontan keines ein, liegt aber auch daran das ich mich an so einem Design nicht versuchen wurde.
Rein technisch betrachtet besteht zumindest eine kleine Wahrscheinlichkeit.
Hauptfrage wird sein ob der Switch die zusätzlichen bits verarbeiten kann, bei älteren Geräten wird man das vermutlich gleich verneinen können.
Sanfte Grüße
Zitat von @Spirit-of-Eli:
Darauf wollte ich hinaus, mir ist kein "nicht L3" Switch bekannt der VLans durchschleift!
Darauf wollte ich hinaus, mir ist kein "nicht L3" Switch bekannt der VLans durchschleift!
Ahoi ...
Hier wäre auch eher ein "dummer" L2 Switch gefragt.
Sanfte Grüße
Spontan:
Grüße
pelzfrucht
Einfache Switches ohne Managementinterface: Aktuelle Modelle verstehen die Bedeutung der VLAN-Tags und verarbeiten die Tags
korrekt; sie arbeiten im sogenannten automatischen Lern-Modus, können aber selbst keine Tagging-Funktionen definieren (kein Tag
Insert oder -Remove).
https://de.wikipedia.org/wiki/IEEE_802.1Qkorrekt; sie arbeiten im sogenannten automatischen Lern-Modus, können aber selbst keine Tagging-Funktionen definieren (kein Tag
Insert oder -Remove).
Vorsicht ist aber besonders bei dynamischen VLANs bzw. bei Systemen geboten, die im automatischen Lernmodus (siehe Switch-Typen)
arbeiten. Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von
VLAN-Implementierungen unwirksam machen.
https://de.wikipedia.org/wiki/Virtual_Local_Area_Networkarbeiten. Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von
VLAN-Implementierungen unwirksam machen.
Grüße
pelzfrucht
Hi!
Das Wort "routen" habe ich jetzt vorsichtshalber mal überlesen....
mrtux
Das Wort "routen" habe ich jetzt vorsichtshalber mal überlesen....
mrtux
Je nach Perspektive musst du es nicht überlesen. Ich sagte nicht, dass ein L2 Switch Netze routet, sondern VLANs, sprich von S1 über S2 hin zu S3 bzw eben korrespondierend getaggte Endgeräte. Hierbei leitet (routet) ein L2 Switch entsprechende VLAN Pakete durch sich durch.
Ist also auf die Satzsemantik bezogen durchaus korrekt oder stimmst du mir nicht zu?
Ist also auf die Satzsemantik bezogen durchaus korrekt oder stimmst du mir nicht zu?
Der Begriff ist trotzdem unrichtig.
VLANs werden schlicht nicht geroutet, der korrekte Begriff wäre "Forwarding" - denn die Pakete resp. Frames werden dabei nicht verändert und verlassen dabei auch ihren Netzbereich nicht (sie bleiben immer innerhalb der selben Broadcast-Domain).
Die Entscheidung des Switches, einen Frame über eine bestimmte Datenleitung zu schicken ist daher ein simples Forwarding.
Für das Routing fehlt es am Transport über Netzgrenzen hinweg.
Um auf die Frage des TO einzugehen:
Ich hatte mal TP-Link-Switches (so kleine unmanaged 8-Port-Dinger) in der Hand, die genau sowas konnten.
Aber zum einen kannst du dich bei deiner Technik ohne es auszuprobieren nicht darauf verlassen, zum anderen wäre es sinnvoller erstmal den Kern des Netzwerks für den Transport UND die Isolierung der VLANs fit zu machen. Denn selbst wenn der Switch die Tags unbeschädigt weiter-Transportiert, kann es dir passieren dass er Pakete falsch transportiert (doppelte MAC-Adresse in verschiedenen VLANs) oder dass unbeabsichtigt Loops gebaut werden.
Daher: Rüste erst deine Kern-Technik auf was vernünftiges VLAN-Fähiges hoch und erspare dir Zeit und Nerven mit kaum debugbaren Fehlern im Netzwerk die durch sowas auftreten können.
VLANs werden schlicht nicht geroutet, der korrekte Begriff wäre "Forwarding" - denn die Pakete resp. Frames werden dabei nicht verändert und verlassen dabei auch ihren Netzbereich nicht (sie bleiben immer innerhalb der selben Broadcast-Domain).
Die Entscheidung des Switches, einen Frame über eine bestimmte Datenleitung zu schicken ist daher ein simples Forwarding.
Für das Routing fehlt es am Transport über Netzgrenzen hinweg.
Um auf die Frage des TO einzugehen:
Ich hatte mal TP-Link-Switches (so kleine unmanaged 8-Port-Dinger) in der Hand, die genau sowas konnten.
Aber zum einen kannst du dich bei deiner Technik ohne es auszuprobieren nicht darauf verlassen, zum anderen wäre es sinnvoller erstmal den Kern des Netzwerks für den Transport UND die Isolierung der VLANs fit zu machen. Denn selbst wenn der Switch die Tags unbeschädigt weiter-Transportiert, kann es dir passieren dass er Pakete falsch transportiert (doppelte MAC-Adresse in verschiedenen VLANs) oder dass unbeabsichtigt Loops gebaut werden.
Daher: Rüste erst deine Kern-Technik auf was vernünftiges VLAN-Fähiges hoch und erspare dir Zeit und Nerven mit kaum debugbaren Fehlern im Netzwerk die durch sowas auftreten können.
Hallo,
Wenn es sich bei den unmanaged Switchen wirklich um dumme Switche handelt, die die Pakete nur auf Basis ihrer Mac Address Table weiterleiten dann kann das funktionieren. Der dumme Switche liest ja nur die Mac Adresse des Paketes aus. Also reines Forwarding.
Anders sieht es aus wenn der dumme Switch nicht ganz so dumm ist ... dann kommen die Pakete nicht durch da diese Switche dann zumindest ein Default VLAN haben dürften....
Kannst du die dummen Switche mal beim Namen nennen?
Brammer
Wenn es sich bei den unmanaged Switchen wirklich um dumme Switche handelt, die die Pakete nur auf Basis ihrer Mac Address Table weiterleiten dann kann das funktionieren. Der dumme Switche liest ja nur die Mac Adresse des Paketes aus. Also reines Forwarding.
Anders sieht es aus wenn der dumme Switch nicht ganz so dumm ist ... dann kommen die Pakete nicht durch da diese Switche dann zumindest ein Default VLAN haben dürften....
Kannst du die dummen Switche mal beim Namen nennen?
Brammer
Moin LordGurke,
ich habe nicht gesagt, dass VLANs geroutet werden, sondern der Verkehr in einem VLAN, der durch einen Switch geleitet wird, wird dies. Ansonsten hast du mehr oder weniger Recht. Wobei die klare Trennung selbst Wikipedia schwer fällt.
Ansatzweise wohl das beste aus serverfault
Routing is the decision over which interface a packet is to be sent. This decision has to be made for locally created packets, too. Routing tables contain network addresses and the associated interface or nexthop. This refers to ip route and ip rule (in a Linux context).
Forwarding refers to packets which reach a system but are not destined for this system. Forwarding is a decision of the system: "I take the packet and try to get it towards its destination." Instead of just dropping it. "forwarding" is a common term in the context of packet filters. Linux' Netfilter has three chains in its base table: INPUT, OUTPUT, and FORWARD. This chain just makes the decision "Shall this packet be forwarded or dropped?" (if forwarding is generally enabled on the system; Linux again: /proc/sys/net/ipv4/ip_forward).
https://serverfault.com/questions/499760/difference-between-routing-and- ...
Im Kern hast du aber Recht, es kann nur nahegelegt werden, sich mit ordentlichen VLAN Geräten zu beschäftigen.
VG
ich habe nicht gesagt, dass VLANs geroutet werden, sondern der Verkehr in einem VLAN, der durch einen Switch geleitet wird, wird dies. Ansonsten hast du mehr oder weniger Recht. Wobei die klare Trennung selbst Wikipedia schwer fällt.
Ansatzweise wohl das beste aus serverfault
Routing is the decision over which interface a packet is to be sent. This decision has to be made for locally created packets, too. Routing tables contain network addresses and the associated interface or nexthop. This refers to ip route and ip rule (in a Linux context).
Forwarding refers to packets which reach a system but are not destined for this system. Forwarding is a decision of the system: "I take the packet and try to get it towards its destination." Instead of just dropping it. "forwarding" is a common term in the context of packet filters. Linux' Netfilter has three chains in its base table: INPUT, OUTPUT, and FORWARD. This chain just makes the decision "Shall this packet be forwarded or dropped?" (if forwarding is generally enabled on the system; Linux again: /proc/sys/net/ipv4/ip_forward).
https://serverfault.com/questions/499760/difference-between-routing-and- ...
Im Kern hast du aber Recht, es kann nur nahegelegt werden, sich mit ordentlichen VLAN Geräten zu beschäftigen.
VG
In der Regel leiten dumme, ungemanagte Switches ein 802.1q VLAN Tag mit durch.
Das kannst du ganz einfach selber verifizieren indem du an einen Port so einen tagged Port eines gemanagten Switches anschliesst und am ungemanagten Switch dann mal mit einem Wireshark nachprüfst ob diese tagged Pakete durchgehen.
Wie gesagt in der Regel tun sie das aber leider nicht immer.
Viele Billighersteller oder China NoName Switches tun es aber auch nicht und droppen diese Frames. Man kann also leider keine pauschale Aussage dazu treffen.
Um ganz sicher zu gehen solltest du also immer mal schnell mit einem Wireshark Sniffer kontrollieren.
Dann kannst du dir 100pro sicher sein ob oder ob nicht.
Gemanagte Switches droppen tagged Frames an untagged Ports immer.
Wie bereits gesagt hat das Tagging und Weiterleiten von tagged Frames rein gar nichts mit dem Thema VLAN Routing zu tun. 2 ganz verschiedene Baustellen !!
Alles zum VLAN Routing findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. bei Layer 3 Switches (Routing Switches) entfällt natürlich der externe Router.
Das kannst du ganz einfach selber verifizieren indem du an einen Port so einen tagged Port eines gemanagten Switches anschliesst und am ungemanagten Switch dann mal mit einem Wireshark nachprüfst ob diese tagged Pakete durchgehen.
Wie gesagt in der Regel tun sie das aber leider nicht immer.
Viele Billighersteller oder China NoName Switches tun es aber auch nicht und droppen diese Frames. Man kann also leider keine pauschale Aussage dazu treffen.
Um ganz sicher zu gehen solltest du also immer mal schnell mit einem Wireshark Sniffer kontrollieren.
Dann kannst du dir 100pro sicher sein ob oder ob nicht.
Gemanagte Switches droppen tagged Frames an untagged Ports immer.
Wie bereits gesagt hat das Tagging und Weiterleiten von tagged Frames rein gar nichts mit dem Thema VLAN Routing zu tun. 2 ganz verschiedene Baustellen !!
Alles zum VLAN Routing findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. bei Layer 3 Switches (Routing Switches) entfällt natürlich der externe Router.
Hi!
Uiiii...Hehe da hab ich wieder was losgetreten....
Ich würde vorschlagen, wir einigen uns uns auf den Begriff "verbinden", denn genau das ist es was ein Switch macht, er schaltet die jeweiligen Ports für einen bestimmten Zeitpunkt zusammen und sind die Pakete dann durch, wird das (ich nenne es mal) "Switch Set" wieder anders gesetzt. Das sieht dann so aus als würden die Pakete "geroutet" werden aber tatsächlich ist es dann eher ein "Schalten" daher auch der Name "Switch"....
Und zum Thema des TO: Warum kaufst Du dir nicht gleich einen billigen Smart Switch? Je nach Anzahl der Ports bekommt man so Billigheimer schon ab 25 Euro. Wir haben mit so billigen TP-Link Geräten schon ganze Hotel WLANs realisiert und dort laufen die Dinger schon seit mind. 7 Jahren ohne Ausfall. Manche Modelle können so gar "Private VLAN" Setups, so dass man mehrere Access Points auf einen gemeinsamen "Uplink" Port schalten kann und sich somit die APs untereinander quasi nicht "sehen". In Verbindung mit einem "AP Isolation" Setup im AP kann man damit die einzelnen User sauber voneinander trennen. Mit einer pfSense davor, kann man dann so ziemlich jedes gewünschte Setup realisieren, auch was das Thema Sicherheit anbelangt.
mrtux
Uiiii...Hehe da hab ich wieder was losgetreten....
Ich würde vorschlagen, wir einigen uns uns auf den Begriff "verbinden", denn genau das ist es was ein Switch macht, er schaltet die jeweiligen Ports für einen bestimmten Zeitpunkt zusammen und sind die Pakete dann durch, wird das (ich nenne es mal) "Switch Set" wieder anders gesetzt. Das sieht dann so aus als würden die Pakete "geroutet" werden aber tatsächlich ist es dann eher ein "Schalten" daher auch der Name "Switch"....
Und zum Thema des TO: Warum kaufst Du dir nicht gleich einen billigen Smart Switch? Je nach Anzahl der Ports bekommt man so Billigheimer schon ab 25 Euro. Wir haben mit so billigen TP-Link Geräten schon ganze Hotel WLANs realisiert und dort laufen die Dinger schon seit mind. 7 Jahren ohne Ausfall. Manche Modelle können so gar "Private VLAN" Setups, so dass man mehrere Access Points auf einen gemeinsamen "Uplink" Port schalten kann und sich somit die APs untereinander quasi nicht "sehen". In Verbindung mit einem "AP Isolation" Setup im AP kann man damit die einzelnen User sauber voneinander trennen. Mit einer pfSense davor, kann man dann so ziemlich jedes gewünschte Setup realisieren, auch was das Thema Sicherheit anbelangt.
mrtux
Hehe, natürlich. Freitag und so. Nur fehlt da ein Verb "und sind die Pakete dann durch." - hier würde ich "leiten" anbringen, was im englischen eben routen bedeutet. Das bedeutet eben nicht, dass ich in irgendeiner Form besag(t)e, dass zwischen einzelnen VLANs geroutet werden würde (zumindest per L2).
ist aber müßig.
VG
ist aber müßig.
VG
Es kommt wie immer darauf an was man damit machen will. Für kleine Heimnetze oder welche mit wenig bis gar keinen technischen Ansprüchen und Ausfallsicherheit ist das absolut richtig. Bei Netzen mit 500, 1000 oder noch mehr Ports mit hohen Redundanzforderungen ist das dann eben eine etwas andere Nummer.
Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!
Wenn man die interne ASIC Struktur dieser Geräte betrachtet dann muss man sich auch nicht mehr fragen warum es einen "Werteunterschied" gibt. All das hast du sicher noch nie in Betracht gezogen oder baust du Server auch mit ATOM Prozessoren auf ?
Für viele zählen zusätzlich eben auch die Langlebigkeit anderer Komponenten wie das Netzteil oder eine Wartung über einen bestimmten Zeitraum um Ausfallsicherheit zu garantieren. Sowas wird bei China Billigstware natürlich auch anders gehandhabt.
Wenn du einen BMW und einen Daccia betrachtest stellst du dir ja auch solche Fragen nicht, oder ?
Zum Einkaufen um die Ecke reichen beide... für andere Anforderungen ggf. nicht.
Wie immer im Leben ist das alles relativ und hängt von vielen Rahmenbedingungen ab die jeder anders wichtet und statt zu spekulieren oder laienhaft rumzuraten sollte man eben immer "unter die Haube" sehen und sich an Fakten halten !!
Binsenweisheiten zum Wochenende die eigentlich jeder kennt
Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!
Wenn man die interne ASIC Struktur dieser Geräte betrachtet dann muss man sich auch nicht mehr fragen warum es einen "Werteunterschied" gibt. All das hast du sicher noch nie in Betracht gezogen oder baust du Server auch mit ATOM Prozessoren auf ?
Für viele zählen zusätzlich eben auch die Langlebigkeit anderer Komponenten wie das Netzteil oder eine Wartung über einen bestimmten Zeitraum um Ausfallsicherheit zu garantieren. Sowas wird bei China Billigstware natürlich auch anders gehandhabt.
Wenn du einen BMW und einen Daccia betrachtest stellst du dir ja auch solche Fragen nicht, oder ?
Zum Einkaufen um die Ecke reichen beide... für andere Anforderungen ggf. nicht.
Wie immer im Leben ist das alles relativ und hängt von vielen Rahmenbedingungen ab die jeder anders wichtet und statt zu spekulieren oder laienhaft rumzuraten sollte man eben immer "unter die Haube" sehen und sich an Fakten halten !!
Binsenweisheiten zum Wochenende die eigentlich jeder kennt
Zitat von @Herbrich19:
Hallo,
Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.
Gruß an die IT-Welt,
J Herbrich
Hallo,
Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.
Gruß an die IT-Welt,
J Herbrich
Unverständlich warum diese Aussage als Lösung gewählt wurde.
https://de.wikipedia.org/wiki/IEEE_802.1Q
Hättest du (@TO) dir meine Links als auch nur die Zitate nur ansatzweise durchgelesen, hättest du festgestellt das ältere und "dumme" / nicht managebare Switche VLAN Tags problemlos verarbeiten indem sie im sogenannten Automatischen Lernmodus arbeiten. Hierbei kann, muss es aber nicht zu einem Sicherheitsproblem kommen. Da das Ethernet-Frame nicht verändert, sondern nur erweitert wird, verarbeiten die meisten (sogut wie alle) das Ethernet Frame und leiten es weiter. Das es verworfen ist, ist die Seltenheit.
Grüße
pelzfrucht
Zitat von @coltseavers:
Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.
Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.
Ganz ehrlich: Das hättest du so oder so gemusst. Nur, weil die VLAN-Tags korrekt geforwarded werden, heißt das ja nicht, dass der Switch VLAN-Fähig ist. Du reißt dir damit ernsthafte Sicherheitslöcher auf, da der Switch anhand des VLAN-Tags ja keine Entscheidungen treffen kann und an genau diesen Switches dann der Ausbruch aus dem VLAN möglich wird. Von daher willst du an diesen Stellen wo VLAN nötig ist auch immer VLAN-Fähige Switches haben.
Zitat von @coltseavers:
*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Ich weiss nicht, ob ich bei diesen Kisten ein so viel besseres Gefühl hätte, siehe z.B.:
Sicherheitslücken in 300 Cisco-Modellen
[...]
Ja genau: siehe "Chinaswitch", Sicherheitslücken und weitere Bugs bei "Premium"-Herstellern, die ich gerne zahlreich zitieren kann.
Wenn du auf dem OP Tisch liegst möchtest du sicher nicht das die Medizintechnik mit einem 17 Euro Chinaswitch vernetzt ist ?!
*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Ich weiss nicht, ob ich bei diesen Kisten ein so viel besseres Gefühl hätte, siehe z.B.:
Sicherheitslücken in 300 Cisco-Modellen
[...]
Ja genau: siehe "Chinaswitch", Sicherheitslücken und weitere Bugs bei "Premium"-Herstellern, die ich gerne zahlreich zitieren kann.
Du vergisst ein Detail: Cisco hat die Lücken zügig geschlossen
Außerdem betrafen die Lücken ausschließlich das Management der Switches, welches optimalerweise nur aus eng begrenzten Netzbereichen zugänglich ist. Die reine Switching- oder Routing-Engine betrafen diese Lücken nicht.
Will heißen: Natürlich sollte man das zeitnah updaten, aber wenn du das Management-Netz sauber trennst und regulierst, kannst du auch zwei Tage später an einem Wochenende updaten ohne dass dadurch die Gefahr immens steigt dass einem die Büchse aufgemacht wird.
Kannst ja mal gucken, wann andere Hersteller zuletzt Firmware-Updates für > 4 Jahre alte Modelle veröffentlicht haben...
Ich habe hier teilweise noch Switches von Cisco stehen, die Baujahr 2001 sind und seitdem auch quasi ununterbrochen in Betrieb sind.
In der Zeit sind mir wasweißichwieviele Switche von D-Link und Netgear kaputtgegangen, die teilweise vielleicht 3-4 Jahre gehalten haben.
Oder - um ein anderes Beispiel zu geben: Wir setzen zig PDUs ein, um Server nötigenfalls komplett vom Netz zu trennen. Das impliziert also, dass ALLE Netzteile eines Servers an (verschiedene) PDUs angeschlossen werden müssen, damit man ihn komplett stromlos bekommt.
Inzwischen sind wir komplett bei Raritan gelandet. Da kostet so eine PDU mit 8 Ports zwar ab 600 € aufwärts, aber dafür bekommst du Geräte, die "einfach funktionieren". Man kann sie vernünftig untereinander Verbinden, so dass redundante Netzteile PDU-Übergreifend geschaltet werden können und die Software auf den PDUs ist absolut stabil und läuft zuverlässig.
Sicher tauchen da hin und wieder Lücken drin auf und man sollte die Firmware updaten - auch, wenn diese nicht aus dem Internet oder anderen Netzen erreichbar sind. Aber: Wenn du die Firmware updatest und dabei konsequenterweise rebooten musst, werden dadurch die Ausgänge nicht umgeschaltet.
Das ist nicht selbstverständlich. Die billigeren PDUs vorher haben beim Booten alle Ausgänge ausgeschaltet. Das wurde zunehmend ärgerlich, als einige von denen aufgrund instabiler Software unerwartet mitten in der Nacht neugestartet sind...
Neue Software gab es dafür nicht (auch wenn der Hersteller versprach, dass man sich um das Problem kümmert).
DAS ist der Preisunterschied zwischen dem 17 € China-Modell und dem 600 €-Modell, was zwar auch irgendwo im asiatischen Raum zusammengebaut wird, aber dafür einfach um Längen stabiler läuft. Der Preisunterschied ist zum einen die Stabilität, aber auch, dass sich mal jemand mit Sinn und Verstand Gedanken gemacht hat - z.B. dass es Leute stören könnte, wenn beim Booten die Last von allen PDU-Ports abgeworfen wird.
Zitat von @coltseavers:
Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.
Gruß,
Colt Seavers
Für mich hat deshalb der Beitrag von J Herbrich zur Entscheidung / Lösung beigetragen: Man kann sich nicht sicher darauf verlassen, dass es mit dummen Switches funktioniert, deshalb habe ich mich entschieden auf eindeutig 802.1q-fähige Switches umzustellen, wo erforderlich.
Gruß,
Colt Seavers
Moin,
Mein Einwand bezog sich darauf das er gerade das nicht schrieb:
Zitat von @Herbrich19:
Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.
Bei einigen Geräten kann man Glück haben aber die meisten sagen das Ethernet Frame ist felerhaft und verwerfen es einfach. Also ich würde VLAN fähige Switche verwenden.
Meiner Meinung nach suggerierte diese Aussage das man "dumme", nicht managebare Switche einsetzen kann ohne Sorge zu haben das die VLAN Pakete irgendwo landen. Sie würden normalerweise einfach verworfen.
Da aber gerade dies nicht zutrifft, sondern sie normalerweise weitergeleitet werden, mein Einwand auf diese Formulierung seitens Herbrich
Und soweit ich das verstand, ist das weiterleiten ja gerade unerwünscht.
Grüße
pelzfrucht
*lach* Was glaubst Du denn, wo z.B. Cisco seine Switches produziert?
Zeigt auch das der sehr beschränkte Horizont dieses Kommentars immer an den Billigst- oder Billiglinien aufhört und wo sich das Know How bewegt.Es gibt ja auch noch Netzwerke jenseits dieses beschränkten Horizonts, die mit Catalysten und anderen Premium Herstellern bestückt sind und hardwaretechnisch andere Innenleben haben. Sollte man als wirklicher Administrator eigentlich auch kennen wenn man sein Umfeld nicht nur im China- und Billigsektor sieht...Aber egal, das nur nebenbei....
Hallo,
Man muss aber wohl unterscheiden zwischen China Billig Switchen und in China gefertigten Switchen eines Herstellers wie Cisco.
Bei einem Cisco Switch steckt eine ganze Menge an Entwicklung, technischem Design und know how in Gerät... bei den billig Switchen ist Hardware oft nur zusammengeschustert.. und die Software dazu ist mit der heissen Nadel gehäkelt.
Es gibt für beides Einsatzzwecke.
Im Haushalt oder kleinen Umfeld kann man die preiswerten Geräte unbedenklich einsetzen... bei Anforderungen wie Redundanz oder Performance würde ich mit einem China Billig Switch schlecht schlafen.
Brammer
Man muss aber wohl unterscheiden zwischen China Billig Switchen und in China gefertigten Switchen eines Herstellers wie Cisco.
Bei einem Cisco Switch steckt eine ganze Menge an Entwicklung, technischem Design und know how in Gerät... bei den billig Switchen ist Hardware oft nur zusammengeschustert.. und die Software dazu ist mit der heissen Nadel gehäkelt.
Es gibt für beides Einsatzzwecke.
Im Haushalt oder kleinen Umfeld kann man die preiswerten Geräte unbedenklich einsetzen... bei Anforderungen wie Redundanz oder Performance würde ich mit einem China Billig Switch schlecht schlafen.
Brammer
wahrscheinlich können das "wirkliche Administratoren".
Es ging lediglich darum aufzuzeigen das kommerzielle bzw. skalierbare und verlässliche Netz Infrastrukturen eben nicht auf China- oder Billigprodukten basieren die einen vollkommen andere Zielclientel bedienen.Deine Einstellung wäre bei Infrastrukturen im kommerziellen RZ Bereich, medizinischen Bereich, der Verkehrs- oder Sicherheitstechnik oder in industrieller Produktion sicher vollkommen fehl am Platze.
Leider kam dieser Punkt in deinem Feedback gar nicht vor was den Schluss zulässt das dir Erfahrungen dort schlicht fehlen. Nichtmal die Internet Infrastruktur oder die von Hostern basiert auf solcher Hardware, geschweige denn Netze der oben genannten Art. Es gibt eben hier auch ein Gros an Administratoren die andere Netze managen mit eben ganz anderen Anforderungsprofilen als den deinen. Genau um den "Horizont" ging es und nichts anderes.
Kollege brammer hat ja schon alles zu dem Thema gesagt....