tommy536
Goto Top

Network Switch mit Uplink Port?

Hey Leute,

ich hoffe, dass ich hier richtig bin.

Kurz zu meiner Situation. Unser Unternehmen teilt sich in drei Bereiche auf. Es wird eine gemeinsame Internetzuleitung genutzt. Bei einer Company kommt das Signal an und ein Switch/Router verteilt dieses auf mehrere Stockwerke. Soweit so gut. Bei uns auf dem Stockwerk ist ein herkömmlicher unmanaged Switch im Einsatz der das Internet auf dem Stockwerk verteilt.

Das Problem ist jedoch, dass nun die Stockwerke ihre eigene Netzwerke nutzen sollen. Am Hauptrouter können wir leider nichts machen. Von daher kam mir die Idee einen Switch dazwischen zu klemmen oder einen neuen anzuschaffen, der das Netzwerkkabel des Hauptstockwerkes als Uplink nutzt wie es ein Router tun würde. Es soll also eine Trennung der Netzwerke auf unserem Stockwerk stattfinden.

Was muss ein Switch dazu können? Ein Router wäre mit der Netzwerklast wohl völlig überfordert sodass das keine Option ist.

Bin gespannt auf euer Feedback!

Content-ID: 553733

Url: https://administrator.de/contentid/553733

Ausgedruckt am: 25.11.2024 um 11:11 Uhr

brammer
brammer 03.03.2020 um 11:03:18 Uhr
Goto Top
Hallo ,

Das sollte jeder managebare Layer 3 Switch können.

Allerdings sollte das jemand konzipierend er Ahnung von Netzwerken hat.

Das Stichwort für so einen Anwendungsfall ist VLAN

brammer
aqui
aqui 03.03.2020 aktualisiert um 14:01:34 Uhr
Goto Top
Von daher kam mir die Idee einen Switch dazwischen zu klemmen
Das ist auch der richtige Weg !
Du benötigst einen Routing fähigen Layer 3 Switch wie z.B. einen Cisco SG-250 oder SG-350 den du gegen den Switch ersetzt der bei der Company steht wo die Internet Einführung ist.
Dann unterteilst du die Firmennetze in VLANs und fertig ist der Lack.
Wie man sowas genau macht erklärt dir dieser Thread inklusive einer Topologie Skizze:
Verständnissproblem Routing mit SG300-28

Das o.a. Design mit einem L3 Switch geht davon aus das es eine Kommunikation der Company Netze untereinander gibt. Willst du das nicht und sollte es eine strikte Trennung geben mit lediglich gemeinsamer Nutzung von Druckern usw. ist es ggf. besser dann hinter dem bestehenden Router eine Firewall zu setzen die dann dieses Company VLAN Netze strikter trennt.
Das würde dann so aussehen wie es dir das hiesige VLAN Tutorial am Beispiel einer einfachen Layer 2 VLAN Vernetzung zeigt mit der populären pfSense Firewall:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dafür reichen dann einfache Layer 2 VLAN Switches die nicht routen müssen wie Cisco SG-220, Zyxel GS1200, TP-Link
usw.
Beide Designs hätte auch den Vorteil das du die derzeit bestehende 3 Company Bereichs Vernetzung mit den derzeit verwendeten unmanged Switches einfach weiterverwenden kannst.
Letztlich ein sehr simples Design was mit ein wenig Hardware Aufwand in max. 30 Minuten umgesetzt ist .
So sähe z.B. ein dafür sinnvolles Konzept aus mit der Firewall Alternative:

compnetz

(Mit einem Layer 3 (Routing) Switch würde die Firewall oben komplett entfallen und der Switch müsste dann zwingen Layer 3 fähig sein in dieser Variante.
Wichtig ist aber das dieser Switch dann zusätzlich ein IP Access Listen Feature supportet, da er dann auch für die Trennung der Company VLANs zuständig ist was im ersten Konzept die Firewall erledigt !)

Du solltest auf dem Radar haben das du, egal welches Design du umsetzt, die 3 Company Netze in eigene IP Netze legen musst wie im obigen Beispiel !
Mit einem DHCP Server in den einzelnen Netzen (macht die pfSense Firewall) ist das aber im Handumdrehen erledigt.
tommy536
tommy536 03.03.2020 um 12:40:00 Uhr
Goto Top
Vielen Dank für eure Antworten bisher!

Es ist so, dass es eine strikte Trennung geben soll. Es darf quasi keine Kommunikation zwischen den Companies geben - auch nicht für Drucker. Witzig an der Sache, genau der Drucker war das Problem. Es wurde etwas sensibles auf einem Drucker gedruckt der auf einem anderen Stockwerk steht. Diese IT ist halt schon recht alt...

Was leider auch nicht geht. Dort wo Internet vom Amt her anliegt kann kein Tausch der Hardware erfolgen. Ich muss quasi in meinem Stockwerk bleiben... so umständlich das ist.

Das heißt, der Switch soll das Internet LAN Signal kommend vom Main-Floor nutzen aber auf unserem Stockwerk ein eigenes getrenntes Netz aufbauen. Stellt sich dann natürlich auch die Frage, wie das mit dem DHCP dann ist. Aktuell wird wohl der DHCP vom Main-Floor genutzt. Was aber zumindest schon gemacht wird ist, dass jedes Stockwerk seine IP Range nutzt - so scheint es zumindest.
aqui
aqui 03.03.2020 aktualisiert um 13:57:54 Uhr
Goto Top
Es ist so, dass es eine strikte Trennung geben soll.
Dann ist das o.a. Firewall Design oder ein Layer 3 Routing Switch mit Accesslisten Feature für dich Pflicht !
Mit Firewall reicht ein Layer 2 only VLAN Switch !!
Mit einem Layer 3 Switch entfällt die Firewall komplett, das regeln dann die Access Listen auf dem Switch, deshalb ist es sehr wichtig das Der Switch das supportet sofern du dich für die Layer 3 Switch Variante entscheidest.
Mit L3 Switch ist der HW Aufwand geringer aber geringfügig mehr Konfig Aufwand beim Implementieren der Accesslisten welche die Kommunikation der Company Netze unterbinden.
Such dir das für dich Schönste aus !
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
https://www.varia-store.com/de/produkt/64473-pc-engines-apu4d2-bundle-bo ...
https://www.amazon.de/Cisco-SG250-08-Ports-Netzwerk-Switch-Schwarz/dp/B0 ...
Dort wo Internet vom Amt her anliegt kann kein Tausch der Hardware erfolgen.
Das ist auch kein Problem, dann "verlängerst" du halt den Anschluss des dortigen Internet Routers dorthin wo die Firewall und VLAN Switch steht oder positionierst die Firewall und VLAN Switch dort, gehst mit einem Kabel zu dem dort bestehenden untauschbaren Switch und zu den anderen zwei.
Das ist letzlich das allerkleinste Problem wie du das verkabelst und wo die Komponenten stehen. Solange du genug Patchkabel hast ist das kein Problem.
Die Skizze sagt mehr als 1000 Worte wie es auszusehen hat !
brammer
brammer 03.03.2020 um 13:13:45 Uhr
Goto Top
Hallo,

Das heißt, der Switch soll das Internet LAN Signal kommend vom Main-Floor nutzen aber auf unserem Stockwerk ein eigenes getrenntes Netz > aufbauen. Stellt sich dann natürlich auch die Frage, wie das mit dem DHCP dann ist. Aktuell wird wohl der DHCP vom Main-Floor genutzt. Was > aber zumindest schon gemacht wird ist, dass jedes Stockwerk seine IP Range nutzt - so scheint es zumindest.

Das kann der Layer 3 Switch pro VLAN direkt mit erledigen. oder man lässt den DHCP auf der Firewall/ Router und leitet die die DHCP Anfragen vom Switch an den Router weiter (DHCP Relay)

brammer
tommy536
tommy536 03.03.2020 um 15:19:10 Uhr
Goto Top
Ok, danke! Ich höre hier oft VLAN. Ein VLAN werde ich jedoch nicht einsetzen können da ich weder an den Hauptrouter noch an eine Firewall komme. Ich kann wirklich nur das bestehende CAT Kabel nutzen und mehr nicht. Deswegen eben die Idee unser Netzwerk zumindest eigenständig aufzuziehen. Mir ist bewusst, dass das ohne eigene Firewall nicht sicher genug ist.

Oder wäre für diesen Umstand ein normaler Router die bessere Variante?
brammer
brammer 03.03.2020 um 16:01:19 Uhr
Goto Top
Hallo,

wenn man das physikalisch komplett trennt und eine eigene Struktur aufbaut dann kann das was werden.

Aber, davon würde ich die Finger lassen, irgendwann kommst du wieder auf den Hauptswitch.
Wieso kannst du das nicht machen?
Darfst du nicht? Dann lass die Finger davon...
Hast du das know how nicht? Dann lass die Finger davon...
Will das keiner bezahlen? Dann lass die Finger davon ....

brammer
aqui
aqui 03.03.2020 aktualisiert um 17:34:16 Uhr
Goto Top
da ich weder an den Hauptrouter noch an eine Firewall komme.
Sorry, aber aus der Antwort kann man hier nur schliessen das du den ganzen Thread nicht verstanden, geschweige denn durchdrungen hast !!
Du musst auch NICHT an den Router oder an irgendeine Firewall !!!
Du musst eine neue Firewall beschaffen und einen L2 VLAN Switch oder... alternativ NUR einen Layer 3 (Routing) Switch beschaffen und den zusätzlich in das Netzwerk bringen !!
Wie willst du denn sonst das Netzwerk in die 3 getrennten IP Einzelnetze segmentieren ??
Wenn es schon an solch banalen Dingen scheitert das du einfachste Konzepte zur Umsetzung solch Netz Segmentierung und das sogar mit bunten Bildern nicht verstehst, dann kann man auch nur dem Kollegen @brammer oben beipflichten !
Dann lass die Finger davon und hole dir Hilfe von jemanden der versteht was ein Netzwerk ist und der weiss was er da macht ! Oder lass es ganz sein wenn du obendrein kein Budget hast.

Minimalste Kosten wären ein kleiner preiswerter 60 Euro Layer 3, Gigabit Switch mit Firewall Funktion um die 3 Netze zu trennen:
https://www.varia-store.com/de/produkt/36790-mikrotik-routerboard-hex-mi ...
Das wäre das absolute Minimum das schnell und einfach zu realisieren OHNE das andere, bestehende Geräte für angefasst werden müssen.
Wenn du nichtmal so ein Portokosten Budget hast dann lass es besser.
Damit wäre der Thread dann aber auch komplett sinnfrei hier. face-sad
tommy536
tommy536 04.03.2020, aktualisiert am 21.04.2022 um 15:22:08 Uhr
Goto Top
Nun, ja es ist so, ich bin in Sachen Netzwerk eher ein Anfänger und im Heimbereich unterwegs. Das soll sich jedoch eben ändern und ich hoffte auf Hilfe in diesem Forum. Ich gehe aber auch davon aus, dass mein Problem nicht ganz verstanden wurde. Daher hier eine Skizze des aktuellen Setups.

network

An die Hardware der roten Bereiche komme ich nicht heran - zumindest noch nicht. Auch Budget ist kein Thema. Daher die Eingangsfrage, welche Hardware mir hier am besten weiterhilft um das Netzwerksignal vom Mittelgeschoss nutzen zu können das Untergeschoss aber dennoch eigenständig zu bekommen. Wenn das gar nicht geht, dann ist das so. Ich gehe davon aus, dass der DHCP des Mittelgeschoss Routers hier Probleme machen wird.

Ja, dieses Setup entspricht nicht mehr dem heutigen Stand. Hier war wohl lange Zeit die Denke - funktioniert doch so... Durch dieses Setup ist es mir auch nicht möglich VPN zu nutzen um eine Fernwartung durchzuführen. Das bringt dieses Setup halt mit sich und muss ich erst mal so hinnehmen.
aqui
aqui 04.03.2020 aktualisiert um 12:06:05 Uhr
Goto Top
An die Hardware der roten Bereiche komme ich nicht heran - zumindest noch nicht.
Mit anderen Worten: Du kommst nirgendwo ran !?!
Dann kannst du alles gleich vergessen.....keine Chance.
  • Du musst die IP Netze segmentieren in 3 IP Bereiche
  • Du brauchst zusätzlich einen kleinen Layer 3 Switch wie den o.a. Mikrotik denn du zw. bestehendem Internet Router und den 3 bestehenden Geschoss Switches schalten musst.
Diese 3 minimalsten ToDos bedeuten aber das du die Infrastruktur zwar nur ein kleines bisschen anfassen musst aber du musst sie anfassen.
Nach dem Motto: Wasch mich aber mach mich nicht naß oder mit bloßem Handauflegen wird das logischerweise nichts, da hast du wohl etwas zu laienhafte Heimuser Vorstellungen.
Der Aufwand ist nicht groß, max. eine halbe Stunde Umbau aber du musst schon etwas umbauen auch wenn es nur ein klein wenig ist.
Generell bist du mit der Segmentierung der Netze ja auf einem richtigen und auch notwendigen Weg !

So sähe es aus wenn es einem modernen Stand entspricht und wen man die bestehenden Komponenten beibehalten möchte:

zeichnung2

Noch besser vom Design und Funktion wäre es natürlich den Layer 3 Switch gleich in das Mittelgeschoss zu integrieren und damit den dortigen Switch zu erstzen:

zeichnung2

Vom Design her ist die 2te Option technisch die bessere. Bedeutet aber dann den Tausch des Mittelgeschoss Switches gegen eine L3 Variante.
Den getauschten Switch kann man dann gegen die ungemangete Gurke im Untergeschoss ersetzen so das man dann auch 3 managebare Switches bekommt.
Wie das dann alles in der Praxis zu machen ist steht HIER. Sogar mit bunten Bildern für Heimanwender !

Mehr Silbertablett geht über ein Forum nicht. Jetzt bist DU am Zug und musst "machen" ! face-wink