Neubau - Einrichtung Netzwerk bzw. Nutzung von VLAN sinnvoll?

Mitglied: sunny-ww

sunny-ww (Level 1) - Jetzt verbinden

09.12.2015, aktualisiert 13:46 Uhr, 2774 Aufrufe, 11 Kommentare

Guten Tag liebe Community,

folgende Fragestellung stellt sich bei meinem Neubau.
Vorab - die Mittel sind wie bei jedem begrenzt, daher kommt die Einrichtung durch einen Netzwerkspezialisten leider nicht in Frage, ich bin froh, dass meine Regierung mir wenigstens die Gerätschaften in der vorliegenden Form genehmigt hat ;)

vorhandene Ausstattung:
- Securepoint Firewall (bereits vorhanden)
- Server DELL T20 (bereits vorhanden)
- 2x Synology NAS für die Datensicherung (bereits vorhanden)
- 2x Laptops (bereits vorhanden)
- Tablets, Handys etc. verbunden per WLan

geplante Ausstattung:
- D-Link Switch 48-Port
- D-Link Switch 28-Port PoE
- Telefonanlage AGFEO VoIP
- 2x DECT-Basisstationen, sollen per PoE angebunden werden
- 2x W-Lan Accesspoints angebunden per PoE
- 3x Systemtelefone Agfeo per PoE
- 4x Handapperate über Basis-Station eingebunden
- Alarmanlage mit benötigtem Netzwerkzugriff und Alarmfunktion über Telefonanlage
- Hausautomation über KNX-Server
- Klingel mit Videofunktionalität -> Anbindung per Netzwerk und benötigter Zugriff auf Telefonanalge zum Öffnen der Türe

Netzwerkanschlüsse etc. sind nicht von Relevanz - hier hatte ich zum Glück freie Hand und konnte die Räume "zukunftssicher" ausstatten.



Mein derzeitiges Problem was mich umtreibt ist, dass wenn alles in einem Netzwerk liegt und mir jemand etwas böses möchte er relativ problemlos auf die Alarmanlage / Telefonanlage zugreifen kann und Unfug machen kann.
Mein Plan war daher, dass ich alles mit VLANs trenne - also quasi für jedes Anwendungsgebiet ein eigenes VLAN einrichte

Mein Plan zum Aufbau der VLANs war wie folgt:
4c995b8023a6617cd6e7952ed87c6bb8 - Klicke auf das Bild, um es zu vergrößern

Es fällt mir jetzt nur schwer, die VLANs hinsichtlich des Zugriffs richtig aufzuteilen, weil ja doch irgendwie alle Komponenten aufeinander Zugriff benötigen.

Eine erste Übersicht habe ich mir wie folgt zusammengestellt:
48Port-Switch:
e180dbd27795c95ea46bb7f0d05b814e - Klicke auf das Bild, um es zu vergrößern

PoE-Switch:
232a4e0b049d906e87924426db545ec3 - Klicke auf das Bild, um es zu vergrößern


Was ich jetzt geistig nicht "geregelt" bekomme ist, ob das alles so überhaupt machbar ist?
Das "Problem" ist, dass z.B. die Alarmanlage aufgrund der Telefon-Alarm-Funktion Zugriff auf die Telefonanlage benötigt.
Auf die Telefonanlage muss ich für die Konfiguration zugreifen - gut hierzu könnte man auch einfach kurz den entsprechenden Netzwerkport ändern.
Auf den KNX-Server muss ich per WLan und per Netzwerk zugreifen können, damit ich bei Bedarf mit dem Tablet Einstellungen vornehmen kann bzw. per VPN zugreifen kann um Heizung aufzudrehen, etc.
Die Klingel mit Videofunktion muss sowohl auf den KNX-Server zugreifen können (um die Türe zu öffnen), wie auch auf die Telefonie, da über das Telefon die Türen geöffnet werden können bzw. über die Systemtelefone das Videosignal abgegriffen wird.
Die hier angegebenen IPs bitte nicht berücksichtigen - sind noch von der "alles in einem Netzwerk-Lösung".

Was würdet ihr mir empfehlen, oder gibt es für meine Konstellation eine ganz andere Lösung, an die ich überhaupt noch nicht gedacht habe?

Weiterhin stellt sich mir noch die (Verständnis)Frage:
ich kann am vorhandenen RC100 nur 3 Netzwerkschnittstellen für das VLAN nutzen (eth1-eth3, eth0 geht zum Modem). Gibt es trotzdem die Möglichkeit weitere VLANs einzubinden?
Bisher bin ich von der untagged-Methode ausgegangen, bei welcher jeder Port fest in ein VLAN zugewiesen wird.
Wie müsste ich es anstellen, dass ich zwar auf den beiden Switch (welche ich per Uplink verbinden würde) z.B. 8 VLANs betreiben kann, ich aber alle 8 auf dem RC100 administrieren kann -> oder geht das mit meiner Hardware nicht und ich muss mich auf 3 VLANs beschränken?


Um das ganze nicht zu erschweren habe ich mein Gewerbe nicht extra berücksichtigt, da ich dies bisher in meiner Domäne über die jeweiligen Freigaben der Benutzer geregelt habe und das bisher auch ohne Probleme funktioniert hat.
Die Kids wollen eh nur auf den Multimedia-Teil Zugriff, der Rest interessiert die gar nicht :) face-smile

Wäre über Ratschläge dankbar!
Mitglied: michi1983
09.12.2015 um 12:36 Uhr
Hallo,

du weißt aber, dass dies keine VLAN Trennung ist was du hier vorgesehen hast?
Bei dir befindet sich ja trotzdem alles in einem Netz!

10.10.10.0/24
10.10.20.0/24
10.10.30.0/24
10.10.40.0/24

wäre z.B. eine funktionsfähige Aufteilung der VLANs.

Gruß
Bitte warten ..
Mitglied: sunny-ww
09.12.2015 um 12:37 Uhr
ah sorry - die IPs nehme ich raus, die haben da nix mehr verloren.
Die sind noch von der "alles in einem Netzwerk-Lösung" übriggeblieben ;)
Bitte warten ..
Mitglied: noizede
09.12.2015 um 13:05 Uhr
Hallo!

Ich kann dir leider auch nur eine Laien-Anwort geben, aber stand vor 12 Monaten vor dem gleichen Thema.

Ich habe mich damals auch für Vlans entschieden, aber der ursprüngliche Plan hat sich mehrfach geändert (aus gleichen Gründen wir bei dir oben, auf einmal muss doch das eine Vlan auf das Andere zugreifen -> Vlan Wlan auf das Smart Home Vlan, etc.). Trotzdem würde ich es wieder so machen.

Vorteile sind bis jetzt für mich eine klare Struktur und Ordnung an Rechten und Möglichkeiten (z.B.: Arbeitslaptop darf nicht auf bestimmte Vlans wie Haussteuerung, IpCam Vlan darf nur auf die Synology sonst nichts, etc.).

Aktuelle Vlans bei mir:
- SichereClients
- ArbeitsClients
- Wlan Intern
- Wlan Gäste
- Haussteuerung
- BackupNAS
- IPCams

Damit klappt es ganz gut.

Super war der Forums Input zur Verwendung der pfSense als Firewall/Router/Load Balancer (auch wenn ich bis heute immer wieder mit Kleinigkeiten kämpfe).

Vielleicht hilft dir das weiter... link zu meiner damaligen Planung: https://www.administrator.de/forum/einfamilienhaus-planung-teil2-skizze- ...

liebe Grüße noizede
Bitte warten ..
Mitglied: sunny-ww
09.12.2015 um 13:34 Uhr
danke für den Beitrag!
Ergibt sich meinerseits nur die Frage (habe ich oben ergänzt) wie du das mit den vielen VLANs geregelt hast? ich habe an meinem RC100 nur 3 Ethernet-Schnittstellen zur Verfügung, sodass ich dort wohl nur 3 VLANs einrichten und per Firewall administrieren kann.

Geht dies mit meiner Hardware überhaupt?
Bitte warten ..
Mitglied: michi1983
09.12.2015 um 13:42 Uhr
Zitat von @sunny-ww:

danke für den Beitrag!
Ergibt sich meinerseits nur die Frage (habe ich oben ergänzt) wie du das mit den vielen VLANs geregelt hast? ich habe an meinem RC100 nur 3 Ethernet-Schnittstellen zur Verfügung, sodass ich dort wohl nur 3 VLANs einrichten und per Firewall administrieren kann.
Und? Du kannst auf der RC so viele VLANS anlegen wie es die Hard- und Software zulässt.
Max. 4094 VLANs per Interface in deinem Fall.

Du brauchst halt danach einen Switch der ebenso mit VLANs umgehen kann.

Gruß
Bitte warten ..
Mitglied: sunny-ww
09.12.2015 um 13:45 Uhr
gut - dann wäre das schon mal geklärt.
Die beiden Switche können definitiv mit VLANs umgehen.

Mich hat in den Zusammenhang nur verwirrt, dass in allen Anleitungen immer nur maximal 2-3 VLANs angelegt worden sind aber nie mehr.
Bitte warten ..
Mitglied: michi1983
09.12.2015 um 13:49 Uhr
Zitat von @sunny-ww:
Mich hat in den Zusammenhang nur verwirrt, dass in allen Anleitungen immer nur maximal 2-3 VLANs angelegt worden sind aber nie mehr.
Dann hat das Szenario einfach nicht mehr benötigt ;-) face-wink
Bitte warten ..
Mitglied: sunny-ww
09.12.2015 um 15:22 Uhr
waren halt Konfigurationsbeispiele, teilweise vom Hersteller selbst ;)
Bitte warten ..
Mitglied: sunny-ww
12.12.2015 um 09:07 Uhr
Keiner mehr einen Tipp?
Bitte warten ..
Mitglied: sunny-ww
17.12.2015 um 08:39 Uhr
hat die Thematik so niemand bei sich daheim realisiert und kann mir noch weitere Tipps hinsichtlich der VLAN-Aufteilung geben?
Bitte warten ..
Mitglied: sunny-ww
04.02.2016 um 15:17 Uhr
niemand?
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless42 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 1 TagFrageWeiterbildung7 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...

Windows 10
Dokumentenanzeige auf 2.Bildschirm
gelöst Rico.lehmann93Vor 1 TagFrageWindows 107 Kommentare

Hey Leute, ein Kunde von uns sucht eine Möglichkeit Mietverträge dem Kunden auf einem Bildschirm anzeigen zu lassen. Auf dem Bildschirm soll aber wirklich ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 1 TagFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Windows Server
Zwei Netzwerkkarten im Server
gelöst Big.TurboladerVor 1 TagFrageWindows Server4 Kommentare

Hallo allerseits, ich habe ein Windows Server 2016 in einer VM erstellt um mein Wissen zu erweitern. Doch jetzt hänge ich an einem Problem ...