15
Router für Schulnetz
Hallo,
wir planen aktuell unsere WLAN Netzwerkinfrastruktur zu erweitern.
Dazu würden wir ganz gerne Accesspoints aus der Ubiquiti Unifi AC Reihe einsetzen.
Auch das Backbone dahinter sollte dafür geeignet sein.
Jetzt sehe ich allerdings folgendes Problem:
Wir haben einen 100Mbit/s Anschluss, an dem eine FritzBox hängt.
Dahinter hängt ein TP-Link N600 Router auf dem auch der DHCP Server läuft.
Wir sind ca. 700 Schüler auf der Schule. Wenn man jetzt annimmt, dass flächendeckend WLAN verfügbar wäre,
wobei 450 Schüler ein mobiles Endgerät mit sich führen, was sich im WLAN anmeldet.
Da das Smartphone auf dem Gelände nur nach Absprache mit einer Lehrperson zum Beispiel im Unterricht zur Recherche verwendet werden darf, kann man davon ausgehen, dass maximal 120 Clients gleichzeitig mit dem Internet kommunizieren wollen + das Übliche was Handys im Hintergrund machen: Private Daten an die Analytics Server von Facebook/Whatsapp senden oder Notifications empfangen.
Jetzt frage ich mich allerdings, ob der TP-Link N600 für die "Masse" an Geräten überhaupt ausgelegt ist bzw. ob der das schafft. Aktuell sind ca. 50 Geräte aktiv im Netz.
Falls nicht, was könntet ihr da an Hardware empfehlen? Sollte wenn Möglich nicht zu teuer werden.
Den DHCP Server könnten wir prinzipiell auf ein anderen Server auslagern, das wäre notfalls kein Problem, aber reicht der um die Anzahl der Clients mit Internet zu versorgen?
Internen Traffic sollte eig der Managed L2 Switch der sich davor befindet abfangen, sprich damit sollte der Router etwas entlastet werden
wir planen aktuell unsere WLAN Netzwerkinfrastruktur zu erweitern.
Dazu würden wir ganz gerne Accesspoints aus der Ubiquiti Unifi AC Reihe einsetzen.
Auch das Backbone dahinter sollte dafür geeignet sein.
Jetzt sehe ich allerdings folgendes Problem:
Wir haben einen 100Mbit/s Anschluss, an dem eine FritzBox hängt.
Dahinter hängt ein TP-Link N600 Router auf dem auch der DHCP Server läuft.
Wir sind ca. 700 Schüler auf der Schule. Wenn man jetzt annimmt, dass flächendeckend WLAN verfügbar wäre,
wobei 450 Schüler ein mobiles Endgerät mit sich führen, was sich im WLAN anmeldet.
Da das Smartphone auf dem Gelände nur nach Absprache mit einer Lehrperson zum Beispiel im Unterricht zur Recherche verwendet werden darf, kann man davon ausgehen, dass maximal 120 Clients gleichzeitig mit dem Internet kommunizieren wollen + das Übliche was Handys im Hintergrund machen: Private Daten an die Analytics Server von Facebook/Whatsapp senden oder Notifications empfangen.
Jetzt frage ich mich allerdings, ob der TP-Link N600 für die "Masse" an Geräten überhaupt ausgelegt ist bzw. ob der das schafft. Aktuell sind ca. 50 Geräte aktiv im Netz.
Falls nicht, was könntet ihr da an Hardware empfehlen? Sollte wenn Möglich nicht zu teuer werden.
Den DHCP Server könnten wir prinzipiell auf ein anderen Server auslagern, das wäre notfalls kein Problem, aber reicht der um die Anzahl der Clients mit Internet zu versorgen?
Internen Traffic sollte eig der Managed L2 Switch der sich davor befindet abfangen, sprich damit sollte der Router etwas entlastet werden
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 341365
Url: https://administrator.de/contentid/341365
Printed on: April 19, 2024 at 20:04 o'clock
15 Comments
Latest comment
Hi
Nimm einen vernünftigen Router und ein Modem.
z. B. eine pfSense. Ausstattunsgsmässig wirst du sicherlich einiges an Leistung benötigen (4 Core, 8GB Ram, SSD..), insbesondere wenn du noch Traffic Filtern möchtest. Du kannst natürlich auch einen Ordentlichen Unifi Router kaufen. Ganz wie du willst.
Am besten du wendest dich an das Systemhaus deines Vertrauens, denn ein Schulnetzwerk mit 400+ Clients ist nicht ohne..
Schließlich soll es ja auch Funktionieren und Sicher sein?
Gruss PPR
Da das Smartphone auf dem Gelände nur nach Absprache mit einer Lehrperson zum Beispiel im Unterricht zur Recherche verwendet werden darf, kann man davon ausgehen, dass maximal 120 Clients gleichzeitig mit dem Internet kommunizieren wollen
Du denkst das Schüler ihre Handys in der Tasche lassen? ;)Jetzt frage ich mich allerdings, ob der TP-Link N600 für die "Masse" an Geräten überhaupt ausgelegt ist bzw. ob der das schafft.
Der TP-Link wird ganz sicher an seine Grenzen kommen bei 450 Nutzern..Nimm einen vernünftigen Router und ein Modem.
z. B. eine pfSense. Ausstattunsgsmässig wirst du sicherlich einiges an Leistung benötigen (4 Core, 8GB Ram, SSD..), insbesondere wenn du noch Traffic Filtern möchtest. Du kannst natürlich auch einen Ordentlichen Unifi Router kaufen. Ganz wie du willst.
Am besten du wendest dich an das Systemhaus deines Vertrauens, denn ein Schulnetzwerk mit 400+ Clients ist nicht ohne..
Schließlich soll es ja auch Funktionieren und Sicher sein?
Gruss PPR
Du meinst sicher die Unifi Secure Gateways oder?
Reicht da wohl ein normales Secure Gateway oder sollte das schon ein Secure Gateway Pro sein?
Wir haben hier auch noch einen ausgemussterten Server rumfliegen. Der hat ne Pentium mit 4 Kernen a 2,4Ghz (weiß das Modell gerade nicht) und 4GB RAM. RAM könnte man aufrüsten, aber ich weiß nicht ob das reichen würde. Wäre natürlich kostengünstig, weil Hardware bereits vorhanden.
Reicht da wohl ein normales Secure Gateway oder sollte das schon ein Secure Gateway Pro sein?
Wir haben hier auch noch einen ausgemussterten Server rumfliegen. Der hat ne Pentium mit 4 Kernen a 2,4Ghz (weiß das Modell gerade nicht) und 4GB RAM. RAM könnte man aufrüsten, aber ich weiß nicht ob das reichen würde. Wäre natürlich kostengünstig, weil Hardware bereits vorhanden.
Hallo,
Du solltest vielleicht mal alle betroffenen Geräte auf ein Blatt Papier malen und hier rein stellen damit wir sehen können was da sonst noch alles zu beachten ist bzw. deinem WLAN Konzept ein beinschen stellen tut. Neben den Meterangaben zur Fläche, Gebäude arten, Baustoffe, Hindernisse, Gelände gegebenheiten, vorgesehene Montageorte der Acceess Points sollte auch das Budget angesprochen werden...
Gruß,
Peter
Zitat von @Waishon:
Dazu würden wir ganz gerne Accesspoints aus der Ubiquiti Unifi AC Reihe einsetzen.
Wegen derer Technik oder nur weil ihr davon gehört habt?Dazu würden wir ganz gerne Accesspoints aus der Ubiquiti Unifi AC Reihe einsetzen.
Auch das Backbone dahinter sollte dafür geeignet sein.
Wir kennen dein Backbone nicht und mit was ihr dort plant.Wir haben einen 100Mbit/s Anschluss, an dem eine FritzBox hängt.
Und ihr hofft das es reicht oder wisst ihr das es nicht reicht?Dahinter hängt ein TP-Link N600 Router auf dem auch der DHCP Server läuft.
Eine Routerkaskade? Warum das denn?Wir sind ca. 700 Schüler auf der Schule
Und wenn nun jeder einmal sein Smartphone/Notenbuch/usw. ins WLAN hängt, was macht dein dein DHCP?Wenn man jetzt annimmt, dass flächendeckend WLAN verfügbar wäre,
So soll und ist der Sinn von WLAN eines Campus.wobei 450 Schüler ein mobiles Endgerät mit sich führen, was sich im WLAN anmeldet.
Wer hat das gezählt bzw. Kontrolliert das?Da das Smartphone auf dem Gelände nur nach Absprache mit einer Lehrperson zum Beispiel im Unterricht zur Recherche verwendet werden darf,
Und deine Oma ist gerade erst 140 Jahre jung geworden kann man davon ausgehen, dass maximal 120 Clients gleichzeitig mit dem Internet kommunizieren wollen
eher 500 die wollen oder meinst du das jeder Schüler sein WLAN ausschaltet?Jetzt frage ich mich allerdings, ob der TP-Link N600 für die "Masse" an Geräten überhaupt ausgelegt ist bzw. ob der das schafft.
Eher nicht.Falls nicht, was könntet ihr da an Hardware empfehlen? Sollte wenn Möglich nicht zu teuer werden.
Wenns funktionieren soll, wird es nicht die billig Lösung sein.Den DHCP Server könnten wir prinzipiell auf ein anderen Server auslagern
Hab hier noch nichts von Server oder andere HW gelesen.das wäre notfalls kein Problem, aber reicht der um die Anzahl der Clients mit Internet zu versorgen?
Du redest doch nur von einem DHCP, was soll der also mit die Versorgung von Internet zu tun haben?Internen Traffic sollte eig der Managed L2 Switch der sich davor befindet abfangen, sprich damit sollte der Router etwas entlastet werden
Da ein L2 Switch nichts von IPs weiss, kann der nicht Routen und somit auch nicht dein Router entlasten. Ein Router routet (IPs ? Layer 3).Du solltest vielleicht mal alle betroffenen Geräte auf ein Blatt Papier malen und hier rein stellen damit wir sehen können was da sonst noch alles zu beachten ist bzw. deinem WLAN Konzept ein beinschen stellen tut. Neben den Meterangaben zur Fläche, Gebäude arten, Baustoffe, Hindernisse, Gelände gegebenheiten, vorgesehene Montageorte der Acceess Points sollte auch das Budget angesprochen werden...
Gruß,
Peter
Hallo Waishon,
Ich betreue auch ein Schulnetz in einer vergleichbaren Größe und verwende ca. 20 Unifi AP-ACs um das Gebäude mit WLAN abzudecken. Die Accesspoints sind relativ günstig zu haben (~500€ für 3 Stk.) und bieten für ein Schulnetz alle wesentlichen Funktionen:
- Hands-off Roaming
- VLANs
- mehrere SSIDs möglich
- robuste Bauweise
- POE-fähig
- Admin-Software gut gewartet und keine Folgekosten für Lizenz
Um diese Funktionen sinnvoll nutzen zu können, wirst du mit deiner Hardware nicht auskommen. Für die VLANs brauchst du zumindest einen Layer3-Switch, z.B. einen Cisco SG300, und eine Möglichkeit diese Netze zu routen und Inhalte zu filtern (z.B. Pfsense), einen DHCP Server und vor allem eine entsprechende Konfiguration, damit sich die SchülerInnen mit ihrem AD-Account auch am WLAN anmelden können bzw. schuleigene Geräte per Zertifikat automatisch angemeldet werden (NPS Server).
LG Martin
Ich betreue auch ein Schulnetz in einer vergleichbaren Größe und verwende ca. 20 Unifi AP-ACs um das Gebäude mit WLAN abzudecken. Die Accesspoints sind relativ günstig zu haben (~500€ für 3 Stk.) und bieten für ein Schulnetz alle wesentlichen Funktionen:
- Hands-off Roaming
- VLANs
- mehrere SSIDs möglich
- robuste Bauweise
- POE-fähig
- Admin-Software gut gewartet und keine Folgekosten für Lizenz
Um diese Funktionen sinnvoll nutzen zu können, wirst du mit deiner Hardware nicht auskommen. Für die VLANs brauchst du zumindest einen Layer3-Switch, z.B. einen Cisco SG300, und eine Möglichkeit diese Netze zu routen und Inhalte zu filtern (z.B. Pfsense), einen DHCP Server und vor allem eine entsprechende Konfiguration, damit sich die SchülerInnen mit ihrem AD-Account auch am WLAN anmelden können bzw. schuleigene Geräte per Zertifikat automatisch angemeldet werden (NPS Server).
LG Martin
Die Frage ist ja generell was diese unsinnige und eigentlich überflüssige Router Kaskade soll ??
Wenn, dann macht es in der Tat mehr Sinn die FB als reines Modem laufen zu lassen und dahinter dann eine entsprechend potente Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit hätte man entsprechende Filteroptionen was Content für Schüler anbetrifft, Sicherheitsregeln und kann per Segmentierung auch entsprechende Schüler / Lehrernetze einrichten. QoS Steuerung ebenfalls.
700 User oder 450 in einem dummen flachen Layer 2 Netz zu betreiben ist ja nun auch ziemlich kontraproduktiv.
Wie Kollege Pjordrf aber schon sagt klingt das im ersten Ansatz ziemlich planlos... Nur mit einem Router oder Firewall ist das ja nicht getan.
Fragt sich auch warum der TO den Thread nun selber auf gelöst geklickt hat ?? Ist er denn jetzt schon gelöst ?
Wenn, dann macht es in der Tat mehr Sinn die FB als reines Modem laufen zu lassen und dahinter dann eine entsprechend potente Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit hätte man entsprechende Filteroptionen was Content für Schüler anbetrifft, Sicherheitsregeln und kann per Segmentierung auch entsprechende Schüler / Lehrernetze einrichten. QoS Steuerung ebenfalls.
700 User oder 450 in einem dummen flachen Layer 2 Netz zu betreiben ist ja nun auch ziemlich kontraproduktiv.
Wie Kollege Pjordrf aber schon sagt klingt das im ersten Ansatz ziemlich planlos... Nur mit einem Router oder Firewall ist das ja nicht getan.
Fragt sich auch warum der TO den Thread nun selber auf gelöst geklickt hat ?? Ist er denn jetzt schon gelöst ?
Hallo
Für diese Umgebung würde ich einen 1HE Server mit dem Supermicro Mainboard A1SAM-2750F bauen mit 8GB Arbeitsspeicher. Ich würde keine alte Hardware nehmen wegen dem Stromverbrauch, Gewährleistung etc.
Darauf würde natürlich PFSense installiert auf eine SSD. Die Frage ist nur ob du das hochverfügbar haben willst, dann wären zwei gefordert.
Wie @aqui schon sagte, lass die Routerkaskade Vergangenheit sein. Die macht keinen Sinn. Nutze die Fritte höchstens als Modem.
Für die Abdeckung mit WLAN ist dir klar ein Systemhaus zu empfehlen, welche dein Campus ausmisst und die optimale Platzierung der APs vorschlägt. Die Unifis sind von der Preis/Leistung zu empfehlen.
Gruss
adminst
Für diese Umgebung würde ich einen 1HE Server mit dem Supermicro Mainboard A1SAM-2750F bauen mit 8GB Arbeitsspeicher. Ich würde keine alte Hardware nehmen wegen dem Stromverbrauch, Gewährleistung etc.
Darauf würde natürlich PFSense installiert auf eine SSD. Die Frage ist nur ob du das hochverfügbar haben willst, dann wären zwei gefordert.
Wie @aqui schon sagte, lass die Routerkaskade Vergangenheit sein. Die macht keinen Sinn. Nutze die Fritte höchstens als Modem.
Für die Abdeckung mit WLAN ist dir klar ein Systemhaus zu empfehlen, welche dein Campus ausmisst und die optimale Platzierung der APs vorschlägt. Die Unifis sind von der Preis/Leistung zu empfehlen.
Gruss
adminst
Zitat von @adminst:
Für die Abdeckung mit WLAN ist dir klar ein Systemhaus zu empfehlen, welche dein Campus ausmisst und die optimale Platzierung der APs vorschlägt. Die Unifis sind von der Preis/Leistung zu empfehlen.
Mit Sicherheit die wünschenswertere Lösung, aber aus Erfahrung kann ich sagen, dass das für eine öffentliche Schule unleistbar ist. In unserem Fall belief sich der entsprechende Kostenvoranschlag nach Messung auf 50.000€, was eine Umsetzung nur in vielen Stufen über mehrere Jahre hinweg erlaubt hätte. Einen Sommer lang einlesen, basteln und viel testen hat es letztlich um ca. 5000€ für Hardware umgesetzt...meine Arbeitszeit nicht eingerechnet...Für die Abdeckung mit WLAN ist dir klar ein Systemhaus zu empfehlen, welche dein Campus ausmisst und die optimale Platzierung der APs vorschlägt. Die Unifis sind von der Preis/Leistung zu empfehlen.
ist dir klar ein Systemhaus zu empfehlen, welche dein Campus ausmisst
Nein, daraus könnte man viel mehr machen und gleichzeitig Kosten sparen....Man nimmt aus der Computer AG 3 oder 4 talentierte Schüler, besorgt sich einen Demo AP und positioniert den an den Stellen wo man überhaupt WLAN APs in der Schule aufhängen kann, sprich dort wo Netzwerk Kabelinfrastruktur vorhanden ist. Oft kann man sich das ja nicht aussuchen da man keine grüne Wiese hat und Kabel nach Wahl legen kann.
Dann installiert man auf den Schüler Laptops einen WLAN Scanner wie WiFiView
http://www.nirsoft.net/utils/wifi_information_view.html
oder nutzt Smartphones mit WiFi Analyzer
https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer& ...
und drückt den Schülern eine einfache Kopie des Raumplans in die Hand.
Die laufen dann rum und notieren die RSSID Werte (Feldstärke) in den umliegenden Räumen wo der Wert unter -85 dbm sinkt und verbinden diese Punkte so das man quasi wie beim Wetterbericht eine "Isobaren" Karte der Feldstärke für die Räume bekommt.
Damit bekommen sie so eine super Ausleuchtung zustande und man kann, wenn möglich, die APs noch optimieren.
So hat man noch eine positive pädagogische und didaktische Aufgabe bei der die Schüler nochwas zu Physik und HF Wellen lernen können.
Außerdem ist davon auszugehen das sie das mit mehr Einsatz und Engagement machen als ein lustloser und schlecht ausgebildeter Dienstleister mit wenig WLAN Fachkenntniss den man obendrein noch weit überteuert bezahlen muss. (Siehe Preise oben !)
1
Danke erstmal für die vielen Antworten.
Ja der Ansatz klingt auch erstmal ziemlich planlos, dass ist richtig, deswegen Frage ich ja aixh, ob ihr Erfahrungen habt.
1. Ja Systemhäuser sind teuer und unbezahlbar.
2. Das wir ein Layer-3 Switch benötigen, wenn wir InterVLAN Routing machen wollen ist soweit klar. Danke für den Tipp mit dem Cisco SG-300.
Allerdings haben wir noch ein kleines Problem, vielleicht wisst ihr eine Lösung:
Wir nutzen bei uns im Schulnetz eine VDI Lösung, die relativ viel Bandbreite benötigt (30-50Mbit/s, Spice, falls es jemand etwas sagt). Die beiden Nodes, wo die VDIs drauf laufen haben wir mit einem Zyxel XGS2210 mit 10Gbit/s Uplink verbunden, das funktioniert auch wunderbar. Jetzt sollen die Schüler auch aus dem Schüler VLAN auch auf die Nodes zugreifen können, die sich im anderen VLAN befinden. Problem ist hier die Bandbreite. Nehmen wir einen Extremfall an, dann nutzen 30+ Schüler eine Verbindung zur VDI Lösung (von verschiedenen APs versteht sich). Diese Verbindung wird immer über eine Domain hergestellt, wie zum Beispiel "nods-01.domain.de" oder "node-02.domain.de". Jetzt war meine Idee, dass man einen Ubiquiti EdgeRouter ER-8 nutzt. Dann die beiden Nodes mit dem bereits vorhandenen Trunk dem Schüler VLAN hinzufügt. In dem Router könnte man dann einen DNS Rewrite machen, der die beiden Domains zu den internen IPs der Nodes im VLAN auflöst. Das hätte den Vorteil, dass das InterVLAN Routing vom EdgeRouter nicht völlig ausgelastet wird, wenn sich Schüler mit der VDI Lösung verbinden. Die Packetsize von "Spice" ist im Durchschnitt übrigens 300bytes, falls ihr das für die Forwarding Rate wissen wollt.
Ich bin für alternativen gerne offen, solange diese auch im selben Preisrahmen liegen (ca. 300€). Die PFSense Hardware sieht auch interessant aus, könntet ihr eine Empfehlen, die unseren Anforderungen bzw. genug Leistung hat um 1Gbit/s zu Routen?
3. Firewall regeln etc. könnte ich im EdgeRouter einstellen.
4. Die FritzBox könnte ich dann entsprechend als Modem einstellen und das PPPoE über den EdgeRouter durchführen. Gleichzeitig sollte der EdgeRouter deutlich mehr Clients schaffen als der blöde TP-Link.
5. Eine AD, wo jeder Schüler ein Benutzername und Passwort hat ist vorhanden. Da wollten wir dann RADIUS the Authentifizierung nutzen, wie du bereits sagtest.
Ja der Ansatz klingt auch erstmal ziemlich planlos, dass ist richtig, deswegen Frage ich ja aixh, ob ihr Erfahrungen habt.
1. Ja Systemhäuser sind teuer und unbezahlbar
.2. Das wir ein Layer-3 Switch benötigen, wenn wir InterVLAN Routing machen wollen ist soweit klar. Danke für den Tipp mit dem Cisco SG-300.
Allerdings haben wir noch ein kleines Problem, vielleicht wisst ihr eine Lösung:
Wir nutzen bei uns im Schulnetz eine VDI Lösung, die relativ viel Bandbreite benötigt (30-50Mbit/s, Spice, falls es jemand etwas sagt). Die beiden Nodes, wo die VDIs drauf laufen haben wir mit einem Zyxel XGS2210 mit 10Gbit/s Uplink verbunden, das funktioniert auch wunderbar. Jetzt sollen die Schüler auch aus dem Schüler VLAN auch auf die Nodes zugreifen können, die sich im anderen VLAN befinden. Problem ist hier die Bandbreite. Nehmen wir einen Extremfall an, dann nutzen 30+ Schüler eine Verbindung zur VDI Lösung (von verschiedenen APs versteht sich). Diese Verbindung wird immer über eine Domain hergestellt, wie zum Beispiel "nods-01.domain.de" oder "node-02.domain.de". Jetzt war meine Idee, dass man einen Ubiquiti EdgeRouter ER-8 nutzt. Dann die beiden Nodes mit dem bereits vorhandenen Trunk dem Schüler VLAN hinzufügt. In dem Router könnte man dann einen DNS Rewrite machen, der die beiden Domains zu den internen IPs der Nodes im VLAN auflöst. Das hätte den Vorteil, dass das InterVLAN Routing vom EdgeRouter nicht völlig ausgelastet wird, wenn sich Schüler mit der VDI Lösung verbinden. Die Packetsize von "Spice" ist im Durchschnitt übrigens 300bytes, falls ihr das für die Forwarding Rate wissen wollt.
Ich bin für alternativen gerne offen, solange diese auch im selben Preisrahmen liegen (ca. 300€). Die PFSense Hardware sieht auch interessant aus, könntet ihr eine Empfehlen, die unseren Anforderungen bzw. genug Leistung hat um 1Gbit/s zu Routen?
3. Firewall regeln etc. könnte ich im EdgeRouter einstellen.
4. Die FritzBox könnte ich dann entsprechend als Modem einstellen und das PPPoE über den EdgeRouter durchführen. Gleichzeitig sollte der EdgeRouter deutlich mehr Clients schaffen als der blöde TP-Link
.5. Eine AD, wo jeder Schüler ein Benutzername und Passwort hat ist vorhanden. Da wollten wir dann RADIUS the Authentifizierung nutzen, wie du bereits sagtest.
Hallo Waishon
Das vorgeschlagene Board kann das meistern, in Kombination mit 8 GB RAM. Mit einer Riserkarte kannst du auch eine 10Gbit NIC verbauen.
mit den 300€ wirst extrem knapp, dass du etwas findest.
Gruss
adminst
Das vorgeschlagene Board kann das meistern, in Kombination mit 8 GB RAM. Mit einer Riserkarte kannst du auch eine 10Gbit NIC verbauen.
mit den 300€ wirst extrem knapp, dass du etwas findest.
Gruss
adminst
Wozu einen überflüssigen Edge Router wenn man einen L3 Switch hat der zwischen den VLANs in Wirespeed routen kann.
Oder war das jetzt missverstanden mit dem SG-300 ??
Dein Grundproblem ist wohl eher NICHT die Kupfer Infrastruktur sondern das die Schüler per WLAN zugreifen.
Billige APs verkraften hier 15 bis allerhöchstens 20 Clients pro Zelle (AP). Bei einem unausgemessenen schlechten WLAN mit falscher oder fehlender Kanalplanung (4-kanaliger Abstand der Zellen mindestens) werden diese Werte erheblich schlechter.
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Oder war das jetzt missverstanden mit dem SG-300 ??
Dein Grundproblem ist wohl eher NICHT die Kupfer Infrastruktur sondern das die Schüler per WLAN zugreifen.
Billige APs verkraften hier 15 bis allerhöchstens 20 Clients pro Zelle (AP). Bei einem unausgemessenen schlechten WLAN mit falscher oder fehlender Kanalplanung (4-kanaliger Abstand der Zellen mindestens) werden diese Werte erheblich schlechter.
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Zitat von @aqui:
Wozu einen überflüssigen Edge Router wenn man einen L3 Switch hat der zwischen den VLANs in Wirespeed routen kann.
Oder war das jetzt missverstanden mit dem SG-300 ??
Wozu einen überflüssigen Edge Router wenn man einen L3 Switch hat der zwischen den VLANs in Wirespeed routen kann.
Oder war das jetzt missverstanden mit dem SG-300 ??
Ich habe mir den jetzt nochmal genauer angeschaut. Eigentlich erfüllt der voll unsere Anforderungen. Ist das richtig, der schafft ja 14.88 Mpps, sprich 2x1Gbit/s über LA zu routen sollte für den kein Problem sein, oder?
Dann wird das wohl unsere Wahl
Hast du denn zufällig auch eine Idee zum DNS Problem mit der Domain? Angenommen die Anwendung nutzt den Port 5555. Im TP-Link (192.168.5.254) ist ein Portforwarding auf den Server mit der IP 192.168.5.203, der sich im VLAN 1 (Default) befindet. Die Schüler wären dann im VLAN 20 (10.0.0.0/16) und ich würde im Cisco eine Rule anlegen, dass aus dem VLAN 20 der Server (192.168.5.203) erreichbar ist. Gleichzeitig setze ich den TP-Link als Default Gateway. Jetzt wollen sich die Schüler mit der VDI Lösung verbinden und rufen in der Anwendung "subdomain.domain.de" auf, die auf die IP unseres Internetanschlusses zeigt. Dies machen jetzt 2 Schüler gleichzeitig, die per LAN mit 1Gbit/s am Netz hängen. Im Cisco ist eine 2Gbit/s LA eingerichtet. Würden die Schüler jetzt direkt "192.168.5.203" im Adressfeld der Anwendung eingeben, so würden beide mit 1Gbit/s mit dem Server kommunizieren (Bsp. der Server hängt auch mit LA am Cisco). Was passiert jetzt aber, wenn die die Domain eingeben? Die DNS Anfrage gibt ja die externe IP des Anschlusses zurück, folglich wird jedlicher Traffic zum Default Gateway geschickt. Dieser hat aber nur ein 1Gbit/s Port. Folglich hätte jeder Client nur noch eine theoretische 500Mbit/s Verbindung zum Server. Und dies ist das Problem was ich anspreche. Oder ist der Cisco da so intelligent und merkt, dass es intern geroutet wird und übernimmt dies?
Wäre super, wenn mir das jemand beantworten könnte. Das ist aktuell unser Hauptproblem.
Würde man hinter den Cisco noch ein EdgeRouter bauen(TP-Link ersetzen), dann könnte man dort im NAT DNS Anfragen an "subdomain.domain.de" umleiten auf 192.168.5.203.
(Das ist jetzt nur ein Exemplarisches Beispiel
).Zum WLAN:
Jap das ist uns bewusst. Zählen die Ubiquiti Unifi Modelle denn zu den billig Geräten? Die sollten eigentlich mit 30 Clients zurecht kommen oder nicht? Wir haben hier auch einen Edimax AP, der geht bei 5 Clients in die Knie, ich weiß also was du meinst
Und weil oben einmal die Frage war: Ich mag den Unifi Controller, erfüllen unsere Anforderungen (Zero-Handoff, RADIUS) und man hat bisher fast gut gutes über die Modelle gehört
Hast du denn KEINEN Layer 3 Switch im Einsatz ??
Mit einem Layer 3 Switch brauchst du KEINEN extra Router.
Sie sind eher Mittelklasse, können aber mit den etablierten APs von Cisco, Ruckus usw. nicht konkurieren.
Die Infrastruktur "kennt" kein DNS und geht nur rein nach Mac Adressen (L2) oder IP Adressen (L3).
Oder du spielst eine alternative Firmware ein wie DD-WRT oder OpenWRT die das NAT (IP Adress Translation) abschaltbar macht.
Es ist doch vollkommen kontraproduktiv in internen Netzsegmenten NAT zu machen. Kein Netzwerker macht so einen Unsinn.
Da gehört ein transparenter Router hin wie z.B. ein Mikrotk 2011 etc. oder eben die TP Gurke mit anderer Firmware und abschlatbarem NAT wenns denn solch China Schrott sein muss.
Noch besser wäre ein L3 Switch.
Es kann also so sein..muss aber nicht. LAG Hashing ist immer Zufall, deshalb ist die Traffic Verteilung auf den LAGs niemals homogen... Altbekanntes Thema hier:
Cisco LAG-LACP an Synology RS3614xs+ Bonding Bandbreite zu niedrig
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat?
Du kannst aber den lokalen DNS Namen auch statisch in die Datei hosts oder lmhosts eintragen.
Das umgeht das Problem:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
DNS Namen kennt die Netzwerk Infrastruktur wie bereits erwähnt nicht !
Übrigens ist der Wireshark hier immer dein bester Freund
Performanter forwarden als der kann es kein anderes externes Gerät.
Mit UniFy machst du nichts falsch wenn du keine Hochleistungsanforderungen an dein WLAN hast !
Mit einem Layer 3 Switch brauchst du KEINEN extra Router.
Zählen die Ubiquiti Unifi Modelle denn zu den billig Geräten?
Nein, nicht den ganz billigen im Heim- und Consumer Bereich also sowas was beim Blödmarkt rumschwirrt.Sie sind eher Mittelklasse, können aber mit den etablierten APs von Cisco, Ruckus usw. nicht konkurieren.
Hast du denn zufällig auch eine Idee zum DNS Problem mit der Domain?
Das hat logischerweise NICHTS mit der Infrastruktur an sich zu tun sondern ist ein reines DNS Server Problem.Die Infrastruktur "kennt" kein DNS und geht nur rein nach Mac Adressen (L2) oder IP Adressen (L3).
Im TP-Link (192.168.5.254) ist ein Portforwarding auf den Server mit der
Daran kannst du sehen das dein Konzept erheblich an einer falschen Hardware krankt. Solche sinnfreien Klimmzüge musst du machen weil die TP Link Billiggurke vermutlich kein abschlatbares NAT hat und damit dann dort fehl am Platze ist.Oder du spielst eine alternative Firmware ein wie DD-WRT oder OpenWRT die das NAT (IP Adress Translation) abschaltbar macht.
Es ist doch vollkommen kontraproduktiv in internen Netzsegmenten NAT zu machen. Kein Netzwerker macht so einen Unsinn.
Da gehört ein transparenter Router hin wie z.B. ein Mikrotk 2011 etc. oder eben die TP Gurke mit anderer Firmware und abschlatbarem NAT wenns denn solch China Schrott sein muss.
Noch besser wäre ein L3 Switch.
im Adressfeld der Anwendung eingeben, so würden beide mit 1Gbit/s mit dem Server kommunizieren
Nein, das ist technischer Unsinn. Das passiert nur wenn das 802.3ad Hashing des Switch LAGs beiden unterschiedliche Ports zuweist. Ob das so ist hängt von deren Mac oder IP Adresse ab je nachdem wie du den Hash eingestellt hast.Es kann also so sein..muss aber nicht. LAG Hashing ist immer Zufall, deshalb ist die Traffic Verteilung auf den LAGs niemals homogen... Altbekanntes Thema hier:
Cisco LAG-LACP an Synology RS3614xs+ Bonding Bandbreite zu niedrig
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat?
Was passiert jetzt aber, wenn die die Domain eingeben?
Dann fragt deren Client den angegebenen DNS Server um eine IP dazu rauszubekommen. Klar, denn Namen gibt es im IP Forwarding nicht. Je nachdem welche IP das ist passiert dann wieder das oben Beschriebene.Die DNS Anfrage gibt ja die externe IP des Anschlusses zurück
Nicht wenn du einen richtig konfigurierten lokalen DNS Server betreibst. Bei einem popeligen Proxy DNS Server in einem Router natürlich ja, denn der reicht das ja nur weiter an den öffentlichen DNS und der kennt keine internen IPs.Du kannst aber den lokalen DNS Namen auch statisch in die Datei hosts oder lmhosts eintragen.
Das umgeht das Problem:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Oder ist der Cisco da so intelligent und merkt, dass es intern geroutet wird und übernimmt dies?
Nur wenn die IP Adressen entsprechend stimmen. Der Cisco fällt seine Forwarding Entscheidung rein nach Mac Adresse (wenn es ein Layer 2 Switch ist) oder IP Adresse (wenn er ein Layer 3 Switch ist).DNS Namen kennt die Netzwerk Infrastruktur wie bereits erwähnt nicht !
Übrigens ist der Wireshark hier immer dein bester Freund
Würde man hinter den Cisco noch ein EdgeRouter bauen
Wie bereits mehrfach gesagt: Ziemlicher Blödsinn wenn du einen Layer 3 (Routing) Switch im Netzwerk hast.Performanter forwarden als der kann es kein anderes externes Gerät.
Ich mag den Unifi Controller,
Rennt sogar auf einem Raspberry Pi Mit UniFy machst du nichts falsch wenn du keine Hochleistungsanforderungen an dein WLAN hast !
Vorneweg, ich glaube wir haben hier drastische Missverständnisse
Nein, aktuell noch nicht.
"The Cisco SG300 does not provide any of the typical functions of a home router like NAT, DNS relay, DHCP server, DHCP client or PPPoE. Therefore connecting it directly to a leased line with a single public IP address won't work."
https://serverfault.com/questions/738175/can-a-cisco-sg300-layer-3-switc ...
Eben, und deshalb frage ich ja, ob ihr eine Lösung habt :P
Der TP-Link hängt direkt an der TAE Dose und spielt Modem und loggt sich über PPPoE ein. Der TP-Link hängt NICHT irgendwo dazwischen, sondern ist das erste Gerät hinter dem DSL Anschluss des Providers. Der TP-Link kann übrigends NAT deaktivieren. Du meinst, dass der L3 Switch dann direkt die öffentliche IP zu Gesicht bekommt und dann entsprechend filtert? Aber wie kann ich dann sagen Port 5555 z.B. an 192.168.5.203 geht und Port 5556 an 192.168.5.204 etc.
Es kann also so sein..muss aber nicht. LAG Hashing ist immer Zufall, deshalb ist die Traffic Verteilung auf den LAGs niemals homogen... Altbekanntes Thema hier:
Cisco LAG-LACP an Synology RS3614xs+ Bonding Bandbreite zu niedrig
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat?
Danke.
Du kannst aber den lokalen DNS Namen auch statisch in die Datei hosts oder lmhosts eintragen.
Das umgeht das Problem:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Genau, ein lokaler DNS war auch der Plan, bzw. ist bereits vorhanden. Nur was hindert die User daran in ihren Clients gewollt oder ungewollt einen anderen DNS Server einzustellen, wie 8.8.8.8, und der kennt, wie von dir geschrieben, nichts von den internen IPs. Folglich müsste man den DNS Server erzwingen und das kann der Cisco SG300-10 nicht oder? Wo wir dann wieder bei einer Firewall wären, die den Traffic auf Port 53 umschreiben könnte auf den Lokalen DNS, wie zum Beispiel der EdgeRouter.
Performanter forwarden als der kann es kein anderes externes Gerät.
Verschiedene Richtungen? Ich meinte, statt dem TP-Link einen EdgeRouter einsetzen, der dann gleichzeitig Firewall spielt und z.B. den DNS Traffic auf Port 53 weiterleitet. Den Traffic zwischen den VLANs routen sollte dann ja der Cisco machen. Wie gesagt für eine alternative Lösung bin ich jederzeit offen, aber ein ein "Das ist technischer Unsinn" etc. hilft auch nicht weiter bei der Lösung des Problems
Mit UniFy machst du nichts falsch wenn du keine Hochleistungsanforderungen an dein WLAN hast !
Jap, genau deswegen
Nein, aktuell noch nicht.
Mit einem Layer 3 Switch brauchst du KEINEN extra Router.
Kommt doch immer auf das Gerät drauf an. Klar, wenn man viel Geld ausgeben möchte, dann bekommt man bestimmt einen, aber der SG300 kann es nicht. Ich brauche aber ein Gerät, das sich per PPPoE ins Internet einwählt und auch Default Gateway spielt (Habe ich den Begriff "Router" hier vielleicht falsch genutzt?) Das kann der Cisco SG300 halt nicht."The Cisco SG300 does not provide any of the typical functions of a home router like NAT, DNS relay, DHCP server, DHCP client or PPPoE. Therefore connecting it directly to a leased line with a single public IP address won't work."
https://serverfault.com/questions/738175/can-a-cisco-sg300-layer-3-switc ...
Hast du denn zufällig auch eine Idee zum DNS Problem mit der Domain?
Das hat logischerweise NICHTS mit der Infrastruktur an sich zu tun sondern ist ein reines DNS Server Problem.Die Infrastruktur "kennt" kein DNS und geht nur rein nach Mac Adressen (L2) oder IP Adressen (L3).
Das ist bekannt.Im TP-Link (192.168.5.254) ist ein Portforwarding auf den Server mit der
Daran kannst du sehen das dein Konzept erheblich an einer falschen Hardware krankt. Solche sinnfreien Klimmzüge musst du machen weil die TP Link Billiggurke vermutlich kein abschlatbares NAT hat und damit dann dort fehl am Platze ist.im Adressfeld der Anwendung eingeben, so würden beide mit 1Gbit/s mit dem Server kommunizieren
Nein, das ist technischer Unsinn. Das passiert nur wenn das 802.3ad Hashing des Switch LAGs beiden unterschiedliche Ports zuweist. Ob das so ist hängt von deren Mac oder IP Adresse ab je nachdem wie du den Hash eingestellt hast.Es kann also so sein..muss aber nicht. LAG Hashing ist immer Zufall, deshalb ist die Traffic Verteilung auf den LAGs niemals homogen... Altbekanntes Thema hier:
Cisco LAG-LACP an Synology RS3614xs+ Bonding Bandbreite zu niedrig
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat?
Die DNS Anfrage gibt ja die externe IP des Anschlusses zurück
Nicht wenn du einen richtig konfigurierten lokalen DNS Server betreibst. Bei einem popeligen Proxy DNS Server in einem Router natürlich ja, denn der reicht das ja nur weiter an den öffentlichen DNS und der kennt keine internen IPs.Du kannst aber den lokalen DNS Namen auch statisch in die Datei hosts oder lmhosts eintragen.
Das umgeht das Problem:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Würde man hinter den Cisco noch ein EdgeRouter bauen
Wie bereits mehrfach gesagt: Ziemlicher Blödsinn wenn du einen Layer 3 (Routing) Switch im Netzwerk hast.Performanter forwarden als der kann es kein anderes externes Gerät.
Ich mag den Unifi Controller,
Rennt sogar auf einem Raspberry Pi Mit UniFy machst du nichts falsch wenn du keine Hochleistungsanforderungen an dein WLAN hast !aber der SG300 kann es nicht.
Das ist Unsinn !Der SG300 ist doch ein Layer 3 Switch, der kann doch zwischen den VLANs routen !!
Damit hast du dann doch alles was du brauchst um die internen VLANs OHNE dieses überflüssige Gefrickel mit NAT usw. zu routen.
Der SG300 ist definitiv ein routender Switch (L3 fähig):
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Ich brauche aber ein Gerät, das sich per PPPoE ins Internet einwählt
Wozu ??Das ist doch eigentlich Unsinn, denn die Schüler die auf den Server zugreifen sind doch ALLE auf internen Netzwerken !!
Keiner von denen muss von außen oder sowas zugreifen. In sofern ist doch das Internet und PPP für dein Szenario erstmal völlig irrelevant. Warum reitest du also immer auf dieser Option rum ?
Der TP-Link hängt direkt an der TAE Dose und spielt Modem und loggt sich über PPPoE ein.
Arbeitet er wirklich als reines NUR Modem ??? Sprich ist also nur passiver Medienenwandler ??Oder arbeitet er als Router ?? Also routet aktiv die IP Netze ins Internet inklusive PPPoE Dialin. Hast du hier ggf. den Breiff "Router" und "Modem" verwechselt ??
Der TP-Link hängt NICHT irgendwo dazwischen, sondern ist das erste Gerät hinter dem DSL Anschluss
Sprich er ist also der zentrale Internet Router für dein gesamtes Netz und damit dann natürlich KEIN Modem !Aber das ist auch egal, denn er hat damit doch dann nicht das geringste mit dem Forwarding von Clients aus dem Schüler VLAN in ein Server VLAN zu tun !!
Das würde man dann doch immer logischerweise über den internen VLAN Routing Switch tun und niemals über den Internet Router ??!
Der SG300 routet also immer primär alle lokalen VLAN IP Segmente und hat selber ein dediziertes VLAN wo NUR der TP Link Internet Router angeschlossen ist.
Der SG300 Switch ist dann das Default Gateway für alle VLAN Endgeräte und hat dann selber eine Default Route auf den TP-Link im Internet VLAN. Der TP-Link dann die statischen Routen auf die VLAN IP Segmente.
Ein simples klassisches Standard Szenario wie es millionenfach im Einsatz ist.
So bleibt der Internet Traffic sauber vom lokalen VLAN Produktivtraffic getrennt und man hat wirespeed Routing zw. den VLANs.
Simpler Standard eben:
Verständnissproblem Routing mit SG300-28
Warum also dein unsinniges und überflüssiges Konstrukt mit Edge Router usw. ??
Nur was hindert die User daran in ihren Clients gewollt oder ungewollt einen anderen DNS Server einzustellen, wie 8.8.8.8
Die Gruppenrichtlinien z.B. wenn man Winblows User ist !Ansonsten wie gesagt immer statisch in die lokale hosts oder lmhosts Datei eintragen !! Das klappt immer und erfordert keinen lokalen DNS. Obwohl auch das mit einem 30 Euro Raspberry Pi im Handumdrehen aufgesetzt ist:
http://www.raspberry-pi-geek.de/Magazin/2014/03/RasPi-als-DHCP-und-DNS- ...
https://www.privux.de/raspberry-dns-server/
usw. usw.
Ich meinte, statt dem TP-Link einen EdgeRouter einsetzen, der dann gleichzeitig Firewall spielt
Das wäre Unsinn, denn dann ist es erheblich besser den TP-Link durch eine richtige Firewall zu ersetzen:Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und ein einfaches Hybrid Modem davor wie z.B. Draytek Vigor 130.
Das ist performanter und du hast erheblich mehr Möglichkeiten als mit einem einfachen Router. Die pfSense hat ein Package System was weitere SW intsallieren kann wie z.B. DNS Server etc.
Sorry das hatte ich missverstanden das das getauscht werden sollte.
