chri-ri
Goto Top

Zugriff auf Geräte im verteilten Heimnetzwerk einschränken

Guten Morgen face-smile

Ich habe aktuell 2 Heimnetzwerke mit unterschiedlichen Geräten in 2 Wohnungen, die ich per VPN zu einem Netzwerk verbinden möchte, in dem einzelne Ressourcen (NAS, LDAP, MFP, Internet) gemeinsam genutzt werden können.

Die Topologie des Netzwerkes sähe dann in etwa wie im Anhang "original.drawio.png" aus.
original.drawio

Problem:
Jedes Gerät kann ungehindert auf jedes Gerät zugreifen.
Das möchte ich aber gerne vermeiden, da ich mich sonst bei einer Infektion mit Malware oder Ransomware ausgeliefert fühle.

Was ich mir wünsche:
Kein Gerät soll auf ein anderes zugreifen können.

Ausnahmen:
  • Alle Geräte können auf das Internet zugreifen.
  • Alle Geräte können auf die Multifunktionskopierer (MFP) zugreifen.
  • Die MFP's können auf das NAS zugreifen.
  • Alle Geräte können auf LDAP und NAS zugreifen.

Ich habe mir nun schon einige Nächte um die Ohren geschlagen, und habe keine Lösung gefunden, die sich richtig anfühlt.

Am Ende kam ich bei einer Lösung raus, die in etwa der Topologie von "idee.drawio.png" entspricht.
idee.drawio

Und unter anderem zusätzlich zu den 2 vorhandenen FritzBoxen folgende Hardware erfordert:
  • 2x HP ProCurve Switch 2810-24G (da die zumindest einseitig "protected ports" unterstützen)
  • 1x IPSec Client
  • 1x Router mit IPSec Server
  • 2x WLAN Access Points
  • 1x transparente NGFW (UTM)

Fragen
  • Leide ich an Paranoia und sollte einfach bei der Topologie von "original.drawio.png" bleiben?
  • Wenn dem nicht so ist: Wie löse ich das? Klingt für mich nach einer gängigen Aufgabenstellung, nur leider habe ich keine Ahnung von Netzwerkinfrastruktur.

Liebe Grüße,
Vivien

Content-ID: 2291596853

Url: https://administrator.de/contentid/2291596853

Printed on: December 10, 2024 at 13:12 o'clock

nachgefragt
nachgefragt Jun 06, 2024 updated at 05:39:49 (UTC)
Goto Top
Zitat von @chri-ri:
Ich habe mir nun schon einige Nächte um die Ohren geschlagen, und habe keine Lösung gefunden, die sich richtig anfühlt.
Moin,

was du suchst nennt sich Segmentierung, z.B. mit Bildung von VLANs oder ACL.

Falls du einen Rechner mit zwei Netzwerkschnittstellen hast kannst du da OPNsense als Firewall draufpacken (kostenlos), dort ein Regelwerk erstellen welches VLAN über welches Protokoll mit welchem VLAN kommunizieren darf, wenn du feste IP Adressen hast geht es auf auf IP Ebene (das VLAN ist quasi nur eine Gruppe).

Dein Switch kann wohl leider kein ACL, sonst könnte man auch auf der Ebene arbeiten, z.B. der an Port 10 angeschlossene Drucker nimmt nur Pakete von IP-Adresse XYZ an, und auch nur TCP9100 und TCP443,... .
https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c02501107

Beispielsweise kann deine Fritzbox über LAN4 ein Gast-LAN ausgeben (optional ohne das die Geräte sich sehen dürfen), was ich u.a. für IOT Geräte (TV,...) nutze.

OPNsense Starthilfe
Avoton
Avoton Jun 06, 2024 at 04:58:09 (UTC)
Goto Top
Moin,

In Ergänzung zu @nachgefragt:
Die OpnSense würde das VPN auch deutlich besser abbilden, als die beiden Fritten. Die IPSec Implementierung von AVM ist furchtbar und langsam.
Dass du dann noch eine echte Firewall hast, ist quasi ein Bonus ;)

Gruß,
Avoton
radiogugu
radiogugu Jun 06, 2024 at 05:26:05 (UTC)
Goto Top
Morschen.

Kann mich meinen Vorschreibern nur anschließen.

Zwei Mini PC anschafffen, OPN-/PFSense installieren und die Tunnel entsprechend aufbauen.

Die Wohnungen sind nicht über das Internet, sondern direkt miteinander verbunden, korrekt?

Dann würde es ja auch reichen, wenn die beiden Switches der Wohnungen direkt mit der *-Sense verbunden sind und es würde eine "ordentliche" Firewall reichen.

Malware/Ransomware hat dann leichtes Spiel, wenn SMB Zugriff erlaubt ist. Leider ist das in AD / LDAP Umgebungen ja massiv erforderlich für beispielsweise Login-Skripte und anderweitige Freigaben.

Hier wären andere Maßnahmen, wie Radius und Port Security auf den Switchports Maßnahmen zum Schutz.

Ordentliche Endpoint Protection selbstverständlich auch.

Aber der Grad der Komplexität, nimmt mit jedem Bisschen Sicherheit zu und der Komfort kann darunter leiden (z.B. Schwester / Sohn / Mutter bekommen ein neues Smartphone / Laptop).

Daher würde ich bei Heimnetzen auf "Etwas ist besser als gar nichts" und eine gute Datensicherungsstrategie setzen.

Gruß
Marc
jmueller
jmueller Jun 06, 2024 at 06:30:53 (UTC)
Goto Top
Moin,

es wird um einiges Kostengünstiger wenn du einfach das vorhandene um 2 Mikrotik Router / Switche erweiterst und dann wie schon erwähnt wurde dein Netzwerk mit VLANs segmentierst.

Beste Grüße
Jürgen
aqui
aqui Jun 06, 2024 updated at 06:57:35 (UTC)
Goto Top
Das VPN Setup ist leider nur sehr oberflächlich beschrieben denn zu mindestens ab der Fritzbox Firmware 7.57 hätte man ja IPsec und auch Wireguard als VPN Option zur Auswahl. Es wäre zielführender wenn das zu verwendende VPN Protokoll bekannt wäre. face-sad

Mit Bordmitteln und mt dem o.a. Konzept liesse sich das aber auch erreichen ohne weitere Hardware.
Die Lösung ist das du nur die Geräte bzw. deren IP Adressen in die IPsec Phase 2 SAs der VPN Konfig einträgst die du aus den remoten Netzen nach deiner Vorgabe erreichen möchtest.
Bei Wireguard bestimmt man das dann mit Hostadressen beim Crypto Key Routing in den "AllowedIPs" Definitionen statt mit Netzwerk Masken.
Das erfordert dann aber feste, über die Mac Adresse zugewiesene IP Adressen an diesen Geräten was aber generell problemlos machbar ist im Fritzbox DHCP Server.
So liesse sich auch einfachen Bordmitteln die o.g. Einschränkung realisieren, zu mindestens ansatzweise.

Eine granularere Filterung bzw. Zugangsbeschränkung ist dann nur mit zusätzlicher Hardware möglich zu der oben schon alles gesagt wurde.
Wenn du aber mit dieser etwas einfacheren Variante leben kannst die deine Zugangsbedingungen umsetzt und lediglich etwas Konfig Aufwand in den Fritzboxen erfordert ist das ein ebenso gangbarer Weg.
chri-ri
chri-ri Jun 07, 2024 at 01:13:11 (UTC)
Goto Top
Guten Morgen ☕

Vielen lieben Dank für die vielen Antworten in so kurzer Zeit.

@nachgefragt
was du suchst nennt sich Segmentierung, z.B. mit Bildung von VLAN oder ACL.

Von ACL hatte ich gelesen, nur leider habe ich in jedem Managed-Level2-Switch in dessen Handbuch ich geschaut habe (von 3com, Dell PowerConnect, HP ProCurve, Netgear Plus) dazu nur das Blacklisten bzw. Whitelisten von MAC-Adressen an den Ports gelesen.
Port-Authentifizierung gibt es auch noch aber das ist nicht, was ich suche.
Das was dem noch am nächsten kam sind "protected Ports" beim HP ProCurve Switch 2810-24G (siehe Ausschnitt im Anhang) aber das deckt nur ein Teil des Problems ab, oder?
screenshot_20240605-111913

[..] Firewall [..] dort ein Regelwerk erstellen welches VLAN über welches Protokoll mit welchem VLAN kommunizieren darf [..]

Also quasi ein Firewall-Router?
Das klingt nach einem naheliegend Ansatz und deckt ziemlich gut meine definierten Regeln ab.
Fast schon zu einfach um wahr zu sein, danke face-smile

[..] nimmt nur Pakete von IP-Adresse XYZ an [..]

Das wäre mindestens schon ein Level3-Switch (mit eingebautem rudimentärem Router).
Aber wenn das so läuft, wäre das dann nicht einfach ein Router?
Wie muss ich mir das genau vorstellen?
Kenne bisher nur so, dass man konfiguriert, über welche IP-Adresse ein Gateway in welches Subnetz führt.
Das würde aber noch nicht die Möglichkeit bieten, selektiv einzelne IP-Adressen oder Subnetze in eine bestimmte Richtung zu blocken.
Gibt es für das ACL, was du meinst noch andere Begriffe?

[..] Fritzbox über LAN4 ein Gast-LAN ausgeben (optional ohne das die Geräte sich sehen dürfen) [..]

Dort könnte ich über einen Switch bzw. VLAN die lokalen Clients rein stecken aber dann könnten Sie nicht mehr auf MFP, NAS und LDAP zugreifen. Reicht also leider nicht aus.

@Avoton

[..] OpnSense würde das VPN auch deutlich besser abbilden, als die beiden Fritten [..]

Danke für den Hinweis face-smile

@radiogugu

Zwei Mini PC anschafffen, OPN-/PFSense installieren und die Tunnel entsprechend aufbauen.

Gibt es - abgesehen von AES-256-Hardware-Implementierung und den empfohlenen allgemeinen Anforderungen in den Tabellen unter https://opnsense.org/users/get-started/ - noch irgendwelche anderen Anforderungen an die Hardware?

Die Wohnungen sind nicht über das Internet, sondern direkt miteinander verbunden, korrekt?

Aktuell sind die Wohnungen gar nicht verbunden.
Sie sollen über das Internet per VPN verbunden werden.
Da geografisch betrachtet mehrere Kilometer dazwischen liegen.

Malware/Ransomware hat dann leichtes Spiel, wenn SMB Zugriff erlaubt ist. Leider ist das in AD / LDAP Umgebungen ja massiv erforderlich für beispielsweise Login-Skripte und anderweitige Freigaben.

Es sollen sämtliche Nutzerkonten für die Windows- und Linux-Clients zentral im LDAP verwaltet werden mit samt Home-Verzeichnissen.
In diesem Server befindet sich ein RAID1 und da die SSD keine eigene PLP besitzen, wird bei einem Stromausfall ein Herunterfahren mit einer APC Back-Ups RS 800 USV (mit frischen Akkus und getauschten Elkos) gesichert.
In regelmäßigen Abständen werden doppelte Offline-Backups im DAR-Format erfolgen die in den beiden Wohnungen gelagert werden um die 3-2-1-Regel einzuhalten.
Das heißt ich mache mir in Bezug auf Ransomware sogar wenig Sorgen um den Server, da es Backups gibt.
Aber so ein Server ist halt fast ein Honeypot und sobald der erst einmal kompromittiert ist, verliere ich unter Umständen alle Clients.
Heißt dass ich dann in 2 Wohnungen alles neu einrichten kann.. und genau das möchte ich nicht riskieren.
Also geht es mir mehr darum die Clients zu schützen und frühzeitig Angriffe erkennen und eindämmen zu können.
Stelle mir also tendenziell auch etwas in Richtung IDS und IPS mit Alert vor.

[..] Etwas ist besser als gar nichts [..]

Das ist nicht der Ansatz den ich suche, sonst würde ich einfach für die Workstation-Clients jeweils eine proprietäre Personal-Firewall kaufen.
Ich suche eine Möglichkeit der Schadensbegrenzung bei einer Infektion des Netzwerkes.

[..] Radius und Port Security auf den Switchports [..]

Dazu würde ich gerne mehr wissen.
Habe dazu in den Handbüchern einiger Level2-Switches gelesen und verstehe es so, dass sich ein Client am Switch erst gegen einen Radius-Server authentifizieren muss, um Zugriff zu dem Port und damit zu dem Netzwerk zu erhalten.
Aber ich bin mir nicht sicher, ob ich das Prinzip richtig verstehe.
Für mich sieht das so aus als ob das darauf ausgelegt ist, die Ports zu einem als "vertrauenswürdig" betrachteten Netzwerk (in dem jedes Gerät mit jedem Gerät kommunizieren darf) gegen unerlaubten physischen Zugriff an der Hardware abzusichern.
Das ist aber nicht das was ich suche, da in beiden Wohnungen nur vertrauenswürdige Personen anwesend sind.

[..] der Komfort kann darunter leiden [..]

Wieso sollte der Komfort darunter leiden?
An den Clients selbst ändert sich doch gar nichts.

[..] z.B. Schwester / Sohn / Mutter bekommen ein neues Smartphone / Laptop [..]

Warum andere Endgeräte?
Die Endgeräte selbst können nicht zwangsläufig als vertrauenswürdig betrachtet werden.
Meine Eltern zum Beispiel nutzen Linux-Notebooks und es gibt einen Windows-Gäste-PC.
In der anderen Wohnung steht eine Windows-Workstation, ein Windows-Notebook und ein Windows-Gaming-PC auf dem viele Spiele mit administrativen Rechten ausgeführt werden MÜSSEN, dank zwielichtiger Anti-Cheat-Engine..
Zusätzlich diverse andere Clients, die aber nur Zugriff auf Internet und NAS benötigen wie zum Beispiel die 2 MFP.
Das heißt ich kalkuliere den Verlust mindestens eines Clients und des Servers schon fest mit ein.
Ich möchte nur nicht alle Clients ständig neu einrichten müssen.

@jmueller

[..] Mikrotik Router [..]

Was ist der Unterschied bei Mikrotik-Routern zu normalen Routern?

[..] dein Netzwerk mit VLANs segmentierst [..]

Das habe ich schon oft gelesen aber verstehe es scheinbar nicht so richtig.
Ich dachte immer, dass ein VLAN bloß die Aufteilung eines physischen Switches auf 2 oder mehr logische Switches bedeutet.
Das wären dann getrennte Subnetze, die ich über einen Router verbinden kann.
Broadcast-Packete würden dann auf das jeweilige Netzwerksegment begrenzt, was die Performance steigern kann.
Aber dann kann doch trotzdem jedes Gerät auf jedes zugreifen, oder nicht?

@aqui

[..] Es wäre zielführender wenn das zu verwendende VPN Protokoll bekannt wär [..]

Es soll IPSec werden.
Für Wireguard habe ich bisher einfach zu wenige Hardware-Clients gefunden.

[..] nur die Geräte bzw. deren IP Adressen in die IPsec Phase 2 SAs der VPN Konfig einträgst die du aus den remoten Netzen nach deiner Vorgabe erreichen möchtest.

Habe schon gelesen, dass man über den Import einer VPN-Konfiguration bei der Fritzbox auch ein Subnetz festlegen kann, in dem der VPN-Tunnel enden soll.
Aber wenn das auch feingranular geht, so dass ich sogar den Zugriff auf einzelne IP-Adressen einseitig einschränken kann, dann klingt das echt zielführend.
Danke, das schaue ich mir nochmal genauer an face-smile


Ich melde mich später nochmal, sobald entweder weitere Fragen auftauchen oder ich irgendwelche Ergebnisse zu berichten habe.


Ganz liebe Grüße,

Vivien
nachgefragt
nachgefragt Jun 07, 2024 at 07:14:04 (UTC)
Goto Top
Zitat von @chri-ri:
Das was dem noch am nächsten kam sind "protected Ports" beim HP ProCurve Switch 2810-24G (siehe Ausschnitt im Anhang) aber das deckt nur ein Teil des Problems ab, oder?
Du hast das Gerät, du kannst du es testen.
Also quasi ein Firewall-Router?
Wenn du weißt was es macht ist's quasi egal wie du es nennst face-wink Nicht selten nimmt man einen Begriff in den Mund, meint aber etwas anderes, so meine Erfahrung.
Wie muss ich mir das genau vorstellen?
Kenne bisher nur so, dass man konfiguriert, über welche IP-Adresse ein Gateway in welches Subnetz führt.
Der Klassiker, verschiedene Netzwerke bilden und diese dann doch am Ende wieder ungefiltert zusammenführen, bringt eben 0 Mehrwert an Sicherheit, schaut aber in der IP Tabelle schöner aus. In der Segmentierung/ACL schränkt man weiter ein, eben ob VLAN, einzelne IPs, Protokoll,... .
chri-ri
chri-ri Jun 07, 2024 updated at 10:19:06 (UTC)
Goto Top
@nachgefragf

Aktuell besitze ich keinen dieser Switches, da ich nicht blind irgendwas kaufen wollte.
Lediglich die 2 FritzBoxen und eben die Clients und MFP's usw..

Wenn ich das "protected port" Feature mal Stück für Stück durchdenke..

Sähe das Netzwerk wie folgt aus (zunächst ohne zusätzliche UTM Firewall gedacht):
  • in der Wohnung mit dem Server existieren 2 Segmente (VLAN).
  • In dem einen Segment befinden sich dortiger MFP, Server
  • In dem anderen Segment befinden sich alle Clients (dass WLAN dazu noch einen extra AP getrennt zur Fritzbox erfordern könnte, ignorieren wir hier erstmal)
  • Die Fritzbox dient wie vorgeschlagen als VPN-Server und ist per manuellem Config-Import so eingestellt, dass VPN-Clients in das Subnetz mit den lokalen Clients kommen.

Dann wäre folgendes Möglich:
  • Die lokalen Clients können auf Server und MFP zugreifen
  • Die lokalen Clients können nicht auf sich untereinander zugreifen (GUT).
  • Server und MFP können auf die lokalen Clients zugreifen (SCHLECHT).
  • Clients welche über das VPN im selben Subnetz wie die lokalen Clients landen, können trotzdem auf alles Zugreifen, auch andere Clients, da sie sich physisch nicht am Switch befindet, sondern nur logisch und das "protected Ports" Feature nur auf OSI Level 2 arbeitet (SCHLECHT)
  • Lokale Clients können trotzdem auf die fremden Clients welche über VPN kamen zugreifen, da die per VPN verbundenen Clients sich physisch nicht am Switch befindet, sondern nur logisch und das "protected Ports" Feature nur auf OSI Level 2 arbeitet (SCHLECHT)


Verstehe ich das richtig so? 🙂
aqui
aqui Jun 07, 2024 updated at 10:30:37 (UTC)
Goto Top
dazu nur das Blacklisten bzw. Whitelisten von MAC-Adressen an den Ports gelesen.
Bei den Switch Billigheimern die du genannt hast werden L3 Accesslisten in der Regel auch nicht supportet weil deren einfache ASIC Hardware oft nicht bis in den Layer 3 "sehen" kann.
Andere Hersteller können das aber sehr wohl! Du musst dann evtl. das Datenblatt genauer lesen.
Auch das wäre natürlich eine Option sollte deine Switch HW Layer 3 Accesslisten dann supporten.

Port Authentisierung oder Port Security ist generell eine ganz andere Baustelle und hat mit deinen Anforderungen so erstmal nichts zu tun.
Es gibt .1x Port Authentisierung von Usern wo der Radius Server diesen Ports dann userbezogene Accesslisten mitgibt was zwar passt aber immer nur in Verbindung mit einer User Zugangskontrolle per 802.1x. Bei dir aber ja nicht gegeben und so scheided das ebenso wie die Mac basierte Port Security generell aus als Lösung aus bei dir.

Mit IPsec und deinen Bordmitteln wäre es dann zu mindestens IP Adressbezogen einfach über die FritzBox VPN Konfig Datei möglich. Die Einstellungen macht man dann im Bereich der Definition der Phase 2 SAs.
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 10.100.1.0 255.255.255.0";  
Hier gibt man dann nur einzelne Hostadressen mit entsprechendem 32Bit Hostprefix an ala "permit ip any 10.100.1.123 255.255.255.255" an.
Siehe dazu auch HIER und HIER.

Für Wireguard habe ich bisher einfach zu wenige Hardware-Clients gefunden.
Hardware Clients??? Was soll das sein. 🤔
WG rennt so ziemlich auf allen bekannten Clients oder meinst du mit "Hardware" entsprechende HW Router die WG fähig sind wie z.B. HIER oder HIER??
chri-ri
chri-ri Jun 09, 2024 updated at 20:11:05 (UTC)
Goto Top
@aqui

[..] L3 Accesslisten in der Regel auch nicht supportet weil deren einfach ASIC Hardware oft nicht bis in den Layer 3 "sehen" kann.

Achso verstehe, also sind damit dann bereits L3-Switches gemeint, das ergibt natürlich Sinn.

Aber wenn wir bereits bei L3-Switches sind, warum dann nicht gleich ein Router?
Wo ist da dann noch der Unterschied?

Port Authentisierung [..] ist generell eine ganz andere Baustelle [..]

Danke, dann habe ich das schon richtig vermutet.

Mit IPsec und deinen Bordmitteln wäre es dann zu mindestens IP Adressbezogen einfach über die FritzBox VPN Konfig Datei möglich.

Das sieht schon mal gut aus, habe aber nun in der Zwischenzeit nochmals nachgedacht und neue Impulse erhalten, wodurch mir eines klar wurde:

Selbst wenn ich die Fritzbox passend einrichten kann, dann benötige ich trotzdem noch mindestens ein weiteres Gerät für OpenLDAP, NAS, HomeBox usw..

Warum also nicht gleich alles auf diesem Gerät lösen. Inklusive VPN Server und Firewall.
Also ein System auf dem Proxmox Virtual Environment (PVE) läuft und darin OPNsense, VPN Server, OpenLDAP, usw..

Vielleicht einfach alles auf einer alten Sophos UTM 220 installieren um erstmal zu testen was Sinn macht?
Zumindest Intel VT unterstützen die ja.

WG rennt so ziemlich auf allen bekannten Clients [..]

Ist mir bewusst aber genau das möchte ich nicht.
Auf dem Clients als den eigentlichen Endgeräten beim Nutzer soll keine VPN-Konfiguration stattfinden.
aqui
aqui Jun 09, 2024 at 19:48:13 (UTC)
Goto Top
Wo ist da dann noch der Unterschied?
Da gibts dann keinen Unterschied mehr. Ein L3 Switch ist natürlich immer auch ein Router. face-wink
aqui
aqui Jun 14, 2024 at 13:06:31 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!
How can I mark a post as solved?
chri-ri
chri-ri Jun 15, 2024 at 17:52:47 (UTC)
Goto Top
@aqui

Wenn es das denn nun war [..] Thread [..] als erledigt schliessen!

Danke für den Hinweis, wird gemacht, wenn es endlich soweit ist face-smile
Vorher melde ich mich aber mit einer Lösung.
Aktuell bin ich immer noch nicht so weit.
Das Thema wird sich ziemlich sicher noch einige Wochen hin ziehen, bis ich eine Lösung weiß.
chri-ri
chri-ri Jun 15, 2024 updated at 18:15:18 (UTC)
Goto Top
Ich hätte zu dem Thema übrigens noch eine grundlegende Frage:

Sowohl in L2-Switches mit DHCP-Server als auch bei VPN-Servern/Clients (z.B. FritzBox) habe ich die Möglichkeit, einzelen Geräten IP-Adressen zu vergeben.

Im Falle des L2-Switches werden aber scheinbar nur die IP-Adressen vergeben, was mir eine manuelle Zuweisung erspart.
Ein Routing findet scheinbar nicht statt.

Wie sieht das im Falle der Verwendung einer FritzBox als VPN-Client/Server aus?
Routet diese Funktion dann auch zwischen den Subnetzen oder findet hier genau wie beim L2-Switch nur die Adressvergabe statt, wenn ich die FritzBox an einem Router angeschlossen habe?
In so einem Fall fungieren ihre LAN-Anschlüsse doch nur noch als Switch, oder?
Ihr VPN dann auch?
Oder kann man das nicht so betrachten?

Ich beziehe mich dabei auf diese Anleitung:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/1627_IP ...
Speziell den Teil mit der Zuweisung einzelner Subnetze.
chri-ri
chri-ri Jun 15, 2024 at 19:20:04 (UTC)
Goto Top
Noch eine andere, sicher banale Frage:

Wie zum Teufel finde ich eine Switch, der VLAN und IP-basierte ACL kann?
Ich suche jetzt schon seit Tagen nach 2 passenden Switches und kann die vielen Datenblätter kaum noch sehen.

Habe letztens durch Zufall einen gebrauchten sehr alten Switch auf Kleinanzeigen gefunden, bei dem im Datenblatt etwas von "ACL MAC/IP Erlauben/Verbieten" stand.
Aber ich benötige davon noch einen Zweiten und im Idealfall kein Uraltgerät.

Nach was muss ich suchen?
Ich gehe mal davon aus, dass ich bei L3-Switches IP ACL vorraussetzen kann.
Aber die sind dann auch gleich mal deutlich teuerer, lauter, komplizierter und deutlich stromhungriger.
Zuletzt zwei alte Quanta Switches mit redundanten Netzteilen gefunden.
Aber das fühlt sich an, wie mit Kanonen auf Spatzen zu schießen.
chri-ri
chri-ri Jun 15, 2024 at 21:58:27 (UTC)
Goto Top
Wenn ich es ganz einfach und billig haben will, könnte ich doch einfach folgendes tun:
  • billigen Level 2 Switch kaufen der kein ACL, Routing oder VLAN aber zumindest Port Aggretation kann.
  • Server kaufen, der 4 Ports und Proxmox VE installiert hat

Sämtlicher Verkehr im Netzwerk wird dann einfach per Port Aggregation zu dem Server geleitet.
Dort läuft dann das Routing, die Firewall, ACL per IP und alle Dienste die benötigt werden.

Ist das richtig und eine gute Idee?
Weiß mir langsam einfach nicht mehr anders zu helfen.

Muss aber sagen, dass ich keine Ahnung von Proxmox habe.
aqui
aqui Jun 16, 2024 updated at 10:14:16 (UTC)
Goto Top
Sowohl in L2-Switches mit DHCP-Server
Es gibt keine Layer 2 VLAN Switches mit DHCP Server Funktion am Markt! Sowas ist nur L3 Switches vorbehalten was ja auch Sinn macht, da L2 Switches niemals routen können!
Hier begehst du vermutlich aus Unkenntnis einen fatalen Denkfehler! face-sad
Wie sieht das im Falle der Verwendung einer FritzBox als VPN-Client/Server aus? Routet diese Funktion dann auch zwischen den Subnetzen
Ja.
VPN ist in der Regel immer ein Routing zwischen den jeweiligen IP Netzen. Natürlich auch bei einer Fritzbox die ja primär ein Router ist!
oder findet hier genau wie beim L2-Switch nur die Adressvergabe statt
Ein L2 only Switch kann, wie oben schon mehrfach gesagt, KEINE IP Adressen "vergeben"! Weder per DHCP noch per sonstwas!!
In so einem Fall fungieren ihre LAN-Anschlüsse doch nur noch als Switch, oder?
Richtig!
Wie bei vielen einfachen Billo Routern hat auch die Fritzbox fürs LAN mit dem Ports 1 bis 4 einen rudimentären, embeddeten Miniswitch an Bord. Der tiefere Sinn davon ist eine Handvoll lokaler Geräte direkt am Router anschliessen zu können ohne einen weiteren lokalen Switch verwenden zu müssen.
Im Vergleich z.B. zu einem Mikrotik Router lässt der onboard Fritzbox Switch sich aber wenig bis gar nicht konfigurieren.
Wie zum Teufel finde ich eine Switch, der VLAN und IP-basierte ACL kann?
Ganz einfach: Indem du bei den üblichen Verdächtigen die sowas herstellen einfach einmal ins Datenblatt siehst ob dort L3 ACL Support aufgelistet ist. Die etwas besseren Hersteller supporten das oftmals. Ein Blick ins Datenblatt ist aber immer anzuraten BEVOR man kauft um keine böse Überraschung zu erleben! face-wink
Nach was muss ich suchen?
"Layer 3 oder IP Access Listen"!
Ich gehe mal davon aus, dass ich bei L3-Switches IP ACL vorraussetzen kann.
Ja, bei denen ist das immer Standard. Oftmals auch bei den Billo Herstellern die so ein Unsinn wie "Layer 2+" schreiben also einen L2 Switch mit sehr rudimentären L3 Funktionen. Aber auch hier gilt immer das Datenblatt als sichere Quelle ob ja oder nein.
Zuletzt zwei alte Quanta Switches mit redundanten Netzteilen gefunden.
Klar, super. Das sind im Netzwerkbereich ja auch super bekannte Marken die Kompetenz und Funktionalität ausstrahlen...! Gute Wahl! face-sad
billigen Level 2 Switch
Es scheitert bei dir schon an der technischen Ausdrucksweise! face-sad Wenn dann "Layer" (es geht, wie alle wissen, um das OSI Netzwerkmodell!) Ein Level ist bekanntlich etwas anderes.
Sämtlicher Verkehr im Netzwerk wird dann einfach per Port Aggregation zu dem Server geleitet.
Ja das würde klappen. Sogar mit nur einem oder 2 Ports am Server! Guckst du z.B. auch HIER!
Ist das richtig und eine gute Idee?
Ja. Ob sowas gut ist kommt, wie immer, auf dein Anwendungsprofil an. Entspricht ja einem "one armed Router / Firewall" wie es im o.a. Thread bzw. auch HIER prinzipiell beschrieben ist.
chri-ri
chri-ri Jun 16, 2024 at 17:52:08 (UTC)
Goto Top
@aqui

Es gibt keine Layer 2 VLAN Switches mit DHCP Server Funktion am Markt! Sowas ist nur L3 Switches vorbehalten was ja auch Sinn macht, da L2 Switches niemals routen können!

Wenn ich aber zum Beispiel in das Datenblatt und Handbuch des Dell PowerConnect 2824 schaue, dann sehe ich dort "DHCP Server" aber keine "IP ACL" und auch kein "Statisches Routing".
Das ist nicht der einzige Switch, den ich fand.

Darum gestaltet sich die Suche auch so schwierig.

VPN ist [..] Routing zwischen den jeweiligen IP Netzen.

Stimmt, so offensichtlich, tut mir leid.

Indem du [..] ins Datenblatt siehst ob dort L3 ACL Support aufgelistet ist.

Genau so mache ich es nun auch.
Dachte es gibt vielleicht irgendwelche Suchbegriffe, mit denen ich explizit nach geeigneten Switches googlen kann.
Denn aktuell die entsprechenden Switches der Hersteller Modell für Modell durchzugehen ist echt mühselig und dauert lange.

[..] so ein Unsinn wie "Layer 2+" [..]

Ja, leider schon oft gelesen.
So ein Marketing-Bullshit.

Das sind im Netzwerkbereich ja auch super bekannte Marken die Kompetenz und Funktionalität ausstrahlen...!

Ich weiß, eher Billig-Kram.
Aber die Ausstattung war gut.
Allerdings habe ich von denen gelesen, dass sie ziemlich kompliziert seien und 4 Lüfter + 2 Netzteile (mit jeweils auch nochmal 2 Lüftern) sind einfach zu viel für zu Hause.
Da hilft dann auch kein Fan-Mod mehr.

Es scheitert bei dir schon an der technischen Ausdrucksweise! [..] Wenn dann "Layer" (es geht, wie alle wissen, um das OSI Netzwerkmodell!) Ein Level ist bekanntlich etwas anderes.

Ich bin mit dem OSI-Refernzmodell vertraut.
Dachte Level und Layer sind hier Synonyme?
Was definierst du denn als "Level"?

[..] 2 Ports am Server [..]

Benötige übrigens mindestens 4Gbit/s, sonst habe ich einen Flaschenhals, also 4 Ports.

[..] "one armed Router / Firewall" [..]

Cool, dann ist das also durchaus eine mögliche Lösung, danke face-smile
Das hilft mir erstmal bei meinen weiteren Überlegungen.
aqui
aqui Jun 16, 2024 updated at 19:45:59 (UTC)
Goto Top
dann sehe ich dort "DHCP Server"
Aber einzig nur für das VLAN in dem der Dell seine Management IP hat. face-wink
https://dl.dell.com/manuals/all-products/esuprt_ser_stor_net/esuprt_netw ...
Seite 83 ff.
Layer 3 ACLs und auch Layer 2 ACL supportet der Switch gar nicht. Ist eigentlich auch kein Dell sondern ein Billo Barebone den Dell vom Massenfertiger Accton zukauft und da nur "Dell" draufbäppelt. Darf ja nix Kosten wenn man sowas mit den Servern verschenkt. Entsprechend mies ist das Featureset. Kommt noch vor den Gruselteilen von oben... face-sad
Ich bin mit dem OSI-Refernzmodell vertraut.
Wirklich? Wieso redest dann von irgendwelchen Leveln ?? 🧐
Was definierst du denn als "Level"?
Wenn du z.B. eine Kiste Bier geleert hast dann hast du einen entsprechenden Alkohol "Level" intus.
Bitte den o.a. Wiki Artikel lesen und verstehen! face-wink
Benötige übrigens mindestens 4Gbit/s, sonst habe ich einen Flaschenhals, also 4 Ports.
Ahhsoo... OK, dann natürlich einen 4er LACP LAG. Näheres zu der LAG Thematik findest du, wie immer, HIER!
dann ist das also durchaus eine mögliche Lösung
Das ist sie in der Tat! face-wink
aqui
aqui Jun 30, 2024 at 10:49:54 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
How can I mark a post as solved?
chri-ri
chri-ri Jul 06, 2024 at 22:48:51 (UTC)
Goto Top
@aqui:
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!

Werde ich machen, keine Sorge face-smile

Wie erkenne ich, ob ein L3-Switch zum Routing zwischen einzelnen Geräten einzelner seiner VLAN's geeignet ist?

Habe bisher nach "statischem Routing" geschaut aber nun lese ich zum Beispiel im Handbuch vom D-Link DGS-1210-24 Rev. A1 folgendes:

To enable IGMP snooping for a given VLAN, select enable and click on the Apply button.
Then press the Edit button under Router Port Setting, and select the ports to be assigned as router ports for IGMP snooping for the VLAN.
Press Apply for changes to take effect.
A router port configured manually is a Static Router Port, and a Dynamic Router Port is dynamically configured by the Switch when a query control message is received.

Ist das was ich suche?
Oder gilt?:
  • Das bezieht sich ausschließlich auf IGMP snooping
  • IGMP snooping ist irgendwas anderes

Tut mir leid, dass ich immer noch so ahnungslos bin.
chri-ri
chri-ri Jul 06, 2024 at 23:38:12 (UTC)
Goto Top
In die nähere Auswahl ist nun ein HPE JL381A gerückt, da er auch noch stromsparend und lüfterlos arbeitet.
Der sollte doch geeignet sein, oder sind HPE-Produkte nicht zu empfehlen?
aqui
aqui Jul 07, 2024 updated at 09:12:39 (UTC)
Goto Top
Wie erkenne ich, ob ein L3-Switch zum Routing zwischen einzelnen Geräten einzelner seiner VLAN's geeignet ist?
Einfach einmal ein banales Routing Setup mit 2 VLANs aufsetzen und das testen. face-wink
nun lese ich zum Beispiel im Handbuch vom D-Link DGS-1210-24 Rev. A1 folgendes:
Hier verwechselst du, wie du auch schon selber richtig erkannt hast, Äpfel mit Birnen. face-sad
Das eine (klassisches IP Routing) hat mit dem anderen (IGMP und Multicast PIM Routing) nichts zu tun!!
Das was du oben zitierst bezieht sich rein aufs Multicast Routing. Also wenn, dann bitte auch im Thema bleiben.
https://de.wikipedia.org/wiki/Internet_Group_Management_Protocol
Multicast und Multicast Routing
Lesen und verstehen!!
In die nähere Auswahl ist nun ein HPE JL381A gerückt
Igitt HP. Die können bekanntlich besser Drucker bauen anstatt Netzwerk Infrastruktur. Alles ein zugekaufter Zoo mehrerer Fremdhersteller die nur "HP" gelabelt sind. Aber tue was du nicht lassen kannst.
chri-ri
chri-ri Jul 09, 2024 at 19:34:27 (UTC)
Goto Top
@aqui

Einfach einmal ein banales Routing Setup mit 2 VLANs aufsetzen und das testen.

Das ist einfacher gesagt als getan, da ich bisher außer den FritzBoxen noch keines dieser Geräte besitze^^
Und zweimal so kurz hinternander Geräte zum Testen kaufen, ist finanziell nicht möglich.
Mein monatliches Budget zur freien Verfügung hört bei 100 Euro auf.
Ja ich weiß, zu hohe Anforderungen.

Das was du oben zitierst bezieht sich rein aufs Multicast Routing. Also wenn, dann bitte auch im Thema bleiben.

Ja, da muss ich scheinbar mich wirklich nochmal tiefer einlese, danke face-smile

[..] Die können bekanntlich besser Drucker bauen anstatt Netzwerk Infrastruktur. [..]

Schade, habe ich fast schon vermutet.
Wäre bei dem Preis auch zu schön um Qualität zu sein.

[..] Aber tue was du nicht lassen kannst.

Tatsächlich sehe ich bisher keine andere Möglichkeit, denn muss mich bei zirka 50 bis 100 Euro Gebraucht-Preis für einen L3-Switch orientieren und da habe ich nur folgende Geräte zur Auswahl:
  • Alcatel Lucent Switch OS6450-P48
  • HPE JL381A

Der Alcatel hat aber 4 laute Lüfter, welche ich mindestestens durch leise Noise-Blocker-Lüfter ersetzen müsste (kostspielig und vermutlich immer noch zu laut), dafür hätte er aber immerhin SFP+ als Uplink (für Server).
Der HPE hat keinen nenneswerten Uplink aber dafür ohne Lüfter.

Gerne bin ich auch offen für Vorschläge anderer Geräte in der Preisspanne.

Als Server habe ich einen Pokini I2 für einen ähnlichen Preis im Blick, der erstmal als Starthilfe genügen sollte.
aqui
aqui Jul 09, 2024 updated at 22:32:05 (UTC)
Goto Top
ist finanziell nicht möglich.
Ein kleiner Mikrotik hAP-Lite kostet popelige 20 € und das ganz ohne Lüfter. Zum Lernen und Erfahrung sammeln ideal.
https://www.varia-store.com/de/produkt/687064-rb941-2nd-routerboard-hap- ...
Bei solchen Investitionen kann man dein Argument nicht wirklich Ernst nehmen. Ist dann eher lächerlich. face-sad
Gute gebrauchte L3 Switches mit mehr Ports liegen zw. 50 und 80 Euronen:
https://www.ebay.de/sch/i.html?_from=R40&_trksid=m570.l1313&_nkw ...
https://www.ebay.de/itm/116243779086?itmmeta=01J2CSXKFQJ8W066DBXFHBCNED& ...
chri-ri
chri-ri Jul 09, 2024 updated at 23:03:13 (UTC)
Goto Top
@aqui

Ein kleiner Mikrotik hAP-Lite kostet popelige 20 € und das ganz ohne Lüfter. [..]

Der hat zu wenig Ports.
Benötige mindestens 12 nach aktuellem Stand.

Bei solchen Investitionen kann man dein Argument nicht wirklich Ernst nehmen. Ist dann eher lächerlich. [..]

Das sagst du einfach so aber für mich sind 20 Euro nicht wenig Geld.
Und wenn ich schon weiß, dass ich das Gerät sowieso nicht verwenden kann (nicht mal ein paar Monate bis ich mehr Geld für etwas besseres habe), dann macht das einfach keinen Sinn.
Ein Gerät nur zum Spaß oder Lernen zu kaufen ist leider keine Option.
Es muss dann schon eine Weile laufen.

Gute gebrauchte L3 Switches mit mehr Ports liegen zw. 50 und 80 Euronen: [..]

Zumindest der Cisco SG-300 sieht schon mal gut aus. Den SG-250 schaue ich mir auch mal später in Ruhe an.

Hast du noch mehr solche Empfehlungen?
nachgefragt
nachgefragt Jul 10, 2024 at 06:38:58 (UTC)
Goto Top
Zitat von @chri-ri:
Das sagst du einfach so aber für mich sind 20 Euro nicht wenig Geld.
Ein Versuch eine Anzeige in Kleinanzeigen zu schalten ist es ggf. wert, ich verschenke nicht selten ausrangierte Geräte weil EOL (i.d.R. an Azubis oder Praktikanten).
aqui
aqui Jul 10, 2024 at 06:44:44 (UTC)
Goto Top
Cisco Catalyst 3550 ist ein L3 Profiswitch mit großem Featureset.
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2334524.m570.l1313 ...
Allerdings hat der nur 100Mbit Ports und 2 GIG LWL Ports kostet aber nur kleines Geld
Gig Ports hat dann die nächste Generation Catalyst 3750
https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2334524.m570.l2632 ...
Alle diese Premium Modelle haben wie üblich allerdings Lüfter.
chri-ri
chri-ri Jul 10, 2024 updated at 08:55:42 (UTC)
Goto Top
@aqui

[..] Allerdings hat der nur 100Mbit Ports und 2 GIG LWL Ports [..]

Gigabit Ports müssen schon sein.
Habe alles ausgerechnet und 100Mbit/s reichen leider wirklich nicht.

[..] Gig Ports hat dann die nächste Generation Catalyst 3750 [..]

Der wäre preislich noch im Rahmen.

Alle diese Premium Modelle haben wie üblich allerdings Lüfter.

Wenn es nur 1 Lüfter ist, mag das noch gehen (da er ersetzt durch ein leises Modell) kaum hörbar sein wird.
Aber bereits bei 2 oder sogar 4 Lüftern wird das schon schwierig.
Durch leise Lüfter ersetzt und in ein kleines Rack mit Tür verbaut mag das vielleicht später noch gehen aber für den Moment eher nicht passend, da im vorerst kein Rack angeschafft wird.
Erst wenn alles soweit läuft und passt später dann vielleicht.

Da der Thread nun schon so lange geht, wäre es wohl besser wenn ich nochmal kurz meine Anforderungen an den Switch zusammen fasse:

  • mindestens 12 Gigabit-Ports
  • Link-Aggregation
  • VLAN
  • IP-ACL
  • Routing zwischen einzelnen IP-Adressen
  • Routing von einem Netzwerk auf eine bestimmte IP-Adresse in einem anderen Netzwerk
  • möglichst leise (lüfterlos oder nicht mehr als 1 Lüfter)
  • nicht mehr als 100 Euro, besser 50 Euro, denn sonst muss ich bis nächsten Monat warten 😆

Optional zusätzlich nützlich für später:
  • 2x SFP+ Ports mit mindestens 4Gbit/s pro Port
aqui
aqui Jul 10, 2024 updated at 10:01:52 (UTC)
Goto Top
mit mindestens 4Gbit/s pro Port
Die Ethernet Speed Standards sind dir aber schon ein Begriff, oder?? Du redest dann vermutlich von 5Gbit oder 10Gbit Standard an den SFP Ports, richtig?
https://de.wikipedia.org/wiki/Ethernet
"Derzeit sind Übertragungsraten von..." usw.
chri-ri
chri-ri Jul 10, 2024 at 10:58:56 (UTC)
Goto Top
@aqui

Du redest dann vermutlich von 5Gbit oder 10Gbit Standard an den SFP Ports, richtig?

Ja, genau, in dem Fall wäre es SFP+ mit 5GBit/s pro Port.

Hatte einfach noch die 1Gbit/s vom RJ45-Kupfer im Hinterkopf.
Auch ein Grund warum ich Port Aggregation nutzen möchte.
Um den Server erstmal mit 2x 1Gbit anzubinden, später 4x bzw. wäre Redundanz noch gut aber 2x 4 wäre etwas nervig. Deshalb macht spätestens 2x SFP+ mit je 5Gbit/s dann Sinn.
aqui
aqui Jul 10, 2024 at 11:26:08 (UTC)
Goto Top
Auch ein Grund warum ich Port Aggregation nutzen möchte.
Du meinst vermutlich Link Aggregation mit LACP, oder?
chri-ri
chri-ri Jul 10, 2024 at 14:28:02 (UTC)
Goto Top
@aqui

Du meinst vermutlich Link Aggregation mit LACP, oder?

Ja, genau.
Ist doch richtig, oder?
In erster Linie geht's mir dabei um Durchsatzerhöhung.
Und später auch um Redundanz.

Hast du eigentlich zu jedem Thema schon ein Tutorial in diesem Forum geschrieben? 😆👍
Danke für den Link 🙂
chri-ri
chri-ri Jul 10, 2024 at 14:42:25 (UTC)
Goto Top
@aqui

Habe mal ein Stück in dein Tutorial rein gelesen und werde sicher später nochmal Fragen dazu haben.

Gibt es etwas, das ich in dem Bereich bei der Switch-Auswahl (abgesehen von der Member-Anzahl) beachten sollte?
chri-ri
chri-ri Jul 10, 2024 at 14:51:58 (UTC)
Goto Top
@aqui

Ich habe in deinem Einleitungs-Topologie-Diagramm deines LACP-Tutorial etwas gesehen, dass mir schon mal Gedanken gemacht hat:

Ein proprietärer Link zwischen den 2 redundanten Switches.

Kann man solch eine Ausfallsicherheit durch redundante Switches nicht auch über normale RJ45-Ports per STP erreichen?
Dann hätte man normalerweise einen Loop, den STP im Normalbetrieb unterbindet und bei Ausfall eines Switch genutzt werden kann.

Oder bin ich da komplett auf dem Holzweg?

Das LACP wollte ich zwar erstmal nur für die Anbindung des Servers nutzen aber wenn ich in einem Angebot 2 Switches für einen gutes Preis bekomme, kann ich da ja auch über Redundanz nachdenken, so wie in deinem Diagramm.
War allerdings erst für viel später geplant.
aqui
aqui Jul 10, 2024, updated at Jul 14, 2024 at 09:45:56 (UTC)
Goto Top
Kann man solch eine Ausfallsicherheit durch redundante Switches nicht auch über normale RJ45-Ports per STP erreichen?
Ja, natürlich. Das hat aber den ganz großen Nachteil das eine der Leitungen dauerhaft ungenutzt bleibt und nur darauf wartet das die andere ausfällt.
Ziemlich ineffizient wenn man bei 10Gig in teure SFP+ Optiken oder DAC/TWINAX respektive AOC Kabel investiert hat. Dann will man solche breitbandigen Links auch logischerweise immer aktiv nutzen. Letzteres bietet dir ein LACP LAG.
Gut, alternativ kann man für einen aktiven 10Gig Link einen 1Gig als Spanning Tree Backup stecken muss dann aber damit leben das man im Ausfall nur ein Zehntel der Bandbreite zur Verfügung hat. Wer damit leben kann, kann das natürlich so machen.
Oder bin ich da komplett auf dem Holzweg?
Nein, bist du nicht. Alles richtig gedacht. 👍 Ist eben nur old school mit Nachteilen. face-wink
chri-ri
chri-ri Jul 15, 2024 at 09:50:16 (UTC)
Goto Top
@aqui

Das hat aber den ganz großen Nachteil das eine der Leitungen dauerhaft ungenutzt bleibt und nur darauf wartet das die andere ausfällt.

Ja, genau.

Letzteres bietet dir ein LACP LAG.

Moment mal..
Ich bin bei einem LACP LAG immer nur von einem Szenario ausgegangen:
Ich verbinde eine gemeinsam genutzte Ressource (zum Beispiel ein Server) mit 1 Backbone Switch über 2 oder mehrere physische Links (z.B. RJ45 Kupfer).
So habe ich, wie du schon auch in deinem Tutorial beschrieben hast, mehr Bandbreite und Ausfallsicherheit.

Aber wenn ich nun davon ausgehe, dass der Switch auch ausfallen kann, dann möchte ich ja mindestens 2 Links an Switch A und 2 Links an Switch B.
So wie in dem Diagramm in deinem Tutorial.

Wie führe ich die 2 Switches dann wieder zu einem LACP LAG zusammen?
Ich sehe da im Diagramm eine Verbindung zwischen den beiden Switches.
Ist das genau das, was bei manchen Switches als proprietäre Schnittstelle zum "Stack mehrerer Switches" beschrieben wird?
Oder denke ich zu kompliziert und man braucht das nicht, um den LACP LAG über mehrere Switches hinweg zu verteilen?

Gut, alternativ kann man für einen aktiven 10Gig Link einen 1Gig als Spanning Tree Backup stecken muss dann aber damit leben das man im Ausfall nur ein Zehntel der Bandbreite zur Verfügung hat.

Naja im Notfall besser als kompletter Verbindungsabbruch.

[..] old school [..]

Ja ergibt Sinn, habe nur ziemlich altes Theorie-Wissen, wenn es um Netzwerke geht.
aqui
aqui Jul 15, 2024 updated at 10:14:19 (UTC)
Goto Top
mehr Bandbreite und Ausfallsicherheit.
Mehr Bandbreite erreicht man nicht, da die physische Bandbreite der LAG Memberports sich ja natürlich nicht ändert. Man bekommt nur eine deutlich höhere Kapazität, da sich der Traffic auf die Memberlinks verteilt und so eine Überlast oder Überbuscung sicher vermieden wird.

Wie führe ich die 2 Switches dann wieder zu einem LACP LAG zusammen?
Das klappt nur wenn man Switches hat die ein MLAG Protokoll supporten. Hättest du auch selber gewusst wenn du das o.a. LAG Tutorial einmal bewusst gründlich durchgelesen hättest! face-sad
Unglücklicherweise gibt es hier keinen Standard sondern jeder Hersteller macht da was eigenes wie z.B. Virtual PortChannel (vPC) bei Cisco oder Multi Chassis Trunking bei Brocade/Ruckus oder auch Multi-chassis Link Aggregation Group usw. usw. Jeder Hersteller hat dazu was im Köcher.
Solche MLAG Protokolle kommunizieren dann die LAG Sessions untereinander und gaukeln so einem LACP LAG Endgerät einen physischen Switch vor obwohl es in Hardware 2 getrennte Switches sind.
So überwindet man den Protokollstandard der einen LAG nur zwischen 2 festen Geräten definiert.

⚠️ MLAG Verfahren haben per se nichts mit physischem Stacking (Full Stack) zu tun wo sich die Geräte hardwaretechnisch durch die virtuelle Verlängerung der Control Plane als ein physisches Gerät im Layer 2 und Layer 3 darstellen und so oder so bei LAGs immer als ein Gerät agieren.
MLAG Verfahren beziehen sich immer auf 2 völlig getrennte und nicht Stacking fähige Switch Hardware die sich einzig und allein nur in Bezug auf das LACP LAG Verfahren als ein virtuell ein Gerät darstellen.
Mit anderen Worten: Du hast genau richtig "gedacht". face-wink
chri-ri
chri-ri Jul 16, 2024 at 09:15:05 (UTC)
Goto Top
@aqui

Mehr Bandbreite erreicht man nicht, da die physische Bandbreite der LAG Memberports sich ja natürlich nicht ändert. Man bekommt nur eine deutlich höhere Kapazität, da sich der Traffic auf die Memberlinks verteilt

Okay also nehmen wir aus Beispiel mal einen LAG aus 2x 1GBit/s.
Dann kann ich da also nicht 2Gbit/s an Durchsatz erreichen sondern bekomme einfach nur eine "stabilere" Verbindung neben der Redundanz mit weniger Einbrüchen?

Das klappt nur wenn man Switches hat die ein MLAG Protokoll supporten.

Das ist ja ärgerlich.

Hättest du auch selber gewusst wenn du das o.a. LAG Tutorial einmal bewusst gründlich durchgelesen hättest! face-sad

Habe es nur stellenweise genauer gelesen und den Großteil vielleicht überflogen..^^
Aber hatte das echt so verstanden, dass MLAG bloß eine proprietäre Alternative sind.
Dass es auch ganz elementare Features gibt, die sich NUR per MLAG umsetzen lassen, das war mir nicht klar.

Unglücklicherweise gibt es hier keinen Standard [..]

Ja leider im Tutorial schon gelesen.

So überwindet man den Protokollstandard der einen LAG nur zwischen 2 festen Geräten definiert.

Ah klar, so war das also mit "festen Geräten" gemeint. Dann ist das nun soweit klar.

Mit anderen Worten: Du hast genau richtig "gedacht". face-wink

Super 🙂

Also in Kurz:

Um die 2 redundanten Switches als ein LAG muss ich mir keine Gedanken machen, solange ich beispielsweise von Cisco oder einem anderen großen Hersteller kaufe, da sie hierfür schon ein passendes MLAG anbieten.

Das Stacking ist nur dann interessant, wenn mir das MLAG nicht genug Performance bietet und ich gleich die interne Backplane der Switches direkt verbinden will.

Okay so ergibt das Sinn.

Bezüglich deine Switch-Vorschläge:
  • Der Catalyst fällt raus, gibt's nicht ohne Lüfter
  • SG-200 bzw SG-250 fallen auch raus, da kein DHCP-Server und ich glaube den benötige ich nun auch
  • SG-350 ist zu teuer
  • SG-300 hat zwar weniger Performance aber ist sehr günstig, lüfterlos und scheint alles zu haben. Da schaue ich nochmal genauer ins Datenblatt rein.
aqui
aqui Jul 16, 2024 updated at 09:56:46 (UTC)
Goto Top
Dann kann ich da also nicht 2Gbit/s an Durchsatz erreichen sondern bekomme einfach nur eine "stabilere" Verbindung neben der Redundanz mit weniger Einbrüchen?
Nein, so ist das auch falsch ausgedrückt.... face-sad
Einfaches Beispiel:
Du hast 2 User die jeweils mit 1Gbit/s eine Datensicherung machen und nur einen Uplink.
Dieser lässt physisch nicht mehr als 1Gbit/s zu, denn du kannst die Hardware des Uplinks ja logischerweise nicht ändern.
Folglich kann also jeder User durch die Überbuchung des einen Links max. 500Mbit/s durchbekommen.
Jetzt rüstest du den einzelnen Verbindungslink gegen einen 2mal 1Gbit LACP LAG um.
Dadurch kommt es zu einer Verteilung der beiden User auf die beiden physischen Links und jeder der User erziehlt jetzt wieder 1Gbit/s. Bei 4 User hat jeder wieder 500Mbit/s.
Macht einer der beiden User Feierabend, wird der einzelne User für seine Datensicherung über den LAG aber keine physischen 2Gbit/s bekommen, denn wie oben schon gesagt kannst du die physische Übertragungsrate (Hardware) der Memberlinks ja nicht ändern die ist ja durch die Hardware immer fest vorgegeben. Dieser einzelne User wird also auch "nur" 1Gbit/s erreichen weil er ja durch die LAG "Verteilung" auf einem 1Gig Memberlink gesetzt wird.

Die LAG Funktion bietet also lediglich eine Verteilung der Übertragungen (Hashing) auf die LAG Memberlinks und damit eine Entlastung. Ein LAG kann natürlich niemals die physische Hardware seiner Memberlinks ändern. Wie sollte das auch gehen?
Ein Porsche der mit seiner Motorleistung und Windwiderstand max. 200km/h fährt wird nur durch Einbau eines Tachos der 300km/h anzeigt nicht schneller. LACP LAGs sind ein Verteilungsverfahren nach Hashing Algorythmus der Source und Destination Adressen.
Hoffe das ist jetzt etwas klarer für dich?!
Habe es nur stellenweise genauer gelesen und den Großteil vielleicht überflogen..
Alles genau lesen und verstehen wäre für dich und dein Technikverständnis sicher zielführender gewesen... face-sad
Dass es auch ganz elementare Features gibt, die sich NUR per MLAG umsetzen lassen
MLAGs bieten als einziges, zusätzliches LAG Feature nur das man einen LAG bzw. dessen Memberlinks auf mehrere physische Endpunkte aufsplitten kann aus Geräteredundanz Gründen.
Der eigentliche LAG Standard sieht das so nicht vor, deshalb sind die MLAG Verfahren herstellerproprietär.
Also in Kurz:
Richtig!
Standard LAGs zw. 2 Geräten klappen immer auch mit völlig unterschiedlichen Herstellern.
MLAGs nur mit Geräten eines Herstellers. Einfache Logik! face-wink
aber ist sehr günstig, lüfterlos und scheint alles zu haben.
Mikrotik Switches ebenso. Die supporten sowohl LAGs als auch MLAGs und passen in dein schmales Budget! face-wink
chri-ri
chri-ri Jul 29, 2024 at 09:49:23 (UTC)
Goto Top
@aqui

Auf deine Antwort gehe ich später nochmal ein.
In der Zwischenzeit möchte ich nur mal kurz wissen, ob du den Cisco SG500-28 für passend hälst oder ob ich gerade in den Details etwas übersehe? 🙂

Kann ihn aktuell für 65 Euro gebraucht erwerben.
aqui
aqui Jul 29, 2024 at 12:43:37 (UTC)
Goto Top
Der hat alles was du benötigst an Bord und wäre geeignet.
  • Full L3
  • Stacking
Da ist dann außer PoE und MLAGs alles an Bord was der Netzwerker so braucht und wenn dich der EoS Status nicht stört (was er auch nicht muss) machst du nichts falsch. face-wink
Für das Gerät ist der aufgerufene Preis auch sehr gut.
chri-ri
chri-ri Jul 29, 2024 at 20:05:01 (UTC)
Goto Top
@aqui

Welchen würde ich für MLAG benötigen?
Einen Catalyst, oder?

Also Stack kann er aber kein LAG über Stack, bedeutet das dann, richtig? 🙂
aqui
aqui Jul 30, 2024 updated at 08:52:08 (UTC)
Goto Top
Einen Catalyst, oder?
Richtig! Der müsste das Feature "virtual Port-Channel" (vPC) supporten.

Aber keine Sorge. Über einen "Umweg" supportet auch dein SG500 gesplittete LAGs.
Der SG500 ist ja full Stacking fähig. Wenn du also 2 oder mehr SG200 auch verteilt in einem Stack betreibst agiert so ein Stack immer als ein einziger Switch.
Über die Stacking Funktion der SG500 hast du also quasi auch eine MLAG Funktion und kannst so LAG Endgeräte auf unterschiedlichen Switches terminieren.
Du bist aber bei den SG500 Modellen immer aufs Stacking angewiesen.
"Richtige" MLAG Switches benötigen das natürlich nicht um aufgesplittete LAGs zu supporten.
aqui
aqui Aug 20, 2024 at 12:46:52 (UTC)
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
How can I mark a post as solved?