stpb10
Goto Top

VLAN Routing mit Netgear GS724Tv4

Hallo zusammen,
derzeit mache ich einen auf "Jugend forscht" in Sachen VLAN und Routing.

Dazu verwende ich einen Switch vom Typ Netgear GS724Tv4 mit der Firmware 6.3.1.11.
Wobei ich gerade gesehen habe, dass es inzwischen (seit heute?) die v 6.3.1.16 gibt.
Anhand der Release Notes glaube ich aber nicht, dass die neue Firmware mein Problem löst.


Switching Tab
Zu den default VLANs auf dem Switch (default, VoIP, Auto-Video) habe ich noch zwei VLANs angelegt:
VLAN ID 2 / PVID 2
Untagged Port Member 2 / 3 / 4

VLAN ID 3 / PVID 3
Untagged Port Member 5 / 5 / 7

Routing Tab
Unter Routing | IP habe ich den Routing Mode auf enabled gesetzt.

Den VLANs habe ich unter Routing | VLAN die Adressen 192.168.2.1 (r1) bzw. 192.168.3.1 (r2) jeweils mit der Subnet Mask 255.255.255.0

Unter Routing | Router Discovery sind die beiden Interfaces r1 und r2 der Advertise Mode auf enabled eingestellt.

Die Routing Table wurde automatisch erstellt und sieht (finde ich) ganz vernünftig aus:
192.168.2.0 255.255.255.0 => r1 => 192.168.2.1
192.168.3.0 255.255.255.0 => r2 => 192.168.3.1


Zum Testen habe ich an die beiden VLANs je ein Notebook mit fixed IP-Config angesteckt:

Am VLAN 2
Notebook 1: 192.168.2.80 / 255.255.255.0 / Gateway 192.168.2.1

Am VLAN 3
Notebook 2: 192.168.3.80 / 255.255.255.0 / Gateway 192.168.3.1


Jetzt habe ich das Problem, dass ich mit dem Notebook 1 sowohl das eigene Gateway (192.168.2.1) als auch das andere Interface 192.168.3.1 ping kann. Allerdings kann ich das Notebook 2 (im VLAN 3) nicht ping. Umgekehrt ist es genau so. Mit dem Notebook 2 komme ich auf die beiden Interfaces r1 und r2, aber nicht auf das Notebook 1.

Was mache ich hier falsch, bzw. welches Setting fehlt mir noch?

Als nächsten Schritt bin ich noch an einer zweiten Frage dran: mein Router ins Internet hängt am default VLAN 1.
Wo / wie gebe ich den Clients mit, damit Anfragen ans Internet an den Router 192.168.1.1 weitergeleitet werden?
Hier habe ich mir jetzt zwar noch nicht groß den Kopf zerbrochen, aber irgendwie habe ich auch noch nichts gesehen, wie / wo ich hier die IP von meinem Internet-Router angeben kann.


Vielen Dank schon vorab für eure Antworten.

Viele Grüße
Stephan

Content-Key: 323007

Url: https://administrator.de/contentid/323007

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: 119944
Lösung 119944 06.12.2016 aktualisiert um 16:05:18 Uhr
Goto Top
Wenn du alle L3 Interfaces des Switches pingen kannst liegts vermutlich an der lokalen Firewall. Windows blockiert hier per default ICMP.

Deaktiviere diese am besten mal und schaue wie es sich verhält.

Als nächsten Schritt bin ich noch an einer zweiten Frage dran: mein Router ins Internet hängt am default VLAN 1.
Wo / wie gebe ich den Clients mit, damit Anfragen ans Internet an den Router 192.168.1.1 weitergeleitet werden?
An den Clients garnicht. Du setzt dem Switch auch eine IP im VLAN1 und konfigurierst eine Default Route (0.0.0.0/0) auf die IP des Routers.
Der Eintrag des DNS Servers muss an den Clients natürlich auf den Router zeigen und auf dem Router müssen statische Routen vorhanden sein.

VG
Val
Mitglied: chiefteddy
Lösung chiefteddy 06.12.2016 um 16:20:11 Uhr
Goto Top
Hallo,

wenn auch nicht zum Thema: Das VLAN1 ist das "default VLAN". In ihm sind alle Ports per Werkseinstellung Mitglied, so dass der Switch nach dem Einschalten als "normaler" Switch funktioniert, solange keine VLANs definiert sind. Ansonsten dient das VLAN1 nur der Administration.

Als "konfiguriertes" VLAN sollte man die ID 1 tunlichst vermeiden! Das kann im Zusammenhang mit weiteren VLAN-Komponenten zu "unerklährlichen" Effekten führen.

Jürgen

PS. Bezogen auf Deine Frage sehe ich das wie @119944. Vergiß´aber nicht auf dem Router auch die entsprechenden Routen in die VLANs einzutragen. Oder aktiviere ein Routing-Protokoll (zB. RIP).
Mitglied: stpb10
stpb10 06.12.2016 um 20:10:28 Uhr
Goto Top
Hi Val,
vielen Dank für den Tipp, dass ICMP geblockt wird.
Ja, das war's! Ich habe eine Regel erstellt, die ICMP durchlässt und schon klappt es mit dem Nachbarn face-smile

VG
Stephan
Mitglied: stpb10
stpb10 06.12.2016 um 20:13:38 Uhr
Goto Top
Hi chiefteddy,
du hast Recht: VLAN1 ist als default mit allen Ports eingerichtet.
Wenn ich dich richtig verstanden habe, würdest du für den Router also nochmal ein eigenes VLAN einrichten und den nicht ins VLAN1 hängen?
Wenn ich mein Netz in mehrere VLANs aufteile, sollte also am besten letztendlich im VLAN1 gar nichts mehr hängen?

ciao,
Stephan
Mitglied: 119944
119944 06.12.2016 um 21:02:05 Uhr
Goto Top
Wenn ich dich richtig verstanden habe, würdest du für den Router also nochmal ein eigenes VLAN einrichten und den nicht ins VLAN1 hängen?
Ja
Wenn ich mein Netz in mehrere VLANs aufteile, sollte also am besten letztendlich im VLAN1 gar nichts mehr hängen?
Ja

:D

VG
Val
Mitglied: aqui
aqui 07.12.2016 aktualisiert um 10:15:33 Uhr
Goto Top
derzeit mache ich einen auf "Jugend forscht" in Sachen VLAN und Routing.
Das muss man nicht wenn man dieses Forentutorial genau durchliest.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und auch die weiterführenden Links.

Allerdings muss man dazu sagen das nur kranke Masochisten sich NetGear zulegen wenn sie in VLANs segementieren.
Kluge Netzwerker wählen andere Hersteller die sinnvollere GUIs oder CLIs haben um das einzurichten face-wink
Die NG Konfig Logik im GUI ist einfach nur krank...
Mitglied: chiefteddy
chiefteddy 07.12.2016 um 11:12:30 Uhr
Goto Top
Hallo,

im Prinzip hast Du Recht, wenn man aber einmal die "Logik" von Netgear verstanden hat, klappt alles. Und der Support reagiert schnell und kompetent (auch wenn er in Asien sitzt).

Ich mußte kurzfristig meinen L3-Backbone-Stack (2x Dell PC 7048) wegen eines Defektes austauschen. Ich habe mich in Kenntnis der etwas eigenwilligen Konfigurations-Logik für die neue Netgear-Serie M4300 entschieden (natürlich nach einer Teststellung). Ich habe jetzt einen L3-Stack bestehend aus 1x M4300-8x8F (16x 10GB), 2x M4300-52G (je 48x 1GB + 4x10GB) und 1x M4300-28G-POE+ (24x 1GB POE + 4 10GB).
Und das für deutlich unter 7T€ netto (incl. Stack-Kabel). Dieser Preis ist unschlagbar. Von Cisco hätte ich dafür nur einen 48-Port-Switch bekommen.

Die Konfiguration funktionierte im Wesentlichen auf anhieb. Es ist eben wie immer im Leben: Wenn man weiß, wie es geht, ist alles einfach.

Ich bin jedenfalls zufrieden mit Netgear.


Jürgen
Mitglied: stpb10
stpb10 09.12.2016 um 20:00:36 Uhr
Goto Top
Hallo zusammen,
so, nochmal Danke für eure Tipps. Die haben auch soweit geholfen und ich habe so schon einiges gelernt.

u.a., dass ich ein kranker Masochist bin, da ich mir einen Netgear Switch gekauft habe face-smile
Damit könnte ich auch gut leben. Viel schlimmer ist, dass ich inzwischen festgestellt habe, dass mir eine Funktion bei dem Ding fehlt! face-sad

Ich hatte vor, die VLANs mit dem ISC DHCP Server auf meinem Raspi zu versorgen.
Hat auch fast geklappt. Die DHCPDiscover kommen beim Raspi an, er schickt eine DHCPOffer zurück und die landet im Nirvana, da ich auf dem Switch keinen DHCP Relay (bzw. Helper IP) einrichten kann.


Jetzt tut sich mir eine neue Fragen auf:
Benötige ich den DHCP Relay unbedingt oder kann ich den Switch irgendwie überzeugen, das DHCPOffer-Paket auch in das/die VLAN/s zu schicken?

Wenn das nicht klappt, was ich leider befürchte, sehe ich drei Möglichkeiten:

1. Ich verwende den Netgear Switch weiter und lasse im "Client-VLAN" den DHCP-Server laufen (innerhalb des gleichen Subnets sollte das ja funktionieren?) und geben den Devices in den anderen VLANs statische Adressen (bzw. setzte auch dort je einen DHCP-Server rein) - das finde ich aber ziemlich unsexy...

2. Ich schaffe mir ein weiters Spielzeug an (siehe Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät ) und sichere mein Netz gleich noch mit einer Firewall ab. Ich hoffe, ich liege hier nicht falsch, dass ich damit auch das Routing und DHCP Relay laufen lassen kann. Hm,... klingt sinnvoll, aber ist mir im Augenblick eine Nummer zu viel. Ich möchte jetzt erst mal das Netz so zum Laufen kriegen und eine Familie habe ich auch noch...

3. Oder ich muss mir einen anderen Switch zulegen?
Meine Rahmenbedingungen sind: 24-Port, VLANs, Routing, DHCP Relay, IGMP v3 (wg. vielleicht mal IP-TV / entertain) - und das noch relativ billig (ca. 200 / 250 €). Ja ich weiß: träum weiter oder kauf dir etwas vernünftiges... face-smile
Ich möchte jetzt hier gar keine Grundsatzdiskussion lostreten, aber könnt ihr mir hier etwas passendes empfehlen? Ich habe heute schon mal ein wenig nachgelesen, es gibt hier natürlich eine Menge Modelle, die hier passen würden (außer das meine Preisvorstellung nicht ganz funktioniert):

  • D-Link DGS-1510-28 - ca. 310 € - laut Datenblatt: "IGMP v3 Awareness" - hm, kann er nun IGMP v3 oder nicht?
  • Cisco SG300-28 (HerstellerNr. SRW2024-K9-EU) ca. 290 € - klingt gut, hat (glaube ich) alles was ich benötige - was gibt es denn über den zu berichten?
  • TP-Link TL-SG3423 - ca. 210 € (ja, aqui, deine Meineung zu den TP-Link aus einem anderen Thread kenne ich: "billigster China Böller der alleruntersten Kategorie" face-smile )
Also, irgendwie hat der Cisco sicher Charme. Gut, er liegt etwas über meiner Preisvorstellung (kostet 2,5 mal so viel wie mein Netgear) - aber es ist ja bald Weihnachten. Vielleicht sollte ich mir selbst etwas schenken? face-smile


Noch Asche über mein Haupt: ja, ich weiß, inzwischen habe ich in dem Thread eine totale Themaverfehlung:
vom VLAN-Routing, komme ich über DHCP, weiter zur Kaufempfehlung ... :-S


so long,
Stephan
Mitglied: aqui
aqui 10.12.2016 aktualisiert um 12:17:00 Uhr
Goto Top
Viel schlimmer ist, dass ich inzwischen festgestellt habe, dass mir eine Funktion bei dem Ding fehlt!
Das weiss man aber auch vorher wenn man bewusst NetGear kauft !! Also heul nicht. Masochisten tun das auch nicht und sagen noch danke face-big-smile
Ich hatte vor, die VLANs mit dem ISC DHCP Server auf meinem Raspi zu versorgen.
Das ist auch sehr löblich und sinnvoll !
Hier findest du übrigens eine Anleitung wie das sehr einfach zu machen ist:
Netzwerk Management Server mit Raspberry Pi
da ich auf dem Switch keinen DHCP Relay (bzw. Helper IP) einrichten kann.
Wie bitte ??
Jetzt sag bitte nicht das der so eine simple Standardfunktion als L3 Switch nicht kann ?? Das wäre sehr ungewöhnlich, denn das kann ja sogar jeder TP-Link Chinaböller.
Benötige ich den DHCP Relay unbedingt
Eigentlich ja !
Was bei dir aber sehr ungewöhnlich ist, ist die Tatsache das du am zentralen RasPi DHCP mit tcpdump schon ein DHCP Request siehst aus dem entsprechenden VLAN.
Sollte das wirklich der Fall sein und dieser Request nicht aus dem lokalen VLAN Segment des DHCP Servers kommen bedeutet das, das deine Relay Funktion eigentlich schon sauber funktioniert !!!
Ohne Relay würde ein Layer 2 UDP Broadcast schon gar nicht über eine Router Barriere kommen, sprich du könntest diesen Request also nie sehen.
Bedeutet dann erstmal das die Relay Funktion per se scheinbar funktioniert und supportet ist. Möglich das du hier noch einen Konfig Fehler gemacht hast. Was sagt denn das Handbuch zur Relay Funktion ???
und lasse im "Client-VLAN" den DHCP-Server laufen
Wäre der größtmögliche Unsinn ! Besser schnell wieder vergessen diese Option.
Option 2 wäre denkbar
Für Option 3 käme die Einsicht zu spät ! Das Geld hast du ja nun verbrannt. Da gilt wieder die Regel Wer billig kauft, kauft zweimal. Die Frage die sich hier stellt warum du nicht vorher mal nur etwas nachgedacht hast. Das Risiko bei NG kennt man doch ?!
Wenn du es machen willst nimm den Cisco SG300 ! Klare Empfehlung !

Aaaaber...bevor du jetzt irgendeinen HW Schnellschuss machst lass uns hier nochmal in Ruhe das Handbuch lesen und die aktuellsten Release Notes zur aktuellsten Switch Firmware 6.3.1.16 (die du ja wohl hoffentlich geflasht hast ?!) ob ggf. die DHCP Relay Funktion damit gefixt ist und sauber funktioniert.
Halb richtig rennt sie ja bei der Gurke und das lässt Hoffnung aufkeimen das man das noch zum Guten konfigurieren kann !!!
Man kann auch nicht wirklich glauben das so eine essentielle L3 Funktion dort nicht implementiert ist ?! Sogar NG sollte sowas haben. So schlecht können die eigentlich nun auch wieder nicht sein.
In der NG Knowledge Base ist es drin (Kapitel 7):
http://kb.netgear.com/21990/How-do-I-configure-a-DHCP-L3-relay-using-th ...
Sieht aber so aus als ob das deine HW tatsächlich nicht supportet face-sad
Diverse Forenbeiträge lassen ebenso vermuten das dein NG Model das nicht supportet. Damit wäre dieser Switch dann im L3 Umfeld vollkommen nutzlos. Was soll man dazu noch sagen....?!
Fazit: Kaufe vernünftige HW !
Mitglied: stpb10
stpb10 10.12.2016 um 16:56:21 Uhr
Goto Top
Hallo aqui,
so eine Antwort, von wegen ohne DHCP Relay funktioniert mein Plan nicht, hatte ich befürchtet.

Ja, hast Recht: hätte vorher die Möglichkeiten des NG-Switches richtig ansehen sollen. Aber irgendwie hatte ich mir bei DHCP keine großen Gedanken gemacht - das was muss ja funktionieren, kann ja gar nix schiefgehen - dachte ich...
Aber wie heißt es so schön: again what learned face-wink
Bin auf dem Gebiet eben ein Anfänger. Bisher hatte ich im Haus meine Geräte an drei unmanaged Switches (Keller, Wohnzimmer hinter TV und in meinem Arbeitszimmer) angesteckt. Aber jetzt möchte ich das Zeug ein wenig aufteilen und dabei auch noch etwas lernen.

Den NG kann ich wohl noch zurückschicken und mir dafür etwas anders besorgen. Ich sehe schon, mit meinen Anforderungen muss ich wohl doch etwas mehr Kohle in die Hand nehmen, als ich eigentlich wollte - grummel

Welche andere vernünftige Hardware, die zu meinen Anforderungen (24-Port, VLANs, Routing, DHCP Relay, IGMP v3 (wg. vielleicht mal IP-TV / entertain) - und das noch relativ billig) würde dir / euch denn sonst noch einfallen?
Oder was spricht noch alles für den Cisco SG300-28? Im Internet habe ich das Ding (HerstellerNr. SRW2024-K9-EU) inkl.Versand für ca. 290 € gesehen. Das ist dann schon noch ein aktuelles Release oder gibt es hier unterschiedliche Hardware-Versionen von dem Modell?

Da fällt mir noch ein Frage ein: die eingerichteten VLANs (z.B. für IP-TV) könnte ich schon auch an zwei kleine managed Switches weitergeben? Am besten über die SFP-Ports?

Vielen Dank für eure Unterstützung!

VG
Stephan
Mitglied: aqui
aqui 10.12.2016 um 20:43:48 Uhr
Goto Top
Den NG kann ich wohl noch zurückschicken und mir dafür etwas anders besorgen.
Je eher desto besser ! Das wäre die beste Option.
billig... würde dir / euch denn sonst noch einfallen?
Mmmhhh...wieder das bekannte Muster obwohl du ja eigentlich was gelernt haben willst.
Aber nungut... Achte ganz einfach auf die DHCP Relay Funktion. Das ist der Knackpunkt.
Die TP-Link Chinaböller haben das in der Regel. Viel billiger als die wird es nicht gehen. In puncto Masochismus musst du dann auch nicht viel umlernen, das VLAN GUI ist ähnlich krank wie bei NG aber wenn man sowas gewöhnt ist, dann findet man sich da schnell wieder zurecht.
könnte ich schon auch an zwei kleine managed Switches weitergeben?
Ja, das ginge auch. Wäre natürlich die umständliche Variante aber das geht. Die optischen SFP Ports brauchst du nur wenn du Kabellängen von mehr als 100 Metern hast.
Ansonsten reicht Kupfer.
Mitglied: stpb10
stpb10 11.12.2016 um 18:43:26 Uhr
Goto Top
Hi aqui,
ok, der Schotte ist über seinen Schatten geprungen.
Habe mir heute den Cisco SG300-28 bestellt face-smile
Ich bin sozusagen bekehrt und auf den Pfad der Tugend zurückgeführt worden. face-smile

Hoffe, dass ich mit dem Ding mehr Erfolg habe.
Nachdem es von dem Ding inzwischen die Hardwareversionen V01 - V04 zu gibt, bin ich gespannt welche Version ich von dem Ding geschickt bekomme.
Als Unterschied wird bei Cisco die
"Total Number of MAC Addresses" mit 8k (v01 / v02) bzw. 16k
"Total Number of Active VLANs" mit 256 (v01 / v02) bzw. 4k
"Total Number of Multicast Groups" 256 (v01 / v02) bzw. 1k
angegeben.
Diese Grenzen dürften für mich ja kein Problem werden.
Ich hoffe mal, dass sich die Hardware selbst nicht groß geändert hat und dann neue Firmware nicht plötzlich nur noch für z.B. v03 oder v04 angeboten wird.


könnte ich schon auch an zwei kleine managed Switches weitergeben?
Ja, das ginge auch. Wäre natürlich die umständliche Variante aber das geht. Die optischen SFP Ports brauchst du nur wenn du Kabellängen von mehr als 100 Metern hast.
Ansonsten reicht Kupfer.


Wie hast du eigentlich das gemeint? "Wäre natürlich die umständliche Variante"?
Im Keller ist der SG300, im Wohnzimmer ein zweiter auf dem ein VLAN für IP-TV und z.B. ein VLAN für "normales" Internet oder ein AccessPoint hängen soll. Wie sollte ich das ansonsten machen, ausser dass ich die über einen tagged Port nach oben bringe?
Vielleicht hatte ich mich auch nur falsch ausgedrückt, ich dachte an eine Lösung, wie du sie auch schon mal beschrieben hast: Vlans zwischen mehreren Switches?
Oder meinst du weil ich an den SFP Ports dachte? Reicht es, wenn ich einen "normalen" Port verwende?
ähm, hüstel,... welche kleinen 8Port-Switches wären da denn dann geeignet? Du hast da doch sicher ein paar Standardkisten im Repertoire? Eigentlich müssten die doch die gleichen Eigenschaften wie der SG300 haben (managed, DHCP Relay, IGMPv3,...)


Vielen Dank nochmal für deine schnellen Antworten!

so long
Stephan
Mitglied: aqui
aqui 12.12.2016 aktualisiert um 10:04:14 Uhr
Goto Top
Hoffe, dass ich mit dem Ding mehr Erfolg habe.
Ganz sicher, denn sonst würdes du den hier nicht gebetsmühlenartig von diversen Forums Teilnehmern immer empfohlen bekommen...
Ich hoffe mal, dass sich die Hardware selbst nicht groß geändert hat
Hat sie nicht !
Wie hast du eigentlich das gemeint?
Die Frage ist eigentlich wie DU das gemeint hast. Ich habe es so interpretiert das du jedes VLAN, sprich IP Segment mit einer eigenen separaten Switch Hardware ersetzen wolltest. Geht natürlich aber ist HW und kabeltechnischer Overkill.
Im Keller ist der SG300, im Wohnzimmer ein zweiter
Oha du meinst aber nicht 2 so große Switches oder ??
Fürs Wohnzimmer würde ja ein simpler, lüfterloser SG-200-8 reichen den man dann mit einem Tagged Uplink an den im Keller anflanscht.
ausser dass ich die über einen tagged Port nach oben bringe?
Genau so !!
Reicht es, wenn ich einen "normalen" Port verwende?
Wenn die Leitung nicht länger als 100 Meter ist und du zw. Keller und Wohnzimmer Kupfer liegen hast ja. Warum sollte es anders sein ?
Sind es mehr als 100 Meter must du dir ein entsprechendes LWL Patschkabel 50µ OM2+ oder besser mit LC Steckern besorgen, 2 SFP Optiken dazu und dann gehst du halt über Glasfaser.
Gute wenn du einen lüfterlosen SG-200-8 im Wohnzimmer hast geht das nicht, denn der hat keine SFP Ports. Da muss es dann Kupfer tun.
Eigentlich müssten die doch die gleichen Eigenschaften wie der SG300 haben
Nein !
Layer 3 wäre da rausgeschmissenens Geld im Wohnzimmer. Routing brauchst du da nur im Keller auf dem "Core" Switch. Im Accessbereich reicht logischerweise normal L2 mit den SG-200er Modellen.
Von Longshine und einigen anderen gibt es auch lüfterlose 8 oder 12 Port Switches mit SFP Ports.
Mitglied: stpb10
stpb10 12.12.2016 um 17:44:01 Uhr
Goto Top
ah, ich sehe schon, ich habe mich wohl wirklich undeutlich ausgedrückt.
Ins Wohn- und Arbeitszimmer habe ich nur je eine LAN-Leitung. Daher stelle ich es mir so vor, dass ich über je einen Tagged Port die benötigten VLANs auf einen „kleinen“ 8-Port-Switch in die beiden Zimmer bringe.
Das heißt, in Summe werde ich 3 Switches benötigten: SG300 im Keller und je einen kleinen in Wohn- und Arbeitszimmer.

In meinem jugendlichen Leichtsinn (oder passender: meiner Ahnungslosigkeit face-smile ) ging ich davon aus, dass die SFP-Ports etwas performanter und daher geeigneter sind um einen anderen Switch anzubinden (sozusagen als Backbone dienen). Aber ok, Message angekommen: nachdem ich hier jeweils Kabellängen < 100 m habe, benötige ich die SFP-Ports nicht (ich hatte übrigens nicht an LWL-SFPs, sondern nur an Kupfer-SFPs gedacht) und verwende stattdessen „normale“ LAN-Ports. (Aber das wird eh erst einmal in der nächsten Ausbaustufe kommen…)


Aber wie sieht das auf den kleinen Switches dann eigentlich mit meiner DHCP-Problematik aus? Auf denen muss ich dann aber schon wieder einen DHCP-Relay eintragen können?
Aber du hast Recht: für das Routing der VLANs (auch in die „VLANs-Außenstellen“ auf den kleinen Switches) reicht ja die Funktionalität auf dem SG300?
==> richtig?

Zusammengefasst: So wie ich es verstanden habe, muss ich auf den kleinen Switches VLANs einrichten können, DHCP Relay konfigurieren und (wegen IP-TV) müssen auch die kleinen IGMPv3 beherrschen.
==> stimmt das so?

Bevor wir nochmal aneinander vorbeireden, habe ich meine Vorstellung vom Netz noch graphisch dargestellt. Ein Bild sagt mehr wie tausend Worte. face-wink
==> Ist die Übersicht soweit stimmig oder liege ich hier mit meinen Plänen wieder mal vollkommen falsch?

netz-Übersicht

Ja, ist mir klar, dass in der Skizze das Guest-WLAN nicht weiter abgesichert ist. Habe ich mir geistig schon als Aufgabe notiert… face-wink
==> Die Firewall sollte dann mal an der in der Skizze eingezeichneten Stelle implementiert werden, oder?

Vielen Dank (auch für die Geduld),
Stephan
Mitglied: chiefteddy
chiefteddy 13.12.2016 um 09:29:22 Uhr
Goto Top
Hallo,

die beiden Access-Switche im Wohn- und Arbeitszimmer müssen VLAN-fähige L2-Switche sein. Eine DHCP-Relay-Funktion ist dort nicht erforderlich. Das Weiterleiten der DHCP-Anfragen aus den einzelnen VLANs an den DHCP-Server übernimmt doch der L3-Core-Switch (SG300).

Noch eine Bemerkung zu den SFP-Ports und LWL: Glasfaser setzt man nicht nur bie der Überbrückung größerer Entfernungen ein. Ein andere wichtige Funktion von LWL-Links sind ihre Potentialtrennung zwischen den entfernten Netzwerkknoten. Wenn entfernte Netzwerkknoten aus unterschiedlichen Elektro-Einspeisungen/ Unterverteilungen versorgt werden, kann es zu Potentialausgleichsströmen über den Schirm der Cu-Leitung kommen. Das kann zu Störungen in der Datenübertragung und zu einer Zerstörung der Netzwerk-Ports führen.
In einer Wohnung oder einem Einfamilienhaus ist mit solchen Problemen eher nicht zu rechnen.

Wenn man aber noch einen Accesspoint im Garten anschließen will, wird LWL und SPF doch wieder interessant (Überspannungsschutz)

Jürgen
Mitglied: aqui
aqui 13.12.2016 aktualisiert um 09:44:46 Uhr
Goto Top
Kollege chiefteddy hat Recht ! Die DHCP Relay Funktion ist nur auf dem L3 Switch erforderlich im Keller der routet.
Arbeitszimmer und Wohnzimmer sind einfache L2 Switches (SG200) die die VLANs nur durchreichen.
Auch die Anmerkungen zur LWL Verkabelung sind natürlich richtig !
Guest-WLAN nicht weiter abgesichert ist. Habe ich mir geistig schon als Aufgabe notiert…
Hier findest du die Lösung dazu:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: stpb10
stpb10 13.12.2016 um 10:15:54 Uhr
Goto Top
super, das Bild wird Dank eurer Hilfe immer klarer! face-smile

Passen meine Überlegungen für mein Netz (siehe Skizze oben) ansonsten oder fällt euch hier noch etwas auf?
Ist es so richtig, dass ich für die Fritzbox zwei VLANs (eines für Guest-VLAN und eines für den restlichen Internetzugang) verwende?

VG,
Stephan
Mitglied: aqui
Lösung aqui 13.12.2016 um 10:25:35 Uhr
Goto Top
Die FritzBox kann keine 2 VLANs routen, nur das du das auf dem Radar hast. Das Gastnetz der FB ist eher Spielerei und in Sekundenschnelle ausgehebelt. Wenn du eh ne Firewall einsetzt mache das darüber, ist sinnvoller und sicherer.
Sieht sonst alles aber recht schlüssig und richtig aus ! Kann man ja auch nicht viel falsch machen face-wink
Mitglied: stpb10
stpb10 13.12.2016 um 10:51:49 Uhr
Goto Top
Zitat von @aqui:
Sieht sonst alles aber recht schlüssig und richtig aus ! Kann man ja auch nicht viel falsch machen face-wink
Du machst mir Mut... face-wink

Heute sollte der SG300 bei mir ankommen. Somit kann ich meine erlernte Theorie in die Praxis umsetzten. Freu ich mich jetzt schon richtig drauf face-smile

Das Forum hier mit den schnellen Antworten und den vielen sehr guten, ausführlichen Tutorials ist echt Klasse!
Vielen Dank an alle die hier mitwirken!

so long,
Stephan