Diskussion zu Blog-Beitrag: Switch mit VLAN, QoS

[Matthieu]

Hi,
wie angekündigt möchte ich zu meinem Blog-Beitrag auch einen richtigen Thread eröffnen. Mir geht es um die Möglichkeiten, die sich mir in diesem Rahmen bieten: VLAN und QoS. Mit letzterem habe ich mich noch nicht sehr auseinandergesetzt, aber VLAN ist für mich momentan auch interessanter.
Zu den Vorteilen habe ich mich bereits belesen, aber mir sind die Nachteile noch nicht ganz klar geworden. Konkret möchte ich mein kleines LAN mit 1 PC, 2 Laptops, 1 USV und 1 DS vom Rest abtrennen. Dazu kommt bei mir eine 100MBit-Leitung aus der Wand die ich in einen Switch stecke. Hinter der steckt eine Fritzbox welche schließlich mit dem Internet vermittelt. Außerdem ist die Fritzbox an einen anderen Teil des LANs angebunden, der eine weitere DS sowie einen Drucker bereithält (sowie natürlich mehrere PCs, aber die interessieren mich nicht weiter, weil ich darauf nicht zugreife). Die große Frage: Was bedeutet es nun, wenn ich ein VLAN für mich aufbaue um mich vom Rest des Netzwerks zu trennen. Da ich sicher auch einen eigenen DHCP brauche, werde ich die DS mit einem entsprechenden Paket versehen, aber wie sieht es mit der Kommunikation mit der DS "außerhalb" und dem Rest des dortigen Netzwerks aus? Und können beide DS dann noch problemlos miteinander reden und Backups machen? Kann meine DS hier dann noch über die Fritzbox ins Internet?

Blog-Artikel: http://www.synology-forum.de/entry.html?44-Spielzeuglieferung-Teil-1-Ein-neuer-Switch

MfG Matthieu

 

[itari]

Kannst du mal ein wenig erklären, was für dich der Sinn eines VLANs sein soll? Normalerweise ist das eher bei sehr großen Netzen von Bedeutung, um Last im Netz zu reduzieren.

Itari

 

[Matthieu]

Es gibt im eigentlichen LAN auch Nutzer, die sich nicht so mit Netzwerken und PC-Sicherheit auseinandersetzen. Das führt dazu, dass dort einiges an Software verwendet wird, die auch gern mal Broadcasts sendet oder Sicherheitslücken provoziert. Einige Viren haben sich so schon versucht im Netzwerk zu verbreiten indem sie alle Windows-PCs angefunkt haben. An meiner Software sind aber bisher alle hängen geblieben. Jedoch kann ich nicht garantieren, dass es immer so gut geht und daher möchte ich mich von diesem Netz abkoppeln. Außerdem werden ja damit Broadcasts von dort auf mein Netz unterbunden, hab ich das richtig verstanden? Desweiteren habe ich keinen administrativen Zugriff auf DHCP, DNS etc in der Fritzbox und würde mich freuen dass selbst machen zu können ohne mich mit dem DHCP der Fritz prügeln zu müssen wer denn nun Recht hat.

MfG Matthieu

 

[itari]

Warum machst da kein Subnetz für dich auf?

192.168.1.*/24 für die Windows-PCs
192.168.2.*/24 für deine Gerätschaften
192.168.*.*/16 für den/die Router

Itari

 

[Matthieu]

Weil ich zum einen keinen Zugang zum DHCP habe und dennoch einen verwenden möchte und ich außerdem nicht denken, dass das mein Broadcast-Problem löst, schließlich werden diese ja an alle Geräte weitergesendet wenn es der Switch nicht unterbindet, oder?

MfG Matthieu

 

[Matthieu]

Lohnt sich ein VLAN für mich nun und was ist mit den zu Beginn geäußerten Problemfeldern?

MfG Matthieu

 

[atmik]

Hallo Matthieu

Als erstes zu deinem Blog: Ich habe schon dutzende von den Netgear GS Modellen mit den original Dübeln an die Wand gehängt und es klappte jedesmal tadellos und die Dübel sind bündig in der Wand. Deine Wahrnehmung kann ich nicht bestätigen obwohl ich mich auch nicht mit halben Sachen zufrieden gebe. ,-)

Zu deinem VLAN: Ich habe mir letzte Woche eine ZyWALL USG 20W geleistet und bin enorm begeistert von dem Gerät. Entgegen früherer Zywalls ist diese intuitiv zum einrichten. Ich kann mehrere Subnetze einrichten, jedem Port ein eigenes Subnetz geben und auch verschiedene Subnetze im WLAN betreiben...eine Fülle an Funktionen die ich leider nie voll ausnutzen werde.....
--> da bin ich auch auf eine Funktion Namens VLAN gestossen, habe noch nie zuvor darüber gehört.....aber ist eine sehr interessante Option, da ich selbst 2 18 jährige im Haus habe die gerne mal auf Erotik oder Warez Seiten verirren und ich die selben "Ängste" wie du habe.

Ich habe gestern bei Thomas-Krenn.com eine fabelhafte Basic WiKi gefunden darüber: HIER

So wie ich das lese trennst du mit VLAN STRIKT. Somit wirst du dich aussperren, ausser du verlinkst beide "virtuellen" Netzwerke wieder mit einem Kabel. Aber da kannst du genau so gut ein Netzwerk lassen....

Würden verschiedene Subnetze nicht mehr bringen?

Gruss

PS: vielleicht wäre eine USG20 auch etwas für dich, kann alles das was du willst.....schau mal die Demoweboberfläche HIER an. Benutzer: demo PW: demouser

 

[Matthieu]

Ich hab mir den Link mal angesehen und auch den dort verlinkten Artikel bei heise. Bei heise wird eine ähnliche Konstruktion aufgebaut wie ich sie hier haben möchte, jedoch setzt dies einen VLAN-fähigen Router voraus der dann zwischen den einzelnen VLANs nach Bedarf und natürlich insbesondere dem Internet vermittelt. Eine Fritzbox scheint dazu leider nicht in der Lage zu sein ...

Trotzdem danke soweit, ich schau mir die Subnetze mal an, auch wenn ich da noch nicht die Lösung für alle meiner Probleme sehe. Was die ZyWall angeht, werde ich mich wohl später damit beschäftigen müssen. Momentan gibt mein Budget das nicht her, aber nicht mehr lange hin ich brauch ich einen eigenen Router, dann hab ich evtl ein Argument

MfG Matthieu

 

[dany]

Hallo Zusammen

Ich habe mir letzten Monat den Netgear ProSafe GS108E, 8 Port Gigabit Switch geholt da mein alter Switch einige maken hatte. Für mich waren die Kaufkriterien eigentlich 8-Port, Gbit LAN und Energieeffizent. Das Admin-Infterface mit Adobe AIR ist wohl das schlimmste was ich je gesehen habe, da hätte ich sogar lieber ein Telnet vorgezogen, aber eben, bei den Kaufpreis.

VLAN:
Wie schon oben angesprochen, VLAN trennt Netze eingentlich wie physisch voneinander. So kannst du z.B. die Buchhaltung vom übrigen Netz trennen oder VoIP Geräte in ein VLAN legen und dies höher Priorisieren. Dies kann man auch über mehere Switches machen und so genau festlegen, welche Geräte in welchem Netz sind. Für dich aber kommt das nicht in Frage da du keinen Router dazu hättest der die Kommunikation zwischen den VLAN Netzen sicherstellt.

Quality of Service
Da geht es um Priorisierung von Services. z.B. kannst du VoIP oder Video Dienste die in Echtzeit übertragen müssen höher Priorisieren damit Sie ihre Antowrtszeiten bekommen und gleichzeitig FTP herunterstufen da dieser nicht so Antworts-Kritisch ist.

Zu deinem Problem
Damit du ruhe hättest, würde ich einen ganz anderen Ansatz verfolgen. Ich würde ein internes Netz aufbauen und dieses dann durch einen Router abtrennen. Wie du ja schon geschrieben hast, hättest du kein Budget für eine Firewall. Es gibt auch eine kostenlose Alternative: Wenn du noch eine alte Kiste hättest mit zwei Netzwerkkarten, könnest du z.B. ein IPcop draufschmeissen. Mittels Iptables/FW Regeln kannst du die Kommunikation zwischen den beiden DS-Kisten sicherstellen. Hier die Links zum IPcop:

http://www.ipcop.org/
http://www.ipcop-forum.de/

 

[Matthieu]

Ich hab jetzt die Sache mit den Netzwerken erst mal zurückgestellt, eilt ja nicht. Läuft denn QoS brauchbar? Macht sich das in der Praxis bemerkbar?

MfG Matthieu

 

[dany]

Ich nutze QoS z.B. für Terminal-Dienste einer Aussendienststelle. Ich gebe ihr einen %-Anteil garantierte Bandbreite und eine höhrere Priorisierung.
Da macht es nicht, wenn Updates/Anti Virus nebenbei heruntergeladen werden, arbeiten können sie trotzdem. Dies ist aber auf der Firewall definiert, die die verschienen Teilnetze verbindet. Dies läuft sehr brauchbar und ohne Probleme bei den Mitarbeitern. Daher kann ich dies mit Ja beantworten, es ist brauchbar.

Ich denke es kommt vor allem wie gut die Hardware ist, die diese QoS umsetzt. Ich würde daher dies nicht mit einem Switch für SoHo vergleichen wie der der Netgear. Qualität und Funktionen hat eben Ihren Preis.

Gruss Dany

 

[bfpears]

Hi zusammen,
mal so ins blaue geschossen, als Denkanregung.

QoS: klar kann man das auch schon vorbeugend einstellen. Es soll ja bei Engpässen die "Echtzeit" Anwendungen bevorzugen oder so ähnlich.
Mir scheint in Heimnetzwerken meist nur die Internetverbindung der Flaschenhals zu sein, ergo müsste es doch reichen dort SIP und evtl. Streaming zu bevorzugen gegenüber Downloads oder so, das Fast- und Gigabit- Ethernet liefert ja wohl schnell genug an. Bleibt ja auch die Frage ob man von QoS was merkt wenn es gar keinen Engpass gibt.

VLAN: Ich weiß nicht ob ich deine Wünsche ganz richtig verstanden habe:
Ich würde die "potenziell" gefährlichen PCs in eine DMZ auslagern, Lösung IPFire oder 2 Router schachteln.
Dann kann vielleicht irgendwas mit VLAN konstruieren um die Leitung zu verlängern / vervielfachen ohne das sich das DMZ und das LAN sehen.

BF

 

[janus]

Lohnt sich ein VLAN für mich nun und was ist mit den zu Beginn geäußerten Problemfeldern?

MfG Matthieu

Moin,
du solltest dir eine Frage stellen: Wie kommen meine TCP Pakete zum Router (Also der Fritzbox)

Wenn du 2 VLANs hast, dann sind ja erst mal beide Netzwerke so aufgebaut, dass diese wie eigenständige Physikalische Switches wirken. Du musst also irgendwo eine Brücke haben, welche beide VLANs an die Fritzbox bringt. Diese Brücke ist in der Regel ein Router oder noch besser eine Firewall, also am besten deine FB.

Im Moment bin ich mir nicht sicher, ob du deine Fritzbox dazu bringen kannst, diesen Router bzw. Firewall zu spielen, so dass deine angestrebte Trennung zwischen den Netzen tasächlich funktioniert.

Ach ja, ein einfaches: Ich bau 2 Netzwerke mit unterschiedlichen IP Netzen auf ist jedenfalls mehr augenwischerei, als dass es zusätzliche Sicherheit bringt. Das sorgt höchstens dafür, dass sich ein paar der Windows Systeme nicht mehr so einfach sehen, wobei bei funktionierendem Router in der FB, sollten sich die Win Büxsen dann doch wieder sehen können, nur dass diese dann nicht einfach in der gleichen Broadcast Domain sind.

Gruß

Janus