Empfehlungen für VLAN-fähigen Switch

[GoneTomorrow]

Hallo liebe Gemeinde,

ich plane zurzeit das Netzwerk in einem Mehrgenerationenhaus und würde dafür gerne mit VLANs arbeiten. Da ich mich mit Switches noch nicht wirklich auskenne, wollte ich mal nach Erfahrungen und Empfehlungen fragen

Was ist geplant?​

• Wir haben ein Mehrgenerationenhaus mit Familie A und Familie B. Es gibt einen gemeinsamen Internetanschluss (das wird auch so bleiben, es ist keine Option, zwei Anschlüsse zu haben).
• Im Technikraum wird es einen Netzwerkschrank mit Patchpanel, Switch und Router geben.
• Ich plane hinter dem Router eine Firewall mit opnSense einzubauen.
• In jedem Stockwerk (3 an der Zahl) gibt es einen Ubiquiti U6-Pro Access Point.

Welche Anforderungen gibt es?​

• Ich möchte klein anfangen. Der Switch soll erstmal als ganz normaler Switch fungieren, in diesem Zustand kann dann auch Familie A auf das Netzwerk von Familie B zugreifen, das ist vollkommen ok so.
• Wir planen derzeit mit 24 Ports, die wir insgesamt brauchen (3x PoE+ für die Access Points, 2x Doppeldosen für Familie A, 8x Doppeldosen für Familie B, ein Port für opnSense/Router)
• Zukünftig: Ich hätte gerne für Familie A und B jeweils (mind.) ein VLAN, sodass die Netzwerke voneinander getrennt sind. Zusätzliche VLANs würden später evtl. dazu kommen.

Fragen​

• Auf was gilt es besonders zu achten? Ist ein Layer2 oder Layer3 Switch besser geeignet?
• Gibt es evtl. sogar Produkte, die ihr empfehlen könnte?

Vielen Dank schon mal

 

[Barungar]

In jedem Stockwerk (3 an der Zahl) gibt es einen Ubiquiti U6-Pro Access Point.

Wenn Du schon Dein WLAN mit diesem Hersteller betreibst, was spricht denn dann gegen dessen Switchen? Grundsätzlich kann es Vorteile haben, wenn man nicht viele Hersteller mischt. Da Du schon aktive Netzwerk-Hardware von Ubiquiti hast, wären die Switche nur konsequent. Oft gibt es dann auch hersteller-spezifische Features, die man nutzen kann.

Ansonst bin ich immer sehr gut mit Switchen von Cisco, tpLink und ZyXEL gefahren. MikroTik kenne ich persönlich nicht, aber deren Geräte machen zumindest einen grundsoliden Eindruck auf mich.

 

[blurrrr]

Also wenn man in der Thematik nicht sonderlich bewandert ist, sind die Mikrotik-Dinger schon ein ziemlicher Overkill... Für den Start einfach etwas günstiges nehmen.

Managed, PoE, 24-Port (z.B. Netgear GS724TPv3) ist vermutlich eher teurer als 1x managed, 24-Port + x-Port, managed, PoE, ich habe bei mir für die Hausverkabelung generell einen 24er managed (ist ein Zyxel, Modell weiss ich grade nicht, aber sowas wie der GS1900-24E) + 8er managed zwecks PoE (DGS-1100-08P, der war bei der Anschaffung aber definitiv niemals so teuer, der lag damals preislich eher wie der Netgear GS308EP).

Somit wäre man bei dem 24er managed bei ~100€ + 8er PoE ~80€, macht zusammen irgendwas unter 200€. Alternativ halt sowas wie den Zyxel GS1900-24EP, alles in einem Gerät, liegt bei knapp 250€ ... fällt das Ding allerdings aus, liegt direkt "alles" brach. Fällt im o.g. Konstrukt mal was aus, betrifft es halt entweder die verkabelten Endgeräte (ohne PoE), dafür läuft aber das WLAN noch, oder es betrifft nur das WLAN (nebst dem Preis auch ein Grund, warum ich das hier so gemacht habe).

 

[GoneTomorrow]

Vielen Dank schonmal für die Antworten!

Wenn Du schon Dein WLAN mit diesem Hersteller betreibst, was spricht denn dann gegen dessen Switchen? Grundsätzlich kann es Vorteile haben, wenn man nicht viele Hersteller mischt. Da Du schon aktive Netzwerk-Hardware von Ubiquiti hast, wären die Switche nur konsequent. Oft gibt es dann auch hersteller-spezifische Features, die man nutzen kann.

Daran habe ich tatsächlich auch gedacht, allerdings sind die Switches von Ubiquiti schon ziemlich teuer, wenn ich vergleichbares auch mit der Hälfe vom Preis hinbekomme, müsste Ubiquiti schon gute Argumente liefern.

Managed, PoE, 24-Port (z.B. Netgear GS724TPv3) ist vermutlich eher teurer als 1x managed, 24-Port + x-Port, managed, PoE, ich habe bei mir für die Hausverkabelung generell einen 24er managed (ist ein Zyxel, Modell weiss ich grade nicht, aber sowas wie der GS1900-24E) + 8er managed zwecks PoE (DGS-1100-08P, der war bei der Anschaffung aber definitiv niemals so teuer, der lag damals preislich eher wie der Netgear GS308EP).

Das ist auch ein interessanter Ansatz, den ich gut nachvollziehen kann. Sollte es ein managed Switch sein (gerade in Bezug auf VLAN)?
Der GS1900 ist ja ein Layer2 Switch, kannst du mir da noch eine Einschätzung geben, inwiefern Layer2 oder Layer3 in meinem Setup wichtig wäre?

 

[blurrrr]

Wenn ein Switch nicht "managed" ist, kann er meist eher weniger mit VLANs.

Die "Layer" beziehen sich auf das OSI-Schichtenmodell, VLANs findest Du auf Layer2 (MAC), Layer3-Switche können z.B. auch Routing (IP), kosten aber meist einiges mehr, als die L2-Switche. Zudem sind sie auch meist deutlich umfangreicher bzgl. der Optionen, so dass es grade für den Einstieg nicht sonderlich förderlich ist, wenn man direkt mit x Optionen konfrontiert ist. Bei einem (einfachen) L2-Switch sind wie Optionen schon deutlich übersichtlicher, so dass man sich auch als Anfänger jetzt nicht ganz so extrem überfordert fühlt, wie evtl. mit einem L3-Switch.

Ist aber auch nur eine persönliche Meinung, das ist miunter auch einfach Geschmackssache... Da Dein zentraler Dreh- und Angelpunkt - zumindestens so wie ich es verstanden habe - aber wohl sowieso die Firewall sein soll, bringt da ein L3-Switch nicht wirklich Vorteile (ausser Du willst noch extra eigene Subnetze über die Switche abbilden, aber das willst Du vermutlich eher über die Firewall machen).

Ich denke, es wäre einfacher für Dich, wenn das Konstrukt ungefähr so aufgebaut ist...

Firewall <-> Switche <-> Accesspoints/Netzwerkdosen
    -----------------------------(Netz1)
    -----------------------------(Netz2)
    -----------------------------(Netz3)

... und nicht z.B. so...

Firewall <-> Switche <-> Accesspoints/Netzwerkdosen
    ----------(Netz1)
                  ----------------(Netz2)
                  ----------------(Netz3)
                  ----------------(Netz4)

... oder gar ein Mischmasch aus allem.

Wenn Dir das irgendwann zu langweilig wird (oder was für Gründe auch immer Du da haben könntest), kannst Du natürlich auch noch umsatteln, aber für einen einfachen Betrieb würde ich definitiv zu einem L2-Switch greifen. Habe ich hier (privat) auch laufen und es tut einfach wie es soll und diese x Optionen braucht man privat (meiner Meinung nach) sowieso nicht.

 

[GoneTomorrow]

Die "Layer" beziehen sich auf das OSI-Schichtenmodell, VLANs findest Du auf Layer2 (MAC), Layer3-Switche können z.B. auch Routing (IP), kosten aber meist einiges mehr, als die L2-Switche. Zudem sind sie auch meist deutlich umfangreicher bzgl. der Optionen, so dass es grade für den Einstieg nicht sonderlich förderlich ist, wenn man direkt mit x Optionen konfrontiert ist. Bei einem (einfachen) L2-Switch sind wie Optionen schon deutlich übersichtlicher, so dass man sich auch als Anfänger jetzt nicht ganz so extrem überfordert fühlt, wie evtl. mit einem L3-Switch.

Ok, vielen lieben Dank für die Erklärung! Dann würde ich auf jeden Fall zu einem managed L2 Switch greifen. Das mit der Firewall hast du genau richtig verstanden

 

[the other]

Moinsen,
zu klären wäre dann noch: willst du bei 1 Gbit/s LAN bleiben oder planst du auf 2,5 GBit/s oder schneller aufzurüsten? Dann lieber gleich daran denken...
Wenn die unifi switche zu teuer sein sollten: einfache switche von zB TP-Link bieten für wenig(er) Geld auch eine "smart-managed" Oberfläche (Zugriff per Browser) und können VLANs...
ZB: https://www.amazon.de/TP-Link-TL-SG2428P-Switch-Jetstream-Gigabit/dp/B08FHLMCXL?th=1

Alles andere haben @blurrrr und @Barungar eigentlich schon gut geschildert...
Die OPNsense organisiert dann die VLANs und Zugriffsrechte.
Viel Spass beim Anfangen und wenn dann irgendwas Kopfschmerzen macht gerne melden...

 

[blurrrr]

Lieber "einfach" anfangen und wenn es einen dann doch noch packen sollte, kann man ja noch immer richtig Gas geben, aber zum Einstieg ist es wohl besser, wenn man erstmal nicht etliche Dinge um die Ohren geschmissen bekommt. Wünsche viel Erfolg mit Deinem Projekt und bei Fragen/Problemen - einfach melden

 

[GoneTomorrow]

So, ich habe mal ein bisschen gestöbert und mir Folgendes überlegt:
Ich würde dem Tipp von @blurrrr folgen und zwei separate Switches kaufen, ein PoE+ für die Access Points und einen für LAN.

Für den PoE Switch habe ich mir den hier rausgesucht: TP-Link-TL-SG105PE.
Beim großen 24 Port Switch bin ich noch unentschlossen. Ich würde bei TP-Link bleiben, hier hätte ich zwei zur Auswahl: TP-Link-TL-SG1024DE. Der ist günstiger, in den Bewertungen ist oft von schlechter VLAN-Unterstützung die Rede. Die Frage, die ich mir stelle ist, ob das für mich so relevant ist, weil ich die VLANs ja über die Firewall verwalten möchte.

Als Alternative würde dieser hier gehen: TP-Link-TL-SG3428. Preislich sind beide im grünen Bereich.

Hättet ihr hier noch einen Ratschlag für mich?

 

[blurrrr]

Keine Ahnung, aber ich glaube, ich hab die Bewertung (welche Du vermutlich meintest) gesehen und muss schon sagen... "naja..." (Management-Netz via (default) VLAN1 muss man auch nicht mehr wirklich was zu sagen...). Hier rödelt noch so ein alter TP-Link (24er) vor sich hin, war teilweise mal etwas "zickig" bei der Einrichtung neuer VLANs (Reboot hat aber geholfen), aber ansonsten läuft das Ding einwandfrei, ebenso die anderen Switche... Ist mitunter auch "Geschmackssache", hier sind "privat" TP-Link (24er, günstig bekommen), Netgear (5er) und D-Link (8er PoE) vertreten.

Im Grunde ist es auch so ziemlich egal für welchen Hersteller Du Dich entscheidest, unter'm Strich kochen sie alle nur mit Wasser und Deine Anforderungen sind ja nun auch nicht gigantisch, von daher spielt es eigentlich keine Rolle, ob Du TP-Link, D-Link, Netgear oder sonstwas nimmt, solange es Deinen Anforderungen entspricht. Bei Firmen wie HP und Co. zahlst Du halt für den Namen auch nochmal drauf, allerdings will man sich ab einer gewissen Preisklasse auch "wirklich" auf die Dinger verlassen können, weswegen man dann eher Abstand von z.B. TP-Link nimmt, da die eher weniger im Enterprise-Segment tätig sind. Also beschränkt auf das SOHO-Segment ist man mit dem o.g. Firmen schon ganz gut dabei... 24er managed, 5er managed+PoE, Hersteller ist eigentlich egal bzw. Geschmackssache

 

[EOL2707]

Hi,
bei der Auswahl von Netzwerk-Geräten achte ich auch darauf, wie die Versorgung mit aktueller Firmware aussieht. Und in diesem Punkt hat TP-Link nach meiner Erfahrung eher schlechte Karten: Nach einem, vielleicht zwei Firmware-Updates ändert TP-Link die Hardware-Revision, was normalerweise bei anderen Herstellern kein Problem darstellt. TP-Link allerdings bringt dann Firmware-Updates nur noch für die neueste Hardware-Revision raus, was die Geräte sicherheitstechnisch schnell veralten lässt.

Ich hatte längere Zeit zwei 28-Port-Switche (dasselbe Modell mit unterschiedlicher Hardware-Revision, Kauf mit 1 Jahr Abstand) im Einsatz. Davon mal abgesehen, dass die Geräte regelmäßige Reboots benötigt haben, wenn sie sich nicht irgendwann von selbst aufhängen sollten, waren die beiden Geräte durch unterschiedliche Firmware-Stände (wegen der Hardware-Revision) derart inkompatibel, dass z.B. eine Stack-Konfiguration zwischen ihnen nicht funktioniert hat. Seitdem meide ich TP-Link, obwohl die Preise schon attraktiv sind. Bei den kleinen Managed-Switchen kann man das VLAN#1 nicht aus der Konfiguration herausnehmen, weil bei diesen Einstiegsmodellen kein Management-VLAN ungleich 1 definiert werden kann.

Aufgrund des Preises habe ich mich vor Kurzem wieder "verführen" lassen, einen 5G-Router von TP-Link als Access-Router anzuschaffen. Auch diesen Kauf habe ich ca. 2 Wochen nach dem Kauf schon bereut, da eingehende Verbindungen unerwartet, aber regelmäßig nicht mehr funktionieren. Es ist wie (fast) immer bei TP-Link: Ein Reboot beseitigt das Problem.

Wenn es denn keine Mikrotik-Switche sein sollen (mit SwOS als Alternative zu RouterOS ist die Konfiguration gar nicht "so schlimm"), dann sind nach meiner Erfahrung im Lowcost-Bereich die Geräte von Zyxel recht zuverlässig. Und lassen sich sogar auf ein anderes Management-VLAN konfigurieren.

VG

 

[blurrrr]

@EOL2707

Da ich mich mit Switches noch nicht wirklich auskenne, wollte ich mal nach Erfahrungen und Empfehlungen fragen

Sowas sollte man nicht ausser unbedacht lassen, grade wenn es um die Konfigurationsvielfalt der Mikrotik-Geräte geht. Im Hinblick auf den TO dürfte Stacking wohl kaum eine Rolle spielen

 

[the other]

Moinsen,
Ich hatte anfangs auch die kleinen tplink switche (5 Port und 8 Port, smart-mamaged via browser) im Einsatz. Für "ohne Ahnung" und erste Schritte Richtung vlans war das auch gut, gerade weil die Dinger echt einfach gestrickt sind. Wie es sich mit den größeren Modellen verhält kann ich nicht sagen.
Nach ein paar Monaten wollte ich dann aber auch mehr Funktionen, als die kleinen TPlinks boten. Ich bin mit cisco dann am anderen Ende der Preisspanne angelangt. Auch nur je 8 bzw 10 Ports, Soho Modell, erfüllt meine Bedürfnisse voll (90 % der Optionen ungenutzt).
Jetzt bin ich am Suchen, denn ich möchte im Netzwerk allmählich umbauen. Kein komplettes 10 GBit Netz, aber 2,5 sind ja heute bei fast jedem guten Mainboard dabei und wären durchaus nett (und mal sehen wie die Zukunft dann aussieht). Daher tendier ich wg von cisco, einfach des Preises wegen...1300 Euro für einen switch im hobbykeller-setting...ähh, nein. Bin also auch bei Zyxel hängen geblieben (aktuell der Favorit) mit flexiblen mGbit Option: https://www.amazon.de/Zyxel-XS1930-10-Commutateur-Intelligent-10GBase-T/dp/B088YKZC1X.
Hat hier vielleicht jemand eigene Erfahrungen damit?
Mikrotik bietet mir da leider auch nichts, abgesehen davon benötigen die "schnellen" Modelle doch eben Router OS, und das hab ich virtuell (im browser > https://mikrotik.com/software) angeschaut...öh, ne. Nicht meins, vielleicht wenn ich in Rente gehe und Zeit habe.

 

[Barungar]

Ich hab' ja auch oben geschrieben, dass ich mit ZyXEL sehr zufrieden bin; es erstaunt mich doch, wie oft ich hier jetzt ZyXEL gelesen habe.