Geräte unterteilen und Netzwerk strukturieren

[JavaMafia]

Hallo,

würde gerne mein Netzwerk besser strukturieren. Weis aber noch nicht ganz wie.

Aktuell ist das Netzwerk wie folgt aufgebaut.
Fritz Box 6591

• Internetzugang
• Lan 1 Switch (D-Link DGS-1210-48)
• Lan 2 Netzwerk Drucker
• Lan 3 Smart TV

Switch Serverschrank (D-Link DGS-1210-48)

• hier sind alle Geräte im Haus angeschlossen
  • Smart TV's und Multimedia
  • Smart Home
  • Energie Management
  • PC's
  • ioT
  • Frtiz Repeater 1200AX
• Port 49 Switch Anbau (D-Link DGS-1210-08P)
• Port 50 Switch Garten (D-Link DGS-1210-08P)
• Port 51 Switch für PoE Geräte im Serverschrank (D-Link DGS-1210-08P)

PoE Switch Serverschrank (D-Link DGS-1210-08P)

• alle PoE Geräte im Serverschrank
  • Netzwerkkameras
  • Raspberry Pi's

Switch Anbau (D-Link DGS-1210-08P)
Port 9 (SFP) zum Serverschrank

• Energie Management
• Netzwerkkameras
• div Geräte
• Fritz Repeater 6000

Switch Garten(D-Link DGS-1210-08P)
Port 9 (SFP)zum Serverschrank

• Energie Management
• Netzwerkkameras
• div Geräte
• Fritz Box 7490 (als Repeater für wLan und DECT)
• Smart Home

Würde es glaube ich, sofern es mit meinen Geräten möglich ist, das in mehrere IP Bereiche unterteilen. Da ich mir vorstellen kann das eine VLAN Zuordnung bei den eingesetzten wLan Repeatern problematische werden könnte. Da nicht alle Geräte per Kabel verbunden sind.

Oder gibt es noch andere Möglichkeiten ein Netzwerk besser zu strukturieren.

 

[Barungar]

Wenn Deine Switche Revision G sind, dann haben sie hinreichende Layer 3 Fähigkeiten, dass Du Deine LAN in VLANs inklusive eigenes IPv4-Subnetze aufteilen kannst. Damit es auch mit IPv6-Subnetzen funktioniert, wirst Du entweder noch zusätzlich z.B. eine pfSense oder OpenSense benötigen ... oder aber "richtige" Layer 3-Switche. Die D-Link 1210 sind eher, nennen wir es mal, Layer 2+ Switche.

 

[Loxley]

Unterteile das einfach in mehrere IP-Bereiche. Z.b. 192.168.178.1 /22. Damit hättest Du 4 IP-Bereiche mit jeweils 254 Adressen:
192.168.176.1 - 192.169.176.254 / 192.168.177.1 - 192.169.177.254 / 192.168.178.1 - 192.169.178.254 /
192.168.179.1 - 192.169.179.254
Du musst dann bei allen fest adressierten Geräten die Netzwerkmaske 255.255.252.0 verwenden um Zugriff auf alle Adressen zu haben.

 

[svenyeng]

Hallo!

Ich würde alles so lassen wie es ist.
Warum VLANs? Das macht es nur schwieriger und komplizierter.

Gruß
sven

 

[Barungar]

Weil VLANs Ordnung ins Netz bringen. ;-) Ich nutze auch VLANs.

 

[JavaMafia]

@Barungar:
Die Switche haben alle die Hardware Version G. Wobei ich sagen muss, dass das DGS-1210-48 G3 hat und die anderen G1.
Ich denke das ich die anderen, wenn noch updaten muss.

Würde jetzt ungern wieder die Switche Tauschen. Wollte auch ursprünglich kein Manage Switch (DGS-1210-48), dies wurde mir fälschlicherweise geschickt.

Wie würden sich meine Repeater im VLAN verhalten?

Für die beiden Programme, was wird da für eine Hardware benötigt?

 

[Barungar]

Die FritzRepeater sollten im gleichen VLAN sein, wie die FritzBox ... wenn Du alle Features nutzen möchtest.
Ich bin mir nicht sicher, ob z.B. eine Aufnahme des Repeaters in MESH funktioniert, wenn er nicht im gleichen Layer 2 Netz ist.
Und mit einem VLAN würdest Du ja genau diese Trennung auf Layer 2 herbeiführen.

Du kannst die FritzRepeater dann immer noch als standalone LAN-Brücken verwenden, die sogar das IP-Netz des jeweiligen VLANs dann ausstrahlen könnten! In dem Moment solltest Du denen dann aber auch eigene SSIDs geben, die in Zusammenhang mit dem jeweilgen VLAN stehen.

Wobei ich anmerken möchte, dass die FritzBox nur als DHCP Server im eigenen VLAN, also das in dem sie sich direkt befindet agieren würde. Und der DHCP-Server der FritzBox ist nicht Multi-VLAN fähig. Das heißt Deine Switche haben zwar DHCP-Helper, die die die DHCP-Requests der einzelnen VLANs an einen "zentralen DHCP" weiterleiten könnten, aber die FritzBox "versteht" das nicht.

Heißt im Umkehrschluss auch, dass Du in allen VLANs außer dem der FritzBox ausschließlich mit statischen IP-Konfigurationen arbeiten kannst. ODER Du setzt Dir auf noch einen DHCP-Server auf... oder halt Layer 3+ Switch (diesmal mit +) weil Layer 3 allein auch kein DHCP bereitstellt.

Man kann also sagen, wenn man an dem Punkt ankommt, dass man VLANs haben möchte, dann braucht es dirgendend mehr Netzwerk-Equipment als eine FritzBox. Ideal wäre eine kleine Firewall aka pfSense oder OpenSense.... die könnte all diese Jobs erledigen. Also "zentraler DHCP" sowohl für IPv4 als auch IPv6. Routing mit IPv4 und IPv6 zwischen den VLANs. ACLs zwischen den VLANs und all das, was man eben so "haben möchte", wenn man VLANs hat.

 

[svenyeng]

Hallo!

Na ja, es geht bei VLANs weniger um Ordnung. VLAN machen ich, wenn ich mit meinen Access-Points mehrere WLANs (Netze) ausstrahlen will.
AVM Komponenten können aber kein VLAN.

Man braucht dann halt am besten einen Router oder eben ein Gateway (habe eines von TP-Link) was VLAN kann und auch mehrere DHCP Server (man braucht pro Netz einen) kann.

Ansonsten würde ich im Heimnetz keine VLANs einsetzen. Es macht alles nur kompliziert.
Am Ende muss man dann noch Router schreiben um von einem Netz Zugriff auf das andere zu bekommen.
Den Stress würde ich mir nicht antun.

Geht es um Ordnung im Netzwerk würde ich mir IP-Bereiche festlegen.

Beispiel:
FritzBox: 192.168.178.1
Server/NAS7Switche (feste IPs): 192.168.178.5 bis 192.168178.15
Drucker (feste IPs): 192.168.178.20 bis 192.168.178.10 (bis 5 würde vermutlich auch reichen. Wer hat zu Hause schon mehr als 5 Drucker).
AccessPoints: 192.168.178.20 bis 192.168.178.39
Smart-Home: 192.168.178.40 -. 192.168.178.80
DHCP-Bereich für Clients: 192.168.-178.100 - 192.168.178.254

So oder so ähnlich halt.
Da ich Gateway, Switch und APs eh via Cloud verwalte bekommen die einfach per DHCP eine IP und gut ist,

Gruß
sven

 

[blurrrr]

Drucker (feste IPs): 192.168.178.20 bis 192.168.178.10

Fast...

Drucker (feste IPs): 192.168.178.20

AccessPoints: 192.168.178.20

Großes Pfuipfui! Da fangen die Probleme schon an Ja schon klar, ging auch nur um die allgemein Beschreibung, ich hatte heute auch noch nicht genug Kaffee

Aber mal ernsthaft... Wenn noch Wissensdurst und Lernbereitschaft vorhanden ist, ist das Thema VLAN sicherlich ganz interessant, hilft bei der Unterteilung, einen gewissen Sicherheitsgewinn hat man auch noch und die eine vorhandene Broadcast-Domäne wird auch etwas entschlackt (somit brüllen sich nicht mehr "alle" Geräte gegenseitig an).

Wenn man einfach nur etwas Ordnung schaffen möchte, würde ich mich auch @svenyeng anschliessen (ich handhabe diese manuelle IP-Ordnung sowieso für alles was Dienste im Netzwerk für Clients anbietet). Der ganze schnöde Rest (Clients) bekommt dann dynamisch eine IP zugewiesen.

Wenn das von der Netzgröße her nicht passt, oder die kleinere Unterteilung nicht genehm ist, kann man sich auch überlegen, ob man dem Vorschlag von @Loxley folgt, das Netz größer skaliert, damit einfach mehr Platz vorhanden ist.

Ich persönlich setze auch privat VLANs ein, damit gewisse Dinge einfach strikt voneinander getrennt sind + ich noch zusätzliche Kontrollmöglichkeiten habe, wer hier intern überhaupt mit wem kommunizieren darf. Da braucht es aber - wie @Barungar schon sagte - auch entsprechendes Equipment für und eine gewisse Lernbereitschaft. Es ist ja nicht nur das Thema VLAN, sondern auch alles was derzeit einfach "automatisch" funktioniert z.B. wie schon erwähnt DHCP. Routing wirst Du auch mit zu tun haben und das größere Thema Firewall wird dann definitiv auch noch anstehen. Das ist alles weder "mal eben" gelernt, noch gemacht.

Ich denke, es würde mitunter erstmal Sinn machen, wenn Du Dir überlegst, ob Du es "geordnet" oder "getrennt" haben möchtest. Diese Frage entscheidet quasi alles. Wenn Du Dich für eine VLAN-basierte Lösung entscheiden solltest, nicht sofort losrennen und irgendwas kaufen/machen. Erstmal mit einem Stift und einem Blatt Papier (der Klassiker!) oder entsprechender Software (guckste mal hier rein) einen Plan ausarbeiten, in welchem keine Endgeräte zu sehen sind, sondern lediglich Router, Switche und Netzwerke (VLANs). Es können auch mehrere "Ansichten" Deiner Planung sein. Kannst nochmal hier reinschauen, da finden sich ein paar Sachen dazu, gibt vielleicht die ein oder andere Anregung.