Router ohne WLAN - sternförmige Verkabelung

[wonga]

Wenn du für die Gäste eine separate SSID anlegst können die doch immer noch auf dein LAN zugreifen oder wie verhinderst du das?

Hallo Isitom

Ich habe die folgende Anleitung verwendet. Dies hat mich auf den Richtigen Weg gebracht. Das Ganz ist aber nicht gerade leicht verständlich. Hat mich einige Stunden gekostet und hatte mich auch schon selbst ausgesperrt.

https://www.studerus.ch/dnl/global/knowledgebase/G3000H_MSSID_VLAN-D.pdf

Der Clou an der Sache ist, dass alles über die gleichen Access Points geht. Päckchen aus einem bestimmten VLAN werden dann am managd Switch auf die DMZ geleitet statt ins normale interne Netz.

Gruss und viel erfolg

 

[isitom]

Danke! Werde mal schauen ob ich mir das antun will. Ansonsten surfen die Gäste halt wie bisher über einen separaten Router.

 

[Tom3425]

Wir haben Netzwerkmässig im Technikraum ein 19"-Rack, mit zwei Modems (1xSwisscom und 1xQuickline >Redundanz), als Firewall einen Cisco ISA570 (mit Dual-WAN, sonst würden die beiden Modems keinen Sinn machen ), dann zwei PoE-Switches Cisco SG300-28P, einen Cisco OnPlus Network Agent, ein APC-USV 1500. WLAN-seitig verwenden wir einen Ubiquiti Edge Router Pro (welcher die AP's über PoE mit Strom versorgt), 3 Ubiquiti UniFi AP AC AccessPoints und einen UniFi Cloud Key. Auf den AP's sind vier SID's konfiguriert, wovon einer als Gastnetz. Die Trennung der Gäste vom übrigen Verkehr wird über VLAN erledigt, welche sich von den WLAN-AP's über die Switches weiterzieht. Innerhalb des LAN's sind drei VLAN's definiert, welche den Traffic separieren und teilweise unterschiedlich priorisieren. Das ganze hat einen permanenter Verbrauch von 180-205 Watt, wobei ich mit Cisco Green Ethernet (Leistungsreduktion bei fehlendem Traffic) noch am pröbeln bin, um den Verbrauch weiter zu senken.

LAN ist sternförmig verkabelt mit Cat7-Kabeln und Cat6A-Dosen. Derzeit total 32 Indoor-Anschlüsse und 3 Outdoor-Anschlüsse. Als Abschlussdosen in den Räumen verwenden wir Feller EDIZIOdue Steckdosen 2xRJ45 geschirmt Cat6a (R&M Module). In den Leerrohren ist noch Platz für zusätzliche Kabel. Wir sind nun seit 3 Jahren in unserem Neubau und es sind doch die eine oder andere Zusatzanforderung an die Kabel und das Netzwerk hinzugekommen, was zeigt, dass eine Leerrohrplanung Sinn macht.

 

[wonga]

Danke! Werde mal schauen ob ich mir das antun will. Ansonsten surfen die Gäste halt wie bisher über einen separaten Router.

Wäre sicher das Einfachste ;-)

 

[f5b7]

[SIZE=inherit]In den Leerrohren ist noch Platz für zusätzliche Kabel. Wir sind nun seit 3 Jahren in unserem Neubau und es sind doch die eine oder andere Zusatzanforderung an die Kabel und das Netzwerk hinzugekommen, was zeigt, dass eine Leerrohrplanung Sinn macht.[/SIZE]

M25?

Danke für die ganzen Details, sehr interessant!

 

[Tom3425]

M25?

Der überwiegende Teil ist M25, daneben noch einige M32 bzw. M50 für Etagenverteiler.

 

[canaz]

Wir haben Netzwerkmässig im Technikraum ein 19"-Rack, mit zwei Modems (1xSwisscom und 1xQuickline >Redundanz), als Firewall einen Cisco ISA570 (mit Dual-WAN, sonst würden die beiden Modems keinen Sinn machen ), dann zwei PoE-Switches Cisco SG300-28P, einen Cisco OnPlus Network Agent, ein APC-USV 1500. WLAN-seitig verwenden wir einen Ubiquiti Edge Router Pro (welcher die AP's über PoE mit Strom versorgt), 3 Ubiquiti UniFi AP AC AccessPoints und einen UniFi Cloud Key. Auf den AP's sind vier SID's konfiguriert, wovon einer als Gastnetz. Die Trennung der Gäste vom übrigen Verkehr wird über VLAN erledigt, welche sich von den WLAN-AP's über die Switches weiterzieht. Innerhalb des LAN's sind drei VLAN's definiert, welche den Traffic separieren und teilweise unterschiedlich priorisieren. Das ganze hat einen permanenter Verbrauch von 180-205 Watt, wobei ich mit Cisco Green Ethernet (Leistungsreduktion bei fehlendem Traffic) noch am pröbeln bin, um den Verbrauch weiter zu senken.
LAN ist sternförmig verkabelt mit Cat7-Kabeln und Cat6A-Dosen. Derzeit total 32 Indoor-Anschlüsse und 3 Outdoor-Anschlüsse. Als Abschlussdosen in den Räumen verwenden wir Feller EDIZIOdue Steckdosen 2xRJ45 geschirmt Cat6a (R&M Module). In den Leerrohren ist noch Platz für zusätzliche Kabel. Wir sind nun seit 3 Jahren in unserem Neubau und es sind doch die eine oder andere Zusatzanforderung an die Kabel und das Netzwerk hinzugekommen, was zeigt, dass eine Leerrohrplanung Sinn macht.

/emoticons/default_blink.png:blink:B)

Ist so ein VLAN auf dem AP transparent bis zum Switch sichtbar? Ich dachte immer das wäre nur eine AP interne Geschichte. Wie funktioniert sowas? Paketmarkierung? Oder mehrere LAN-Ports am AP?

Gruss

canaz

 

[Tom3425]

/emoticons/default_blink.png:blink:B)

Ist so ein VLAN auf dem AP transparent bis zum Switch sichtbar? Ich dachte immer das wäre nur eine AP interne Geschichte. Wie funktioniert sowas? Paketmarkierung? Oder mehrere LAN-Ports am AP?

Gruss

canaz

Nein, bei Cisco und Ubiquiti ist VLAN keine interne AP-Geschichte, da diese AP's über einen Controller gemanaged werden (wäre aber auch schon nativ nicht eine interne Geschichte). Natürlich muss dann auch der Switch Layer3 unterstützen und die VLAN-tagged Pakete weiterreichen können.

 

[canaz]

Natürlich muss dann auch der Switch Layer3 unterstützen und die VLAN-tagged Pakete weiterreichen können.

VLAN können doch heute sicher die hälfte aller Switches. Von dem her wird vermutlich nicht ein sehr teurer echter L3-Switch benötigt.

Deine Installation ist echt beeindruckend, aber für eine 8015 Heiminstallation vermutlich overkill  (sag ja, sonst muss ich das auch haben :lol:  )

 

[tops4u]

Nun ein managed Switch muss es dann doch sein für aktive VLAN Unterstützung. Nun muss man sich aber überlegen ob man den zusätzlichen Stromverbrauch sowie die höhere HW Kosten wirklich antun will... Wenn ich von 200W Stromverbrauch 7x24 lese dann macht das auf das Jahr ca 420.- CHF Stromkosten! Dem entgegen habe ich mit einem unmanaged Switch und einem WLAN AP (Sowie Heimautomation Zentrale, DECT Basis, 2x Bay NAS, Firewall, Cable Modem, Rapsi Webserver und Arduino Messwertesammler) gerade mal 50W also ca 105.- CHF pa. 

Wozu braucht man PoE? Ich würde nie einen Switch mit PoE kaufen wenn man nicht schon einen konkreten Anwendungsfall dafür hat. Die Dinger die PoE Unterstützen haben einen X-Fach höheren Stromverbrauch da PoE so richtig Strom ziehen kann/könnte. Wenn es dann mal doch noch PoE braucht kann man sich immer noch einen PoE Adapter in die Leitung pflanzen. 

Da würde ich nicht mal 2x überlegen und mir für Gäste halt einen 2. AP kaufen und den dann direkt ohne Umweg über den internen Switch direkt an einen Firewall Port anschliessen und den AP dann nur bei Bedarf einschalten, und für die gesparten 300.- CHF mal mit der Gattin fein essen gehen. 

 

[canaz]

Gut es gibt auch managed Switches mit wenig Stromverbrauch. 200W ist schon recht extrem. Deine 50W finde ich sehr akzeptabel, insbesondere wenn noch ein NAS dabei ist.

 

[Tom3425]

Deine Installation ist echt beeindruckend, aber für eine 8015 Heiminstallation vermutlich overkill  (sag ja, sonst muss ich das auch haben :lol:  )

Doch doch, brauchst Du, ganz bestimmt... ;-)  Nein, wahrscheinlich nicht, allerdings sind die Anforderungen auch nicht 08/15, daher auch die Ausrüstung eher "Performance orientiert".

 

[Tom3425]

Wenn ich von 200W Stromverbrauch 7x24 lese dann macht das auf das Jahr ca 420.- CHF Stromkosten! Dem entgegen habe ich mit einem unmanaged Switch und einem WLAN AP (Sowie Heimautomation Zentrale, DECT Basis, 2x Bay NAS, Firewall, Cable Modem, Rapsi Webserver und Arduino Messwertesammler) gerade mal 50W also ca 105.- CHF pa. 

Wozu braucht man PoE? Ich würde nie einen Switch mit PoE kaufen wenn man nicht schon einen konkreten Anwendungsfall dafür hat.

Nur besteht eben die konkrete Anforderung an eine gemanagte Umgebung.

Und natürlich besteht für PoE ein konkreter Anwendungsfall, sonst hätte ich kaum PoE. Einerseits sind PoE-gespiesene IP-Telefone angeschlossen, PoE-gespiesene IP-Kameras und eine PoE-gespiesene Richtstrahlantenne (Ubiquiti). Die Funktion wird also tatsächlich auch genutzt ;-)

Und, die Stromkosten sind das eine, die Anforderung an Sicherheit und Traffic-Management die andere.

Und separater AP für Gäste bringt keinen Mehrwert, da ich auf den bestehenden Etagen-AP's ohnehin mehrere SSID's laufen haben (welche auch gebraucht werden... ...bevor Du fragst). Und dann bräuchte es mit Deinem Vorschlag mehrere AP's, da im Keller (konstruktionsbedingt) kein WLAN-Empfang aus den oberen Etagen mehr möglich ist. Wenn also ein Handwerker im Keller WLAN braucht, ginge das eh nicht.

 

[wonga]

Mein managed Swich braucht 25W (zyxel GS1920-24)

Dieser hat kin POE dafür ist er ohne Lüfter. Für POE hab ich dann einen kleineren unmanagd POE-Switch mit nur 4 Ports.

Du (canaz) brauchst also einen managed Switch, da du sonst die Päckchen mit den VLAN IDs nicht trennen kannst.

 

[tops4u]

Ich habe mal nachgeschaut. Wir haben diesen hier : http://www.zyxel.ch/de/products/zyxel-gs1100-16/

Maximaler Stromverbrauch 8.1W für 16 GBit Ports - aber unmanaged.

 

[Tom3425]

Bezüglich Stromverbrauch möchte ich meine erwähnten 200 Watt Dauerleistung unserer Infrastruktur im Technikraum noch kurz kommentieren, da hier einige Forum-Teilnehmer dies als extrem empfinden:

In den 200 Watt sind nebst zwei Modems (Swisscom und Kabelnetzbetreiber), ein Business-Firewall, drei PoE-Switches, ein Netzwerk-Agent, 3 Ubiquit AP AC AccessPoint (über PoE gespiesen). 1 Richtantenne Ubiquiti NanoStation M, 1 Apple MacMini Server, sowie 5 IP-Cam's und 2 IP-Telefone. Ferner hat auch die USV einen minimalen Eigenverbrauch.

Zusammengefasst sind die 200 Watt relativ und nicht wirklich hoch.

 

[Fire]

Ich habe mal nachgeschaut. Wir haben diesen hier : http://www.zyxel.ch/de/products/zyxel-gs1100-16/

Maximaler Stromverbrauch 8.1W für 16 GBit Ports - aber unmanaged.

Ja, der steht auch schon auf meiner Einkaufsliste. Unmanaged ist OK für mich.

Hat jemand noch einen guten Tip für Router/Firewall?

 

[tops4u]

Ich habe eine Zywall USG 20. Einrichtung ist nicht ganz trivial aber läuft mitlerweile ganz gut. Habe eine DMZ für Webserver und VPN wenn ich Unterwegs mal was Zuhause machen will z.b. auf die NAS Cloud, Webcam  oder die Heimautomation zugreifen.

Wenn man sieht was alles über die Modems reinkommt ist eine Firewall schon fast pflicht. Zudem filtert sie auch ausgehenden Verkehr - es muss ja nicht jedes Gerät Nachhause-Telefonieren.

 

[canaz]

Hat jemand noch einen guten Tip für Router/Firewall?

Ich habe mir einen http://pcengines.ch/apu2c4.htm bestellt den ich als Router und Firewall verwenden will. Software ipfire oder pfsense, da habe ich mich noch nicht entschieden.

Zyxel GS1100 habe ich auch schon angeschaut. Vom Stromverbrauch top, aber ich möchte schon gerne managed.../emoticons/default_rolleyes.gif

 

[isitom]

Du hast schon bemerkt, dass das BIOS des Motherboards noch nicht fertig ist? Ich habe pfSense und bin zufrieden damit. Läuft virtualisiert. So kann ich einfacher Sicherungskopien ziehen.