VLAN? Managed Switch / Smart-Managed Switch für NAS Anschluss?

CeoN

Fleet Captain Special
★ Themenstarter ★
Mitglied seit
18.02.2003
Beiträge
310
Renomée
2
Ich bräuchte Hilfe zu den Theman VLAN, Smart-Managed Switches und Managed Switches Unterschied.

Mein Ziel ist, mein kürzlich gekauftes NAS nur von meinen Geräten aus ansteuerbar und sichtbar zu machen. Im Anhang habe ich meine angedachte Netzwerktopologie kurz skizziert. (Rechtsklick in neuem Tab öffnen, sonst ist die Schrift nicht zu lesen, da schwarzer Hintergrund die Transparenz ausfüllt!)

- Nur PC2 und PC3 sollen Zugriff auf das NAS haben.
- PC1,2,3 wollen alle ins Internet.
- Aber das Internet soll niemals Zugriff auf das NAS haben, genausowenig wie alle Elemente auf Routerebene. D.h. im Fall des Anhangs: PC1 nicht!

Was brauche ich nun?

Reicht mir ein Smart-Managed Switch, welche VLAN Fähigkeiten haben, (meiner Recherche nach Layer-2-Switch) wie z.B.:
Cisco SG200-08, ca.80€

oder benötige ich schon Managed Switche (Layer-3-Switch) für mein Vorhaben, wie z.B.:
Cisco SG300, ca. 150€

oder brauche ich gar etwas ganz anderes?

Reguläre (unmanaged) Switche ~10€ reichen ja jedenfalls nicht aus, da diese einfache Portreplikatoren wären.
 
Zuletzt bearbeitet:

Dalai

Grand Admiral Special
Mitglied seit
14.06.2004
Beiträge
7.395
Renomée
249
Standort
Meiningen, Thüringen
Kann man im NAS nicht Zugriffsrechte setzen? Dann spart man sich den Aufwand der Einrichtung und natürlich auch Geld für einen Switch. Oder hast du Geld beim Kauf des NAS gespart und man kann dort keine Zugriffsrechte setzen?

MfG Dalai
 

CeoN

Fleet Captain Special
★ Themenstarter ★
Mitglied seit
18.02.2003
Beiträge
310
Renomée
2
Ich will nicht nur keinen Zugriff zulassen, ich will eigentlich, dass das NAS nur mit den am Switch angeschlossenen geräten kommunizieren kann darf, also Steuerung durch den Switch!
Die NAS IP soll einfach nicht vom Switch bekanntgemacht werden auf Routerebene.

Das NAS wäre ein Qnap412, das könnte natürlich mit Zugriffsrechten umgehen.

Zudem soll der Switch ein Gigabit Switch werden, was wiederrum der derzeitige Router nicht kann.
 

Dalai

Grand Admiral Special
Mitglied seit
14.06.2004
Beiträge
7.395
Renomée
249
Standort
Meiningen, Thüringen
Für den Unterschied zwischen Managed und Smart Managed bietet die deutsche Wikipedia leider nichts, aber dafür die englische Wikipedia.

Zugriffsrechte würde ich aber unabhängig davon setzen, denn was machst du, wenn dein (Managed) Switch aussteigt und du (temporär) einen Unmanaged benutzen musst?

MfG Dalai
 

eR1K1

Vice Admiral Special
Mitglied seit
12.01.2008
Beiträge
797
Renomée
10
Standort
Berlin
  • BOINC Pentathlon 2012
Ich empfehle dir die Zugriffsbeschränkungen auf der QNAP zu erstellen. Entweder über Benutzerrechte oder über ACLs. Ich verstehe auch richtig das du keine Updates auf der QNAP durchführen möchtest oder möchtest du diese dann von Hand installieren?

Darüber hinaus solltest du in deinem Internetrouter alle unnötigen Ports die über das Internet erreichbar sind schließen. Bei den meisten Geräten wird das von Hause aus schon getan.
 

gumi

Commander
Mitglied seit
06.11.2004
Beiträge
184
Renomée
3
  • RCN Russia
  • Spinhenge ESL
  • Docking@Home
Der Layer 3-Switch kann IP routen, aber er kann kein NAT oder Firwewalling Richtung Router. Wenn du mit VLANs arbeitest müsstest du die Pakete auf den PC 2 und 3 oder/und auf dem NAS dazu auch noch taggen. Das macht das Setup kompliziert.

Ich rate dir daher auch von der Konstruktion mit dem Layer 3-Switch ab. Hänge alle Geräte an einen billigen GBit-Switch (hinter dem Router) und mach den Rest über die Berechtigungen im NAS.

Alternativ besorg dir einen Router, der einzelne Ports für "Gäste" freigeben kann (oder ein Gast-WLAN alternativ zum normalen anbietet). Dann hast du die Trennung der Netze schon im Router und alles ist viel einfacher.
 

CeoN

Fleet Captain Special
★ Themenstarter ★
Mitglied seit
18.02.2003
Beiträge
310
Renomée
2
Meinst du mit Router mit Gastports, einen Router als Ersatz für den Router im Bild oder soll dieser statt den Platz des Switches einnehmen?

Davon abgesehen, mir gehts eigentlich darum, dass ich mich mit meinen Geräten ein einen Port des bestehenden Internetrouters hänge, egal wo ich bin d.h. ich habe keinen Zugriff auf die Einstellungen des Routers. Effektiv bräuchte ich eben den Router hinter dem Router, der genauso nach außen nur seine IP zeigt, ich dachte diese Switche erfüllen das :(
 
Zuletzt bearbeitet:

netghost78

Fleet Captain Special
Mitglied seit
08.05.2005
Beiträge
251
Renomée
2
Standort
Schmalkalden
Wenn du an dem Router nix einstellen kannst, weil du keinen Zugriff darauf hast, bleibt nur, einen eigenen kleinen Ethernet-Router einzusetzen. Damit bist du alleine in deinem Netz.
 

CeoN

Fleet Captain Special
★ Themenstarter ★
Mitglied seit
18.02.2003
Beiträge
310
Renomée
2
Du meinst also, ein Standard Router, wie ich ihn normalerweise an den DSL-Splitter anschließe kann ich auch hinter den ersten Router setzen und habe damit die gleichen Vorteile? Oder ist das noch ein anderer "Routertyp"? Heißt gleichzeitig, die Managedswitche sind nicht das was ich brauche?
 

ghostadmin

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
24.817
Renomée
138
Standort
Dahoam Studios
Der Layer 3-Switch kann IP routen, aber er kann kein NAT oder Firwewalling Richtung Router.

VLAN ist Layer2 und nicht Layer3.

Der Unterschied zwischen Smartmanage und Manage ist meist der das smartmanage günstiger ist und nur ein Webinterface hat.
Mit dem Layer hat das erstmal nichts zu tun.

Auf allen Endgeräten muss man auch das VLAN einstellen sofern es nicht nativ (=1) ist.
 
Zuletzt bearbeitet:

CeoN

Fleet Captain Special
★ Themenstarter ★
Mitglied seit
18.02.2003
Beiträge
310
Renomée
2
Was wiederrum mein Qnap412 nicht unterstützt :(. (VLAN)
 

tomturbo

Technische Administration, Dinosaurier
Mitglied seit
30.11.2005
Beiträge
9.343
Renomée
601
Standort
Österreich
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
  • BOINC Pentathlon 2021
Auf allen Endgeräten muss man auch das VLAN einstellen sofern es nicht nativ (=1) ist.
Nur wenn es getagged ist.
1 ist nicht zwangsweise das default VLAN, kommt drauf an was man einstellt.
 

tomturbo

Technische Administration, Dinosaurier
Mitglied seit
30.11.2005
Beiträge
9.343
Renomée
601
Standort
Österreich
  • SIMAP Race
  • QMC Race
  • Spinhenge ESL
  • BOINC Pentathlon 2013
  • BOINC Pentathlon 2014
  • BOINC Pentathlon 2015
  • BOINC Pentathlon 2016
  • BOINC Pentathlon 2017
  • BOINC Pentathlon 2019
  • SETI@Home Wow!-Event 2019
  • BOINC Pentathlon 2021

SirGalahad5

Vice Admiral Special
Mitglied seit
11.11.2001
Beiträge
860
Renomée
4
Standort
Nahe Stuttgart
Ich bräuchte Hilfe zu den Theman VLAN, Smart-Managed Switches und Managed Switches Unterschied.

Mein Ziel ist, mein kürzlich gekauftes NAS nur von meinen Geräten aus ansteuerbar und sichtbar zu machen. Im Anhang habe ich meine angedachte Netzwerktopologie kurz skizziert. (Rechtsklick in neuem Tab öffnen, sonst ist die Schrift nicht zu lesen, da schwarzer Hintergrund die Transparenz ausfüllt!)

- Nur PC2 und PC3 sollen Zugriff auf das NAS haben.
- PC1,2,3 wollen alle ins Internet.
- Aber das Internet soll niemals Zugriff auf das NAS haben, genausowenig wie alle Elemente auf Routerebene. D.h. im Fall des Anhangs: PC1 nicht!

Was brauche ich nun?

Reicht mir ein Smart-Managed Switch, welche VLAN Fähigkeiten haben, (meiner Recherche nach Layer-2-Switch) wie z.B.:
Cisco SG200-08, ca.80€

oder benötige ich schon Managed Switche (Layer-3-Switch) für mein Vorhaben, wie z.B.:
Cisco SG300, ca. 150€

oder brauche ich gar etwas ganz anderes?

Reguläre (unmanaged) Switche ~10€ reichen ja jedenfalls nicht aus, da diese einfache Portreplikatoren wären.

Zunächst mal zum Thema "Sicherheit und VLANs": VLANs limitieren eigentlich nur Broadcasts, d.h. VLANs sind eigentlich nicht für Sicherheitsanwendungen gedacht. Wenn du eine Leaky VLAN Implementierung im Router/Switch hast, dann reicht die Einrichtung eines statischen ARP Eintrags um Geräte im anderen VLAN zu erreichen.

Zudem kommst du mit reinen portbasierten VLANs hier (außer mit ein paar Tricks) nicht weiter. Das Problem ist, das Du bei portbasierten VLANs nur eine VLAN ID pro Endgeräteport am Switch zur Verfügung hast. D.h. ein Gerät das ungetaggt sendet (so gut wie alle Endgeräte), dessen Frames werden am Switchport mit dem jeweiligen Port VLAN Tag versehen. Sendet das Endgerät mit VLAN Tags und die VLAN ID entspricht nicht der Port VLAN ID, dann wirft der Switch das Frame weg (untrusted port) oder leitet es trotzdem weiter (trusted port).

D.h. der Traffic von PC2 und PC3 und dem NAS kann jeweils vom Switch nur einem VLAN zugeordnet werden. Leider dürfen aber das NAS und der Internetanschluss auch nicht im gleichen VLAN sein. D.h. du bräuchtest an den Switchports 1 und 2 jeweils 2 Port VLANs, eins mehr als möglich ist.

Eine Abhilfe sind protokollbasierte VLANs, da kann der Switch anhand des im Frame eingekapselten Protokolls erkennen, in welches VLAN er das Frame stecken soll. Aber das können die meisten kleinen managed Switche (noch) nicht.

Ein (theoretisch) möglicher Trick ist, an den Endgeräten (z.B. PC2) eine Applikation mit VLAN Tag senden zu lassen und eine andere Applikation ohne VLAN Tag. Dann musst Du noch den jeweiligen Switchport auf "trusted" setzen und die zweite VLAN ID als Port VLAN ID konfigurieren. So packt der Switch alle ungetaggt empfangenen Frames in ein VLAN und die getaggten Frames bleiben im zweiten VLAN. Das kannst Du aber nur machen, wenn du im Prinzip alles in den Endgeräten kontrollieren kannst (Applikation, Netzwerkkartentreiber,...). In 99,99% aller Fälle wird das im Hausgebrauch nicht der Fall sein.

Die in dem Fall beste Lösung ist vermutlich wirklich, das mit Berechtigungen im NAS zu lösen oder mit zwei Netzwerkkarten (jeweils für VLAN NAS und VLAN Internet) in PC2 und PC3. Das ist dann aber immer noch keine narrensichere Lösung (siehe leaky VLAN).

Edit: Ich sehe gerade, der von dir verlinkte SG300 von Cisco kann protokollbasierte VLANs. Damit ginge es dann, es verbleibt der (Un-)Sicherheitsaspekt.
 
Zuletzt bearbeitet:
Oben Unten