Hallo zusammen,

Ich möchte bei mir zuhause das Heimnetz anders aufteilen, die Kameras als auch die Management Zugänge (NAS) sollen einen eigenen IP-Bereich bekommen. Da ich Laie bin, hoffe ich dies konfiguriert zu bekommen. Hab mich daraufhin mal umgesehen und bin auf folgenden Switch gestossen.
Cisco SG250-18. Dieser hat in Summe 18 Port und sollte wenn ich das richtig interpretieren meinen Wunsch erfüllen, ist das richtig?
Was ich hier noch gerne gewusst hätte, wie funktioniert das nun im Zusammenspiel mit meiner FritzBox, dort bleibt der DHCP Server trotzdem an, richtig?

Ich danke euch für eurer Rückmeldung zu meiner Wahl und wünsche euch allen Frohe Ostern, bleibt gesund!

Wenn du die Bereiche wirklich abschotten willst kommst du entweder um ne ordentliche Firewall und/oder vlan und routen nicht drum rum. Der Switch ist schon obere Leistungsklasse fur zuhause. Wieviele ports brauchst du denn? Theoretisch gibt's auch günstigere smartswitches.

Ich brauche 13-Ports. So hätte ich noch 5 Ports als Reserve. Was mich immer wieder stutzig macht sind Angaben zur Backplane je mehr Ports ein Switch hat desto mehr Backplane benötigt er logischerweise oder? Aber nach welchem Wert kann ich mich hier richten? Es gibt doch sicher eine Art Faustformel um zu berechnen welche Backplane ich für mich benötige?
Der Grund wieso ich das machen möchte, ist zu verhindern das es zur Schleifenbildung kommt. Ich habe im Netzwerk noch einen 10G (Netgear XS708T) welcher die ganzen 10G Clients versorgt. Hier ist auch ein NAS drunter welches einmal über die 10GB Karte (IP Range 192.168.178.x) ans Netzwerk angeschlossen ist, als auch über den integrierten 1G LAN Anschluss(IP Range 192.168.178.x). Hier muss ich ja eine Trennung durchführen damit es nicht zur Bildung einer Schleife kommt, oder?
Dementsprechend möchte ich sämtliche Weboberfläche auf eine eigene IP Range legen um sie getrennt zu haben. Dazu brauche ich doch den Layer 3!?

Um Probleme mit Schleifen zu vermeiden gibt es das SpanningTreeProtokoll. Das ist auf Ethernetebene.
Ich nehme mal an, dass du nicht einfach verschiedene Ranges sondern Subnetze haben willst? Dann brauchst du einen Router. In der Fritzbox kannst du statische Routen zu anderen Subnetzen angeben, aber das DHCP zu trennen geht AFAIK nicht. Ich hatte auch schon billig Hardware, die überhaupt nicht mit Gateways zurecht kam. Und neulich habe ich eine ganze Zeit gebraucht, weil Windows Firewall Standardmäßig viele Zugriffe aus anderen Subnetzen blockiert.
Mir ist irgendwie nicht klar wie du das Netzwerk physikalisch und logisch aufbauen willst.

So wie ich das verstehe ist mit backplane die Router interne Übertragungsgeschwindigkeit gemeint.
Hohe raten brauchst du jedenfalls wenn du ein hohes traffic aufkommen im Netzwerk hast.
Es beschreibt einfach wieviel der switch intern Gleichzeitig verarbeiten kann. Bei 20gbit/ s können theoretisch 20 Geräte mit je 1 Gbit /s versorgt werden ohne Trosselung. Bitte korrigiert mich wenn ich falsch liege

Skizziere doch mal wie du dir den Aufbau vorstellst und schreib dazu warum was wie gedacht ist. Dann kann man sagen ob das sinnig ist oder anders zu lösen bessere/notwendig wäre.

https://abload.de/img/gescanntesbildgtk06.jpg

So ist nun der geplante Aufbau!
Da das NAS mit einer 10G Karte im Netz 192.168.178.x hängt als auch mit dem integrierten LAN1 kommt es hier ja zu einer Schleife. Da ich zwecks Wake on Lan der LAN1 brauche, dachte ich, ich könnte diesen einem VLAN zuweisen und so gesondert auf die Oberfläche kommen. Ich möchte schließlich das der Datentransfer ausschließlich über die 10G Verbindung läuft. Hier wird einmal ein Windows PC versorgt als auch ein iMacPro.

Die AccessPoint versorgen einmal das Heimnetz mit I-Net als auch über ein VLAN die Gäste.
Kann ich mit dem SG 250 eine andere IP Range generieren? Wie läuft das wenn ich Zugreifen möchte, muss ich ja bei der Netzwerkkarte die entsprechende IP ändern, oder?
Mein einziges Ziel in dieser Sache ist, das die 10G Geräte ihre 10G Verbindung auch nutzen und ich trotzdem die Wake on Lan Funktion des NAS nutzen kann, die eingebaute 10G Karte unterstützt dies nicht, daher brauche ich zwingend LAN 1! Da kam mir eben die Idee bzgl. Trennung von Heimnetz und Management Oberfläche NAS. Wenn das einfacher zu realisieren geht bin ich natürlich offen für Vorschläge!

Nimm der Gigabit Karte einfach die IP weg und gut ist.

Was hast du mit den IP-Ranges? Und jetzt noch VLAN.

Wenn du nicht überall feste IPs einstellen willst, brauchst du noch einen DHCP-Server für die verschiedenen Scopes, der in der FritzBox kann das nicht. Der Switch muss ein Layer3-Switch sein, VLAN-fähig. Wir haben uns damals für diesen von HP entschieden:
https://geizhals.de/hp-officeconnect-1950-24g-rackmount-gigabit-smart-switch-jg960a-a1273433.html
Der hat dann auch die notwendige DHCP-Relay Funktion (um die DHCP-Anfragen/Anworten in die Subnets weiterzuleiten), 4x 10GBit/s Anschlüsse (2x SFP+, 2x RJ45) und genügend 1GB-Anschlüsse.

Wir haben damit unser komplettes Netz in 6 Subnets aufgetrennt. DCHP-Server für die verschiedenden Scopes sind 2x Windows-Server im Failoverbetrieb.

@PatkIIIa
Wie meinst du das was ich mit den IP Ranges habe?
Mein Heimnetz ist im 192.168.178.x
Gast ist im 192.168.179.x und per VLAN 100 an die Ubiquitis durchverbunden damit ich sowohl als Gast als auch ins Heimnetz komme mit den entsprechenden SSIDs!
Hier wäre für Managment durch den neuen Switch ja ein weiteres VLAN möglich z.b. 10.10.10.1 dann könnte ich das sortieren und weiss das alle Weboberflächen im 10er Netz wären.
Oder denke ich zu kompliziert?Wenn ich LAN1 die IP nehme, kann ich das NAS ja nicht mehr per FritzBox starten (WOL)

@qiller
Der Cisco SG250 kann ja verschiedene IPs vergeben, so wie ich das lese ist es ein Layer 3 Switch, oder?

Wie meinst du das was ich mit den IP Ranges habe?Es klang so als ob du dein Heimnetz auch aufteilen wolltest.
Mein Heimnetz ist im 192.168.178.x
Wenn ich LAN1 die IP nehme, kann ich das NAS ja nicht mehr per FritzBox starten (WOL)Das geht per Ethernet. Es reicht ziemlich sicher, wenn in der Fritzbox das NAS mit MAC und IP eingerichtet ist, das NAS die IP aber nicht benutzt.

Du meinst damit, das ich die IP Adresse aus der Netzwerkschnittstelle im NAS raus lösche? Dann wird jene die in der FB angezeigt wird ja aber nicht mehr in Verbindung mit dem NAS gebracht!

das ist egal für wol. das magicpaket kann als broadcast ohne ip im netzwerk abgesetzt werden. sollte am nas auch ohne zugewiesene ip funktionieren. in der fb konfigurieren aber nicht beim nas.

Du meinst damit, das ich die IP Adresse aus der Netzwerkschnittstelle im NAS raus lösche? Dann wird jene die in der FB angezeigt wird ja aber nicht mehr in Verbindung mit dem NAS gebracht!
Genau.
Wie greifst du denn dann übers Inet auf das NAS zu? Eine Portfreigabe geht dann natürlich nicht.

Übers I-Net per DynDNS inkl. Portweiterleitung!
Der von mir gepostet Cisco SG250 kann so wie ich das sehe Layer 3 als auch DHCP Delay, sehe ich das richtig?

Übers I-Net per DynDNS inkl. Portweiterleitung!
Dann bräuchtest du zwei Portfreigaben. Eine fürs Aufwecken und eine für die Daten über die 10 Gb-Karte.

Wenn du jetzt verschiedene Subnetze machst, dann bleibt das WOL-Paket wahrscheinlich am Gateway hängen. Es sei denn du richtest eigene Weiterleitung, spezielle VLAN oder sonst was ein.
Klingt für mich bei einem privaten Netzwerk nach overhead. Sowohl was Kosten als auch Einrichtungsaufwand an.

Geht das Ding dann durch irgendwelche Portscans nicht dauernd an?

welches gerät versendet denn das mp? was nutzt du dafür? so wie ich dich bis jetzt verstanden habe machst du das über deine fb und die ist ja in deinem nw. oder schickst du das mp direkt über über deine dyndns-adresse von deinem gerät das auserhalb ist?

Für WOL eines Geräts in einem Subnet eines L3-Switches braucht man einen fixen arp-Eintrag im Layer-3-Switch, der eine nicht verwendete IP-Adresse auf die Broadcast-Mac verweist:
z.B.
arp 192.168.150.254 FF:FF:FF:FF:FF:FF

Dann kann man ein Magic Packet an die IP-Adresse (wo es praktisch ja gar kein Gerät mit dieser IP-Adresse gibt) schicken, auch durch VPNs vom Internet aus (auf dem VPN-Gateway muss noch eine Route der "imaginären" IP zum L3-Switch eingerichtet werden).

Problem ist nur, dass solche fixen arp-Einträge in L3-Switche nicht immer möglich sind. Der HP-Switch oben verweigert jedenfalls arp-Einträge mit der FF:FF:FF:FF:FF:FF-BroadcastMac :/.

Edit: Da die Fritzbox ja keine DHCP-scopes kann, würde ich vlt auch ein Switch nehmen, der selber einen DHCP-Server (und nicht nur Relay-Funktion hat) für jedes Subnet stellen kann. Dann spart man sich das Einrichten weiterer DHCP-Server. Obiger HP-Switch kann das übrigens.

Nicht das ich falsch verstanden werde, ich habe zwar von aussen DynDNS jedoch sende ich das MP ausschließlich im internen Netzwerk.
Warum ich nach dem Cisco Switch den ich aufgeführt habe, frage ist da ich günstiger an diese herankomme. Dementsprechend ist der aufgeführte Sg250 für mein vorhaben zu verwenden?

2.)wie gestaltet sich das bei einem Layer3 Switch in Verbindung mit meinem Gast-Netzwerk, welches ja von der FB mit 192.168.179.x aufgeführt wird?

Kann ich hier diese zweite Verbindung zum Switch kappen und die IP Vergabe fürs Gastnetz auch den Switch machen lassen?

Soll heißen von der FB gehe ich nur mit einer LAN-Leitung auf den Switch (192.168.178.x und im Switch selbst generiere ich diverse IP Ranges (Gastnetz, Management)mit beispielsweise 192.1.1.1 (VLAN1)und 192.1.2.1(VLAN2) und könnte den Gästen dann diesem VLAN1 über den Ubiquiti Accesspoint zuweisen?

Kann mir diese Frage noch jemand beantworten?

Muss das Gastnetzwerk nicht an Port 4 hängen?
VLAN oder sowas geht von der Fritzbox aus glaube ich nicht.

Rein netzwerktechnisch sollte auch ein passender Layer3 Switch das alles können. Der müsste auch einen Gastzugang ohne FritzBox Unterstützung ermöglichen.
Ob da jetzt jedes Gerät das kann weiß nicht. Wahrscheinlich reicht da auch DD-WRT Router/raspberry pi und ein normaler Switch.

Wir betreiben die Fritzbox hier auch als Router mit mit 192.168.178.1/24 und daran hängt ein Linux-PC mit zwei Netzwerkkarten 192.168.178.2 und 172.20.1.1 als Gateway zum eigentlichen Heimnetz. Damit kann ich dann auch unbekannte Geräte blocken, Bandbreite beschränken, VLANs verwalten, Routing und DHCP steuern oder sonst was.

Wo lässt du eigentlich die Unifi Controller laufen?

Die Unifys laufen über das NAS. Hier läuft per Docker der Unifiy Controller!