20
LAN vs VLAN
Hallo Community,
ich führe grade eine hitzige Diskussion mit einem neuen Kollegen, welcher mich überzeugen möchte, dass wir in unserem Netzwerk unterschiedliche VLAN´s betreiben sollen und nun möchte er unsere gesamte Netzwerkinfrastruktur zerlegen.
Ich hingegen bin kein freund von VLAN´s bzw. finde diese für unsere Organisationseinheit nicht passend. Ich greife eher dazu, lieber ein weiteres physisches Netzwerk zu errichten.
So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein. Wir haben ein internes und ein externes WLAN, das externe WLAN ist in einem eigenen Netzwerk und so wie die IP-Telefone physisches vom eigentlichen Netzwerk getrennt. Im Hauptnetz, sind nur die Clients und die Peripheriegeräte.
Wenn mein Kollege das Netzwerk mit diversen VLAN´s einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht und zum anderen die IT-Sicherheit nicht mehr so hoch gehalten werden kann wie mit der momentanen Lösung.
Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist. Aufgrund der separaten Netze, kann ich einfach schneller prüfen was los ist und sollte ein Switch defekt sein, kann ich diesen relativ schnell austauschen.
Wenn ich jedoch eine aufwendige Config verwende und diese erst auf den neuen Switch aufsetzen muss und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand. So tausche ich einfach den Switch sofern ich die Default Einstellungen verwenden möchte.
Vielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken? Wie seht Ihr das?
Vielen Dank das Du an meiner Diskussion teilnimmst
ich führe grade eine hitzige Diskussion mit einem neuen Kollegen, welcher mich überzeugen möchte, dass wir in unserem Netzwerk unterschiedliche VLAN´s betreiben sollen und nun möchte er unsere gesamte Netzwerkinfrastruktur zerlegen.
Ich hingegen bin kein freund von VLAN´s bzw. finde diese für unsere Organisationseinheit nicht passend. Ich greife eher dazu, lieber ein weiteres physisches Netzwerk zu errichten.
So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein. Wir haben ein internes und ein externes WLAN, das externe WLAN ist in einem eigenen Netzwerk und so wie die IP-Telefone physisches vom eigentlichen Netzwerk getrennt. Im Hauptnetz, sind nur die Clients und die Peripheriegeräte.
Wenn mein Kollege das Netzwerk mit diversen VLAN´s einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht und zum anderen die IT-Sicherheit nicht mehr so hoch gehalten werden kann wie mit der momentanen Lösung.
Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist. Aufgrund der separaten Netze, kann ich einfach schneller prüfen was los ist und sollte ein Switch defekt sein, kann ich diesen relativ schnell austauschen.
Wenn ich jedoch eine aufwendige Config verwende und diese erst auf den neuen Switch aufsetzen muss und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand. So tausche ich einfach den Switch sofern ich die Default Einstellungen verwenden möchte.
Vielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken? Wie seht Ihr das?
Vielen Dank das Du an meiner Diskussion teilnimmst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7895240146
Url: https://administrator.de/contentid/7895240146
Printed on: April 27, 2024 at 12:04 o'clock
20 Comments
Latest comment
+1
z.B. Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Alternative für PRTG für Windows Server - IT Monitoring
Mein Favorit sind VLANs welche Segmente bilden, diese am Ende aber doch wieder zusammengeführt werden. So sollten z.B. Drucker nur die Clients erreichen können/dürfen, die auch wirklich drucken müssen.
Du kannst ja mal hinterfragen wie dein neuer Kollege das umsetzt.
PS: Sei dankbar, in dem Fall kannst du vom neuen Kollegen dazulernen! Ich wünsche Euch eine gute Zusammenarbeit!
z.B. Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Ich greife eher dazu, lieber ein weiteres physisches Netzwerk zu errichten.
Auch gut, wenn Ressourcen (Zeit, Geld, Wartungsaufwand,...) keine Rolle spielen.So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein.
Ein Klassiker, zum Teil sogar mit eigener Internetleitung. So ist z.B. der TK-Dienstleister in seinem eigenen Netz, max. eine Zuleitung ins Clientnetz falls CTI verwendet wird.internes und ein externes WLAN
Auch physikalisch getrennt oder strahlt der AP zwei Netzwerke aus?IT-Sicherheit
Moment, VLAN's sind bei dir ein Contra zur IT-Sicherheit?Troubleshooting
IT-Monitoring (Observium kostenlos)Alternative für PRTG für Windows Server - IT Monitoring
Vielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken?
Das solltest du, IT-Sicherheit liegt gerade "voll im Trend" (Zero Trust, NIS2,...).Wie seht Ihr das?
Das der IT Beruf ein ständiges Dazulernen und (nicht selten) eine "jahrelange Berufserfahrung" obsolet ist.Mein Favorit sind VLANs welche Segmente bilden, diese am Ende aber doch wieder zusammengeführt werden. So sollten z.B. Drucker nur die Clients erreichen können/dürfen, die auch wirklich drucken müssen.
Du kannst ja mal hinterfragen wie dein neuer Kollege das umsetzt.
PS: Sei dankbar, in dem Fall kannst du vom neuen Kollegen dazulernen! Ich wünsche Euch eine gute Zusammenarbeit!
3
Und zu jedem Platz gehen also X Patchleitungen von jedem Switch?
Ich weiß noch, wie früher die IT-Abteilung bei uns aussah.... Unternehmensnetz, DMZ, Server, Video, Kundennetz.... alles auf einzelnen Patchleitungen :O
Heutzutage sind VLANs einfach State-of-the-Art, das macht jeder.
Wenn dir jetzt ein Switch ausfällt, wie schnell bist du wieder online? Erst wenn Ersatz da ist? Mit VLANs bist (mit genügend Reserveports auf anderen Switchen) schnell wieder Online.....
Ich weiß noch, wie früher die IT-Abteilung bei uns aussah.... Unternehmensnetz, DMZ, Server, Video, Kundennetz.... alles auf einzelnen Patchleitungen :O
Heutzutage sind VLANs einfach State-of-the-Art, das macht jeder.
Wenn dir jetzt ein Switch ausfällt, wie schnell bist du wieder online? Erst wenn Ersatz da ist? Mit VLANs bist (mit genügend Reserveports auf anderen Switchen) schnell wieder Online.....
2
da bist du veraltet. Hat der neue Kollege recht.
5
Moin,
allein schon Kosten Technisch ist es sinnvoller VLans zu nutzen und die Physik quasi mehrfach zu verwenden.
Die Leitungen sind ja so gut wie nie voll ausgelastet. Daher kommt das meist nicht mal zum tragen.
Des weiteren machen VLans es so viel einfacher eine vernünftige Segmentierung zu implementieren. Oder willst du etwa >=10 separate Netze verwalten??
Best pratice ist derzeit mikro Segmentierung und so kleine Netze wie irgendwie möglich.
Außerdem kommt ja sonst auch bei großen Subnetzen das alleidige Thema Broadcast usw. zum tragen.
Das ganze physische Thema ist absolut obsolet.
Gruß
Spirit
allein schon Kosten Technisch ist es sinnvoller VLans zu nutzen und die Physik quasi mehrfach zu verwenden.
Die Leitungen sind ja so gut wie nie voll ausgelastet. Daher kommt das meist nicht mal zum tragen.
Des weiteren machen VLans es so viel einfacher eine vernünftige Segmentierung zu implementieren. Oder willst du etwa >=10 separate Netze verwalten??
Best pratice ist derzeit mikro Segmentierung und so kleine Netze wie irgendwie möglich.
Außerdem kommt ja sonst auch bei großen Subnetzen das alleidige Thema Broadcast usw. zum tragen.
Das ganze physische Thema ist absolut obsolet.
Gruß
Spirit
1
So gesehen habt ihr beide irgendwie Recht (zumindest wenn man noch nix mit VLAN gemacht hat).
Ich würde aber immer VLANs den Vorzug geben. In der Regel gilt: wo zwei physische Netze, sind zwei logische besser, günstiger,....
Weil weder geht dabei die Übersicht veloren, noch wirds unsicherer. Was du physisch machst, machst du halt logisch. Und sparst dir dabei auch noch Kosten und Zeit. Und je kleiner du die VLANs anlegst, desto weniger Netzlast.
Und es hat den Vorteil, dass man da nicht extra verlegen muss. Du brauchst keine zusätzlichen Switche und auch die Netzlast wird geringer.
Viel mehr Aufwand bei z.B. einem ausgefallenen Switch ist da auch nicht. Konfig und Belegung habe ich z.B. auch bei einem 0815-Switch dokumentiert und stöpsel entsprechnd an. Man muss ja bei physisch getrennten Netzen ja auch dokumentiert haben, wie gepatcht wurde. Und so eine Konfig ist schnell aufgespielt.
Klar, wenn man bisher nur unmanaged einsetzt, dann mag das erstmal eine Umstellung sein.
Man kann sich da wohl vortrefflich streiten, was denn da jetzt initial mehr Arbeit ist. Unterm Strich wirds mit VLAN aber weniger arbeitsintensiv.
k.
Ich würde aber immer VLANs den Vorzug geben. In der Regel gilt: wo zwei physische Netze, sind zwei logische besser, günstiger,....
Weil weder geht dabei die Übersicht veloren, noch wirds unsicherer. Was du physisch machst, machst du halt logisch. Und sparst dir dabei auch noch Kosten und Zeit. Und je kleiner du die VLANs anlegst, desto weniger Netzlast.
Und es hat den Vorteil, dass man da nicht extra verlegen muss. Du brauchst keine zusätzlichen Switche und auch die Netzlast wird geringer.
Viel mehr Aufwand bei z.B. einem ausgefallenen Switch ist da auch nicht. Konfig und Belegung habe ich z.B. auch bei einem 0815-Switch dokumentiert und stöpsel entsprechnd an. Man muss ja bei physisch getrennten Netzen ja auch dokumentiert haben, wie gepatcht wurde. Und so eine Konfig ist schnell aufgespielt.
Klar, wenn man bisher nur unmanaged einsetzt, dann mag das erstmal eine Umstellung sein.
Man kann sich da wohl vortrefflich streiten, was denn da jetzt initial mehr Arbeit ist. Unterm Strich wirds mit VLAN aber weniger arbeitsintensiv.
k.
Hi
So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein. Wir haben ein internes und ein externes WLAN, das externe WLAN ist in einem eigenen Netzwerk und so wie die IP-Telefone physisches vom eigentlichen Netzwerk getrennt. Im Hauptnetz, sind nur die Clients und die Peripheriegeräte.
Heisst du hast überall auf jeden Fall mal 4 Switche rumstehen nur um die einzelnen Netze betreiben zu können?
Nicht böse gemeint, aber das macht auf mich den Eindruck als würde sich da das typische "das machen wir seit 30 Jahren so, ich kenn nichts anderes, ich brauche nichts anderes" zeigen.
Das einzurichten ist ein minimum mehr an Komplexität. Und dann kann man auch Firewalls Sinnvoll einsetzen und Segmentierung betreiben.
Ich hingegen bin kein freund von VLAN´s bzw. finde diese für unsere Organisationseinheit nicht passend.
Warum das?So binde ich z.B. unsere IP-Telefone in ein separates Netzwerk ein. Wir haben ein internes und ein externes WLAN, das externe WLAN ist in einem eigenen Netzwerk und so wie die IP-Telefone physisches vom eigentlichen Netzwerk getrennt. Im Hauptnetz, sind nur die Clients und die Peripheriegeräte.
Wenn mein Kollege das Netzwerk mit diversen VLAN´s einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht und zum anderen die IT-Sicherheit nicht mehr so hoch gehalten werden kann wie mit der momentanen Lösung.
Wie genau stellst du denn aktuell Sicherheit her? Das WLAN wird ja mit dem LAN reden müssen.Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist. Aufgrund der separaten Netze, kann ich einfach schneller prüfen was los ist und sollte ein Switch defekt sein, kann ich diesen relativ schnell austauschen.
Macht mit VLANs auch keinen unterschied.Wenn ich jedoch eine aufwendige Config verwende und diese erst auf den neuen Switch aufsetzen muss und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand. So tausche ich einfach den Switch sofern ich die Default Einstellungen verwenden möchte.
Sehe da kein Problem. Neuen Switch hinstellen/schrauben und dann Port1 auf Port1, Port2 auf Port2 uswVielleicht bin ich mit meiner Einstellung völlig falsch und sollte mein vorgehen bedenken?
Aber ganze dringen Nicht böse gemeint, aber das macht auf mich den Eindruck als würde sich da das typische "das machen wir seit 30 Jahren so, ich kenn nichts anderes, ich brauche nichts anderes" zeigen.
Wie seht Ihr das?
Wie dein Kollege. VLANs bieten sehr viele Vorteile. Weniger Hardware nötig, weniger Stromverbrauch, mehr flexibilität, mehr Sicherheit, mehr alles.Das einzurichten ist ein minimum mehr an Komplexität. Und dann kann man auch Firewalls Sinnvoll einsetzen und Segmentierung betreiben.
4
Moin,
aus meiner Sicht sind
sich gegenseitig ausschließende Argumente.
Wenn du aktuell nicht darauf achten musst, in welchen Switchport du welches Kabel steckst, kann umgekehrt keine Dokumentation vorhanden sein, welches Kabel wo stecken müsste. Du kannst also nur, wenn du direkt in Person vor Switch und Patchpanel stehst erkennen, was wo angeschlossen ist. Remote ist Troubleshooting damit kaum möglich, wenn ein Nutzer alleine über Netzwerkprobleme klagt und du nichtmal weißt auf welchem Switch und Switchport er angeschlossen ist.
Ein Switch, in dem wenigstens die Ports korrekt benannt sind, würde dir da schon weiterhelfen und das allein setzt voraus, dass alle Kabel genau so stecken müssen wie im Switch dokumentiert.
Aus der Praxis kann ich dir versichern, dass ich schon 48P-Switches ausgetauscht habe und dies (trotz notwendiger korrekter Port-Zuordnung) in unter drei Minuten möglich war. Das wäre dann nur ein geringer Zeitaufwand verglichen mit der Downtime durch den defekten Switch selbst.
Von mir kommt daher auch eine ganz klare Empfehlung, VLANs zu verwenden.
Dann kannst du auch teurere Switches kaufen (brauchst du ja dann weniger von) und kannst dann auch, als Sicherheitsmaßnahme, so Dinge wie 802.1x-Authentifizierung einführen. Und mal die ungenannten Peripheriegeräte (Drucker?) in ein VLAN stecken und nur per Druckserver erreichbar machen. Das wäre eine sinnvolle Maßnahme, damit Schadsoftware nicht euren Drucker einnehmen und alle Druckaufträge ins Internet kopieren kann.
VoIP könnte man aber natürlich weiterhin über einen separaten Switch führen. Das kann dann auch ein PoE-Modell sein, die mit weniger Ports einfach spürbar günstiger sind.
aus meiner Sicht sind
Zitat von @Zeppelin:
Wenn mein Kollege das Netzwerk mit diversen VLANs einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht
...und...Wenn mein Kollege das Netzwerk mit diversen VLANs einrichtet habe ich einfach die bedenken, dass zum einen die Übersicht verloren geht
Ich finde, auch dass das Troubleshooting in meiner Variante deutlich einfacher ist.
...und...und die Ports genau mit den Kabel verbinden muss wie ursprünglich, dann habe ich einen erheblichen Zeitaufwand.
sich gegenseitig ausschließende Argumente.
Wenn du aktuell nicht darauf achten musst, in welchen Switchport du welches Kabel steckst, kann umgekehrt keine Dokumentation vorhanden sein, welches Kabel wo stecken müsste. Du kannst also nur, wenn du direkt in Person vor Switch und Patchpanel stehst erkennen, was wo angeschlossen ist. Remote ist Troubleshooting damit kaum möglich, wenn ein Nutzer alleine über Netzwerkprobleme klagt und du nichtmal weißt auf welchem Switch und Switchport er angeschlossen ist.
Ein Switch, in dem wenigstens die Ports korrekt benannt sind, würde dir da schon weiterhelfen und das allein setzt voraus, dass alle Kabel genau so stecken müssen wie im Switch dokumentiert.
Aus der Praxis kann ich dir versichern, dass ich schon 48P-Switches ausgetauscht habe und dies (trotz notwendiger korrekter Port-Zuordnung) in unter drei Minuten möglich war. Das wäre dann nur ein geringer Zeitaufwand verglichen mit der Downtime durch den defekten Switch selbst.
Von mir kommt daher auch eine ganz klare Empfehlung, VLANs zu verwenden.
Dann kannst du auch teurere Switches kaufen (brauchst du ja dann weniger von) und kannst dann auch, als Sicherheitsmaßnahme, so Dinge wie 802.1x-Authentifizierung einführen. Und mal die ungenannten Peripheriegeräte (Drucker?) in ein VLAN stecken und nur per Druckserver erreichbar machen. Das wäre eine sinnvolle Maßnahme, damit Schadsoftware nicht euren Drucker einnehmen und alle Druckaufträge ins Internet kopieren kann.
VoIP könnte man aber natürlich weiterhin über einen separaten Switch führen. Das kann dann auch ein PoE-Modell sein, die mit weniger Ports einfach spürbar günstiger sind.
3
Hallo,
man müsste erst mal wissen wie dein Konstrukt aussieht.
Bei wenigen Endgeräten mit wenigen verschiedenen Netzwerken, kann man das schon machen.
Wenn du W-Lan aufteilen musst, hast du wenig spaß.
Aber grundsätzliche veraltete Denkweise trifft es schon nicht mehr. V-Lan Geräte gibt's ja schon ewig.
Das ist eher Denkweise von Kleinststrukturen wie man es aus Handwerksklitschen kennt.
man müsste erst mal wissen wie dein Konstrukt aussieht.
Bei wenigen Endgeräten mit wenigen verschiedenen Netzwerken, kann man das schon machen.
Wenn du W-Lan aufteilen musst, hast du wenig spaß.
Aber grundsätzliche veraltete Denkweise trifft es schon nicht mehr. V-Lan Geräte gibt's ja schon ewig.
Das ist eher Denkweise von Kleinststrukturen wie man es aus Handwerksklitschen kennt.
Wenn eure Hardware das kann, würde ich auch eher auf VLAN gehen, kommt natürlich auf die Struktur und die Anzahl der Geräte an.
Bei uns nutzen wir aktuell kein Vlan, weil die Switche das zum Teil nicht können und neue vorerst nicht angeschafft werden.
Bei uns nutzen wir aktuell kein Vlan, weil die Switche das zum Teil nicht können und neue vorerst nicht angeschafft werden.
Muss dein Kollege da 100% Zustimmung.
Du bist da scheinbar nicht mehr auf dem Stand der Technik und sorry…. Etwas hinterm Mond.
In Zeiten von VOIP, NAC, Radius mit MAC Auth oder 802.1x löst man so etwas mit VLAN.
Ps.: durch VLAN verlierst du definitiv keine IT Sicherheit
Gruß
Du bist da scheinbar nicht mehr auf dem Stand der Technik und sorry…. Etwas hinterm Mond.
In Zeiten von VOIP, NAC, Radius mit MAC Auth oder 802.1x löst man so etwas mit VLAN.
Ps.: durch VLAN verlierst du definitiv keine IT Sicherheit
Gruß
Ich kann mir Netzwerke ohne VLANs nicht mehr vorstellen. Du wirst mit dem Wechsel auf VLANs an Übersicht gewinnen und nicht andersherum. Moderne Switche bieten dir sehr viele Möglichkeiten Informationen über das Netz zu bekommen.
LG
LG
Zunächst möchte ich mich bei euch für die zahlreichen Antworten bedanken.
Vielen Dank
Ich entnehmen, dass sich die Mehrheit für den Einsatz von VLAN entscheiden.
Vielen Dank
Ich entnehmen, dass sich die Mehrheit für den Einsatz von VLAN entscheiden.
Moin, überall getrennte phy. Switches? Kann man machen - wo hast du denn die Zeitmaschine her die dich so in die 80er zurückgebracht hat? Arbeitest du auch noch mit nem Akkustik-Koppler weil man so ja das Telefon auch noch parallel als Not-Telefon nutzen kann?
Ernsthaft jetzt - VLAN ist seid einigen JAHREN bei sowas einfach standard. Und das aus gutem Grund - da es dir die Verwaltung deutlich erleichtert. Statt irgendwo im Verteilerraum Kabel zu verfolgen was nu wo eingesteckt ist bekommt der Port ne Beschreibung und jeder der sich darauf anmelden kann sieht genau was es ist (und ne Doku sollte natürlich trotzdem da sein). Das ganze ERHÖHT sogar die Sicherheit (wenn es richtig gemacht wird) - da man einfach die Ports die nicht genutzt werden auf Shutdown setzt - und schon kümmert es nicht ob sich jemand einfach dran anklemmt. Wenn man es noch weiter treiben will nimmt man nen NAC und thema is durch.
Das du bei nem Ausfall da schneller was tauscht als ich halte ich für nen Gerücht. Denn auch da ist es ne reine Frage des Aufwandes - nen simpler TFTP-Server ins Netz gestellt und schon lade ich die Config auf nem blanken Switch in 2 Minuten. Während du also noch die Kabel suchst hab ich meinen Kaffee schon am Tisch. Wenn das o.g. NAC im Einsatz ist gehts sogar noch einfacher...
Jetzt drehen wir das aber mal um. Du hast zB. fürs Gäste-Netzwerk ja irgendwo nen DHCP (wahrscheinlich). Für das interne ggf. auch? Für die WLAN-Telefone den 3ten? Mit VLANs lege ich das ganz simpel (und sicher) auf einen Server - während du also deine x Server verwalten musst hab ich ggf. noch 2 auf denen die Dienste laufen (2 wenn HA, sonst reicht natürlich auch einer). Und da ich natürlich nur 1-2 Server (als Beispiel!) da habe kann ich die auch deutlich leichter verwalten - was die Sicherheit noch erhöht.
Dazu kommt dann noch eine weitere Form der Sicherheit. Du brauchst ja prinzipiell dann schon mal 3 Switches (Gast, Intern, Telefon) oder mehr. Damit hast du auch 3 potentielle Switches die ausfallen können. Das gesparte Geld lieber in EINEN vernünftigen und falls wirklich nötig noch einen als Ersatz "ins Lager" legen - und du hast noch genug Geld übrig um nen Kasten Bier zu holen...
Solltest du also irgendwann mal planen die 80er Jahre zu verlassen würde ich sagen: Hör auf deinen Kollegen ;)
Ernsthaft jetzt - VLAN ist seid einigen JAHREN bei sowas einfach standard. Und das aus gutem Grund - da es dir die Verwaltung deutlich erleichtert. Statt irgendwo im Verteilerraum Kabel zu verfolgen was nu wo eingesteckt ist bekommt der Port ne Beschreibung und jeder der sich darauf anmelden kann sieht genau was es ist (und ne Doku sollte natürlich trotzdem da sein). Das ganze ERHÖHT sogar die Sicherheit (wenn es richtig gemacht wird) - da man einfach die Ports die nicht genutzt werden auf Shutdown setzt - und schon kümmert es nicht ob sich jemand einfach dran anklemmt. Wenn man es noch weiter treiben will nimmt man nen NAC und thema is durch.
Das du bei nem Ausfall da schneller was tauscht als ich halte ich für nen Gerücht. Denn auch da ist es ne reine Frage des Aufwandes - nen simpler TFTP-Server ins Netz gestellt und schon lade ich die Config auf nem blanken Switch in 2 Minuten. Während du also noch die Kabel suchst hab ich meinen Kaffee schon am Tisch. Wenn das o.g. NAC im Einsatz ist gehts sogar noch einfacher...
Jetzt drehen wir das aber mal um. Du hast zB. fürs Gäste-Netzwerk ja irgendwo nen DHCP (wahrscheinlich). Für das interne ggf. auch? Für die WLAN-Telefone den 3ten? Mit VLANs lege ich das ganz simpel (und sicher) auf einen Server - während du also deine x Server verwalten musst hab ich ggf. noch 2 auf denen die Dienste laufen (2 wenn HA, sonst reicht natürlich auch einer). Und da ich natürlich nur 1-2 Server (als Beispiel!) da habe kann ich die auch deutlich leichter verwalten - was die Sicherheit noch erhöht.
Dazu kommt dann noch eine weitere Form der Sicherheit. Du brauchst ja prinzipiell dann schon mal 3 Switches (Gast, Intern, Telefon) oder mehr. Damit hast du auch 3 potentielle Switches die ausfallen können. Das gesparte Geld lieber in EINEN vernünftigen und falls wirklich nötig noch einen als Ersatz "ins Lager" legen - und du hast noch genug Geld übrig um nen Kasten Bier zu holen...
Solltest du also irgendwann mal planen die 80er Jahre zu verlassen würde ich sagen: Hör auf deinen Kollegen ;)
2
Weiterer Vorteil von VLANs in Verbindung mit VOIP:
Richtig konfiguriert, kannst Du den in den meisten Telefonen integrierten Switch für ein weiteres Endgerät (meist PC oder Notebook) verwenden.
Bei der von Dir vorgeschlagenen Trennung in physische Netze verlierst Du pro Arbeitsplatz eine Netzwerkdose. Und die werden heutzutage eh immer knapper installiert.....
Richtig konfiguriert, kannst Du den in den meisten Telefonen integrierten Switch für ein weiteres Endgerät (meist PC oder Notebook) verwenden.
Bei der von Dir vorgeschlagenen Trennung in physische Netze verlierst Du pro Arbeitsplatz eine Netzwerkdose. Und die werden heutzutage eh immer knapper installiert.....
Zitat von @Looser27:
Weiterer Vorteil von VLANs in Verbindung mit VOIP:
Richtig konfiguriert, kannst Du den in den meisten Telefonen integrierten Switch für ein weiteres Endgerät (meist PC oder Notebook) verwenden.
Bei der von Dir vorgeschlagenen Trennung in physische Netze verlierst Du pro Arbeitsplatz eine Netzwerkdose. Und die werden heutzutage eh immer knapper installiert.....
Das dürfte aber nur funktionieren, wenn diese Switch-Funktion kein "dummer (L2-)Switch" ist, sondern einer der auch VLAN kann, oder? Ansonsten wäre zu besorgen, dass der in ein anderes VLAN gehörende PC im VLAN der IP-Telefone wiederfindet ...Weiterer Vorteil von VLANs in Verbindung mit VOIP:
Richtig konfiguriert, kannst Du den in den meisten Telefonen integrierten Switch für ein weiteres Endgerät (meist PC oder Notebook) verwenden.
Bei der von Dir vorgeschlagenen Trennung in physische Netze verlierst Du pro Arbeitsplatz eine Netzwerkdose. Und die werden heutzutage eh immer knapper installiert.....
Als Netzwerker weiss man aber auch das das in der Telefonie verwendete 802.1p Layer 2 Priorisierungsverfahren, was ausnahmslos alle VoIP Telefone weltweit supporten, immer eine Teilmenge des 802.1q VLAN Headers ist bzw. diesen erzwingt. Folglich ist es also evident das damit generell alle in Telefone integrierte Switches auch immer VLAN Switches sind. Einfache Logik...
Solche einfachen Switch Basics sollte man aber schon kennen?!
Solche einfachen Switch Basics sollte man aber schon kennen?!
... ab jetzt in jedem Fall! Du kennst bestimmt den Spruch mit der Kuh, dem Altwerden und dem ständigen dazulernen ...
Viele Grüße
HansDampf06
Du kennst bestimmt den Spruch mit der Kuh, dem Altwerden und dem ständigen dazulernen ... Viele Grüße
HansDampf06
Moin @Zeppelin,
definitiv. Ich will mir ehrlich gesagt gar nicht erst vorstellen, wie wir sonst die > 20 Netzsegmente bei grösseren Kunden und oder Behörden händeln sollten.
Und wenn du sicherheitsbedenken gegen VLAN hast, dann solltest du dir mal PVLAN (PRIVATE VLAN) anschauen.
Damit kannst du z.B. Clients im selben Segment vollständig gegeneinander Isolieren ohne dafür irgend eine Art von FireWall zu benutzen. 😉
Beste Grüsse aus BaWü
Alex
Ich entnehmen, dass sich die Mehrheit für den Einsatz von VLAN entscheiden.
definitiv. Ich will mir ehrlich gesagt gar nicht erst vorstellen, wie wir sonst die > 20 Netzsegmente bei grösseren Kunden und oder Behörden händeln sollten.
Und wenn du sicherheitsbedenken gegen VLAN hast, dann solltest du dir mal PVLAN (PRIVATE VLAN) anschauen.
Damit kannst du z.B. Clients im selben Segment vollständig gegeneinander Isolieren ohne dafür irgend eine Art von FireWall zu benutzen. 😉
Beste Grüsse aus BaWü
Alex
1
V Lan sind ja für solche Netz Trennungen erfunden worden.
Was dein Argument mit der Konfig betrifft, da hat der Entwickler die Datensicherung erfunden.
Man kann jede Konfig sichern, einen neuen Switch einbauen, Konfig übertragen ..fertig. Dazu brauchst keinen extra Server, die Datei auf Laptop mit USB an Switch und ...fertig ist der neue Switch.
Was dein Argument mit der Konfig betrifft, da hat der Entwickler die Datensicherung erfunden.
Man kann jede Konfig sichern, einen neuen Switch einbauen, Konfig übertragen ..fertig. Dazu brauchst keinen extra Server, die Datei auf Laptop mit USB an Switch und ...fertig ist der neue Switch.
..fertig ist der neue Switch.
Nicht einmal das braucht der clevere Netzwerk Admin, denn der nutzt natürlich DHCP Autoconfig mit einem entsprechenden Template. Azubi schicken, Switch auspacken, beim Anschliessen holt der automatisch seine Konfig, macht automatisch ein Firmware Update, fertisch. So geht Admin heute... Zeit das der TO seinen Thread hier nun auch mal als erledigt schliesst, denn bezüglich seiner Frage zum best Practise ist diese ja nun hinreichend geklärt!!