NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
Thore81
Jan 07, 2024Initiate
Hinter FRITZ!Box 6660 Cable managed Switches und Multi-SSID Access-Point einrichten
Hallo liebe Community! Ich arbeite mich an folgender Netzwerkinfrastruktur ab: Ich möchte mit einem GS716Tv3 Switch hinter einer FritzBox eine VLAN-Struktur aufbauen. Ich möchte 4 VLANs etab...
schumaku
Jan 08, 2024Guru - Experienced User
Hallo Thore
Perfektes Design und tolle Dokumentation - Kompliment!
SSID1 und VLAN 100 sowie SSID3 und VLAN 300 sehen funtionell aus, dass die SSID2 und da VLAN 200 sich noch rein lokal in deinem LAN befinden weisst Du ja bestimmt da ja wohl so beabsichtigt, denn der Fritz! macht ja nicht mehr her. Grundsätzliche Fehler sehe ich keine.
Den einzigen Punkt den ich Dir auf die Schnelle einwerfen kann: Die Plus Switches GS308E und GS305EP (und die meisten einfachen Verwandten, welche nicht mit einem Managed Core aufgebaut sind und eine Konfiguations-Option für das Mangement-VLAN haben) wirst Du über getaggte Verbindungen für das Management nicht erreichen können. Der einfache IP Stack auf dem uC weiss selbst nichts davon, dass er auch auf Getaggte IP Pakete hören muss - das kann er schlicht nicht. Das ist der Komprmiss auf den wir uns mit diesen an sich Unmanaged-Switches mit Konfigurations-Möglichkeiten eingehen und wir als Anwender verstehen müssen, was leider immer wieder zu Verwirrungen führt - vielleicht auch hier bei Dir.
Ich würde empfehelen - für die Einfachheit des Betriebes - ein VLAN durchgehend ungetaggt durchzuführen, inklusive dem WAX220 Management. Das hilft die GS305E und GS308EP aus allen Richtungen erreichen zu können.
Hilft das so mal weiter?
Grüsse aus der Schweiz
-Kurt
Thore81
Jan 08, 2024Initiate
Danke für deine Antwort! Freut mich auch, dass das Schema nicht nur gut zu verstehen ist, sondern offenbar auch nicht gänzlich falsch 😅
Ich habe den Vorschlag mal umgesetzt, habe aber nach wie vor das Problem, dass immer nur 1 VLAN alle Switches findet. Ich nehme mal an, dass liegt an deinem Hinweis, dass die "kleinen" Switches gar keine "echten" managed Switche sind?
Das ist natürlich maximal ärgerlich, wenn das der Grund ist.
vielen Dank für den Hinweis!
vlg,
Thore
- schumakuJan 08, 2024Guru - Experienced User
Welches VLAN spielt keine Rolle - der Punkt ist dass nur Ungtaggte Frames welche direkt zum Switch gelangen kommen den Switch finden und ansprechen können.
Hat auch mit Manged nichts zu tun, sondern mit der Implementation, und ob der Switch Core überhaupt für getaggte Netzwerke konfiguriert werden kann. Es gibt durchaus einige Plus Switches (aus dem hohlen Bauch z.B. die MS108EUP, die XS724EM, ...) welche einen Managed Core verfügen, und wo das Manageent VLAN konfiguriert wrden kann - aber auch hier ist dann die Erkennung und das Management auf das jeweilige einzige VLAN beschränkt.
Wenn so implementiert wie ich es vorschlage, hat in der Tat nur ein VLAN die Möglichkeit, den Switch anzusprechen. Das schliesst aber andere VLANs über die man ungetaggte Frames auf die Switch Ports bringen kann nicht aus. Denn dem IP Stack auf den kleinen uC versteht keine VLAN Tags. Das ist auch ein gewisses Sicherheits-Risiko, welches es beim Einsatz zu berücksichtigen gilt.
Alle Klarheiten beseitigt?
- schumakuJan 09, 2024Guru - Experienced User
Kaue noch etwas an der Aussage "das Problem, dass immer nur 1 VLAN alle Switches findet".
Nur ein VLAN kann als Management VLAN genutzt werden.
Der Unterschied liegt in der Art, wie die Geräte mit einem Management-VLAN (hier 2x WAX220 und GS716Tv3) - wenn für ein Management VLAN konfiguriert - angesprochen werden können.
Anders sieht es mit den einfachen Plus Switches wie den GS308E oder GS305EP aus, ich erinnere nochmals daran dass diese Plus Switches unmanaged Geräte mit einfachten Konfigurationsmöglichkeiten sind. In Ermangelung eines Management-VLAN-Konfiguration kann - über jedes VLAN, welches direkt ungetaggte Frames zu den Plus Switches bringt sowohl den Switch finden und auch den IP Stack (letzteres selbstredend nur mit Adressen in einem "passenden" IP-Subetzwerk) für die Konfiguration erreichen.
Die Risiken sind bei diesen einfachen Netzwerken allerdings vergleichbar. Ein "BöFei" kann sich recht einfach den physikalischen Zugriff auf das Netzwerk beschaffen - prädestiniert sind die Anschlusspunkte der WLAN APs, in vielen Fällen reichen aber auch offen erreichbare Anschlüsse für IP-Telefone -und- interne PCs aus. Nichts was den Angreifer jetzt daran hindert mal viele VLANs duchrzuspielen und auch Dein Management-VLAN (getaggt oder ungetaggt) zu benutzen. Das kleine VLAN Tag bietet da kaum mehr Widerstand.
Hier unterscheiden sich einfache Heim-, KMU-Netzerke manchmal gar Business-Netzwerke nur wenig.
Grüsse aus der Schweiz
-Kurt
Related Content
NETGEAR Academy

Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!
Machen Sie mit!
ProSupport for Business

Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit