Hinter FRITZ!Box 6660 Cable managed Switches und Multi-SSID Access-Point einrichten

Kaue noch etwas an der Aussage "das Problem, dass immer nur 1 VLAN alle Switches findet".

Nur ein VLAN kann als Management VLAN genutzt werden.

Der Unterschied liegt in der Art, wie die Geräte mit einem Management-VLAN (hier 2x WAX220 und GS716Tv3) - wenn für ein Management VLAN konfiguriert - angesprochen werden können.

Anders sieht es mit den einfachen Plus Switches wie den GS308E oder GS305EP aus, ich erinnere nochmals daran dass diese Plus Switches unmanaged Geräte mit einfachten Konfigurationsmöglichkeiten sind. In Ermangelung eines Management-VLAN-Konfiguration kann - über jedes VLAN, welches direkt ungetaggte Frames zu den Plus Switches bringt sowohl den Switch finden und auch den IP Stack (letzteres selbstredend nur mit Adressen in einem "passenden" IP-Subetzwerk) für die Konfiguration erreichen. 

Die Risiken sind bei diesen einfachen Netzwerken allerdings vergleichbar. Ein "BöFei" kann sich recht einfach den physikalischen Zugriff auf das Netzwerk beschaffen - prädestiniert sind die Anschlusspunkte der WLAN APs, in vielen Fällen reichen aber auch offen erreichbare Anschlüsse für IP-Telefone -und- interne PCs aus. Nichts was den Angreifer jetzt daran hindert mal viele VLANs duchrzuspielen und auch Dein Management-VLAN (getaggt oder ungetaggt)  zu benutzen. Das kleine VLAN Tag bietet da kaum mehr Widerstand.

Hier unterscheiden sich einfache Heim-, KMU-Netzerke manchmal gar Business-Netzwerke nur wenig.

Grüsse aus der Schweiz

-Kurt