s: Switchempfehlung 24 Port, 100MBit. managed

    Moin,


    in unserer kleinen Grundschule gibt es ein Lan, Netgear Router, NoName Switch.
    Jeder Rechner mit lauter Admins, super unsicher, wie man es leider kennt.


    Ich habe jetzt die Pappnase auf, ein wenig Sicherheit ins Netz zu bringen.
    Meine erste Ansage, Adminrechte nur wenn wirklich nötig und auch nur solange wie nötig wurde mit einem Sturm der Entrüstung beantwortet :mua, war aber eigentlich klar vorhersehbar und eingeplant. Mein freundliches "Dann macht doch was ihr wollt" aus der Drehung Richtung Ausgang abgeschossen hat dann aber doch gesessen.


    Jetzt brauche ich noch einen Tip für einen Switch. 24 Ports, portbased VLans.
    Damit will ich erreichen, das jeder nur die Stationen sieht mit denen er kommunizieren darf, unabhängig vom Betriebssystem und sonstigen Einstellungen auf den jeweiligen PCs.
    Natürlich will ich damit auch die potenzielle Verbreitung von Malware im Netz verhindern:
    Lehrer und Sekretariat "sehen" den Lan-Drucker und den Internet Router. Rechner in den Klassenzimmern "sehen" nur den Router. Kein Rechner "sieht" den anderen.


    Die Absicherung der Rechner folgt, wobei ich hier eine Neuinstallation durchdrücken werde, inkl Formatierung der Platte. Ich habe keine Lust alle Rechner intensiv zu prüfen, lieber eine klare Basis mit allen Updates schaffen ...
    Da MS-Betriebssystem (W2k) Ist Virenschutz sowieso klar.
    Habt ihr einen Tipp in Sachen Switch?


    Was habe ich vergessen?


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Wenn Dir ein 100er genügt, dann sind die 3Com 3300 SuperStack II in der Bucht ganz günstig.


    Zur Not kann man bis zu vier davon zusammenfassen, hat also 96 Ports.
    Oder man kann auf L3 aufrüsten, LX/SX/... anschliessen.


    Nur laut sind die halt schon - allerdings kenne ich persönlich keine managed Switches die nicht laut sind.


    uwe


    P.S. so ein Cisco ist natürlich schon schnuckelig, aber leider wissen das zu viele Leute: die sind gebraucht noch schweineteuer.

    server: yavdr trusty testing, 2 * L5420, 32GB, 64TB RAID6 an OctopusNet (DVBS2- 8 ) + minisatip@dsi400 (DVBS2- 4 )
    frontends: kodi und xine

    Hi,


    ich weiss nicht, ob Du das kennst, aber für Klassenräume, Seminarräume usw. (sprich überall dort, wo die klassischen "Spielkinder" zu finden sind) eignet sich ganz hervorragend der Kiosk-Modus von Windows - sprich neustarten und Windows ist wieder im vorher definierten Zustand.


    Nähreses dazu u.a. hier http://www.wintotal.de/Artikel/msct/msct.php und hier http://www.serverhowto.de/Loes…ows-Bordmitteln.46.0.html


    Gruss


    Macavity

    Capulet:
    HW: Dell Dimension 3100, Pentium 4 3GHz, 2GB RAM, 160GB HDD (System), 1TB HDD (Video), 1 x TT S2-1600, 1 x Technisat Skystar HD | SW: Debian 7.4, VDR 2.0.4 (selfcompiled), dummydevice 2.0.0, streamdev-server 0.6.1, NFS-Server


    TiViPi01:
    HW: Raspberry Pi Mod. B Rev. 2, 512MB RAM, 8GB SD-Card, Teko TEK-BERRY.9 Gehäuse, Ednet 85024 USB 2.0 Hub, Digitainer X10 Funk-Fernbedienung | SW: Raspbian 01/2014, VDR 2.0.4 (selfcompiled), rpihddevice 0.0.8, ffmpeg 1.0.8, streamdev-client 0.6.1, NFS-Client

    Yohoo!


    Als weitere Ergaenzung kann ich noch HP Switches reinwerfen. Sehr gut administrierbar (Consolenbefehle, Textorientiertes Menue oder Web-basierend).



    Ach ja, zum Stichwort VLAN:
    Du bist Dir aber schon im klaren, dass Rechner, die in getrennten VLANs sitzen zur gemeinsamen Kommunikation noch einen Router dazwischen brauchen? Der eine Internet Router tut's da nicht!


    Gruesse

    Glotze: yaVDR (ASRock Q1900M, 4GB RAM, DD Cine S2 V6.5, ZOTAC GT630 (Rev. 2)
    Server: HP ProLiant MicroServer G8, VMware ESXi 5.5 :P

    Hi,


    knebb


    Naja, das kommt auf den Router an. Ich werf als Stichwort einfach mal 802.1Q und Tagged VLAN in den Raum und verweise auf den folgenden Artikel: http://www.heise.de/netze/VLAN…les-LAN--/artikel/77832/0


    Gruss


    Macavity

    Capulet:
    HW: Dell Dimension 3100, Pentium 4 3GHz, 2GB RAM, 160GB HDD (System), 1TB HDD (Video), 1 x TT S2-1600, 1 x Technisat Skystar HD | SW: Debian 7.4, VDR 2.0.4 (selfcompiled), dummydevice 2.0.0, streamdev-server 0.6.1, NFS-Server


    TiViPi01:
    HW: Raspberry Pi Mod. B Rev. 2, 512MB RAM, 8GB SD-Card, Teko TEK-BERRY.9 Gehäuse, Ednet 85024 USB 2.0 Hub, Digitainer X10 Funk-Fernbedienung | SW: Raspbian 01/2014, VDR 2.0.4 (selfcompiled), rpihddevice 0.0.8, ffmpeg 1.0.8, streamdev-client 0.6.1, NFS-Client

    2 Mal editiert, zuletzt von Macavity ()

    802.1Q sehe ich noch als Knackpunkt: wer einen Rechner entern kann hat sich ganz schnell in die anderen VLANs gesetzt.


    Ich glaube ich würde den administrativen und den Spielbereich physikalisch hart trennen: jeder bekommt seinen eigenen Switch und das ganze läuft dann über einen Router zusammen der mit passenden Firewallregeln versehen wird (die default Regel sollte auf "DENY" stehen). Dazu den Kiosk-Mode und gut ist.
    Vielleicht schadet die eine oder andere Filterregel dem administrativen Netzwerk auch nicht.


    VLANs zwischen den Rechnern ist dann glaube ich ok - jeweils ein kleines Subnetz das über den Router zusammengeführt wird. Halt groß genug, dass noch das eine oder andere Gerät dazukommen kann.


    uwe

    server: yavdr trusty testing, 2 * L5420, 32GB, 64TB RAID6 an OctopusNet (DVBS2- 8 ) + minisatip@dsi400 (DVBS2- 4 )
    frontends: kodi und xine

    Moin,


    Zitat

    Du bist Dir aber schon im klaren, dass Rechner, die in getrennten VLANs sitzen zur gemeinsamen Kommunikation noch einen Router dazwischen brauchen? Der eine Internet Router tut's da nicht!


    Das war mir entfallen. ich ging davon aus, das ein Port auch in mehreren VLANs sein kann. das ist nicht der Fall. Der von Macavity verlinkte c´t Artikel hats es dann aufgefrischt. Wahrscheinlich wirds dann auf 3 Router rauslaufen. 2 Subnetze mit je einem Ethernet-Router an einem DSL-Router.


    Der Kiosk-Mode ist nicht nötig. es sollen ja auch Daten auf dem Rechner abgelegt werden. Userprofil anlegen, alle Einstellungen vornehmen, Backup vom Profil anfertigen.
    Wenn es dann in die Hose gegangen ist werden die Daten gesichert und das Profil aus dem Backup wieder hergestellt.


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

    Zitat

    Original von magicteddy


    Das war mir entfallen.


    Dachte ich mir ;)

    Zitat

    ich ging davon aus, das ein Port auch in mehreren VLANs sein kann. das ist nicht der Fall.


    Kann, wenn der Switch VLAN Trunks (Cisco Nomenklatur) unterstuetzt. Dann akzeptiert er auch mehrere VLANs. Ist aber nicht bei allen Systemen gegeben.
    Mein Level1 Switch macht das auch- dafuer unterstuetzt er aber kein VLAN Tagging nach 802.1q (???). :rolleyes:

    Zitat

    Wahrscheinlich wirds dann auf 3 Router rauslaufen.


    Du meinst wohl eher, ein Router mit drei oder vier Netzwerkkarten? :unsch


    Ach ja, weil oben erwaehnt: Level1 ist auch noch eine recht guenstige Alternative. Die WebSmart Teile lassen sich ueber Web-Frontend administrieren....aber leider nur mit IE6 :motz2

    Glotze: yaVDR (ASRock Q1900M, 4GB RAM, DD Cine S2 V6.5, ZOTAC GT630 (Rev. 2)
    Server: HP ProLiant MicroServer G8, VMware ESXi 5.5 :P

    Einmal editiert, zuletzt von knebb ()

    Moin,


    Zitat

    Kann, wenn der Switch VLAN Trunks (Cisco Nomenklatur) unterstuetzt. Dann akzeptiert er auch mehrere VLANs. Ist aber nicht bei allen Systemen gegeben.
    Mein Level1 Switch macht das auch- dafuer unterstuetzt er aber kein VLAN Tagging nach 802.1q (???).


    Danke für die Ergänzung, das wärs für mich.


    Zitat

    Du meinst wohl eher, ein Router mit drei oder vier Netzwerkkarten?


    Nein, ich meine 3 Router,


    1 Router als DSL-Modem und Router
    2. Router als Ethernet-Router hinter Router 1 für die Verwaltung
    3. Router als Ethernet-Router hinter Router 1 für die Klassenräume
    Später: 4. Router als Ethernet-Router hinter Router 1 für die Computerbutze
    Ich kann einzelne Bereiche per Schalter trennen, die Teile sind Lehrer sicher zu reseten. Ein PC als Router macht nur als Watchguard Firebox Eindruck, meinen Compaq SFF müßte ich zumindest rot anmalen :lol2.
    Mit Funktionalität brauche ich dehnen nicht zu kommen, leider.


    Klar könnte ich das auch mit einem Fli4L, IP-Cop oder Monowall realisieren, das habe ich sogar schon verbrochen und es lief einwandfrei. Der Fli4l flog nur raus, weil das 2. Netz entfiel, alter User ist ausgezogen, neuer hat eine eigene Anbindung ans Internet.


    Die vorgehensweise mit den kaskadierten Routern habe ich aus der c´t, die hatten vor einiger Zeit einen Artikel über einen über das Internet erreichbaren Server im Heimnetz. Vom potenziell gehackten Server sollte keiner in den Rest des heimischen Lans eindringen.


    -teddy


    -- Ubuntu Server 22.04.3 LTS & VDR 2.6.0 --



    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden