Das eine ist eine "theoretische physikalische" Trennung und das andere nur ein Sichtschutz.

Sprich "port isolation" im WLAN-Bereich bedeutet, dass die WLAN-Frames von einem Client niemals ein anderer Client zugestellt bekommt. Das kommt häufig bei öffentlichen Hotspots vor. Im privaten Bereich seltener. Noch seltener ist dies bei Switches. Dort heißt es oft Consumer-VLAN und soll die Kunden untereinander abschirmen, sollen aber trotzdem mit einem(r) Gateway/Firewall sprechen können.

Das andere ist wie gesagt nur ein Sichtschutz, der dazu führt das sich zwei Geräte sehen können. Das ist aber keine Schutz, denn ich kann jederzeit als Client die Netzwerkeinstellungen anpassen und kann mit den anderen sprechen. Ein Subnetz ist niemals ein Schutz o.ä.! Es ist nur eine Einigung wie man sich unterhält.

Was man als Sicherheit macht, ist die Nutzung von VLANs. Ob das durch VLAN-Tagging passiert oder durch Nutzung mehrer Netzwerkports aus den verschiedenen VLANs.

Ubiquiti/Unifi ist aus der Provider-Ecke entstanden, "port isolation" heißt bei denen tatsächlich dass ein Client/Kunde nur in das Internet kommt und sonst gar nichts. Geht sowohl im WLAN als auch auf den Switch ports.

Offtopic, falls es jemanden interessiert und da ich es gerade auf der Suche nach einem sparsamen Switch gemessen habe: der 24-Port Switch verbrät im Leerlauf 25W.

Und noch ein Tipp: installiert auf den Unifi APs die neueste Firmware, damit ist nun endlich der Bug der regelmäßigen "Paketpausen" weg, Pings gehen nun wieder durchgehend sauber mit 1-2ms übers WLAN. Keine 2s Pings alle 10-30s mehr.

Da ich auch gerade in der Planung für KNX mit IP-Gateway bin:
Wie würdest DU Deine Netze aufteilen bzw. wie hast Du?

Man Plan (mittels VLAN) ist bisher
VLAN 1: alles 08/15 (Computer, Handy, diverse Multimedia-Geräte, Server, Drucker, ...)
VLAN 2: ggf. VoIP
VLAN 3: Gäste, dürfen nur ins Internet
VLAN 4: KNX-Geräte. NICHT die Visu-Geräte (Tablet)
Switche können alle VLANs verwalten, Zentral hängt hinter einer Fritzbox eine Firewall, die dann auch die Netze in den VLANs gegeneinander sichern wird.

Ich bin kein echter Netzwerker, beschäftige mich aber schon lange genug damit, das ich das soweit ganz gut gebacken bekomme.

VLAN1 ist das Standard VLAN für die Konfiguration der Switche. Ich würde das allgemeine eher in ein VLAN 10 packen. und das VLAN 1 als Konfig Netzwerk für die Switche behalten. Dann noch ein VLAN 4093 in dem alle ungenutzten Ports der Switche zusammenlaufen. Da kann sich jemand anstecken, und kommt genau nirgendwo hin

Ich drehe es mal anders herum: Ich will mir zuhause einfach Arbeit sparen.
Mein Heim ist (leider) nur relativ wenig mit Dosen gesegnet, d.h. die Anzahl der Leute, die da "irgendwas" reinstecken können, tendiert gegen Null.
In einer Firma würde ich das auch nicht machen. Da ist NAC eine feine Sache.

Management VLAN wäre noch zu überlegen.

Das "Du" in Verbindung mit einem Zitat beziehe ich auf mich ... anmassend oder?

Also wenn ich nicht so faul wäre, würde ich es so (aus-)bauen:

VLAN ID 1: default ... da passiert garnix
VLAN ID 999|1000|1001: Netzwerk Management VLAN für den/die Switch(es), AP Management Interfaces, ...
ein VLAN für KNX-Gateway(s)
ein VLAN für die Alarmanlage
weitere VLAN's für alles was mir irgendwie besonders schützenswert oder suspekt erscheint, drinnen wie draussen
ein VLAN für alles was sonst so drin ist, also Laptop's, NAS, PC's, TV's, ...

bzgl. VLAN-ID 1: warum soll ich mir die Mühe machen und jeden Switchport umkonfigurieren. Wenn man einen Port nicht mehr braucht und die Konfig drauf löscht (default port command), landet der üblicherweise wieder im VLAN 1 ... et voila ...

MGMT-VLAN halt damit es NICHT im VLAN 1 ist und so weit oben damit es mir nicht aus Versehen in die Quere kommt. Die "|" bedeuted übrigens "oder" (für die nicht Eingeweihten)

Guest-VLAN ist nice to have, aber wozu? habt Ihr Gäste die mit ihren Laptops zu euch kommen um im Internet zu surfen? Also meine Gäste bekommen in der Regel IT-Verbot, bin doch kein kostenloser Support ... und wer doch mal kommen darf, den kann ich auch schnell in's normale Netz einklinken und hinterher wieder rauskicken ... ausserdem hat doch heute eh jeder ein Mobile Daten Abo ... aber wer's möchte ...

Draussen würd ich möglichst stark separieren (wenn ich hätte), kommt drauf an, was man so hat ... dort wäre auch das Privat VLAN ein echter Nutzen, gerade bei den IP-Kameras, wo man nicht immer sicher ist, ob die Firmware koscher ist ... gilt übrigens auch für innen ... dann können die nicht untereinander (wozu auch) aber jede für sich halt mit dem Default-Gateway ... der Firewall ...

NAS/TV/PC würd ich nicht trennen ... oder allenthalben in getrennte VLAN's über eine L3-Switch und dann aber mit Access-Listen ... alle müssen auf das NAS zugreifen und dort ist auch hoher Durchsatz zu erwarten, warum soll ich dass durch die Firewall drücken? Es macht keinen Sinn ein NAS mit EtherChannel (Portbündelung) anzubinden und dann mit einer Firewall "on a stick" die Geschwindigkeit wieder zu drosseln ...

Grüsse

fasi

fasi (um Dich diesmal nicht wieder in Verlegenheit zu bringen):
Deine Aussagen bestätigen mich, dass ich vermutlich doch nicht so ganz falsch liege.

Zuhause kann man etwas gelassener an die Sache herantreten als in einer Firma.
Ich sehe es auch so, dass es bei so Geräten wie NAS wenig Sinn macht, das über die Firewall zu quetschen.
Und wenn da ein böser PC mit einem Virus darauf Daten löschen will - da hilft dann auch kaum eine Firewall wenn der PC eigentlich darauf zugreifen darf.

Heute kamen schon mal die SFPs für die Glasfaserleitung ins Dach und die nächsten Tage hoffentlich noch der bestellte kleine POE-Switch dazu.
Dann kann ich VLANs einrichten.

Glasfaser im EFH? ... nich schlecht oder gibt's einen besonderen Grund? sogar 10GBaseT ist grundsätzlich auf Cat5e/6a/7 möglich, auch wenn es nicht konkret spezifiziert ist und ziemliche Anforderungen an die Verlegung der Kabel und die Dosen stellt ... mit Abstrichen an die Distanz, die im normalen EFH unter normalen Umständen eh nicht an die 100m kommt, sollte das also möglich sein.

Und wenn nicht, dann eben NBaseT mit 2.5|5Gbit/s, aber wer braucht im EFH diesen Durchsatz bei DSL/Cable/LTE? Die wenigsten werden einen Glasfaseranschluss haben (und vor allem auch ausnützen) ... selbst im Profi-Bereich ist 10G (oder mehr) nur bei extremen Aggregationen zu erwarten ... ein einzelner PC macht bei 1GBit schon die Grätsche (der typische Durchsatz liegt weit weit drunter, so schnell kannst du garnicht tippen ) und schau dir mal den Read-Write-Throughput eines NAS an ... da sind wir wieder bei XXX Mbit/s ... Portchannel hin oder her ...

Im Prinzip kann man auch TV's im Bezug auf Durchsatz in ein eigenes VLAN hinter eine Firewall packen ... Netflix "empfiehlt" 25Mbit für 4k Inhalte ... brauchen tut's das aber eher selten ... und das kriegt man auch locker durch eine halbwegs aktuelle Firewall "on a stick" oder hat jemand 40 4k-TV's zu Hause um 1Gbit dicht zu machen? ... am Switch ist ja eh alles full-duplex (vorbehalten irgendwelcher Fehler und altem Krimskrams), da gibt es keine Kollissionen mehr die den Durchsatz drücken ...

Der Vorteil von 10G ist vor allem, dass die Latenz gegenüber 1G sinkt (weil man die Bit's 10x schneller auf die Leitung bekommt, sind die auch 10x schneller wieder zurück ... aber dann muss man durchgängig 10Gbit haben ...

Glasfaser macht aber durchaus Sinn, wenn man z.B. Galvanische Trennung möchte oder braucht!

Gruss

fasi

Oder zum optimalen Ausnutzen der Switche. Meine haben 24 Ports +4x SFP, somit läut der Backbone auf SFP

GLC-T - SFP mit RJ45 Interface? kostet auch nur die Hälfte oder noch weniger ... ganz zu Schweigen von den Patchkabeln und Patchpanel-Ports plus Spleissen ...

Da ich für meine SFP glaub 8€ pro Stück gelöhnt habe, glaub ich das nicht

Naja, wenn man's geschenkt kriegt


Man könnte auch locker die Bandbreite mit CWDM auf 80Gbit/s oder DWDM gar bis auf 800Gbit/s pro Glasfaser-Päärchen aufblasen ...

Schau mal hier: https://www.fs.com/keyword/hp%20sfp&...hSubmit=Search Die verschenken die Nachbauten fast Funktionieren genauso wie die originalen (HP / Cisco ist da eigentlich hacklig)

Hehe, da kosten die 1000BaseT ja sogar doppelt so viel wie die 1000Base-SX bin wohl zu viel in den Cisco Preislisten unterwegs, da ist der Listenpreis für ein 1000BaseT 450$ und für ein 1000BaseSX 900$ ... naja, ich muss den Einkauf nicht machen, nur zusammenstellen und bestellen

Jupp, ist für die galvanische Trennung. Oben im Dachboden kommt ein kleiner MikroTiK POE Switch rein, der versorgt dann gleich noch den Accesspoint.
> 1GBit gibts doch sowieso erst mit SFP+, oder????

Die SFPs sind auch von fs.com. Ich bin bei den Preisen auch etwas vom Glauben abgefallen. Ein Kollege auf Arbeit setzt die dort ein.
Bisher weniger Probleme als mit den Originalteilen Keine Ausfälle, keine Störungen usw.

BTW: Ich habe derzeit noch 100 MBit stabil und ohne Errors über 4 nicht verdrillte Litzen vom Wohnzimmer in den Keller. Funktioniert besser als WLAN oder PowerNet! Soviel zum Thema Spezifikation und Kabel....