Ich verstehe diese Trennung bis auf: Server | PCs
Ich nehme an, bei dir ist KNX bei Haustechnik dabei.

Es ist oft der Hinweis zu finden, dass man den Admin Bereich (also die IT-Konfiguration) vom Rest trennen soll
Ist das der Sinn für diese Trennung, oder gibt es andere Gründe?

Walter

Damit kann man je nach Gerät einstellen, dass man die zentrale Hardware (Switch, Router, Server) nur aus dem lokalen, zugehörigen Admin-VLAN administrieren kann.

Aus dem normalen Home-VLAN (mit Notebook/Handies) drin kann man dann den Admin-Zugriff auf die zentrale Hardware verbieten (und für den Server halt nur einzelne Ports freigeben je nach Services die intern verfügbar sein müssen).

Grüsse
Paolo

kann man vereinfacht so sehen

Das haengt davon ab wie der Switchport konfiguriert ist. Man unterscheidet zwischen "trunk" und "access" ports. Beim einem trunk port koennen mehrere VLANs uebertragen werden. Welche das genau sind, kann am jeweiligen Switchport eingestellt werden. Wenn also der Switch auf einem Port z.B. die VLANs 2 und 50 zulaesst, kann die angeschlossene Station nur auf diese zugreifen, und z.B. nicht auf VLAN 60 zugreifen.
Bei einem "access" Port wird festgelegt in welchem VLAN sich dieser befindet. Die Station hat also dann nur Zugriff auf dieses eine VLAN.

Nein, auf den "Verkehrsfluss" hat das keinen Einfluss. Mehrere VLANs erhoehen nicht die Bandbreite auf der Switch Backplane.

Nein. Siehe Erklaerung oben.

Reserveports einplanen ist gut. Nicht genutzte Ports kann man in der Konfiguration des Switchs deaktivieren oder einem VLAN ohne Verbindung zu anderen Geräten zuordnen.
Man plant also allgemeine Reserveports, die erst bei Bedarf einem VLAN zugewiesen werden.

Ich hatte schon in einem anderen Post geschrieben, das VLANs Geräte mit gleichen Sicherheitsanforderungen zusammenfassen sollten. Allerdings ist eine Trennung für den Admin Bereich (Management VLAN) in kleinen Umgebungen wie ein Wohnhaus oft nicht sinnvoll. Im Unternehmensbereich, wo die Administration von Servern und Netzwerkkomponenten durch verschiedene Personen/Teams durchgeführt wird, macht das Sinn.

Wichtig ist nur, das zwischen VLANs ein Sicherheitsgefälle besteht. Ansonsten kann man die VLANs auch zusammenfassen.

Es hat doch einen Einfluss. Broadcasts werden nicht an andere VLANs weitergegeben. Somit wird der Traffic insgesamt reduziert.
Hatte ich schon in #80 geschrieben.

Siehe auch hier:
https://de.wikipedia.org/wiki/Virtua...l_Area_Network

Da hast Du schon recht, das impliziert ja die Trennung auf Layer 2, es sind ja eigene broadcast domains. Nur machen die broadcasts im Regelfall nur einen verschwindend geringen Teil des Traffics aus. Faktisch bringen VLANs also keine Erhoehung der Bandbreite am Switch.

Das hab ich soweit verstanden.

1 IoT-Lokal für Geräte ohne Internet-Zugang
2 IoT-Internet für Geräte mit (stark) eingeschränktem Internet-Zugang
3 Gast für abgeschottete Geräte mit Trennung von allen anderen VLAN und (möglicherweise ebenfalls eingeschränktem) Internet-Zugang
4 Admin-Bereich zur Administration von Router, Switch, APs (im EFH nicht wirklich benötigt, außer wenn der Nerd-Trieb hoch genug ist)
5 Home-Bereich für eigenen PC, Laptop, Handy

TKS und Kameras würde ich unter 1 anordnen, da sehe ich die größte Gefahr, dass die gehackt werden
PV-WR, WP kann man sich (je nach Hersteller) auch unter 2 trauen, oder auch nicht - im Zweifelsfall ebenfalls unter 1

Wo kommen da jetzt die folgenden Geräte am besten rein: KNX-Interface/Router, Heim-Server, NAS, DECT-Basisstation

Walter

Broadcast machen durchaus einen erheblichen Teil der Last aus. Sie blockieren nämlich ständig und permanent mit unnötigem Mist die Leitung. Auch wenn das mengenmäßig nicht viel ist. Um nochmal den Vergleich mit der Autobahn zu machen: Broadcast "Stürme" sind viele hundert Posche, welche mit 200 km/h über die Autobahn rasen. Fahr da mal mit deinem 40 Tonner dazwischen. Weiteres Problem: Es gibt Geräte mit schlecht implementiertem Netzwerkstack, hier überlastet ein Broadcast Sturm die Netzwerkkarte. So regelmäßig passiert beim Management-Interface von Siemens Telefonanlagen. Dann war die Anlage nach x-Broadcast Paketen einfach nichtmehr erreichbar.

Und um nochmal den Autobahnvergleich zu nehmen: Dafür sind LACP Trunks sinnvoll. Hier habe ich dann zwei Netzwerkkabel zwischen Switch<>Switch oder Switch<>NAS. Dabei habe ich zwar noch nicht 2Gbit, aber 2x1Gbit. So kann also rechts der Filetransfer stattfinden (LKW) und links gleichzeitig das "KNX Licht an" Telegramm einfach vorbeihuschen, ohne dass sich irgendwas blockiert, Fragmentiert o.ä.

DECT: Braucht KEIN INternet, also z.B: IoT Lokal. Die muss ausschließlich das SIP ALG erreichen. Ob jetzt das SIP ALG als "intelligentes Rate Gerät", SIP Telefonanlage (im Router eingebaut oder dediziert ist) sei erstmal egal. Aber einen direkten Zugriff aus dem DECT Gerät ins Internet ist idr. nicht nötig.

Das NAS muss ebenfalls nicht ins Internet. Mails sendet es über den lolaken Mail-Proxy, Updates spielt man per Hand ein.

Noch eine Frage: Was macht ihr mit euren Smartphones im Netz, dass ihr Android oder iOS einfach so freien Zugang in euer Privates Netz geben wollt? Um nur die Webseite der Haussteuerung zu erreichen, reicht auch ein einzelner Port offen in der Firewall aus dem Netz IOT Internet->KNX Visu-Server.

Mal so ne Anmerkung, je mehr ihr sperrt desto umständlicher wird das ganze auch, weil man dann öfter mal Dinge hat die nicht klappen weil irgendwas gesperrt wurde. Ergo komfort geht runter. Also mein IOT Vlan ist abgeschottet vom Rest, die Geräte können aber ungehindert ins Netz.
Also mehr bei VLAN ist nicht umbedingt besser.
Ich habe aktuell

Home
IOT
Management
Work
VOIP

Wobei SmartTV und Hifi Anlage auch im Home VLAN sind wegen DLNA, Airplay, Airprint etc Diese Dienste sind nicht wirklich dafür gedacht dass man deren Protokolle von einem Netz ins andere routet. Wer sie aber eh nicht braucht kann sie ruhig auch ins iot netz mit rein tun.
Mir ist wichtig dass es auch immer noch komfortabel bleibt. Da verzichte ich lieber auf ein wenig Trennung.
Manchmal macht die Trennung natürlich Sinn wie zB Work von Home. Denn am FirmenLaptop will ich mitunter gar nicht alle meine DLNA Geräte sehen im Netzwerk...

Man sollte halt überlegen ob man wirklich ein Heimnetzwerk betreiben will oder ein Firmennetzwerk wo generell eher mehr gesperrt ist als weniger. Zuhause will man vermutlich eher etwas mehr komfort haben. Angefangen bin ich damit das zu trennen was eh überhaupt nix miteinander zu tun hat. Das ist erstmal am einfachsten.

Dann quantifiziere doch bitte mal auf welchen "erheblichen Teil" der Broadcast-Traffic bei Dir prozentual im Vergleich zu Unicast hat, und welche Protokolle das genau sind, wie z.B. ARP, DHCP, etc.
Du kannst ja auch mal alle Geraete auf deinem Switch in ein VLAN packen, und dann mit tools wie z.B. "iperf" zwischen zwei Stationen messen. Dann pack die beiden in ein eigenes VLAN und messe nochmal. Dann wirst Du sehen dass es keinen nennenswerten Unterschied macht.
Broadcast-"Storms" sind ein schlechtes Beispiel, das ist kein normales Verhalten. Und nur zur Klarstellung, ich argumentiere nicht gegen VLANs und kleine broadcast domains.

Broadcast ist bei Netzgrößen wie sie im privaten Umfeld vorkommen kein Problem. Deswegen muss man sein Netz definitiv nicht segmentieren!

Das ist sicher richtig. Im privaten Umfeld stehen die Sicherheitsanforderungen im Vordergrund in Bezug auf eine Segmentierung.
Die Sicherheitsanforderungen werden nach Verfügbarkeit, Integrität und Vertraulichkeit beurteilt. Bei Verfügbarkeit habe ich aber auch wieder Performance-Aspekte (in diesem Kontext aber eher nachrrangig).

Der Ansatz sollte vom Standpunkt der Sicherheit andersherum sein. Nur so viel freigeben wie nötigt. Grundsätzlich ist alles gesperrt.

Ich möchte noch erwähnen das sich das Thema hier schon weit von dem Thema im Titel entfernt. Ich denke die Diskussion driftet langsam ab und ist jetzt etwas off-topic (woran ich nicht ganz unschuldig bin).
Allerdings haben alle besprochenen Dinge schon eine gewisse Relevanz bei der Auswahl eines POE Switches.