Frage zu einem zusätzlichen tagged VLAN auf der Leitung

Michael · 17. Mai 2018 um 07:36

Hi.
Mir ist eine grundsätzliche Sache nicht 100%ig klar, die ich daher mal hier zur Diskussion stelle:
Auf allen Switches läuft unser WLAN über Unifi-AccessPoints auf einem Port (der Einfachheit halber nenne ich das VLAN.1 untagged). Ich brauche nun auf diesem Port zusätzlich VLAN.2 tagged, damit ich über die gleichen AccessPoints ein weiteres WLAN abstrahlen lassen kann, das direkten Zugriff auf die FritzBox/ROT/DHCP liefert.

Das klappt zwar auch alles, aber ich frage mich die ganze Zeit, ob man sich durch das zusätzliche VLAN “sowas wie ein Grundrauschen” auf die Leitung holt? Die Switche müssen die Pakete ja zusätzlich hin- und herschaufeln; egal ob tagged oder untagged. Und in ROT kann u.U. ja ne Menge los sein. Daher die Frage, ob das ursprüngliche, schulweite WLAN (das ja eigentlich von den tagged Paketen nichts sieht) auf diese Weise in Mitleidenschaft gezogen werden kann und somit merkbar langsamer wird – oder eher nicht? Wer kann das kompetent beantworten
Schöne Grüße,
Michael

maxEG · 17. Mai 2018 um 11:13

Hallo Michael,

ich sehe das so:
Wenn über eine Leitung 2 VLANs laufen (tagged oder untagged), ist auf dieser Leitung natürlich so viel los wie in beiden LANs zusammen.
Dein ganzer Traffic in Rot jedoch nicht, da ein Switch die Pakete nur dahin schickt, wo sie auch hin sollen (sonst wäre es ein HUB, das gibts seit 15 Jahren nicht mehr).

Ins blaue WLAN kommt der Traffic von ROT nicht, da der AP das ja trennt. Ich glaube nicht, dass die Performanz leiden wird.

LG
Max

Ulf · 17. Mai 2018 um 15:55

Moin,

den Vergleich zu Switch und Hub zu ziehen finde ich in diesem Zusammenhang unpassend.

VLANs dienen dazu Netze voneinander abzutrennen. Und zwar in dem Maße, dass keine der Parteien am jeweiligen Endpunkt daran etwas ändern kann. Damit sind VLANs in erster Linie als Sicherheitsfeature zu betrachten.

Reguläre Switche im klassischen Sinne (dumme Layer 2 Dinger) können routen. D.h. sie können entscheiden welches Paket wohin muss (solange das eigene Netz nicht verlassen wird). Und sparen sich somit das unnötige Schicken aller Pakete an alle Endgeräte wie es HUBs tun. Damit ist dies also eher als Performancefeature zu betrachten.
Nun muss man fairerweise zugeben, dass das passive Sniffen auf der Leitung natürlich weniger ereignisreich ist, wenn nicht mehr alle Pakete bei einem vorbeikommen. Und damit irgendwo auch wieder ein Sicherheitsgewinn ist. Aber im Vergleich zu VLANs ist das marginal.

Wo genau ist nun der Unterschied?

Zwei Netze (1.0 /24 & 2.0 /24) auf einem dummen Layer2 Switch werden sich nicht sehen. Sauber konfiguriert wird das auch niemals zu Problemen führen. Entscheidet sich jedoch ein Client aus 1.0 /24, dass er nun im Netz 2.0 /24 mitspielen möchte reicht es aus, einfach die eigene IP zu ändern. Bums, aus, fertig. Schon sieht er den anderen Traffic und kann dort alles machen. Und das kann ein Sicherheitsrisiko sein.

Sperrt man stattdessen die beiden Netze in verschiedene VLANs können die Endpunkte beliebig ihre IP Adresse ändern. Sie werden ihr logisches Gefängnis des VLANs aber nicht verlassen können.

Warum erzähle ich das?

Weil die Menge deines Traffics auf deinem Kabel in der Regel nicht von den VLANs abhängt, sondern von der Art wie du dein Netzwerk gestaltet hast. Hast du alles in einem Netz und können alle Geräte sich sehen? Dann ist das aus Performancesicht super. Weil jedes Paket immer die kürzeste Route nehmen kann. Sicherheit ist dann halt nicht so stark gegeben.
Hast du bereits verschiedene Netzbereiche wenn auch ohne VLAN Trennung, dann wird der Switch das sowieso nicht routen. Und das Paket muss über eine zentrale Instanz (Firewall) die dann NAT macht.
Die Menge an Traffic im Vergleich zur Trennung mit VLANs bleibt dann aber ziemlich identisch.

Das ist später einfach eine Abwägung was einem wichtiger ist. Mir persönlich ist eine saubere Trennung mehr wert. Den Übergabepunkt von einem Netz in das andere (die Firewall) kann ich immer noch hochjuppeln und z.B. mit 10G Ports ausstatten.

Aber kann der Unifi Controller nicht eine Statistik zur Auslastung einzelner Ports anzeigen? Das wäre ja genau das was du suchst. Dann hast du einen genauen Wert und musst auch nicht rumraten. Vor allem ist es dir möglich präventiv Anschaffungen zu planen wenn du siehst, dass es eng wird.

PS: Ja ich weiß. Switche können auch VLANs durchrouten. Aber ich denke das führt hier zu weit.

Wenn du noch Fragen hast, sag Bescheid.

Ulf · 17. Mai 2018 um 16:12

Da geht auf jeden Fall was. Zumindest im Demoportal von Ubnt.

h**ps://demo.ubnt.com aufrufen.
Links auf die Herzlinie klicken (Statistics)
Die Ansicht oben links von Overview auf Switch Stats wechseln. Rechts daneben den Switch der Wahl auswählen.
Und der Rest ist persönliche Präferenz. Je nachdem was du haben willst

Viel Spaß

Michael · 17. Mai 2018 um 17:02

Wenn ich das richtig sehe, klappt das aber nur, wenn man auch Unifi-Switches einsetzt. Im Moment habe wir nur Cisco und ein paar alte DLinks. Diese Optionen sind bei uns alle ausgegraut. Aber etwas ähnliches müsste ja iptraf-ng auch liefern können, wenn ich mich an den Port hänge, oder?
Michael

baumhof · 17. Mai 2018 um 19:55

Hallo Ulf,

den Vergleich zu Switch und Hub zu ziehen finde ich in diesem
Zusammenhang unpassend.

ich nicht.
Michael hat ja befürchtet, dass, wenn er das rote Netz zusätzlich über
die Kabel zum AP laufen läßt, mehr traffic durch die Leitung geht, weil
ja auf Rot alle externe Traffic vorbei kommt: und genau das passiert
nicht, weil es eben switches sind und nicht HUBs.
Max ist auf die Frage: was passiert traffic mäßig, wenn auf einer
Leitung mehrere VLANs laufen, eingegangen und nicht auf VLAN Trennung an
sich.

So hab ich das verstanden

LG

Holger

MachtDochNix · 18. Mai 2018 um 05:24

Hallo Ulf!

Hast du alles in einem Netz und können alle Geräte sich sehen? Dann ist
das aus Performancesicht super.

Na ja, das hängt aber im entscheidenen Mass von der Größe des Netzes ab. Ab
einer bestimmten Größe bekommst Du ein „Grundrauschen“ durch die Broadcasts
deiner Netzwerkgeräte in das gesamte Netz. Ein Broascast muss ja von den
Switches im gesamten Netz verbreitet werden, sonst wäre es ja keiner. Für
diese Art von Paketen trifft dann der Vergleich mit den Hubs sehr wohl.

Also steigt nicht nur der Sicherheitsgewinn durch VLANs (Subnetting), sondern
auch die Performance.

Beste Grüße

Thorsten

Michael · 18. Mai 2018 um 07:53

Hi.
Ich denke, dass alle Beiträge zusammen die Frage genau genug beantworten. [Dass Hubs inzwischen nahezu ausgestorben sind, war natürlich klar …]

Das zweite WLAN wird von knapp 100 Tablets benutzt werden (die aber nicht permanent online sein werden – und schon gar nicht alle gleichzeitig). Man wird abwarten müssen, ob die Performance im anderen WLAN leidet. Ich hoffe es aber nicht – nach euren Antworten

Bis später,
Michael

baumhof · 18. Mai 2018 um 08:15

Hallo Michael,

Das zweite WLAN wird von knapp 100 Tablets benutzt werden (die aber
nicht permanent online sein werden – und schon gar nicht alle
gleichzeitig). Man wird abwarten müssen, ob die Performance im anderen
WLAN leidet. Ich hoffe es aber nicht – nach euren Antworten

war um sollte auch die Performance leiden?
Deine APs haben GBit/s Anschluss und die Switches sind doch mit GBit/s
verbunden: das müssen die Tablets erstmal ausgelastet bekommen …
Ist ja nicht so, dass die 100 Tablets an einem AP hängen.

LG

Holger

Ulf · 18. Mai 2018 um 08:29

Ja.

Bin ich überfragt, sorry.

Ulf · 18. Mai 2018 um 09:27

Ja das stimmt. Danke für diese Ergänzung!