Hallo zusammen,
da ich nun etwas Zeit habe mich wieder meinem Netzwerk zu widmen, möchte ich gerne VLANs bei mir einrichten und würde gerne eure Ideen / Empfehlungen / Hinweise zu meiner Planung hören.
Die Hardware-Ausgangslage der UniFi-Produkte sieht so aus:
- 1x UDM PRO
- 1x UniFi Switch 24 PoE
- 2x UniFi AC Pro
- 1x UniFi Mesh Access Point
- 2x UniFi Protect G4-PRO Camera
- 1x UniFi Protect G3 FLEX Camera
Netzwerkgeräte im Haushalt sind u.a.
- Heizung
- Lüftungsanlage
- PV Anlage
- Mobile Geräte wie Tablets, Smartphones, Notebooks
- Desktop PC
- TV
- Sonos Speaker
Ziel ist es nun, dass ich gerne unterschiedliche Netze aufbauen möchte um die Kommunikation zwischen bestimmten Gruppen nicht zu ermöglichen. Ich möchte z. B. nicht, dass die Haustechnik mit dem Sonos Speaker oder anderen IoT-Geräten kommunizieren kann. Ich möchte allerdings, dass ich weiterhin von meinem Management VLAN mit allen Geräten kommunizieren kann.
Meine laienhafte Planung sieht wie folgt aus:
ubiquiti-networks-forum.de/gallery/index.php?image/159/
Ich plane fünf verschiedene VLANs
- Management VLAN 10 = Kann mit allen VLANs kommunizieren. Hierbei können die Geräte im kabelgebunden LAN, aber auch im WLAN sein.
- Gebäudetechnik VLAN 20 = Alle Geräte sind per LAN-Kabel direkt mit der UDM Pro verbunden
- Kamera VLAN 30 = Bisher sind alle Kameras kabelgebunden
- IoT VLAN 40 = Geräte teilweise kabelgebunden und auch im WLAN
- Gäste VLAN 50 = Nur mobile Geräte die im WLAN hängen
Meine Fragen bereits an dieser Stelle:
- Macht die Aufteilung Sinn? Ich möchte eine generelle Struktur etablieren, aber auch nicht übertreiben mit der Anzahl an unterschiedlichen VLANs. Vor allem im Hinblick darauf, dass ich nur einen Layer-2 Switch habe und das Routing damit komplett über die UDM Pro läuft. Auch wenn ich hier aufgrund der Datenmengen wahrscheinlich keine Probleme bekomme, oder?
- Gibt es hier Nachteile, dass die Geräte an der UDM Pro angeschlossen sind? Ich musste leider diesen Weg gehen, da am Switch fast alle Ports durch die Anschlüsse im Haus belegt sind. Die Zeichnung ist nur schematisch und zeigt nur die Gruppen der kabelgebundenen Geräte, aber nicht immer die tatsächliche Anzahl.
Was habe ich bereits umgesetzt bzw. gelernt habe. Über Hinweise ob ich alles richtig verstanden habe, bin ich sehr dankbar. Vielleicht hilft es auch anderen Teilnehmern in diesem Forum.
- Ich habe bisher mit den unterschiedlichen Einstellungen gespielt um das Prinzip der VLANs – hoffentlich – richtig zu verstehen. Das heißt, ich habe bereits einzelne VLANs zum Test erstellt und die Geräte eingebunden. Anschließend habe ich die Verbindung getestet, dass ich z. B. über mein Management VLAN auf die Geräte in anderen VLANs zugreifen kann. Das funktioniert auch soweit, wobei es u.a. bei dem Sonos Speaker anfangs Probleme gab, die ich aber nun in den Griff bekommen habe.
- Wichtig: Uplink Port zwischen UDM Pro und Switch das Port Profil All geben, damit darüber alle Daten der Tagged Networks übertragen werden können. Hier hatte ich erst das falsche Profil gesetzt und konnte meine Kameras nicht mehr erreichen, nachdem ich dem zugehörigen Port das VLAN 30 zugewiesen hatte
- Firewall
- Gruppe erstellt für RFC1918 IP-Adressen
- LAN IN Regeln
- Block interVLAN routing à Quelle Gruppe RFC1918 zu Ziel Gruppe RFC1918 mit Action Block, damit erstmal jede Kommunikation zwischen den Netzen geblockt wird, außer ich erlaube es grundsätzlich
- Allow management LAN to access all VLANS à Quelle Netzwerk LAN zu Ziel Gruppe RFC1918 mit Action Allow
- Switch Port Profiles dienen dazu den einzelnen Ports am Switch und der UDM mitzuteilen, welche VLANs sie übertragen. Hierbei handelt es sich um Tagged VLANs. Z. B. gebe ich dem Port an dem meine Kamera hängt das Switch Port Profile von VLAN 30
- Beim AP sieht das anscheinend so aus, dass ich einem Wireless Network nicht mehrere VLANs mitgeben kann, korrekt? Hier muss ich also pro VLAN ein eigenes WLAN erstellen. Ähnlich dem Gastnetzwerk. Wichtig ist dann nur, dass ich in einem Switch Port Profile die relevanten VLANs als Tagged Network zusammenfasse und dieses Profil dem Port an dem der AP hängt zuweise. Alternative wäre die Verwendung eines Radius Server, bei dem ich nur eine SSID benötige und über den Radius Server die Geräte/Benutzer dem korrekten VLAN zugeordnet werden. Korrekt?
- Wie handhabt ihr das mit WLANs die unterschiedliche VLANs haben sollen. Je weniger aktive WLANs ich hier habe, desto besser ist das doch für meine Frequenzen, damit diese sich nicht untereinander stören. Gibt es hier eine andere Möglichkeit das auszusteuern?
- Was hat es mit dem Bereich LAN LOCAL auf sich? Ich verstehe leider nicht wann oder wofür dort Regeln gepflegt werden sollten. Aus der offiziellen Hilfe kann ich mir leider nichts genaueres vorstellen.
- For example, firewall rules configured under LAN In will apply to traffic from the LAN (Corporate) network, destined for other networks. Firewall rules configured under LAN Local will apply to traffic from the LAN (Corporate) network, destined for the UDM/USG itself.
- Die Sonos Boxen konnte ich nach der Einstellung des VLANs nur mit folgendem Hinweis finden: VLAN inter-accessibility for MultiCast devices (SONOS/Chromecast/Airtame/etc)
- Controller - Settings - Services - MDNS - Set Enable Multicast DNS to ON
- Controller - Settings - Networks -> Edit LAN and WLAN networks each -> Tick Enable IGMP Snooping (Box checked)
- Das Gästenetzwerk basiert auch auf einem Corporate Network. Ich habe außerdem eine spezielle Benutzergruppe erstellt, damit die Bandbreite für Gäste im Up- und Download reduziert ist.
Ich hoffe, dass meine Ausführungen und Ziele verständlich sind. Ich bin noch ein Laie was Netzwerktechnik angeht, möchte mich aber gerne verstärkt damit beschäftigen und das ganze besser verstehen. Genau deswegen habe ich mich auch für die dargestellte Kombination der Hardware entschieden. Jetzt freue ich mich aber auf jegliche Art von Rückmeldungen.