Neuer Switch wird gesucht

Tobi

Moin,

u.a wegen POE suche ich nach neuen Switch. So großartig habe ich meinem Steinzeit Netgear GS724Tv3 nichts auszusetzen. Es tut ja mehr oder weniger was es soll. Es kann einige Sachen nicht die mir immer wichtiger werden (z.B POE)
So habe ich mir 2 Switche ausgesucht und brauche da etwas Unterstützung von jemand der sich halt mit der Materie besser auskennt.

MikroTik CRS328-24P-4S+RM (favorisiere ich)
UniFi USW-24-PoE-EU

Zumindest wenn ich auf die 3 Punkte schaue, dann denke ich MikroTik ist "deutlich" besser oder?

Ubiquiti

Total Non-Blocking Throughput       26 Gbps
Switching Capacity                           52 Gbps
Forwarding Rate                               38.69 Mpps

MikroTik

Non-Blocking throughput:                64 Gbps 
Switching capacity:                           128 Gbps
Forwarding rate:                                95.2 Mpps

Bei dem Mikrotik hätte ich noch den Vorteil, dass ich die 4 SFP+ Ports gut gebrauchen kann (Als weitere 1GB Ports)

Ist meine Annahme richtig, dass MikroTik besser ist? Leider sind wie viele andere Sachen z.Z nicht lieferbar, es brennt auch nicht. Gibt es ggf. weitere Alternativen was Preis und auch Leistung angeht? Es geht zwar nicht um jedes EUR aber 700€ möchte ich nicht unbedingt ausgeben.

JeGr

@tobi Also ich weiß nicht was du da vergleichst, aber das sind für mich Äpfel und Birnen.

a) deine Stats sind nutzlos, da sich die Angaben immer auf die Netzwerkports beziehen, und da der Microtik 4x10G Ports hat ist der Total Throughput natürlich höher. Sind ja schließlich 40G mehr!

b) Ist der Mikrotik besser: besser für WAS? Wenn du SFP+ Ports haben willst mit 10G und dann nen Unifi Switch zum Vergleich nimmst, der kein 10G hat, ist das ja genauso sinnlos als wenn ich sage, dass ich nen Auto will aber das Moped so wenig PS hat. Aber es ist doch günstiger?

Wenn du SFP+/10G brauchst dann nimm auch und vergleiche Switche die 10G haben. Wenn das eh nur "Gimmick" ist dann logischerweise nicht. Zudem kommt dazu, dass Unifi Switche nicht unbedingt als Standalone / Einzelgeräte gedacht sind und ihren Charme eigentlich erst dann wirklich zeigen, wenn man 2 oder mehr Geräte der Unifi Family im Spiel hat. Sobald man dann nur in einer UI/Oberfläche rumhampeln muss und das dann in ein paar Sekunden einfach auf alle Geräte ausgerollt wird, bekommt man das zu spüren.

Wenns rein um PoE geht, dann kannst du mit dem älteren Gen1 24er von Unifi nen gutes Schnäppchen machen. Wenn du aber eben 10G willst und PoE, dann wäre da je nach Bedarf eher der 24 Pro PoE ein Punkt. Aber da du nichts dazu schreibst, wieviel Ports du überhaupt brauchst, wieviel PoE es sein müssen und was sonst ggf. noch relevant wäre, kann man da nichts zu sagen. Man kann sich das bei Unifi mit mehreren kleinen Switchen auch recht preisgünstig zusammenstellen und hat dann eben durch den zentralen Controller das schön im Griff. Bei den Mikrotik gefällt mir da die UI und das Handling weniger, aber dafür können sie billig sein pro Port. Kommt dann eben drauf an, welche Punkte und Features mehr wert sind im Umgang.

Nur als Beispiel: So kann man bei Unifi bspw. mit dem neuen USW-Switch-Aggregation als Zwischenstück sehr billig einfach mal 8 SFP+ Ports als Backbone mit nachrüsten. Quasi als kleiner Core für zu Hause. In Verbindung mit anderen Switchen kann man sich da was Schönes zusammenbauen.

Wenn du aber 10G + PoE alles in einer Kiste suchst, musst du bei Unifi die Pros nehmen, dann sind Mikrotik mal ohne Software etc. zu betrachten sicher billiger. Ob besser kann dir aber keiner sagen, das liegt ganz an deiner Aufgabenstellung :)

Cheers
\jens

NOCling

Beachte aber auch den Verbrauch, denn die CPU für 10G muss halt viel viel mehr pps bewegen können und das geht dann gleich auf den Verbrauch.

Ein 24er mit POE 370W zieht so um die 20W, das gleiche mit 10G sind dann gern 30-40W.
Dafür kannst auch schon wieder einen 48ter mit GBit füttern, wenn der nicht sogar weniger verbraucht.

Und was für POE braucht du, POE, POE+ oder POE++, 15W, 30W, 60W pro Port?
Klick

Und wenn du schon mal auf der Seite bist, kannst dir auch die FS Kisten anschauen, die sollen auch eine Cisco like CLI haben.

Tobi

Moin,

danke für die Antworten.
@JeGr - als ich mein Beitrag geschrieben hatte, wusste ich gar nicht, dass ich mit den Angaben eben die Äpfel mit Birnen vergleiche. Mir war halt nicht klar worauf sich diese Angaben beziehen.

Und nein, ich brauche kein 10G.

Also meine Überlegung - (vielleicht ist die auch falsch...).
Wie ich schrieb mein Netgear macht an sich was es soll. Der Switch hat für mich 2 Punkte die ich ändern muss/ will
muss - er hat kein PoE und damit für meine UniFi AC-Pro muss ich immer gucken, dass ich Strom Adapter habe.
Künftig kommen mit Sicherheit 1-2 Kameras. So gesehen brauche ich 5 PoE/ PoE+ Ports

kann - mein Netgear ist nur über Browser administrierbar. Nicht das ich plötzlich jeden Tag was daran ändern muss. Doch in letzter Zeit habe ich endlich mich dazu gebracht meine Workstations in separates VLAN zu verschieben, damit die Server "alleine" unter sich bleiben.
Mein Switch erwartet die Angabe welches VLAN zum Administrieren genutzt wird und will auch eigene IP haben.
Wenn ich doch einen Fehler mache, habe ich erst mal keine Möglichkeit über z.B serielle Konsole es zu korrigieren. Finde ich doof, deswegen möchte ich ein Switch wo ich über 2 getrennte Wege ggf. Korrektur machen kann. (Hier bin ich gar nicht sicher ob die Ubiquitis so etwas erlauben)

Ich hatte abgesehen von Switch mit den Gedanken gespielt auch die Dream Machine Pro zu kaufen und damit meine pfSense Kiste abzulösen, habe es aber verworfen und werde doch eher bei pfSense bleiben nur mein APU Board wird durch ein IPU mit mehreren LAN Schnittstellen ersetzt. Die UDM Pro wäre wohl von Kosten etwas billiger - ob ich damit all das machen kann was die pf* kann ist mir nicht so ganz klar (und einige Berichte, dass es nicht so stabil läuft finde ich nicht so toll.

JeGr

@tobi said in Neuer Switch wird gesucht:

Also meine Überlegung - (vielleicht ist die auch falsch...).

Hauptsache man überlegt ;)

UniFi AC-Pro...
...
Künftig kommen mit Sicherheit 1-2 Kameras. So gesehen brauche ich 5 PoE/ PoE+ Ports

Siehste da hast du ja schon zwei Punkte.

1. du hast schon Unifi Gear und somit kann der Switch/die Switche mit dem/den APs und Cams spielen wenn man will
2. du brauchst gar keine 16/24 PoE Ports (die ggf. recht teuer sind und Strom fressen)

Allerdings stellt sich die neue Frage: will man ggf. Unifi Cams haben oder was anderes? Unifi hätte Vor- und Nachteile. Vorteil es spielt alles (meistens) schön zusammen. Nachteil kann aber sein: du brauchst ggf. nen Gen2 Plus Controller für die Cams weil die Software (Unifi Protect) soweit ich weiß nicht als Standalone Software wie den normalen Controller gibt. Alternativ ne DreamMachine aber wer will die schon ;)
Hat also seine Vor- und Nachteile.

kann - mein Netgear ist nur über Browser administrierbar. Nicht das ich plötzlich jeden Tag was daran ändern muss. Doch in letzter Zeit habe ich endlich mich dazu gebracht meine Workstations in separates VLAN zu verschieben, damit die Server "alleine" unter sich bleiben.
Wenn ich doch einen Fehler mache, habe ich erst mal keine Möglichkeit über z.B serielle Konsole es zu korrigieren. Finde ich doof, deswegen möchte ich ein Switch wo ich über 2 getrennte Wege ggf. Korrektur machen kann. (Hier bin ich gar nicht sicher ob die Ubiquitis so etwas erlauben)

Ne serielle Console haben sie nicht. Aber man kann sie auch nicht "einfach" kaputt konfigurieren wie den Netgear, denn du konfigurierst NIE den Switch selbst, sondern via Controller nur dein Netzwerk. Das ist der Kerngedanke von SDN - software defined networking. Du konfigurierst im Controller was du wo wie haben willst und der rollt das dann an alle betroffenen Geräte (Switche, Router, Access Points, Cameras etc.) aus. Der einzige Punkt wo man tatsächlich was "zerschroten" kann ist direkt bei der Inbetriebnahme. Dann adoptiert man den Switch wie den Access Point auch in den Controller. Hier kann man dann den Management Zugriff auf den Switch konfigurieren und kann bspw. den Switch ins Mgmt VLAN XY packen und ne fixe IP verpassen. Wenn das nicht korrekt konfiguriert ist und der Controller den Switch dann nicht mehr sehen kann, dann ist er nach Adopt & Configure nicht mehr erreichbar. Macht aber nichts, stromlos, reset, dann kommt er wie neu im "adoptier mich" Zustand wieder und kann neu eingefügt werden. Daher muss man sich Mgmt VLAN und IP eben vorher überlegen, dann klappt das aber auch problemlos. Danach macht man wie gesagt nichts mehr am Switch, sondern nur noch via Controller an allen Geräten nach Bedarf. Neues VLAN bspw. wird im Con angelegt und automatisch auf jedes Gerät überspielt, dass es braucht oder konfiguriert hat (bspw. weil ein Port auf "Trunk über alle VLANs" konfiguriert ist).

Die UDM Pro wäre wohl von Kosten etwas billiger - ob ich damit all das machen kann was die pf* kann ist mir nicht so ganz klar (und einige Berichte, dass es nicht so stabil läuft finde ich nicht so toll.

Nein kann sie nicht. Man kann viele Sachen mit der UDM Pro machen, klar. Auch weil sie den Controller schon mit eingebaut hat ist es sicher praktisch. Aber an Kernfunktionen und einfach schnell Dinge wie DNS Filtering oder überhaupt DNS Overrides zu machen, da fängt das Drama schon an. Würde daher immer für Raspi mit Controller Software oder - wenn man weiß dass man Cameras ggf. haben will - den Gen2 Plus Controller von Unifi stimmen. Der hat dann Controller und Protect mit drin, Festplatte zum Speichern von Bildern/Videoschnipseln mit drin und gut.

Tobi

@jegr said in Neuer Switch wird gesucht:

Allerdings stellt sich die neue Frage: will man ggf. Unifi Cams haben oder was anderes?

Dazu hatte ich mir bis jetzt gar keine Gedanken gemacht. Alles auf ein Schlag geht nicht ;)

@jegr said in Neuer Switch wird gesucht:

Ne serielle Console haben sie nicht.

Ja das ist hier wohl weniger das Problem, da die Konfiguration eh im Controller liegt.

Na ja mal gucken wenn ich aus dem Urlaub komme ob die UniFi Switche im Store immer noch verfügbar sind, dann kann ich einfach probieren.

JeGr

@tobi said in Neuer Switch wird gesucht:

Dazu hatte ich mir bis jetzt gar keine Gedanken gemacht. Alles auf ein Schlag geht nicht ;)

Muss ja auch nicht :) Aber wenn man das im Hinterkopf auch schon weiß kann man ja entsprechend planen.

JeGr

https://forum.netgate.com/topic/166468/mikrotik-routers-behind-massive-botnet
https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/

Muss man mal zumindest dezent im Hinterkopf behalten. Hatte ich heute auch Nachrichten zu gelesen, dass da eine ganze Welle bis hin zu den meisten infizierte Geräten des aktuellen DDoS Botnetzes MikroTik Router sind. Auch halbwegs aktuelle Firmwares von RouterOS laut Statistik dabei. Sollte man sicher recherchieren, wo das Einfallstor ist/war, aber da würde ich mich aktuell schwer tun, was von MikroTik in meine Infrastruktur hängen zu wollen ohne genau zu wissen, dass bspw. SwitchOS nicht betroffen ist und die Dinger auch 100% von extern abgeschirmt zu haben.

Tobi

Ich habe heute mir UniFi 24 POE bestellt. Wenn die es passend liefern, dann kommt es wenn ich gerade nach Hause gekommen bin.

Bei der Gelegenheit - wenn ich es richtig in Erinnerung habe, hast Du die Controller Software auf einem Raspi oder? Wenn ja "nativ" oder z.B in einem Docker Container?

JeGr

@tobi said in Neuer Switch wird gesucht:

Bei der Gelegenheit - wenn ich es richtig in Erinnerung habe, hast Du die Controller Software auf einem Raspi oder? Wenn ja "nativ" oder z.B in einem Docker Container?

An wen ging die Frage? :)

Ich habe den Controller selbst als Box gekauft. Sieht man hier:

https://forum.netgate.com/topic/146555/infotainment-netzwerk-neubau-mit-pfsense-und-unifi/39

Bob.Dig

@jegr Einer muss ja auch die Sachen kaufen.

NOCling

Habe hier auch den Key im Rack, seit dem läuft das einfach nur noch und Updates sind einen Klich später durch.

Tobi

@jegr said in Neuer Switch wird gesucht:

An wen ging die Frage? :)

An Dich. Hat sich mit der Antwort aber so weit erledigt. Suche jemand der es als Software eben auf einem Raspi im Docker Container laufen hat. In der Zeit - Internet weiter durchsuchen ;)

Heute kam ja mein UniFi Switch. Und schon stehe ich vor einem Problem wo ich nicht weiß ob es Inkompatibilität oder Fehlkonfiguration auf meiner Seite ist.
Ich hatte die Vorstellung mein Netgear GS724T v3 mit dem UniFi 24 POE über 2x RJ45 verbinden zu können und Link Aggregation zu aktivieren. Das gelingt mir nicht.

• wenn auf beiden Seiten keine LAG aktiviert ist für die betroffene Ports und die Switche nur über 1 Kabel verbunden sind, läuft ja auch alles. So bald ich zweites Kabel einstecke - ist UniFi nicht mehr erreichbar.
• Ist LAG auf Netgear aktiviert (auf Unifi nicht) und Geräte über 1 Kabel gebunden läuft alles. So bald ich auf UniFi LAG aktiviere, ist UniFi nicht mehr erreichbar
• Ist LAG auf beiden Switchen deaktiviert und Geräte mit einem Kabel gebunden, läuft alles. So bald ich auf UniFi LAG aktiviere, ist es nicht mehr erreichbar.

Bei Netgear unterstelle ich zunächst kein Problem, denn da läuft seit Jahren LACP mit FreeNAS 8bzw. inzwischen TrueNAS). Ich finde aber nicht was ich bei dem UniFi aktivieren bzw. deaktivieren muss, damit es läuft.

NOCling

In welchem Modi denn?
Mein AP HD hängt hier mit einem activ LACP, wie das NAS auch am HP 2520G.

Ich traue Netgear bei LAG irgendwie nicht über den weg, kann das Teil auch den activ Mode oder nur passiv?

Tobi

@nocling said in Neuer Switch wird gesucht:

In welchem Modi denn?

Ich bin nicht sicher ob ich die Frage verstanden habe. Bei Netgear kann ich LACP und Static als LAG Modus wählen.
Von activ oder passiv finde ich nichts.

Allerdings - und da komme ich eher zu UniFi. Ich deaktiviere LAGF auf beiden Seiten. Switche sind über 1 Kabel verbunden.
Es reicht jetzt wenn ich auf dem UniFi Aggregation aktiviere und schon ist das Teil weg. So gesehen kann es ja gar nicht mit dem Netgear zu tun haben.
Ich habe aber heute Abend mein NAS mit LACP von Netgear auf UniFi umgezogen und dabei gab es keine Probleme. Irgendwie als ob die 2 Switche sich echt nicht mögen.

NOCling

@tobi said in Neuer Switch wird gesucht:

Es reicht jetzt wenn ich auf dem UniFi Aggregation aktiviere und schon ist das Teil weg. So gesehen kann es ja gar nicht mit dem Netgear zu tun haben.

Doch, denn die Ui Teile sprechen aktiv LACP, wenn du das nicht einstellen kannst auf Netgear Seite, dann wird das kein activ LACP sein.
Hier müsste man mal im Detail schauen, leider hat das Teil keine CLI oder?
Da kann man mit den show Befehlen sicherlich genau nachsehen, welche LACP Modi denn hier jetzt wo anliegen.

So sieht das dann bei meinem HP aus:

                                       LACP

          LACP      Trunk     Port                LACP      Admin   Oper
   Port   Enabled   Group     Status    Partner   Status    Key     Key
   ----   -------   -------   -------   -------   -------   ------  ------
   1      Active    Trk1      Up        No        Success   0        26
   2      Active    Trk1      Up        No        Success   0        26
   3      Active    Trk2      Up        Yes       Success   0        27
   4      Active    Trk2      Up        Yes       Success   0        27

JeGr

@tobi Yo das hat @NOCling schon alles geschrieben. UniFi macht sauberes LACP. Selbst eine Syno dran mit 4x Link Aggregation als LACP, die braucht nen kurzen Moment, dann haben die sich ausgehandelt, aber UniFi Switch macht eben Active LACP. Netgear traue ich da genausowenig übern Weg. Nicht nachdem ich bei Kunden die größeren Netgear als "billig Alternative" schon häufiger gesehen habe, dass da angeblich 2-4 Kanal Channelbonds laufen und nachher war von den 4 Links EINER up. Da bin ich mehr als skeptisch.

Der Unifi ist dann auch normalerweise nicht "weg". Zumindest nicht wenn dein Cloudkey oder Controller am Unifi Switch angeschlossen ist, was er sollte. Dann kann er den Switch problemlos erreichen und dann siehst du normalerweise auch in der UI was er tut. Kann mir vorstellen, dass der Netgear ggf. sich nicht sauber LACP aushandelt und er dann deshalb die Ports wegen Loop Protection einfach blockt und auf Down setzt.

Hatte ich bei meinen Sonos Kisten mal, weil die partout meinten, es wäre geil über WiFi zu reden, statt via LAN und wollten dann beides gleichzeitig UP nehmen und via STP aushandeln. Die Switche wollten aber RSTP und haben STP nicht verstanden, Loop Protection reingehauen, LAN Port geblockt.

Tobi

@nocling said in Neuer Switch wird gesucht:

leider hat das Teil keine CLI oder?

Leider nein.

Das sind Sachen und Einstellungen die ich dazu bei dem Netgear sehe/ ändern kann

Nicht wundern - im Moment ist eben bei UniFi kein LAG definiert und beide Switche sind über Port 24 verbunden

@jegr said in Neuer Switch wird gesucht:

Zumindest nicht wenn dein Cloudkey oder Controller am Unifi Switch angeschlossen ist, was er sollte.

Na ja Controller (bei mir Raspi) ist zwar inzwischen auch an dem Switch angeschlossen, nur damit ich zum Raspi komme, muss ich eben über den Switch.
Ich werde mir später mein Laptop schnappen und direkt mit statischer IP anschließen. Vielleicht kann ich dann wirklich was sehen.
Haben die UniFi Teile nicht ein Art Log o.ä was man über SSH erreichen kann um zu sehen was abgelaufen ist?

JeGr

@tobi said in Neuer Switch wird gesucht:

Haben die UniFi Teile nicht ein Art Log o.ä was man über SSH erreichen kann um zu sehen was abgelaufen ist?

Unifi ist SDN - software defined networking. Was man genau dazu macht, um solchen Kram zu vermeiden, eben an mehreren Stellen rumsuchen und debuggen zu müssen, sondern EIN Netz via dem Controller ordentlich konfigurieren zu können. Die Switche haben zwar ne Mini-Console via SSH die erreichbar ist, aber der Clou ist ja gerade, dass man nicht an die Teile ran muss sondern das alles im Controller hat.

Tobi

@jegr said in Neuer Switch wird gesucht:

eben an mehreren Stellen rumsuchen und debuggen zu müssen,

Vielleicht bin ich zu alt oder die Software (also als Java Gelumpe) nicht so wie ich es gerne hätte.

Mein Problem ist aber gelöst. Der Fehler saß natürlich vor dem Bildschirm

Ich hatte mehrfach in die Konfig von Netgear geschaut und das Nahliegende stets übersehen - Wenn man LAG definiert, dann soll man da auch mitgeben welche VLANS über LAG gehen sollen. In dem Moment hat die Portdefinition keine Wirkung.