Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Bekijk alle reviews

Cisco SG250-08 Review

+3
TD-er 2 februari 2020, laatste update op 3 februari 2020, 4.771 views Product gekocht

Cisco SG250-08

Bij het merk "Cisco" denk je vaak meteen aan "duur" en "complex", maar beide vooroordelen zijn niet van toepassing op deze switch. Dit is een Layer 3 switch, wat zoveel wil zeggen als dat 'ie zelf kan routeren tussen verschillende subnetten (en/of VLANs).

Pluspunten

  • Metalen behuizing
  • Voeden via PoE mogelijk (alleen de switch zelf)
  • Layer 3 switch
  • Prijs
  • Relatief eenvoudig te configureren (gezien de complexe mogelijkheden)

Minpunten

  • Door vele mogelijkheden minder geschikt voor "beginner"
  • Geen DHCP op de switch (vereist DHCP relay)

Eindoordeel

Score: 5Per criterium
Prijs Score: 5
Betrouwbaarheid Score: 5
Bouwkwaliteit Score: 5
Features Score: 5
Voor de iets (te) enthousiaste thuisgebruiker of voor kantoortoepassingen waarbij er een goede balans gezocht moet worden tussen scheiden van netwerken, performance en prijs.

Cisco heeft met deze Cisco 250 Series Smart Switches een heel interessant product in de markt gezet.
Voor een zeer nette prijs (8 poorten, ongeveer 85 euro incl. BTW aanschaf) krijg je een layer 3 switch.
In tegenstelling tot de redelijk bekende en populaire "smart" switches van TP-link en NetGear (de "E" series) kan deze switch op IP-niveau routeren (layer 3)

Layer 2 vs Layer 3

Online zijn heel erg veel artikelen te vinden over layer 2 vs layer 3 (voorbeeld), dus ik zal dat zeker niet allemaal herhalen. Alleen een korte samenvatting, van de belangrijkste stukken.
  1. The physical layer: Layer one is concerned with the transmission of data bits over physical mediums.
  2. Data link: Layer two specifies transmission of frames between connected nodes on the physical layer.
  3. Network: Addressing, routing and traffic control of a multi-node network is described by Layer three.
  4. Transport: Segmentation, acknowledgement and multiplexing between points on a network is defined at Layer four.
  5. Session: Layer five looks at the continuous exchange of data between two nodes
  6. Presentation: Encoding, data compression and encryption / decryption between a network service and application happens at Layer six.
  7. Application: Resource sharing, high level APIs and remote file access is defined by Layer seven.
Layer 2
Layer 2, wat de meeste huis-tuin-en-keuken switches doen, is puur op basis van MAC adres kijken naar welke poort een pakketje toe moet.
Als je vanaf je computer een request doet naar een ander netwerk-apparaat op basis van een IP-adres, dan vraagt je computer dus eerst het MAC adres op behorende bij dat IP-adres en stuurt dan een pakketje gericht aan dat MAC adres. (dat opvragen gaat met een ARP pakketje)

Kent de switch tussen beiden dat MAC adres en weet 'ie naar welke poort op de switch dat moet, dan zal de switch dat doorsturen.

Als je netwerk alleen uit dit soort switches bestaat, kan in principe elke computer met elk ander apparaat in je netwerk pakketjes uitwisselen.

Dit is eventueel af te schermen met zgn. VLANs, maar daarover straks meer.
Layer 3
Zoals gezegd, heb je voor het routeren van data op basis van een IP-adres (layer 3) het MAC adres nodig (layer 2).
Bijvoorbeeld als je vanuit je interne netwerk (bijv. 192.168.1.100) naar een van de servers van tweakers.net (213.239.154.30) wilt communiceren.
Dat zit niet in hetzelfde "subnet" of "netwerk" en dus moet er iets tussen wat op basis van IP kan routeren. Oftewel een router.

Dit kan natuurlijk ook gebruikt worden met meer dan alleen 1 "intern netwerK" of "subnet".
Bijvoorbeeld:
  • 192.168.1.0/24 voor PCs
  • 192.168.2.0/24 voor domotica apparatuur
  • 192.168.3.0/24 voor servers en netwerk apparatuur. (NAS/printer etc)
Zo kun je thuis, maar ook op kantoor een nette scheiding maken wie waarbij mag komen.
Deze routing (met bijbehorende regeltjes) regel je dan op het niveau van "layer 3".

VLAN - Virtual LAN

Het is uiteraard mogelijk om per afdeling of groep gebruikers aparte netwerken te maken.
Bijvoorbeeld een switch voor elk bedoeld subnet.
Zo weet je zeker dat iemand op het "magazijn" netwerk niet op het netwerk van "administratie" kan rondsnuffelen.

Echter dat is nogal een gedoe, omdat je dan en meer switches nodig hebt en ook steeds kabeltjes moet omprikken als iemand van werkplek wisselt.
Ook voor bijvoorbeeld WiFi heb je dan meerdere access points nodig als je overal dekking wilt hebben voor elke groep gebruikers.

Hiervoor is een VLAN bedacht.
De beheerder van het netwerk besluit dan welk poortje op de switch bij welk netwerk hoort.
Dus als je ingeplugd bent op een poortje wat ("untagged") bij VLAN 10 hoort, dan kun je niet met VLAN 20 communiceren (op layer 2).

Voor VLANs heb je in de basis 2 modi waarin een poort gebruikt kan worden:
  • Access - Alleen 1 untagged VLAN.
  • Trunk - Max 1 untagged VLAN en meerdere tagged VLANs
VLAN Access Poort
Een Access poort gebruik je om gewone eindgebruikers aan te sluiten. (of een simpele switch die effectief dan alleen in dat ene VLAN zit)
VLAN Trunk Poort
Een Trunk poort gebruik je in principe om switches aan elkaar te knopen en meerdere VLANs over dezelfde kabel te laten lopen.
N.B. dit laatste zal ook noodzakelijk zijn als je een (WiFi) access point gebruikt die meerdere gescheiden VLANs kan aanbieden, zoals bijv. de Ruckus H510 die Ziggo bij het zakelijke abonnement levert als "professionele WiFI oplossing".
VLAN - layer 2
Een VLAN werkt op "layer 2", waardoor het helemaal niets te maken heeft met IP-adressen aangezien het alleen maar zorgt voor een scheiding van naar welke poorten op welke switch iets gerouteerd kan worden.

In de praktijk zul je vrijwel altijd zien dat verschillende VLANs toch ook verschillende IP subnetten krijgen.
Bijv.:
  • 192.168.1.0/24 - VLAN1
  • 192.168.2.0/24 - VLAN2
  • 192.168.3.0/24 - VLAN3
  • enz.
Dit omdat het in het gebruik in rules om toegang te regelen vele malen makkelijker is om dat op basis van IP-adressen te regelen.
Andere voordelen VLAN
Niet alleen scheiden van toegang kan een reden zijn om je netwerk te segmenteren in VLANs.
Een VLAN kan ook prima gebruikt worden als scheiding van broadcast of multicast verkeer.
Naarmate je meer devices hebt in je netwerk, neemt ook het broadcast/multicast verkeer toe.
Bij grote netwerken kan dat op een gegeven moment een significant deel van het totale verkeer vormen.
Door je netwerk in VLANs te segmenteren kun je dit verminderen.

Router vs. Layer-3 switch

In de basis zit er niet heel veel verschil tussen een router en een layer-3 switch.
Beiden kunnen routeren op basis van IP-adres.

Echter als je een wat uitgebreider netwerk hebt met ofwel meerdere VLANs en/of meerdere locaties, dan kom je al snel in de knoop wat betreft aantal aansluitingen op je router en zal wellicht een aantal verbindingen in je netwerk aanzienlijk meer verkeer te verwerken krijgen dan strict noodzakelijk.

Een voorbeeld:
Stel je hebt een bedrijf met 2 gebouwen. Tussen deze gebouwen zit een 1 Gbit verbinding.
Dit bedrijf heeft in gebouw A de router en gebouw B zitten de gebruikers en de servers.
  • Gebruikers zitten in VLAN1.
  • Servers in VLAN 2.
Als alle verkeer tussen VLAN1 en VLAN2 via de router moet, dan gaat alles over die ene Gbit lijn tussen de gebouwen.
Het zou dus ideaal zijn als alleen het verkeer wat daadwerkelijk tussen de gebouwen moet (bijv. het internetverkeer) over die kabel gaat.
Maar dan moet er een layer-3 apparaat komen in gebouw B.
Dat kan net zo goed ook weer een router zijn, maar routers kunnen in principe meer en hebben vaak niet echt veel poorten. Daarmee gaat de prijs nogal omhoog als je een hoge doorvoersnelheid wilt en/of veel poorten.

Hiervoor is een layer-3 switch dan een mooie tussenoplossing.
Doordat een layer-3 switch maar een beperkte set routing regels hoeft te kunnen verwerken, kan deze vaak hogere doorvoersnelheid halen dan een router in dezelfde prijsklasse.
Daarnaast ontlast je de router omdat deze en minder verkeer te verwerken krijgt en ook minder complex verkeer.

Oftewel de voornaamste verschillen tussen een Layer 3 switch en een router:

Voordelen layer-3 switch:
  • Kosten - High performance routers zitten vaak in een ander prijssegment.
  • Meer poorten - Een router heeft vaak een beperkt aantal poorten.
  • Flexibiliteit - Je kunt per poort bepalen of er in layer-2 of -3 gewerkt moet worden en ook kan je VLANs en link aggregation (bandbreedte vergroten door meerdere poorten te combineren) vaak makkelijk instellen.
  • Hogere snelheid - Doordat de routing vaak simpeler is, kan de routing in hardware (speciaal geoptimaliseerde ASICs) gedaan worden. Bij routers is dat veelal in software, wat dus meer afhankelijk is van de gebruikte processor snelheid in de router.
Indien je op een andere layer, of op basis van andere criteria moet routeren, dan ontkom je niet aan een router.
Denk bijvoorbeeld aan:
  • NAT
  • Firewall
  • Tunneling (VPN bijv., niet IPv6 tunnels)
  • IPSec

De Cisco SG250

Zo dit was een best wel lange inleiding om te laten zien wanneer een layer-3 switch handig kan zijn.


De initiële reden voor mij om een Layer 3 switch aan te schaffen was omdat ik zat met de eerder genoemde "professionele WiFi voor zakelijk internet" van Ziggo.
Dit access point verbind via een "untagged" VLAN1 (de standaard default VLAN voor netwerken) met je netwerk en zet dan een VPN op naar de service van Ziggo om je gasten een compleet gescheiden verbinding naar het internet te bieden.
Echter als je het "privé" deel hiervan ook wilt gebruiken, dan moet je iets hebben wat via VLAN10 werkt.
Ik heb eerst flink lopen klooien met de goedkope "smart" switches die wel VLAN ondersteunen, maar geen inter-VLAN routing doen en ook mijn Mikrotik router, die in principe prima met meerdere VLANs zou moeten kunnen werken, had er geen zin in. (wellicht een issue met de gebruikte switch chip in mijn Mikrotik hEX-S)
Zo kwam ik uit op deze Cisco switch.

Aangezien ik duidelijk nog wat miste in mijn netwerk en het budget ervoor het wel toeliet, was de bestelling snel gedaan.
Inter-VLAN routing
Al zoekende op "Cisco SG250 inter VLAN routing" kom je telkens op deze video uit.

Ik heb de video meermalen bekeken en vroeg me steeds af of ik wat miste, want zo simpel kan het toch niet zijn?
Maar het is wel zo simpel.

Je maakt VLANs aan en geeft elk een IP-adres en vinkt layer 3 routing aan en het werkt.... in principe.

Wat ik was vergeten was dat ik in mijn router ook nog de route moest definiëren als ik vanuit het bestaande netwerk naar de VLANs wilde communiceren.

https://ic.tweakimg.net/images/member/620xauto/1IYgV91rMqoR9Gr.png

https://ic.tweakimg.net/images/member/620xauto/1IYme21sTKIETdZ.png

Oftewel wat ik nu heb:
  • Mikrotik router met intern netwerk 192.168.88.1/24
  • GE1 (poort 1 op de CIsco in layer-3 mode) verbonden met de Mikrotik via 192.168.88.254/24
  • VLAN1 op de Cisco (untagged access poort 3 - 7 & untagged trunk poort 8 ) met IP 192.168.1.254/24
  • VLAN10 op de Cisco (tagged trunk poort 8 ) met IP 192.168.10.254/24
Die ".254" adressen zijn dus de gateway voor alles wat erachter zit.
De Cisco moet weten dat 'ie voor de buitenwereld (destination 0.0.0.0/0) met de Mikrotik moet babbelen (192.168.88.1)
https://ic.tweakimg.net/images/member/620xauto/1IYgV93Oi0SZnGc.png
Voor alle netwerken die op de Cisco gedefinieerd zijn, is al een routing aangemaakt zodra je aangeeft dat je wilt routen.
Deze kan wel aangepast worden als er toch een scheiding nodig is.
DHCP vanaf VLAN
Dan komt het lastige, de DHCP.
Aangezien deze switch geen DHCP server aan boord heeft, moet er ergens op het netwerk een DHCP server aanwezig zijn en eigenlijk een per VLAN.
De Cisco biedt ook de mogelijkheid om een DHCP relay te gebruiken.
https://ic.tweakimg.net/images/member/620xauto/1IYgV92eeJddwGh.png
Dus ik heb op de Mikrotik meerdere DHCP-servers geconfigureerd en deze draaien allemaal op de "bridge" in de Mikrotik, echter elk met een eigen "relay source" adres. (de ".254" adressen van de VLANs)
https://ic.tweakimg.net/images/member/620xauto/1IYgV91BCCjqEe9.png
Per VLAN kun je dan aangeven of deze een DHCP relay mag gebruiken.
Zo kun je mooi per VLAN een eigen lijst van DHCP entries maken (DHCP pool), elk met hun eigen extras (eigen DNS en eigen gateway bijv.)
https://ic.tweakimg.net/images/member/620xauto/1IYgV93tjUc3UVm.png
IPv4 Routing
Elke host aangesloten "achter" deze switch kan nu naar het internet en al-dan-niet met elkaar communiceren al naar gelang dat wenselijk is.
Echter wil je ook dat de router weet hoe de IP-adressen bereikbaar zijn, anders krijg je geen antwoord terug vanaf 't internet.
https://ic.tweakimg.net/images/member/620xauto/1IYh0KW7TsuhreZ.png
Voor elk subnet achter deze switch (192.168.1.0/24 en 192.168.10.0/24) moet je een route definiëren in de router met als gateway een adres wat de router al wel kan bereiken: 192.168.88.254.
IPv6 Routing
Voor IPv6 is het in principe hetzelfde stappenplan:
  • subnet per VLAN op de switch definiëren, met een gateway adres binnen dat subnet (bijv. 2001:abcd:ef:10::1 voor VLAN10)
  • IPv6 adres aan de "layer-3 poort" toekennen in subnet van je router. (bijv. 2001:abcd:ef:88::2)
  • Routes definieren voor alle subnetten op je router met als gateway bijv: 2001:abcd:ef:88::2
https://ic.tweakimg.net/images/member/620xauto/1IYhFs1EVKuRntt.png

Let wel op dat je de "Display mode" op "advanced" moet zetten voor IPv6 instellingen.
Complexere routing
Met deze stappen heb je eigenlijk een hele basis-setup gemaakt die administratief je netwerk prima kan opdelen.
Echter met deze standaard routing heb je juist niet meer en scheiding van netwerken. Dit is wel later aan te passen, maar gaat wat ver voor een review :)
Let wel: Als je complexe rules nodig hebt om deze scheiding tot stand te brengen, zal je mogelijk toch weer op een router uitkomen.

Aansluitmogelijkheiden

Deze serie switches varieert in aantal poorten en het wel of niet aanwezig zijn van glas en PoE (power-over-ethernet).
De SG250-8 heeft wel de mogelijkheid om gevoed te worden via poort 1 als een PoE apparaat.
Zie Cisco 250 Series Smart Switches Data Sheet het kopje "PoE Powered Device (PD) and PoE pass-through" in de tabel.

Ook heeft deze switch een aantal "green" opties voor de poorten om energie te kunnen besparen.

Er is al voor een aantal specifieke use cases een profiel beschikbaar om per "smart port" het transport te optimaliseren voor dat specifieke verkeer. Denk aan VoIP, remote desktop of een wireless access point.


De switch spreekt ook "LACP" (IEEE 802.3ad Link Aggregation Control Protocol) zodat je meerdere verbindingen kunt combineren om tussen switches een hogere bandbreedte te kunnen halen, of redundantie te krijgen.
Echter de load balance algoritmen zijn heel basic (MAC of IP/MAC) en dat kan in theorie met sommige protocollen tot problemen leiden zoals UDP verkeer.

Performance

De datasheet geeft het volgende aan:
https://ic.tweakimg.net/images/member/620xauto/1IYhFs2qxTYwMTP.png

Maar de ervaring leert dat meestal deze rangorde van toepassing is:
  • Lies
  • Damn Lies
  • Statistics
  • Network Appliance Datasheets
Dus dat zal getest moeten worden.

Benchmarks zullen later nog worden toegevoegd als ik iets meer tijd heb voor fatsoenlijke tests en ook een vergelijking met een vrijwel gelijk geprijsde Mikrotik router. (Mikrotik hEX-S)

Conclusie

Dit is een heel interessant product om te beginnen met "Layer-3" routing of gewoon simpelweg je netwerk "plat te slaan" als je opgescheept zit met producten die perse op verschillende VLANs moeten werken zoals het eerder genoemde access point.

Ook kan het een zeer interessante oplossing zijn voor deze scenarios:
  • Router te ontlasten
  • Verkeer tussen afdelingen of gebouwen te verminderen
  • Broadcast domein verkleinen
  • Eenvoudig specifiek verkeer via een andere route te laten lopen (bijv. een andere internetverbinding of een extra netwerkkabel) zolang het maar in VLAN/subnet te scheiden is.
  • Redundante lijnen aan je netwerk toevoegen (elke route krijgt een eigen weging en de route met de laagste kosten zal gebruikt worden)

Gebruikt in combinatie met:

Bekijk alle afbeeldingen:

Heb jij ook een Cisco SG250-08?

Deel je ervaringen en help andere tweakers!

Schrijf review

Reacties (16)

Wijzig sortering
zou ik met deze Layer3 switch ook kunnen aangeven dat op een bepaalde poort alleen IPv6 verkeer inbound doorgelaten mag worden en al het IPv4 verkeer gedropt moet worden? (en andersom?)
Mogelijk kan je géén IPv4-adres aan de layer 3-interface toewijzen: zonder proxy ARP kan er dan niet gerouteerd worden. Maar dat geldt dan voor alle hosts in dat VLAN.

Alle IPv4-verkeer droppen kan door een L2 ACL op basis van ethertype. Als je alleen IPv6 (0x86dd) toestaat en IPv4 (0x0800) en ARP (0x0806) blokkeert op poorten zal alle IPv4-verkeer gedropt worden. Dit kan zo te zien per poort.
In principe maak je zelf de routing voor IPv4 en IPv6, waarbij je dus ook aangeeft hoe elk netwerk naar buiten zou moeten komen.
Dus simpel gezegd, als je geen route definieert voor een subnet/netwerk naar "0.0.0.0" voor IPv4 of "::" voor IPv6, dan kan het verkeer niet voorbij die switch komen.

Als je dat per poort wilt regelen, zul je echter wel moeten zorgen dat je die poort toewijst aan een apart segment of VLAN.
Routes definieer je namelijk op basis van een "interface" en dat is in deze switch een van deze:
  • GE... (Gigabit Ethernet poort)
  • VLAN ... (VLAN nummer)
  • LAG... (Line Aggregation Group)
Om te kunnen routen, zou een interface een IP-adres moeten hebben. Dus heel simpel gezegd, als je een interface geen IP adres geeft, kan 'ie niet routen. Dat lijkt me echter ook wel invloed te hebben op andere zaken, zoals een DHCP-relay. Bij DHCP relay gebruik je namelijk het IP-adres van de interface om het door te sturen naar je DHCP server.

In de IPv6 configuratie van deze switch ben ik nog niet heel erg gedoken, maar ben wel zaken tegen gekomen voor wat betreft de "Prefix Status".
  • Onlink
  • No-Onlink
  • Offlink
Hier is een hele discussie erover, maar ik moet eerlijk zeggen dat ik daarin nog niet echt gedoken ben.

Ik zou verwachten dat als je een interface niet voorziet van een IPv4 adres, dat je simpelweg geen IPv4 kunt routeren voorbij dat punt en hetzelfde voor IPv6.
Echter dat wil dan ook gelijk zeggen dat je bijv. VLAN10 en VLAN20 niet met elkaar kunt laten communiceren als de een IPv4-only is en de ander IPv6-only.
Uiteraard moet je dan geen poort-overlap hebben met VLANs (en geen apparaten die dan tagged VLAN aankunnen)

Als je wilt filteren op inbound/outbound verkeer, dan moet je dus ervoor zorgen dat de interface van een subnet voor IPv6 alleen maar een link-local IPv6 prefix kent en ook niet mee doet aan router advertisement. Dit is per interface en prefix te configureren.
Zo zou je dus per interface een eigen prefix kunnen definiëren en dan kiezen om wel of niet advertisement toe te staan.

Voor IPv4 is het volgens mij wat lastiger om verkeer te blokkeren.
Als je namelijk intern wel wilt kunnen routeren (bijv 192.168.10.x mag met 192.168.20.x praten, maar niet naar buiten), dan zou je op de een of andere manier een static route moeten verzinnen die niet bij de gateway mag komen.
Dit is echter best wel lastig volgens mij, omdat je bij een static route alleen maar een destination kunt benoemen en niet een source.
Je zou een "dummy" interface kunnen maken in een apart subnet, die als gateway fungeert voor "binnen", maar dan nog zou ik zo even niet kunnen verzinnen hoe je dan kunt voorkomen dat 'ie dan niet alsnog naar buiten kan.
Er is namelijk een route die vertelt dat 'ie voor "0.0.0.0" naar een gateway toe moet die binnen de switch is en dus bereikbaar is.
Wellicht dat je met metric waarden kunt stoeien om het toch voor elkaar te krijgen, maar zo op het eerste gezicht zou ik niet goed weten hoe je dat kunt inperken.


TL;DR;
  • Voor IPv6: Vrijwel zeker Ja
  • Voor IPv4: Misschien, maar zou niet weten hoe.

[Reactie gewijzigd door TD-er op 6 februari 2020 16:19]

Goed verhaal, heb je misschien ook wat snelheidstest gegevens (in vlan, bridged, routed) ?
Nog niet, dat zijn inderdaad de tests die ik wilde doen.
Ik heb ze al wel van mijn Mikrotik, die ik ermee wil vergelijken en die zijn ruwweg 80 - 90% van wat de fabrikant claimt. Dat zou dus kunnen liggen aan de hardware die ik gebruik voor het testen (1 laptop met een USB3 gbit ethernet adapter).

Het "probleem" wat betreft testen van de Cisco is dat ik ofwel mijn netwerk deels zou moeten verkassen naar een iets praktischer locatie (bijv. eetkamertafel), of diverse kabels vanaf de meterkast moet leggen :)
Ook moet ik voor de tests een aantal redelijk recente laptops verzamelen om het echt te kunnen testen, of simpelweg een 2e Cisco erbij nemen zodat ik een "zig-zag-routing" kan doen met maar 2 computers maar wel diverse keren door de layer-3 routing heen kan.

Het punt is namelijk dat zodra de Cisco weet heeft van welke subnetten direct toegankelijk zijn, dat ze intern gerouteerd worden.
Dus dan test je niet de daadwerkelijke doorvoer.
Is op zich een hele mooie optimalisatie, maar voor benchmarken redelijk funest. ("Meten is weten als je weet wat je meet", zeg maar)

Wat sowieso al heel veel makkelijker gaat dan met de MikroTik hEX-S, is dat je echt zeker weet dat VLAN-scheiding goed gaat. Ik heb het idee dat die MikroTik een iets te beperkte switch chip heeft, waardoor je denkt op een bepaald VLAN te zitten met een poort, maar het toch niet zit.
Ook de goedkope (layer-2) TP-link switches lijken de VLAN scheiding niet goed te doen.
Met de Cisco is dat gewoonweg goed geregeld, maar hierdoor kan ik bijvoorbeeld niet die TP-link switches gebruiken als "doorlus" om een data stroom meerdere keren door de Cisco heen te leiden.
De Cisco "ziet" dan de data van een ander VLAN ook op een poort verschijnen.
Wellicht een bug in die TP-link switches, maar ik heb het idee dan VLAN-1 niet van een poort af te halen is.
Ik zie met Wireshark namelijk data voorbij komen van VLAN1, op een poort die alleen maar "untagged" data van een ander VLAN zou mogen hebben.

Met de MikroTik haal ik met ~20 firewall rules toch nog wel zo'n 900 Mbps tussen verschillende netwerken, maar dus niet als dat tussen verschillende VLANs is.
De Cisco doet dat wel en een data stroom tussen 2 computers is dan ook nagenoeg Gbit snelheid.
Maar wat ik ook nog wil testen is hoe LACP de load balancing doet en ook of je bijv. poort 1=>2 en 3=>4 etc. (of LAG1 =>2...) tegelijk prima met "wire speed" kunt routeren.
Dat zou namelijk wel moeten kunnen en dat maakt een layer-3 switch een stuk interessanter dan een gewone router. (want meer poorten binnen een bepaalde prijsklasse)
De web interface lijkt verdacht veel op die van switches in de Linksys LGS3xx-serie uit 2014, minus de routing features natuurlijk.
Tsja als eigenaar van Linksys kunnen ze dat natuurlijk prima doen :)
Wellicht heeft het ook wel een beetje te maken met het beoogde segment van deze L3 switches, de "prosumer" markt.
Maar dit is wel degelijk een voormalig Linksys GUI.
Dit is dan ook niet een echte Cisco, maar een rebranded Linksys. Die stap had Cisco destijds al ingezet, dat Linksys zou worden omgetoverd tot 'Cisco small business' o.i.d.

Ik heb de grotere varianten van deze switches gehad (rackmount 1U) en de software die er identiek uit zag is bedroevend slecht. Heb ze uiteindelijk bij Cisco mogen inleveren omdat ze de bugs niet gingen fixen.
Maar dat vind ik juist het rare. Volgens Pricewatch is deze Cisco in 2018 geïntroduceerd. Ik wil absoluut niet zeggen dat Cisco de user interface gestolen heeft, alleen dat deze sterk lijkt op eentje uit 2013, wat je mogelijk niet verwacht van een apparaat waar ze vijf jaar de tijd hadden om een andere (betere!) UI voor te ontwikkelen.
Mooi verhaal,
Leuk dat je de theorie uitlegt.
Bij deze switches van voormalig linksys mag je nog opmerken dat zodra je deze van l2 naar l3 mode switcht je ze moet rebooten en dat de eigenschappen vwb max-mac-entries en wellicht andere specs flink worden gereduceerd in l3-mode. Ik heb een IT-bedrijf gekend wat dit soort switches (24-poort versie wel) als routing-laag inzette en tegen limieten aanliep omdat het max aantal mac-addressen werd bereikt.

Daarom zijn dit soort doosjes leuk voor thuis, hoewel de noodzaak voor meerdere vlans daar wat minder is tenzij je dingen als guest-lan, domotica-lan, audio-lan, telefonie-lan etc wilt kunnen scheiden natuurlijk, maar niet toepasbaar zodra het een huishouden overstijgt :)

In het laatste geval zou je dan beter een 2e-hands of refurbished 2960 kunnen nemen of iets van netgear of ubiquity, dat zijn dan wel geen cisco-devices maar dat is de switch in de review dus eigenlijk ook niet.
Ik ben die opmerking over L2 en L3 mode switchen vaker tegengekomen, maar dat is dan waarschijnlijk van toepassing op een oudere firmware?
Dit is nog niet eens de laatste firmware en hier kan ik per poort L2 of L3 kiezen.
Dat is dus anders dan voorheen kennelijk, waarbij je de hele switch in L3 mode moest zetten aldus sommige tutorials.
Waarvoor je wel moet rebooten is als je jumbo frames aanzet.
De limiet van MAC adressen kan ik me wel wat bij voorstellen, al vraag ik me wel af of je dan niet al veel eerder tegen andere limieten bent aangelopen zoals bandbreedte (want je verbind dan best wel grote subnetten) of het relatief kleine aantal routes wat je kunt gebruiken.
Up to 32 static routes and up to 16 IP interfaces
(Bron)

De reden dat ik vooral ook in deze review in de theorie ben gedoken is met name ook omdat ik die zelf miste bij het uitzoeken van waarom ik deze switch nodig zou hebben.
Ik ben even verder gedoken in de beperking die je noemde (thanks daarvoor) en kwam hier op uit: TCAM Utilization Issues

IP Entries
  • In Use - 346
  • Maximum - 704
ACL and QoS Rules
  • In Use - 0
  • Maximum - 480
Oftewel zoals je kunt zien, kan je met de default settings (1 L3 poort, geen idee hoe het max. bepaald is) maar 704 IP routes in "hardware" routeren.
Met mijn "huis-tuin-en-keuken" netwerk al zo'n 346 routes gealloceerd.
Ik kan me voorstellen dat wanneer je over die limiet heen komt, dat je heel veel snelheidsverlies krijgt omdat het routen dan via een relatief trage CPU gaat.

Ik heb een 2e van deze switches onderweg zodat 'ie flink op de pijnbank kan zonder dat ik moppers krijg van de rest van het gezin :)
Ook zal ik proberen te achterhalen hoe je die gealloceerde routes dynamisch weer kunt opruimen, optimaliseren en wanneer je tegen limieten aan loopt.
Ik had niet verwacht dat dit zo'n klein aantal zou zijn en kan me wel use cases voorstellen waarop dit mis gaat.
Bijvoorbeeld met gebruik van bittorrent, of wellicht in een netwerk met een webserver?
Mooi voer voor verder onderzoek, dus nogmaals dank voor de opmerking over deze potentiele beperkingen.

[Reactie gewijzigd door TD-er op 8 februari 2020 13:14]

Thanks voor het verdere uitzoeken, echt top van je.
Het is moeilijk deze getallen op de cisco-site boven water te krijgen :).
Volgens mij liep men bij een klant inderdaad uit het maximum aantal ip-addressen. Thuis zal dat niet zo snel gebeuren maar als alle sessies moeten worden bijgehouden in een tabel kan het snel uit de klauwen lopen
als je iets als bittorrent doet.
Dus routing zou ik dan liever doen op een firewall of router die een heel boel meer sessies kan bijhouden.
Hele nette review en uitgebreide uitleg op vragen, top!
Uitstekende review inclusief de netwerk uitleg met het hoe en waarom.
plus 3


Om te kunnen reageren moet je ingelogd zijn



Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True