Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Bekijk alle reviews

Cisco SG250-08 Review

+3
TD-er 2 februari 2020, laatste update op 3 februari 2020, 5.008 views Product gekocht

Cisco SG250-08

Bij het merk "Cisco" denk je vaak meteen aan "duur" en "complex", maar beide vooroordelen zijn niet van toepassing op deze switch. Dit is een Layer 3 switch, wat zoveel wil zeggen als dat 'ie zelf kan routeren tussen verschillende subnetten (en/of VLANs).

Pluspunten

  • Metalen behuizing
  • Voeden via PoE mogelijk (alleen de switch zelf)
  • Layer 3 switch
  • Prijs
  • Relatief eenvoudig te configureren (gezien de complexe mogelijkheden)

Minpunten

  • Door vele mogelijkheden minder geschikt voor "beginner"
  • Geen DHCP op de switch (vereist DHCP relay)

Eindoordeel

Score: 5Per criterium
Prijs Score: 5
Betrouwbaarheid Score: 5
Bouwkwaliteit Score: 5
Features Score: 5
Voor de iets (te) enthousiaste thuisgebruiker of voor kantoortoepassingen waarbij er een goede balans gezocht moet worden tussen scheiden van netwerken, performance en prijs.

Cisco heeft met deze Cisco 250 Series Smart Switches een heel interessant product in de markt gezet.
Voor een zeer nette prijs (8 poorten, ongeveer 85 euro incl. BTW aanschaf) krijg je een layer 3 switch.
In tegenstelling tot de redelijk bekende en populaire "smart" switches van TP-link en NetGear (de "E" series) kan deze switch op IP-niveau routeren (layer 3)

Layer 2 vs Layer 3

Online zijn heel erg veel artikelen te vinden over layer 2 vs layer 3 (voorbeeld), dus ik zal dat zeker niet allemaal herhalen. Alleen een korte samenvatting, van de belangrijkste stukken.
  1. The physical layer: Layer one is concerned with the transmission of data bits over physical mediums.
  2. Data link: Layer two specifies transmission of frames between connected nodes on the physical layer.
  3. Network: Addressing, routing and traffic control of a multi-node network is described by Layer three.
  4. Transport: Segmentation, acknowledgement and multiplexing between points on a network is defined at Layer four.
  5. Session: Layer five looks at the continuous exchange of data between two nodes
  6. Presentation: Encoding, data compression and encryption / decryption between a network service and application happens at Layer six.
  7. Application: Resource sharing, high level APIs and remote file access is defined by Layer seven.
Layer 2
Layer 2, wat de meeste huis-tuin-en-keuken switches doen, is puur op basis van MAC adres kijken naar welke poort een pakketje toe moet.
Als je vanaf je computer een request doet naar een ander netwerk-apparaat op basis van een IP-adres, dan vraagt je computer dus eerst het MAC adres op behorende bij dat IP-adres en stuurt dan een pakketje gericht aan dat MAC adres. (dat opvragen gaat met een ARP pakketje)

Kent de switch tussen beiden dat MAC adres en weet 'ie naar welke poort op de switch dat moet, dan zal de switch dat doorsturen.

Als je netwerk alleen uit dit soort switches bestaat, kan in principe elke computer met elk ander apparaat in je netwerk pakketjes uitwisselen.

Dit is eventueel af te schermen met zgn. VLANs, maar daarover straks meer.
Layer 3
Zoals gezegd, heb je voor het routeren van data op basis van een IP-adres (layer 3) het MAC adres nodig (layer 2).
Bijvoorbeeld als je vanuit je interne netwerk (bijv. 192.168.1.100) naar een van de servers van tweakers.net (213.239.154.30) wilt communiceren.
Dat zit niet in hetzelfde "subnet" of "netwerk" en dus moet er iets tussen wat op basis van IP kan routeren. Oftewel een router.

Dit kan natuurlijk ook gebruikt worden met meer dan alleen 1 "intern netwerK" of "subnet".
Bijvoorbeeld:
  • 192.168.1.0/24 voor PCs
  • 192.168.2.0/24 voor domotica apparatuur
  • 192.168.3.0/24 voor servers en netwerk apparatuur. (NAS/printer etc)
Zo kun je thuis, maar ook op kantoor een nette scheiding maken wie waarbij mag komen.
Deze routing (met bijbehorende regeltjes) regel je dan op het niveau van "layer 3".

VLAN - Virtual LAN

Het is uiteraard mogelijk om per afdeling of groep gebruikers aparte netwerken te maken.
Bijvoorbeeld een switch voor elk bedoeld subnet.
Zo weet je zeker dat iemand op het "magazijn" netwerk niet op het netwerk van "administratie" kan rondsnuffelen.

Echter dat is nogal een gedoe, omdat je dan en meer switches nodig hebt en ook steeds kabeltjes moet omprikken als iemand van werkplek wisselt.
Ook voor bijvoorbeeld WiFi heb je dan meerdere access points nodig als je overal dekking wilt hebben voor elke groep gebruikers.

Hiervoor is een VLAN bedacht.
De beheerder van het netwerk besluit dan welk poortje op de switch bij welk netwerk hoort.
Dus als je ingeplugd bent op een poortje wat ("untagged") bij VLAN 10 hoort, dan kun je niet met VLAN 20 communiceren (op layer 2).

Voor VLANs heb je in de basis 2 modi waarin een poort gebruikt kan worden:
  • Access - Alleen 1 untagged VLAN.
  • Trunk - Max 1 untagged VLAN en meerdere tagged VLANs
VLAN Access Poort
Een Access poort gebruik je om gewone eindgebruikers aan te sluiten. (of een simpele switch die effectief dan alleen in dat ene VLAN zit)
VLAN Trunk Poort
Een Trunk poort gebruik je in principe om switches aan elkaar te knopen en meerdere VLANs over dezelfde kabel te laten lopen.
N.B. dit laatste zal ook noodzakelijk zijn als je een (WiFi) access point gebruikt die meerdere gescheiden VLANs kan aanbieden, zoals bijv. de Ruckus H510 die Ziggo bij het zakelijke abonnement levert als "professionele WiFI oplossing".
VLAN - layer 2
Een VLAN werkt op "layer 2", waardoor het helemaal niets te maken heeft met IP-adressen aangezien het alleen maar zorgt voor een scheiding van naar welke poorten op welke switch iets gerouteerd kan worden.

In de praktijk zul je vrijwel altijd zien dat verschillende VLANs toch ook verschillende IP subnetten krijgen.
Bijv.:
  • 192.168.1.0/24 - VLAN1
  • 192.168.2.0/24 - VLAN2
  • 192.168.3.0/24 - VLAN3
  • enz.
Dit omdat het in het gebruik in rules om toegang te regelen vele malen makkelijker is om dat op basis van IP-adressen te regelen.
Andere voordelen VLAN
Niet alleen scheiden van toegang kan een reden zijn om je netwerk te segmenteren in VLANs.
Een VLAN kan ook prima gebruikt worden als scheiding van broadcast of multicast verkeer.
Naarmate je meer devices hebt in je netwerk, neemt ook het broadcast/multicast verkeer toe.
Bij grote netwerken kan dat op een gegeven moment een significant deel van het totale verkeer vormen.
Door je netwerk in VLANs te segmenteren kun je dit verminderen.

Router vs. Layer-3 switch

In de basis zit er niet heel veel verschil tussen een router en een layer-3 switch.
Beiden kunnen routeren op basis van IP-adres.

Echter als je een wat uitgebreider netwerk hebt met ofwel meerdere VLANs en/of meerdere locaties, dan kom je al snel in de knoop wat betreft aantal aansluitingen op je router en zal wellicht een aantal verbindingen in je netwerk aanzienlijk meer verkeer te verwerken krijgen dan strict noodzakelijk.

Een voorbeeld:
Stel je hebt een bedrijf met 2 gebouwen. Tussen deze gebouwen zit een 1 Gbit verbinding.
Dit bedrijf heeft in gebouw A de router en gebouw B zitten de gebruikers en de servers.
  • Gebruikers zitten in VLAN1.
  • Servers in VLAN 2.
Als alle verkeer tussen VLAN1 en VLAN2 via de router moet, dan gaat alles over die ene Gbit lijn tussen de gebouwen.
Het zou dus ideaal zijn als alleen het verkeer wat daadwerkelijk tussen de gebouwen moet (bijv. het internetverkeer) over die kabel gaat.
Maar dan moet er een layer-3 apparaat komen in gebouw B.
Dat kan net zo goed ook weer een router zijn, maar routers kunnen in principe meer en hebben vaak niet echt veel poorten. Daarmee gaat de prijs nogal omhoog als je een hoge doorvoersnelheid wilt en/of veel poorten.

Hiervoor is een layer-3 switch dan een mooie tussenoplossing.
Doordat een layer-3 switch maar een beperkte set routing regels hoeft te kunnen verwerken, kan deze vaak hogere doorvoersnelheid halen dan een router in dezelfde prijsklasse.
Daarnaast ontlast je de router omdat deze en minder verkeer te verwerken krijgt en ook minder complex verkeer.

Oftewel de voornaamste verschillen tussen een Layer 3 switch en een router:

Voordelen layer-3 switch:
  • Kosten - High performance routers zitten vaak in een ander prijssegment.
  • Meer poorten - Een router heeft vaak een beperkt aantal poorten.
  • Flexibiliteit - Je kunt per poort bepalen of er in layer-2 of -3 gewerkt moet worden en ook kan je VLANs en link aggregation (bandbreedte vergroten door meerdere poorten te combineren) vaak makkelijk instellen.
  • Hogere snelheid - Doordat de routing vaak simpeler is, kan de routing in hardware (speciaal geoptimaliseerde ASICs) gedaan worden. Bij routers is dat veelal in software, wat dus meer afhankelijk is van de gebruikte processor snelheid in de router.
Indien je op een andere layer, of op basis van andere criteria moet routeren, dan ontkom je niet aan een router.
Denk bijvoorbeeld aan:
  • NAT
  • Firewall
  • Tunneling (VPN bijv., niet IPv6 tunnels)
  • IPSec

De Cisco SG250

Zo dit was een best wel lange inleiding om te laten zien wanneer een layer-3 switch handig kan zijn.


De initiële reden voor mij om een Layer 3 switch aan te schaffen was omdat ik zat met de eerder genoemde "professionele WiFi voor zakelijk internet" van Ziggo.
Dit access point verbind via een "untagged" VLAN1 (de standaard default VLAN voor netwerken) met je netwerk en zet dan een VPN op naar de service van Ziggo om je gasten een compleet gescheiden verbinding naar het internet te bieden.
Echter als je het "privé" deel hiervan ook wilt gebruiken, dan moet je iets hebben wat via VLAN10 werkt.
Ik heb eerst flink lopen klooien met de goedkope "smart" switches die wel VLAN ondersteunen, maar geen inter-VLAN routing doen en ook mijn Mikrotik router, die in principe prima met meerdere VLANs zou moeten kunnen werken, had er geen zin in. (wellicht een issue met de gebruikte switch chip in mijn Mikrotik hEX-S)
Zo kwam ik uit op deze Cisco switch.

Aangezien ik duidelijk nog wat miste in mijn netwerk en het budget ervoor het wel toeliet, was de bestelling snel gedaan.
Inter-VLAN routing
Al zoekende op "Cisco SG250 inter VLAN routing" kom je telkens op deze video uit.

Ik heb de video meermalen bekeken en vroeg me steeds af of ik wat miste, want zo simpel kan het toch niet zijn?
Maar het is wel zo simpel.

Je maakt VLANs aan en geeft elk een IP-adres en vinkt layer 3 routing aan en het werkt.... in principe.

Wat ik was vergeten was dat ik in mijn router ook nog de route moest definiëren als ik vanuit het bestaande netwerk naar de VLANs wilde communiceren.

https://ic.tweakimg.net/images/member/620xauto/1IYgV91rMqoR9Gr.png

https://ic.tweakimg.net/images/member/620xauto/1IYme21sTKIETdZ.png

Oftewel wat ik nu heb:
  • Mikrotik router met intern netwerk 192.168.88.1/24
  • GE1 (poort 1 op de CIsco in layer-3 mode) verbonden met de Mikrotik via 192.168.88.254/24
  • VLAN1 op de Cisco (untagged access poort 3 - 7 & untagged trunk poort 8 ) met IP 192.168.1.254/24
  • VLAN10 op de Cisco (tagged trunk poort 8 ) met IP 192.168.10.254/24
Die ".254" adressen zijn dus de gateway voor alles wat erachter zit.
De Cisco moet weten dat 'ie voor de buitenwereld (destination 0.0.0.0/0) met de Mikrotik moet babbelen (192.168.88.1)
https://ic.tweakimg.net/images/member/620xauto/1IYgV93Oi0SZnGc.png
Voor alle netwerken die op de Cisco gedefinieerd zijn, is al een routing aangemaakt zodra je aangeeft dat je wilt routen.
Deze kan wel aangepast worden als er toch een scheiding nodig is.
DHCP vanaf VLAN
Dan komt het lastige, de DHCP.
Aangezien deze switch geen DHCP server aan boord heeft, moet er ergens op het netwerk een DHCP server aanwezig zijn en eigenlijk een per VLAN.
De Cisco biedt ook de mogelijkheid om een DHCP relay te gebruiken.
https://ic.tweakimg.net/images/member/620xauto/1IYgV92eeJddwGh.png
Dus ik heb op de Mikrotik meerdere DHCP-servers geconfigureerd en deze draaien allemaal op de "bridge" in de Mikrotik, echter elk met een eigen "relay source" adres. (de ".254" adressen van de VLANs)
https://ic.tweakimg.net/images/member/620xauto/1IYgV91BCCjqEe9.png
Per VLAN kun je dan aangeven of deze een DHCP relay mag gebruiken.
Zo kun je mooi per VLAN een eigen lijst van DHCP entries maken (DHCP pool), elk met hun eigen extras (eigen DNS en eigen gateway bijv.)
https://ic.tweakimg.net/images/member/620xauto/1IYgV93tjUc3UVm.png
IPv4 Routing
Elke host aangesloten "achter" deze switch kan nu naar het internet en al-dan-niet met elkaar communiceren al naar gelang dat wenselijk is.
Echter wil je ook dat de router weet hoe de IP-adressen bereikbaar zijn, anders krijg je geen antwoord terug vanaf 't internet.
https://ic.tweakimg.net/images/member/620xauto/1IYh0KW7TsuhreZ.png
Voor elk subnet achter deze switch (192.168.1.0/24 en 192.168.10.0/24) moet je een route definiëren in de router met als gateway een adres wat de router al wel kan bereiken: 192.168.88.254.
IPv6 Routing
Voor IPv6 is het in principe hetzelfde stappenplan:
  • subnet per VLAN op de switch definiëren, met een gateway adres binnen dat subnet (bijv. 2001:abcd:ef:10::1 voor VLAN10)
  • IPv6 adres aan de "layer-3 poort" toekennen in subnet van je router. (bijv. 2001:abcd:ef:88::2)
  • Routes definieren voor alle subnetten op je router met als gateway bijv: 2001:abcd:ef:88::2
https://ic.tweakimg.net/images/member/620xauto/1IYhFs1EVKuRntt.png

Let wel op dat je de "Display mode" op "advanced" moet zetten voor IPv6 instellingen.
Complexere routing
Met deze stappen heb je eigenlijk een hele basis-setup gemaakt die administratief je netwerk prima kan opdelen.
Echter met deze standaard routing heb je juist niet meer en scheiding van netwerken. Dit is wel later aan te passen, maar gaat wat ver voor een review :)
Let wel: Als je complexe rules nodig hebt om deze scheiding tot stand te brengen, zal je mogelijk toch weer op een router uitkomen.

Aansluitmogelijkheiden

Deze serie switches varieert in aantal poorten en het wel of niet aanwezig zijn van glas en PoE (power-over-ethernet).
De SG250-8 heeft wel de mogelijkheid om gevoed te worden via poort 1 als een PoE apparaat.
Zie Cisco 250 Series Smart Switches Data Sheet het kopje "PoE Powered Device (PD) and PoE pass-through" in de tabel.

Ook heeft deze switch een aantal "green" opties voor de poorten om energie te kunnen besparen.

Er is al voor een aantal specifieke use cases een profiel beschikbaar om per "smart port" het transport te optimaliseren voor dat specifieke verkeer. Denk aan VoIP, remote desktop of een wireless access point.


De switch spreekt ook "LACP" (IEEE 802.3ad Link Aggregation Control Protocol) zodat je meerdere verbindingen kunt combineren om tussen switches een hogere bandbreedte te kunnen halen, of redundantie te krijgen.
Echter de load balance algoritmen zijn heel basic (MAC of IP/MAC) en dat kan in theorie met sommige protocollen tot problemen leiden zoals UDP verkeer.

Performance

De datasheet geeft het volgende aan:
https://ic.tweakimg.net/images/member/620xauto/1IYhFs2qxTYwMTP.png

Maar de ervaring leert dat meestal deze rangorde van toepassing is:
  • Lies
  • Damn Lies
  • Statistics
  • Network Appliance Datasheets
Dus dat zal getest moeten worden.

Benchmarks zullen later nog worden toegevoegd als ik iets meer tijd heb voor fatsoenlijke tests en ook een vergelijking met een vrijwel gelijk geprijsde Mikrotik router. (Mikrotik hEX-S)

Conclusie

Dit is een heel interessant product om te beginnen met "Layer-3" routing of gewoon simpelweg je netwerk "plat te slaan" als je opgescheept zit met producten die perse op verschillende VLANs moeten werken zoals het eerder genoemde access point.

Ook kan het een zeer interessante oplossing zijn voor deze scenarios:
  • Router te ontlasten
  • Verkeer tussen afdelingen of gebouwen te verminderen
  • Broadcast domein verkleinen
  • Eenvoudig specifiek verkeer via een andere route te laten lopen (bijv. een andere internetverbinding of een extra netwerkkabel) zolang het maar in VLAN/subnet te scheiden is.
  • Redundante lijnen aan je netwerk toevoegen (elke route krijgt een eigen weging en de route met de laagste kosten zal gebruikt worden)

Gebruikt in combinatie met:

Bekijk alle afbeeldingen:

Heb jij ook een Cisco SG250-08?

Deel je ervaringen en help andere tweakers!

Schrijf review



Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True