Tipps für gebrauchten Switch: 48 Port, POE, 802.1q (VLAN), 802.1x (Radius)

eehm

Enthusiast
Thread Starter
Mitglied seit
13.09.2011
Beiträge
445
Hallo,

inzwischen weiß ich genau was ich am Ende möchte und bin auf der Suche nach Tipps für einen gebrauchten Switch.
Folgende Anforderungen sollte der Switch erfüllen.

  • 48 Port
  • mind. 1 Gbit
  • POE
  • 802.1q (VLAN)
  • 802.1x
  • dynamisches VLAN
    • MAC based
    • per Radius Server
  • möglichst nicht EOL (schön wäre noch ein langjähriger Support mit Sicherheitsupdates)
Leider haben viele Switches zwar 802.1x, aber fast keiner kann in Zusammenarbeit mit einem Radius Server die VLANs zuweisen. Per MAC schaut es schon ein wenig besser aus.

Habt ihr Switches im Einsatz die ihr hierzu weiterempfehlen könntet oder habt ihr so Tipps für einen Gebrauchtkauf?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
HPE/Aruba 2920 fällt mir da jetzt ein. Sind gebraucht recht erschwinglich und werden noch mit Updates versorgt.
Ansonsten noch Brocade, allerdings dann die ICX7xxx Serie, die 6xxx ist EOS und erhält afaik auch keine SW Updates mehr (sofern die wirklich benötigt werden), könnten aber ansonsten alles was du brauchst.

Aus beruflicher Sicht hab ich da auf Access Ebene nur mit Cisco Catalyst zu tun, die 1000er Reihe ist sehr zickig bei 802.1X, die 4500 Chassis oder neuere 9000er Serie können das aber alles problemlos. Als privater Gebrauchtkäufer sollte man allerdings einen Bogen um den Hersteller machen, ohne Wartungsvertrag gibts keinen Zugang zu Softwareupdates. Wenn ein Produkt EOS ist gibts auch keine Updates mehr.

Wie 802.1X bei Mikrotik so läuft weiß ich nicht, hab ich nie ausprobiert. Da hättest aber zumindest günstige Preise und langen Softwaresupport.
 
HPE/Aruba 2920 fällt mir da jetzt ein. Sind gebraucht recht erschwinglich und werden noch mit Updates versorgt.
Danke für den Tipp.
Entweder ich suche falsch oder wir haben da eine unterschiedliche Vorstellung von billig :)
Ich finde den in 48-Port und POE nirgendwo unter 1000 Euro herum?
 
Kleiner Pro Tipp, wenn du PoE separat löst, dann wird der Spaß plötzlich finanziell sehr einfach.
Das macht besonders Sinn, wenn man nur eine Hand voll PoE-Geräte hat.
 
https://geizhals.at/inline-desktop-gigabit-poe-injektor-32308h-a1859949.html
oder

Ersterer könnte auch ein paar hungrigere Geräte befeuern. (PoE vs. PoE+)

Wenn es eskaliert:
 
https://geizhals.at/inline-desktop-gigabit-poe-injektor-32308h-a1859949.html
oder
Ersterer könnte auch ein paar hungrigere Geräte befeuern. (PoE vs. PoE+)

Wenn es eskaliert:
Also wenn ich mich jetzt nicht komplett täusche, dann können die beiden Geräte weder 802.1q (VLAN) noch 802.1x (Radius).
Und dynamische VLANs nicht nur MAC basiert sondern auch noch per Radius Server können sie dann sicher auch nicht. Also die erfüllen leider so gar nicht die Anforderung befürchte ich. :(

Edit:
Da war ich jetzt echt zu blöd das zu kapieren. Steht zwar als Artikelbeschreibung, aber es sieht aus wie ein Switch und ich dachte es wäre einer!
Dann weiß ich jetzt Bescheid. Das wäre dann auch eine gute Lösung in Verbindung mit einem Switch ohne POE!
 
Zuletzt bearbeitet:
...das sind keine Switches, sondern nur Injektoren.
Die Idee ist Switch und PoE Feature zu trennen, daher der Hinweis auf die separate Lösung.
 
Mit 24 Ports kämst du nicht hin ? Hab hier noch ein HPE 2920 24 Port liegen, mit 2x SFP+ Einschub.
Das hätte sogar PoE+ :)
 
Mit 24 Ports kämst du nicht hin ?
Naja, es würde reichen. Allerdings habe ich mich jetzt eigentlich dazu entschieden, dass ich alle Dosen belegen möchte und ein paar Steckplätze für Server und so braucht man ja am Switch auch noch oder halt noch einen zweiten dazu! ;)
 
Alternativ eben das Angebot von EKA, da werden 24 Port 2920 für 199 € angeboten, dazu 2x Stackingmodule und Kabel und du hättest deinen 48 Plet PoE+ Switch. Jeder der Switche kann dann noch mit max. 4x SFP+ oder 10GbaseT nachgerüstet werden.
 
Ich hätte noch eine Frage zu der Option mit zwei getrennten Switchen.
Wenn man die Switches anstatt des Stacks mit Patchkabeln verbindet, dann habe ich doch eigentlich keinen großen Nachteil.
Ich kann doch z.B. einen Trunk-Port (mit allen VLANs) von Switch1 zu Switch2 durchreichen.
Einziger Nachteil ist doch dann nur, dass ich immer beide Switches konfigurieren muss und die Verbindung mit 1Gbit zwischen den beiden Switches ein "Flaschenhals" sein könnte.
Wobei man hier sicher auch noch mit Link Aggregation die Bandbreite erweitern könnte.
Mache ich noch einen entscheidenden Denkfehler oder sind die Nachteile wirklich sehr überschaubar?
 
Naja, du musst auch Dinge wie Spanning-Tree getrennt beachten, außerdem wird die ARP Table nicht gesynct und je nach Hersteller hast du, wenn du die Switche altualisierst, quasi keinen Ausfall. Im Geschäftsfeld ist das relevant, privat ? Ka
Bei den HP hast du auch noch den Vorteil, du verschwendest dafür keine normalen Ports. Du kannst auch ein PoE Switch mit einem non-PoE Switch stacken. Und ja, die Config synct sich natürlich auch.
 
Bei den HP hast du auch noch den Vorteil, du verschwendest dafür keine normalen Ports. Du kannst auch ein PoE Switch mit einem non-PoE Switch stacken. Und ja, die Config synct sich natürlich auch.
Da hast du natürlich recht, allerdings wirklich billig sind die 2920 dann auch nicht. 2x199 + 1x100 für die Brücke sind auch mit Verhandeln bestimmt 400 Euro.
Aber wahrscheinlich muss ich mich von dem Gedanken trennen, dass es einen billigen Switch gibt der ein 'dynamische VLAN Zuweisung' kann.
MAC basiert können wirklich sehr viele und auch die günstigen, aber mit Radius und dynamisch schaut es schlecht aus.

TP-Link hatte ich auch schon im Auge, aber scheinbar geht das dort nur mit einer eigenen installierten Software auf dem Endgerät sonst nicht, wenn ich das richtig gelesen und verstanden habe. :(
Beitrag automatisch zusammengeführt:

HPE/Aruba 2920 fällt mir da jetzt ein. Sind gebraucht recht erschwinglich und werden noch mit Updates versorgt.
Eine Frage hätte ich noch zu den Geräten.
Diese scheint es als HP 2920 (silber) und Aruba 2920 (schwarz) zu geben.
Sind diese gleichwertig oder sollte man wegen Support oder Downloads einem der beiden den Vorzug geben?
 
Zuletzt bearbeitet:
Eine Frage hätte ich noch zu den Geräten.
Diese scheint es als HP 2920 (silber) und Aruba 2920 (schwarz) zu geben.
Sind diese gleichwertig oder sollte man wegen Support oder Downloads einem der beiden den Vorzug geben?
Ist dieselbe Hardware. Solange es also für den Aruba 2920 Software gibt, gilt das auch für die HPE 2920.

Günstig wird das nicht mit deinen Anforderungen. Das Problem ist oft auch gar nicht mal die Hardware der ganzen Hersteller, viel mehr ist es die Software die drauf läuft. Normales Switching mit bissl VLANs kann Jeder, spezielle Features wie dynamic VLAN Assignment im Kontext von 802.1X würde ich nur den großen Enterprise Herstellern zutrauen.
 
Günstig wird das nicht mit deinen Anforderungen. Das Problem ist oft auch gar nicht mal die Hardware der ganzen Hersteller, viel mehr ist es die Software die drauf läuft. Normales Switching mit bissl VLANs kann Jeder, spezielle Features wie dynamic VLAN Assignment im Kontext von 802.1X würde ich nur den großen Enterprise Herstellern zutrauen.
Danke für deine Einschätzung.
Vielleicht muss ich doch auf MAC basiertes VLAN im Switch setzten und den Radius Server nur die Authentifizierung der gefährdeten Außenkameras machen lassen. Das können noch viele Switches.
Ich dachte es wäre halt smart, wenn man nur die Daten im Freeradius pflegen müsste und nicht immer alles im Switch ändern (welche MAC zu welchem VLAN ...). :d
 
Du könntest es mit Mikrotik versuchen. Deren Software wird regelmäßig gepflegt und die sind recht erschwinglich. Vielleicht klappt das dort mit der dynamischen Zuweisung via Radius.
 
Du könntest es mit Mikrotik versuchen.
Das werde ich danke!

Weißt du ob die HP/Aruba 2920 laut sind oder hält sich das in Grenzen?
Die Netzteile sehen auf den Bilder ziemlich mächtig aus. Selbst bei den Versionen ohne POE und der Lüfter ist arg klein.
 
Das werde ich danke!

Weißt du ob die HP/Aruba 2920 laut sind oder hält sich das in Grenzen?
Die Netzteile sehen auf den Bilder ziemlich mächtig aus. Selbst bei den Versionen ohne POE und der Lüfter ist arg klein.
Den möchtest du nicht neben dir am Laufen haben, im Technikschrank im Keller geht das aber klar.
Eine startende Turbine wie Nexus oder die großen Brocade Switche ist er nicht, aber auch nicht leise.
 
Den möchtest du nicht neben dir am Laufen haben, im Technikschrank im Keller geht das aber klar.
OK ich verstehe.
Zur Inbetriebnahme werde ich Ihn nämlich erst noch im Arbeitszimmer haben. Aber dann weiß ich Bescheid. Danke für deine Einschätzung! :)
 
Danke für deine Einschätzung.
Vielleicht muss ich doch auf MAC basiertes VLAN im Switch setzten und den Radius Server nur die Authentifizierung der gefährdeten Außenkameras machen lassen. Das können noch viele Switches.
Ich dachte es wäre halt smart, wenn man nur die Daten im Freeradius pflegen müsste und nicht immer alles im Switch ändern (welche MAC zu welchem VLAN ...). :d
Du könntest es mit Mikrotik versuchen.
MT CRS354 ... gibt es mit (https://mikrotik.com/product/crs354_48p_4s_2q_rm) und ohne (https://mikrotik.com/product/crs354_48g_4splus2qplusrm) PoE
Wichtig ist das es CRS-Modelle sind, also mit RouterOS...die CSS Modelle haben nur SwitchOS, was nicht so zeitnah gepflegt wird und sind ohne 802.1X
Zum Thema 802.1X und MT: https://help.mikrotik.com/docs/display/ROS/Dot1X

Edit: alternativ, weil passiv, 2 Stck von diesen: https://mikrotik.com/product/CRS326-24G-2SplusRM ...
 
..ich sehe da auch keine Gebrauchten...für neu sind sie schon günstig, vor allem, wen man mit der NON-PoE-Variante und Injektor kombiniert...aber auch neu sind sie schwer zu finden.
Plan-B wären dann 2x CRS326 ... weniger Stromverbrauch und zusammen günstiger als ein CRS354
 
Plan-B wären dann 2x CRS326 ... weniger Stromverbrauch und zusammen günstiger als ein CRS354
Ja die sind neu sogar nicht mal so teuer und da könnte ich auch mal Ausschau halten auf dem Gebrauchtmarkt. Danke für den Tipp!

Allerdings habe ich mir mal ein wenig den Link zum Dot1X und Radius durchgelesen.
Muss ich das dann bei Mikrotik alles auf der Konsole machen?
Oder kann ich das auch simple per Web-GUI "zusammenklicken"? Mir riecht das nämlich stark nach viel Konsole ... liege ich da richtig? ;)
 
Nein, das sollte per Web-UI gehen....
Bei MT ist allerdings das Tool der Wahl "winbox" ...eine App/Programm für Windoof ...ist portable, also ohne Installation.
Der Vorteil, man kann mehr als ein Konfig/Menü-Element simultan nutzen...im Web ist immer nur ein Feature-Dialog im Browser zu sehen/aktiv...auch kann man seine MT-Geräte mit IP und Login/PW in einer Übersicht pflegen und zentral einsteigen.
In Winbox sollten eigentlich auch alle Befehle/Elemente eingebaut sein, die es per CLI/Kommandozeile gibt...im Web-UI könnten ein paar exotische auch fehlen.
Konkret für Dot1X kann ich es aber nicht sagen, mangels eigener Erfahrung.

WebUI sieht bei mir so aus:
1675193565379.png


....in winbox sieht es so aus...inkl. weitere, mögliche Einstellungen, hier mal die IP-Route und wireguard peers
1675193880862.png
 
Das wird auch nicht mehr ewig gehen: 2023/2024 wird Ende sein.
danke für den Hinweis.
Wo ist eigentlich im privaten Umfeld das Problem, wenn ich einen Switch habe der EOS und EOL ist?
Der sitzt doch eigentlich hinter einer Firewall und somit abgeschirmt zum Netz oder mache ich hier einen Denkfehler?
 
...geht nicht nur um Sicherheit, sondern auch Standards entwickeln sich weiter und dann kann die Interoperabilität leiden.
Bei MT gibt es auch neue Features, welche teilweise in der HW schlummern und erst in neueren Versionen der Firmware ans Licht geholt werden.
Zwar gibt es da auch nicht unbegrenzte Abwärtskompatibilität, aber alle CRS können aktuell ROS v7, wo zuvor jahrelang ROSv3 bis v6 galt.
Ich habe hier noch einen alten Hex Gr2, der mal mit v3 kam und nun immer noch mit v7 läuft....schon geil, dass der nun wireguard kann.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh