Gigabit-Switch Netgear GS724T

Schon seit Jahren suche ich nach einer preisguenstigen Moeglichkeit, das interne Netzwerk bei CameloT auf Gigabit umzuruesten. Die dazu noetige Hardware haette jedoch in Summe weit ueber EUR 1000 gekostet und so dringend war das Vorhaben dann doch wieder nicht. Immerhin verfuegten immer mehr der ausgetauschten Endgeraete (PCs und Laptops) ueber eine Gigabit-Schnittstelle und begnuegten sich bis zur Umstellung mit 100 Mb/s. Den Kern bildeten im Keller zwei Stueck Cisco 2924XL. Die beiden sind ueber einen 3-fach Etherchannel miteinander verbunden und transportieren 7 verschiedene VLANs. Der zentrale Router besitzt drei Netzwerkkarten (100 Mb/s), wovon eine ueber einen VLAN-Trunk angebunden ist. Dadurch hat der Router ein Standbein in allen VLANs. Der neue Gigabit-Switch musste also mindestens VLANS (802.1q) als auch Link Aggregation (bei Cisco Etherchannels) nach 802.3ad beherrschen. Da nun drei "dicke" Switche vorhanden waren, stieg die Notwendigkeit fuer das Spanning Tree Protocol (STP, 802.1D). Die Wahl fiel auf den Netgear GS724T fuer knapp unter EUR 300. Die unmanaged Switche in den Stockwerken sollten in Zukunft die Modelle GS108 (8-Port, knapp EUR 80) und GS116 (16-Port, knapp EUR 190) ersetzen. Es handelt sich dabei um luefterlose Modelle, was im Gigabit-Bereich wohl eher selten anzutreffen ist.

Der Austausch der Stockwerks-Switche lief hervorragend einfach, was auch nicht anders zu erwarten war. Ohne Aenderungen an Konfiguration oder Verkabelung waren sofort 1000Mb/s moeglich, sofern nicht ein 100 Mb/s dazwischen war. Anhand der LEDs kann man sofort erkennen, ob der Link mit 1000, 100 oder nur 10 Mb/s zustandegekommen ist.

Die Installation des GS724T

Die Management-IPs meiner Switche befinden sich in einem eigenen VLAN mit privaten IP-Adressen. Diese Konfiguration ist bei dem GS724T nicht moeglich, weil das Windows-only-Programm "Smartwizard Discovery", mit dem man die Firmware upgraden kann, im gleichen Subnet wie der Switch laufen muss. Der Switch kann DHCP-Client sein, "verliert" aber regelmaessig seine IP-Adresse. Mit Hilfe des "Smartwizard Discovery" kann man ihn zwar von aussen erneut um einen DHCP request bitten, was auch zuverlaessig funktioniert, aber laestig ist das trotzdem, also bleibt nur die statische Konfiguration, was bei einem Switch ohnehin geboten ist.

Konfiguration ueber das Webinterface

Die weitere Konfiguration erfolgt ueber das Webinterface. Die Statuspage sagt, ich habe einen "GS724T" mit der Firmwareversion 1.0.3_30. Auf der Netgear-Webseite gibt es fuer den GS724T bereits die Firmware-Version 1.2.3. Doch saemtliche Versuche, die Firmware upzugraden schlugen mit "Illegal Firmware" fehl. Es wird geraten, die Firmware mit der Version 2.5.3 von Smartwizard Discovery oder aelter zu aktualisieren. Zum Download wird diese Version angeboten, aber auf der mitgelieferten CD befindet sich bereits die Version 2.5.5. Die Suche nach "GS724T" auf der Netgear-Webseite foerdert des Raetsels Loesung nicht zu Tage: Ich habe einen GS724Tv2 Lediglich auf der Unterseite des Geraetes ist der nur auf den ersten Blick feine Unterschied zu sehen: Es handelt sich um einen GS724Tv2. Weder auf der Verpackung, noch auf den beigelegten "Zetteln" und auch nicht im Menue laesst sich erkennen, dass es hierfuer eine komplett eigene Softwareschiene gibt. Die aktuelle Version von der Webseite befindet sich bereits in meinem Geraet und alles ist gut. In diesem Fall wird also das "Smartwizard Discovery" nicht benoetigt.

Die komplizierte VLAN-Verwaltung

Zum Glueck richtet man einen Switch in der Regel ein mal auf seine Beduerfnisse ein und muss danach nur noch ganz selten die Konfiguration modifizieren. Die VLAN-Verwaltung artet naemlich in wildes Geklicke im Webbrowser aus, es gibt keine Commandline und auch kein menschenlesbares Config-File. Man hat grundsaetzlich die Wahl zwischen Port-based VLANs und 802.1q-VLANs. Port-based ist simpel, aber dafuer braeuchte der Router eine Netzwerkkarte fuer jedes Netz und die Verbindung zu den 100 Mb/s Switchen muesste mit einem Port pro VLAN erfolgen. Das ist natuerlich wenig sinnvoll. Im folgenden wird also nur das 802.1q-VLAN behandelt. Es gibt eine "PVID Table" deren Sinn sich erst erschliessen muss. Aus der Dokumentation geht hervor, dass es sich hierbei um die Einstellung handelt, welchem VLAN ein eingehendes Paket zugeordnet wird, das ohne VLAN-Tag daher kommt. Es gibt keine Moeglichkeit, das abzuschalten, es muss ein VLAN angegeben werden. Und man kann nicht einfach irgendeins eintragen, nein, der Port muss diesem VLAN vorher zugewiesen werden und man darf einen Port nicht aus dem hier hinterlegten VLAN austragen. Ein Port muss also immer mindestens einem VLAN zugeordnet sein, was an zwei Stellen konfiguriert werden muss. Wegen dieser Einschraenkung ist es moeglich, dass ein Port zwei VLANs gleichzeitig zugeordnet ist und zwar ohne VLAN-Tags! Um die Kompliziertheit der Angelegenheit zu verdeutlichen, beschreibe ich wie man Port 1 und 2 aus dem Default-Zustand ausschliesslich dem VLAN7 zuordnet, also immer noch port-based: Man waehlt aus dem Drop-Down-Menue "Add new VLAN" aus, schreibt dort in das Textfeld eine "7" hinein. Dann klickt man so oft auf jeden der Ports 1 und 2, bis ein "U" erscheint (Untagged), jetzt drueckt man Apply. Jetzt fallen aus den Ports 1 und 2 sowohl VLAN1 als auch VLAN7 untagged heraus! Das ist nicht vermeidbar! Also schnell zum VLAN1 und die untagged-Flags von Port 1 und 2 entfernen? Nein, das geht nicht, denn in der PVID-Table ist ja noch VLAN1 hinterlegt. Dort muss man zuerst den Eintrag von 1 auf 7 aendern, erst dann kann man das Flag in der Konfiguration des VLAN1 entfernen. Alles verstanden? Hoffentlich. In UserManual.pdf findet man hierzu immerhin: Note: The default PVID of all ports is 1; therefore, you cannot remove any ports for the default Tag VLAN. It means that before removing any desired port from default Tag VLAN, changes PVID of such desired port to the PVID other than 1. Die Sortierung der VLANs in der Statuspage haengt vom Eintragen in die Liste ab, nicht etwa vom Zahlenwert der VLAN-ID.

In welchem VLAN ist das Management-Interface?

Man kann nirgendwo einstellen, in welchem VLAN sich das Management-Interface befindet. Also bin ich davon ausgegangen, dass es sich um VLAN1 handeln muss. Da bei mir aber das VLAN1 durchgaenging ungenutzt ist (jedenfalls was IP betrifft) befuerchtete ich, dass die Konfiguration in Zukunft problematisch wuerde. Aber nun greife ich eben ueber VLAN2 auf die Management-IP zu, was einfach so funktioniert. Ich schliesse daraus, dass die Management-IP einfach allen VLANs zugeordnet ist, was natuerlich ein fatales Sicherheitsproblem darstellt, denn das ist nicht der Sinn von VLANs.

Trunking (Etherchannels, Link Aggregation)

Diese Konfiguration ist simpel in einer uebersichtlichen Klick-Matrix abgebildet, wie man es bei den VLANs ebenfalls haette realisieren koennen. Man kann bis zu vier Trunks einrichten und die Ports dieser vier Trunks muessen in den Gruppen 1-6, 7-12, 13-18, 19-24 befinden. Ich habe zwei Trunks mit je zwei Ports (1,2 und 7,8) zu meinen beiden Cisco-Switches gebildet. Die Trunk-Ports sind allen VLANs "Tagged" zugeordnet.

Spanning Tree

Bevor ich den Kreis gebildet habe, habe ich Spanning Tree aktiviert. Obwohl keiner der Geraete das Rapid Spanning Tree Protocol (RSTP) nach IEEE-Standard 802.1w beherrscht, konnte ich keinen Verschlucker feststellen, auch dann nicht als ich den 3-fach-Etherchannel zwischen den Cisco-Switches getrennt habe. Die Konfiguration von PathCosts bei einem gemischten 100/1000 Mb/s-Gebilde mit unterschiedlich breiten Trunks (2x200 und 1x300) ist ein wenig tricky. Wenig hilfreich ist dabei, dass in der Netgear-Dokumentation Spanning Tree keine Erwaehnung findet, das Webinterface bietet mir zum Beispiel Einstellmoeglichkeiten fuer "Bridge&nbspPriority(0 - 65535)". Peinlich.

SNMP

Ein paar kurze Tests mit SNMP erzeugen wenig Lust auf mehr. Es ist nichts dokumentiert. Es ist uns gelungen, die Admin-E-Mail-Adresse zu schreiben, obwohl diese auf dem Webinterface nicht dargestellt wird. Grossartig.

QoS, Trusted MAC, Monitor

Der Switch beherrscht ausserdem QoS: Die Moeglichkeiten sind vielfaeltig, ich habe aber keine Ahnung, was das genau ist: "Port based QoS" (Lowest, Low, Normal, High pro Port), "IEEE 802.1P based QoS" (Lowest, Low, Normal, High fuer die Prioritaeten 0-7), "ToS based" (Lowest, Low, Normal, High fuer die Precedence 0-7) und "DSCP based". Es wird sich wohl niemand die Muehe machen, die "Trusted MAC"-Liste ueber ein Webinterface zu befuellen, moeglich waere das jedoch. Und zu guter letzt kann man einen beliebigen Port als Monitor-Port konfigurieren und dabei eine beliebige Anzahl an Ports monitoren.

NTP, Syslog

Da der Switch kein syslog beherrscht, um genau zu sein ueberhaupt kein Logging, besteht offenbar auch keine Notwendigkeit fuer einen NTP-Client. Ein Auslesen der MAC-Address-Table (gerade in Verbindung mit Spanning Tree) waere wuenschenswert, ist aber leider nicht vorgesehen.

Fazit

Der Switch tut jetzt genau das, wofuer er angeschafft wurde und das fuer einen tollen Preis. Jedes Gigabit-Device im Haus spricht mit jedem anderen Gigabit-Device durchgaengig Gigabit. Es folgt die Aufruestung weiterer Devices auf Gigabit, FreeBSD 6.3 wird sogar Trunking beherrschen, also bekommt der Router zwei Gigabit-Netzwerkkarten, auf dem alle VLANs laufen werden. Die Kritikpunkte halten sich in Grenzen, vieles ist jedoch verbesserungswuerdig, vor allem das Sicherheitsproblem mit der Management-IP sollte dringend geloest werden und der Zwang, Windows-Software zum Firmware-Update benutzen zu muessen sollte ueberdacht werden, zumal der Upload wohl wirklich ueber TFTP erfolgt.

2007-06-17, knarf