6
Verständnis Frage VLAN und default VLAN , tagged und untagged
Hallo
Ich habe eine Frage zu VLAN bzw default VLAN.
Beispielszenario:
2 Switches werden mit 3 VLAN verbunden. Trunk ist SWI1 Port1 zu SWI2 Port1.
Default VLAN 1 / VLAN 2 / VLAN 3
Was ist richtig was ist falsch?
Vaniante A:
- Ich konfiguriere bei beiden Switchen Port 1 untagged vlan1 und und tagge VLAN2 und 3.
Variante B:
- Ich konfiguriere bei beiden switchen Port 1 tagged vlan 1,2 und 3.
Variante A funktioniert, es ist aber das default VLAN untagged auf dem Port (Sicherheitsrisiko?)
Bei Variante B, könnte da ein Loop entstehen? denn liegt das default vlan sowieso nicht "per default" untagged an und wenn da jetzt nochmals tagged das vlan1 daherkommt dass dann ein Loop entsteht?
Ich war der Meinung das tagged VLAN immer auf ein untagged "träger" vlan gemacht werden. Mittlerweile hinterfrage ich diese Theorie.
Ich hoffe es ist einigermassen Verständlich
Schonmal vielen Dank.
Gruss aus der Ost-Schweiz
Ich habe eine Frage zu VLAN bzw default VLAN.
Beispielszenario:
2 Switches werden mit 3 VLAN verbunden. Trunk ist SWI1 Port1 zu SWI2 Port1.
Default VLAN 1 / VLAN 2 / VLAN 3
Was ist richtig was ist falsch?
Vaniante A:
- Ich konfiguriere bei beiden Switchen Port 1 untagged vlan1 und und tagge VLAN2 und 3.
Variante B:
- Ich konfiguriere bei beiden switchen Port 1 tagged vlan 1,2 und 3.
Variante A funktioniert, es ist aber das default VLAN untagged auf dem Port (Sicherheitsrisiko?)
Bei Variante B, könnte da ein Loop entstehen? denn liegt das default vlan sowieso nicht "per default" untagged an und wenn da jetzt nochmals tagged das vlan1 daherkommt dass dann ein Loop entsteht?
Ich war der Meinung das tagged VLAN immer auf ein untagged "träger" vlan gemacht werden. Mittlerweile hinterfrage ich diese Theorie.
Ich hoffe es ist einigermassen Verständlich
Schonmal vielen Dank.
Gruss aus der Ost-Schweiz
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361962
Url: https://administrator.de/contentid/361962
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Tutorial dazu gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort wird eigentlich alles haarklein zu dem Thema erklärt.
Eine "VLAN Schnellschulung" findest du hier:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Alles zum Thema PVID hier:
Warum gibt es PVID bei VLANs?
Das sollte dann eigentlich genügend Licht ins Dunkel für dich bringen
Antwort auf deine Frage:
Variante A ist richtig weil 90% aller Hersteller das so machen auf Trunks das default VLAN (sog. Native VLAN) immer untagged zu übertragen.
Du musst es nur dann taggen wenn du zu Herstellern verbindest die das Native VLAN auch taggen.
Der VLAN Standard IEEE 802.1q definiert das nicht fest so das Hersteller hier frei sind wie sie das handhaben.
Übrigens ist der Begriff "Trunk" missverständlich und oft verwirrend.
Bei Cisco ist ein Trunk = ein tagged Uplink
Im Rest der Netzwerk Welt ist ein Trunk = Link Aggregation (LAG), also das Bündeln mehrerer Links zur Bandbreitenerhöhung. (Auch Teaming oder Bonding genannt)
Letzteres heisst bei Cisco = Etherchannel.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort wird eigentlich alles haarklein zu dem Thema erklärt.
Eine "VLAN Schnellschulung" findest du hier:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Alles zum Thema PVID hier:
Warum gibt es PVID bei VLANs?
Das sollte dann eigentlich genügend Licht ins Dunkel für dich bringen
Meinung das tagged VLAN immer auf ein untagged "träger" vlan gemacht werden.
Nein, das ist technischer Unsinn.Antwort auf deine Frage:
Variante A ist richtig weil 90% aller Hersteller das so machen auf Trunks das default VLAN (sog. Native VLAN) immer untagged zu übertragen.
Du musst es nur dann taggen wenn du zu Herstellern verbindest die das Native VLAN auch taggen.
Der VLAN Standard IEEE 802.1q definiert das nicht fest so das Hersteller hier frei sind wie sie das handhaben.
Übrigens ist der Begriff "Trunk" missverständlich und oft verwirrend.
Bei Cisco ist ein Trunk = ein tagged Uplink
Im Rest der Netzwerk Welt ist ein Trunk = Link Aggregation (LAG), also das Bündeln mehrerer Links zur Bandbreitenerhöhung. (Auch Teaming oder Bonding genannt)
Letzteres heisst bei Cisco = Etherchannel.
Vielen Dank für Deine Informationen.
Was passiert denn, wenn bei einem der 90% Hersteller das native VLAN trotzdem auf den Trunk getagged wird?
Beispiel pfSense:
Mit einem Klick auf das + gelangt man ins VLAN Menü und wählt hier das Parent Interface also das Interface über das die VLANs laufen sollen (Hier im Beispiel das "vr0" das LAN Interface).
Unter VLAN Tag trägt man seine VLAN ID ein z.B. 10 für das VLAN 10. Unter Description fügt man eine Beschreibung des VLANs ein. Diese ist lediglich kosmetisch, erleichtert aber das Arbeiten beim Mangement nacher, da man das VLAN und dessen Funktion so leichter identifizieren kann.
Wenn jetzt am Parent-Interface ein tagged VLAN 1 aufgesetzt wird, der Trunkport vom Switch gegenüber das Management VLAN1 untagged anliegt, was passiert mit dem getaggten VLAN1 Paket von der pfSense kommend?
Das Native Interface oder Parent Interface:
Wichtig ist hier noch anzumerken das der Anschlussport am VLAN Switch für diesen WLAN Accesspoint oder generell bei tagged Uplinks immer auf tagged (bzw. Trunk beim Cisco) für alle VLANs gesetzt werden muss.
Klar...denn der AP ordnet ja, wie oben bereits bemerkt, die WLAN ESSIDs (WLAN Name) oder generell VLAN ID getaggte Pakete den entsprechenden VLAN Tags (VLAN ID) zu um sie dann im korrespondierenden VLAN zu forwarden.!
Einzige Ausnahme ist hier immer das default VLAN 1 das immer untagged am Port anliegen muss !!
Auf einem tagged Uplink wird das default VLAN oder auch native VLAN immer untagged übertragen.
Ist nur so, weil das Endgerät das Management VLAN nicht taggen kann?
Danke und Gruss
Was passiert denn, wenn bei einem der 90% Hersteller das native VLAN trotzdem auf den Trunk getagged wird?
Beispiel pfSense:
Mit einem Klick auf das + gelangt man ins VLAN Menü und wählt hier das Parent Interface also das Interface über das die VLANs laufen sollen (Hier im Beispiel das "vr0" das LAN Interface).
Unter VLAN Tag trägt man seine VLAN ID ein z.B. 10 für das VLAN 10. Unter Description fügt man eine Beschreibung des VLANs ein. Diese ist lediglich kosmetisch, erleichtert aber das Arbeiten beim Mangement nacher, da man das VLAN und dessen Funktion so leichter identifizieren kann.
Wenn jetzt am Parent-Interface ein tagged VLAN 1 aufgesetzt wird, der Trunkport vom Switch gegenüber das Management VLAN1 untagged anliegt, was passiert mit dem getaggten VLAN1 Paket von der pfSense kommend?
Das Native Interface oder Parent Interface:
Wichtig ist hier noch anzumerken das der Anschlussport am VLAN Switch für diesen WLAN Accesspoint oder generell bei tagged Uplinks immer auf tagged (bzw. Trunk beim Cisco) für alle VLANs gesetzt werden muss.
Klar...denn der AP ordnet ja, wie oben bereits bemerkt, die WLAN ESSIDs (WLAN Name) oder generell VLAN ID getaggte Pakete den entsprechenden VLAN Tags (VLAN ID) zu um sie dann im korrespondierenden VLAN zu forwarden.!
Einzige Ausnahme ist hier immer das default VLAN 1 das immer untagged am Port anliegen muss !!
Auf einem tagged Uplink wird das default VLAN oder auch native VLAN immer untagged übertragen.
Ist nur so, weil das Endgerät das Management VLAN nicht taggen kann?
Danke und Gruss
Was passiert denn, wenn bei einem der 90% Hersteller das native VLAN trotzdem auf den Trunk getagged wird?
Na ja das kannst du dir ja ganz einfach selber vorstellen.Wenn die eine Seite VLAN 1 z.B. tagged und die andere Seite aber VLAN 1 dort nicht fürs Tagging definiert ist im Setup dann wird dieses Paket weggeschmissen....keine Connectivity !!
Manche Billigswitches ohne Sicherheit nehmen manchmal auch alles an was getagged reinkommt und forwarden das dann je nach VLAN ID Vewrfügbarkeit.
Wenn dann VLAN 1 vorhanden ist ist gut. Ist es nicht vorhanden wird der Frame wieder weggeschmissen.
Sowas wie letzteres ist natürlich tödlich aus Sicherheits Sicht. Sowas Gruseliges machen zum Glück meistens nur billigste China Böller unterster Kategorie.
Wenn jetzt am Parent-Interface ein tagged VLAN 1 aufgesetzt wird, der Trunkport vom Switch gegenüber das Management VLAN1 untagged anliegt, was passiert mit dem getaggten VLAN1 Paket von der pfSense kommend?
Das ist genau der Fall...dann wird das Paket gedropped also weggeschmissen. Hier muss natürlich die VLAN Konfig stimmen !!Das Parent Interface an der pfSense (und vielen anderen Endgeräten wie Server, NAS etc.) ist immer untagged. Man muss also genau darauf achten auf der anderen Seite am Switchport welches VLAN man dort als Native VLAN (PVID) einstellt !
Ist nur so, weil das Endgerät das Management VLAN nicht taggen kann?
Ja das ist auch ein Nachteil mancher billiger China Switches.Normal lassen sich alle Switches mit dem Management immer in das VLAN der Wahl legen. Hier mal am Beispiel eines Cisco SG-200:
VLAN Konfiguration mit dd-wrt bzw. Mikrotik hinter FritzBox
1Zitat von @aqui:
Manche Billigswitches ohne Sicherheit nehmen manchmal auch alles an was getagged reinkommt und forwarden das dann je nach VLAN ID Vewrfügbarkeit.
Manche Billigswitches ohne Sicherheit nehmen manchmal auch alles an was getagged reinkommt und forwarden das dann je nach VLAN ID Vewrfügbarkeit.
Ich hatte mal Probleme mit 2 HP billig Switchen. Da hatte ich eine Uplink/Trunk (LAG) zwischen den 2 Switchen und bei beiden war V1 das Management VLAN. Dazu wurde das V1 sowie alle anderen VLAN über diesen Trunk getagged. Das Problem zeigte sich so dass alle paar Tage das Netzte komplett ausgefallen ist (LOOP). Ging sogar soweit, dass die HP Switche ihre Konfig "vergessen" haben. Ich hatte damals mein CTO um Hilfe gebeten, und er meinte lass das V1 untagged und tagge darauf alle anderen VLANs. Gemacht getan und der Fehler war weg. Seine Annahme war, dass der HP Switch V1 Untagged erwartet es jedoch tagged ankommd, und untagged und tagged Frames akzeptiert werden. Wenn jetzt ein BC über diesen Trunk getagged (V1) geschickt wurde, konnte es vorkommen das der HP Switch es einliest und untagged (Untagged V1) auf der gleichen physischen Leitung zurücksendet da er ja untagged V1 Mangement erwartet und somit ein LOOP auf einer physischen Leitung "ermöglicht". Was meinst du dazu? Kann das sein?
Zusammenfassend:
- Wenn das alle VLAN getagged werden, sollte der Trunk so eingestellt sein, dass nur tagged Pakete akzeptiert werden. So kann ein möglicher "Billigswitchfehler" ausgeschlossen werden. Wenn der billig Switch diese Funktion nicht bietet gibt es nur noch Option 2:
- Wenn ein VLAN ungetagged ist und alle anderen VLAN getagged, muss der Trunk so eingestellt werden, dass Untagged und tagged Pakete empfangen werden können. Das Management VLAN darf aber nicht getagged werden.
Ich denke, habe es verstanden.
VIELEN DANK!
..für deine Bemühungen.
Gruss
Ich hatte mal Probleme mit 2 HP billig Switchen.
Deshalb lässt man ja auch die Finger von diesen Wenn das alle VLAN getagged werden, sollte der Trunk so eingestellt sein, dass nur tagged Pakete akzeptiert werden.
Wenn das so in den Switches supportet ist und man das so will, Ja. Wie gesagt nicht alle Switches supporten sowas.Das Management VLAN darf aber nicht getagged werden.
Die Aussage ist aber schlicht falsch !!DU SELBER bestimmst doch in welches VLAN du das Management Interface legen willst !!
Das musst du auf einem Uplink ja dann auch taggen. Oder es zum natove VLAN machen wenn du auf dem anderen Ende einen Switch hast der sowas nicht kann.
Das gilt einzig nur wenn man einen Billigswitch hat dessen management IP nicht in andere VLANs legbar ist und immer fest an VLAN 1 verbunden ist.
Stand doch oben auch alles so !
Zitat von @aqui:
Die Aussage ist aber schlicht falsch !!
DU SELBER bestimmst doch in welches VLAN du das Management Interface legen willst !!
Das musst du auf einem Uplink ja dann auch taggen. Oder es zum natove VLAN machen wenn du auf dem anderen Ende einen Switch hast der sowas nicht kann.
Das gilt einzig nur wenn man einen Billigswitch hat dessen management IP nicht in andere VLANs legbar ist und immer fest an VLAN 1 verbunden ist.
Stand doch oben auch alles so !
Ja du hast recht. Nach meiner Erfahrung ist es besser wenn der Trunk untagged und tagged erlaubt das Management VLAN nicht zu taggen um solch ein Problem oben bei HP gar nie anzutreffen. Wenn der Trunk nur tagged zulässt, kannst natürlich alles taggen auch Managment VLAN.Die Aussage ist aber schlicht falsch !!
DU SELBER bestimmst doch in welches VLAN du das Management Interface legen willst !!
Das musst du auf einem Uplink ja dann auch taggen. Oder es zum natove VLAN machen wenn du auf dem anderen Ende einen Switch hast der sowas nicht kann.
Das gilt einzig nur wenn man einen Billigswitch hat dessen management IP nicht in andere VLANs legbar ist und immer fest an VLAN 1 verbunden ist.
Stand doch oben auch alles so !
Mir ist klar, dass bei einem Cisco Switch dies nicht beachtet werden muss, aber nach meinem vorgehen gibt es keine Probleme ob Cisco oder "Güsel".
Gruss
