bigchris1337
Feb 09, 2016
view5729
view14
0
Goto Top

VLAN - Hilfe benötigt. Tagged, Untagged, defaut VLAN

GermanQuestionNetwork ManagementNetworks
Hallo,
ich versuche mich in das Thema VLAN einzuarbeiten und dachte ich hätte es so halbwegs verstanden. Als ich nun meine Switche konfigurieren wollte, haben sich aber doch Fragen aufgetan, die ich mir nicht beantworten kann.

Zur Hardware:
Switch 1: TL-SG108DE
Switch 2: TL-SG1016E
Router: IPFire
Modem: FritzBox7390

Zum Vorhaben:
Switch1:
Die FritzBox7390 soll über den Switch 1 (Port 1 - VLAN ROT) angeschlossen werden.
Ein weiterer (dummer) Switch soll an Switch 1 (Port 2 - VLAN GRÜN) angeschlossen werden.
Beide Netze sollen an den Switch 2 (Port 3 - VLAN ROT / GRÜN) weitergereicht werden.

Switch 2:
An Port 1 (VLAN ROT) wird die IPFire Firewall angeschlossen.
An Port 10-24 liegt das grüne Netz (VLAN GRÜN)
An Port 3 emfängt der Switch beide Netze (VLAN ROT / GRÜN)

Meine Annahmen:
Switch 1:
VLAN_ID 100: Port 1 Untagged, Port 3 Tagged
VLAN_ID 200: Port 2 Untaggeg, Port 3 Tagged


Switch 2:
VLAN_ID 100: Port 1 Untagged, Port 3 Tagged
VLAN_ID 200: Port 10-24 Untagged, Port 3 Tagged


Meine Fragen:
1.) Würde das so funktionieren was ich vor habe?
1.1) Wenn es nicht so funktioniert, wie muss es dann richtig gemacht werden
2.) Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch? Ich hätte gedacht, ein Port kann nur ein untagged VLAN haben?
3.) Die Switche haben ein default VLAN_ID1 in der alle Ports Member sind und untagged. Das kann ich nicht löschen. Bedeutet das nicht, dass egal wie sehr ich mir Mühe gebe die Netze zu trennen doch wieder alle untereinander erreichbar sind?

Vielen Dank für Eure Hilfe!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 295618

Url: https://administrator.de/contentid/295618

Printed on: April 19, 2024 at 00:04 o'clock

14 Comments
Latest comment
Goto Top
Mitglied: 119944
119944 Feb 09, 2016 at 08:00:58 (UTC)
Goto Top
Moin,

1.) Würde das so funktionieren was ich vor habe?
1.1) Wenn es nicht so funktioniert, wie muss es dann richtig gemacht werden
Sieht auf den ersten Blick richtig aus, eine kleine Skizze deines Netzwerkes hätte es um einiges vereinfacht.

2.) Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch? Ich hätte gedacht, ein Port kann nur ein untagged VLAN haben?
Liegt vermutlich an deinen billig Switchen, normalerweise kann nur ein VLAN untagged sein (auch als PVID bezeichnet).

3.) Die Switche haben ein default VLAN_ID1 in der alle Ports Member sind und untagged. Das kann ich nicht löschen. Bedeutet das nicht, dass egal wie sehr ich mir Mühe gebe die Netze zu trennen doch wieder alle untereinander erreichbar sind?
Nein! Ein VLAN ist eine Trennung auf Layer 2 und nur über ein Layer 3 Gerät (Router) untereinander erreichbar.
Sobald du das Port-Vlan (untagged VLAN, PVID) auf einen anderen Wert änderst sollte VLAN 1 nicht mehr auf dem Port vorhanden sein.

PS: IPFire ist eine Krücke! Schau dir mal PfSense an, dass kann um einiges mehr!

VG
Val
Member: BigChris1337
BigChris1337 Feb 09, 2016 at 08:16:05 (UTC)
Goto Top
Vielen Dank schon mal.

Zu IPFire: Ich nutze einen BananaPi R1. Dafür gibt es kein PfSense.
Wenn ich später ein Upgrade mache, schaue ich mir die mal an.
Member: chiefteddy
chiefteddy Feb 09, 2016 at 09:13:07 (UTC)
Goto Top
Hallo,

wichtig ist, dass Du die untagged Ports mit der richtigen PVID versorgst.

Also immer die untagged Ports per "Häkchen" dem entsprechenden VLAN zuordnen und dann kontrollieren bzw konfigurierer, dass die PVID jedes untagged Ports die entsprechende VLAN-ID enthält. Und hier kann immer nur eine ID eingetragen werden.

Die untegged Ports erhalten nur Pakete mit ihrer PVID.

Jürgen
Member: BigChris1337
BigChris1337 Feb 09, 2016 at 09:43:27 (UTC)
Goto Top
Ich würde gerne einen Screenshot einfügen, weiß aber nicht wie das hier geht...
Bei meinen Switchen kann ich im Webfrontend, als auch in der Configsoftware doch einen Port mehrere Untagged VLANs zuweisen.
Sehr seltsam.
Ich werde es aber später mal einfach ausprobieren.
Member: BigChris1337
BigChris1337 Feb 09, 2016 updated at 09:48:26 (UTC)
Goto Top
Hm, jetzt habe ich doch noch was gefunden.

Die PVID habe ich auch, auf einer anderen Seite im ConfigTool. Da kann ich dann nur ein VLAN zuweisen, das stimmt!
Ok, das klappt also. Aber wie stelle ich dann die Tagged ein? Die brauchen dann keine PVID?
Member: chiefteddy
chiefteddy Feb 09, 2016 at 12:47:50 (UTC)
Goto Top
Hallo,

tagged Ports bleiben auf 1 (PVID).

Jürgen
Member: aqui
aqui Feb 09, 2016 at 13:48:56 (UTC)
Goto Top
Das hiesige Tutorial zu dem Thema hast du gelesen...?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort stehen eigentlich alle Antworten zu den o.a. Fragen ?!
Member: BigChris1337
BigChris1337 Feb 09, 2016 at 13:55:30 (UTC)
Goto Top
Ehrlich gesagt nein...
Mea culpa
Member: aqui
aqui Feb 09, 2016 updated at 14:38:48 (UTC)
Goto Top
Also...lesen und verstehen face-smile
Generelle Anmerkungen...:
  • Ja dein Szenario ist so machbar. Ob die IPFire dafür die richtige Wahl ist sei mal dahingestellt. Mit einer pfSense_Firewall wäre es einfacher zu konfigurieren und zu managen, da besseres GUI.
  • Du hast 2 Optionen das umzusetzen, einmal mit einem tagged Trunk auf die Firewall /Router : VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern oder Option 2 mit einem dedizierten Link pro VLAN auf die Firewall / Router.
  • Die Kopplung der beiden Switches über einen Uplink ist ja erstmal ein Kinderspiel: VLANs auf den beiden Switches identisch einrichten, alle Ports auf den Uplink Port Tagged setzen der beide Switches verbindet, Endgeräte Ports untagged in den jeweiligen VLANs auf beiden Switches anlegen, fertig !
Letzteres solltest du immer zuerst machen und verifizieren das es klappt (2 PCs können sich gegenseitig pingen pro VLAN nicht aber VLAN übergreifend). Erst dann steckst du die Firewall auf und testest die VLAN zu VLAN Kommunikation darüber mit entsprechenden Regeln.
Das o.a. Tutorial erklärt dir alle Einzelheiten und ToDos dazu.
Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch?
Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual. Bei Port based VLANs ist das nicht möglich.
Member: chiefteddy
chiefteddy Feb 09, 2016 at 16:02:23 (UTC)
Goto Top
Hallo @aqui,

Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual. Bei Port based VLANs ist das nicht möglich.

Formal hast Du recht, aber in der Web-GUI dieser SOHO-Switche aus Asien kann man tatsächlich einen Port untagged in mehere VLANs setzen. Deshalb ist ja das "richtige" setzen der VLAN-ID in den privaten VLANs (PVID) so wichtig. Denn nur in dem VLAN, dessen ID im PVID des Ports drin steht, ist der Port auch Mitglied.

Für die Zielgruppe dieser Switche (SOHO) ist die Konfigurtion echt verwirrend. Ich hatte bei meinem Switch (SMC GS10C) auch ganz schön zu knabbern.

Jürgen
Member: aqui
aqui Feb 09, 2016 at 19:30:39 (UTC)
Goto Top
Asien kann man tatsächlich einen Port untagged in mehere VLANs setzen.
Das sollte aber einen Syntax Fehler geben !!!
Oder man müsste dann mal checken was er dann tatsächlich macht. Er wird ja wohl kaum alle VLANs dann in eine Collision Domain bridgen, oder etwa doch ??
Das wäre megakrank und typischer Chinaböller Schrott....
Besser 2 Euro mehr investieren und nen Cisco SG kaufen oder D-Link. Sogar die kranken NetGears können das noch besser dann face-wink
Member: sk
sk Feb 09, 2016 updated at 20:56:43 (UTC)
Goto Top
Zitat von @chiefteddy:

>> Zitat von @aqui:
>> Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual.
>> Bei Port based VLANs ist das nicht möglich.

Formal hast Du recht, aber in der Web-GUI dieser SOHO-Switche aus Asien kann man tatsächlich einen Port untagged
in mehere VLANs setzen.

Nicht nur bei SOHO-Switches. Auch bei nahezu allen renomierten Herstellern sollte dies möglich sein. Oftmals muss man hierzu jedoch erst das Admin-Entmündigungs-Feature "Auto-PVID" abschalten. Bei Nortel bzw. Avaya geht es z.B. auch seit Ewigkeiten (Siehe Seite 13: http://downloads.avaya.com/css/P8/documents/100100875). Weitere Beispiele wären H3C (heute HP A-Serie) und Extreme Networks (CLI: "disable pvid auto_assign").
CatOS- und IOS-basierte Cisco-Switche können es m.W. nicht, was daran liegen dürfte, dass Cisco ähnlich wie 3Com noch vor 802.1Q ein proprietäres VLAN-Verfahren implementierte. Der spätere Standard ist zwar Cisco-kompatibel, aber nicht deckungsgleich. So erklärt sich auch die unterschiedliche Terminologie. Übrigens geht es nach wie vor sehrwohl auf den von Linksys übernommenen Geräten der SmallBusiness-Reihe (SF, SG). Hierzu muss der Interface-VLAN-Mode auf "General" stehen. Siehe http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=07e54124d9be46b48d6 ...


Zitat von @chiefteddy:
Deshalb ist ja das "richtige" setzen der VLAN-ID in den privaten VLANs (PVID) so wichtig. Denn nur in dem VLAN,
dessen ID im PVID des Ports drin steht, ist der Port auch Mitglied.

Nein das ist falsch und zeigt nur, dass Du das Funktionsprinzip nicht verstanden hast. Die PVID (Port VLAN ID) gibt nur an, welche VLAN-ID der Switch dem Frame für die interne Weiterverabeitung anhängen soll, wenn der Frame ungekennzeichnet (also ohne VLAN-Tag) auf dem Port eintrifft (=ingress!) und keine anderen Verarbeitungsregeln (z.B. dynamische VLAN-Zuordnung, policybased Tagging/Rewriting etc.) existieren.
Die (statische) Mitgliedschaft eines Ports in einem (statischen) VLAN ist davon zunächst unabhängig und wird daher auch getrennt davon konfiguriert. In aller Regel ist die Festlegung der Mitgliedschaft in der grafischen GUI zusammengefasst mit der Festlegung, ob der Switch bei Ausgabe des Frames auf einem Port (=egress!) den Frame mit einer entsprechenden VLAN-ID kennzeichnen soll oder nicht. Es gibt durchaus Szenarien, in denen es sinnvoll sein kann, den Traffic aus unterschiedlichen VLANs auf einem gemeinsamen Zielport ohne Markierung auszugeben (also _egress_ mehrere untagged!). Das Hauptanwendungsgebiet dürften sog. asymmetrische VLANs sein. Siehe z.B. http://www.gsi.de/documents/DOC-2006-May-71-1.ppt (Folie Nr. 20). Allzu gängig ist dies freilich nicht - allein schon, weil nicht sonderlich skalierbar und schlecht zu administrieren. Es gibt aber durchaus auch weitere Vorteile: So ist es z.B. bei einigen Herstellern möglich, die Settings statischer VLANs im laufenden Betrieb zu clonen. Das hat mir bspw. bei der Zusammenführung mehrerer bislang autonomer Standorte und Umstellung auf ein übergreifendes VLAN-Konzept sehr geholfen: Ich konnte so sehr bequem über die GUI die neuen VLANs vorbereiten und völlig unterbrechungsfrei im laufenden Betrieb die Accessports in die neuen VLANs umschwenken, indem dann nur noch die PVID der Ports geändert wurde.


Gruß
sk
Member: sk
sk Feb 09, 2016 at 20:46:32 (UTC)
Goto Top
Zitat von @aqui:
Das sollte aber einen Syntax Fehler geben !!! Oder man müsste dann mal checken was er dann tatsächlich macht.
... Besser 2 Euro mehr investieren und nen Cisco SG kaufen oder D-Link. Sogar die kranken NetGears können das noch besser dann face-wink

Sowohl bei der SG-Serie von Cisco als auch bei DLink und Netgear geht dies ebenfalls! Man muss den Switch nur entsprechend konfigurieren. face-wink
Wenn man sich vor Augen führt, dass es hierbei nur um die Frage geht, ob AUSGEHEND ein Tag angehängt wird oder nicht, dann erklärt sich auch, weshalb dies durchaus für mehrere VLANs auf dem gleichen Port möglich ist. Siehe mein anderes Posting.

Gruß
sk
Member: chiefteddy
chiefteddy Feb 09, 2016 at 21:37:47 (UTC)
Goto Top
Hallo @..sk.,

der Fragesteller will "nur" ein kleines Netz mit VLANs strukturieren und hat ein Problem mit der Switch-Konfiguration.

Nach vielen VLAN-Konfigurationen auf den unterschiedlichsten Switchen diverser Hersteller (Cisco, ATI, Dell, DLink ua.) bekam ich Ende letzten Jahres einen kleinen, VLAN-fähigen Switch von SMC auf den Tisch. Dessen VLAN-Konfiguration raubte mir den letzten Nerv. All die Szenarien, die Du beschrieben hast, beherrscht der SMC GS10C laut Handbuch auch. Aber eine "stinknormale" VLAN-Konfiguration mit einem tagged Uplink-Port und entsprechenden ungetegged-Ports in den verschiedenen VLANs war trotz Hilfe aus dem Forum nicht hinzukriegen ( SMC GS 10C-Switch und tagged VLANs ). Erst eine Supportanfrage beim Hersteller Edge-Core brachte dann Licht ins Dunkle (siehe letzen Eintrag im obigen Thread). Und diese Lösung sieht genau so aus, wie ich sie beschrieben habe.

Zwischen der Theorie und den Standards auf der einen Seite und der "göttlichen Weisheit", mit der die unterschiedlichen Hersteller die Konfiguration in ihrer GUI versteckt haben, ist leider ein großer Unterschied.

Ich werde mir aber Morgen trotzdem Deine Links anschauen. Dümmer wird man dadurch bestimmt nicht. face-smile

Jürgen
GermanQuestionNetwork ManagementNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment