14
VLAN - Hilfe benötigt. Tagged, Untagged, defaut VLAN
Hallo,
ich versuche mich in das Thema VLAN einzuarbeiten und dachte ich hätte es so halbwegs verstanden. Als ich nun meine Switche konfigurieren wollte, haben sich aber doch Fragen aufgetan, die ich mir nicht beantworten kann.
Zur Hardware:
Switch 1: TL-SG108DE
Switch 2: TL-SG1016E
Router: IPFire
Modem: FritzBox7390
Zum Vorhaben:
Switch1:
Die FritzBox7390 soll über den Switch 1 (Port 1 - VLAN ROT) angeschlossen werden.
Ein weiterer (dummer) Switch soll an Switch 1 (Port 2 - VLAN GRÜN) angeschlossen werden.
Beide Netze sollen an den Switch 2 (Port 3 - VLAN ROT / GRÜN) weitergereicht werden.
Switch 2:
An Port 1 (VLAN ROT) wird die IPFire Firewall angeschlossen.
An Port 10-24 liegt das grüne Netz (VLAN GRÜN)
An Port 3 emfängt der Switch beide Netze (VLAN ROT / GRÜN)
Meine Annahmen:
Switch 1:
VLAN_ID 100: Port 1 Untagged, Port 3 Tagged
VLAN_ID 200: Port 2 Untaggeg, Port 3 Tagged
Switch 2:
VLAN_ID 100: Port 1 Untagged, Port 3 Tagged
VLAN_ID 200: Port 10-24 Untagged, Port 3 Tagged
Meine Fragen:
1.) Würde das so funktionieren was ich vor habe?
1.1) Wenn es nicht so funktioniert, wie muss es dann richtig gemacht werden
2.) Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch? Ich hätte gedacht, ein Port kann nur ein untagged VLAN haben?
3.) Die Switche haben ein default VLAN_ID1 in der alle Ports Member sind und untagged. Das kann ich nicht löschen. Bedeutet das nicht, dass egal wie sehr ich mir Mühe gebe die Netze zu trennen doch wieder alle untereinander erreichbar sind?
Vielen Dank für Eure Hilfe!
ich versuche mich in das Thema VLAN einzuarbeiten und dachte ich hätte es so halbwegs verstanden. Als ich nun meine Switche konfigurieren wollte, haben sich aber doch Fragen aufgetan, die ich mir nicht beantworten kann.
Zur Hardware:
Switch 1: TL-SG108DE
Switch 2: TL-SG1016E
Router: IPFire
Modem: FritzBox7390
Zum Vorhaben:
Switch1:
Die FritzBox7390 soll über den Switch 1 (Port 1 - VLAN ROT) angeschlossen werden.
Ein weiterer (dummer) Switch soll an Switch 1 (Port 2 - VLAN GRÜN) angeschlossen werden.
Beide Netze sollen an den Switch 2 (Port 3 - VLAN ROT / GRÜN) weitergereicht werden.
Switch 2:
An Port 1 (VLAN ROT) wird die IPFire Firewall angeschlossen.
An Port 10-24 liegt das grüne Netz (VLAN GRÜN)
An Port 3 emfängt der Switch beide Netze (VLAN ROT / GRÜN)
Meine Annahmen:
Switch 1:
VLAN_ID 100: Port 1 Untagged, Port 3 Tagged
VLAN_ID 200: Port 2 Untaggeg, Port 3 Tagged
Switch 2:
VLAN_ID 100: Port 1 Untagged, Port 3 Tagged
VLAN_ID 200: Port 10-24 Untagged, Port 3 Tagged
Meine Fragen:
1.) Würde das so funktionieren was ich vor habe?
1.1) Wenn es nicht so funktioniert, wie muss es dann richtig gemacht werden
2.) Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch? Ich hätte gedacht, ein Port kann nur ein untagged VLAN haben?
3.) Die Switche haben ein default VLAN_ID1 in der alle Ports Member sind und untagged. Das kann ich nicht löschen. Bedeutet das nicht, dass egal wie sehr ich mir Mühe gebe die Netze zu trennen doch wieder alle untereinander erreichbar sind?
Vielen Dank für Eure Hilfe!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 295618
Url: https://administrator.de/forum/vlan-hilfe-benoetigt-tagged-untagged-defaut-vlan-295618.html
Ausgedruckt am: 21.04.2025 um 20:04 Uhr
14 Kommentare
Neuester Kommentar
Moin,
Sobald du das Port-Vlan (untagged VLAN, PVID) auf einen anderen Wert änderst sollte VLAN 1 nicht mehr auf dem Port vorhanden sein.
PS: IPFire ist eine Krücke! Schau dir mal PfSense an, dass kann um einiges mehr!
VG
Val
1.) Würde das so funktionieren was ich vor habe?
1.1) Wenn es nicht so funktioniert, wie muss es dann richtig gemacht werden
Sieht auf den ersten Blick richtig aus, eine kleine Skizze deines Netzwerkes hätte es um einiges vereinfacht.1.1) Wenn es nicht so funktioniert, wie muss es dann richtig gemacht werden
2.) Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch? Ich hätte gedacht, ein Port kann nur ein untagged VLAN haben?
Liegt vermutlich an deinen billig Switchen, normalerweise kann nur ein VLAN untagged sein (auch als PVID bezeichnet).3.) Die Switche haben ein default VLAN_ID1 in der alle Ports Member sind und untagged. Das kann ich nicht löschen. Bedeutet das nicht, dass egal wie sehr ich mir Mühe gebe die Netze zu trennen doch wieder alle untereinander erreichbar sind?
Nein! Ein VLAN ist eine Trennung auf Layer 2 und nur über ein Layer 3 Gerät (Router) untereinander erreichbar.Sobald du das Port-Vlan (untagged VLAN, PVID) auf einen anderen Wert änderst sollte VLAN 1 nicht mehr auf dem Port vorhanden sein.
PS: IPFire ist eine Krücke! Schau dir mal PfSense an, dass kann um einiges mehr!
VG
Val
Vielen Dank schon mal.
Zu IPFire: Ich nutze einen BananaPi R1. Dafür gibt es kein PfSense.
Wenn ich später ein Upgrade mache, schaue ich mir die mal an.
Zu IPFire: Ich nutze einen BananaPi R1. Dafür gibt es kein PfSense.
Wenn ich später ein Upgrade mache, schaue ich mir die mal an.
Hallo,
wichtig ist, dass Du die untagged Ports mit der richtigen PVID versorgst.
Also immer die untagged Ports per "Häkchen" dem entsprechenden VLAN zuordnen und dann kontrollieren bzw konfigurierer, dass die PVID jedes untagged Ports die entsprechende VLAN-ID enthält. Und hier kann immer nur eine ID eingetragen werden.
Die untegged Ports erhalten nur Pakete mit ihrer PVID.
Jürgen
wichtig ist, dass Du die untagged Ports mit der richtigen PVID versorgst.
Also immer die untagged Ports per "Häkchen" dem entsprechenden VLAN zuordnen und dann kontrollieren bzw konfigurierer, dass die PVID jedes untagged Ports die entsprechende VLAN-ID enthält. Und hier kann immer nur eine ID eingetragen werden.
Die untegged Ports erhalten nur Pakete mit ihrer PVID.
Jürgen
Ich würde gerne einen Screenshot einfügen, weiß aber nicht wie das hier geht...
Bei meinen Switchen kann ich im Webfrontend, als auch in der Configsoftware doch einen Port mehrere Untagged VLANs zuweisen.
Sehr seltsam.
Ich werde es aber später mal einfach ausprobieren.
Bei meinen Switchen kann ich im Webfrontend, als auch in der Configsoftware doch einen Port mehrere Untagged VLANs zuweisen.
Sehr seltsam.
Ich werde es aber später mal einfach ausprobieren.
Hm, jetzt habe ich doch noch was gefunden.
Die PVID habe ich auch, auf einer anderen Seite im ConfigTool. Da kann ich dann nur ein VLAN zuweisen, das stimmt!
Ok, das klappt also. Aber wie stelle ich dann die Tagged ein? Die brauchen dann keine PVID?
Die PVID habe ich auch, auf einer anderen Seite im ConfigTool. Da kann ich dann nur ein VLAN zuweisen, das stimmt!
Ok, das klappt also. Aber wie stelle ich dann die Tagged ein? Die brauchen dann keine PVID?
Hallo,
tagged Ports bleiben auf 1 (PVID).
Jürgen
tagged Ports bleiben auf 1 (PVID).
Jürgen
Das hiesige Tutorial zu dem Thema hast du gelesen...?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort stehen eigentlich alle Antworten zu den o.a. Fragen ?!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort stehen eigentlich alle Antworten zu den o.a. Fragen ?!
Ehrlich gesagt nein...
Mea culpa
Mea culpa
Also...lesen und verstehen 
Generelle Anmerkungen...:
Das o.a. Tutorial erklärt dir alle Einzelheiten und ToDos dazu.
Generelle Anmerkungen...:
- Ja dein Szenario ist so machbar. Ob die IPFire dafür die richtige Wahl ist sei mal dahingestellt. Mit einer pfSense_Firewall wäre es einfacher zu konfigurieren und zu managen, da besseres GUI.
- Du hast 2 Optionen das umzusetzen, einmal mit einem tagged Trunk auf die Firewall /Router : VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern oder Option 2 mit einem dedizierten Link pro VLAN auf die Firewall / Router.
- Die Kopplung der beiden Switches über einen Uplink ist ja erstmal ein Kinderspiel: VLANs auf den beiden Switches identisch einrichten, alle Ports auf den Uplink Port Tagged setzen der beide Switches verbindet, Endgeräte Ports untagged in den jeweiligen VLANs auf beiden Switches anlegen, fertig !
Das o.a. Tutorial erklärt dir alle Einzelheiten und ToDos dazu.
Ich kann in der Konfiguration einem Port mehrere VLANs untagged zuweisen. Ist das nicht ein Widerspruch?
Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual. Bei Port based VLANs ist das nicht möglich.
Hallo @aqui,
Formal hast Du recht, aber in der Web-GUI dieser SOHO-Switche aus Asien kann man tatsächlich einen Port untagged in mehere VLANs setzen. Deshalb ist ja das "richtige" setzen der VLAN-ID in den privaten VLANs (PVID) so wichtig. Denn nur in dem VLAN, dessen ID im PVID des Ports drin steht, ist der Port auch Mitglied.
Für die Zielgruppe dieser Switche (SOHO) ist die Konfigurtion echt verwirrend. Ich hatte bei meinem Switch (SMC GS10C) auch ganz schön zu knabbern.
Jürgen
Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual. Bei Port based VLANs ist das nicht möglich.
Formal hast Du recht, aber in der Web-GUI dieser SOHO-Switche aus Asien kann man tatsächlich einen Port untagged in mehere VLANs setzen. Deshalb ist ja das "richtige" setzen der VLAN-ID in den privaten VLANs (PVID) so wichtig. Denn nur in dem VLAN, dessen ID im PVID des Ports drin steht, ist der Port auch Mitglied.
Für die Zielgruppe dieser Switche (SOHO) ist die Konfigurtion echt verwirrend. Ich hatte bei meinem Switch (SMC GS10C) auch ganz schön zu knabbern.
Jürgen
Asien kann man tatsächlich einen Port untagged in mehere VLANs setzen.
Das sollte aber einen Syntax Fehler geben !!!Oder man müsste dann mal checken was er dann tatsächlich macht. Er wird ja wohl kaum alle VLANs dann in eine Collision Domain bridgen, oder etwa doch ??
Das wäre megakrank und typischer Chinaböller Schrott....
Besser 2 Euro mehr investieren und nen Cisco SG kaufen oder D-Link. Sogar die kranken NetGears können das noch besser dann
Zitat von @chiefteddy:
>> Zitat von @aqui:
>> Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual.
>> Bei Port based VLANs ist das nicht möglich.
Formal hast Du recht, aber in der Web-GUI dieser SOHO-Switche aus Asien kann man tatsächlich einen Port untagged
in mehere VLANs setzen.
>> Zitat von @aqui:
>> Ja, da hast du auch Recht, das ist technisch unmöglich. Da hast du sicher was missverstanden im Manual.
>> Bei Port based VLANs ist das nicht möglich.
Formal hast Du recht, aber in der Web-GUI dieser SOHO-Switche aus Asien kann man tatsächlich einen Port untagged
in mehere VLANs setzen.
Nicht nur bei SOHO-Switches. Auch bei nahezu allen renomierten Herstellern sollte dies möglich sein. Oftmals muss man hierzu jedoch erst das Admin-Entmündigungs-Feature "Auto-PVID" abschalten. Bei Nortel bzw. Avaya geht es z.B. auch seit Ewigkeiten (Siehe Seite 13: http://downloads.avaya.com/css/P8/documents/100100875). Weitere Beispiele wären H3C (heute HP A-Serie) und Extreme Networks (CLI: "disable pvid auto_assign").
CatOS- und IOS-basierte Cisco-Switche können es m.W. nicht, was daran liegen dürfte, dass Cisco ähnlich wie 3Com noch vor 802.1Q ein proprietäres VLAN-Verfahren implementierte. Der spätere Standard ist zwar Cisco-kompatibel, aber nicht deckungsgleich. So erklärt sich auch die unterschiedliche Terminologie. Übrigens geht es nach wie vor sehrwohl auf den von Linksys übernommenen Geräten der SmallBusiness-Reihe (SF, SG). Hierzu muss der Interface-VLAN-Mode auf "General" stehen. Siehe http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=07e54124d9be46b48d6 ...
Zitat von @chiefteddy:
Deshalb ist ja das "richtige" setzen der VLAN-ID in den privaten VLANs (PVID) so wichtig. Denn nur in dem VLAN,
dessen ID im PVID des Ports drin steht, ist der Port auch Mitglied.
Deshalb ist ja das "richtige" setzen der VLAN-ID in den privaten VLANs (PVID) so wichtig. Denn nur in dem VLAN,
dessen ID im PVID des Ports drin steht, ist der Port auch Mitglied.
Nein das ist falsch und zeigt nur, dass Du das Funktionsprinzip nicht verstanden hast. Die PVID (Port VLAN ID) gibt nur an, welche VLAN-ID der Switch dem Frame für die interne Weiterverabeitung anhängen soll, wenn der Frame ungekennzeichnet (also ohne VLAN-Tag) auf dem Port eintrifft (=ingress!) und keine anderen Verarbeitungsregeln (z.B. dynamische VLAN-Zuordnung, policybased Tagging/Rewriting etc.) existieren.
Die (statische) Mitgliedschaft eines Ports in einem (statischen) VLAN ist davon zunächst unabhängig und wird daher auch getrennt davon konfiguriert. In aller Regel ist die Festlegung der Mitgliedschaft in der grafischen GUI zusammengefasst mit der Festlegung, ob der Switch bei Ausgabe des Frames auf einem Port (=egress!) den Frame mit einer entsprechenden VLAN-ID kennzeichnen soll oder nicht. Es gibt durchaus Szenarien, in denen es sinnvoll sein kann, den Traffic aus unterschiedlichen VLANs auf einem gemeinsamen Zielport ohne Markierung auszugeben (also _egress_ mehrere untagged!). Das Hauptanwendungsgebiet dürften sog. asymmetrische VLANs sein. Siehe z.B. http://www.gsi.de/documents/DOC-2006-May-71-1.ppt (Folie Nr. 20). Allzu gängig ist dies freilich nicht - allein schon, weil nicht sonderlich skalierbar und schlecht zu administrieren. Es gibt aber durchaus auch weitere Vorteile: So ist es z.B. bei einigen Herstellern möglich, die Settings statischer VLANs im laufenden Betrieb zu clonen. Das hat mir bspw. bei der Zusammenführung mehrerer bislang autonomer Standorte und Umstellung auf ein übergreifendes VLAN-Konzept sehr geholfen: Ich konnte so sehr bequem über die GUI die neuen VLANs vorbereiten und völlig unterbrechungsfrei im laufenden Betrieb die Accessports in die neuen VLANs umschwenken, indem dann nur noch die PVID der Ports geändert wurde.
Gruß
sk
Zitat von @aqui:
Das sollte aber einen Syntax Fehler geben !!! Oder man müsste dann mal checken was er dann tatsächlich macht.
... Besser 2 Euro mehr investieren und nen Cisco SG kaufen oder D-Link. Sogar die kranken NetGears können das noch besser dann
Das sollte aber einen Syntax Fehler geben !!! Oder man müsste dann mal checken was er dann tatsächlich macht.
... Besser 2 Euro mehr investieren und nen Cisco SG kaufen oder D-Link. Sogar die kranken NetGears können das noch besser dann
Sowohl bei der SG-Serie von Cisco als auch bei DLink und Netgear geht dies ebenfalls! Man muss den Switch nur entsprechend konfigurieren.
Wenn man sich vor Augen führt, dass es hierbei nur um die Frage geht, ob AUSGEHEND ein Tag angehängt wird oder nicht, dann erklärt sich auch, weshalb dies durchaus für mehrere VLANs auf dem gleichen Port möglich ist. Siehe mein anderes Posting.
Gruß
sk
Hallo @..sk.,
der Fragesteller will "nur" ein kleines Netz mit VLANs strukturieren und hat ein Problem mit der Switch-Konfiguration.
Nach vielen VLAN-Konfigurationen auf den unterschiedlichsten Switchen diverser Hersteller (Cisco, ATI, Dell, DLink ua.) bekam ich Ende letzten Jahres einen kleinen, VLAN-fähigen Switch von SMC auf den Tisch. Dessen VLAN-Konfiguration raubte mir den letzten Nerv. All die Szenarien, die Du beschrieben hast, beherrscht der SMC GS10C laut Handbuch auch. Aber eine "stinknormale" VLAN-Konfiguration mit einem tagged Uplink-Port und entsprechenden ungetegged-Ports in den verschiedenen VLANs war trotz Hilfe aus dem Forum nicht hinzukriegen ( SMC GS 10C-Switch und tagged VLANs ). Erst eine Supportanfrage beim Hersteller Edge-Core brachte dann Licht ins Dunkle (siehe letzen Eintrag im obigen Thread). Und diese Lösung sieht genau so aus, wie ich sie beschrieben habe.
Zwischen der Theorie und den Standards auf der einen Seite und der "göttlichen Weisheit", mit der die unterschiedlichen Hersteller die Konfiguration in ihrer GUI versteckt haben, ist leider ein großer Unterschied.
Ich werde mir aber Morgen trotzdem Deine Links anschauen. Dümmer wird man dadurch bestimmt nicht.
Jürgen
der Fragesteller will "nur" ein kleines Netz mit VLANs strukturieren und hat ein Problem mit der Switch-Konfiguration.
Nach vielen VLAN-Konfigurationen auf den unterschiedlichsten Switchen diverser Hersteller (Cisco, ATI, Dell, DLink ua.) bekam ich Ende letzten Jahres einen kleinen, VLAN-fähigen Switch von SMC auf den Tisch. Dessen VLAN-Konfiguration raubte mir den letzten Nerv. All die Szenarien, die Du beschrieben hast, beherrscht der SMC GS10C laut Handbuch auch. Aber eine "stinknormale" VLAN-Konfiguration mit einem tagged Uplink-Port und entsprechenden ungetegged-Ports in den verschiedenen VLANs war trotz Hilfe aus dem Forum nicht hinzukriegen ( SMC GS 10C-Switch und tagged VLANs ). Erst eine Supportanfrage beim Hersteller Edge-Core brachte dann Licht ins Dunkle (siehe letzen Eintrag im obigen Thread). Und diese Lösung sieht genau so aus, wie ich sie beschrieben habe.
Zwischen der Theorie und den Standards auf der einen Seite und der "göttlichen Weisheit", mit der die unterschiedlichen Hersteller die Konfiguration in ihrer GUI versteckt haben, ist leider ein großer Unterschied.
Ich werde mir aber Morgen trotzdem Deine Links anschauen. Dümmer wird man dadurch bestimmt nicht.
Jürgen
