VLAN - Tagged Port nötig bei einem VLAN?
Hallo ihrs,
ich weiß, dass es schon diverse VLAN Threads gibt und auch zig Tutorials, zum Verständnis nur ein paar Fragen an die Experten .
Ich habe hier einen VLAN fähigen Switch, mit dem ich mich in VLANs einarbeite. An einem Port (z.bsp 2) will ich ein Telefon und einen PC betreiben. Das Telefon "versteht" VLAN und bekommt quasi VLAN 10 selber zugwiesen. Der PC dagegen versteht keine VLAN-Tags und soll daher nicht taggen.
1.)Wenn ich auf dem Port 2 nur das Vlan-fähige Endtelefon hätte, müsste ich gar keine Porteinstellungen machen, richtig? Das Telefon taggt seine ausgehenden Pakete von alleine und der Switch leitet eingehende Pakete per MAC-Adresse (egal ob getaggt oder nicht) an diesen Port. Stimmt das?
2.)Würde der "dumme" PC am Port 2 hängen, hängt es davon ab, ob er zu einem bestimmten VLAN gehören soll. Wenn nicht, dann müssen keine Einstellungen getätigt werden. Soll er aber z.bsp in ein bestimmtes VLAN XY, muss ich den Port auf "untagged" setzen. Eingehende VLAN XY Pakete werden dann vom Tag befreit und ausgehende bekommen das Vlan-Tag. Damit kann der PC erstmal selber nur noch mit dem VLAN kommunizieren.
3.)Tja, nun beide Endgeräte.....das taggende Telefon und der "dumme" PC. Mein Verständnis sagt mir, dass ich hier auch eigentlich nix konfigurieren muss. Kommen Vlan-Pakete fürs Telefon am Port 2 an, wird das Telefon sie annehmen und selber enttaggen (weil es das kann). Kommen normale Pakete für den PC, werden sie an Port 2 weitergeleitet und er kann sie lesen.
Wollen dagegen der PC und das Telefon in unterschiedlichen VLANs sein, müsste ich den Port tagged für ein Vlan setzen und untagged für den PC-Verkehr. Dann muss ich aber explizit den Port auf eine Vlan-ID setzen, damit der Switch weiß, ob er ankommenden Verkehr untaggen soll oder nicht. Scheint eine Mischform zu sein.
Alles soweit ok? Nicht so einfach das Ganze...vor allem wann ein Port "tagged" sein muss und nicht :/
Viele Grüße gutitm
ich weiß, dass es schon diverse VLAN Threads gibt und auch zig Tutorials, zum Verständnis nur ein paar Fragen an die Experten .
Ich habe hier einen VLAN fähigen Switch, mit dem ich mich in VLANs einarbeite. An einem Port (z.bsp 2) will ich ein Telefon und einen PC betreiben. Das Telefon "versteht" VLAN und bekommt quasi VLAN 10 selber zugwiesen. Der PC dagegen versteht keine VLAN-Tags und soll daher nicht taggen.
1.)Wenn ich auf dem Port 2 nur das Vlan-fähige Endtelefon hätte, müsste ich gar keine Porteinstellungen machen, richtig? Das Telefon taggt seine ausgehenden Pakete von alleine und der Switch leitet eingehende Pakete per MAC-Adresse (egal ob getaggt oder nicht) an diesen Port. Stimmt das?
2.)Würde der "dumme" PC am Port 2 hängen, hängt es davon ab, ob er zu einem bestimmten VLAN gehören soll. Wenn nicht, dann müssen keine Einstellungen getätigt werden. Soll er aber z.bsp in ein bestimmtes VLAN XY, muss ich den Port auf "untagged" setzen. Eingehende VLAN XY Pakete werden dann vom Tag befreit und ausgehende bekommen das Vlan-Tag. Damit kann der PC erstmal selber nur noch mit dem VLAN kommunizieren.
3.)Tja, nun beide Endgeräte.....das taggende Telefon und der "dumme" PC. Mein Verständnis sagt mir, dass ich hier auch eigentlich nix konfigurieren muss. Kommen Vlan-Pakete fürs Telefon am Port 2 an, wird das Telefon sie annehmen und selber enttaggen (weil es das kann). Kommen normale Pakete für den PC, werden sie an Port 2 weitergeleitet und er kann sie lesen.
Wollen dagegen der PC und das Telefon in unterschiedlichen VLANs sein, müsste ich den Port tagged für ein Vlan setzen und untagged für den PC-Verkehr. Dann muss ich aber explizit den Port auf eine Vlan-ID setzen, damit der Switch weiß, ob er ankommenden Verkehr untaggen soll oder nicht. Scheint eine Mischform zu sein.
Alles soweit ok? Nicht so einfach das Ganze...vor allem wann ein Port "tagged" sein muss und nicht :/
Viele Grüße gutitm
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155993
Url: https://administrator.de/forum/vlan-tagged-port-noetig-bei-einem-vlan-155993.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
6 Kommentare
Neuester Kommentar
Kleine Korrektur zu Antwort 2:
Das stimmt so nicht ! Der Switch entfernt nicht aktiv Tags !
Alle Ports die nicht anderen VLANs per Switch Konfig zugewiesen sind befinden sich immer untagegd im Default VLAN. In der regel ist das das VLAN 1 !
Wenn der Port z.B. ins VLAN 10 soll dann musst du ihn untagged ins VLAN 10 konfigurieren !
Ein und ausgehender Traffic wird dann untagged ins VLAN 10 geforwardet und muss auch untagged am Switchport ankommen !
Soll der Traffic tagged sein setzt du den Port ins VLAN 10 tagged. Der Switch wird dann allen ausgehenden Paketen die Tad ID 10 ans Paket hängen und erwartet dann auch tagged Traffic an diesem Port. Wenn er Pakete mit einer Tag ID z.B. 20 bekommt die NICHT in seiner Konfig am Port eingetragen ist verwirft er diese Paket. Tagged Pakete mit der ID 10 forwardet er ins VLAN 10.
Der IEEE 802.1q Standard erlaubt auch untagged Traffic an tagged Ports die dann per Default immer ins default VLAN 1 geforwardet werden.
Da halten sich aber nicht alle Switch Hersteller dran. Oft erfordert das dann ein extra Kommando um diesen untagged Traffic entsprechend zu behandeln !
Antwort 3 ist auch falsch. Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN bedienen. Um PC und Telefon zu betreiben muss das telefon z.B. tagged an den tagged Port 2 ind VLAN 10 und der PC dann an einen untagged Port z.B. 3 in VLAN 10 !
So wird ein Schuh draus !!
Telefone sind oft per default tagged, das müssen sie auch da sie per Default eine QoS Prioritäten Steuerung aktiv haben nach IEEE 802.1p.
Klar, den Voice Traffic MUSS immer Vorrang haben in einem Switch, damit es nicht zu Aussetzern kommt.
802.1p ist aber immer ein Teil von 802.1q Tagging:
http://de.wikipedia.org/wiki/IEEE_802.1p
bzw.
http://de.wikipedia.org/wiki/IEEE_802.1q
Aus diesem Grunde ist Voice (VoIP) Traffic oft per se tagged an Telefonen !
Viele Telefone haben aber oft einen kleinen 1 oder 2 Port Switch eingebaut an dem man an der Rückseite oder Boden PCs anschliessen kann um so Anschlüsse zu sparen.
Dann sendet an einem Draht das Telefon z.B. tagged Traffic an den Port und der PC am Telefon über den gleichen Draht untagged Traffic.
Billige Switches forwarden dann untagged Traffic an einem tagged Port gemäß 802.1q Standard immer ins Default VLAN.
Bei besseren Switches ist das konfigurierbar und man kann dem Switch dann sagen er soll es auch in ein anderes spezifisches VLAN forwarden.
Das ist aber letztlich von deiner Switch Hardware abhängig zu der du uns ja leider keinerlei Angaben machst damit wir ggf. für dich mal das Handbuch lesen könnten
Weitere Infos zu VLANs findest du hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN einrichten - Mehrere Betriebe und Router FSM7352
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
Das stimmt so nicht ! Der Switch entfernt nicht aktiv Tags !
Alle Ports die nicht anderen VLANs per Switch Konfig zugewiesen sind befinden sich immer untagegd im Default VLAN. In der regel ist das das VLAN 1 !
Wenn der Port z.B. ins VLAN 10 soll dann musst du ihn untagged ins VLAN 10 konfigurieren !
Ein und ausgehender Traffic wird dann untagged ins VLAN 10 geforwardet und muss auch untagged am Switchport ankommen !
Soll der Traffic tagged sein setzt du den Port ins VLAN 10 tagged. Der Switch wird dann allen ausgehenden Paketen die Tad ID 10 ans Paket hängen und erwartet dann auch tagged Traffic an diesem Port. Wenn er Pakete mit einer Tag ID z.B. 20 bekommt die NICHT in seiner Konfig am Port eingetragen ist verwirft er diese Paket. Tagged Pakete mit der ID 10 forwardet er ins VLAN 10.
Der IEEE 802.1q Standard erlaubt auch untagged Traffic an tagged Ports die dann per Default immer ins default VLAN 1 geforwardet werden.
Da halten sich aber nicht alle Switch Hersteller dran. Oft erfordert das dann ein extra Kommando um diesen untagged Traffic entsprechend zu behandeln !
Antwort 3 ist auch falsch. Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN bedienen. Um PC und Telefon zu betreiben muss das telefon z.B. tagged an den tagged Port 2 ind VLAN 10 und der PC dann an einen untagged Port z.B. 3 in VLAN 10 !
So wird ein Schuh draus !!
Telefone sind oft per default tagged, das müssen sie auch da sie per Default eine QoS Prioritäten Steuerung aktiv haben nach IEEE 802.1p.
Klar, den Voice Traffic MUSS immer Vorrang haben in einem Switch, damit es nicht zu Aussetzern kommt.
802.1p ist aber immer ein Teil von 802.1q Tagging:
http://de.wikipedia.org/wiki/IEEE_802.1p
bzw.
http://de.wikipedia.org/wiki/IEEE_802.1q
Aus diesem Grunde ist Voice (VoIP) Traffic oft per se tagged an Telefonen !
Viele Telefone haben aber oft einen kleinen 1 oder 2 Port Switch eingebaut an dem man an der Rückseite oder Boden PCs anschliessen kann um so Anschlüsse zu sparen.
Dann sendet an einem Draht das Telefon z.B. tagged Traffic an den Port und der PC am Telefon über den gleichen Draht untagged Traffic.
Billige Switches forwarden dann untagged Traffic an einem tagged Port gemäß 802.1q Standard immer ins Default VLAN.
Bei besseren Switches ist das konfigurierbar und man kann dem Switch dann sagen er soll es auch in ein anderes spezifisches VLAN forwarden.
Das ist aber letztlich von deiner Switch Hardware abhängig zu der du uns ja leider keinerlei Angaben machst damit wir ggf. für dich mal das Handbuch lesen könnten
Weitere Infos zu VLANs findest du hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN einrichten - Mehrere Betriebe und Router FSM7352
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
Vorsicht da hast du was missverstanden:
"Deine Aussage würde heißen, das der Switch nicht selber taggt? " Falsch, denn oben wurde explizit gesagt: Wenn der Port tagged in VLAN 10 konfiguriert ist dann tagged der Switch natürlich ausgehenden Traffic aus dem VLAN 10...keine Frage. Analog erwartet er eingehenden Traffic auch mit dem VLAN 10 Tag ! Oder allen anderen Tags für die der Post tagged konfiguriert ist. Pakete mit fremden VLAN Tags dropped der Switch !!
"Wieso hängt er ausgehenden Paketen das Tag 10 an" Wenn du den Port NICHT tagged setzt wird der Switch niemals ein VLAN Tag anhängen ! Er "versteht" dann lediglich untagged Traffic. Erst das explizite Tagging am Port tagged Pakete ausgehend oder kann mit eingehenden Tags umgehen.
Fehlt das Tagging am Port in der Switchkonfig dann versteht der Switch am Port ausschliesslich untagged Pakete.
Pakete von Endgeräten mit Tags werden gedropped bzw. ignoriert, das das Frameformat nicht stimmt ! Tagging verändert das Frameformat !!
„vlan aware“ Endgerät bedeutet erstmal gar nix, denn einzig relevant ist ob es Pakete mit oder ohne Tags sendet und ob der Switchport damit umgehen kann !!
Wenn deine Telefon also Pakete mit einem VLAN 10 Tag sendet MUSS auch der Switchport tagged in VLAN 10 konfiguriert sein, sonst versteht der Switchport keine tagged Pakete von einem Endgerät !
"..Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN" !!
"Mein HP Switch macht aber genau das..." FALSCH !!
Sieh dir bitte mal deine Konfig genau an !!!
vlan 1
name "DEFAULT_VLAN"
untagged 1-9 -->> Hier ist dein Port 2 untagged drin !!!
vlan 10
name "voice1"
tagged 2 -->> Hier ist dein Port 2 tagged drin !!!
Fazit: Deine Aussage von oben ist falsch !!
Untagged Traffic forwardet dein Switch in VLAN 1 (Default VLAN !) und tagged Traffic vom Telefon forwardet er in VLAN 10 !!
Der Port ist also NICHT mit beiden Traffic Arten in ein und demselben VLAN 10 !
"Deine Aussage würde heißen, das der Switch nicht selber taggt? " Falsch, denn oben wurde explizit gesagt: Wenn der Port tagged in VLAN 10 konfiguriert ist dann tagged der Switch natürlich ausgehenden Traffic aus dem VLAN 10...keine Frage. Analog erwartet er eingehenden Traffic auch mit dem VLAN 10 Tag ! Oder allen anderen Tags für die der Post tagged konfiguriert ist. Pakete mit fremden VLAN Tags dropped der Switch !!
"Wieso hängt er ausgehenden Paketen das Tag 10 an" Wenn du den Port NICHT tagged setzt wird der Switch niemals ein VLAN Tag anhängen ! Er "versteht" dann lediglich untagged Traffic. Erst das explizite Tagging am Port tagged Pakete ausgehend oder kann mit eingehenden Tags umgehen.
Fehlt das Tagging am Port in der Switchkonfig dann versteht der Switch am Port ausschliesslich untagged Pakete.
Pakete von Endgeräten mit Tags werden gedropped bzw. ignoriert, das das Frameformat nicht stimmt ! Tagging verändert das Frameformat !!
„vlan aware“ Endgerät bedeutet erstmal gar nix, denn einzig relevant ist ob es Pakete mit oder ohne Tags sendet und ob der Switchport damit umgehen kann !!
Wenn deine Telefon also Pakete mit einem VLAN 10 Tag sendet MUSS auch der Switchport tagged in VLAN 10 konfiguriert sein, sonst versteht der Switchport keine tagged Pakete von einem Endgerät !
"..Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN" !!
"Mein HP Switch macht aber genau das..." FALSCH !!
Sieh dir bitte mal deine Konfig genau an !!!
vlan 1
name "DEFAULT_VLAN"
untagged 1-9 -->> Hier ist dein Port 2 untagged drin !!!
vlan 10
name "voice1"
tagged 2 -->> Hier ist dein Port 2 tagged drin !!!
Fazit: Deine Aussage von oben ist falsch !!
Untagged Traffic forwardet dein Switch in VLAN 1 (Default VLAN !) und tagged Traffic vom Telefon forwardet er in VLAN 10 !!
Der Port ist also NICHT mit beiden Traffic Arten in ein und demselben VLAN 10 !
Deine Schlussfolgerungen haben noch ein paar "Kinken"...:
"...Ich sage dem Switch Port, dass er sich nicht wundern soll...."
A.: Generell ist das so (fast) richtig. Wichtig und relevant ist immer ob der Port tagged oder untagged in dem VLAN liegt. Liegt er tagged drin, dann akzeptiert der Switch eingehende Pakete mit Tag aber auch nur genau für die VLANs für die dieser Port tagged konfiguriert ist. Kommen andere Tags dort an schmeisst der Switch diese Pakete weg.
Die tagged Pakete werden dann entsprechend in die VLANs geforwardet und zwar an alle Ports des VLANs egal ob diese tagged oder untagged sind. OK das gilt für Broadcast Pakete. Session basierender Traffic wird anhand der Mac Adresse im VLAN geforwardet. Der Switch führt eine Mac Forwarding Database in der pro VLAN steht an welchem Port welche Mac Adresse zu finden ist. Entsprechend forwardet es der Switch !
Ob Pakete vom Endgerät getagged sind oder nicht ist eine Frage des Netzwerkkarten treibers ob der überhaupt Tagging supportet. In der Regel sind Pakete von Endgeräten immer untagged !
Ausnahme: VoIP Telefone ! Diese haben in der Regel durch Priorisierung ein gesetztes ToS Feld nach 802.1p. 802.1p ist aber immer Teil von 802.1q Tagging. Also keine gesteztes ToS Feld ohne VLAN Tag. Deshalb ist Voice Traffic in der Regel tagged. Das hängt aber letztlich sehr stark vom Hersteller der Telefone ab und ist keine Regel ! Leider....
"Würde ich dagegen einen Port mit zwei VLAN-ID taggen..."
A.: Ja genau richtig, dann forwardet der Switch allen Traffic aus diesen beiden VLANs mit einem entsprechenden VLAN Tag. Du hast also gewissermaßen den Traffic hier vom VLAN A und B zusammen ! Der empfangene Switch kann die Pakete dann anhand seiner VLAN Tags wieder sauber den VLANs zuordnen !!
VLAN 1 ist schon ein VLAN ! Es ist ja ebenfalls getrennt von allen anderen VLANs und erfüllt damit formal die Kriterien eines "richtigen" VLANs. Es liegt nur bei vielen Switchherstellern immer native (also untagged) an allen tagged Ports mit an. Wie gesagt das ist Switch hersteller spezifisch und kann bei unterschiedlichen herstellern abweichen. Der 802.1q Standard regelt das aber genau so !
In dem Sinne ist VLAN-1 schon ein richtiges VLAN !
Sonderfall "Untagged Traffic nicht auf VLAN 1"
A.: Du weist in der Switchkonfig einem untagged Port immer fest einem VLAN zu ! (Sog. "Port based VLANs" !) damit ist dieser Port dann immer fest in diesem VLAN. Untagged Traffic an diesem Port wird also immer nur einzig in diesem VLAN geforwardet und kann nicht in andere VLANs kommen (Layer 2 Sicht). Das ist ja auch der Sinn, denn man will bei VLANs ja gerade den Traffic trennen !!
Dein Beispiel mit dem VLAN 105 beschreibt das genau richtig !
Das VLAN 105 ist also eine Wolke aus dem tagged und untagged Ports rauskommen. Pakete aus dem VLAN 105 werden dann auf tagged Ports mit einem VLAN Tag 105 rausgesendet auf untagged Ports eben ohne. Auf den untagged kommt aber nur VLAN 105 Traffic an...logisch !
Eigentlich ganz einfach und simpel....
"Was passiert wenn ich einen Port 3 "tagged 10" habe und einen Port 4 "untagged 10"? Die müssten sich doch Daten austauschen können?"
A.: Ja, na klar können die Daten austauschen aber nur wenn du am Port 3 auch ein Endgerät hast was tagged Pakete verschicken kann wie z.B. einen Server mit einer Intel NIC wie HIER beschrieben. Dann kann der problemlos darüber kommunizieren. Ein Ping beweist dir das sofort.
Schliesst du allerdings an Port 3 ein Endgerät an was untagged Pakete versendet schmeisst der Switch diese Pakete weg oder forwarded untagged traffic per default in das Default VLAN 1 in dem der VLAN 10 Client von Port 4 natürlich nicht ist !.
Damit kannst du dann nicht mehr kommunizieren zwischen Port 3 und Port 4...logisch !
Es ist also nicht trivial wo tagged und untagged eingestellt ist !
Es wird sicher anderen helfen, den VLAN Mechanismen sind vielen (leider) unbekannt, können aber viele Aufgaben lösen die hier im Forum gefragt sind !
"...Ich sage dem Switch Port, dass er sich nicht wundern soll...."
A.: Generell ist das so (fast) richtig. Wichtig und relevant ist immer ob der Port tagged oder untagged in dem VLAN liegt. Liegt er tagged drin, dann akzeptiert der Switch eingehende Pakete mit Tag aber auch nur genau für die VLANs für die dieser Port tagged konfiguriert ist. Kommen andere Tags dort an schmeisst der Switch diese Pakete weg.
Die tagged Pakete werden dann entsprechend in die VLANs geforwardet und zwar an alle Ports des VLANs egal ob diese tagged oder untagged sind. OK das gilt für Broadcast Pakete. Session basierender Traffic wird anhand der Mac Adresse im VLAN geforwardet. Der Switch führt eine Mac Forwarding Database in der pro VLAN steht an welchem Port welche Mac Adresse zu finden ist. Entsprechend forwardet es der Switch !
Ob Pakete vom Endgerät getagged sind oder nicht ist eine Frage des Netzwerkkarten treibers ob der überhaupt Tagging supportet. In der Regel sind Pakete von Endgeräten immer untagged !
Ausnahme: VoIP Telefone ! Diese haben in der Regel durch Priorisierung ein gesetztes ToS Feld nach 802.1p. 802.1p ist aber immer Teil von 802.1q Tagging. Also keine gesteztes ToS Feld ohne VLAN Tag. Deshalb ist Voice Traffic in der Regel tagged. Das hängt aber letztlich sehr stark vom Hersteller der Telefone ab und ist keine Regel ! Leider....
"Würde ich dagegen einen Port mit zwei VLAN-ID taggen..."
A.: Ja genau richtig, dann forwardet der Switch allen Traffic aus diesen beiden VLANs mit einem entsprechenden VLAN Tag. Du hast also gewissermaßen den Traffic hier vom VLAN A und B zusammen ! Der empfangene Switch kann die Pakete dann anhand seiner VLAN Tags wieder sauber den VLANs zuordnen !!
VLAN 1 ist schon ein VLAN ! Es ist ja ebenfalls getrennt von allen anderen VLANs und erfüllt damit formal die Kriterien eines "richtigen" VLANs. Es liegt nur bei vielen Switchherstellern immer native (also untagged) an allen tagged Ports mit an. Wie gesagt das ist Switch hersteller spezifisch und kann bei unterschiedlichen herstellern abweichen. Der 802.1q Standard regelt das aber genau so !
In dem Sinne ist VLAN-1 schon ein richtiges VLAN !
Sonderfall "Untagged Traffic nicht auf VLAN 1"
A.: Du weist in der Switchkonfig einem untagged Port immer fest einem VLAN zu ! (Sog. "Port based VLANs" !) damit ist dieser Port dann immer fest in diesem VLAN. Untagged Traffic an diesem Port wird also immer nur einzig in diesem VLAN geforwardet und kann nicht in andere VLANs kommen (Layer 2 Sicht). Das ist ja auch der Sinn, denn man will bei VLANs ja gerade den Traffic trennen !!
Dein Beispiel mit dem VLAN 105 beschreibt das genau richtig !
Das VLAN 105 ist also eine Wolke aus dem tagged und untagged Ports rauskommen. Pakete aus dem VLAN 105 werden dann auf tagged Ports mit einem VLAN Tag 105 rausgesendet auf untagged Ports eben ohne. Auf den untagged kommt aber nur VLAN 105 Traffic an...logisch !
Eigentlich ganz einfach und simpel....
"Was passiert wenn ich einen Port 3 "tagged 10" habe und einen Port 4 "untagged 10"? Die müssten sich doch Daten austauschen können?"
A.: Ja, na klar können die Daten austauschen aber nur wenn du am Port 3 auch ein Endgerät hast was tagged Pakete verschicken kann wie z.B. einen Server mit einer Intel NIC wie HIER beschrieben. Dann kann der problemlos darüber kommunizieren. Ein Ping beweist dir das sofort.
Schliesst du allerdings an Port 3 ein Endgerät an was untagged Pakete versendet schmeisst der Switch diese Pakete weg oder forwarded untagged traffic per default in das Default VLAN 1 in dem der VLAN 10 Client von Port 4 natürlich nicht ist !.
Damit kannst du dann nicht mehr kommunizieren zwischen Port 3 und Port 4...logisch !
Es ist also nicht trivial wo tagged und untagged eingestellt ist !
Es wird sicher anderen helfen, den VLAN Mechanismen sind vielen (leider) unbekannt, können aber viele Aufgaben lösen die hier im Forum gefragt sind !