gelöst VLAN Verständnisfrage Tagged und Untagged - 2 Wege 1 Lösung

Mitglied: epionier

epionier (Level 1) - Jetzt verbinden

13.05.2016 um 00:27 Uhr, 10285 Aufrufe, 10 Kommentare

Hallo, ich habe mich etwas mit VLANs beschäftigt und da es doch etwas kompliziert ist möchte nun gerne wissen ob ich es richtig verstanden habe.
Ich habe 2 HP Layer2 Switches mit VLAN support. Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.

Nehmen wir an ich habe PC1 und PC2, die jeweils an einem anderen Switch hängen. Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können, also alle anderen PCs/Ports an den Switches nicht an dem VLAN beteiligt sein, also vergleichbar einer Direktverbindung der PCs “ohne Switches“

Ich kann doch jetzt den Port von PC1 am Switch in einem bestimmten VLAN auf untagged setzen und den Port mit der Switchverbindung in dem VLAN auf tagged, alle anderen Ports auf dem Switch excluded. Auf dem Switch 2 dann im selben VLAN den Port mit der Switchverbindung auf tagged, Port PC2 auf untagged und alle anderen excluded. So ist das VLAN doch sicher?

Diese Variante bietet sich ja an wenn die Netzwerkkarten der PCs keine VLAN Unterstützung haben. Kommt es jetzt auf dasselbe heraus wenn ich grundsätzlich wie oben aber -mit dem Unterschied- die Ports von PC 1+2 am Switch von untagged auf tagged in dem VLAN setze und die Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?

Der einzige Vorteil den ich bei Variante 2 sehe, ist dass während einer Übertragung nicht ständig das VLAN tag hinzugefügt bzw. entfernt werden muss beim Wechsel Tagged/Untagged oder sehe ich das falsch?
Akzeptiert ein „tagged„ Port auch Verbindungen ohne VLAN Tag oder werden diese verworfen also nicht akzeptiert?

Vielleicht kann ja jemand Licht ins dunkle bringen ;)
Mitglied: aqui
13.05.2016 um 08:43 Uhr
und da es doch etwas kompliziert ist
Nein, keineswegs ! Was bitte soll daran "kompliziert" sein ?!
Ich habe 2 HP Layer2 Switches
Igitt...du Armer.
Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Das ist normaler Standard..
Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können,
Ja, ein einfaches Kinderspiel:
  • Jeweils ein VLAN x auf beiden Switches anlegen
  • Die Untagged Ports für die PCs in dem VLAN definieren
  • PCs an diese Ports anschliessen
  • An beiden Switches einen Tagged Uplink Port definieren und dieses VLAN Tagged an den Port legen
  • Beide Switches über diesen Port verbinden
  • Fertisch
Ist in 5 Minuten erledigt...was ist daran kompliziert ??
Du hast es ja selber auch schon so beschrieben mit der Vorgehensweise. Die ist absolut richtig !
Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Nein, das ist völliger Quatsch und zeigt das du den Sinn von VLANs (noch) nicht verstanden hast.
Lies dir dazu bitte dieses Tutorial genau durch:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Besonders die Anfängerlinks am Anfang.

VLAN Tagging hat nichts mit Security zu tun sondern lediglich mit der Übertragung der VLAN ID zwischen Endgeräten. Nicht mehr und nicht weniger.
Bitte warten ..
Mitglied: 118080
13.05.2016 um 08:58 Uhr
Zitat von aqui:
Ich habe 2 HP Layer2 Switches
Igitt...du Armer.
OT: Möchtest du das ein wenig genauer ausführen? *lach*
LG Luca
Bitte warten ..
Mitglied: aqui
13.05.2016, aktualisiert um 09:27 Uhr
Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
HP kann gute PCs, Server und Drucker aber Netzwerk eher nicht. Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist. Das erklärt eigentlich schon alles.
Bitte warten ..
Mitglied: 118080
13.05.2016 um 09:39 Uhr
Zitat von aqui:
Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
Das reicht mir vollkommen als Ausführung
Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist.
Das wusste ich nicht und gibt mir auch ein wenig zu denken... Wieder was gelernt.. Danke
Bitte warten ..
Mitglied: epionier
13.05.2016 um 11:02 Uhr
@aqui

Vielen Dank für die Ausführungen und für meine Zwecke sind die HP Switches in Ordnung. Ich hatte damals nach einem lüfterlosen 24-Port Switch gesucht und da gab es mehr oder weniger nur den von HP.

Zum Thema kompliziert, naja wenn man etwas mal verstanden hat erscheint es im Nachhinein oft nicht mehr kompliziert. Ich hatte den guten Artikel von dir im Vorfeld schon gelesen, aber auch danach war (und ist) für mich die Frage, wenn ich auf einem Switch in dem identischen VLAN zwei Tagged Ports habe (1xSwitchverbindung und 1xPort für PC), dann kann ich als außenstehender das VLAN ja leicht umgehen indem ich mein TCP-Paket mit einem (anderen) VLAN Tag versehe, das eigentlich an diesen Port nicht "hingehört". Bei einem untagged-Port muss ich ja schon auf den Switch zugreifen können um das zu ändern.

Mir geht es darum, dass in meinem Fall PC1 ein VDSL-Modem ist und PC2 der "WAN-Anschluss" einer pfSense Firewall, der die Internetverbindung PPPoE herstellt. Das heißt alle Pakete aus dem Internet durchlaufen erstmal zwei Switches bevor sie an der Firewall "zur Kontrolle" ankommen, daher hat für mich der Aspekt VLAN durchaus sicherheitsrelevante Aspekte :D
Bitte warten ..
Mitglied: Coreknabe
13.05.2016, aktualisiert um 12:26 Uhr
Moin,

noch ein wenig Senf gefällig?

für meine Zwecke sind die HP Switches in Ordnung

Genau das ist der entscheidende Punkt. Du solltest drauf achten, dass das auch so bleibt. Ich habe hier auch mit Netgear gestartet, mich dann über Dell Powerconnect vorgearbeitet und lande jetzt wahrscheinlich bei Brocade. Der Unterschied zu Dell ist schon gewaltig, vor allem, was die Konfiguration angeht, mit der GUI geht da nicht mehr viel, nur noch das nötigste. Und hinter vorgehaltener Hand hat mir ein Dell-Techniker mal gesagt, dass die GUI eher ein Pflegefall und fehlerträchtig ist. Aber die Kunden wollen das halt. Viele (hallo @aqui ) werden Brocade wahrscheinlich als Möchtegern-Cisco bezeichnen, was auch zutreffen mag. Aber die vielzitierten Billigswitche bemerkt man genau dann, wenn das Netz größer wird und die Anforderungen steigen. Für meinen Teil muss ich zugeben, dass ich da wenig vorausschauend arbeite und meist nur reagiere, statt von vornherein aktiv zu werden. Oh, da hat jemand einen DHCP-Server ins Netz gehängt, machen wir mal schnell DHCP-Snooping. Oh, da hat einfach jemand eine bereits vergebene feste IP eingetragen --> DAI / IP Guard. Und je höher die Anforderungen werden, desto eher trennt sich eben auch die Spreu vom Weizen. Spätestens unter hoher Last werden sich Unterschiede zeigen.
Noch ein Beispiel: Der Dell Powerconnect 6248P hatte ewig lang einen Bug in der Firmware, was DHCP-Snooping und VLANs angeht. Neue Firmware, Bug behoben, unsere Umgebung funktioniert nicht mehr, weil ich das falsch konfiguriert hatte und es durch den Bug trotzdem funktionierte... Oder es gab mal eine Phase, wo es fast wöchentlich eine neue Firmware gab, weil immer wieder neue Bugs eingebaut wurden oder bereits behobene wieder auftauchten.

Gruß und schöne Pfingsten!
Bitte warten ..
Mitglied: epionier
13.05.2016, aktualisiert um 15:09 Uhr
@Coreknabe

Ich hätte auch nie bestritten, dass es mit Abstand bessere Switches gibt und wenn bei uns im Netzwerk hohe Filetransfers der Clients oder komplizierte Netzwerkstrukturen an der Tagesordnugn wären, würde ich auch sicherlich eine andere Lösung einsetzen. Zumeist sind da aber gerade mal 1-2 MB (gesamt) in der Sekunde für den Remotedesktopbetrieb im Verkehr.
Der einzige nennenswerte Verkehr erfolgt bei einem download über die VDSL Leitung aber auch da liegen ja gerade mal maximal 6,25 MB in der Sekunde an und das sollte einen Switch auch mit mäßigem Chipsatz wahrlich nicht in die Knie zwingen ;D Ansonsten finde ich die GUI des HP Switches (1810-24G v2) eigentlich recht übersichtlich, aber wie gesagt wer besseres kennt und im Netzwerkbereich tätig ist, wird dies dennoch als No-Go ansehen ;D Das kann ich durchaus nachvollziehen, geht mir in den Bereichen die ich gerne habe ebenso.

Aber mir ging es eigentlich nur darum ob ich besser auf tagged oder untagged VLANs setzen soll, da mir eben nicht klar ist ob ich bei Tagged Ports (für mehrere VLANS) ein Risiko eingehe, dass "VLAN-Faking" stattfinden kann ;) Da ich mich eben nicht so auskenne und hier fundierte Experten unterwegs sind, habe ich hier geschrieben, da ich eben diese Frage anhand des "Basisartikels" mir nicht beantworten kann. Wie gesagt eben vor dem Hintergrund, dass eben "Internetverkehr" über zwei Switches läuft bevor die Firewall das Paket analysiert.
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.05.2016, aktualisiert um 19:13 Uhr
nach einem lüfterlosen 24-Port Switch gesucht und da gab es mehr oder weniger nur den von HP.
Dann hast du nicht sauber recherchiert. Den gibt es von zig anderen Herstellern wie Extreme, Brocade etc. auch.
für meine Zwecke sind die HP Switches in Ordnung.
Da hast du natürlich Recht. Für einfachste Anforderungen an ein anspruchloses, flaches Netzwerk wie deins sind sie allemal ausreichend.
Allerdings haben andere Hersteller dann unter den obigen Voraussetzungen noch ein erheblich besseres Preis Leistungsverhältnis was dir vermutlich entgangen ist vor HP Blindheit...aber egal.

Was dein VLAN "Faking" anbetrifft kannst du beruhigt sein. Das ist technisch nicht möglich sofern du das tagged VLAN mit seiner ID an dem Port fest vorgibst.
Wenn du dort nur Tagging mit ID 10 erlaubst und ein ID 20 getaggtes Frame dort ankommt schmeisst der Switch das einfach weg. Da kann ein User dann Probieren bis er schwarz ist
Anders wenn du aus Faulheit, Bequemlichkeit oder Unwissenheit einen tagged Port aufsetzt der alle eingehenden Tags akzeptiert und entsprechend seiner ID forwardet. Dann wäre ein "Faking" theoretisch denkbar.
Ein Netzwerk Admin macht sowas aber nicht sondern arbeitet mit "Pruning" wie es da heisst, sprich der Vorgabe der IDs am Uplink.
Abgesehen davon und schliesst man mal aufgrund deiner doch sehr einfachen Netzwerk Anforderungen auf die Pfiffigkeit der User, ist zu doch sehr zu bezweifeln das die überhaupt wissen was VLANs und Tags sind, geschweige denn können sie das anwenden.
Sieht also so aus als ob du sehr beruhigt in die Pfingstferien gehen kannst
Bitte warten ..
Mitglied: epionier
13.05.2016 um 20:03 Uhr
@aqui

Danke für die Ausführungen. An HP scheinst du ja shcon einen Narren gefressen zu haben ;D Ich war da nicht affin, da wir ansonsten keine HP-Sachen in Benutzung haben. Vor drei Jahren hatte ich eben nach einem lüfterlosen Switch gesucht und den HP kurzerhand gefunden. Aber ich verspreche bei einem Wechsel auf etwas profunderes zurückzugreifen ;D

Ich habe auch weniger Angst vor unseren Mitarbeiter(innen), sondern vielmehr von "freischaffenden" Internethackern. Das der WAN Port an der pfSense nur ein VLAN tag bekommen würde ist klar, aber auf dem Weg dahin gibt es ja noch den ersten Switch der mehrere tagged Ports hätte. Leider habe ich für die Switchverbindung nur ein Kabel und darüber müssen mehrere Tags laufen, ansonsten hätte ich natürlich eine eigenständige Verbindung nur für das WAN mit eigenem VLAN eingerichtet. Aber ich glaube das Risiko ist dennoch äußerst gering und ich werde einfach bei der untagged-Variante bleiben, dann habe ich ein besseres Bauchgefühl, das das schon nicht passieren kann.

Also, herzlichen Dank an alle und schöne Pfingsten trotz Eisheiliger!
Bitte warten ..
Mitglied: aqui
14.05.2016, aktualisiert um 11:47 Uhr
An HP scheinst du ja shcon einen Narren gefressen zu haben
Ja, wenn man damit megrfach auf den Bauch gefallen ist passiert das mal...
Das Risiko ist in der Tat gering, denn deine Tagged Links sind ja immer Point to Point Links zw. den Switches. Die müsste dann schon jemand trennen was sofort auffallen würde.
Endgeräte setzt man so oder so niemals auf tagged Links. Welchen Sinn sollte das haben ?
Hier weist du ja immer untagged ein festes VLAN zu und da ist man dann chancenlos an solchen Ports in andere VLANs zu kommen.

Wenn du ganz sicher gehen willst machst du immer eine dynmaische Port und VLAN Zuweisung nach 802.1x via Radius.
Das wäre dann vollständig wasserdicht:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Aber wie gesagt....für dein sehr einfaches Netz ist es fraglich ob der Aufwand Sinn macht.
Und wenn, dann kannst nur du das als Admin entscheiden
Pfrohe Pfingsten !
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke23 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Windows Server
Auslagerungsdatei wird nicht kleiner
GwaihirFrageWindows Server23 Kommentare

Hallo zusammen, gestern hat jemand auf einem unserer Terminalserver (Windows Server 2012 R2) eine Anwendung gestartet, die den RAM ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
gelöst StefanKittelFrageSicherheit19 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Internet Domänen
Azure AD deactivate Identity Protection
Jannik2018FrageInternet Domänen15 Kommentare

kann mir einer sagen wie ich beim meiner MS Azure AD Domäne die Identity Protection deactiviere siehe Screenshot sollte ...

Windows Server
Migration SBS2011 auf Windows 2016
r2d2r3poFrageWindows Server12 Kommentare

Hallo, meine letzten Upgrades liegen nun schon etwas zurück und ich wäre froh, wenn Ihr mir hier ein paar ...

Ähnliche Inhalte
LAN, WAN, Wireless

Management VLAN - tagged oder untagged, VLAN-Hopping

stephan902FrageLAN, WAN, Wireless3 Kommentare

Hallo, bei mir ist das Management VLAN von den anderen VLANs aus nicht erreichbar. Allerdings ist bei mir das ...

Netzwerkgrundlagen

Verständnis Frage VLAN und default VLAN , tagged und untagged

gelöst DerHahntrutFrageNetzwerkgrundlagen6 Kommentare

Hallo Ich habe eine Frage zu VLAN bzw default VLAN. Beispielszenario: 2 Switches werden mit 3 VLAN verbunden. Trunk ...

LAN, WAN, Wireless

VLAN Struktur mit Tagged und untagged Ports - untereinander erreichbar

staybbFrageLAN, WAN, Wireless6 Kommentare

Hallo zusammen, ich habe auf ein paar HP Geräten mehrere VLANs erstellt (VLAN 10, 20, 30, 40). Das hat ...

Switche und Hubs

Cisco SG200 untagged VLAN

gelöst Fenris14FrageSwitche und Hubs14 Kommentare

Hallo, ich habe gerade Probleme das Webinterface der Cisco SG200-Serie zu verstehen. Was ich machen möchte: Ich habe mehrere ...

Netzwerkgrundlagen

V-Lan Erweiterung tagged oder untagged

takvorianFrageNetzwerkgrundlagen6 Kommentare

Hallo zusammen, Ich habe bei einem Kunden an dessen Switch (DGS1210-52) 2 VLAN's definiert VLAN ID1 ( defalut ) ...

LAN, WAN, Wireless

Untagged VLAN über Mikrotik-Switch

gelöst dragonfire8FrageLAN, WAN, Wireless10 Kommentare

Hallo zusammen, ich habe hier einen Switch CRS328-24P-4S+RM von Mikrotik über den ich mein VLAN laufen lassen möchte. Kurz ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud