VLAN Verständnisfrage Tagged und Untagged - 2 Wege 1 Lösung
Hallo, ich habe mich etwas mit VLANs beschäftigt und da es doch etwas kompliziert ist möchte nun gerne wissen ob ich es richtig verstanden habe.
Ich habe 2 HP Layer2 Switches mit VLAN support. Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Nehmen wir an ich habe PC1 und PC2, die jeweils an einem anderen Switch hängen. Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können, also alle anderen PCs/Ports an den Switches nicht an dem VLAN beteiligt sein, also vergleichbar einer Direktverbindung der PCs “ohne Switches“
Ich kann doch jetzt den Port von PC1 am Switch in einem bestimmten VLAN auf untagged setzen und den Port mit der Switchverbindung in dem VLAN auf tagged, alle anderen Ports auf dem Switch excluded. Auf dem Switch 2 dann im selben VLAN den Port mit der Switchverbindung auf tagged, Port PC2 auf untagged und alle anderen excluded. So ist das VLAN doch sicher?
Diese Variante bietet sich ja an wenn die Netzwerkkarten der PCs keine VLAN Unterstützung haben. Kommt es jetzt auf dasselbe heraus wenn ich grundsätzlich wie oben aber -mit dem Unterschied- die Ports von PC 1+2 am Switch von untagged auf tagged in dem VLAN setze und die Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Der einzige Vorteil den ich bei Variante 2 sehe, ist dass während einer Übertragung nicht ständig das VLAN tag hinzugefügt bzw. entfernt werden muss beim Wechsel Tagged/Untagged oder sehe ich das falsch?
Akzeptiert ein „tagged„ Port auch Verbindungen ohne VLAN Tag oder werden diese verworfen also nicht akzeptiert?
Vielleicht kann ja jemand Licht ins dunkle bringen ;)
Ich habe 2 HP Layer2 Switches mit VLAN support. Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Nehmen wir an ich habe PC1 und PC2, die jeweils an einem anderen Switch hängen. Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können, also alle anderen PCs/Ports an den Switches nicht an dem VLAN beteiligt sein, also vergleichbar einer Direktverbindung der PCs “ohne Switches“
Ich kann doch jetzt den Port von PC1 am Switch in einem bestimmten VLAN auf untagged setzen und den Port mit der Switchverbindung in dem VLAN auf tagged, alle anderen Ports auf dem Switch excluded. Auf dem Switch 2 dann im selben VLAN den Port mit der Switchverbindung auf tagged, Port PC2 auf untagged und alle anderen excluded. So ist das VLAN doch sicher?
Diese Variante bietet sich ja an wenn die Netzwerkkarten der PCs keine VLAN Unterstützung haben. Kommt es jetzt auf dasselbe heraus wenn ich grundsätzlich wie oben aber -mit dem Unterschied- die Ports von PC 1+2 am Switch von untagged auf tagged in dem VLAN setze und die Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Der einzige Vorteil den ich bei Variante 2 sehe, ist dass während einer Übertragung nicht ständig das VLAN tag hinzugefügt bzw. entfernt werden muss beim Wechsel Tagged/Untagged oder sehe ich das falsch?
Akzeptiert ein „tagged„ Port auch Verbindungen ohne VLAN Tag oder werden diese verworfen also nicht akzeptiert?
Vielleicht kann ja jemand Licht ins dunkle bringen ;)
Please also mark the comments that contributed to the solution of the article
Content-Key: 304366
Url: https://administrator.de/contentid/304366
Printed on: April 18, 2024 at 14:04 o'clock
10 Comments
Latest comment
und da es doch etwas kompliziert ist
Nein, keineswegs ! Was bitte soll daran "kompliziert" sein ?!Ich habe 2 HP Layer2 Switches
Igitt...du Armer.Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Das ist normaler Standard..Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können,
Ja, ein einfaches Kinderspiel:- Jeweils ein VLAN x auf beiden Switches anlegen
- Die Untagged Ports für die PCs in dem VLAN definieren
- PCs an diese Ports anschliessen
- An beiden Switches einen Tagged Uplink Port definieren und dieses VLAN Tagged an den Port legen
- Beide Switches über diesen Port verbinden
- Fertisch
Du hast es ja selber auch schon so beschrieben mit der Vorgehensweise. Die ist absolut richtig !
Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Nein, das ist völliger Quatsch und zeigt das du den Sinn von VLANs (noch) nicht verstanden hast.Lies dir dazu bitte dieses Tutorial genau durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Besonders die Anfängerlinks am Anfang.
VLAN Tagging hat nichts mit Security zu tun sondern lediglich mit der Übertragung der VLAN ID zwischen Endgeräten. Nicht mehr und nicht weniger.
OT: Möchtest du das ein wenig genauer ausführen? *lach*
LG Luca
LG Luca
Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
HP kann gute PCs, Server und Drucker aber Netzwerk eher nicht. Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist. Das erklärt eigentlich schon alles.
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
HP kann gute PCs, Server und Drucker aber Netzwerk eher nicht. Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist. Das erklärt eigentlich schon alles.
Zitat von @aqui:
Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
Das reicht mir vollkommen als Ausführung Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist.
Das wusste ich nicht und gibt mir auch ein wenig zu denken... Wieder was gelernt.. Danke
Moin,
noch ein wenig Senf gefällig?
Genau das ist der entscheidende Punkt. Du solltest drauf achten, dass das auch so bleibt. Ich habe hier auch mit Netgear gestartet, mich dann über Dell Powerconnect vorgearbeitet und lande jetzt wahrscheinlich bei Brocade. Der Unterschied zu Dell ist schon gewaltig, vor allem, was die Konfiguration angeht, mit der GUI geht da nicht mehr viel, nur noch das nötigste. Und hinter vorgehaltener Hand hat mir ein Dell-Techniker mal gesagt, dass die GUI eher ein Pflegefall und fehlerträchtig ist. Aber die Kunden wollen das halt. Viele (hallo @aqui ) werden Brocade wahrscheinlich als Möchtegern-Cisco bezeichnen, was auch zutreffen mag. Aber die vielzitierten Billigswitche bemerkt man genau dann, wenn das Netz größer wird und die Anforderungen steigen. Für meinen Teil muss ich zugeben, dass ich da wenig vorausschauend arbeite und meist nur reagiere, statt von vornherein aktiv zu werden. Oh, da hat jemand einen DHCP-Server ins Netz gehängt, machen wir mal schnell DHCP-Snooping. Oh, da hat einfach jemand eine bereits vergebene feste IP eingetragen --> DAI / IP Guard. Und je höher die Anforderungen werden, desto eher trennt sich eben auch die Spreu vom Weizen. Spätestens unter hoher Last werden sich Unterschiede zeigen.
Noch ein Beispiel: Der Dell Powerconnect 6248P hatte ewig lang einen Bug in der Firmware, was DHCP-Snooping und VLANs angeht. Neue Firmware, Bug behoben, unsere Umgebung funktioniert nicht mehr, weil ich das falsch konfiguriert hatte und es durch den Bug trotzdem funktionierte... Oder es gab mal eine Phase, wo es fast wöchentlich eine neue Firmware gab, weil immer wieder neue Bugs eingebaut wurden oder bereits behobene wieder auftauchten.
Gruß und schöne Pfingsten!
noch ein wenig Senf gefällig?
für meine Zwecke sind die HP Switches in Ordnung
Genau das ist der entscheidende Punkt. Du solltest drauf achten, dass das auch so bleibt. Ich habe hier auch mit Netgear gestartet, mich dann über Dell Powerconnect vorgearbeitet und lande jetzt wahrscheinlich bei Brocade. Der Unterschied zu Dell ist schon gewaltig, vor allem, was die Konfiguration angeht, mit der GUI geht da nicht mehr viel, nur noch das nötigste. Und hinter vorgehaltener Hand hat mir ein Dell-Techniker mal gesagt, dass die GUI eher ein Pflegefall und fehlerträchtig ist. Aber die Kunden wollen das halt. Viele (hallo @aqui ) werden Brocade wahrscheinlich als Möchtegern-Cisco bezeichnen, was auch zutreffen mag. Aber die vielzitierten Billigswitche bemerkt man genau dann, wenn das Netz größer wird und die Anforderungen steigen. Für meinen Teil muss ich zugeben, dass ich da wenig vorausschauend arbeite und meist nur reagiere, statt von vornherein aktiv zu werden. Oh, da hat jemand einen DHCP-Server ins Netz gehängt, machen wir mal schnell DHCP-Snooping. Oh, da hat einfach jemand eine bereits vergebene feste IP eingetragen --> DAI / IP Guard. Und je höher die Anforderungen werden, desto eher trennt sich eben auch die Spreu vom Weizen. Spätestens unter hoher Last werden sich Unterschiede zeigen.
Noch ein Beispiel: Der Dell Powerconnect 6248P hatte ewig lang einen Bug in der Firmware, was DHCP-Snooping und VLANs angeht. Neue Firmware, Bug behoben, unsere Umgebung funktioniert nicht mehr, weil ich das falsch konfiguriert hatte und es durch den Bug trotzdem funktionierte... Oder es gab mal eine Phase, wo es fast wöchentlich eine neue Firmware gab, weil immer wieder neue Bugs eingebaut wurden oder bereits behobene wieder auftauchten.
Gruß und schöne Pfingsten!
nach einem lüfterlosen 24-Port Switch gesucht und da gab es mehr oder weniger nur den von HP.
Dann hast du nicht sauber recherchiert. Den gibt es von zig anderen Herstellern wie Extreme, Brocade etc. auch.für meine Zwecke sind die HP Switches in Ordnung.
Da hast du natürlich Recht. Für einfachste Anforderungen an ein anspruchloses, flaches Netzwerk wie deins sind sie allemal ausreichend.Allerdings haben andere Hersteller dann unter den obigen Voraussetzungen noch ein erheblich besseres Preis Leistungsverhältnis was dir vermutlich entgangen ist vor HP Blindheit...aber egal.
Was dein VLAN "Faking" anbetrifft kannst du beruhigt sein. Das ist technisch nicht möglich sofern du das tagged VLAN mit seiner ID an dem Port fest vorgibst.
Wenn du dort nur Tagging mit ID 10 erlaubst und ein ID 20 getaggtes Frame dort ankommt schmeisst der Switch das einfach weg. Da kann ein User dann Probieren bis er schwarz ist
Anders wenn du aus Faulheit, Bequemlichkeit oder Unwissenheit einen tagged Port aufsetzt der alle eingehenden Tags akzeptiert und entsprechend seiner ID forwardet. Dann wäre ein "Faking" theoretisch denkbar.
Ein Netzwerk Admin macht sowas aber nicht sondern arbeitet mit "Pruning" wie es da heisst, sprich der Vorgabe der IDs am Uplink.
Abgesehen davon und schliesst man mal aufgrund deiner doch sehr einfachen Netzwerk Anforderungen auf die Pfiffigkeit der User, ist zu doch sehr zu bezweifeln das die überhaupt wissen was VLANs und Tags sind, geschweige denn können sie das anwenden.
Sieht also so aus als ob du sehr beruhigt in die Pfingstferien gehen kannst
An HP scheinst du ja shcon einen Narren gefressen zu haben
Ja, wenn man damit megrfach auf den Bauch gefallen ist passiert das mal... Das Risiko ist in der Tat gering, denn deine Tagged Links sind ja immer Point to Point Links zw. den Switches. Die müsste dann schon jemand trennen was sofort auffallen würde.
Endgeräte setzt man so oder so niemals auf tagged Links. Welchen Sinn sollte das haben ?
Hier weist du ja immer untagged ein festes VLAN zu und da ist man dann chancenlos an solchen Ports in andere VLANs zu kommen.
Wenn du ganz sicher gehen willst machst du immer eine dynmaische Port und VLAN Zuweisung nach 802.1x via Radius.
Das wäre dann vollständig wasserdicht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Aber wie gesagt....für dein sehr einfaches Netz ist es fraglich ob der Aufwand Sinn macht.
Und wenn, dann kannst nur du das als Admin entscheiden
Pfrohe Pfingsten !