10
VLAN Verständnisfrage Tagged und Untagged - 2 Wege 1 Lösung
Hallo, ich habe mich etwas mit VLANs beschäftigt und da es doch etwas kompliziert ist möchte nun gerne wissen ob ich es richtig verstanden habe.
Ich habe 2 HP Layer2 Switches mit VLAN support. Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Nehmen wir an ich habe PC1 und PC2, die jeweils an einem anderen Switch hängen. Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können, also alle anderen PCs/Ports an den Switches nicht an dem VLAN beteiligt sein, also vergleichbar einer Direktverbindung der PCs “ohne Switches“
Ich kann doch jetzt den Port von PC1 am Switch in einem bestimmten VLAN auf untagged setzen und den Port mit der Switchverbindung in dem VLAN auf tagged, alle anderen Ports auf dem Switch excluded. Auf dem Switch 2 dann im selben VLAN den Port mit der Switchverbindung auf tagged, Port PC2 auf untagged und alle anderen excluded. So ist das VLAN doch sicher?
Diese Variante bietet sich ja an wenn die Netzwerkkarten der PCs keine VLAN Unterstützung haben. Kommt es jetzt auf dasselbe heraus wenn ich grundsätzlich wie oben aber -mit dem Unterschied- die Ports von PC 1+2 am Switch von untagged auf tagged in dem VLAN setze und die Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Der einzige Vorteil den ich bei Variante 2 sehe, ist dass während einer Übertragung nicht ständig das VLAN tag hinzugefügt bzw. entfernt werden muss beim Wechsel Tagged/Untagged oder sehe ich das falsch?
Akzeptiert ein „tagged„ Port auch Verbindungen ohne VLAN Tag oder werden diese verworfen also nicht akzeptiert?
Vielleicht kann ja jemand Licht ins dunkle bringen ;)
Ich habe 2 HP Layer2 Switches mit VLAN support. Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Nehmen wir an ich habe PC1 und PC2, die jeweils an einem anderen Switch hängen. Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können, also alle anderen PCs/Ports an den Switches nicht an dem VLAN beteiligt sein, also vergleichbar einer Direktverbindung der PCs “ohne Switches“
Ich kann doch jetzt den Port von PC1 am Switch in einem bestimmten VLAN auf untagged setzen und den Port mit der Switchverbindung in dem VLAN auf tagged, alle anderen Ports auf dem Switch excluded. Auf dem Switch 2 dann im selben VLAN den Port mit der Switchverbindung auf tagged, Port PC2 auf untagged und alle anderen excluded. So ist das VLAN doch sicher?
Diese Variante bietet sich ja an wenn die Netzwerkkarten der PCs keine VLAN Unterstützung haben. Kommt es jetzt auf dasselbe heraus wenn ich grundsätzlich wie oben aber -mit dem Unterschied- die Ports von PC 1+2 am Switch von untagged auf tagged in dem VLAN setze und die Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Der einzige Vorteil den ich bei Variante 2 sehe, ist dass während einer Übertragung nicht ständig das VLAN tag hinzugefügt bzw. entfernt werden muss beim Wechsel Tagged/Untagged oder sehe ich das falsch?
Akzeptiert ein „tagged„ Port auch Verbindungen ohne VLAN Tag oder werden diese verworfen also nicht akzeptiert?
Vielleicht kann ja jemand Licht ins dunkle bringen ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304366
Url: https://administrator.de/contentid/304366
Printed on: April 18, 2024 at 14:04 o'clock
10 Comments
Latest comment
und da es doch etwas kompliziert ist
Nein, keineswegs ! Was bitte soll daran "kompliziert" sein ?!Ich habe 2 HP Layer2 Switches
Igitt...du Armer.Es gibt am Switch für ein VLAN Tagged/Untagged/Excluded.
Das ist normaler Standard..Diese beiden PCs sollen über die beiden Switches hinweg exklusiv kommunizieren können,
Ja, ein einfaches Kinderspiel:- Jeweils ein VLAN x auf beiden Switches anlegen
- Die Untagged Ports für die PCs in dem VLAN definieren
- PCs an diese Ports anschliessen
- An beiden Switches einen Tagged Uplink Port definieren und dieses VLAN Tagged an den Port legen
- Beide Switches über diesen Port verbinden
- Fertisch
Du hast es ja selber auch schon so beschrieben mit der Vorgehensweise. Die ist absolut richtig !
Netzwerkkarten von PC1+2 ebenfalls mit dem VLAN tag versehe? Bietet das mehr Sicherheit?
Nein, das ist völliger Quatsch und zeigt das du den Sinn von VLANs (noch) nicht verstanden hast.Lies dir dazu bitte dieses Tutorial genau durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Besonders die Anfängerlinks am Anfang.
VLAN Tagging hat nichts mit Security zu tun sondern lediglich mit der Übertragung der VLAN ID zwischen Endgeräten. Nicht mehr und nicht weniger.
OT: Möchtest du das ein wenig genauer ausführen? *lach*
LG Luca
LG Luca
Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt... 
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
HP kann gute PCs, Server und Drucker aber Netzwerk eher nicht. Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist. Das erklärt eigentlich schon alles.
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
HP kann gute PCs, Server und Drucker aber Netzwerk eher nicht. Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist. Das erklärt eigentlich schon alles.
Zitat von @aqui:
Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
Das reicht mir vollkommen als Ausführung Lieber nicht...denn dann müsste man erklären was für ein billiger Chipset in den Maschinen werkelt...
Vom Konfig GUI wollen wir besser mal gar nicht erst reden.
Haben ja auch nichts eigenes sondern nur zugekauften Mist von anderen der nichtmal intern kompatibel ist.
Das wusste ich nicht und gibt mir auch ein wenig zu denken... Wieder was gelernt.. Danke 
@aqui
Vielen Dank für die Ausführungen und für meine Zwecke sind die HP Switches in Ordnung. Ich hatte damals nach einem lüfterlosen 24-Port Switch gesucht und da gab es mehr oder weniger nur den von HP.
Zum Thema kompliziert, naja wenn man etwas mal verstanden hat erscheint es im Nachhinein oft nicht mehr kompliziert. Ich hatte den guten Artikel von dir im Vorfeld schon gelesen, aber auch danach war (und ist) für mich die Frage, wenn ich auf einem Switch in dem identischen VLAN zwei Tagged Ports habe (1xSwitchverbindung und 1xPort für PC), dann kann ich als außenstehender das VLAN ja leicht umgehen indem ich mein TCP-Paket mit einem (anderen) VLAN Tag versehe, das eigentlich an diesen Port nicht "hingehört". Bei einem untagged-Port muss ich ja schon auf den Switch zugreifen können um das zu ändern.
Mir geht es darum, dass in meinem Fall PC1 ein VDSL-Modem ist und PC2 der "WAN-Anschluss" einer pfSense Firewall, der die Internetverbindung PPPoE herstellt. Das heißt alle Pakete aus dem Internet durchlaufen erstmal zwei Switches bevor sie an der Firewall "zur Kontrolle" ankommen, daher hat für mich der Aspekt VLAN durchaus sicherheitsrelevante Aspekte :D
Vielen Dank für die Ausführungen und für meine Zwecke sind die HP Switches in Ordnung. Ich hatte damals nach einem lüfterlosen 24-Port Switch gesucht und da gab es mehr oder weniger nur den von HP.
Zum Thema kompliziert, naja wenn man etwas mal verstanden hat erscheint es im Nachhinein oft nicht mehr kompliziert. Ich hatte den guten Artikel von dir im Vorfeld schon gelesen, aber auch danach war (und ist) für mich die Frage, wenn ich auf einem Switch in dem identischen VLAN zwei Tagged Ports habe (1xSwitchverbindung und 1xPort für PC), dann kann ich als außenstehender das VLAN ja leicht umgehen indem ich mein TCP-Paket mit einem (anderen) VLAN Tag versehe, das eigentlich an diesen Port nicht "hingehört". Bei einem untagged-Port muss ich ja schon auf den Switch zugreifen können um das zu ändern.
Mir geht es darum, dass in meinem Fall PC1 ein VDSL-Modem ist und PC2 der "WAN-Anschluss" einer pfSense Firewall, der die Internetverbindung PPPoE herstellt. Das heißt alle Pakete aus dem Internet durchlaufen erstmal zwei Switches bevor sie an der Firewall "zur Kontrolle" ankommen, daher hat für mich der Aspekt VLAN durchaus sicherheitsrelevante Aspekte :D
Moin,
noch ein wenig Senf gefällig?
Genau das ist der entscheidende Punkt. Du solltest drauf achten, dass das auch so bleibt. Ich habe hier auch mit Netgear gestartet, mich dann über Dell Powerconnect vorgearbeitet und lande jetzt wahrscheinlich bei Brocade. Der Unterschied zu Dell ist schon gewaltig, vor allem, was die Konfiguration angeht, mit der GUI geht da nicht mehr viel, nur noch das nötigste. Und hinter vorgehaltener Hand hat mir ein Dell-Techniker mal gesagt, dass die GUI eher ein Pflegefall und fehlerträchtig ist. Aber die Kunden wollen das halt. Viele (hallo @aqui) werden Brocade wahrscheinlich als Möchtegern-Cisco bezeichnen, was auch zutreffen mag. Aber die vielzitierten Billigswitche bemerkt man genau dann, wenn das Netz größer wird und die Anforderungen steigen. Für meinen Teil muss ich zugeben, dass ich da wenig vorausschauend arbeite und meist nur reagiere, statt von vornherein aktiv zu werden. Oh, da hat jemand einen DHCP-Server ins Netz gehängt, machen wir mal schnell DHCP-Snooping. Oh, da hat einfach jemand eine bereits vergebene feste IP eingetragen --> DAI / IP Guard. Und je höher die Anforderungen werden, desto eher trennt sich eben auch die Spreu vom Weizen. Spätestens unter hoher Last werden sich Unterschiede zeigen.
Noch ein Beispiel: Der Dell Powerconnect 6248P hatte ewig lang einen Bug in der Firmware, was DHCP-Snooping und VLANs angeht. Neue Firmware, Bug behoben, unsere Umgebung funktioniert nicht mehr, weil ich das falsch konfiguriert hatte und es durch den Bug trotzdem funktionierte... Oder es gab mal eine Phase, wo es fast wöchentlich eine neue Firmware gab, weil immer wieder neue Bugs eingebaut wurden oder bereits behobene wieder auftauchten.
Gruß und schöne Pfingsten!
noch ein wenig Senf gefällig?
für meine Zwecke sind die HP Switches in Ordnung
Genau das ist der entscheidende Punkt. Du solltest drauf achten, dass das auch so bleibt. Ich habe hier auch mit Netgear gestartet, mich dann über Dell Powerconnect vorgearbeitet und lande jetzt wahrscheinlich bei Brocade. Der Unterschied zu Dell ist schon gewaltig, vor allem, was die Konfiguration angeht, mit der GUI geht da nicht mehr viel, nur noch das nötigste. Und hinter vorgehaltener Hand hat mir ein Dell-Techniker mal gesagt, dass die GUI eher ein Pflegefall und fehlerträchtig ist. Aber die Kunden wollen das halt. Viele (hallo @aqui
) werden Brocade wahrscheinlich als Möchtegern-Cisco bezeichnen, was auch zutreffen mag. Aber die vielzitierten Billigswitche bemerkt man genau dann, wenn das Netz größer wird und die Anforderungen steigen. Für meinen Teil muss ich zugeben, dass ich da wenig vorausschauend arbeite und meist nur reagiere, statt von vornherein aktiv zu werden. Oh, da hat jemand einen DHCP-Server ins Netz gehängt, machen wir mal schnell DHCP-Snooping. Oh, da hat einfach jemand eine bereits vergebene feste IP eingetragen --> DAI / IP Guard. Und je höher die Anforderungen werden, desto eher trennt sich eben auch die Spreu vom Weizen. Spätestens unter hoher Last werden sich Unterschiede zeigen.Noch ein Beispiel: Der Dell Powerconnect 6248P hatte ewig lang einen Bug in der Firmware, was DHCP-Snooping und VLANs angeht. Neue Firmware, Bug behoben, unsere Umgebung funktioniert nicht mehr, weil ich das falsch konfiguriert hatte und es durch den Bug trotzdem funktionierte... Oder es gab mal eine Phase, wo es fast wöchentlich eine neue Firmware gab, weil immer wieder neue Bugs eingebaut wurden oder bereits behobene wieder auftauchten.
Gruß und schöne Pfingsten!
@Coreknabe
Ich hätte auch nie bestritten, dass es mit Abstand bessere Switches gibt und wenn bei uns im Netzwerk hohe Filetransfers der Clients oder komplizierte Netzwerkstrukturen an der Tagesordnugn wären, würde ich auch sicherlich eine andere Lösung einsetzen. Zumeist sind da aber gerade mal 1-2 MB (gesamt) in der Sekunde für den Remotedesktopbetrieb im Verkehr.
Der einzige nennenswerte Verkehr erfolgt bei einem download über die VDSL Leitung aber auch da liegen ja gerade mal maximal 6,25 MB in der Sekunde an und das sollte einen Switch auch mit mäßigem Chipsatz wahrlich nicht in die Knie zwingen ;D Ansonsten finde ich die GUI des HP Switches (1810-24G v2) eigentlich recht übersichtlich, aber wie gesagt wer besseres kennt und im Netzwerkbereich tätig ist, wird dies dennoch als No-Go ansehen ;D Das kann ich durchaus nachvollziehen, geht mir in den Bereichen die ich gerne habe ebenso.
Aber mir ging es eigentlich nur darum ob ich besser auf tagged oder untagged VLANs setzen soll, da mir eben nicht klar ist ob ich bei Tagged Ports (für mehrere VLANS) ein Risiko eingehe, dass "VLAN-Faking" stattfinden kann ;) Da ich mich eben nicht so auskenne und hier fundierte Experten unterwegs sind, habe ich hier geschrieben, da ich eben diese Frage anhand des "Basisartikels" mir nicht beantworten kann. Wie gesagt eben vor dem Hintergrund, dass eben "Internetverkehr" über zwei Switches läuft bevor die Firewall das Paket analysiert.
Ich hätte auch nie bestritten, dass es mit Abstand bessere Switches gibt und wenn bei uns im Netzwerk hohe Filetransfers der Clients oder komplizierte Netzwerkstrukturen an der Tagesordnugn wären, würde ich auch sicherlich eine andere Lösung einsetzen. Zumeist sind da aber gerade mal 1-2 MB (gesamt) in der Sekunde für den Remotedesktopbetrieb im Verkehr.
Der einzige nennenswerte Verkehr erfolgt bei einem download über die VDSL Leitung aber auch da liegen ja gerade mal maximal 6,25 MB in der Sekunde an und das sollte einen Switch auch mit mäßigem Chipsatz wahrlich nicht in die Knie zwingen ;D Ansonsten finde ich die GUI des HP Switches (1810-24G v2) eigentlich recht übersichtlich, aber wie gesagt wer besseres kennt und im Netzwerkbereich tätig ist, wird dies dennoch als No-Go ansehen ;D Das kann ich durchaus nachvollziehen, geht mir in den Bereichen die ich gerne habe ebenso.
Aber mir ging es eigentlich nur darum ob ich besser auf tagged oder untagged VLANs setzen soll, da mir eben nicht klar ist ob ich bei Tagged Ports (für mehrere VLANS) ein Risiko eingehe, dass "VLAN-Faking" stattfinden kann ;) Da ich mich eben nicht so auskenne und hier fundierte Experten unterwegs sind, habe ich hier geschrieben, da ich eben diese Frage anhand des "Basisartikels" mir nicht beantworten kann. Wie gesagt eben vor dem Hintergrund, dass eben "Internetverkehr" über zwei Switches läuft bevor die Firewall das Paket analysiert.
nach einem lüfterlosen 24-Port Switch gesucht und da gab es mehr oder weniger nur den von HP.
Dann hast du nicht sauber recherchiert. Den gibt es von zig anderen Herstellern wie Extreme, Brocade etc. auch.für meine Zwecke sind die HP Switches in Ordnung.
Da hast du natürlich Recht. Für einfachste Anforderungen an ein anspruchloses, flaches Netzwerk wie deins sind sie allemal ausreichend.Allerdings haben andere Hersteller dann unter den obigen Voraussetzungen noch ein erheblich besseres Preis Leistungsverhältnis was dir vermutlich entgangen ist vor HP Blindheit...aber egal.
Was dein VLAN "Faking" anbetrifft kannst du beruhigt sein. Das ist technisch nicht möglich sofern du das tagged VLAN mit seiner ID an dem Port fest vorgibst.
Wenn du dort nur Tagging mit ID 10 erlaubst und ein ID 20 getaggtes Frame dort ankommt schmeisst der Switch das einfach weg. Da kann ein User dann Probieren bis er schwarz ist
Anders wenn du aus Faulheit, Bequemlichkeit oder Unwissenheit einen tagged Port aufsetzt der alle eingehenden Tags akzeptiert und entsprechend seiner ID forwardet. Dann wäre ein "Faking" theoretisch denkbar.
Ein Netzwerk Admin macht sowas aber nicht sondern arbeitet mit "Pruning" wie es da heisst, sprich der Vorgabe der IDs am Uplink.
Abgesehen davon und schliesst man mal aufgrund deiner doch sehr einfachen Netzwerk Anforderungen auf die Pfiffigkeit der User, ist zu doch sehr zu bezweifeln das die überhaupt wissen was VLANs und Tags sind, geschweige denn können sie das anwenden.
Sieht also so aus als ob du sehr beruhigt in die Pfingstferien gehen kannst
@aqui
Danke für die Ausführungen. An HP scheinst du ja shcon einen Narren gefressen zu haben ;D Ich war da nicht affin, da wir ansonsten keine HP-Sachen in Benutzung haben. Vor drei Jahren hatte ich eben nach einem lüfterlosen Switch gesucht und den HP kurzerhand gefunden. Aber ich verspreche bei einem Wechsel auf etwas profunderes zurückzugreifen ;D
Ich habe auch weniger Angst vor unseren Mitarbeiter(innen), sondern vielmehr von "freischaffenden" Internethackern. Das der WAN Port an der pfSense nur ein VLAN tag bekommen würde ist klar, aber auf dem Weg dahin gibt es ja noch den ersten Switch der mehrere tagged Ports hätte. Leider habe ich für die Switchverbindung nur ein Kabel und darüber müssen mehrere Tags laufen, ansonsten hätte ich natürlich eine eigenständige Verbindung nur für das WAN mit eigenem VLAN eingerichtet. Aber ich glaube das Risiko ist dennoch äußerst gering und ich werde einfach bei der untagged-Variante bleiben, dann habe ich ein besseres Bauchgefühl, das das schon nicht passieren kann.
Also, herzlichen Dank an alle und schöne Pfingsten trotz Eisheiliger!
Danke für die Ausführungen. An HP scheinst du ja shcon einen Narren gefressen zu haben ;D Ich war da nicht affin, da wir ansonsten keine HP-Sachen in Benutzung haben. Vor drei Jahren hatte ich eben nach einem lüfterlosen Switch gesucht und den HP kurzerhand gefunden. Aber ich verspreche bei einem Wechsel auf etwas profunderes zurückzugreifen ;D
Ich habe auch weniger Angst vor unseren Mitarbeiter(innen), sondern vielmehr von "freischaffenden" Internethackern. Das der WAN Port an der pfSense nur ein VLAN tag bekommen würde ist klar, aber auf dem Weg dahin gibt es ja noch den ersten Switch der mehrere tagged Ports hätte. Leider habe ich für die Switchverbindung nur ein Kabel und darüber müssen mehrere Tags laufen, ansonsten hätte ich natürlich eine eigenständige Verbindung nur für das WAN mit eigenem VLAN eingerichtet. Aber ich glaube das Risiko ist dennoch äußerst gering und ich werde einfach bei der untagged-Variante bleiben, dann habe ich ein besseres Bauchgefühl, das das schon nicht passieren kann.
Also, herzlichen Dank an alle und schöne Pfingsten trotz Eisheiliger!
An HP scheinst du ja shcon einen Narren gefressen zu haben
Ja, wenn man damit megrfach auf den Bauch gefallen ist passiert das mal... Das Risiko ist in der Tat gering, denn deine Tagged Links sind ja immer Point to Point Links zw. den Switches. Die müsste dann schon jemand trennen was sofort auffallen würde.
Endgeräte setzt man so oder so niemals auf tagged Links. Welchen Sinn sollte das haben ?
Hier weist du ja immer untagged ein festes VLAN zu und da ist man dann chancenlos an solchen Ports in andere VLANs zu kommen.
Wenn du ganz sicher gehen willst machst du immer eine dynmaische Port und VLAN Zuweisung nach 802.1x via Radius.
Das wäre dann vollständig wasserdicht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Aber wie gesagt....für dein sehr einfaches Netz ist es fraglich ob der Aufwand Sinn macht.
Und wenn, dann kannst nur du das als Admin entscheiden
Pfrohe Pfingsten !
