6
VLAN - Tagged Port nötig bei einem VLAN?
Hallo ihrs,
ich weiß, dass es schon diverse VLAN Threads gibt und auch zig Tutorials, zum Verständnis nur ein paar Fragen an die Experten
.
Ich habe hier einen VLAN fähigen Switch, mit dem ich mich in VLANs einarbeite. An einem Port (z.bsp 2) will ich ein Telefon und einen PC betreiben. Das Telefon "versteht" VLAN und bekommt quasi VLAN 10 selber zugwiesen. Der PC dagegen versteht keine VLAN-Tags und soll daher nicht taggen.
1.)Wenn ich auf dem Port 2 nur das Vlan-fähige Endtelefon hätte, müsste ich gar keine Porteinstellungen machen, richtig? Das Telefon taggt seine ausgehenden Pakete von alleine und der Switch leitet eingehende Pakete per MAC-Adresse (egal ob getaggt oder nicht) an diesen Port. Stimmt das?
2.)Würde der "dumme" PC am Port 2 hängen, hängt es davon ab, ob er zu einem bestimmten VLAN gehören soll. Wenn nicht, dann müssen keine Einstellungen getätigt werden. Soll er aber z.bsp in ein bestimmtes VLAN XY, muss ich den Port auf "untagged" setzen. Eingehende VLAN XY Pakete werden dann vom Tag befreit und ausgehende bekommen das Vlan-Tag. Damit kann der PC erstmal selber nur noch mit dem VLAN kommunizieren.
3.)Tja, nun beide Endgeräte.....das taggende Telefon und der "dumme" PC. Mein Verständnis sagt mir, dass ich hier auch eigentlich nix konfigurieren muss. Kommen Vlan-Pakete fürs Telefon am Port 2 an, wird das Telefon sie annehmen und selber enttaggen (weil es das kann). Kommen normale Pakete für den PC, werden sie an Port 2 weitergeleitet und er kann sie lesen.
Wollen dagegen der PC und das Telefon in unterschiedlichen VLANs sein, müsste ich den Port tagged für ein Vlan setzen und untagged für den PC-Verkehr. Dann muss ich aber explizit den Port auf eine Vlan-ID setzen, damit der Switch weiß, ob er ankommenden Verkehr untaggen soll oder nicht. Scheint eine Mischform zu sein.
Alles soweit ok? Nicht so einfach das Ganze...vor allem wann ein Port "tagged" sein muss und nicht :/
Viele Grüße gutitm
ich weiß, dass es schon diverse VLAN Threads gibt und auch zig Tutorials, zum Verständnis nur ein paar Fragen an die Experten
.Ich habe hier einen VLAN fähigen Switch, mit dem ich mich in VLANs einarbeite. An einem Port (z.bsp 2) will ich ein Telefon und einen PC betreiben. Das Telefon "versteht" VLAN und bekommt quasi VLAN 10 selber zugwiesen. Der PC dagegen versteht keine VLAN-Tags und soll daher nicht taggen.
1.)Wenn ich auf dem Port 2 nur das Vlan-fähige Endtelefon hätte, müsste ich gar keine Porteinstellungen machen, richtig? Das Telefon taggt seine ausgehenden Pakete von alleine und der Switch leitet eingehende Pakete per MAC-Adresse (egal ob getaggt oder nicht) an diesen Port. Stimmt das?
2.)Würde der "dumme" PC am Port 2 hängen, hängt es davon ab, ob er zu einem bestimmten VLAN gehören soll. Wenn nicht, dann müssen keine Einstellungen getätigt werden. Soll er aber z.bsp in ein bestimmtes VLAN XY, muss ich den Port auf "untagged" setzen. Eingehende VLAN XY Pakete werden dann vom Tag befreit und ausgehende bekommen das Vlan-Tag. Damit kann der PC erstmal selber nur noch mit dem VLAN kommunizieren.
3.)Tja, nun beide Endgeräte.....das taggende Telefon und der "dumme" PC. Mein Verständnis sagt mir, dass ich hier auch eigentlich nix konfigurieren muss. Kommen Vlan-Pakete fürs Telefon am Port 2 an, wird das Telefon sie annehmen und selber enttaggen (weil es das kann). Kommen normale Pakete für den PC, werden sie an Port 2 weitergeleitet und er kann sie lesen.
Wollen dagegen der PC und das Telefon in unterschiedlichen VLANs sein, müsste ich den Port tagged für ein Vlan setzen und untagged für den PC-Verkehr. Dann muss ich aber explizit den Port auf eine Vlan-ID setzen, damit der Switch weiß, ob er ankommenden Verkehr untaggen soll oder nicht. Scheint eine Mischform zu sein.
Alles soweit ok? Nicht so einfach das Ganze...vor allem wann ein Port "tagged" sein muss und nicht :/
Viele Grüße gutitm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 155993
Url: https://administrator.de/contentid/155993
Printed on: April 24, 2024 at 16:04 o'clock
6 Comments
Latest comment
1)
Nein, das stimmt nicht.
Aus Sicherheitsgründen verwirft ein Switch jedes getaggte Paket, wenn das VLAN nicht auch diesem Port als tagged zugeordnet ist.
2)
Ja
3)
Das untagged VLAN gilt für den PC und das tagged VLAN für das Telefon.
Nein, das stimmt nicht.
Aus Sicherheitsgründen verwirft ein Switch jedes getaggte Paket, wenn das VLAN nicht auch diesem Port als tagged zugeordnet ist.
2)
Ja
3)
Das untagged VLAN gilt für den PC und das tagged VLAN für das Telefon.
Kleine Korrektur zu Antwort 2:
Das stimmt so nicht ! Der Switch entfernt nicht aktiv Tags !
Alle Ports die nicht anderen VLANs per Switch Konfig zugewiesen sind befinden sich immer untagegd im Default VLAN. In der regel ist das das VLAN 1 !
Wenn der Port z.B. ins VLAN 10 soll dann musst du ihn untagged ins VLAN 10 konfigurieren !
Ein und ausgehender Traffic wird dann untagged ins VLAN 10 geforwardet und muss auch untagged am Switchport ankommen !
Soll der Traffic tagged sein setzt du den Port ins VLAN 10 tagged. Der Switch wird dann allen ausgehenden Paketen die Tad ID 10 ans Paket hängen und erwartet dann auch tagged Traffic an diesem Port. Wenn er Pakete mit einer Tag ID z.B. 20 bekommt die NICHT in seiner Konfig am Port eingetragen ist verwirft er diese Paket. Tagged Pakete mit der ID 10 forwardet er ins VLAN 10.
Der IEEE 802.1q Standard erlaubt auch untagged Traffic an tagged Ports die dann per Default immer ins default VLAN 1 geforwardet werden.
Da halten sich aber nicht alle Switch Hersteller dran. Oft erfordert das dann ein extra Kommando um diesen untagged Traffic entsprechend zu behandeln !
Antwort 3 ist auch falsch. Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN bedienen. Um PC und Telefon zu betreiben muss das telefon z.B. tagged an den tagged Port 2 ind VLAN 10 und der PC dann an einen untagged Port z.B. 3 in VLAN 10 !
So wird ein Schuh draus !!
Telefone sind oft per default tagged, das müssen sie auch da sie per Default eine QoS Prioritäten Steuerung aktiv haben nach IEEE 802.1p.
Klar, den Voice Traffic MUSS immer Vorrang haben in einem Switch, damit es nicht zu Aussetzern kommt.
802.1p ist aber immer ein Teil von 802.1q Tagging:
http://de.wikipedia.org/wiki/IEEE_802.1p
bzw.
http://de.wikipedia.org/wiki/IEEE_802.1q
Aus diesem Grunde ist Voice (VoIP) Traffic oft per se tagged an Telefonen !
Viele Telefone haben aber oft einen kleinen 1 oder 2 Port Switch eingebaut an dem man an der Rückseite oder Boden PCs anschliessen kann um so Anschlüsse zu sparen.
Dann sendet an einem Draht das Telefon z.B. tagged Traffic an den Port und der PC am Telefon über den gleichen Draht untagged Traffic.
Billige Switches forwarden dann untagged Traffic an einem tagged Port gemäß 802.1q Standard immer ins Default VLAN.
Bei besseren Switches ist das konfigurierbar und man kann dem Switch dann sagen er soll es auch in ein anderes spezifisches VLAN forwarden.
Das ist aber letztlich von deiner Switch Hardware abhängig zu der du uns ja leider keinerlei Angaben machst damit wir ggf. für dich mal das Handbuch lesen könnten
Weitere Infos zu VLANs findest du hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN einrichten - Mehrere Betriebe und Router FSM7352
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
Das stimmt so nicht ! Der Switch entfernt nicht aktiv Tags !
Alle Ports die nicht anderen VLANs per Switch Konfig zugewiesen sind befinden sich immer untagegd im Default VLAN. In der regel ist das das VLAN 1 !
Wenn der Port z.B. ins VLAN 10 soll dann musst du ihn untagged ins VLAN 10 konfigurieren !
Ein und ausgehender Traffic wird dann untagged ins VLAN 10 geforwardet und muss auch untagged am Switchport ankommen !
Soll der Traffic tagged sein setzt du den Port ins VLAN 10 tagged. Der Switch wird dann allen ausgehenden Paketen die Tad ID 10 ans Paket hängen und erwartet dann auch tagged Traffic an diesem Port. Wenn er Pakete mit einer Tag ID z.B. 20 bekommt die NICHT in seiner Konfig am Port eingetragen ist verwirft er diese Paket. Tagged Pakete mit der ID 10 forwardet er ins VLAN 10.
Der IEEE 802.1q Standard erlaubt auch untagged Traffic an tagged Ports die dann per Default immer ins default VLAN 1 geforwardet werden.
Da halten sich aber nicht alle Switch Hersteller dran. Oft erfordert das dann ein extra Kommando um diesen untagged Traffic entsprechend zu behandeln !
Antwort 3 ist auch falsch. Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN bedienen. Um PC und Telefon zu betreiben muss das telefon z.B. tagged an den tagged Port 2 ind VLAN 10 und der PC dann an einen untagged Port z.B. 3 in VLAN 10 !
So wird ein Schuh draus !!
Telefone sind oft per default tagged, das müssen sie auch da sie per Default eine QoS Prioritäten Steuerung aktiv haben nach IEEE 802.1p.
Klar, den Voice Traffic MUSS immer Vorrang haben in einem Switch, damit es nicht zu Aussetzern kommt.
802.1p ist aber immer ein Teil von 802.1q Tagging:
http://de.wikipedia.org/wiki/IEEE_802.1p
bzw.
http://de.wikipedia.org/wiki/IEEE_802.1q
Aus diesem Grunde ist Voice (VoIP) Traffic oft per se tagged an Telefonen !
Viele Telefone haben aber oft einen kleinen 1 oder 2 Port Switch eingebaut an dem man an der Rückseite oder Boden PCs anschliessen kann um so Anschlüsse zu sparen.
Dann sendet an einem Draht das Telefon z.B. tagged Traffic an den Port und der PC am Telefon über den gleichen Draht untagged Traffic.
Billige Switches forwarden dann untagged Traffic an einem tagged Port gemäß 802.1q Standard immer ins Default VLAN.
Bei besseren Switches ist das konfigurierbar und man kann dem Switch dann sagen er soll es auch in ein anderes spezifisches VLAN forwarden.
Das ist aber letztlich von deiner Switch Hardware abhängig zu der du uns ja leider keinerlei Angaben machst damit wir ggf. für dich mal das Handbuch lesen könnten
Weitere Infos zu VLANs findest du hier:
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN einrichten - Mehrere Betriebe und Router FSM7352
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
Hallo,
danke für die rasche Antwort und die Links. Habe hier selber einen HP 2600 ProCurve, da ich im Rahmen einer Studienarbeit auch LLDP-Med testen will. Ich würde auch gerne ein paar Kommentare zum Verständnis schreiben
Ok, das kann ich im Menu nachvollziehen.
Deine Aussage würde heißen, das der Switch nicht selber taggt? Aber wenn der Port „untagged“ ist und zu einem speziellen VLAN gehören soll, muss er doch untagged Pakete die am Port vom Endgerät ankommen mit einer VLAN-ID versehen?
Auch hier eine kurze Nachfrage, hm. Wieso hängt er ausgehenden Paketen das Tag 10 an, wenn am Port schon ein „vlan aware“ Endgerät hängt bzw. Mein Telefon schon selber abgehende Pakete selber auf Vlan 10 setzt? Ausgehend auch hier wieder vom Endgerät zum Switch und weiter?
Mein HP Switch macht aber genau das. Ich habe Port 2 auf Vlan 10 tagged gesetzt und Port 2 auf Untagged Default VLAN. Ist das nicht dieser „Mixed Mode“? Es muss ja der PC und das Telefon erreichbar bleiben. Hier die Config am Switch, die er auch akzeptiert?
Grüße gutit
danke für die rasche Antwort und die Links. Habe hier selber einen HP 2600 ProCurve, da ich im Rahmen einer Studienarbeit auch LLDP-Med testen will. Ich würde auch gerne ein paar Kommentare zum Verständnis schreiben
Das stimmt so nicht ! Der Switch entfernt nicht aktiv Tags !
Alle Ports die nicht anderen VLANs per Switch Konfig zugewiesen sind befinden sich immer untagegd im >Default VLAN. In der regel ist das das VLAN 1 !
Alle Ports die nicht anderen VLANs per Switch Konfig zugewiesen sind befinden sich immer untagegd im >Default VLAN. In der regel ist das das VLAN 1 !
Ok, das kann ich im Menu nachvollziehen.
Wenn der Port z.B. ins VLAN 10 soll dann musst du ihn untagged ins VLAN 10 konfigurieren !
Ein und ausgehender Traffic wird dann untagged ins VLAN 10 geforwardet und muss auch untagged am
Switchport ankommen !
Ein und ausgehender Traffic wird dann untagged ins VLAN 10 geforwardet und muss auch untagged am
Switchport ankommen !
Deine Aussage würde heißen, das der Switch nicht selber taggt? Aber wenn der Port „untagged“ ist und zu einem speziellen VLAN gehören soll, muss er doch untagged Pakete die am Port vom Endgerät ankommen mit einer VLAN-ID versehen?
Soll der Traffic tagged sein setzt du den Port ins VLAN 10 tagged. Der Switch wird dann allen ausgehenden
Paketen die Tad ID 10 ans Paket hängen und erwartet dann auch tagged Traffic an diesem Port.
Paketen die Tad ID 10 ans Paket hängen und erwartet dann auch tagged Traffic an diesem Port.
Auch hier eine kurze Nachfrage, hm. Wieso hängt er ausgehenden Paketen das Tag 10 an, wenn am Port schon ein „vlan aware“ Endgerät hängt bzw. Mein Telefon schon selber abgehende Pakete selber auf Vlan 10 setzt? Ausgehend auch hier wieder vom Endgerät zum Switch und weiter?
Antwort 3 ist auch falsch. Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN
bedienen. Um PC und Telefon zu betreiben muss das telefon z.B. tagged an den tagged Port 2 ind VLAN 10 >und der PC dann an einen untagged Port z.B. 3 in VLAN 10 !
So wird ein Schuh draus !!
bedienen. Um PC und Telefon zu betreiben muss das telefon z.B. tagged an den tagged Port 2 ind VLAN 10 >und der PC dann an einen untagged Port z.B. 3 in VLAN 10 !
So wird ein Schuh draus !!
Mein HP Switch macht aber genau das. Ich habe Port 2 auf Vlan 10 tagged gesetzt und Port 2 auf Untagged Default VLAN. Ist das nicht dieser „Mixed Mode“? Es muss ja der PC und das Telefon erreichbar bleiben. Hier die Config am Switch, die er auch akzeptiert?
ProCurve Switch 2600-8-PWR# show config
Startup configuration:
; J8762A Configuration Editor; Created on release #H.10.31
hostname "ProCurve Switch 2600-8-PWR"
mirror-port 1
interface 5
no lacp
exit
ip default-gateway 192.168.0.1
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-9
ip address 192.168.0.10 255.255.255.0
exit
vlan 10
name "voice1"
tagged 2
voice
exit
vlan 20
name "voice2"
tagged 3
voice
exit
interface 2-4
monitor
exit
lldp enable-notification 8
port-security 5 learn-mode port-access
ProCurve Switch 2600-8-PWR#
Grüße gutit
Vorsicht da hast du was missverstanden:
"Deine Aussage würde heißen, das der Switch nicht selber taggt? " Falsch, denn oben wurde explizit gesagt: Wenn der Port tagged in VLAN 10 konfiguriert ist dann tagged der Switch natürlich ausgehenden Traffic aus dem VLAN 10...keine Frage. Analog erwartet er eingehenden Traffic auch mit dem VLAN 10 Tag ! Oder allen anderen Tags für die der Post tagged konfiguriert ist. Pakete mit fremden VLAN Tags dropped der Switch !!
"Wieso hängt er ausgehenden Paketen das Tag 10 an" Wenn du den Port NICHT tagged setzt wird der Switch niemals ein VLAN Tag anhängen ! Er "versteht" dann lediglich untagged Traffic. Erst das explizite Tagging am Port tagged Pakete ausgehend oder kann mit eingehenden Tags umgehen.
Fehlt das Tagging am Port in der Switchkonfig dann versteht der Switch am Port ausschliesslich untagged Pakete.
Pakete von Endgeräten mit Tags werden gedropped bzw. ignoriert, das das Frameformat nicht stimmt ! Tagging verändert das Frameformat !!
„vlan aware“ Endgerät bedeutet erstmal gar nix, denn einzig relevant ist ob es Pakete mit oder ohne Tags sendet und ob der Switchport damit umgehen kann !!
Wenn deine Telefon also Pakete mit einem VLAN 10 Tag sendet MUSS auch der Switchport tagged in VLAN 10 konfiguriert sein, sonst versteht der Switchport keine tagged Pakete von einem Endgerät !
"..Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN" !!
"Mein HP Switch macht aber genau das..." FALSCH !!
Sieh dir bitte mal deine Konfig genau an !!!
vlan 1
name "DEFAULT_VLAN"
untagged 1-9 -->> Hier ist dein Port 2 untagged drin !!!
vlan 10
name "voice1"
tagged 2 -->> Hier ist dein Port 2 tagged drin !!!
Fazit: Deine Aussage von oben ist falsch !!
Untagged Traffic forwardet dein Switch in VLAN 1 (Default VLAN !) und tagged Traffic vom Telefon forwardet er in VLAN 10 !!
Der Port ist also NICHT mit beiden Traffic Arten in ein und demselben VLAN 10 !
"Deine Aussage würde heißen, das der Switch nicht selber taggt? " Falsch, denn oben wurde explizit gesagt: Wenn der Port tagged in VLAN 10 konfiguriert ist dann tagged der Switch natürlich ausgehenden Traffic aus dem VLAN 10...keine Frage. Analog erwartet er eingehenden Traffic auch mit dem VLAN 10 Tag ! Oder allen anderen Tags für die der Post tagged konfiguriert ist. Pakete mit fremden VLAN Tags dropped der Switch !!
"Wieso hängt er ausgehenden Paketen das Tag 10 an" Wenn du den Port NICHT tagged setzt wird der Switch niemals ein VLAN Tag anhängen ! Er "versteht" dann lediglich untagged Traffic. Erst das explizite Tagging am Port tagged Pakete ausgehend oder kann mit eingehenden Tags umgehen.
Fehlt das Tagging am Port in der Switchkonfig dann versteht der Switch am Port ausschliesslich untagged Pakete.
Pakete von Endgeräten mit Tags werden gedropped bzw. ignoriert, das das Frameformat nicht stimmt ! Tagging verändert das Frameformat !!
„vlan aware“ Endgerät bedeutet erstmal gar nix, denn einzig relevant ist ob es Pakete mit oder ohne Tags sendet und ob der Switchport damit umgehen kann !!
Wenn deine Telefon also Pakete mit einem VLAN 10 Tag sendet MUSS auch der Switchport tagged in VLAN 10 konfiguriert sein, sonst versteht der Switchport keine tagged Pakete von einem Endgerät !
"..Ein und derselbe Port können niemals tagged und untagged Traffic im gleichen VLAN" !!
"Mein HP Switch macht aber genau das..." FALSCH !!
Sieh dir bitte mal deine Konfig genau an !!!
vlan 1
name "DEFAULT_VLAN"
untagged 1-9 -->> Hier ist dein Port 2 untagged drin !!!
vlan 10
name "voice1"
tagged 2 -->> Hier ist dein Port 2 tagged drin !!!
Fazit: Deine Aussage von oben ist falsch !!
Untagged Traffic forwardet dein Switch in VLAN 1 (Default VLAN !) und tagged Traffic vom Telefon forwardet er in VLAN 10 !!
Der Port ist also NICHT mit beiden Traffic Arten in ein und demselben VLAN 10 !
uff, das muss ich erstmal setzen, vielen Dank für die genaue Beschreibung. Ich glaube ich habe es soweit verstanden.
Das verwirrende ist sicherlich, das "default vlan" 1 eigentlich gar kein vlan ist. Ich fasse es mal in einfache Worte für mich. Der Switch ist eigentlich recht doof und diese 802.1Q-Bytes zusätzlich kapiert er einfach erstmal nicht. Daher muss ich es ihm erklären.
Tagged:
Ich sage dem Switch Port, dass er sich nicht wundern soll, wenn die ankommenden Pakete 4 Bytes größer ist. Er soll bitte in das Paket reinschauen und wenn es für das konfigurierte VLAN XY ist, dann soll er es an alle Endgeräte an diesem tagged port weiterleiten. Pakete dagegen vom Endgerät zum Port "KÖNNEN" schon getaggt sein oder auch nicht. In jedem Fall haben sie nach dem Verlassen des Ports ein VLAN-Tag X.
Würde ich dagegen einen Port mit zwei VLAN-ID taggen, müsste rausgehender Verkehr zwingend schon getaggt sein, da er ansonsten nicht weiß zu welchem VLAN er gehört.
Untaged auf default VLAN 1:
Alles bleibt beim Alten. Der Switch bekommt normale Pakete und leitet diese weiter. Er versendet auch normale Pakete. VLAN 1 = kein VLAN
Hm, soweit habe ich alles verstanden...nun der "Sonnderfall" ... untagged traffic nicht auf dem VLAN 1. Leider bist du auf diesen nicht eingegangen.
Am HP ist z.bsp. ein Port auf "untagged 105" gesetzt und der Port gehört damit zum VLAN 105. Ok, in diesem Fall kommen vom Endgerät ungetaggte Pakete an und es werden auch immer ungetaggt Pakete zum Endgerät verschickt. Trotzdem gehört der Port zu einem definierten VLAN Z und muss damit taggen nach draußen bzw. zum Endgerät untaggen.
Oder besser gefragt:
- Was passiert wenn ich einen Port 3 "tagged 10" habe und einen Port 4 "untagged 10"? Die müssten sich doch Daten austauschen können?
Hoffe das Post hilft dann auch noch anderen
Das verwirrende ist sicherlich, das "default vlan" 1 eigentlich gar kein vlan ist. Ich fasse es mal in einfache Worte für mich. Der Switch ist eigentlich recht doof und diese 802.1Q-Bytes zusätzlich kapiert er einfach erstmal nicht. Daher muss ich es ihm erklären.
Tagged:
Ich sage dem Switch Port, dass er sich nicht wundern soll, wenn die ankommenden Pakete 4 Bytes größer ist. Er soll bitte in das Paket reinschauen und wenn es für das konfigurierte VLAN XY ist, dann soll er es an alle Endgeräte an diesem tagged port weiterleiten. Pakete dagegen vom Endgerät zum Port "KÖNNEN" schon getaggt sein oder auch nicht. In jedem Fall haben sie nach dem Verlassen des Ports ein VLAN-Tag X.
Würde ich dagegen einen Port mit zwei VLAN-ID taggen, müsste rausgehender Verkehr zwingend schon getaggt sein, da er ansonsten nicht weiß zu welchem VLAN er gehört.
Untaged auf default VLAN 1:
Alles bleibt beim Alten. Der Switch bekommt normale Pakete und leitet diese weiter. Er versendet auch normale Pakete. VLAN 1 = kein VLAN
Hm, soweit habe ich alles verstanden...nun der "Sonnderfall" ... untagged traffic nicht auf dem VLAN 1. Leider bist du auf diesen nicht eingegangen.
Am HP ist z.bsp. ein Port auf "untagged 105" gesetzt und der Port gehört damit zum VLAN 105. Ok, in diesem Fall kommen vom Endgerät ungetaggte Pakete an und es werden auch immer ungetaggt Pakete zum Endgerät verschickt. Trotzdem gehört der Port zu einem definierten VLAN Z und muss damit taggen nach draußen bzw. zum Endgerät untaggen.
Oder besser gefragt:
- Was passiert wenn ich einen Port 3 "tagged 10" habe und einen Port 4 "untagged 10"? Die müssten sich doch Daten austauschen können?
Hoffe das Post hilft dann auch noch anderen
Deine Schlussfolgerungen haben noch ein paar "Kinken"...:
"...Ich sage dem Switch Port, dass er sich nicht wundern soll...."
A.: Generell ist das so (fast) richtig. Wichtig und relevant ist immer ob der Port tagged oder untagged in dem VLAN liegt. Liegt er tagged drin, dann akzeptiert der Switch eingehende Pakete mit Tag aber auch nur genau für die VLANs für die dieser Port tagged konfiguriert ist. Kommen andere Tags dort an schmeisst der Switch diese Pakete weg.
Die tagged Pakete werden dann entsprechend in die VLANs geforwardet und zwar an alle Ports des VLANs egal ob diese tagged oder untagged sind. OK das gilt für Broadcast Pakete. Session basierender Traffic wird anhand der Mac Adresse im VLAN geforwardet. Der Switch führt eine Mac Forwarding Database in der pro VLAN steht an welchem Port welche Mac Adresse zu finden ist. Entsprechend forwardet es der Switch !
Ob Pakete vom Endgerät getagged sind oder nicht ist eine Frage des Netzwerkkarten treibers ob der überhaupt Tagging supportet. In der Regel sind Pakete von Endgeräten immer untagged !
Ausnahme: VoIP Telefone ! Diese haben in der Regel durch Priorisierung ein gesetztes ToS Feld nach 802.1p. 802.1p ist aber immer Teil von 802.1q Tagging. Also keine gesteztes ToS Feld ohne VLAN Tag. Deshalb ist Voice Traffic in der Regel tagged. Das hängt aber letztlich sehr stark vom Hersteller der Telefone ab und ist keine Regel ! Leider....
"Würde ich dagegen einen Port mit zwei VLAN-ID taggen..."
A.: Ja genau richtig, dann forwardet der Switch allen Traffic aus diesen beiden VLANs mit einem entsprechenden VLAN Tag. Du hast also gewissermaßen den Traffic hier vom VLAN A und B zusammen ! Der empfangene Switch kann die Pakete dann anhand seiner VLAN Tags wieder sauber den VLANs zuordnen !!
VLAN 1 ist schon ein VLAN ! Es ist ja ebenfalls getrennt von allen anderen VLANs und erfüllt damit formal die Kriterien eines "richtigen" VLANs. Es liegt nur bei vielen Switchherstellern immer native (also untagged) an allen tagged Ports mit an. Wie gesagt das ist Switch hersteller spezifisch und kann bei unterschiedlichen herstellern abweichen. Der 802.1q Standard regelt das aber genau so !
In dem Sinne ist VLAN-1 schon ein richtiges VLAN !
Sonderfall "Untagged Traffic nicht auf VLAN 1"
A.: Du weist in der Switchkonfig einem untagged Port immer fest einem VLAN zu ! (Sog. "Port based VLANs" !) damit ist dieser Port dann immer fest in diesem VLAN. Untagged Traffic an diesem Port wird also immer nur einzig in diesem VLAN geforwardet und kann nicht in andere VLANs kommen (Layer 2 Sicht). Das ist ja auch der Sinn, denn man will bei VLANs ja gerade den Traffic trennen !!
Dein Beispiel mit dem VLAN 105 beschreibt das genau richtig !
Das VLAN 105 ist also eine Wolke aus dem tagged und untagged Ports rauskommen. Pakete aus dem VLAN 105 werden dann auf tagged Ports mit einem VLAN Tag 105 rausgesendet auf untagged Ports eben ohne. Auf den untagged kommt aber nur VLAN 105 Traffic an...logisch !
Eigentlich ganz einfach und simpel....
"Was passiert wenn ich einen Port 3 "tagged 10" habe und einen Port 4 "untagged 10"? Die müssten sich doch Daten austauschen können?"
A.: Ja, na klar können die Daten austauschen aber nur wenn du am Port 3 auch ein Endgerät hast was tagged Pakete verschicken kann wie z.B. einen Server mit einer Intel NIC wie HIER beschrieben. Dann kann der problemlos darüber kommunizieren. Ein Ping beweist dir das sofort.
Schliesst du allerdings an Port 3 ein Endgerät an was untagged Pakete versendet schmeisst der Switch diese Pakete weg oder forwarded untagged traffic per default in das Default VLAN 1 in dem der VLAN 10 Client von Port 4 natürlich nicht ist !.
Damit kannst du dann nicht mehr kommunizieren zwischen Port 3 und Port 4...logisch !
Es ist also nicht trivial wo tagged und untagged eingestellt ist !
Es wird sicher anderen helfen, den VLAN Mechanismen sind vielen (leider) unbekannt, können aber viele Aufgaben lösen die hier im Forum gefragt sind !
"...Ich sage dem Switch Port, dass er sich nicht wundern soll...."
A.: Generell ist das so (fast) richtig. Wichtig und relevant ist immer ob der Port tagged oder untagged in dem VLAN liegt. Liegt er tagged drin, dann akzeptiert der Switch eingehende Pakete mit Tag aber auch nur genau für die VLANs für die dieser Port tagged konfiguriert ist. Kommen andere Tags dort an schmeisst der Switch diese Pakete weg.
Die tagged Pakete werden dann entsprechend in die VLANs geforwardet und zwar an alle Ports des VLANs egal ob diese tagged oder untagged sind. OK das gilt für Broadcast Pakete. Session basierender Traffic wird anhand der Mac Adresse im VLAN geforwardet. Der Switch führt eine Mac Forwarding Database in der pro VLAN steht an welchem Port welche Mac Adresse zu finden ist. Entsprechend forwardet es der Switch !
Ob Pakete vom Endgerät getagged sind oder nicht ist eine Frage des Netzwerkkarten treibers ob der überhaupt Tagging supportet. In der Regel sind Pakete von Endgeräten immer untagged !
Ausnahme: VoIP Telefone ! Diese haben in der Regel durch Priorisierung ein gesetztes ToS Feld nach 802.1p. 802.1p ist aber immer Teil von 802.1q Tagging. Also keine gesteztes ToS Feld ohne VLAN Tag. Deshalb ist Voice Traffic in der Regel tagged. Das hängt aber letztlich sehr stark vom Hersteller der Telefone ab und ist keine Regel ! Leider....
"Würde ich dagegen einen Port mit zwei VLAN-ID taggen..."
A.: Ja genau richtig, dann forwardet der Switch allen Traffic aus diesen beiden VLANs mit einem entsprechenden VLAN Tag. Du hast also gewissermaßen den Traffic hier vom VLAN A und B zusammen ! Der empfangene Switch kann die Pakete dann anhand seiner VLAN Tags wieder sauber den VLANs zuordnen !!
VLAN 1 ist schon ein VLAN ! Es ist ja ebenfalls getrennt von allen anderen VLANs und erfüllt damit formal die Kriterien eines "richtigen" VLANs. Es liegt nur bei vielen Switchherstellern immer native (also untagged) an allen tagged Ports mit an. Wie gesagt das ist Switch hersteller spezifisch und kann bei unterschiedlichen herstellern abweichen. Der 802.1q Standard regelt das aber genau so !
In dem Sinne ist VLAN-1 schon ein richtiges VLAN !
Sonderfall "Untagged Traffic nicht auf VLAN 1"
A.: Du weist in der Switchkonfig einem untagged Port immer fest einem VLAN zu ! (Sog. "Port based VLANs" !) damit ist dieser Port dann immer fest in diesem VLAN. Untagged Traffic an diesem Port wird also immer nur einzig in diesem VLAN geforwardet und kann nicht in andere VLANs kommen (Layer 2 Sicht). Das ist ja auch der Sinn, denn man will bei VLANs ja gerade den Traffic trennen !!
Dein Beispiel mit dem VLAN 105 beschreibt das genau richtig !
Das VLAN 105 ist also eine Wolke aus dem tagged und untagged Ports rauskommen. Pakete aus dem VLAN 105 werden dann auf tagged Ports mit einem VLAN Tag 105 rausgesendet auf untagged Ports eben ohne. Auf den untagged kommt aber nur VLAN 105 Traffic an...logisch !
Eigentlich ganz einfach und simpel....
"Was passiert wenn ich einen Port 3 "tagged 10" habe und einen Port 4 "untagged 10"? Die müssten sich doch Daten austauschen können?"
A.: Ja, na klar können die Daten austauschen aber nur wenn du am Port 3 auch ein Endgerät hast was tagged Pakete verschicken kann wie z.B. einen Server mit einer Intel NIC wie HIER beschrieben. Dann kann der problemlos darüber kommunizieren. Ein Ping beweist dir das sofort.
Schliesst du allerdings an Port 3 ein Endgerät an was untagged Pakete versendet schmeisst der Switch diese Pakete weg oder forwarded untagged traffic per default in das Default VLAN 1 in dem der VLAN 10 Client von Port 4 natürlich nicht ist !.
Damit kannst du dann nicht mehr kommunizieren zwischen Port 3 und Port 4...logisch !
Es ist also nicht trivial wo tagged und untagged eingestellt ist !
Es wird sicher anderen helfen, den VLAN Mechanismen sind vielen (leider) unbekannt, können aber viele Aufgaben lösen die hier im Forum gefragt sind !
