Tagged und untagged Vlans for dummies?

[Chibi88]

Guten Morgen,
kann mir ein Profi von euch bitte einfach und für Idioten erklären, wann man untagged und wann man tagged VLANs verwendet? Ich verstehe das immer noch nicht ganz.

Ich habe mich ein bisschen dazu eingelesen und hier meine Gedanken dazu:

Tagged VLAN: diese option nutze ich, wenn ich einen Switch mit einem anderen Switch verbinden möchte. So kann ein Switch mit dem anderen kommunizieren. Dafür wird in diesem Fall ein tagged VLAN bzw Trunk genutzt. Im Ethernet Header wird eine Option mit dem VLAN Tag für den anderen Switch eingefügt. Diese Option nutze ich auch, wenn ich einen Server an den Port anschließe, damit die anderen VLANs mit dem Server sprechen können.

Untagged VLAN oder auch Access Port VLAN: diese Option nutze ich, wenn ich Hosts (Compuer bzw Clients) an diesen Port anschließen will. Diese devices können dann innerhalb des VLANs kommunizieren. Falls die Kommunikation über mehrere Switche läuft, nehme ich einen weiteren freien Port für den Trunk und lasse das VLAN darüber Routen.

Ist das soweit richtig? Ich weiß nicht, ob ich mir das richtig angelesen habe.

Grüße

 

[conf_t]

Viel zu kompliziert und dabei weit weg von der Realität.

Erst das VLAN Id Tag macht ein Paket zu einem VLAN zugehörig. Brauchst du, wenn du mehrmals 1 VLAN übertragen willst.

Untagged VLAN: alle VLAN Informationen wurden entfernt, sieht für die Nachbarn aus wie ein Dumb-Switch. Man spricht auch von Native VLAN. Davon kann man immer nur eins haben, da nur eines eindeutig einem VLAN ohne VLAN-Tag zugeordnet werden kann.

Das hat weniger mit Accesspprta zu tun, als einfach mit dem Bedarf. Es gibt auch Server, die mehrere VLAN benötigen. Oder Switch-Verbindungen, die nur per Native-VLAN angeschlossen sind.


Das „Tag“ ist also nur ein Fähnchen im Ethernetframe der per Default mit „0“ gefüllt, = untagged = native oder eine 1-4096 als Etikett hat.

Du kannst eben auch hingehen und sagen:“ Nee bitte dem VLAN 200 das Tag entfernen am Port 35 und den Rest getagged übertragen. Dann werden allen Paketen des VLANs 200 die am Port 35 raus gehen das VLAN Tag auf 0 gesetzt und alle Palete, die ohne VLAN Tag reinkommen, wird intern für die Weiterleitung die 200 in dem Feld eingesetzt.

Vielleicht ist die Vorstellung von Farblichen Paketen einfacher und jeder Port hat einen optionalen Farbfilter, den man konfigurieren kann. Eigentlich wie ein Kleinkinder-Sortierspiel.

„Trunk“ ist ein gefährlicher Begriff ohne Näheres zu sagen, denn es gibt auch LACP-Trunks, uvm. sobald was gebündelt wird reden die Hersteller von Trunk und das gerne von Hersteller zu Hersteller inkompatibel. Was Cisco für IOS benennt müssen andere Hersteller nicht genauso sehen. Manche nennen 802.1q-Trunks (so heißt es richtig), oder kurz .1q-Trunk, auch Mixed, wenn der Port ein Native VLAN hat, also eines ohne Tag. Und nur dann Trunk, wenn alle VLANs getaggt über den Port laufen.

 

[Raijin]

Schau dir mal die VLAN-Grundlagen bei thomas-krenn an. Dort wird das sehr anschaulich und in Farbe erklärt.

 

[Chibi88]

Untagged VLAN: alle VLAN Informationen wurden entfernt, sieht für die Nachbarn aus wie ein Dumb-Switch. Man spricht auch von Native VLAN. Davon kann man immer nur eins haben, da nur eines eindeutig einem VLAN ohne VLAN-Tag zugeordnet werden kann.

Ergo kann ich nur ein untagged VLAN haben? Ok, dann ist es heutzutage so, dass man alle anderen Ports nur als tagged festlegen kann?

Ist ein Access Port oder in untagged Port? Ich habe jedenfalls noch nicht gelesen, dass man nur einen untagged Port festlegen kann.

Edit: @Raijin dann habe ich das doch, wie oben, richtig beschrieben?! Einen tagged VLAN nutze ich dann, wenn ich über mehrere Switche hinweg kommunizieren möchte, ansonsten nutze ich untagged VLANs.

 

[razzy]

untagged ports sind üblicherweise access-ports, also jene ports wo nur ein endgerät angeschlossen wird (es gibt hier aber auch ausnahmen, z.B. Server oder VOIP Telefone)

tagged ports sind ports, an denen zb. weitere Switche oder andere geräte angeschlossen werden, die mehrere VLANs brauchen.
uplink-Ports z.b. also Switch to Switch Verbindungen, diese sind üblicherweise tagged ports.


Und nicht verwirren lassen:
untagged Ports = Cisco Access Ports
tagged Ports = Cisco Trunk Ports

Trunk ist aber auch sehr oft, eine Portbündelung(bei Cisco -> PortChannel), (war früher bei HP(E) so, ob es bei Aruba immer noch so ist kA).

der link von @Raijin passt sehr gut, aber ansonsten hier noch ein yt video (ist englisch und ciscobasiert)

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Stern1710]

Der Unterschied zwischen Untagged und Access Port ist nur der Name; Access/Trunk wird von Cisco verwendet, Tagged/Untagged außerhalb dieses Universums.

Generell ist ein Trunk/Tagged Port dafür da, mehrere VLANs zwischen zwei Endpunkten zu verschicken, welche beide VLANs verstehen und nur ein einziges Kabel dafür eingesetzt werden soll. Das hat rein praktische Vorteile. Man nehme an, an einem 24-Switch sind 10 VLANs aktiv. Ohne Tagged-Ports müssten also 10 Kabel für jedes VLAN zu jedem anderen Switch gespannt werden, womit noch maximal 14 Ports vorhanden sind. Bei Trunk/Tagged beschränkt sich der Kabel- und Portaufwand auf 1x je Verbindung zu einem anderen Switch.

Untagged Ports an Switches nehmen untagged packages auf, taggen sie mit dem am Port zugewiesenen VLAN; Beim Verlassen strippen sie den VLAN-Tag hingegen wieder weg, das Datenpacket ist daher wieder untagged für z.B. den Rechner, welcher an dem Port hängt.

Bei Tagged-Ports ist das mit den Untagged-Packages, auch wenn sie nicht auftreten sollten, dann etwas komplizierter. IdR werden jene Packages in ein Default-VLAN gebracht und beim Verlassen wieder dieses Tags beraubt. Aber aus Sicherheitsgründen verzichten viele Admins mittlerweile darauf, ein Native VLAN zu haben, um solche kleinen Nervigkeiten wie VLAN-Hopping zu vermeiden.

 

[Matusalem]

Selbst für den Heimgebrauch kann VLAN nützlich sein.

Schon einfache Smart- oder Web-based Switches unterstützen port-based-VLAN.

Möchte man jetzt explizit bestimmte Geräte zum Gastnetzwerk verbinden und vom Privatnetzwerk trennen, dann weist man den Geräten und entsprechenden Ports im Switch VLAN x zu.

Das Privatnetzwerk läuft über VLAN y.

Hintergrund bei einer Fritz!Box kann man Port 4 als Gastnetzwerk einrichten, die Ports 1 bis 3 sind dann ein davon getrenntes eigenes Netzwerk, meist das Privatnetzwerk.

Warum erwähne ich das ? Weil es hin- und wieder nützlich sein kann, über die üblichen Anwendungen für VLANs und entsprechende Architekturen hinauszudenken.

 

[h00bi]

Bei untagged unterteilt man die Switchports in mehrere logische Switches.
Fürs Endgerät ist das komplett egal, solange es an einer LAN Dose bleibt, deren Switchport dem passenden VLAN zugeordnet ist.
Bei untagged über mehrere Switches muss pro VLAN jeweils 1 Kabel zwischen den Switches verwendet werden.

Bei tagged VLAN wird anhand der einzelnen Netzwerkpakete unterschieden was wo hin gehört.
Eine fixe Trennung der Ports ins nicht nötig, Geräte können beliebig den Standort wechseln ohne umpatchen.

 

[Chibi88]

Es wirkt so als ob tagged Ports flexibler sind als untagged Ports. Wieso nutzt man dann nicht ausschließlich VLANs mit tagged Ports? Ich vermute, weil nicht alle Geräte mit tagged Paketen arbeiten können, richtig?

 

[Raijin]

Es wirkt so als ob tagged Ports flexibler sind als untagged Ports.

Nein, es ist nicht entweder oder. Das sind einfach zwei Paar Schuhe.


Bei einem untagged Port definiert der Switch, dass dieser Port einem VLAN zugeordnet ist. Das heißt, dass er alle Pakete, die in diesen untagged Port reinlaufen, intern nur innerhalb dieses VLANs weitergeleitet werden. Das Endgerät an diesem Port bekommt überhaupt nichts davon mit, dass es sich in einem VLAN befindet, weil es im Kabel zum Endgerät keinerlei VLAN-Tags gibt.


Bei einem tagged Port gibt der Switch dem Paket, das den Port verlässt, ein VLAN-Tag mit und überlässt es dem angeschlossenen Gerät wie es damit umgeht. Das heißt, dass das Gerät selbst VLANs unterstützen und entsprechend konfiguriert sein muss. Ob es sich bei diesem Gerät um einen weiteren Switch handelt oder zB einen Access Point, der zu jeder VLAN-ID eine SSID ausstrahlt, spielt keine Rolle.


Viel besser als es bisher geschehen ist, kann man es aber nicht erklären. Wenn du einen konkreten Anwendungsfall hast, können wir gerne darüber sprechen und zB eine Konfiguration für einen Switch erarbeiten. Es ist aber nicht zielführend, wenn jetzt ein Dutzend Leute versucht, das Erklärungsrad neu zu erfinden. Im Internet gibt es viele Quellen, in denen das haarklein erklärt wird.

 

[Hank-]

Morgen,

den Kollegen oben ist nicht mehr hinzuzufügen, so kompliziert ist das ja nicht

Ansonsten noch eine gute Seite zum lernen: 9tut.com hier findest du bist zum Cisco CCNP die meisten Dokumente zum Lernen, allerdings alle in Englisch.

 

[Z!mTst3rN]

Selbst für den Heimgebrauch kann VLAN nützlich sein.

Hintergrund bei einer Fritz!Box kann man Port 4 als Gastnetzwerk einrichten, die Ports 1 bis 3 sind dann ein davon getrenntes eigenes Netzwerk, meist das Privatnetzwerk.

Warum erwähne ich das ? Weil es hin- und wieder nützlich sein kann, über die üblichen Anwendungen für VLANs und entsprechende Architekturen hinauszudenken.

Habe ich genauso umgesetzt. Leider muss man eben 2 Kabel von der Fritzbox zum Vlanfähigen Switch führen (einmal Hauptnetz Lan1 und einmal Gastnetz Lan4 der FB), da die Fritzbox nicht an einem Ausgang mit 2 Vlans umgehen kann.

Ist in der Praxis aber sehr hilfreich, weil man dann die Arbeitsgeräte im weiter entfernten Büro auch verkabelt ins Gastnetz schicken kann. (Zwischen Hwr (Standort der FB) und Büro gibt es nämlich nur eine 1 Gbit Verbindung, sodass Vlan dort hilfreich ist, um Privatnetz und Gastnetz über dasselbe Kabel zu schieben.

Aber offtopic, die Kollegen haben es bereits ausreichend erklärt - nur als konkretes Anwendungsbeispiel im Heimnetz.

 

[Bob.Dig]

Hol dir einfach einen günstigen Switch, wie den ZyXEL GS1200, und lerne am praktischen Beispiel. Bei mir hat das funktioniert. 😉

 

[norKoeri]

@Chibi88 wie Raijin schon schrieb, was genau möchtest Du überhaupt machen = Anwendungsfall. Ich würde es nämlich genau wie Bob.Dig machen, also an einer konkreten Implementierung üben. Problem ist nämlich auch, dass jeder Hersteller die Begriffe wie wild durcheinander würfelt und ich schon oft den Eindruck bekam, der Hersteller habe es selbst nicht verstanden. Deren Software-Usability-Engineer auf keinen Fall, sonst hätte der den anderen Software-Entwicklern auf die Finger geklopft.

 

[h00bi]

Wieso nutzt man dann nicht ausschließlich VLANs mit tagged Ports?

Weil's unnötig ist.
Unser Firewall Cluster Switch zum Beispiel hat 3 VLANs:
WAN1 ankommend + 2x ausgehend,
WAN2 ankommend + 2x ausgehend,
LAN 2x ankommend, 1x ausgehend.
Ist mit untagged in 5 Minuten konfiguriert.
Warum sollte ich da umständlich tagged nutzen, was die WAN Modems vermutlich gar nicht können?

Okay, ich könnt auch einfach 3 kleine 5 Port Switches nutzen. Aber der Cluster Switch hat halt 2 Netzteile und hängt damit redundant am Strom.

 

[Chibi88]

Guten Morgen,

ich habe hier mal etwas gebaut. Vielleicht könnt ihr mir anhand dieser Konfiguration erklären, wie ich untagged (access Port), tagged bzw einen Trunk setze.

Folgendes Szernario: Wir gehen davon aus, dass wir auf der linken Seite das Netz 192.168.0.0/24 haben und auf der rechten Seite das Netz 192.168.1.0/24. Auf der linken Seite nehmen wir das VLAN 10, auf der rechten Seite das VLAN 20.

Ich würde wie folgt vorgehen: Das Laptop und der PC als untagged (access Port), den Drucker ebenso (weil der kein VLAN kann???) untagged. Bei dem IP Telefon bin ich mir nicht sicher. Vielleicht könnt ihr mir das hier erklären, wieso tagged oder untagged gesetzt wird. Den Fileserver würde ich als tagged deklarieren, WEIL, der Server mit mehreren VLAN sprechen soll. Switch zu Switch als Trunk. Auf der rechten Seite das gleiche. Clients als untagged und der Host (Server) als tagged, weil der mit VLAN 10 und auch 20 kommunizieren muss.

Ist das richtig? Würdet ihr die Clients evtl sogar tagged konfigurieren? Falls ja: wieso?

Grüße

 

[h00bi]

Wenn die Netze schon getrennt sind warum verbinden?
Was macht denn der Server1?
Sollen PC1 und Laptop1 auf den Fileserver zugreifen?
Wenn ja, warum sind die Netze getrennt?

Um dir hierzu etwas zu sagen solltest du mal wie ein 5 Jähriger ohne Fachbegriffe erklären was du am Ende erreichen möchtest.

 

[unins002]

@h00bi
Steht nicht die gestrichelte Linie für WAN?

 

[Chibi88]

Trennen weil ich die Broadcast Domain verkleinern möchte und nicht möchte, dass das Netzwork durch den Traffic überlastet oder ausgebremst wird...

Ich glaube ohne weiteres können die Clients nicht auf das linke Netz zugreifen. Dafür würde ich interVLAN Routing benötigen und einen Multilayer Switch. Mir geht es erstmal nur um die Kommunikation der Devices innerhalb derer Netze. Linke Seite mit dem Fileserver auf der linken Seite. Rechte Seite mit dem Server auf der rechten Seite.

Edit: bin blöd. Die VLANs sollen sich untereinander erst mal nicht erreichen.. tun sie ja auch nicht. Es geht erstmal nur um die Konfiguration der Ports in diesem Fall vom Server und den Clients. Es soll aber schon so konfiguriert werden, dass in Zukunft Clients aus anderen VLANs auch diese Server erreichen können.

Die gestrichelte Linie ist ein Crossover Kabel, weil Switch zu Switch...

 

[h00bi]

Ich versteh das Ziel immer noch nicht.
Und ich bin mir sicher ohne bekanntes Ziel bekommst du keine zielführenden Antworten.
Kann natürlich sein dass es andere User verstehen.