[fli4l] Bräuchte nochmal Hilfe zu VLAN-Setup (spezifisch: mit Ubiquiti Hardware)

[Alexander Dahl]

Hallo,

K  Dreier schrieb Donnerstag, 24. Januar 2019, 19:36 (CET):
> Ich habe scheinbar immer noch nicht ganz verstanden, was genau mit
> tagged und untagged gemeint ist, wenn ich das hier lese:
>
>> >> Die untagged Ports sind für normale Geräte, die mit VLAN
>> nichts
>> >> anfangen
>> >> können oder davon nichts wissen brauchen, also Laptop, PC,
>> >> Fernseher, ...
>> >
>> > Sofern man die Datenschleudern à la TV nicht auch mittls VLAN
>> > separieren will...
>> 
>> Ich nehme an, so hat Alex das auch gemeint. TV und iOT "können"
>> häufig 
>> kein VLAN, also kommen sie an ein Port, für das "VLAN 20 untagged"
>> 
>> definiert ist - alles was hier hereinkommt, wird vom Switch mit
>> einem 
>> Tag 20 versehen und weitergeleitet. Und alles, was aus dem Netz mit
>> Tag 
>> 20 kommt, wird ohne Tag bei diesem Port rausgeschickt.
>
> Mein Verständnis nach - und das scheint nun offensichtlich falsch zu
> sein - heisst "untagged" auch so viel wie "dieses VLAN ist hier nicht
> relevant". Das ist scheinbar aber nicht richtig, wenn ich das oben lese.

Wir reden ja hier von tagged VLAN nach IEEE Standard 802.1Q, siehe bspw.
https://de.wikipedia.org/wiki/IEEE_802.1Q

Tagged heißt in dem Fall, dass im Datenpaket an geeigneter Stelle extra
Bytes drin sind, die dieses Datenpaket einem bestimmten VLAN zuordnen.
Untagged bedeutet, dass diese extra Bytes nicht drin sind, der
Normalzustand sozusagen. Wenn ein "dummes" Gerät (Fernseher, Tablet,
Notebook usw.) Datenpakete verschickt, dann immer untagged. Genau
genommen verwerfen dumme Geräte sogar Pakete mit VLAN Tag drin und
ignorieren diese.

VLAN-fähige Switche können diese Tags nun nach bestimmten Regeln
einfügen oder entfernen, d.h. sie verändern das Datenpaket entsprechend.
Hier gilt es jetzt eingehende und ausgehende Pakete zu unterscheiden.

Fall 1:

Auf Port 7 kommt ein untagged Paket von einem dummen Gerät. Eine Regel
im Switch kann nun lauten, dass diesem Paket ein VLAN-Tag mit ID 42
hinzugefügt wird, d.h. das Paket wird dem VLAN 42 zugeordnet.

Fall 2: 

Von irgendeinem Port kommt ein Paket mit einem VLAN-Tag 42 rein. Eine
weitere (!) Regel kann nun lauten, dass ein solches Paket auf Port 7
rausgehen soll, aber untagged, d.h. der Switch entfernt die extra Bytes
aus dem Datenpaket und schickt es dann über den Port raus.

Diese beiden Fälle müssen in den Switches unter Umständen an
verschiedenen Stellen konfiguriert werden! (Siehe bspw. ein älterer
Blogeintrag von mir zu einem Netgear GS108Tv2, da sind das definitiv
separate Einstellungen [1].)

Darüber hinaus kann man den Switches noch beibringen, dass sie tagged
Pakete nur über bestimmte Ports rausschicken sollen. D.h. da kommen dann
Pakete mit VLAN-Tag irgendwo rein und gehen unverändert irgendwo wieder
raus, aber ggf. nur auf den dafür konfigurierten Ports.

Wenn jetzt das default-VLAN ins Spiel kommt, dann kann das bspw.
bedeuten, dass in der Standard-Einstellung reinkommende untagged Pakete
zwar intern im Switch einem VLAN zugeordnet werden, aber über alle Ports
auch wieder untagged rausgehen. Was der Switch dann macht, wenn ein
tagged Paket mit dieser default VLAN-Id reinkommt, hängt ggf. von
Hersteller und Modell ab.

> Wenn ich also auf einen Port das oben genannte VLAN 20 explizit als "U"
> (bei meinem HP-Switch) setze statt "E", dann habe ich diesen Port für
> VLAN 20 auf untagged gesetzt. Die "dummen" Clients an so einem Port sind
> damit ins VLAN 20 verschoben. Stimmt das so? 

u.U. nur zur Hälfte, da musst Du genau das Handbuch dieses Switches
studieren.

> Falls ja: jetzt habe ich
> bei Ubiqiti-Switches ein Problem, denn dort ist mir nicht klar, wie man
> einen Port explizit untaggen kann. Es gibt "disabled", "all" (was aber
> eben für alle VLANs ein untagged bedeutet) sowie das explizite taggen
> für bestimmte VLAN(s). Da muß ich wohl mal in den einschlägigen Foren
> versuchen, den richtigen Weg rauszufinden...

Das Handbuch des Geräts gibt dazu nichts her? Oder das zu der
Controller-Software?

Grüße
Alex

[1] http://blog.antiblau.de/2014/05/31/port-based-vlan-mit-netgear-gs108tv2/

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6