Toon posts:

untagged

Pagina: 1
Acties:

Vraag

dinsdag 17 mei 2022 09:08

Acties:
  • 0 Henk 'm!
  • Veance
  • Registratie: Mei 2018
  • Laatst online: 16-05 19:37

Veance

Topicstarter
Hallo,

in een managed layer3 ie switch van Scalance werden verschillende vlans geconfigureerd. Om voorbeeld een thinclient die via remote desktop rechtsreeks in een externe computer opstarten om daarin een scadaproces te besturen. Deze Thinclient is aangesloten op poort 8 van de switch. Het is dus mijn idee dat ze de informatie van deze computer willen afschermen, beperken.

Onderstaande code is een deel van de running config die ik kreeg ter inzage. Ik probeer te begrijpen hoe ze de vlan instelden.

vlan 1200
name Scada
no transparent-vlan
ports gigabitethernet 0/7-9,0/11,0/13-14,0/19-20 untagged gigabitethernet 0/7-9,0/19-20
unicast mac learning

IK spring eerst eens naar regel 4 :

daar zie je de verschillende ports die aan de vlan zijn toegevoegd, en daarna wordt specifiek afgesproken welke ports tagged of untagged zijn.

Zover ben ik met mijn opzoekingen rond tagging :
Het ‘taggen’ heeft te maken met de IEEE 802.1Q standaard ontwikkeld door het Institute of Electrical and Electronics Engineers. Het is een open standaard en dus niet alleen door cisco gebruikt. De switch zal via layer 2, de datalinklaag van het OSI model zich focussen op de frames van de data die de host verstuurd.
De originele frame vanuit de host ziet er als volgt uit :

desination MAC | Source MAC | Length/type | Data | FCS

Een 802.1Q frame ziet als volgt uit :

desination MAC | Source MAC | 802.1Q Tag | Length/type | Data | FCS

Het originele frame krijgt dus een ID-tag mee in de switch waar dehost op aangesloten is. Op die manier weet de volgende switch voor welke hosts het frame bedoelt is en zal hij het alleen naar deze hosts sturen. In onderstaand geval, als host A een frame broadcast zal sw1 een IDtag toevoegen aan het frame. Sw2 ontvangt het en weet dat het aan vlan 3 toehoort en dus alleen naar host D mag gestuurd worden. Het deel tussen de twee switches omslaat het trunking process. Waar verschillende poorten samengevoegd worden over 1 virtuele poort.

Afbeeldingslocatie: https://tweakers.net/i/X61SjdwokZGvTQPWzIUY2sLVwRU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/BFrnw3PCsCmr5SwdYMbuMKQK.png?f=user_large

In onze code staat dus dat dit voor oa de host op poort 8 niet nodig is, aan de 'untagged' te zien. Zijn informatie wordt dus naar elke deelnemer gestuurd.

Klopt mijn logica tot dus ver? Waarom zouden ze dit zo doen? Das toch het nut van een vlan wegdoen?

En als je sommige ports in die vlan niet tagged, waarom definieer je ze dan in die Vlan. Je kunt ze toch evengoed eruit houden? OF mis ik iets?

[ Voor 4% gewijzigd door Veance op 17-05-2022 09:26 ]

Beste antwoord (via Veance op 17-05-2022 11:38)

dinsdag 17 mei 2022 11:20

  • ewoutw
  • Registratie: Oktober 2013
  • Laatst online: 27-09 18:38

ewoutw

Tagged en untagged geeft eigelijk vooral aan of er een vlantag in de header van het pakketje zit.
Ik ben overgens niet bekend met dit merk. Dus ik hou het algemeen.
De client weet niets van vlans en stuurt dus een pakket zonder vlanID (untagged).
Port 8 accepteert alleen maar untagged verkeer. Maar verbouwd de header wel naar tagged verkeer met vlanID 1200. Komt er toch tagged verkeer aan op port 8 zal hij dit dropppen. Zelfs als het vlanID 1200 is.

Vanuit de switch accepteert de port juist weer alleen tagged verkeer met vlan ID1200 maar haalt wel het vlanID uit de header. Te client weet niets van vlans en zou dat niet snappen.

Samengevat. De port op de switch accepteert alleen pakketten waarvan de header voldoend aan de verwachting. en verbouwd het pakket om de informatie over het vlan te delen.

Alle reacties

dinsdag 17 mei 2022 09:18

Acties:
  • +1 Henk 'm!
  • itsalwaysme
  • Registratie: Juni 2004
  • Laatst online: 30-09 20:17

itsalwaysme

Graast voor DB

Ik weet niet welke Siemens Scalance het is, maar ik neem aan minimaal een XB-200 of hoger. Deze hebben een webpagina. Daar is het makkelijker is het makkelijker te zien welke poorten op welke Vlan zitten, en of ze tagged of niet zijn. (of normaal via Siemens TIA).

Wat regel 4 zegt is:
GB poorten 0/7 t/m 9 en 0/11 en 0/13 t/m 14 en 0/19 t/m 20 hangen in VLAN 1200 (SCADA)
hiervan zijn 0/7-9,0/19-20 untagged. Dit zijn dus de access ports waar de devices hangen. De overige zullen een trunk zijn.

Zie bijv de PDF van Siemens:
https://cache.industry.si...7_VLAN_in_PCS7_V90_en.pdf

BTW de Scalance switches/routers werken niet altijd hetzelfde als de standaard. Het blijft Siemens.

[ Voor 19% gewijzigd door itsalwaysme op 17-05-2022 09:20 ]

Graast voor Division Brabant
It's hardware that makes a machine. It's software that makes it work (most of the time).

dinsdag 17 mei 2022 09:21

Acties:
  • 0 Henk 'm!
  • Veance
  • Registratie: Mei 2018
  • Laatst online: 16-05 19:37

Veance

Topicstarter
Net dat vind ik vreemd. Waar de thin client op connecteerd is precies geen omgeving waar je anderen toegang op wil geven. De server van onze procesbesturing.

De switch is en scalance XR524-8C-8SPF-16RJ45

[ Voor 13% gewijzigd door Veance op 17-05-2022 09:22 ]

dinsdag 17 mei 2022 10:47

Acties:
  • 0 Henk 'm!
  • Veance
  • Registratie: Mei 2018
  • Laatst online: 16-05 19:37

Veance

Topicstarter
@itsalwaysme :
Dit zijn dus de access ports waar de devices hangen. De overige zullen een trunk zijn.
ja, juist, acces ports. Net eens opgezocht. Bedankt hiervoor.
Dus 'untagged' poorten laten alleen verkeer toe van 1 Vlan. Dus een tagged (ofwel 'trunked') gaat verkeer hebben tussen switches. En een untagged poorten gaat naar een eindtoestel of host? En daardoor hoeven ze niet getagd te zijn zodat ze van nergens anders informatie kunnen krijgen?

Dus een untagged poort naar een host( in mijn geval de verbinding (tussen een thinclient en een server) is op die manier veiliger?

dinsdag 17 mei 2022 11:20

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • ewoutw
  • Registratie: Oktober 2013
  • Laatst online: 27-09 18:38

ewoutw

Tagged en untagged geeft eigelijk vooral aan of er een vlantag in de header van het pakketje zit.
Ik ben overgens niet bekend met dit merk. Dus ik hou het algemeen.
De client weet niets van vlans en stuurt dus een pakket zonder vlanID (untagged).
Port 8 accepteert alleen maar untagged verkeer. Maar verbouwd de header wel naar tagged verkeer met vlanID 1200. Komt er toch tagged verkeer aan op port 8 zal hij dit dropppen. Zelfs als het vlanID 1200 is.

Vanuit de switch accepteert de port juist weer alleen tagged verkeer met vlan ID1200 maar haalt wel het vlanID uit de header. Te client weet niets van vlans en zou dat niet snappen.

Samengevat. De port op de switch accepteert alleen pakketten waarvan de header voldoend aan de verwachting. en verbouwd het pakket om de informatie over het vlan te delen.

dinsdag 17 mei 2022 11:36

Acties:
  • 0 Henk 'm!
  • Veance
  • Registratie: Mei 2018
  • Laatst online: 16-05 19:37

Veance

Topicstarter
@ewoutw :

Ok , nu ben ik helemaal mee in het verhaal. Ik was al wat wijzer geworden via onderstaande link :

https://study-ccna.com/configuring-access-trunk-ports/
en
https://documentation.mer...ls_of_802.1Q_VLAN_Tagging

Maar zoals jij het uitlegt is het in 1 zin wel duidelijk :) NAtuurlijk is poort 8 niet tagged. Het is immers de switch die er de tag aan hangt. :)

Thanks makkers !

[ Voor 24% gewijzigd door Veance op 17-05-2022 11:37 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq