Tagged vs. Untagged Ports (802.1Q)
Stell dir vor, du hast zwei Switches in verschiedenen Stockwerken und möchtest drei VLANs zwischen ihnen transportieren. Eine Möglichkeit: je VLAN ein eigenes Kabel – drei Kabel zwischen den Switches. Das ist teuer, aufwändig und skaliert schlecht. Die elegantere Lösung: ein einziges Kabel, das alle drei VLANs gleichzeitig trägt. Damit das empfangende Gerät aber weiß, welcher Frame zu welchem VLAN gehört, bekommt jeder Frame ein Label eingraviert – den 802.1Q-Tag.
1) Der 802.1Q-Tag – was steckt drin?
Der IEEE-802.1Q-Standard definiert eine Erweiterung des Ethernet-Frames: vier zusätzliche Bytes, die zwischen Quell-MAC und EtherType eingefügt werden. Diese vier Bytes enthalten die gesamte VLAN-Information:
6 Byte
6 Byte
2 Byte
4 B
6 Byte
6 Byte
0x8100
+ VID
2 Byte
4 B
0x8100 – signalisiert: „Dieser Frame trägt einen 802.1Q-Tag."PCP (Priority Code Point): 3 Bit – kodiert Prioritäten 0–7 für QoS (z.B. VoIP-Traffic höher priorisieren).
DEI (Drop Eligible Indicator): 1 Bit – Frame kann bei Überlast bevorzugt verworfen werden.
VID (VLAN Identifier): 12 Bit – die eigentliche VLAN-ID, Werte 1–4094.
2) Access-Port vs. Trunk-Port – der entscheidende Unterschied
Nicht alle Ports arbeiten gleich. Je nachdem, ob ein Port an ein Endgerät oder an einen anderen Switch/Router angeschlossen ist, verhält er sich grundlegend anders:
Ein Access-Port gehört genau einem VLAN. Endgeräte – PCs, Drucker, Kameras – haben keine Ahnung von VLANs und erwarten normales, ungetaggtes Ethernet. Wenn ein Frame vom PC an den Access-Port kommt, fügt der Switch intern den Tag hinzu. Wenn ein Frame den Access-Port verlässt (Richtung PC), entfernt der Switch den Tag. Das Gerät merkt nichts davon.
Ein Trunk-Port transportiert Frames mehrerer VLANs. Alle Frames tragen einen 802.1Q-Tag. Trunk-Ports entstehen zwischen Switches, zwischen Switch und Router (Router-on-a-Stick) oder zwischen Switch und VLAN-fähigen Servern. Das empfangende Gerät muss Tags verstehen und verarbeiten können.
3 VLANs, 1 Kabel
alle Frames getaggt
3) Das Native VLAN – und warum es ein Sicherheitsrisiko ist
Auf einem Trunk-Port gibt es ein Sonderkonzept: das Native VLAN. Frames dieses VLANs werden auf Trunk-Ports ohne Tag übertragen – für Rückwärtskompatibilität mit älteren Geräten, die 802.1Q nicht kennen. Standardmäßig ist VLAN 1 das Native VLAN.
Das ist problematisch: Ein Angreifer im Native VLAN kann mit einem speziellen Angriff (VLAN Hopping via Double Tagging) Frames in andere VLANs schicken. Er sendet einen Frame mit doppeltem Tag: Der äußere Tag (VLAN 1, Native) wird vom ersten Switch entfernt. Der zweite Switch sieht den inneren Tag (z.B. VLAN 10) und leitet den Frame dorthin weiter – obwohl der Angreifer gar keinen Zugang zu VLAN 10 haben sollte.
Die Lösung ist einfach: Das Native VLAN auf ein nicht genutztes VLAN setzen (z.B. 999), zu dem kein Endgerät zugewiesen ist.
Zusammenfassung
802.1Q fügt 4 Byte in den Ethernet-Frame ein: TPID (0x8100), PCP+DEI und 12-Bit-VLAN-ID (1–4094). Access-Port = 1 VLAN, kein Tag für Endgerät. Trunk-Port = mehrere VLANs, alle getaggt. Native VLAN = ungetaggtes VLAN auf Trunk (VLAN 1 → auf VLAN 999 ändern wegen VLAN-Hopping). Cisco: switchport mode trunk / allowed vlan / native vlan.
Verwandte Lektionen: Nächste Lektion: Inter-VLAN-Routing · VLAN-Grundlagen und VLAN-Typen: VLAN-Grundlagen · MAC-Adressen und Ethernet-Frame-Aufbau: Schicht 2 – Sicherung · VLAN-Hopping als Sicherheitsrisiko: Netzwerksegmentierung · QoS-Prioritäten im 802.1Q-Tag: Logische Topologien · Cisco: Trunk-Status prüfen: Switch-Konfiguration (Cisco IOS) · WLAN und VLANs (SSID je VLAN): WLAN-Infrastruktur planen · Netzwerkpläne mit VLANs zeichnen: Netzwerkpläne lesen und zeichnen