Bonjour,
Je sais que ce sujet a été déjà abordé sur de nombreux site mais je ne comprends pas la notion de vlan untag et tag.
Pouvez vous m'aider à comprendre SVP ?
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[VLAN] différences UNTAG et TAG
Bonjour,
Je sais que ce sujet a été déjà abordé sur de nombreux site mais je ne comprends pas la notion de vlan untag et tag.
Pouvez vous m'aider à comprendre SVP ?
Salut,
si tu es familier de l'IOS Cisco,Envoyé par alex_m94
tagged port = trunk port
untagged port = access port
Lorsqu'on configure un port en "trunk" (au sens Cisco du terme), on suppose que l'équipement connecté est "VLAN-aware", c'est à dire qu'il comprend la signification du champ 802.1q inséré dans l'en-tête de la trame Ethernet. Ce sera le cas d'un autre switch par exemple, ou bien un serveur ESX qui embarque plusieurs VLANs. En d'autre termes, il faut voir le "trunk 802.1q" comme une technologie particulière de multiplexage de niveau 2. Grace aux tags 802.1q, les extrémités du trunks sauront différencier les trames des différents VLANs. Si on capturait le traffic le long d'un "Cisco trunk 802.1q", on verrait clairement les tag 802.1q dans l'en-tête des trames Ethernet (juste après l'adresse MAC source).
Lorsqu'un port est "untagged" (Cisco access port), la notion de 802.1q est complètement transparente pour l'équipement connecté. La station en question ignore de quel VLAN elle fait partie, ça n'a d'importance que pour le switch : il effectue du tagging 802.1q dans ses bus internes, puis le retire lorsqu'il envoie la trame sur le port untagged (cette opération s'appelle le tag stripping). Si on capture le traffic qui sort d'un port acess/untagged, on ne verrait que des trames Ethernet sans tag.
Attention, la notion de "trunk" chez d'autres constructeurs peut être différente !
C'est le cas de certains switches HP par exemple (je pense aux ProCurve notamment). HP désigne par "trunk" un aggrégat de plusieurs liens physiques (équivalent de l'EtherChannel de Cisco). A priori, la notion de "trunk" chez HP n'a rien à voir avec le standard 802.1q...
Enfin, ce résumé ne saurait être complet sans évoquer la notion de "native VLAN"...
Le native VLAN est un VLAN particulier qui s'ajoute automatiquement aux VLAN définis le long d'un "trunk 802.1q au sens Cisco", ou le long d'un "tagged link au sens HP". C'est un "VLAN untagged"... Il n'a qu'une signification locale pour les 2 extrémités du lien et est principalement utilisé pour transporter du traffic de service comme les trames CDP (Cisco Discovery Protocol) et les multicast Spanning Tree par exemple.
Le Native VLAN est un point faible en terme de sécurité. En effet, si la configuration d'un trunk/tagged link n'est pas symétrique (par exemple tagged pour VLAN 10 d'un côté mais untagged à l'autre extrémité), les paquets "victimes" de l'asymétrie sont envoyés dans le Native VLAN... Le VLAN 1 étant le Native VLAN par défaut sur Cisco et HP, si par malheur vous utilisez déjà le VLAN 1 sur certains ports, ces paquets seront envoyés sur les ports qui font partie de ce VLAN... D'où la recommandation de systématiquement changer le native VLAN le long des "Cisco trunks" / "HP tagged links". Et si l'infra est très sensible, il est en plus conseillé de "tagger" le Native VLAN pour contrer les attaques de type "VLAN Hopping".
Steph
Bonjour et merci de ton retour.
Ton explication est bonne mais je ne pense pas avoir tout compris.
En fait si je tag un vlan par exemple 10 il faudra que des 2 côtés ca soient taggué en vlan 10 ?
Idem pour untag ? il faudrait que les 2 côté soient untaggué en vlan 10 ?
Bonjour,
Exactement.
Si tu tag le vlan 10 sur le port fa0/10, l'interface de l'autre équipement à l'extrémité doit être en tag vlan 10 également.
C'est la notion de symétrie que IP_Steph ta expliqué.
OK merci, c'est quand même pas simple avec la notion de pvid ....
Répondre avec citation
Partager