VLAN: Verständnis-Frage zum "Ingress Filter"

Forum zu "managed" LANCOM Switches

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

VLAN: Verständnis-Frage zum "Ingress Filter"

Beitrag von fildercom »

Hallo zusammen,

ich habe mal eine Verständnis-Frage zum "Ingress Filter", welchen man in den VLAN-Einstellungen aktivieren kann.

Wenn ein Port auf "Access" eingestellt ist, dann liegt hier nur das VLAN ungetagged an, in welchem der Port Mitglied ist. Kann ohne aktiven "Ingress Filter" das berüchtigte VLAN-Hopping betrieben werden, sprich der Switch leitet die Pakete an einen anderen Port weiter, welcher Mitglied im entsprechenden VLAN ist?

Wenn ich es nun richtig verstehe, verwirft der Switch solche Pakete, sobald der "Ingress Filter" aktiviert ist. Sehe ich das richtig?

Die Frage ist nur: Wie sieht das bei Ports aus, die als "Hybrid" bzw. als "Trunk" konfiguriert sind?
- Verwirft der Switch beim "Hybrid", sobald der "Ingress Filter" aktiviert wurde, dann hoffentlich nur die getaggten Pakete, wo er nicht Mitglied ist? Oder verwirft er dann alle getaggten Pakete und nimmt nur noch die ungetaggten Pakete an welche zu seiner PVID ("Native VLAN") gehören?
- Wie sieht das Verhalten beim Trunk aus?

Ich hoffe, jemand von den Switch-Experten kann hier eine kurze Aufklärung geben.

Viele Grüße und besten Dank
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: VLAN: Verständnis-Frage zum "Ingress Filter"

Beitrag von fildercom »

Also einen Teil meiner Fragen beantworte ich mal selbst:
Mit einem als "Hybrid" konfigurierten Port klappt der Ingress Filter einwandfrei, es werden trotzdem alle Pakete (auch die getagged sind), welche zu VLANs gehören, in denen der Port Mitglied ist, entgegen genommen und weiter transportiert.

Am reinen Trunk müsste es analog dazu auch funktionieren.

Die "Kollegen" von Ubiquiti erläutern den Ingress Filter auch nochmal ausführlich:

Code: Alles auswählen

vlan ingressfilter
This command enables ingress filtering on an interface or range of interfaces . If ingress filtering is disabled,
frames received with VLAN IDs that do not match the VLAN membership of the receiving interface are admitted
and forwarded to ports that are members of that VLAN .
Quelle: https://community.ubnt.com/t5/EdgeSwitc ... -p/2101611

Jetzt bleibt noch die Frage offen:
Ist das berüchtigte VLAN-Hopping bei LANCOM-Switches möglich, so lange der Ingress-Filter nicht aktiv ist? Falls ja, wäre das ja eine potentielle Sicherheitslücke in der VLAN-Konfiguration und meiner Meinung nach sollte der Ingress-Filter by default aktiv sein.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
roads
Beiträge: 70
Registriert: 23 Mär 2019, 21:17

Re: VLAN: Verständnis-Frage zum "Ingress Filter"

Beitrag von roads »

Würde mich auch interessieren wenn ich das mal aufwärmen darf-
Antworten