Tagged vs Untagged VLAN: Een complete gids voor netwerken met duidelijke uitleg en praktijkvoorbeelden

door Artikelteam Internet en mobiele dekking
Pre

In moderne netwerken wordt het begrip VLAN vaak ingezet om verkeer te segmenteren, de veiligheid te verbeteren en de prestaties te optimaliseren. Een sleutelbegrip daarbij is de manier waarop frames worden geëtiketteerd: tagged versus untagged VLAN. In dit artikel nemen we uitgebreid afscheid van mysterie en onduidelijkheid en leggen we stap voor stap uit wat tagging inhoudt, hoe het werkt in de praktijk, welke keuzes je moet maken bij het ontwerpen van een netwerk en welke fouten je absoluut wilt vermijden. We behandelen zowel de theoretische kant als concrete configuratievoorbeelden en best practices voor een Belgische organisatie die een betrouwbaar en schaalbaar netwerk nastreeft.

Wat is tagging en waarom is het zo belangrijk?

Een VLAN (Virtual Local Area Network) laat toe om logisch gescheiden netwerken te creëren binnen één fysieke schakelkast. Het fundament van tagging is 802.1Q, een standaard die een VLAN-ID in elk Ethernet-frame stopt zodat een switch kan bepalen bij welk VLAN het frame hoort. Dit maakt het mogelijk om meerdere VLANs over dezelfde fysieke kabel te transporteren, wat met name cruciaal is voor kantoren, datacenters en campusnetwerken waar meerdere afdelingen of services naast elkaar bestaan.

Wanneer we spreken over tagged vs untagged VLAN, bedoelen we twee verschillende manieren waarop frames worden behandeld aan de netwerkpoort van een switch:

  • tagged VLAN (met 802.1Q-tag): het frame draagt expliciet een VLAN-ID in de Ethernet-header. Een trunk-poort stuurt deze frames getagd mee zodat een ontvangende switch weet tot welk VLAN het verkeer behoort.
  • untagged VLAN (zonder tag): het frame heeft geen VLAN-ID. Een access-poort levert en accepteert frames uitsluitend in één specifieke VLAN, die ook wel het ‘untagged’ VLAN wordt genoemd op die poort.

Het verschil klinkt technisch, maar het heeft grote invloed op hoe netwerken worden ontworpen en beheerd. Een trunk-link tussen twee switches kan meerdere VLANs carryen, elk frame wordt dan tagbaar gemaakt zodat ontvangende switches de frames correct kunnen toewijzen. Een end-device zoals een PC, printer of IP-camera heeft meestal een single VLAN en werkt daarom via een access-poort die untagged frames afhandelt.

Tagging, untagging en de rol van de native VLAN

Wanneer een switch een trunk-poort configureert, staat daar vaak ook een “native VLAN” bij. Wat betekent dat precies?

  • De native VLAN is het VLAN waarvoor frames ongetagged op de trunk-poort binnenkomen of verlaten. In veel gevallen is dit VLAN 1, maar dit is geen verplichting en het is aanvankelijk sterk aanbevolen om dit aan te passen aan je beveiligings- en ontwerpkeuzes.
  • Frames uit een native VLAN worden zonder tag meegestuurd. Als een frame van VLAN 99 binnenkomt op een trunk-poort als ongetagd frame, zal de ontvangende switch het frame voor VLAN 99 aannemen. Omgekeerd worden getagde frames voor de native VLAN in principe niet getagged op sommige netwerken, afhankelijk van de vendor en configuratie.

Waarom is dit relevant voor tagged vs untagged VLAN? Omdat de native VLAN bepaalt hoe ongetagde frames behandeld worden op trunk-links. Een fout hierin—bijvoorbeeld een VLAN kiezen dat elders ook als native is geconfigureerd—kan leiden tot traffic leaks, misverstanden over verkeer en lastige troubleshoot-sessies. Goede praktijken raden aan om de native VLAN expliciet te definiëren en doorheen het hele netwerk consistent te maken.

Verschillende poorten op switches: access versus trunk

Een van de meest fundamentele keuzes bij het ontwerp van een VLAN-infrastructuur is het type poort dat je op switches gebruikt:

Access-poorten (untagged VLAN)

Een access-poort is bedoeld voor eindapparaten die slechts één VLAN begrijpen. Het frame dat de poort verlaat, is untagged en behoort automatisch tot de toegewezen VLAN op die poort. Voor eindgebruikers en printers is dit de meest voorkomende configuratie. Enkele kenmerken:

  • Alle frames op een access-poort zijn untagged en horen bij één VLAN.
  • De VLAN-toewijzing is via de poortconfiguratie vastgelegd (bijv. VLAN 10).
  • Gemakkelijke en betrouwbare werking voor devices die geen tag ondersteunen.

Trunk-poorten (tagged VLAN)

Trunk-poorten worden gebruikt op verbindingen tussen switches, tussen switches en routers of andere apparaten die meerdere VLANs carryen. Het principe is dat frames getagd worden vervoerd zodat regelmatige apparaten op de ontvangende kant elk frame correct kunnen verwerken. Enkele kenmerken:

  • Trunk-poorten dragen meerdere VLANs tegelijk. Frames zijn getagd met 802.1Q-tags.
  • Naast de getagde frames kan er ook ongetagd verkeer binnenkomen, afhankelijk van de native VLAN-instelling.
  • Belangrijk voor backbone-connecties, tussen switch-lagen, en voor port-to-port aggregaties (link aggregation).

In de praktijk werkt een VLAN-plan vaak als volgt: kantoorwerkplekken en devices in VLAN 10 via access-poorten; servers, opslag en virtuele netwerken via meerdere VLANs op trunks tussen switches. Op die manier wordt verkeer logisch gescheiden, terwijl het fysieke beheer van kabels en switches overzichtelijk blijft.

802.1Q-tagging: de standaard en wat het werkelijk doet

802.1Q is de de-facto standaard voor VLAN-tagging. Een Ethernet-frame zonder tag blijft relatief eenvoudig, maar als een frame deel uitmaakt van meerdere VLANs, wordt er een kleine tag toegevoegd die een 12-bit VLAN-ID bevat. Deze tag zit tussen de source MAC-adres en de EtherType/Length-velden van het frame, en is voor de meeste devices transparant. Belangrijke elementen:

  • Tagging zorgt ervoor dat switches elk frame kunnen toewijzen aan het juiste VLAN.
  • De grootte van het frame neemt iets toe door de extra tag, maar dat is doorgaans verwaarloosbaar op moderne netwerken.
  • Tagging vereist compatibele NICs (Network Interface Cards) wanneer een apparaat meerdere VLANs tegelijk moet afhandelen, zoals virtuele machines of servers met NIC-teaming.

Taggen is dus essentieel wanneer je meerdere VLANs samen vervoert over dezelfde fysieke koppeling. Zonder tagging kunnen meerdere VLANs elkaar niet scheiden en kunnen verkeer en beveiliging in gevaar komen. Dit is de hoofdreden waaromTagged vs Untagged VLAN zo vaak besproken wordt in netwerksessies en designdocumenten.

PVID, native VLAN en hoe je ze juist kiest

Port VLAN ID (PVID) is een concept dat in veel switches wordt gebruikt op poorten die traffic in een bepaald VLAN moeten ontvangen wanneer frames ongetagd zijn. In praktijk komt dit neer op:

  • De PVID van een access-poort bepaalt de VLAN van alle binnenkomende frames op die poort, wat meestal overeenkomt met het VLAN waarvoor de poort is geconfigureerd.
  • De native VLAN op een trunk-poort bepaalt welk VLAN-ongetagde frames op de trunk worden geplaatst. Een consistent beleid is cruciaal om verkeer correct te routeren en conflicten te voorkomen.

Het kiezen van de juiste PVID en native VLAN heeft directe gevolgen voor beveiliging en netwerkfunctionaliteit. Een fout kan leiden tot traffic leaks of verwarring in netwerksegmenten. Een veelvoorkomende aanbeveling is om niet standaard VLAN 1 te gebruiken als native VLAN, maar een apart VLAN-id te kiezen dat past bij jouw VLAN-plan en beveiligingsbeleid. Dit vermindert de kans op ongewenste cross-posting van verkeer tussen VLANs.

Praktijkvoorbeelden: tagged vs untagged VLAN in verschillende omgevingen

Nu we de basisprincipes kennen, lichten we enkele praktijkvoorbeelden toe zodat je begrijpt hoe tagged vs untagged VLAN in echte netwerken gebruikt wordt. Deze scenario’s helpen bij het maken van ontwerpkeuzes en bij het uitleggen aan collega’s en management waarom bepaalde configuraties nodig zijn.

Kantoor en werkplekken

In een typisch bedrijfennetwerk worden kantoren logisch opgesplitst in VLANs voor verschillende afdelingen of functies, zoals HR, Finance en IT. Een gangbare aanpak is:

  • Access-poorten voor werkplekken in VLAN 10 (bijv. HR), VLAN 20 (bijv. Finance), en VLAN 30 (bijv. IT).
  • Trunk-links tussen switches dragen alle relevante VLANs getagd, zodat serverruimten en wisselvoorraad met meerdere VLANs kunnen communiceren met kantoorwerkplekken, maar zonder verkeer te mengen tussen afdelingen.
  • Een dedicated native VLAN kan worden gebruikt voor management verkeer of voor apparaten die geen tagging ondersteunen, met een duidelijke scheiding van gebruikersverkeer.

Wat dit oplevert, is een veiligere en beter beheersbare omgeving. Verkeer van HR kan niet per ongeluk in hetzelfde broadcast-domein terechtkomen als Finance, wat bijdraagt aan zowel privacy als performance.

Datacenter en servers

In een datacenter is tagging vaak essentieel voor isolatie tussen verschillende tenants of services en voor verbindingen naar storage en backups. Een typisch scenario:

  • Servers bevinden zich op specifieke VLANs gebaseerd op diens rol (bijv. VLAN 40 voor productie-VMs, VLAN 50 voor development, VLAN 60 voor management).
  • Trunk-verbindingen tussen core switches dragen alle relevante VLANs; hypervisors en virtuele netwerken gebruiken NIC-teaming en VLAN-tagging op de VM-netwerkinterfaces.
  • Storage netwerken (zoals iSCSI) kunnen op een eigen VLAN zitten, terwijl management verkeer op een andere VLAN blijft voor extra veiligheid.

In deze omgeving is het van cruciaal belang om de native VLAN op trunks zo te kiezen dat management verkeer niet door onbevoegde netwerken kan wordenafgeluisterd of gemanipuleerd. Regelmatige validatie van VLAN-toewijzingen en monitoring van verkeer op trunks zijn essentieel.

WiFi en draadloze netwerken

WiFi kan via VLAN tagging ook streng gecontroleerd worden. Een veelgebruikt model is:

  • Wireless Access Points (APs) leveren traffic aan de switch via trunk-poorten.
  • De SSID’s of WLANs kunnen elk een andere VLAN hebben, zodat draadloos verkeer gescheiden blijft van bekabeld verkeer.
  • Bezoekersnetwerken kunnen op een aparte VLAN komen, bijvoorbeeld VLAN 70, terwijl bedrijfsverkeer op VLAN 10 blijft. Tagged VLAN-ingress en untagged egress zorgen voor een simpele, maar krachtige scheiding.

Dit model vergemakkelijkt niet alleen beveiliging maar ook netwerkanalyse en QoS-beheer aan de draadloze kant, omdat verkeerspatronen per VLAN apart kunnen gemeten en gereguleerd worden.

Beveiliging en best practices: hoe te voorkomen datTagged vs Untagged VLAN misbruikt wordt

Beveiliging is een cruciaal onderdeel van netwerken die VLAN-tagging gebruiken. Enkele belangrijke risico’s en hoe je ze aanpakt:

  • VLAN hopping: een aanval waarbij een eindpunt probeert om verkeer uit een VLAN te ‘springen’ naar een ander VLAN. Beste verdediging: gebruik niet het default VLAN 1 als native VLAN, beperk native VLAN verkeer, en controleer port-typen nauwkeurig op switches.
  • Double tagging: een oudere aanval die kan leiden tot verkeer in ongewenste VLANs. Het voorkomen daarvan vraagt om zorgvuldige configuratie van trunk-ingen en native VLAN, evenals monitoring van verdachte frames.
  • gebruik ACLs of beleid om te voorkomen dat verkeer van één VLAN op ongewenste manieren wordt doorgegeven aan andere VLANs via tussenliggende apparaten.
  • Beheer- en administratiebeveiliging: beveilig netwerkswitches met sterke wachtwoorden, 2FA waar mogelijk, en beperk toegang tot management interfaces tot specifieke beheergroepen op basis van IP- of MAC-beperkingen.
  • Monitoring en logging: houd de VLAN-toewijzingen en trunk-instellingen bij en voer periodieke checks uit om afwijkingen, zoals onverwachte tagging- of native-VLAN-waarde, te detecteren.

Een opmerking over security: elk netwerkontwerp moet worden gedocumenteerd, zodat alle teamleden weten welke VLANs bestaan, welke poorten trunk zijn en welk VLAN als native is ingesteld. Dit voorkomt zowel menselijke fouten als security-zwaktes.

Implementatie-stappen: hoe configureer je tagged vs untagged VLAN

Hier is een praktisch stappenplan om tagged vs untagged VLAN op een typisch enterprise netwerk in te richten. Houd er rekening mee dat CLI-commando’s per vendor kunnen verschillen. Gebruik dit als algemene leidraad en pas het aan jouw vendor aan (Cisco, HPE Aruba, Juniper, Dell, etc.).

  1. VLAN-plan opstellen: definieer welke VLANs nodig zijn, de naam, het VLAN-ID, en welke zal dienen als management- of native-VLAN. Documenteer ook welke poorten access zijn en welke trunk.
  2. Basis op de switches: maak de VLANs op alle relevante switches aan. Zorg ervoor dat de VLAN-ID’s consistent zijn over de hele topology.
  3. Poorten toewijzen:
    • Toon eindapparaten op access-poorten, toegewezen aan het juiste untagged VLAN (bijv. VLAN 10).
    • Trunks tussen switches configureren met tagged VLANs en een expliciete native VLAN.
  4. Native VLAN definiëren: kies een specifieke native VLAN en configureer deze op alle trunks. Vermijd het gebruik van VLAN 1 als native VLAN.
  5. QoS en beveiliging: voeg QoS-begrenzingen toe per VLAN en implementeer beveiligingsmaatregelen zoals private VLANs of ACLs waar nodig, afhankelijk van je omgeving.
  6. Test en verifieer:
    • Controleer port- en VLAN-status met commands zoals show vlan, show interfaces trunk, show interfaces status.
    • Maak tests met zowel untagged als tagged frames op de relevante poorten en controleer of verkeer correct wordt gescheiden en afgeleverd.
  7. Documenteer en train: documenteer alle instellingen en geef training aan netwerkbeheerders zodat wijzigingen in VLAN- en trunk-configuraties altijd veilig en consistent worden uitgevoerd.

Veelgemaakte fouten en hoe ze te vermijden

Bij implementatie van tagged vs untagged VLAN komen sommige fouten veelvuldig voor. Door deze bewust te herkennen, kun je veel voorkomende problemen voorkomen:

  • Native VLAN op meerdere plekken inconsistent: zorg dat native VLAN op alle trunks gelijk is en vermijd default VLANs die elders ook als native worden gebruikt.
  • Access- en trunk-poorten op verkeerde VLAN’s: het is een veelgemaakte fout dat een access-poort per ongeluk in een verkeerde VLAN zit, of een trunk-poort een verkeerde lijst met VLANs heeft. Controleer port profiles regelmatig.
  • Verkeerde PVID-instelling: als de PVID niet overeenkomt met de toegewezen untagged VLAN, kan verkeer naar de verkeerde VLAN worden getoond of helemaal niet doorkomen.
  • Fouten bij server- en VM-netwerken: virtualisatie vereist vaak meerdere VLANs per fysieke NIC. Zorg voor correcte tagging op VM-niveau en slab VLANs op de fysieke hosts.
  • Beperking in monitoring: zonder goede monitoring kun je VLAN-lekken of ongeautoriseerde wijzigingen moeilijk detecteren. Zet alerting en logging in op VLAN-wijzigingen en trunk-configuraties.

Samenvatting en vergelijking: tagged vs untagged VLAN in één oogopslag

Tagging biedt flexibiliteit om meerdere VLANs over dezelfde fysieke infrastructuur te transporteren, terwijl untagged traffic de eenvoud en betrouwbaarheid biedt voor eindapparaten die geen tagging ondersteunen. Een goed ontworpen VLAN-strategie combineert beide concepten op een wijze die beheerbaarheid, performance en security ten goede komt.

Belangrijke overwegingen om mee te nemen bij je ontwerp:

  • Gebruik tagged VLANs op trunks tussen switches en op connects naar systemen die meerdere VLANs nodig hebben (zoals servers of hypervisors).
  • Configureer untagged traffic op access-poorten voor eindapparaten die slechts één VLAN nodig hebben, en voorkom verwarring door een duidelijk VLAN-plan te volgen.
  • Stel een consistente native VLAN in op alle trunk-links en schakel af naar mogelijke beveiligingsrisico’s die te maken hebben met default instellingen.
  • Beveilig VLANs met toegangscontrol, log en monitor traffic, en voer periodieke checks uit om ongewenste wijzigingen te detecteren.
  • Documenteer alles: van het VLAN-nummer tot de poorttypes en trunk-parameters, zodat toekomstige wijzigingen efficiënt en veilig kunnen gebeuren.

Veelgestelde vragen over tagged vs untagged VLAN

Wat betekent tagged VLAN en untagged VLAN in de praktijk?

Tagging is wat informatie toevoegt aan een frame zodat routers en switches weten bij welk VLAN het frame hoort. Untagged frames hebben geen VLAN-ID en worden doorgaans door een end-device op een access-poort verzonden, die toegewezen VLAN is. In praktijk betekent dit dat je op poorten waar eindapparaten aansluiten untagged verkeer ziet, terwijl backbone-verbindingen tussen switches getagd verkeer dragen.

Kan ik VLANs combineren op één fysieke kabel?

Ja. Dat is een van de belangrijkste voordelen van VLAN-tagging. Door gebruik te maken van trunk-links kun je meerdere VLANs over dezelfde kabel transporteren, terwijl traffic gescheiden blijft. End devices blijven ongetagged op hun eigen access-poorten, terwijl inter-switch verkeer getagd is.

Hoe kies ik de native VLAN en waarom vermijden velen VLAN 1?

De native VLAN is het VLAN waarvoor frames ongetagged op trunks worden verzonden. VLAN 1 is de default en wordt vaak geassocieerd met beveiligingsrisico’s en beheercomplexiteit. Een veelgebruikte praktijk is om een apart, niet-gebruikt VLAN-ID aan te wijzen als native VLAN en dit op alle trunks te configureren. Zo neemt de kans op misconfiguratie of interception af.

Zijn er voordelen aan VLAN tagging voor wifi?

Ja. Met tagging kun je verschillende SSID’s elk in een apart VLAN plaatsen. Bezoekersnetwerken, bedrijfsnetwerken en IT-beheernetwerken blijven door tagging duidelijk gescheiden, terwijl de draadloze dekking centraal beheerd blijft. Dit verbetert de beveiliging en de controle over het netwerkverkeer aanzienlijk.

Conclusie: tagged vs untagged VLAN biedt structuur en schaalbaarheid

Tagging en het onderscheid tussen tagged vs untagged VLAN vormen de kern van een gezond netwerktopologie in België en elders. Door een helder VLAN-plan te volgen, de native VLAN consequent te kiezen en access- en trunk-poorten correct te configureren, creëer je een schaalbaar, veilig en onderhoudbaar netwerk. Of je nu een klein kantoor, een middelgrote onderneming of een datacenter runt, de concepten van VLAN-tagging helpen je om verkeer effectief te scheiden, prestaties te waarborgen en security te verbeteren. Gebruik dit artikel als leidraad bij je volgende netwerkontwerp of bij het herzien van een bestaand VLAN-plan, en maak tagged vs untagged VLAN een vanzelfsprekende bouwsteen van je IT-architectuur.