Stell dir ein Unternehmen mit drei Abteilungen vor: Buchhaltung, IT und Empfang. Alle sitzen im selben Gebäude und sind am selben Switch angeschlossen. Das bedeutet: Jeder Broadcast den ein Gerät sendet, landet bei allen anderen Geräten im Netzwerk – egal ob das sinnvoll ist oder nicht. Die Buchhaltung sieht Netzwerkpakete der IT, der Empfang sieht Pakete der Buchhaltung.
Das ist weder effizient noch sicher. Die Lösung: VLANs.
VLAN steht für Virtual Local Area Network. Ein VLAN erlaubt es, einen physischen Switch in mehrere logisch getrennte Netzwerke aufzuteilen – ohne zusätzliche Hardware. Jede Abteilung bekommt ihr eigenes virtuelles Netzwerk, obwohl alle am selben physischen Switch hängen.
Ein VLAN ist ein logisch getrenntes Netzwerksegment innerhalb eines physischen Switches. Geräte in unterschiedlichen VLANs können – ohne Router – nicht miteinander kommunizieren, selbst wenn sie am selben Switch angeschlossen sind.
Jedes VLAN bekommt eine VLAN-ID – eine Zahl zwischen 1 und 4094. VLAN 1 ist das Standard-VLAN und auf jedem Managed Switch voreingestellt.
Physischer Switch mit 3 VLANs:
┌─────────────────────────────────────────────┐
│ Switch │
│ │
│ Port 1 ── PC Buchhaltung ┐ VLAN 10 │
│ Port 2 ── PC Buchhaltung ┘ │
│ │
│ Port 3 ── PC IT-Abteilung ┐ VLAN 20 │
│ Port 4 ── PC IT-Abteilung ┘ │
│ │
│ Port 5 ── PC Empfang ┐ VLAN 30 │
│ Port 6 ── PC Empfang ┘ │
└─────────────────────────────────────────────┘
→ VLAN 10 und VLAN 20 können NICHT direkt kommunizieren
→ Dafür ist ein Router notwendigAn einem Managed Switch gibt es zwei grundlegende Port-Typen:
Ein Access-Port gehört genau einem VLAN an. Geräte die daran angeschlossen sind, wissen in der Regel nicht einmal dass sie in einem VLAN stecken – sie sehen einfach ihr Netzwerk. Ein normaler PC, Drucker oder IP-Telefon wird an einen Access-Port angeschlossen.
Ein Trunk-Port überträgt gleichzeitig Daten aus mehreren VLANs. Er wird verwendet um zwei Switches miteinander zu verbinden oder einen Switch mit einem Router zu verbinden. Damit der Empfänger weiß zu welchem VLAN ein Frame gehört, wird jedem Frame ein VLAN-Tag hinzugefügt.
Access-Port vs. Trunk-Port:
Endgerät ──── Access-Port │ │ Trunk-Port ──── anderer Switch
(kein Tag) │ Switch │ (mit VLAN-Tags)
Endgerät ──── Access-Port │ │ Trunk-Port ──── RouterDamit Frames auf einem Trunk-Port eindeutig einem VLAN zugeordnet werden können, wurde der Standard IEEE 802.1Q entwickelt. Er definiert einen 4-Byte-Tag der in den Ethernet-Frame eingefügt wird:
Ethernet-Frame mit 802.1Q-Tag:
┌──────────┬──────────┬────────┬────────┬──────────────────┬─────┐
│ Ziel-MAC │ Quell-MAC│ Tag │ Typ │ Nutzdaten │ FCS │
│ (6 Byte) │ (6 Byte) │(4 Byte)│(2 Byte)│ (46–1500 Byte) │(4 B)│
└──────────┴──────────┴────────┴────────┴──────────────────┴─────┘
│
┌─────┴──────────────────────────┐
│ TPID (2 B) │ TCI (2 B) │
│ 0x8100 │ Prio │ DEI │ VID │
│ │(3 b) │(1 b)│(12 b)│
└────────────────────────────────┘
VID = VLAN-ID (0–4094)Der wichtigste Bestandteil ist die VID (VLAN Identifier) – die 12-Bit-VLAN-ID. Mit 12 Bit sind 4096 verschiedene VLANs möglich (0 und 4095 sind reserviert, also 4094 nutzbare VLANs).
Sicherheit: Geräte in verschiedenen VLANs können nicht direkt miteinander kommunizieren. Die Buchhaltung kann keine Pakete der IT-Abteilung sehen – auch wenn beide am selben Switch hängen.
Weniger Broadcast-Traffic: Jedes VLAN ist eine eigene Broadcast-Domäne. Broadcasts bleiben im jeweiligen VLAN und belasten nicht das gesamte Netzwerk. In großen Netzwerken reduziert das die Last erheblich.
Flexibilität: Mitarbeiter können in ein anderes VLAN verschoben werden ohne Kabel umzustecken – einfach die Port-Konfiguration am Switch ändern.
Kostenersparnis: Mehrere logische Netzwerke auf einer physischen Infrastruktur – kein separater Switch pro Abteilung nötig.
Geräte in verschiedenen VLANs können standardmäßig nicht miteinander kommunizieren. Wenn die Buchhaltung auf einen Server der IT-Abteilung zugreifen soll, braucht es einen Router – oder einen Layer-3-Switch.
Die klassische Methode heißt Router-on-a-Stick: Ein Router ist über einen einzigen Trunk-Port mit dem Switch verbunden. Auf dem Router werden für jedes VLAN sogenannte Subinterfaces erstellt, die jeweils als Gateway für ihr VLAN dienen:
Router-on-a-Stick:
PC (VLAN 10) ──┐ ┌── Subinterface 10: 10.10.10.1/24
PC (VLAN 20) ──┤ ── Switch ── Trunk ── ┤ Router
PC (VLAN 30) ──┘ └── Subinterface 30: 10.30.30.1/24
PC aus VLAN 10 will PC in VLAN 30 erreichen:
1. Frame geht an Gateway (Router, Subinterface 10)
2. Router entscheidet: Ziel ist in VLAN 30
3. Frame wird über Subinterface 30 zurück an Switch gesendet
4. Switch leitet Frame an PC in VLAN 30 weiterIn modernen Netzwerken übernehmen oft Layer-3-Switches diese Aufgabe direkt – sie können sowohl switchen (Layer 2) als auch routen (Layer 3) und sind dabei deutlich schneller als ein separater Router.
Auf einem Trunk-Port gibt es ein sogenanntes Native VLAN. Frames die zu diesem VLAN gehören, werden auf dem Trunk ohne 802.1Q-Tag übertragen. Standardmäßig ist VLAN 1 das Native VLAN. In der Praxis wird empfohlen, das Native VLAN auf ein ungenutztes VLAN zu setzen um bestimmte Sicherheitsangriffe (VLAN-Hopping) zu erschweren.
VLAN-ID | Name | Typischer Inhalt |
|---|---|---|
10 | Management | Switch-Management-Interfaces, Server-Administration |
20 | Server | Interne Server, Dateiserver, Datenbanken |
30 | Clients | Arbeitsplatz-PCs der Mitarbeiter |
40 | VoIP | IP-Telefone – QoS-Priorisierung wichtig |
50 | Gäste | WLAN für Besucher – kein Zugriff auf interne Systeme |
99 | Native (ungenutzt) | Ungetaggte Frames auf Trunk-Ports – bewusst leer gehalten |
Ein VLAN ist ein logisch getrenntes Netzwerksegment innerhalb eines physischen Switches
VLANs werden durch VLAN-IDs (1–4094) unterschieden
Access-Ports gehören genau einem VLAN – für Endgeräte
Trunk-Ports übertragen mehrere VLANs gleichzeitig – für Switch-zu-Switch- und Switch-zu-Router-Verbindungen
IEEE 802.1Q definiert das VLAN-Tagging im Ethernet-Frame
Jedes VLAN ist eine eigene Broadcast-Domäne – Broadcasts bleiben im VLAN
Kommunikation zwischen VLANs erfordert einen Router oder Layer-3-Switch (Inter-VLAN-Routing)
VLANs erhöhen Sicherheit, reduzieren Broadcast-Last und ermöglichen flexible Netzwerkstrukturierung