VLAN-Grundlagen
Stell dir ein Schulgebäude vor: Im Erdgeschoss sitzt die Verwaltung, im ersten Stock die Lehrkräfte und im zweiten Stock die Schüler. Sie nutzen alle das gleiche Gebäude – aber trotzdem sollen Schüler nicht einfach ins Lehrerzimmer marschieren können. Getrennte Etagen, getrennte Zugänge, aber ein gemeinsames Gebäude.
Genau das machen VLANs (Virtual Local Area Networks) in einem Netzwerk: Sie teilen einen physikalischen Switch in mehrere logisch getrennte Netze auf. Geräte in VLAN 10 können mit Geräten in VLAN 20 nicht direkt kommunizieren – selbst wenn beide Kabel im selben Switch stecken. Ein VLAN ist eine eigene Broadcast-Domäne: Broadcasts bleiben darin. Ohne einen Router oder Layer-3-Switch kommt kein Frame über die VLAN-Grenze hinaus.
1) VLAN-Segmentierung in der Praxis
In einem typischen Unternehmensnetz gibt es mehrere VLANs für verschiedene Bereiche. Die IT-Abteilung in VLAN 10, die Personalabteilung in VLAN 20, das Management-Netz (für Switch-Verwaltung) in VLAN 99. Ein Angreifer, der sich in VLAN 20 eingenistet hat, kommt an Ressourcen in VLAN 10 nicht heran – der Switch blockiert das auf Ebene 2.
Fa0/1
Fa0/3
Fa0/5
2) Warum VLANs unverzichtbar sind
Sicherheit: Geräte in verschiedenen VLANs können nicht direkt miteinander kommunizieren. Ein kompromittierter PC in VLAN 20 kann keine Verbindung zum Datenbankserver in VLAN 10 aufbauen – nicht ohne einen Router, an dem Firewall-Regeln greifen.
Performance: Broadcasts bleiben im VLAN. In einem flachen Netz mit 500 Geräten empfängt jedes Gerät jeden Broadcast von jedem anderen Gerät. Bei zehn VLANs à 50 Geräten bekommt ein Gerät nur noch 1/10 des Broadcast-Traffics. Das ist ein messbarer Performancegewinn, besonders in großen Netzen.
Flexibilität: Ein Mitarbeiter wechselt das Büro? Keine neuen Kabel, kein Umstecken. Einfach den Port im Switch auf ein anderes VLAN umkonfigurieren – fertig. Das dauert 30 Sekunden statt einen halben Arbeitstag.
Kostenersparnis: Fünf VLANs auf einem Switch statt fünf separate Switches. Weniger Hardware, weniger Verkabelungsaufwand, weniger Wartung.
3) VLAN-Typen und ihre Aufgaben
| Typ | Zweck | Typische VLAN-ID |
|---|---|---|
| Data VLAN | Nutzdaten von Endgeräten (PCs, Drucker, Server) | 10, 20, 30, … |
| Management VLAN | Switch-Verwaltung (SSH, SNMP, Syslog). Getrennt von Nutzerdaten. | 99 |
| Native VLAN | Ungetaggtes VLAN auf Trunk-Ports. Standard ist VLAN 1 – aus Sicherheitsgründen ändern. | 999 (Empfehlung) |
| Voice VLAN | VoIP-Telefone mit QoS-Priorität (niedrige Latenz für Sprache) | 150 |
Ein wichtiger Hinweis zu VLAN 1: Es ist das Standard-VLAN auf Cisco-Switches. Management-Protokolle wie CDP, STP-BPDUs und andere interne Nachrichten laufen standardmäßig über VLAN 1. Aus Sicherheitsgründen sollte VLAN 1 nicht für Nutzerdaten verwendet werden – und das Native VLAN auf Trunk-Ports sollte auf ein nicht genutztes VLAN (z.B. 999) geändert werden.
4) Basis-Konfiguration auf Cisco
Zusammenfassung
VLANs teilen einen physikalischen Switch in logische, isolierte Broadcast-Domänen auf. Jedes VLAN ist eine eigene Broadcast-Domäne. Kommunikation über VLAN-Grenzen erfordert Routing. Vorteile: Sicherheit, Performance, Flexibilität, Kostenersparnis. VLAN 1 nicht für Nutzerdaten verwenden.
Verwandte Lektionen: Nächste Lektion: Tagged vs. Untagged Ports (802.1Q) · VLANs über mehrere Switches (Trunk): Tagged vs. Untagged Ports · Kommunikation zwischen VLANs: Inter-VLAN-Routing · VLANs schützen: Port-Security · VLAN-Sicherheit: Netzwerksegmentierung als Schutzmaßnahme: Netzwerksegmentierung · Sicherheitszonen (DMZ) mit VLANs: Sicherheitszonen: DMZ, intern, extern · Active Directory: VLANs für Organisationseinheiten: OUs, Benutzer und Gruppen verwalten · VLANs im Kontext Windows Server DHCP: DHCP-Relay-Agent · IP-Adressierung je VLAN planen: Subnetting Schritt für Schritt · Broadcast-Domänen und ARP: Schicht 3 – Vermittlung