Das VLAN ist eines der mächtigsten – und am meisten missverstandenen – Werkzeuge im Unternehmensnetzwerk. Es ermöglicht, ein physisches Netzwerk in mehrere voneinander getrennte logische Netzwerke aufzuteilen, um Sicherheit, Leistung und Organisation zu verbessern. Dieser Leitfaden erklärt einfach, was ein VLAN ist, wozu es dient und welche Hardware dafür benötigt wird.
Was ist ein VLAN?
Ein VLAN (Virtual Local Area Network, virtuelles lokales Netzwerk) ist ein logisches Netzwerk, das innerhalb eines physischen Netzwerks erstellt wird. Konkret können Sie auf demselben Netzwerk-Switch mehrere Port-Gruppen definieren, die sich wie unabhängige Netzwerke verhalten: Geräte in einem VLAN „sehen“ die Geräte eines anderen VLANs nicht, selbst wenn sie am selben Gerät angeschlossen sind.
Warum das Netzwerk segmentieren?
- Sicherheit: sensible Datenströme (Buchhaltung, Videoüberwachung) vom Rest isolieren und einen möglichen Vorfall auf ein Segment beschränken.
- Leistung: Broadcast-Domänen begrenzen, um unnötigen Datenverkehr zu reduzieren.
- Organisation: Dienste, Anwendungen oder Standorte logisch trennen, ohne neu zu verkabeln.
- Qualität des Dienstes: ein Sprach-VLAN priorisieren für unterbrechungsfreie IP-Telefonie.
Wie funktioniert es: 802.1Q, Access- und Trunk-Ports
Der Standard 802.1Q fügt den Frames ein Etikett („Tag“) hinzu, um ihr VLAN anzugeben. Es gibt zwei Porttypen:
- Access-Port: ist einem einzigen VLAN zugeordnet, z. B. für einen Arbeitsplatz, ein Telefon oder eine Kamera.
- Trunk-Port: transportiert mehrere VLANs gleichzeitig (getaggt), typischerweise zwischen zwei Switches oder zu einem Router/Firewall.
Konkrete VLAN-Beispiele
- VLAN Daten: die Arbeitsplätze.
- VLAN Sprache: die IP-Telefone, priorisiert durch QoS.
- VLAN Gast: ein öffentliches Wi-Fi, isoliert vom internen Netzwerk.
- VLAN Videoüberwachung: IP-Kameras, getrennt für mehr Sicherheit.
VLAN und Inter-VLAN-Routing
Standardmäßig kommunizieren VLANs nicht miteinander – das ist der Zweck. Um eine kontrollierte Kommunikation zu ermöglichen (z. B. Daten zu einem Drucker in einem anderen VLAN), ist ein Inter-VLAN-Routing erforderlich, das von einem Layer-3-Switch oder einer Firewall übernommen wird. Dort werden auch Filterregeln zwischen den Segmenten angewendet.
Tipp: Zur Planung Ihrer IP-Adressbereiche pro Segment nutzen Sie unseren Subnetzrechner.
Welche Hardware wird benötigt?
VLANs erfordern einen verwaltbaren Switch (ein nicht verwaltbarer Switch unterstützt 802.1Q nicht). Zur Auswahl empfehlen wir unseren Leitfaden verwaltbarer Switch oder nicht. Für die Sicherheit zwischen den Segmenten ergänzt eine Firewall die Ausstattung. Entdecken Sie unsere getesteten und garantierten gebrauchten verwaltbaren Switches.
FAQ: VLAN
Benötigt man einen speziellen Switch für VLANs?
Ja, einen verwaltbaren (oder smarten) Switch, der 802.1Q unterstützt. Ein nicht verwaltbarer Switch kann VLANs nicht verwalten.
Verbessert ein VLAN die Sicherheit?
Es trennt die Datenströme und begrenzt die Ausbreitung eines Vorfalls, ersetzt aber keine Firewall: Beide ergänzen sich.
Wie viele VLANs kann man erstellen?
Der Standard erlaubt bis zu 4094 VLANs. In der Praxis nutzt ein KMU nur einige wenige (Daten, Sprache, Gast, Video), was völlig ausreicht.
Verlangsamen VLANs das Netzwerk?
Im Gegenteil: Durch die Begrenzung der Broadcast-Domänen reduzieren sie den Datenverkehr. Das 802.1Q-Tagging verursacht nur einen vernachlässigbaren Aufwand.
Zusammenfassung
VLANs segmentieren ein physisches Netzwerk in voneinander getrennte logische Netzwerke: mehr Sicherheit, Leistung und Organisation ohne Neuverkabelung. Voraussetzung sind ein verwaltbarer Switch, korrekt konfigurierte Access- und Trunk-Ports sowie ein Layer-3-Gerät oder eine Firewall für das Inter-VLAN-Routing. Eine überschaubare Investition, besonders bei geprüfter gebrauchter Hardware, für nachhaltigen Nutzen.