Zum Inhalt springen
sw
en

Tippe um zu suchen

Netzwerk

VLAN – Grundlagen & Trunking

VLANs segmentieren dein Netzwerk logisch ohne neue Kabel. Du lernst Access Ports, Trunk Ports, 802.1Q-Tagging und Inter-VLAN-Routing.

10 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist ein VLAN und warum brauchst du es?

Stell dir vor, du hast 50 Geräte an einem Switch. Alle sind im selben Netzwerksegment – also in derselben Broadcast-Domäne. Das bedeutet: Jedes ARP-Request, jeder DHCP-Discover, jeder Broadcast geht an alle 50 Geräte gleichzeitig. Das ist laut, langsam und ein Sicherheitsproblem.

Ein VLAN (Virtual Local Area Network) löst das, indem es das physische Netzwerk logisch in mehrere unabhängige Segmente aufteilt – ganz ohne neue Kabel verlegen zu müssen. Geräte im selben VLAN kommunizieren direkt miteinander. Geräte in verschiedenen VLANs sind strikt getrennt und können nur über einen Router oder Layer-3-Switch miteinander reden.

Die drei wichtigsten Gründe für VLANs im KMU-Alltag:

  1. Sicherheit: Das Gäste-WLAN soll niemals Zugriff auf den Fileserver haben. Mit einem VLAN ist das auf Netzwerkebene erzwungen – egal was der Gast auf seinem Gerät macht.
  2. Performance: Kleinere Broadcast-Domänen bedeuten weniger unnötiger Traffic. Besonders relevant bei grossen Netzwerken oder VoIP, das auf geringe Latenz angewiesen ist.
  3. Struktur & Übersicht: Statt einem flachen Netzwerk mit 80 Geräten hast du saubere Segmente: Büro, Server, WLAN, Drucker, Telefonie.

Typische VLAN-Aufteilung im KMU

Eine bewährte Grundstruktur für ein KMU mit 20–150 Mitarbeitenden:

VLAN-IDNameZweckTypisches Subnetz
1DefaultNur für Management, sonst leer lassen
10UserArbeitsplätze, Laptops192.168.10.0/24
20ServerFileserver, DC, ERP192.168.20.0/24
30WLAN-InternFirmen-WLAN, Auth via RADIUS192.168.30.0/24
40WLAN-GästeGäste-WLAN, nur Internet192.168.40.0/24
50VoIPIP-Telefonie, QoS-priorisiert192.168.50.0/24
60DruckerNetzwerkdrucker192.168.60.0/24
99ManagementSwitches, APs, Router, iDRAC192.168.99.0/24

Die VLAN-ID ist eine Zahl zwischen 1 und 4094. Reserviere Luecken fuer zukuenftige Erweiterungen – z.B. Produktions-VLAN 70 oder IoT-VLAN 80 kannst du spaeter einfach einfuegen.

Access Port vs. Trunk Port

Das ist das Kernkonzept, das du verstehen musst, bevor du irgendetwas konfigurierst:

Access Port

Ein Access Port gehoert zu genau einem VLAN. Das angeschlossene Geraet (z.B. ein PC, Drucker oder IP-Telefon) weiss gar nichts von VLANs – es sendet normalen, ungetaggten Ethernet-Traffic. Der Switch ordnet den Traffic dem konfigurierten VLAN zu.

PC ──── [Access Port, VLAN 10] ──── Switch

Das Geraet denkt, es ist einfach im Netzwerk. Der Switch kuemmert sich darum, dass der Traffic nur im richtigen VLAN bleibt.

Trunk Port

Ein Trunk Port traegt den Traffic mehrerer VLANs gleichzeitig ueber ein einziges Kabel. Trunk-Verbindungen werden fuer:

  • Switch-zu-Switch-Verbindungen
  • Switch-zu-Router-Verbindungen
  • Switch-zu-Access-Point (wenn der AP mehrere SSIDs/VLANs aussendet)
Switch-A ──── [Trunk Port] ──── [Trunk Port] ──── Switch-B
                  (VLANs 10,20,30,40,50,99 gleichzeitig)

Damit der Switch weiss, welches Paket zu welchem VLAN gehoert, wird es auf dem Trunk-Port getaggt.

IEEE 802.1Q – das VLAN-Tag erklaert

Der Standard IEEE 802.1Q (gesprochen: „dot one Q”) definiert, wie VLAN-Tags in Ethernet-Frames eingefuegt werden. Das ist der universelle Standard – egal ob Cisco, HPE, Unifi oder Mikrotik.

Beim Senden ueber einen Trunk-Port schreibt der Switch einen 4-Byte-Tag in den Ethernet-Frame, direkt nach der Quell-MAC-Adresse:

[Ziel-MAC 6B][Quell-MAC 6B][Tag 4B][EtherType 2B][Payload][FCS]
                              ^^^^
                    Eingeschobenes 802.1Q-Tag

Das Tag besteht aus:

FeldGroesseBedeutung
TPID (Tag Protocol Identifier)16 BitImmer 0x8100 – signalisiert: das ist ein 802.1Q-Frame
PCP (Priority Code Point)3 BitQoS-Prioritaet (0–7), fuer VoIP wichtig
DEI (Drop Eligible Indicator)1 BitDarf bei Ueberlast verworfen werden
VID (VLAN Identifier)12 BitDie eigentliche VLAN-ID (1–4094)

Wenn das Frame am empfangenden Port ankommt, liest der Switch das Tag, leitet es ans richtige VLAN weiter und entfernt das Tag, bevor es an ein Endgeraet auf einem Access Port geht.

Native VLAN

Auf einem Trunk-Port gibt es ein spezielles Konzept: das Native VLAN. Traffic im Native VLAN wird auf dem Trunk ohne Tag uebertragen. Auf Cisco-Geraeten ist das standardmaessig VLAN 1.

Konfigurationsbeispiel: Cisco IOS

Das ist die Standardkonfiguration fuer einen Cisco-Switch. Prinzip und Kommandosatz gelten aequivalent fuer viele andere Hersteller.

! === VLANs erstellen ===
vlan 10
 name User
vlan 20
 name Server
vlan 30
 name WLAN-Intern
vlan 40
 name WLAN-Gaeste
vlan 50
 name VoIP
vlan 99
 name Management
exit

! === Access Port fuer Arbeitsplatz (VLAN 10) ===
interface GigabitEthernet0/1
 description Arbeitsplatz Buero 1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 no shutdown

! === Access Port fuer IP-Telefon + PC (Voice VLAN) ===
! Das Telefon traegt VLAN 50, der dahinterliegende PC laeuft auf VLAN 10
interface GigabitEthernet0/2
 description IP-Telefon mit PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 50
 no shutdown

! === Trunk Port zum Core-Switch / Router ===
interface GigabitEthernet0/24
 description Uplink zu Core-Switch
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20,30,40,50,99
 switchport trunk native vlan 999
 no shutdown

! === Management-IP auf dem Switch setzen ===
interface Vlan99
 ip address 192.168.99.10 255.255.255.0
 no shutdown

Inter-VLAN-Routing: Wie VLANs miteinander kommunizieren

VLANs sind per Definition isoliert. Damit ein User in VLAN 10 auf den Fileserver in VLAN 20 zugreifen kann, muss geroutet werden. Zwei gaengige Varianten:

Option 1: Layer-3-Switch (empfohlen)

Ein Layer-3-Switch (auch Multilayer-Switch) kann sowohl switchen als auch routen. Er hat virtuelle Interfaces (SVIs – Switched Virtual Interfaces) fuer jedes VLAN und leitet Traffic zwischen VLANs intern weiter.

! Auf dem Layer-3-Switch
ip routing          ! IP-Routing global aktivieren

! SVI (virtuelle Interface) fuer jedes VLAN
interface Vlan10
 ip address 192.168.10.1 255.255.255.0
 no shutdown

interface Vlan20
 ip address 192.168.20.1 255.255.255.0
 no shutdown

interface Vlan40
 ip address 192.168.40.1 255.255.255.0
 no shutdown

Vorteile: Sehr schnell (Hardware-Routing), keine separaten Router-Kosten, einfache Konfiguration. Das ist die bevorzugte Loesung fuer KMU.

Option 2: Router-on-a-Stick

Falls nur ein normaler Router zur Verfuegung steht: Ein einziges physisches Router-Interface wird mit Sub-Interfaces konfiguriert – eines pro VLAN. Der Switch verbindet sich ueber einen Trunk-Port mit dem Router.

! Auf dem Router
interface GigabitEthernet0/0
 no shutdown         ! Physical Interface muss aktiv sein, aber keine IP

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

interface GigabitEthernet0/0.40
 encapsulation dot1Q 40
 ip address 192.168.40.1 255.255.255.0

Der Name „Router-on-a-Stick” kommt daher, dass das eine Kabel zwischen Switch und Router wie ein Stecken aussieht – der gesamte VLAN-Traffic laeuft darueber. Nachteil: Der Uplink ist ein Flaschenhals, und der Router muss alle Inter-VLAN-Pakete verarbeiten.

Praxisbeispiel: Gaeste-VLAN einrichten

Szenario: Besucher sollen WLAN bekommen, aber keinen Zugriff auf interne Server, Drucker oder Netzlaufwerke.

Schritte:

  1. VLAN 40 (WLAN-Gaeste) am Switch erstellen und dem Trunk-Port zum Access Point erlauben
  2. Am Access Point eine zweite SSID „Gaeste-WLAN” anlegen und auf VLAN 40 mappen
  3. Im DHCP-Server (z.B. Firewall oder Router) einen DHCP-Pool fuer 192.168.40.0/24 einrichten, gebunden an VLAN 40
  4. An der Firewall eine Regel erstellen: Traffic von VLAN 40 darf nur ins Internet, nicht in VLANs 10, 20, 30, 50, 99
  5. Optional: DNS-Resolver fuer Gaeste auf externen Server (z.B. 1.1.1.1) setzen, nicht auf interne DNS-Server
Gaeste-Laptop → WLAN (SSID: Gaeste) → AP → VLAN 40 → Firewall → Internet

                                     Firewall blockiert: 192.168.10.0/24
                                                         192.168.20.0/24
                                                         192.168.50.0/24

Troubleshooting – haeufige VLAN-Probleme

Geraet bekommt keine IP-Adresse

  • DHCP-Server kennt das VLAN nicht: Ist ein DHCP-Scope fuer das Subnetz vorhanden? Ist der DHCP-Relay-Agent (IP-Helper auf dem SVI oder Router-Interface) konfiguriert?
  • Access-Port hat falsches VLAN: show interfaces GigX switchport zeigt das konfigurierte VLAN
  • Trunk-Port erlaubt das VLAN nicht: show interfaces trunk zeigt, welche VLANs erlaubt und aktiv sind

Zwei Geraete im selben VLAN koennen sich nicht pingen

  • Ist STP (Spanning Tree) schuld? Pruefe ob der Port im forwarding-Zustand ist: show spanning-tree
  • Firewall- oder ACL-Regeln koennen auch Intra-VLAN-Traffic blockieren
  • Subnetmasken passen nicht zusammen (z.B. /24 vs. /25)

Inter-VLAN-Routing funktioniert nicht

! Aktuelle VLAN-Datenbank anzeigen
show vlan brief

! Trunk-Port-Status pruefen
show interfaces trunk

! SVI-Status pruefen (Layer-3-Switch)
show ip interface brief

! Routing-Tabelle anzeigen
show ip route

! IP-Routing aktiviert?
show running-config | include ip routing

Haeufige Ursachen:

  • ip routing vergessen zu aktivieren
  • SVI ist shutdown oder down/down
  • Das VLAN ist dem Trunk-Port nicht erlaubt
  • Falsche Standardroute fuer abgehenden Traffic

Netzwerk-Schleife durch Fehlkonfiguration

Wenn ein Trunk-Port versehentlich mit einem Access-Port verbunden wird, kann STP (Spanning Tree Protocol) das zwar abfangen, aber es fuehrt zu Verzoegerungen. Pruefe immer show spanning-tree wenn Ports unerklaerlich blockieren.

VLAN-Konfiguration auf anderen Plattformen

Unifi (Ubiquiti)

Im Unifi-Controller unter Networks > Create New Network: VLAN-ID eintragen, VLAN-only aktivieren. Am Switch-Port unter Port Profile das passende VLAN-Profil waehlen. Trunk-Ports (Uplinks zwischen Switches) werden automatisch konfiguriert.

HP Procurve / Aruba

# VLAN erstellen
vlan 10
  name "User"
  untagged 1-8         ! Access Ports: untagged = Access
  tagged 24            ! Uplink: tagged = Trunk
  ip address 192.168.10.1/24

# Trunk-Port zu anderem Switch
vlan 10
  tagged 24
vlan 20
  tagged 24

Mikrotik RouterOS

# Auf einem CRS-Switch: VLAN-Bridge konfigurieren
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether1 vlan-ids=10
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether2 vlan-ids=20

Checkliste vor der VLAN-Inbetriebnahme

  • VLAN-IDs und Subnetz-Plan dokumentiert (IP-Adressplan)
  • VLANs auf allen beteiligten Switches erstellt
  • Trunk-Ports konfiguriert und alle benoetigen VLANs erlaubt
  • Access-Ports den richtigen VLANs zugewiesen
  • DHCP-Scopes fuer jedes VLAN vorhanden (oder statische IPs)
  • Inter-VLAN-Routing konfiguriert (L3-Switch oder Router-on-a-Stick)
  • Firewall-Regeln zwischen VLANs definiert
  • Native VLAN auf beiden Seiten jedes Trunks identisch
  • Konfiguration gespeichert (copy running-config startup-config)
  • Dokumentation aktualisiert

Weiterlernen

Verwandte Seiten in diesem Wiki:

Videos

YouTube
Netzwerk: Was ist VLAN – VLAN Grundlagen schnell und einfach erklärt
YouTube
VLAN – Grundlagen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben