VLANs (Virtual Local Area Networks) unterteilen ein physisches Netzwerk logisch in mehrere, voneinander unabhängige, virtuelle Netzwerke. Jedes VLAN bildet eine eigene Broadcast-Domäne. Dadurch verbreitet sich Broadcast-Verkehr, etwa von DHCP- und ARP-Anfragen, lediglich innerhalb des jeweiligen VLANs und stört nicht die Geräte in anderen VLANs. Geräte in einem VLAN befinden sich zwar im selben physischen Netzwerk, können aber getrennt voneinander agieren – ohne zusätzliche Switches oder Kabel. Zum Beispiel arbeiten die Abteilungen Marketing und Entwicklung über denselben Switch, sind jedoch durch VLANs voneinander getrennt.

Was sind VLANs und weshalb sind sie wichtig?

• Mehr Sicherheit: Kritische Systeme isolieren, wie Server, Gäste-WLAN und Entwicklungsabteilungen. Doch VLANs isolieren nur Layer-2-Traffic.

  • Für feingranulare Sicherheitsrichtlinien auf höheren Ebenen (Layer 3, 4 oder 7) sind ergänzende Maßnahmen wie Firewalls, Access Control Lists (ACLs) oder Network Access Control (NAC) zwingend erforderlich.

  • Zero-Trust-Architekturen und Mikrosegmentierung mit Software Defined Networking (SDN) sind inzwischen weit verbreitet und bieten deutlich präzisere und dynamischere Sicherheitskontrollen als VLANs allein. Sie gehen davon aus, dass keinem Gerät oder Benutzer standardmäßig vertraut wird, und erzwingen eine strikte Identitätsprüfung und Autorisierung für jeden Zugriff.

• Bessere Performance: Der Broadcast-Verkehr in großen Netzwerken sinkt und die Gesamtleistung steigt.

• Bessere Struktur: Abteilungen und Geräte lassen sich logisch gruppieren.

• Flexibilität und Skalierbarkeit: Geräte können logischen Gruppen zugeordnet werden, unabhängig von ihrem physischen Standort. Umzüge von Arbeitsplätzen erfordern häufig kein Umverkabeln, sondern lediglich eine Port-Neukonfiguration.

• Kostenersparnis: Durch das effizientere Nutzen der vorhandenen Netzwerkinfrastruktur ist weniger Hardware und separate Verkabelung nötig.

Wo konfiguriere ich VLANs?

• Managebare Switches (Layer 2/Layer 3): Die primären Geräte zum Erstellen und Verwalten von VLANs. Hier definieren Sie, welche Ports zu welchen VLANs gehören.

• Router: Sollen Geräte in unterschiedlichen VLANs miteinander kommunizieren (Inter-VLAN-Routing), wird ein Router benötigt. Dieser leitet den Verkehr gezielt zwischen den VLANs weiter.

• Layer-3-Switches: Diese fortschrittlichen Switches kombinieren Switching-Funktionen (Layer 2) mit Routing-Funktionen (Layer 3). Sie können Inter-VLAN-Routing direkt durchführen, häufig performanter als ein externer Router.

• Firewalls: Moderne Firewalls sind oft VLAN-fähig und fungieren als Gateway zwischen VLANs, um detaillierte Sicherheitsrichtlinien und Filterregeln durchzusetzen.

• Wireless Access Points (APs): Um auch im WLAN sinnvoll zu segmentieren, können Aps für drahtlose Netzwerke so konfiguriert werden, dass verschiedene SSIDs (WLAN-Namen) unterschiedlichen VLANs zugeordnet werden.

• Virtualisierte Infrastrukturen, Cloud- und Container-Umgebungen: In modernen IT-Landschaften sind klassische VLANs nicht immer die erste Wahl oder 1:1 übertragbar.

  • Virtualisierte Infrastrukturen und Cloud-Umgebungen: Hier dominieren oft flexiblere Overlay-Technologien wie VXLAN (Virtual Extensible LAN), die die Skalierungsgrenzen von VLANs überwinden und netzwerkübergreifende virtuelle Segmente ermöglichen. Cloud-Anbieter nutzen proprietäre, segregierte virtuelle Netzbereiche (z.B. AWS VPC, Azure VNet).

  • Container-Umgebungen: Plattformen wie Kubernetes setzen auf eigene Mechanismen zur Netzwerksegmentierung. Hier definieren Network Policies und CNMI-Plug-ins (Container Network Management Interface) den erlaubten Datenverkehr zwischen Pods und Services, was eine wesentlich agilere und anwendungsnähere Segmentierung erlaubt.

Wie konfiguriere ich VLANs?

1. Auf dem Switch

• VLANs erstellen: Legen Sie zunächst die VLANs auf dem Switch an. Jedes VLAN erhält eine eindeutige VLAN-ID: Eine Zahl zwischen 1 und 4094, wobei einige Bereiche reserviert sind – optional auch einen beschreibenden Namen, wie VLAN 10 "Marketing" oder VLAN 20 "Entwicklung". Beispiel: vlan 10 name Marketing.

• Ports zu VLANs zuweisen:

  • Access Port: Ein Port, der direkt mit einem Endgerät (PC, Drucker) verbunden ist, wird meist als Access Port konfiguriert. Ein Access Port gehört einem VLAN an. Der Switch entfernt das VLAN-Tag, bevor Daten an das Endgerät gesendet werden und fügt das Tag hinzu, wenn Daten vom Endgerät empfangen werden. Das Endgerät ist sich des VLANs nicht bewusst. Beispiel: interface GigabitEthernet0/1 switchport mode access switchport access vlan 10.

  • Trunk Port: Ein Port, der zwei Switches miteinander verbindet oder einen Switch mit einem Router/einer Firewall verbindet, wird als Trunk Port konfiguriert. Ein Trunk Port kann Datenverkehr für mehrere VLANs gleichzeitig transportieren. Dazu wird der Standard IEEE 802.1Q verwendet, der jedem Ethernet-Frame ein 4-Byte großes "Tag" hinzufügt, das die VLAN-ID enthält. Beispiel: interface GigabitEthernet0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30.

  • Native VLAN: Auf einem Trunk Port gibt es das Konzept des Native VLANs. Datenverkehr dieses VLANs wird auf dem Trunk Port ungetaggt übertragen. Es ist wichtig, das Native VLAN auf beiden Seiten eines Trunk-Links identisch zu konfigurieren, um Probleme zu vermeiden. Aus Sicherheitsgründen wird empfohlen, das Default-VLAN (meist VLAN 1) nicht als Native VLAN für Trunks zu verwenden und ihm keine Benutzerports zuzuordnen. Beispiel: switchport trunk native vlan 99 (auf einem Trunk Port).

• Voice VLAN: Für IP-Telefone gibt es häufig eine spezielle Voice-VLAN-Funktion. Ein Switch-Port kann so konfiguriert werden, dass er ungetaggten Datenverkehr für einen angeschlossenen PC in einem Daten-VLAN verarbeitet und getaggten Sprachverkehr für das IP-Telefon in einem separaten Voice-VLAN. Beispiel: switchport voice vlan 40 (zusätzlich zur Access-VLAN-Konfiguration).

• Die manuelle Port-Zuweisung ist in kleinen Umgebungen praktikabel, aber in großen Netzwerken nicht mehr zeitgemäß. Moderne Ansätze umfassen:

  • Dynamische VLAN-Zuweisung: Statt Ports statisch zu konfigurieren, werden VLANs oft automatisiert zugewiesen: dynamisch, auf Basis der Identität des Geräts oder des Benutzers. Technologien wie RADIUS (802.1X), NAC-Systeme und Software-Defined Access (SDA) ermöglichen, dass ein Gerät an jedem beliebigen Port angeschlossen werden kann und automatisch dem richtigen VLAN zugeordnet wird.

  • Zentrale, richtlinienbasierte Verwaltung: Statt jeden Switch einzeln zu konfigurieren, erlauben zentrale Management-Plattformen eine richtlinienbasierte Konfiguration des gesamten Netzwerks. Tools wie Cisco DNA Center, Aruba Central und ExtremeCloud IQ sind führende Beispiele, die die Administration erheblich vereinfachen, Fehler reduzieren und eine konsistente Richtlinienumsetzung sicherstellen.

2. Inter-VLAN-Routing (Kommunikation zwischen VLANs)

Da VLANs voneinander isoliert sind, benötigen Sie eine Layer-3-Komponente, um Verkehr zwischen ihnen zu ermöglichen:

• Router-on-a-Stick:
  • Ein Router wird über einen einzelnen Trunk Port mit dem Switch verbunden.
  • Auf dem Router werden für jedes VLAN, das geroutet werden soll, logische Subinterfaces auf der physischen Schnittstelle erstellt. Jedes Subinterface erhält eine IP-Adresse aus dem jeweiligen VLAN-Subnetz und wird als Gateway für die Geräte in diesem VLAN konfiguriert. Das Subinterface wird auch so konfiguriert, dass es 802.1Q-getaggten Verkehr für seine VLAN-ID versteht. Beispiel: Router-Konfiguration (vereinfacht):

• Layer-3-Switch:
  • Ein Layer-3-Switch kann das Routing intern durchführen. Dazu werden Switched Virtual Interfaces (SVIs) oder Router VLAN Interfaces (RVIs) erstellt. Ein SVI ist eine virtuelle Layer-3-Schnittstelle für ein VLAN.
  • Sie weisen dem SVI eine IP-Adresse aus dem Subnetz des entsprechenden VLANs zu, und dieses SVI dient dann als Gateway für alle Geräte in diesem VLAN. Beispiel: Layer-3-Switch-Konfiguration (vereinfacht):

3. DHCP-Konfiguration für VLANs:

• Jedes VLAN bildet ein eigenes Subnetz und benötigt daher in der Regel einen eigenen DHCP-Bereich (Scope) zur automatischen IP-Adressvergabe.
• DHCP-Anfragen (Broadcasts) gelangen nicht über VLAN-Grenzen (Router) hinweg. Daher muss auf dem Router oder Layer-3-Switch, der das Inter-VLAN-Routing durchführt, ein DHCP-Relay-Agent (oft als ip helper-address oder ähnlich bezeichnet) konfiguriert werden. Dieser fängt DHCP-Broadcasts aus den VLANs ab und leitet sie als Unicast-Pakete an die konfigurierte IP-Adresse des zentralen DHCP-Servers weiter.

4. Konfiguration von Endgeräten

• Standard-Endgeräte (PCs, Laptops, Drucker), die an Access Ports angeschlossen sind, benötigen keine spezielle VLAN-Konfiguration. Sie senden und empfangen ungetaggte Pakete und sind sich des VLANs nicht bewusst.
• Server und spezielle Geräte, die direkten Zugriff auf mehrere VLANs benötigen (zum Beispiel ein Virtualisierungshost) können Netzwerkkarten besitzen, die 802.1Q-Tagging unterstützen. Um getaggten Verkehr zu verarbeiten, muss das Betriebssystem oder die Hypervisor-Software entsprechend konfiguriert werden.

5. Wireless VLANs (WLANs)

• Auf managebaren Access Points (APs) können Sie mehrere SSIDs (Service Set Identifiers/WLAN-Namen) erstellen.
• Jede SSID wird einem bestimmten VLAN zugeordnet.
• Wenn sich ein Client mit einer SSID verbindet, taggt der AP den Datenverkehr dieses Clients mit der entsprechenden VLAN-ID, bevor er ihn ins kabelgebundene Netzwerk weiterleitet (meist über einen Trunk Port zum Switch).

VLANs in der Praxis: Best Practices

• Sorgfältig Planen: Definieren Sie frühzeitig, welche Gruppen getrennt werden sollen. Erstellen Sie einen detaillierten Plan Ihrer VLAN-Struktur, der IP-Adressvergabe für jedes VLAN und der Namenskonventionen bevor Sie mit der Konfiguration beginnen.
• Dokumentieren: Eine genaue, aktuelle Dokumentation Ihrer VLAN-Konfiguration ist für die Fehlersuche und für die Wartung unerlässlich (welcher Port gehört zu welchem VLAN, welche VLANs sind auf Trunks erlaubt, IP-Adressen der Gateways etc.).
• VLAN 1 meiden: VLAN 1 ist oft das Default-VLAN und wird für Managementprotokolle wie CDP, VTP, STP verwendet. Wir empfehlen daher, Benutzerdatenverkehr nicht in VLAN 1 zu platzieren und das Native VLAN auf Trunks auf ein ungenutztes VLAN zu ändern.
• VLANs konsistent definieren: Definieren Sie VLANs mit ID und Namen konsistent auf allen Switches im Netzwerk. Bei Trunk-Verbindungen müssen die erlaubten VLANs und das Native VLAN auf beiden Seiten übereinstimmen.
• Auf Sicherheit achten: VLANs segmentieren, sind jedoch kein Allheilmittel für Sicherheit. Kombinieren Sie daher VLANs mit Firewalls und Access Control Lists (ACLs) auf Routern oder Layer-3-Switches, um den Verkehr zwischen VLANs granular zu steuern und zu filtern.
• Schrittweise Implementieren: Führen Sie VLANs schrittweise ein und testen Sie jede Änderung sorgfältig – insbesondere in produktiven Umgebungen.
• Standard-VLANs meiden: Nutzen Sie benutzerdefinierte VLANs für produktive Daten.

Lesen Sie jetzt weiterführende Informationen zu VLANs in unserem Grundlagenartikel!

Welche weiteren Inhalte zu VLAN gibt es auf it-administrator.de?

• Lexikon: Virtual LAN
• Lexikon: Frame Tagging
• Lexikon: Virtual Port Switching
• Tipps & Tools: Netzwerke mit VLANs segmentieren
• Fachartikel: Netzwerke mit VLANs segmentieren - Logisch getunnelt
• Fachartikel: Einführung in das Monitoring mit Wireshark (1)
• Fachartikel: Einführung in das Monitoring mit Wireshark (2)
• Fachartikel: Einführung in das Monitoring mit Wireshark (3)
• Fachartikel: WLAN im Unternehmen richtig absichern (1)
• Fachartikel: WLAN im Unternehmen richtig absichern (2)