Stell dir vor, du teilst ein Großraumbüro
Du hast einen Switch mit 24 Ports, daran hängen Buchhaltung, Vertrieb, Server und der Gäste-WLAN-Access-Point. Alle reden auf einem gemeinsamen Netzwerk — also hört die Praktikantin im Gäste-WLAN zufällig die SAP-Pakete der Buchhaltung mit. Nicht so geil.
Eine Lösung: vier separate Switches kaufen. Aber das ist teuer und unflexibel. Die smarte Lösung heißt VLAN — Virtual Local Area Network. Du baust auf einem physischen Switch mehrere virtuelle Switches, die nichts voneinander wissen. Buchhaltung in VLAN 10, Vertrieb in VLAN 20, Server in VLAN 30, Gäste in VLAN 99 — fertig.
VLAN = virtuelle Wand
Stell dir den Switch wie ein Großraumbüro vor. Ein VLAN ist eine virtuelle Trennwand: alles innerhalb der Wand kann sich hören, alles außerhalb nicht. Wer rüber will, muss zur Tür gehen — und die Tür ist ein Router.
Wozu macht man das?
- Sicherheit — Gäste-WLAN kommt nicht an die Server-Datenbank, selbst wenn beide am selben Switch hängen.
- Weniger Broadcast-Lärm — ARP-Requests bleiben im VLAN, statt alle 200 Geräte zu nerven.
- Logische Ordnung — IT-Abteilung darf in mehreren Räumen sitzen, ist aber im selben VLAN. Räumliche Verteilung ≠ Netzwerk-Struktur.
- QoS — Voice-VLANs für VoIP-Telefone können bevorzugt werden.
Access-Port vs. Trunk-Port
Jeder Switch-Port lässt sich auf einen von zwei Modi konfigurieren:
Access-Port
Gehört zu genau einem VLAN. Da hängen Endgeräte dran (PC, Drucker, IP-Telefon). Pakete kommen ungetagged rein und raus — der PC weiß gar nicht, dass es VLANs gibt.
Trunk-Port
Trägt mehrere VLANs gleichzeitig. Verbindung zwischen zwei Switches oder zum Router. Pakete werden mit einem VLAN-Tag (802.1Q) versehen, damit der Empfänger weiß: "Dieses Paket gehört zu VLAN 20".
802.1Q — wie der VLAN-Tag funktioniert
Der Standard IEEE 802.1Q definiert, wie ein VLAN-Tag in einen Ethernet-Frame eingeschoben wird. Vier Byte zusätzlich, davon 12 Bits für die VLAN-ID — macht 4.094 mögliche VLANs (0 und 4095 sind reserviert).
Tag oder kein Tag?
- Frame zwischen PC und Switch (Access-Port) → untagged
- Frame zwischen zwei Switches (Trunk-Port) → tagged mit VLAN-ID
- Native VLAN im Trunk → ungetaggt (für Geräte, die kein 802.1Q sprechen)
Wie reden zwei VLANs miteinander?
Antwort: gar nicht direkt. Zwei VLANs sind getrennte Netze auf Schicht 2. Damit Pakete von VLAN 10 zu VLAN 20 kommen, brauchen sie einen Router oder einen Layer-3-Switch, der zwischen den VLANs routet.
Das nennt man Inter-VLAN-Routing. In modernen Setups übernimmt das oft ein L3-Switch direkt im Switch-Chassis (statt einem separaten Router) — schnell und elegant.
Klassischer Fehler
Wenn der PC plötzlich keinen Drucker mehr findet und beide hängen am gleichen Switch — schau erst, ob sie wirklich im gleichen VLAN sind. "Same Switch" heißt nicht "kann sich sehen".
Default-VLAN und Native-VLAN
- Default-VLAN — bei Cisco standardmäßig
VLAN 1. Da landen alle Ports, wenn man nichts konfiguriert. Aus Security-Sicht eher ungünstig — gute Praxis: VLAN 1 leer lassen, eigene VLANs anlegen. - Native-VLAN — das VLAN, dessen Frames im Trunk ohne Tag laufen. Wird oft auch VLAN 1 zugeordnet. Sollte aus Sicherheitsgründen ein eigenes, sonst ungenutztes VLAN sein (Stichwort: VLAN-Hopping).
Was du dir mitnehmen solltest
- VLAN trennt Geräte logisch, obwohl sie am gleichen Switch hängen — wie virtuelle Trennwände.
- Access-Port = ein VLAN (zum Endgerät). Trunk-Port = viele VLANs (zwischen Switches).
- VLAN-Tags nach 802.1Q haben 12 Bits → max. 4.094 VLANs möglich.
- Zwischen zwei VLANs muss ein Router (oder L3-Switch) — Inter-VLAN-Routing.
- Aus Security-Gründen: VLAN 1 nicht produktiv nutzen, eigenes Native-VLAN definieren.