VLAN (Virtual Local Area Network) teilt ein einziges physisches Netzwerk in mehrere logische, voneinander unabhängige Teilnetze auf.
Geräte werden nach Abteilungen, Funktionen oder Sicherheitsstufen gruppiert – ohne teure Neuverkabelung oder zusätzliche Hardware.
Funktion:
1. Logische Segmentierung
- Physisch: Alle Geräte hängen am selben Switch/Kabel.
- Logisch: Jede VLAN-ID (1-4094) bildet eine eigene Broadcast-Domäne.
- Traffic-Trennung: Geräte in VLAN 10 „sehen“ VLAN 20 nicht direkt.
2. Vorteile der Trennung
VLAN 10 = Vertrieb (PC, Drucker)
VLAN 20 = IT-Admin (Server, Management)
VLAN 99 = Gäste (Internet only)
VLAN 30 = IoT (Kameras, Smart Devices)- Sicherheit: Arbeitsgruppen isoliert
- Performance: Weniger Broadcast-Verkehr pro VLAN
- Flexibilität: Geräte per Port/Switch-Port zu VLAN zuweisen
3. Broadcast-Domänen pro VLAN
Jedes VLAN = separate Layer-2-Domäne. Broadcasts bleiben innerhalb VLANs – kein Flooding ins gesamte Netzwerk.
⚙️ Vorgehen (IEEE 802.1Q Tagging):
1️⃣ Paket kommt am Switch-Port an
2️⃣ Switch prüft Port-VLAN-Zuweisung
3️⃣ Fügt 4-Byte VLAN-Tag hinzu:
│ VLAN-ID (12 Bit)
│ Priority (3 Bit, QoS)
│ CFI (1 Bit, kompatibilität)
4️⃣ Weiterleitung nur an Ports mitselber VLAN-ID
5️⃣ Trunk-Ports transportieren ALLE VLANs (tagged)Switch-Filterlogik:
Port 5 (VLAN 10) → nur VLAN 10 Traffic
Port 6 (VLAN 20) → nur VLAN 20 Traffic
Trunk-Port → VLAN 10+20+99 Traffic (tagged)🔌 Einsatzbeispiele:
| Abteilung/Funktion | VLAN-ID | Zweck | Zugriff |
|---|---|---|---|
| Vertrieb | 10 | PC+Drucker | VLAN10+Internet |
| IT-Admin | 20 | Server+Management | Alle VLANs |
| Gäste | 99 | WLAN-Internet | Nur Internet |
| IoT | 30 | Kameras+Sensoren | VLAN30 only |
| Management | 100 | Switch/SNMP | VLAN100 only |
Inter-VLAN-Routing: Layer-3-Switch oder Router-on-a-Stick für Kommunikation zwischen VLANs.
Status: De-facto-Standard in allen Managed Switches (Cisco IOS, HP ProCurve, Ubiquiti UniFi, MikroTik).
Ideal für: Mittelstand/Enterprise ohne Netzwerkumbau, Drucker-Management (pro Abteilung VLAN), Gast-/IoT-Sicherheit.