March 29, 2026

21.5 VLAN-Segmentierung und ACL-Labs für Einsteiger

VLAN-Segmentierung und Access Control Lists gehören zu den wichtigsten Grundlagen in modernen Netzwerken. Sie sorgen dafür, dass Geräte logisch getrennt, Broadcast-Domänen sauber strukturiert und Zugriffe zwischen Netzsegmenten gezielt gesteuert werden können. Für Einsteiger sind VLANs und ACLs besonders wichtig, weil sich an ihnen zentrale Netzwerkprinzipien aus der Praxis erklären lassen: logische Trennung, Routing zwischen Subnetzen, Sicherheitsrichtlinien und kontrollierter Datenverkehr. In typischen Lab-Umgebungen mit Cisco-Switches und Routern oder Layer-3-Switches lassen sich diese Konzepte sehr gut nachvollziehen. Wer VLAN-Segmentierung und ACL-Labs versteht, legt ein stabiles Fundament für Themen wie Inter-VLAN-Routing, Netzwerkhärtung, Zero-Trust-Segmentierung und Enterprise Switching.

Was VLAN-Segmentierung in Netzwerken bewirkt

Ein Virtual LAN trennt ein physisches Netzwerk logisch in mehrere Broadcast-Domänen. Geräte in unterschiedlichen VLANs verhalten sich so, als ob sie in getrennten Netzwerken angeschlossen wären, selbst wenn sie am selben Switch arbeiten. Ohne Routing können Hosts in verschiedenen VLANs nicht direkt miteinander kommunizieren.

Diese logische Trennung ist in der Praxis essenziell, weil unterschiedliche Benutzer, Abteilungen, Gerätetypen oder Sicherheitszonen voneinander abgegrenzt werden müssen. Typische Beispiele sind getrennte VLANs für Clients, Server, Drucker, VoIP-Telefone, Gastnetzwerke oder Management-Zugänge.

Typische Vorteile von VLANs

  • Reduzierung unnötiger Broadcasts
  • Logische Trennung von Benutzergruppen und Diensten
  • Bessere Übersichtlichkeit im Netzwerkdesign
  • Grundlage für Sicherheitsrichtlinien zwischen Segmenten
  • Einfachere Fehleranalyse und gezieltere Zugriffskontrolle

Für Einsteiger ist wichtig: VLANs allein sind noch keine vollständige Sicherheitslösung. Sie schaffen zunächst nur die Trennung auf Layer 2. Sobald Routing zwischen VLANs eingerichtet wird, braucht es zusätzliche Steuermechanismen, damit nicht wieder jeder auf alles zugreifen kann. Genau hier kommen ACLs ins Spiel.

Grundlagen von ACLs im Zusammenspiel mit VLANs

Eine Access Control List ist eine regelbasierte Filterliste, die Datenverkehr anhand definierter Kriterien erlaubt oder blockiert. Dazu können Quell-IP, Ziel-IP, Protokolltyp oder Portnummer gehören. ACLs werden typischerweise auf Router-Interfaces, Subinterfaces oder SVIs eines Layer-3-Switches angewendet.

Im Einsteiger-Lab werden ACLs meist dazu verwendet, den Verkehr zwischen VLANs gezielt einzuschränken. So lässt sich beispielsweise erlauben, dass Benutzer aus dem Client-VLAN einen Server per HTTP oder ICMP erreichen, während der Zugriff auf das Management-VLAN verboten bleibt.

Warum ACLs in VLAN-Labs wichtig sind

  • Sie zeigen den Unterschied zwischen Erreichbarkeit und autorisiertem Zugriff
  • Sie helfen beim Verständnis von Layer-3-Sicherheit
  • Sie machen Routing-Entscheidungen sichtbar und kontrollierbar
  • Sie simulieren reale Unternehmensrichtlinien im Lab

Ein grundlegender Merksatz lautet: VLANs trennen, Routing verbindet, ACLs kontrollieren. Diese Reihenfolge ist didaktisch und praktisch sehr hilfreich.

Typische Lab-Topologie für VLAN-Segmentierung und ACLs

Für ein Einsteiger-Lab reicht bereits eine kleine Topologie mit einem Switch, einem Router oder Layer-3-Switch und mehreren Endgeräten. Auch Netzwerk-Simulatoren wie Cisco Packet Tracer, GNS3 oder EVE-NG eignen sich dafür sehr gut.

Beispiel einer einfachen Lab-Struktur

  • VLAN 10 für Clients
  • VLAN 20 für Server
  • VLAN 30 für Management
  • Ein Trunk zwischen Switch und Router oder Layer-3-Switch
  • Je ein Host in den VLANs 10 und 20
  • Optional ein administrativer Host im VLAN 30

Eine mögliche IP-Struktur könnte so aussehen:

  • VLAN 10: 192.168.10.0/24
  • VLAN 20: 192.168.20.0/24
  • VLAN 30: 192.168.30.0/24

Standard-Gateways wären dann:

  • 192.168.10.1 für VLAN 10
  • 192.168.20.1 für VLAN 20
  • 192.168.30.1 für VLAN 30

VLANs auf dem Switch anlegen

Im ersten Lab-Schritt werden die VLANs erstellt und die Access-Ports den jeweiligen Segmenten zugewiesen. Dabei ist wichtig, dass Endgeräteports als Access-Ports konfiguriert werden und Uplink-Ports bei Bedarf als Trunks arbeiten.

Beispielkonfiguration für VLAN-Erstellung

enable
configure terminal
vlan 10
 name CLIENTS
vlan 20
 name SERVERS
vlan 30
 name MANAGEMENT
exit

Access-Ports den VLANs zuweisen

interface FastEthernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit

interface FastEthernet0/2
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
exit

interface FastEthernet0/3
 switchport mode access
 switchport access vlan 30
 spanning-tree portfast
exit

Hier liegt ein häufiger Anfängerfehler darin, Ports zwar physisch anzuschließen, aber nicht korrekt dem VLAN zuzuweisen. In diesem Fall erhält der Host möglicherweise keine Verbindung zum erwarteten Segment.

Wichtige Prüfkommandos auf dem Switch

show vlan brief
show interfaces status
show running-config
  • show vlan brief zeigt, welche VLANs existieren und welche Ports zugeordnet sind
  • show interfaces status hilft bei der schnellen Sicht auf Portzustände
  • show running-config dient zur Kontrolle der Konfiguration

Trunk-Verbindung für mehrere VLANs konfigurieren

Sobald der Switch mehrere VLANs zu einem Router oder Layer-3-Switch transportieren soll, wird ein Trunk benötigt. Ein Trunk trägt Traffic mehrerer VLANs über denselben physischen Link. Die VLAN-Zuordnung wird dabei mit einem Tagging-Verfahren übertragen.

Beispiel für eine Trunk-Konfiguration

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 no shutdown
exit

Im Einsteiger-Lab ist das Verständnis wichtig, dass ein Access-Port genau einem VLAN zugeordnet ist, während ein Trunk mehrere VLANs transportiert. Wenn der Trunk falsch konfiguriert ist, funktioniert Inter-VLAN-Routing meist überhaupt nicht.

Typische Prüfkommandos für Trunks

show interfaces trunk
show running-config interface GigabitEthernet0/1

Inter-VLAN-Routing mit Router-on-a-Stick

Eine klassische Lab-Methode für Einsteiger ist Router-on-a-Stick. Dabei wird ein physisches Router-Interface in mehrere Subinterfaces aufgeteilt. Jedes Subinterface gehört zu einem VLAN und erhält eine eigene IP-Adresse als Gateway.

Beispiel für Router-on-a-Stick

enable
configure terminal
interface GigabitEthernet0/0
 no shutdown
exit

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
exit

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
exit

interface GigabitEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0
exit

Nach dieser Konfiguration können Hosts aus verschiedenen VLANs grundsätzlich miteinander kommunizieren, sofern ihre Default-Gateways korrekt gesetzt sind. Genau an diesem Punkt wird das ACL-Lab interessant: Erst die Kommunikation herstellen, dann gezielt einschränken.

Prüfkommandos auf dem Router

show ip interface brief
show running-config interface GigabitEthernet0/0.10
show running-config interface GigabitEthernet0/0.20
show running-config interface GigabitEthernet0/0.30

Alternativ: Inter-VLAN-Routing mit Layer-3-Switch

In produktiven Netzwerken ist Inter-VLAN-Routing häufig direkt auf einem Layer-3-Switch implementiert. Für Einsteiger ist das ebenfalls ein wertvoller Lab-Ansatz, weil dabei sogenannte Switch Virtual Interfaces verwendet werden.

Beispiel für SVIs auf einem Layer-3-Switch

enable
configure terminal
ip routing

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown
exit

interface vlan 20
 ip address 192.168.20.1 255.255.255.0
 no shutdown
exit

interface vlan 30
 ip address 192.168.30.1 255.255.255.0
 no shutdown
exit

Diese Methode reduziert den Konfigurationsaufwand und entspricht eher modernen Campus- und Enterprise-Designs. Für Lernzwecke ist jedoch sowohl Router-on-a-Stick als auch SVI-Routing nützlich, weil beide Varianten grundlegende Zusammenhänge verdeutlichen.

Erstes ACL-Lab: Management-VLAN schützen

Ein typisches Einsteiger-Szenario besteht darin, das Management-VLAN vor direktem Zugriff aus Benutzer-VLANs zu schützen. Beispielsweise sollen Clients aus VLAN 10 keine Geräte im VLAN 30 erreichen dürfen. Zugleich soll aber Routing zu anderen notwendigen Zielen, etwa einem Server in VLAN 20, möglich bleiben.

Ziel des Labs

  • VLAN 10 darf VLAN 20 erreichen
  • VLAN 10 darf VLAN 30 nicht erreichen
  • Management-Zugriffe sollen nur aus VLAN 30 selbst erlaubt sein

Extended ACL erstellen

configure terminal
ip access-list extended BLOCK_MGMT
 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip any any
exit

Diese ACL blockiert jeglichen IP-Verkehr von VLAN 10 nach VLAN 30 und erlaubt danach allen übrigen Verkehr. Die Reihenfolge ist entscheidend, weil ACLs von oben nach unten ausgewertet werden.

ACL auf Interface anwenden

Bei Router-on-a-Stick kann die ACL beispielsweise inbound auf dem Subinterface von VLAN 10 angewendet werden:

interface GigabitEthernet0/0.10
 ip access-group BLOCK_MGMT in
exit

Danach sollte ein Host aus VLAN 10 das Management-VLAN nicht mehr erreichen, während andere erlaubte Kommunikationspfade weiterhin funktionieren.

Wichtige Prüfkommandos für ACLs

show access-lists
show ip interface GigabitEthernet0/0.10
show running-config | section access-list
  • show access-lists zeigt Trefferzähler und Regeln
  • show ip interface bestätigt, ob eine ACL am Interface aktiv ist
  • Trefferzähler helfen bei der Fehlersuche und Validierung

Zweites ACL-Lab: Nur bestimmte Dienste erlauben

Im nächsten Schritt kann das Lab realistischer gestaltet werden. Statt kompletten IP-Verkehr zu erlauben, dürfen Clients aus VLAN 10 nur noch auf bestimmte Dienste eines Servers in VLAN 20 zugreifen, etwa HTTP und ICMP.

Lab-Ziel

  • Client-VLAN darf Webserver in VLAN 20 per HTTP erreichen
  • Ping zum Server ist erlaubt
  • Andere Zugriffe von VLAN 10 nach VLAN 20 werden blockiert

Beispiel einer dienstbasierten ACL

configure terminal
ip access-list extended CLIENT_TO_SERVER
 permit tcp 192.168.10.0 0.0.0.255 host 192.168.20.10 eq 80
 permit icmp 192.168.10.0 0.0.0.255 host 192.168.20.10
 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip any any
exit

Hier wird nur HTTP und ICMP zu einem bestimmten Server erlaubt. Der restliche Verkehr aus VLAN 10 zum gesamten Servernetz wird blockiert. Danach folgt wieder eine generelle Erlaubnis für übrige Ziele, sofern diese nicht bereits getroffen wurden.

Anwendung der ACL

interface GigabitEthernet0/0.10
 ip access-group CLIENT_TO_SERVER in
exit

Bei solchen Labs lernen Einsteiger schnell, wie granular ACLs eingesetzt werden können. Gleichzeitig wird klar, warum saubere Dokumentation von Regeln so wichtig ist: Mit steigender Komplexität werden ACLs sonst unübersichtlich.

Standard ACLs und Extended ACLs richtig einordnen

Ein zentraler Lernpunkt in ACL-Labs ist der Unterschied zwischen Standard ACLs und Extended ACLs. Standard ACLs filtern im Wesentlichen nur anhand der Quelladresse. Extended ACLs erlauben deutlich präzisere Regeln.

Unterschiede im Überblick

  • Standard ACLs prüfen hauptsächlich die Quell-IP
  • Extended ACLs prüfen Quelle, Ziel, Protokoll und Ports
  • Extended ACLs sind für VLAN-Sicherheitsrichtlinien meist besser geeignet

In Einsteiger-Labs werden Standard ACLs oft zu Lehrzwecken gezeigt, in realen Segmentierungsaufgaben sind jedoch Extended ACLs fast immer die praktischere Wahl.

Beispiel einer Standard ACL

access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any

Diese Art von ACL ist einfach, aber für gezielte Steuerung zwischen VLANs zu grob. Deshalb sollte der Schwerpunkt in Labs früh auf Extended ACLs liegen.

Häufige Fehler in VLAN- und ACL-Labs

Gerade am Anfang entstehen Fehler oft nicht durch fehlendes Verständnis des Gesamtkonzepts, sondern durch kleine Konfigurationsdetails. Wer diese Fehlerbilder kennt, kann Labs deutlich schneller analysieren.

Typische VLAN-Probleme

  • Ports sind dem falschen VLAN zugeordnet
  • Trunk transportiert nicht alle benötigten VLANs
  • Default-Gateway auf Hosts ist falsch gesetzt
  • SVI oder Router-Subinterface ist administrativ down
  • IP-Adressierung passt nicht zum VLAN-Subnetz

Typische ACL-Probleme

  • ACL in falscher Richtung angewendet
  • Falsches Interface oder falsches Subinterface gewählt
  • Regelreihenfolge blockiert erlaubten Verkehr
  • Wildcard-Masken sind falsch definiert
  • Das implizite deny am Ende wurde nicht berücksichtigt

Besonders wichtig ist das implizite deny any am Ende jeder ACL. Wird kein explizites Permit gesetzt, wird der restliche Verkehr automatisch verworfen.

Nützliche Troubleshooting-Befehle

show ip interface brief
show vlan brief
show interfaces trunk
show access-lists
show running-config
ping
traceroute

Mit diesen Kommandos lassen sich die meisten Einsteigerprobleme strukturiert untersuchen. Empfehlenswert ist dabei immer die Reihenfolge: erst Layer 1 und Layer 2 prüfen, dann IP-Konfiguration, danach Routing und zuletzt ACL-Logik.

Didaktischer Aufbau sinnvoller Einsteiger-Labs

Ein gutes Lab sollte nicht sofort mit komplexen Regeln starten. Lernwirksam ist ein stufenweiser Aufbau, bei dem jede Phase auf der vorherigen aufbaut. So wird sichtbar, welche Komponente welche Funktion erfüllt.

Empfohlene Lab-Reihenfolge

  • Zuerst VLANs erstellen und Ports korrekt zuweisen
  • Danach Trunking zwischen Switch und Router oder L3-Switch aufbauen
  • Anschließend Inter-VLAN-Routing aktivieren
  • Erst danach einfache ACLs einführen
  • Zum Schluss gezielte dienstbasierte Regeln testen

Dieser Aufbau vermittelt nicht nur Technik, sondern auch methodisches Troubleshooting. Einsteiger erkennen so, dass ACLs erst dann sinnvoll geprüft werden können, wenn VLANs, IP-Adressierung und Routing sauber funktionieren.

Praxisbezug: Warum diese Labs für reale Netzwerke relevant sind

VLAN-Segmentierung und ACLs sind keine isolierten Prüfungsthemen, sondern Alltag in produktiven Netzwerken. In Unternehmen werden Benutzer, Server, IoT-Geräte, Voice-Endpunkte, Gäste und Administrationssysteme regelmäßig in getrennten Segmenten betrieben. Ohne saubere Trennung würden sich Broadcasts unnötig ausbreiten, Sicherheitszonen verschwimmen und Angriffsflächen deutlich wachsen.

ACLs ergänzen diese Trennung um konkrete Sicherheitsrichtlinien. Sie erlauben beispielsweise nur definierte Verbindungen zwischen Clients und Servern, schützen Management-Netze vor unberechtigtem Zugriff oder begrenzen Ost-West-Verkehr zwischen internen Segmenten. Für Einsteiger ist genau dieser Übergang entscheidend: Aus einer reinen Netzwerkkonfiguration wird ein kontrolliertes und strukturierteres Sicherheitsdesign.

Typische reale Einsatzszenarien

  • Trennung von Benutzer- und Servernetz
  • Schutz des Management-VLAN vor Client-Zugriffen
  • Segmentierung von IoT- oder Drucker-Netzen
  • Einschränkung bestimmter Dienste zwischen Abteilungen
  • Vorbereitung auf weiterführende Security-Konzepte wie NAC oder Zero Trust

Wer VLAN-Segmentierung und ACL-Labs für Einsteiger sauber beherrscht, versteht zentrale Mechanismen moderner Enterprise-Netzwerke: logische Trennung, kontrolliertes Routing, richtlinienbasierte Zugriffe und systematisches Troubleshooting. Genau deshalb gehören diese Labs zu den wertvollsten Übungen im Bereich Switching und Netzwerksicherheit.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick