March 29, 2026

9.8 Sichere Netzwerksegmentierung in einem kleinen Unternehmen: Fallbeispiel

Eine sichere Netzwerksegmentierung in einem kleinen Unternehmen ist kein Luxus, sondern eine sehr praktische und wirksame Schutzmaßnahme. Gerade kleinere Firmen glauben oft, dass Segmentierung nur für große Enterprise-Umgebungen mit vielen Firewalls, Security-Teams und komplexen Core-Netzen sinnvoll sei. In der Realität profitieren kleine Unternehmen oft besonders stark davon, weil ihre IT personell schlanker aufgestellt ist, Änderungen pragmatisch erfolgen und ein einzelner Sicherheitsvorfall schnell große Teile des Betriebs beeinträchtigen kann. Wenn Mitarbeiter-PCs, Drucker, WLAN, Server, Gäste und Netzwerkmanagement in einem einzigen offenen Netz zusammengefasst werden, ist die Angriffsfläche unnötig groß. Eine Phishing-Mail, ein kompromittierter Laptop oder ein unsicheres IoT-Gerät kann dann deutlich leichter weitere Systeme erreichen. Für CCNA, Netzwerkpraxis und Cybersecurity ist deshalb wichtig zu verstehen, wie eine kleine Firma mit überschaubaren Mitteln ein logisch sauberes und sicheres Netzdesign aufbauen kann. Ein Fallbeispiel macht besonders anschaulich, wie VLANs, Inter-VLAN-Regeln, Managementtrennung und Gastzugänge in der Praxis zusammenwirken.

Table of Contents

Ausgangssituation des kleinen Unternehmens

Beispielunternehmen mit typischer IT-Struktur

Das Fallbeispiel betrachtet ein kleines Unternehmen mit rund 25 Mitarbeitern. Die Firma arbeitet an einem Hauptstandort mit einem kleinen Serverraum, einem Internetanschluss, einem zentralen Router oder einer Firewall, zwei managed Switches, einigen Access Points und mehreren Endgeräten. Die IT ist überschaubar, aber bereits geschäftskritisch. Es gibt eine gemeinsame Dateiablage, Drucker, WLAN für Mitarbeiter, ein Gäste-WLAN und einige zentrale Dienste wie DNS, DHCP, NAS-Storage und ein kleines Monitoring.

Vorhandene Systeme sind zum Beispiel:

  • 20 bis 25 Arbeitsplatzrechner und Notebooks
  • 2 bis 3 Netzwerkdrucker
  • 1 NAS oder Fileserver
  • 1 Router oder Firewall mit Internetzugang
  • 2 managed Switches
  • 2 Access Points
  • 1 bis 2 IP-Kameras oder IoT-Geräte

Das ist eine sehr typische Größenordnung, bei der Segmentierung bereits sinnvoll und gut umsetzbar ist.

Das ursprüngliche Netzwerk ist flach aufgebaut

Vor der Umstellung arbeitet das Unternehmen mit einem einzigen internen Netz, zum Beispiel 192.168.1.0/24. Alle Geräte befinden sich im selben VLAN oder sogar direkt im Standard-VLAN des Switches. DHCP verteilt Adressen an Clients, Drucker, Gäste und teilweise auch an Geräte, die sicherheitstechnisch eigentlich getrennt sein sollten.

Typische Merkmale dieses flachen Netzes:

  • alle Clients im selben Broadcast-Bereich
  • Drucker und Server direkt aus allen Bereichen erreichbar
  • Gäste-WLAN nicht sauber getrennt
  • Switch-Management im selben Netz wie Benutzergeräte
  • kein klarer Unterschied zwischen Benutzer-, Server- und Admin-Zugriff

Das Netz funktioniert technisch, ist aber sicherheitstechnisch unnötig offen.

Welche Risiken in der Ausgangssituation bestehen

Ein kompromittierter Client hat zu viele Möglichkeiten

Wenn ein Benutzerrechner durch Phishing, Malware oder unsichere Software kompromittiert wird, kann der Angreifer im flachen Netz relativ einfach weitere Systeme sehen und ansprechen. Dazu gehören Dateifreigaben, Drucker, Managementadressen oder andere Arbeitsplatzgeräte. Selbst wenn keine hochkomplexen Exploits vorhanden sind, reicht die offene Erreichbarkeit oft schon aus, um Schaden auszuweiten.

  • interne Netzwerkerkundung ist leicht möglich
  • seitliche Bewegung wird vereinfacht
  • Ransomware erreicht mehr Freigaben
  • lokale Protokolle wie ARP wirken auf alle Geräte im Segment

Gäste und Spezialgeräte sind nicht sauber isoliert

Ein weiteres Problem ist, dass Gäste oder IoT-Geräte oft im selben logischen Netz landen wie interne Systeme. Das ist besonders kritisch, weil solche Geräte meist ein geringeres Vertrauensniveau besitzen. Gäste sollen typischerweise nur Internetzugang erhalten, und IoT-Geräte brauchen meist nur sehr wenige Kommunikationspfade. Im flachen Netz ist diese Begrenzung jedoch nicht sauber umsetzbar.

Ziele der sicheren Segmentierung im Fallbeispiel

Schutz mit überschaubarem Aufwand erreichen

Das Unternehmen möchte kein überkomplexes Enterprise-Design, sondern eine übersichtliche, praxistaugliche und wartbare Struktur. Ziel ist es, mit wenigen VLANs und klaren Regeln die größten Sicherheitsrisiken deutlich zu reduzieren.

Die Ziele lauten:

  • Benutzergeräte logisch von Servern trennen
  • Gäste-WLAN vom internen Netz isolieren
  • Managementzugänge nur für Administratoren verfügbar machen
  • Drucker und IoT-Geräte in eigene Bereiche verschieben
  • nur notwendige Inter-VLAN-Kommunikation erlauben

Einfachheit und Wartbarkeit bleiben wichtig

Da das Unternehmen klein ist, muss die Lösung verständlich und dokumentierbar bleiben. Eine gute Segmentierung in kleinen Firmen zeichnet sich nicht dadurch aus, möglichst viele VLANs zu erzeugen, sondern durch eine klare, begründete und stabile Struktur.

Das neue Segmentierungsdesign

VLAN-Struktur nach Rollen und Sicherheitszonen

Für das Fallbeispiel wird das Netz in fünf klar getrennte VLANs aufgeteilt. Diese VLANs orientieren sich nicht nur an Technik, sondern an Funktion und Vertrauensniveau.

  • VLAN 10 – USERS: Benutzer-PCs und Notebooks
  • VLAN 20 – SERVERS: NAS, Dateiablage, zentrale Dienste
  • VLAN 30 – PRINTERS-IOT: Drucker, Kameras, Spezialgeräte
  • VLAN 40 – GUEST: Gäste-WLAN und fremde Geräte
  • VLAN 99 – MANAGEMENT: Switches, Access Points, Infrastrukturmanagement

Diese Aufteilung ist für ein kleines Unternehmen bereits ein sehr großer Sicherheitsgewinn, ohne unnötig kompliziert zu werden.

Subnetze passend zu den VLANs definieren

Jedes VLAN erhält ein eigenes Subnetz. Ein mögliches Schema wäre:

  • VLAN 10: 192.168.10.0/24
  • VLAN 20: 192.168.20.0/24
  • VLAN 30: 192.168.30.0/24
  • VLAN 40: 192.168.40.0/24
  • VLAN 99: 192.168.99.0/24

Damit ist jede Zone logisch sauber von den anderen getrennt und kann unabhängig gefiltert werden.

Switch-Konfiguration im Fallbeispiel

VLANs auf dem Switch anlegen

Auf den managed Switches werden die VLANs zunächst definiert:

vlan 10
 name USERS

vlan 20
 name SERVERS

vlan 30
 name PRINTERS_IOT

vlan 40
 name GUEST

vlan 99
 name MANAGEMENT

Diese Benennung verbessert Übersicht und Dokumentation. Gerade in kleinen Umgebungen ist Klarheit wichtiger als Komplexität.

Access-Ports passend zuweisen

Danach werden die Endgeräteports sauber ihren Bereichen zugeordnet. Ein Beispiel:

interface fastethernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast

interface fastethernet0/12
 switchport mode access
 switchport access vlan 30
 spanning-tree portfast

Damit liegen Arbeitsplatzgeräte in VLAN 10 und Drucker oder IoT-Geräte in VLAN 30. Ungenutzte Ports sollten zusätzlich deaktiviert werden:

interface range fastethernet0/20 - 24
 shutdown

Trunks zwischen Switch und Infrastruktur

Uplinks transportieren nur die benötigten VLANs

Die Verbindung zwischen den beiden Switches sowie zwischen Switch und Router oder Firewall wird als Trunk konfiguriert. Dabei ist wichtig, nicht pauschal alle VLANs zu transportieren, sondern nur die tatsächlich benötigten.

interface gigabitethernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,40,99

Das ist in diesem kleinen Design überschaubar, weil genau diese VLANs gebraucht werden. In größeren Umgebungen wäre eine noch restriktivere Auswahl pro Link oft sinnvoll.

Management-VLAN bewusst mitführen

Das Management-VLAN wird nur auf den Links transportiert, auf denen wirklich Managementzugriff auf Switches und Access Points benötigt wird. Auch in kleinen Unternehmen sollte dieses VLAN nicht unnötig auf alle Ports oder Segmente ausgedehnt werden.

Inter-VLAN-Routing im Fallbeispiel

Layer-3-Gerät als Kontrollpunkt

Die Kommunikation zwischen den VLANs erfolgt über den Router oder eine Firewall. Dort existieren für die VLANs eigene Interfaces oder Subinterfaces. Ein Beispiel mit Router-on-a-Stick:

interface gigabitethernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface gigabitethernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

interface gigabitethernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0

interface gigabitethernet0/0.40
 encapsulation dot1Q 40
 ip address 192.168.40.1 255.255.255.0

interface gigabitethernet0/0.99
 encapsulation dot1Q 99
 ip address 192.168.99.1 255.255.255.0

Damit existiert für jedes VLAN ein Gateway, und genau an diesem Layer-3-Übergang kann die Kommunikation kontrolliert werden.

Nicht alle VLANs dürfen pauschal miteinander sprechen

Die wichtigste Änderung im neuen Design ist, dass Routing zwar technisch vorhanden ist, aber nicht jede Inter-VLAN-Kommunikation automatisch erlaubt wird. Genau das ist der Unterschied zwischen „VLANs eingerichtet“ und „VLANs sicher genutzt“.

Konkrete Kommunikationsregeln im Beispiel

Benutzer-VLAN zu Server-VLAN

Die Benutzer im VLAN 10 dürfen auf das NAS oder auf bestimmte Anwendungsdienste im VLAN 20 zugreifen. Sie sollen aber nicht pauschal alle Serverports nutzen und vor allem nicht ins Management-VLAN gelangen.

Beispielhafte Regeln:

  • VLAN 10 darf DNS und Datei- oder Anwendungsdienste in VLAN 20 nutzen
  • VLAN 10 darf nicht direkt auf VLAN 99 zugreifen
  • VLAN 10 darf nur definierte Dienste in VLAN 30 ansprechen, etwa Drucken

Gast-VLAN

Das Gäste-VLAN 40 erhält ausschließlich Internetzugang. Es darf keine internen VLANs erreichen. Genau das reduziert das Risiko, dass fremde Geräte ins Unternehmensnetz hineinreichen.

  • VLAN 40 zu Internet: erlaubt
  • VLAN 40 zu VLAN 10, 20, 30, 99: blockiert

Management-VLAN

Das Management-VLAN 99 darf Infrastrukturgeräte administrieren, soll aber nicht aus Benutzer- oder Gastbereichen sichtbar sein. Zugriffe kommen nur von einem oder wenigen Admin-Systemen.

  • Admin-PC oder IT-Notebook in VLAN 99
  • SSH und SNMP nur innerhalb des Managementbereichs
  • kein direkter Zugriff aus VLAN 10 oder VLAN 40

ACLs zur Durchsetzung der Regeln

Beispiel für restriktive Inter-VLAN-Regeln

Eine einfache ACL für das Gäste-VLAN könnte so aussehen:

access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 140 deny ip 192.168.40.0 0.0.0.255 192.168.99.0 0.0.0.255
access-list 140 permit ip 192.168.40.0 0.0.0.255 any

Damit werden interne Netze blockiert, während Internetverkehr erlaubt bleibt.

Managementzugriffe separat absichern

Für den Zugriff auf Cisco-Geräte kann zusätzlich eine VTY-ACL verwendet werden:

access-list 10 permit 192.168.99.0 0.0.0.255

line vty 0 4
 access-class 10 in
 login local
 transport input ssh
 exec-timeout 5 0

So ist sichergestellt, dass SSH nur aus dem Management-VLAN möglich ist.

WLAN-Integration im Fallbeispiel

Mitarbeiter- und Gäste-WLAN sauber trennen

Die beiden Access Points senden zwei SSIDs aus: eine für Mitarbeiter und eine für Gäste. Die Mitarbeiter-SSID wird in VLAN 10 oder – falls gewünscht – in ein separates WLAN-Benutzer-VLAN gemappt. Die Gäste-SSID landet strikt in VLAN 40.

  • Mitarbeiter-WLAN: internes Produktivnetz
  • Gäste-WLAN: isolierte Gastzone

Dadurch wird verhindert, dass Besucher oder private Geräte ungewollt Zugang zu internen Ressourcen erhalten.

Access Points selbst gehören ins Management-VLAN

Die Verwaltungsoberflächen der Access Points werden nicht im Benutzer- oder Gäste-VLAN betrieben, sondern im Management-VLAN 99. Das schützt ihre Administration und passt sauber zum restlichen Design.

Welche Sicherheitsvorteile das neue Design bringt

Ein kompromittierter Benutzer-PC hat deutlich weniger Reichweite

Wenn nun ein Arbeitsplatzrechner im VLAN 10 kompromittiert wird, kann er nicht mehr automatisch das Gäste-Netz, das Management-VLAN oder alle Spezialgeräte direkt ansprechen. Seine Kommunikation ist durch VLAN-Trennung und ACLs begrenzt. Dadurch sinkt das Risiko für Seitwärtsbewegung und breite Ausbreitung.

  • Managementzugänge sind abgeschirmt
  • Gäste bleiben isoliert
  • Drucker und IoT sind getrennt
  • Serverzugriffe sind zielgerichteter

Die Netzstruktur wird übersichtlicher und kontrollierbarer

Zusätzlich steigt die betriebliche Qualität. Fehler lassen sich schneller eingrenzen, DHCP-Bereiche sind klarer, ACLs sind nachvollziehbar, und die Rolle jedes VLANs ist eindeutig. Gute Segmentierung verbessert also nicht nur Sicherheit, sondern auch Wartbarkeit.

Typische Fehler, die im Fallbeispiel vermieden werden sollten

Zu viele VLANs ohne klare Begründung

Auch in kleinen Unternehmen kann Segmentierung übertrieben werden. Wenn für jede kleinste Sonderrolle ein eigenes VLAN angelegt wird, entsteht schnell unnötige Komplexität. Die gezeigte Struktur ist deshalb bewusst einfach gehalten und orientiert sich an realem Nutzen.

VLANs einrichten, aber Inter-VLAN-Verkehr komplett offen lassen

Ein weiterer häufiger Fehler wäre, zwar alle VLANs sauber zu definieren, danach aber zwischen ihnen pauschal alles zu routen. Dann gäbe es zwar Ordnung, aber nur begrenzten Sicherheitsgewinn. Die eigentliche Schutzwirkung entsteht erst durch kontrollierte Kommunikation.

Management und Gäste nicht konsequent trennen

Besonders kritisch wäre es, Gäste oder Benutzer aus VLAN 10 Zugriff auf VLAN 99 zu erlauben. Genau diese Grenze sollte in kleinen wie großen Umgebungen besonders streng behandelt werden.

Wie das Unternehmen die Segmentierung prüfen kann

Wichtige Cisco-Befehle im Beispiel

Zur Kontrolle der Segmentierung und VLAN-Struktur sind auf Cisco-Geräten besonders diese Befehle nützlich:

show vlan brief
show interfaces trunk
show ip interface brief
show access-lists
show running-config

show vlan brief zeigt die VLAN-Zuordnung, show interfaces trunk die Trunk-Links, show ip interface brief die Layer-3-Schnittstellen, show access-lists die Verkehrsregeln, und show running-config verbindet alles im Konfigurationskontext.

Die wichtigste Prüffrage lautet: Wer darf wohin?

Gute Segmentierung wird nicht daran gemessen, wie viele VLANs existieren, sondern daran, ob die Kommunikationspfade zur Sicherheitslogik passen. Im Fallbeispiel muss immer klar sein: Welche Zone darf welches Ziel über welches Protokoll erreichen – und warum?

Warum dieses Fallbeispiel für CCNA und Netzwerkpraxis besonders lehrreich ist

Es zeigt, dass sichere Segmentierung auch in kleinen Umgebungen realistisch ist

Viele Lernende verbinden Netzwerksegmentierung mit großen Core-Switches, vielen Firewalls und komplexen Enterprise-Designs. Das Fallbeispiel zeigt das Gegenteil: Schon ein kleines Unternehmen kann mit wenigen VLANs, sauberen Trunks, klaren ACLs und einem Management-VLAN einen erheblichen Sicherheitsgewinn erreichen.

  • weniger Reichweite für Angreifer
  • bessere Kontrolle von Gästen und Spezialgeräten
  • klarere Managementtrennung
  • einfachere und sicherere Netzarchitektur

Gute Sicherheit entsteht durch klare Struktur, nicht durch Überkomplexität

Am Ende macht dieses Beispiel sehr deutlich, dass Netzwerksegmentierung keine Frage der Unternehmensgröße ist, sondern der Sicherheitslogik. Auch kleine Firmen profitieren stark davon, wenn sie Benutzer, Server, Gäste, Spezialgeräte und Management sauber voneinander trennen. Genau diese strukturierte, pragmatische und begründete Herangehensweise ist ein zentraler Bestandteil professioneller Netzwerkpraxis.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick