VLAN Design für Mittelstand: Praxis-Blueprint für deutsche Unternehmen

Ein gutes VLAN-Design für den Mittelstand muss vor allem drei Dinge leisten: klare Segmentierung (Sicherheit), einfache Betriebsführung (Standardisierung) und Skalierbarkeit (Wachstum ohne Redesign). In deutschen Unternehmen kommen typischerweise Office-IT, VoIP, Gäste-WLAN, Server/Services, OT/IoT und Management zusammen – oft mit begrenzten IT-Ressourcen. Dieser Praxis-Blueprint liefert eine praxistaugliche VLAN-Struktur, IP-Planung und Konfig-Standards für Cisco Switches (IOS/IOS XE), die du als Vorlage übernehmen kannst.

Design-Ziele: Was ein Mittelstands-VLAN-Blueprint abdecken muss

VLANs sind nicht nur „Ordnung“ im Switch, sondern die Grundlage für Firewall-Policies, NAC/802.1X, QoS und sauberes Troubleshooting. Ein Blueprint muss deshalb konsistente Regeln liefern.

• Segmentierung nach Risiko und Funktion (Office, Server, Guest, IoT, OT)
• Dediziertes Management und klare Admin-Zugriffe
• Standardisierte Trunks (Allowed VLANs) und definierte Native VLAN
• Klare IP-Adressierung je Standort und je VLAN

VLAN-Struktur: Empfohlene Segmente für deutsche Mittelstandsnetze

Die folgende Struktur ist bewusst „alltagstauglich“: wenige, klar definierte VLANs mit eindeutiger Namenskonvention. Sie deckt die häufigsten Anforderungen ab, ohne zu komplex zu werden.

• VLAN 10 – CLIENTS: Büro-PCs/Notebooks (Corporate LAN)
• VLAN 20 – VOICE: IP-Telefone (VoIP)
• VLAN 30 – WLAN-CORP: Corporate WLAN (falls getrennt vom LAN)
• VLAN 40 – WLAN-GUEST: Gäste-WLAN (Internet-only)
• VLAN 50 – PRINTERS: Drucker/Scanner (kontrollierter Zugriff)
• VLAN 60 – IOT: IoT/Smart Devices (restriktiv)
• VLAN 70 – OT: Produktions-/Gebäudetechnik (sehr restriktiv)
• VLAN 80 – SERVERS: Server/VMs/Infra-Services (mit Firewall-Policies)
• VLAN 99 – MGMT: Switch/Access-Points/Out-of-Band Management
• VLAN 999 – NATIVE-UNUSED: ungenutzte Native VLAN auf Trunks

Minimal-Variante (wenn du klein starten musst)

Für sehr kleine Umgebungen reichen oft 5 VLANs: Clients, Voice, Guest, Servers, Mgmt. IoT/Printers können später sauber ergänzt werden.

• 10 CLIENTS
• 20 VOICE
• 40 WLAN-GUEST
• 80 SERVERS
• 99 MGMT

IP-Planung: Standortfähige Subnetze ohne Chaos

Der häufigste Skalierungsfehler ist ein IP-Plan ohne Reserven. Für Mittelstand ist ein Standort-basierter Plan sinnvoll, bei dem jede Site ein eigenes Adressband bekommt und jedes VLAN einen festen Subnetzblock.

Beispiel: Standort „HQ“ mit /16 und VLANs als /24

Ein einfaches Muster ist: 10.<SITE>.<VLAN>.0/24. Damit bleiben IPs lesbar und lassen sich leicht automatisieren.

$\text{Schema:}\text{10.SITE.VLAN.0}/\text{24}\text{Maske:}\text{255.255.255.0}$

• HQ CLIENTS (VLAN 10): 10.1.10.0/24, Gateway 10.1.10.1
• HQ VOICE (VLAN 20): 10.1.20.0/24, Gateway 10.1.20.1
• HQ GUEST (VLAN 40): 10.1.40.0/24, Gateway 10.1.40.1
• HQ SERVERS (VLAN 80): 10.1.80.0/24, Gateway 10.1.80.1
• HQ MGMT (VLAN 99): 10.1.99.0/24, Gateway 10.1.99.1

Gateway-Regel

Nutze konsistent .1 als Default-Gateway und reserviere feste Bereiche: z. B. .2–.49 für Infrastruktur, .50–.199 DHCP, .200–.254 statisch/Server.

Routing-Blueprint: Wo findet Inter-VLAN Routing statt?

Im Mittelstand ist ein klares Layer-3-Grenzdesign wichtig. Häufig routet der L3-Switch (Distribution/Core) intern, während die Firewall die Segmentierung zwischen Sicherheitszonen durchsetzt.

• Access-Switches: Layer 2, nur VLANs/Trunks/Port-Profile
• Distribution/Core: SVIs + ip routing (Inter-VLAN Routing)
• Firewall: Policy-Kontrolle (z. B. Guest → nur Internet, IoT → nur definierte Ziele)

SVI-Beispiel auf L3-Switch (Auszug)

configure terminal
ip routing
interface vlan 10

ip address 10.1.10.1 255.255.255.0

no shutdown

exit
interface vlan 20

ip address 10.1.20.1 255.255.255.0

no shutdown

exit
interface vlan 40

ip address 10.1.40.1 255.255.255.0

no shutdown

exit
interface vlan 99

ip address 10.1.99.1 255.255.255.0

no shutdown

exit

end

Trunk-Standards: Allowed VLANs und Native VLAN sicher betreiben

Der wichtigste Stabilitätsfaktor im VLAN-Design ist eine klare Trunk-Policy: Trunks sind „Whitelist“, nicht „alles offen“. Die Native VLAN sollte bewusst ungenutzt sein.

Uplink-Trunk-Template (Access ↔ Distribution)

configure terminal
vlan 999
 name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48

description UPLINK-TO-DIST

switchport mode trunk

switchport trunk allowed vlan 10,20,30,40,50,60,70,80,99

switchport trunk native vlan 999

switchport nonegotiate

end

Allowed VLANs rollenbasiert reduzieren

Nicht jeder Access-Switch braucht jedes VLAN. Wenn ein Standort kein OT hat, gehört VLAN 70 nicht auf jeden Trunk. Das reduziert Fehlerausbreitung und Broadcast-Domänen.

Port-Blueprint: Standardprofile für Clients, Voice, APs, Drucker

Port-Templates reduzieren Tickets. Für Mittelstand sind vier Profile meist ausreichend: Client, Voice+PC, AP-Trunk, „Unused parked“.

Client-Port (LAN)

configure terminal
interface range gigabitEthernet 1/0/1 - 20
 description CLIENTS
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
exit
end

Voice + PC Port

configure terminal
interface range gigabitEthernet 1/0/21 - 30
 description IP-PHONE+PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable
exit
end

Access Point Port (häufig Trunk mit Corp+Guest)

Viele APs benötigen mehrere SSIDs und damit mehrere VLANs. In diesem Fall läuft der AP-Port als Trunk mit expliziten Allowed VLANs.

configure terminal
interface gigabitEthernet 1/0/31
 description AP-FLOOR-2
 switchport mode trunk
 switchport trunk allowed vlan 30,40,99
 switchport trunk native vlan 999
 spanning-tree portfast trunk
end

Drucker-Port (separates VLAN)

configure terminal
interface range gigabitEthernet 1/0/32 - 34
 description PRINTERS
 switchport mode access
 switchport access vlan 50
 spanning-tree portfast
 spanning-tree bpduguard enable
exit
end

Ungenutzte Ports parken

configure terminal
vlan 998
 name PARKING
exit
interface range gigabitEthernet 1/0/35 - 47

description UNUSED-PARKED

switchport mode access

switchport access vlan 998

shutdown

exit

end

Security-Blueprint: Segmentierung, Management und Gäste richtig trennen

VLANs allein sind keine Security, aber sie sind die Voraussetzung dafür. Entscheidend ist, dass zwischen VLANs Policies existieren und Management streng geschützt ist.

• MGMT VLAN (99) nur für Infrastruktur, nie für Clients
• Guest VLAN (40) strikt „Internet-only“ über Firewall
• IoT/OT restriktiv: nur definierte Ziele/Ports
• Admin-Zugriff nur aus Admin-Netzen (ACL auf VTY/Management)

VTY-ACL für Switch-Management (Beispiel)

configure terminal
ip access-list standard ACL-MGMT-SSH
 permit 10.1.99.0 0.0.0.255
 deny any
exit
line vty 0 15

transport input ssh

login local

access-class ACL-MGMT-SSH in

exec-timeout 10 0

exit

end

Betriebs-Blueprint: NTP, Syslog, Backups und Standards

Ein VLAN-Design ist nur dann betrieblich gut, wenn Monitoring und Nachvollziehbarkeit stimmen. NTP und Syslog sollten im MGMT-VLAN verankert sein, Backups gehören in einen festen Prozess.

NTP und Syslog (MGMT-VLAN als Source)

configure terminal
ntp source vlan 99
ntp server 10.1.99.20
ntp server 10.1.99.21
logging source-interface vlan 99

logging host 10.1.99.70

logging trap notifications

end

Basis-Verifikation (Spickzettel)

show vlan brief
show interfaces trunk
show ip interface brief
show spanning-tree summary
show logging
show ntp status

Rollout-Plan: So setzt du den Blueprint ohne Ausfälle um

Der sicherste Weg ist ein iterativer Rollout: zuerst Management, dann Trunks/Allowed VLANs, dann Port-Profile und zuletzt Routing/Policies. So reduzierst du Risiko und behältst Kontrolle.

• MGMT-VLAN + SSH + NTP/Syslog zuerst stabilisieren
• Uplink-Trunks whitelisten (Allowed VLANs) und Native VLAN setzen
• Port-Profile für Clients/Voice/APs standardisieren
• Inter-VLAN Routing/Firewall-Policies aktivieren und testen
• Dokumentation und Backups nach jedem Schritt

copy running-config startup-config
show running-config | include vlan|switchport trunk allowed|interface vlan|ip routing

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.