Was ist VLAN? Zusammenhang mit dem OSI-Modell

Ein VLAN (Virtual Local Area Network) ist eine logische Aufteilung eines physischen Netzwerks in mehrere voneinander getrennte Broadcast-Domains. Statt dass alle Geräte an einem Switch automatisch im gleichen Layer-2-Netz „miteinander sprechen“, können Sie mit VLANs bestimmen, welche Ports und Endgeräte zu welchem logischen Netzwerk gehören. Das ist im Alltag extrem nützlich: Ein Unternehmen kann beispielsweise Mitarbeiter-PCs, Drucker, IP-Telefone, Server und Gäste-WLAN sauber trennen, obwohl physisch dieselben Switches und Leitungen genutzt werden. Genau hier entsteht der wichtige Zusammenhang mit dem OSI-Modell: VLANs arbeiten primär auf der OSI-Schicht 2 (Data Link Layer), weil es um Ethernet-Frames, MAC-Adressen und Broadcast-Verhalten geht. Sobald Daten jedoch zwischen VLANs ausgetauscht werden sollen, kommt in der Regel OSI-Schicht 3 (Network Layer) ins Spiel, etwa durch Routing oder ein Layer-3-Switching. In diesem Artikel erfahren Sie verständlich, was ein VLAN ist, wie VLAN-Tagging funktioniert, wie VLANs im OSI-Modell einzuordnen sind und welche typischen Fehlerbilder, Best Practices und Sicherheitsaspekte Sie kennen sollten.

Was ist ein VLAN? Definition und Grundidee

Ein VLAN ist ein virtuelles LAN innerhalb eines Switch-Netzwerks. Es sorgt dafür, dass Geräte in unterschiedlichen VLANs so behandelt werden, als wären sie an getrennten Switches oder in getrennten physischen Netzen angeschlossen. Entscheidend ist die Broadcast-Domain:

• Ohne VLAN: Broadcasts (z. B. ARP) erreichen alle Ports im gleichen Switch-Bereich, sofern keine weiteren Grenzen existieren.
• Mit VLAN: Broadcasts bleiben innerhalb des jeweiligen VLANs. Geräte in VLAN 10 sehen die Broadcasts aus VLAN 20 nicht.

VLANs reduzieren damit unnötigen Broadcast-Verkehr, verbessern die Übersicht und sind ein zentrales Werkzeug für Segmentierung und Sicherheit. Eine gute Einstiegsreferenz ist der Artikel zu Virtual Local Area Network (VLAN).

Warum VLANs eingesetzt werden: Typische Ziele

VLANs werden nicht „um der Technik willen“ genutzt, sondern weil sie konkrete Probleme lösen. Häufige Ziele sind:

• Sicherheit: Trennung sensibler Systeme (z. B. Server, Kassen, IoT) von Benutzer-Netzen.
• Netzwerkstruktur: Abteilungen oder Standorte logisch abbilden (z. B. Finance, HR, Produktion).
• Performance: Broadcast-Domains verkleinern, Störungen begrenzen.
• Betrieb und Wartung: Änderungen an der logischen Struktur ohne neue Verkabelung.
• Gästenetz: Besucher-WLAN getrennt vom internen Netz.

Wichtig: VLANs sind Segmentierung auf Layer 2. Für echte Zugriffskontrolle braucht es meist zusätzlich Firewall-Regeln oder Routing-Policies auf Layer 3.

VLANs und das OSI-Modell: Einordnung der Schichten

Der Kernzusammenhang lässt sich klar beschreiben:

• OSI Schicht 2 (Data Link Layer): VLANs trennen Ethernet-Frames und Broadcast-Domains. MAC-Adressen und Switching sind zentrale Themen.
• OSI Schicht 3 (Network Layer): Kommunikation zwischen VLANs erfordert Routing (Inter-VLAN-Routing), weil VLANs voneinander getrennte Layer-2-Segmente sind.

Ein VLAN selbst ist daher primär ein Layer-2-Konzept. In der Praxis sind VLAN-Designs jedoch fast immer mit Layer-3-Strukturen verbunden, weil die meisten Umgebungen einen kontrollierten Datenaustausch zwischen Segmenten benötigen. Zum Verständnis des Schichtenmodells eignet sich das OSI-Modell als Überblick.

VLAN-Tagging: Wie Geräte und Switches VLANs „markieren“

Damit VLANs über mehrere Switches hinweg funktionieren, müssen Frames auf den Verbindungsleitungen eindeutig einem VLAN zugeordnet werden können. Dafür wird in Ethernet-Netzen üblicherweise IEEE 802.1Q verwendet. Dabei erhält ein Ethernet-Frame ein Tag-Feld, das unter anderem die VLAN-ID enthält. Mehr Informationen bietet der Überblick zu IEEE 802.1Q.

Access-Port: Ungetaggt in ein VLAN

Ein Access-Port ist typischerweise der Switchport, an dem ein Endgerät hängt (PC, Drucker, Kamera). Auf dem Kabel zum Endgerät werden Frames in der Regel untagged übertragen. Der Switch ordnet diesen Port fest einem VLAN zu und behandelt alle eingehenden/ausgehenden Frames entsprechend.

• Endgerät sendet ohne VLAN-Tag.
• Switch ordnet Port einem VLAN zu (z. B. VLAN 20).
• Frames bleiben im VLAN 20, bis geroutet wird.

Trunk-Port: Getaggt mehrere VLANs über eine Leitung

Ein Trunk ist eine Verbindung, die mehrere VLANs gleichzeitig transportieren kann, typischerweise zwischen Switches oder zwischen Switch und Router/Firewall. Auf einem Trunk werden Frames mit VLAN-Tags versehen, damit am anderen Ende klar ist, zu welchem VLAN sie gehören.

• Ein Kabel trägt VLAN 10, 20, 30 gleichzeitig.
• Jedes Frame bekommt ein 802.1Q-Tag mit VLAN-ID.
• Beide Seiten müssen die gleiche Trunk-Konfiguration haben (Allowed VLANs, Tagging-Regeln).

Native VLAN: Warum untagged Frames auf Trunks riskant sein können

Viele Umgebungen definieren auf einem Trunk ein Native VLAN (je nach Hersteller unterschiedlich benannt/umgesetzt). Frames, die untagged ankommen, werden dann diesem Native VLAN zugeordnet. Das kann praktisch sein, ist aber auch eine häufige Fehlerquelle:

• Mismatch: Wenn die Native-VLAN-Einstellung auf beiden Seiten nicht übereinstimmt, landen Frames im falschen VLAN.
• Sicherheitsrisiko: Untagged Traffic auf Trunks ist anfälliger für Fehlkonfiguration und unerwartete Pfade.

In vielen Best-Practice-Designs wird das Native VLAN bewusst auf ein ungenutztes VLAN gelegt oder untagged Traffic auf Trunks strikt minimiert.

Inter-VLAN-Routing: Wie VLANs miteinander sprechen

Da VLANs getrennte Layer-2-Segmente sind, können Geräte aus unterschiedlichen VLANs nicht direkt per Switching kommunizieren. Der Datenaustausch erfolgt über Routing (OSI Schicht 3). Es gibt zwei gängige Varianten:

• Router-on-a-Stick: Ein Router übernimmt das Routing zwischen VLANs, verbunden über einen Trunk. Der Router hat Subinterfaces pro VLAN.
• Layer-3-Switch: Ein Switch kann Routingfunktionen übernehmen (SVIs/Interfaces pro VLAN), oft performanter im internen Netz.

Für Einsteiger ist der wichtigste Punkt: VLANs segmentieren – Routing verbindet. In einem sauberen Design ist der Verkehr zwischen VLANs kontrolliert, z. B. durch ACLs oder Firewall-Regeln.

VLANs, Subnetze und IP-Adressierung: Was gehört zusammen?

Ein VLAN ist zunächst eine Layer-2-Trennung. In der Praxis wird jedoch fast immer ein VLAN mit einem eigenen IP-Subnetz kombiniert, weil:

• Broadcast-Domain (Layer 2) und Subnetz (Layer 3) dann logisch übereinstimmen.
• Routing und Policies klarer und wartbarer werden.
• DHCP, DNS und Monitoring einfacher strukturiert werden können.

Ein typisches Muster ist: VLAN 10 = 10.10.10.0/24, VLAN 20 = 10.10.20.0/24 usw. Das ist keine Pflicht, aber sehr verbreitet, weil es Fehler reduziert und die Dokumentation erleichtert.

Typische VLAN-Anwendungsfälle im Alltag

VLANs sind in vielen Branchen Standard. Häufige Beispiele:

• Office-Netz: Mitarbeitergeräte in einem oder mehreren VLANs.
• Voice VLAN: IP-Telefone in einem separaten VLAN, um QoS und Sicherheit zu verbessern.
• Server/Backend: Server in eigenen VLANs, Zugriff nur über definierte Regeln.
• IoT/OT: Kameras, Sensoren, Produktionsgeräte getrennt vom Büro-Netz.
• Gäste-VLAN: Internetzugang ja, Zugriff auf interne Netze nein.

Gerade Voice VLANs zeigen den Praxisnutzen: Telefone können automatisch in ein anderes VLAN gelegt werden als PCs am gleichen Port, wobei Hersteller hierfür spezielle Mechanismen (z. B. LLDP-MED) nutzen.

VLAN-Probleme erkennen: Typische Fehlerbilder und Ursachen

VLAN-Fehler wirken oft wie „Netzwerk geht nicht“, obwohl nur ein logisches Segment falsch zugeordnet ist. Häufige Symptome:

• Gerät bekommt keine IP per DHCP: Endgerät hängt im falschen VLAN, DHCP-Relay fehlt, Trunk blockiert VLAN.
• Ping ins gleiche Subnetz klappt nicht: Port in falschem VLAN, falsches VLAN-Tagging, Switchport falsch konfiguriert.
• Nur manche Dienste funktionieren: Inter-VLAN-Regeln oder Routing fehlen, Default Gateway falsch, asymmetrische Pfade.
• Plötzlich „fremde“ Broadcasts: VLAN-Leak durch Fehlkonfiguration, Native VLAN mismatch.

Der Klassiker: Trunk erlaubt das VLAN nicht

In vielen Umgebungen werden auf Trunks nur bestimmte VLANs erlaubt („Allowed VLANs“). Wenn ein VLAN nicht freigeschaltet ist, wirkt das so, als sei ein Teil des Netzes „tot“. Typische Folge: Access-Port ist korrekt im VLAN, aber das VLAN erreicht den Core/Router nicht.

Falsches VLAN am Access-Port

Ein einzelner Port im falschen VLAN ist schnell passiert. Das Ergebnis ist oft eindeutig: Das Gerät landet in einem anderen IP-Subnetz, sieht falsche DHCP-Angebote oder kann Standarddienste nicht erreichen.

Native VLAN mismatch

Wenn untagged Frames auf einem Trunk auf beiden Seiten unterschiedlichen VLANs zugeordnet werden, kann das schwer zu finden sein. Es kann zu scheinbar zufälligen Ausfällen, falschen ARP-Einträgen oder „Geisterverkehr“ führen.

VLANs und Sicherheit: Was VLANs leisten und was nicht

VLANs sind ein starkes Werkzeug für Segmentierung, aber sie sind kein vollständiger Sicherheitsmechanismus. Ein paar klare Leitlinien:

• VLAN-Trennung reduziert Risiken: Ein kompromittiertes IoT-Gerät hat nicht automatisch Zugriff auf Server-VLANs.
• VLANs sind keine Firewall: Ohne Layer-3-Policies kann Routing zwischen VLANs alles erlauben.
• Trunk-Ports sind kritisch: Wer Zugriff auf einen Trunk-Port hat, kann im schlimmsten Fall mehrere VLANs erreichen.
• Best Practices: Unbenutzte Ports deaktivieren, Ports fest zuweisen, VLANs dokumentieren, Access-Ports nicht „dynamisch“ offen lassen.

In professionellen Netzen kommen häufig zusätzliche Mechanismen hinzu, etwa 802.1X (Netzwerkzugangskontrolle), ACLs, Firewall-Segmentierung und Monitoring.

VLAN-Design: Best Practices für übersichtliche Netze

Ein gutes VLAN-Design ist nicht nur „technisch korrekt“, sondern auch wartbar. Bewährte Empfehlungen:

• Klare Namenskonventionen: VLAN-IDs und Namen sollten logisch sein (z. B. VLAN 20 „Clients“, VLAN 30 „Voice“).
• IP-Plan passend zum VLAN: Häufig 1 VLAN = 1 Subnetz, gut dokumentiert.
• Trunks restriktiv: Nur VLANs erlauben, die wirklich benötigt werden.
• Native VLAN kontrollieren: Untagged auf Trunks vermeiden oder bewusst und einheitlich konfigurieren.
• Management-VLAN schützen: Switch-Management nicht im gleichen VLAN wie Nutzergeräte, Zugriff streng regeln.

Solche Regeln reduzieren Fehler und helfen, wenn Netze wachsen oder Teams wechseln.

VLANs im Vergleich: VLAN vs. Subnetz vs. VPN

Viele Begriffe wirken ähnlich, sind aber unterschiedlich. Eine kurze Abgrenzung hilft:

• VLAN: Layer-2-Segmentierung im lokalen Switching-Bereich (Broadcast-Domain).
• Subnetz: Layer-3-Adressbereich, Routing-Grenze zwischen Netzen.
• VPN: verschlüsselter Tunnel über ein anderes Netz (häufig Internet), kann Layer 3 oder Layer 2 emulieren.

In der Praxis werden VLAN und Subnetz häufig gemeinsam geplant, während VPNs eher für Standortkopplung, Remote Access oder sichere Verbindungen über untrusted Netze eingesetzt werden.

Outbound-Links für vertiefendes Verständnis

• VLAN: Grundlagen und typische Einsatzszenarien
• IEEE 802.1Q: VLAN-Tagging im Ethernet
• OSI-Modell: Einordnung von VLANs in Schicht 2 und 3
• VLAN-Konzept erklärt (Cisco-Dokumentation)
• Broadcast: Warum VLANs Broadcast-Domains begrenzen

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.