Search for answers or browse our knowledge base.
VLANs erklärt – Oder: Warum Ihr Netzwerk eigentlich mehrere Netzwerke sein sollt
In einem typischen Heimnetzwerk hängt alles an einem einzigen gemeinsamen Netz: der Laptop, das Smartphone, die Überwachungskamera, der Gast aus dem Urlaub und die billige IoT-Glühbirne aus dem Internet. Das klingt praktisch – ist es aber nicht. Genau hier kommen VLANs ins Spiel: die eleganteste Lösung, um aus einem physischen Netzwerk mehrere logisch getrennte Netze zu machen.
Dieser Artikel erklärt VLANs von Grund auf – zuerst für alle verständlich, dann für alle, die es wirklich genau wissen wollen.
Teil 1: VLANs für Einsteiger
1. Was ist ein VLAN in aller Kürze?
VLAN steht für Virtual Local Area Network – auf Deutsch: virtuelles lokales Netzwerk.
Stellen Sie sich ein großes Bürogebäude vor. Im Erdgeschoss sitzt die Buchhaltung, im ersten Stock die IT, im zweiten Stock die Gäste. Die Stockwerke sind physisch alle im gleichen Gebäude – aber die Buchhaltung kann nicht einfach in die IT-Abteilung rein, und die Gäste schon gar nicht. Jede Etage hat ihre eigene Tür, ihren eigenen Schlüssel.
Genau das macht ein VLAN in einem Netzwerk: Es unterteilt ein physisches Netzwerk (ein Switch, ein Kabel, eine Infrastruktur) in mehrere logisch getrennte Netze, ohne dass man zusätzliche Hardware braucht.
- Ohne VLAN: Alle Geräte in einem großen Raum – sie sehen sich alle gegenseitig.
- Mit VLAN: Mehrere getrennte Räume – Geräte in Raum 1 wissen nicht mal, dass es Raum 2 gibt.
2. Warum braucht man VLANs überhaupt?
Ohne VLANs hängt in einem typischen Netzwerk alles zusammen. Das klingt nach Komfort – schafft aber drei echte Probleme:
Problem 1: Sicherheit Wenn eine billige IoT-Kamera (Smart-TV, Glühbirne, Thermometer) mit einer Schadsoftware infiziert wird, hat sie in einem flachen Netzwerk direkten Zugriff auf Ihren Laptop, Ihre NAS, Ihr Büroserver. Kein Hindernis, keine Grenze.
Mit einem eigenen IoT-VLAN sitzt die infizierte Kamera in einem isolierten Raum. Sie kann ins Internet, aber nicht zu Ihrem Laptop.
Problem 2: Broadcast-Flut Jedes Gerät sendet regelmäßig Broadcast-Pakete – kleine Nachrichten an „alle”. In einem Netzwerk mit 50 Geräten sieht jedes Gerät jeden Broadcast von allen anderen. Je mehr Geräte, desto lauter wird es.
VLANs sind eigene Broadcast-Domänen: Broadcasts aus VLAN 10 hört VLAN 20 nicht. Der Lärmpegel sinkt drastisch.
Problem 3: Keine Struktur für Gäste und Mitarbeiter Im Urlaub kommen Gäste, die WLAN wollen. Sollen die wirklich im gleichen Netz sein wie der NAS mit den Familienfotos? Mit einem Gäste-VLAN bekommen sie Internet – und sonst nichts.
3. Wie funktioniert ein VLAN technisch – einfach erklärt?
Normale Ethernet-Pakete haben keinen Aufdruck, zu welchem Netzwerk sie gehören. Ein VLAN-fähiger Switch klebt auf jedes Datenpaket ein kleines Etikett (Tag), auf dem steht: „Ich gehöre zu VLAN 20.”
Das ist die IEEE 802.1Q-Norm – der weltweite Standard für VLANs, eingeführt 1998. Dieses Tag ist genau 4 Byte groß und enthält die VLAN-ID – eine Zahl zwischen 1 und 4094.
Stellen Sie sich ein Farbsystem vor:
Der Switch schaut auf die Farbe und leitet das Paket nur an Ports weiter, die für diese Farbe zugelassen sind. Ein roter Gast kann damit nicht mit einem blauen Bürogerät kommunizieren – der Switch verweigert es einfach.
4. Was bedeuten „Tagged” und „Untagged”?
Das ist die Frage, bei der die meisten stolpern. Sie ist aber eigentlich einfach.
Untagged Port (= Access Port) Der Port versteht kein VLAN-Etikett. Er ist für normale Endgeräte gedacht: Laptop, Drucker, NAS, Smart-TV. Das Gerät schickt ein normales Paket rein, der Switch klebt still das VLAN-Tag drauf. Das Gerät selbst weiß nichts von VLANs.
Analogie: Sie betreten das Bürogebäude durch den Haupteingang. Die Rezeptionistin schaut Ihren Ausweis an und schickt Sie automatisch in Ihre Etage – Sie müssen selbst nichts tun.
Tagged Port (= Trunk Port) Der Port empfängt und sendet Pakete mit VLAN-Etikett. Er ist für Geräte gedacht, die mehrere VLANs gleichzeitig transportieren müssen: andere Switches, Router, professionelle Access Points (wie UniFi APs).
Analogie: Das ist der Lastenaufzug im Gebäude. Er fährt alle Etagen an und transportiert Waren für jede Abteilung. Er muss wissen, welches Paket für welches Stockwerk ist.
Die Faustregel:
- Endgerät (PC, Drucker, Kamera) → Untagged
- Switch, Router, Access Point → Tagged (für alle VLANs, die er transportieren soll)
5. Typische VLAN-Szenarien auf einer Finca oder im Büro
Hier sind die vier VLANs, die in der Praxis fast immer Sinn machen:
| VLAN-ID | Name | Wer gehört rein? | Darf sprechen mit… |
|---|---|---|---|
| VLAN 10 | Management | Router, Switches, APs (Verwaltung) | Nur Netzwerkgeräte |
| VLAN 20 | Intern / Büro | Laptops, PCs, NAS, Drucker | Intern + Internet |
| VLAN 30 | Gäste / Urlaub | Smartphones der Gäste | Nur Internet |
| VLAN 40 | IoT / Kameras | Smart-TV, Glühbirnen, Kameras, Alarm | Nur Internet (oder isoliert) |
Mit dieser Struktur erreicht ein kompromittiertes IoT-Gerät weder den Laptop noch die NAS. Das ist kein Luxus – das ist grundlegende Netzwerkarchitektur.
6. Wie kommen die VLANs miteinander in Kontakt? (Inter-VLAN Routing)
VLANs trennen. Aber manchmal soll VLAN 20 (Büro) doch auf einen Drucker in VLAN 40 (IoT) zugreifen dürfen. Wie geht das?
Der Trick: VLANs können nicht direkt miteinander reden – das würde den Sinn aufheben. Aber ein Router (Layer 3) kann zwischen VLANs vermitteln – aber nur nach Ihren Regeln.
Das nennt sich Inter-VLAN Routing. Der Router sitzt als Vermittler zwischen den VLANs:
- VLAN 20 schickt ein Paket an den Router: „Ich will zum Drucker in VLAN 40.”
- Der Router prüft seine Regeln: „Erlaubt? Ja.” Er leitet es weiter.
- Ist die Regel „verboten”, blockiert der Router es ohne weitere Nachfrage.
In einem UniFi-Netzwerk macht das das Cloud Gateway oder die UDM automatisch. Im UniFi-Controller kann man dann mit einer Firewall-Regel ganz konkret sagen: „VLAN 30 (Gäste) darf niemals etwas in VLAN 20 (Büro) anfassen.”
7. VLAN und WLAN: Wie passen die zusammen?
Ein häufiges Missverständnis: „Ich habe nur ein einziges WLAN-Kabel zum Access Point. Wie sollen da mehrere VLANs drüber?”
Antwort: Genau deswegen gibt es Tagged Ports (Trunks). Das Kabel vom Switch zum Access Point transportiert alle VLANs gleichzeitig, jedes mit seinem Etikett. Der Access Point entpackt die Tags und erstellt für jedes VLAN ein eigenes WLAN (SSID):
Das bedeutet: Ein Access Point, ein Kabel, mehrere komplett getrennte WLANs. UniFi macht das im Controller mit wenigen Klicks.
8. VLANs in UniFi einrichten – wie sieht das aus?
Im UniFi-Controller ist das erstaunlich einfach:
- Netzwerk anlegen: Einstellungen → Netzwerke → „Neues Netzwerk” → VLAN-ID vergeben (z.B. 30), IP-Bereich definieren (z.B. 192.168.30.0/24), DHCP aktivieren.
- WLAN zuweisen: WiFi → neue SSID anlegen → unter „Netzwerk” das VLAN 30 auswählen. Fertig.
- Switch-Port konfigurieren: Bei einem Port, an dem z.B. ein Server hängt, der nur VLAN 20 sehen soll, stellt man diesen Port auf „Untagged VLAN 20″.
- Firewall-Regel: Unter Firewall & Sicherheit → Traffic-Regeln: „Blockiere allen Verkehr von VLAN 30 zu VLAN 20.” – ein Klick, sofort aktiv.
Das ist der Komfort von UniFi: Was bei Cisco-Netzwerken Stunden an Kommandozeile bedeutet, sind in UniFi ein paar gut beschriftete Menüs.
Teil 2: VLANs für Profis
Wer es genau wissen will: hier kommt das technische Fundament.
9. Der 802.1Q-Frame im Detail
Wenn ein Switch ein Paket „taggt”, fügt er zwischen den normalen Ethernet-Header und den Nutzdaten einen 4-Byte-802.1Q-Tag ein. Der Frame sieht dann so aus:
[ Ziel-MAC (6 Byte) ][ Quell-MAC (6 Byte) ][ 802.1Q Tag (4 Byte) ][ EtherType (2 Byte) ][ Payload ][ FCS ]
Die 4 Byte des Tags sind aufgeteilt in:
| Feld | Größe | Inhalt |
|---|---|---|
| TPID | 16 Bit | Immer 0x8100 – signalisiert: „Ich bin ein 802.1Q-Frame” |
| PCP | 3 Bit | Priority Code Point – für QoS (0–7, wobei 7 höchste Priorität) |
| DEI | 1 Bit | Drop Eligible Indicator – Paket darf bei Überlast verworfen werden |
| VID | 12 Bit | VLAN-ID (0–4095, davon nutzbar: 1–4094) |
Die 12 Bit für die VLAN-ID ergeben 2¹² = 4096 mögliche VLANs. VLAN 0 und VLAN 4095 sind reserviert – bleiben 4094 nutzbare IDs.
10. Native VLAN und PVID – die häufigste Fehlerquelle
Auf einem Trunk-Port gibt es immer ein Native VLAN (Cisco-Begriff) bzw. PVID (Port VLAN ID, IEEE-Begriff). Das ist das VLAN, das ungetaggte Frames automatisch zugewiesen bekommen.
Warum ist das wichtig? Weil in der Praxis manche Geräte (ältere Switches, bestimmte Uplink-Szenarien) ungetaggte Frames auf einem Trunk-Port schicken. Das Native VLAN bestimmt, wo diese Frames landen.
Das klassische Sicherheitsproblem: VLAN Hopping Wenn der Angreifer weiß, welches VLAN das Native VLAN ist (Standard bei Cisco: VLAN 1), kann er mit einem Double-Tag-Angriff Frames in ein anderes VLAN schleusen:
- Angreifer taggt ein Paket mit VLAN 1 (Native) außen und VLAN 20 (Ziel) innen.
- Erster Switch entfernt den äußeren Tag (Native = kein Tag nötig).
- Zweiter Switch sieht nur noch den inneren VLAN-20-Tag und liefert es dort ab.
Gegenmaßnahme: Native VLAN immer auf eine ungenutzte VLAN-ID setzen (z.B. VLAN 999) und niemals für echten Traffic nutzen. In UniFi: Trunk-Ports konsequent als „Tagged Only” konfigurieren.
11. VLAN + STP/RSTP: Wer hat das Sagen?
STP und RSTP laufen standardmäßig über alle VLANs hinweg – es gibt eine einzige Spanning-Tree-Instanz für das gesamte Netzwerk (Common Spanning Tree, CST).
Das führt zu einem Problem: Die Root Bridge wird für alle VLANs nach der gleichen Logik gewählt. Das bedeutet, dass der physisch beste Pfad für VLAN 10 vielleicht für VLAN 20 suboptimal ist – aber trotzdem für beide erzwungen wird.
Die Lösung: MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) MSTP erlaubt es, mehrere Spanning-Tree-Instanzen zu definieren – jede für eine Gruppe von VLANs:
- Instanz 1 verwaltet VLAN 10, 20 → Root Bridge = Switch A
- Instanz 2 verwaltet VLAN 30, 40 → Root Bridge = Switch B
Damit kann man Traffic-Load über redundante Links aktiv balancieren, anstatt immer nur einen Link zu blockieren. UniFi-Switches unterstützen MSTP; die Konfiguration erfordert aber sorgfältige Planung der Instanzen und Port-Kostenwerte.
12. Firewall-Regeln zwischen VLANs in UniFi – die richtige Strategie
Inter-VLAN Routing geschieht im UniFi-Gateway (UDM, UCG-Ultra, etc.) auf Layer 3. Standardmäßig ist bei UniFi kein Traffic zwischen VLANs geblockt – alles ist erlaubt. Das muss man aktiv einschränken.
Empfohlene Grundregeln (Traffic Rules im UniFi-Controller):
Regel 1 (Priorität hoch): ERLAUBT – Established/Related – alle VLANs
→ Gibt bereits laufenden Verbindungen Rückwegpakete durch.
Regel 2: BLOCKIERT – Von VLAN 30 (Gäste) nach VLAN 20 (Intern)
Regel 3: BLOCKIERT – Von VLAN 30 (Gäste) nach VLAN 10 (Management)
Regel 4: BLOCKIERT – Von VLAN 40 (IoT) nach VLAN 20 (Intern)
Regel 5: BLOCKIERT – Von VLAN 40 (IoT) nach VLAN 10 (Management)
Regel 6: ERLAUBT – Von VLAN 20 (Intern) nach VLAN 40 (IoT) Port 9100
→ Erlaubt z.B. gezielten Druckerzugriff.
Wichtig: Die Reihenfolge der Regeln ist entscheidend. UniFi arbeitet Top-Down mit First-Match. Regel 1 (Established/Related) muss immer oben stehen, sonst bricht die Kommunikation für bereits aufgebaute Verbindungen beim Rückpaket ab.
13. Voice VLAN und QoS – wenn VoIP-Telefonie im Netzwerk läuft
Telefoniedaten (VoIP) reagieren extrem empfindlich auf Latenz und Paketverlust. Schon 30 ms Jitter oder 1% Paketverlust machen ein Gespräch unbrauchbar.
Die Lösung: Voice VLAN in Kombination mit QoS (Quality of Service).
Das Voice VLAN (typisch VLAN 100 oder VLAN 5) wird ausschließlich für IP-Telefone genutzt. Der Switch-Port, an dem ein IP-Telefon hängt, wird mit zwei VLANs konfiguriert:
- Untagged = Voice VLAN (das Telefon bekommt seine IP aus diesem Netz)
- Tagged = Daten-VLAN (der PC, der am Durchschliff des Telefons hängt, bekommt seine IP aus dem normalen Büronetz)
Der PCP-Wert im 802.1Q-Tag wird für Voice-Traffic auf 5 oder 6 gesetzt (Wert 7 ist für Netzwerk-Control-Traffic reserviert). Der Switch behandelt diese Pakete mit höchster Priorität in seiner Queue.
In UniFi: Unter dem jeweiligen VLAN/Netzwerk lässt sich eine DSCP-Markierung setzen, die der Controller automatisch auf den QoS-Wert des PCP-Feldes abbildet.
14. VLAN Troubleshooting – die Checkliste
Wenn VLAN-Kommunikation unerwartet nicht funktioniert, folgt man dieser Checkliste:
Schicht 2 (Switch-Konfiguration):
- [ ] Ist der Port korrekt als Access (Untagged) oder Trunk (Tagged) konfiguriert?
- [ ] Ist die richtige VLAN-ID am Port eingetragen?
- [ ] Transportiert der Trunk-Port alle benötigten VLAN-IDs (allowed VLANs)?
- [ ] Stimmt das Native VLAN / PVID auf beiden Seiten eines Trunk-Links überein?
Schicht 3 (Routing & IP):
- [ ] Hat das VLAN ein eigenes Subnetz (z.B. 192.168.30.0/24)?
- [ ] Hat das VLAN ein konfiguriertes Gateway (die IP des Routers in diesem Subnetz)?
- [ ] Ist DHCP für dieses VLAN aktiviert und antwortet er?
- [ ] Bekommt das Gerät im VLAN eine IP-Adresse aus dem richtigen Subnetz?
- [ ] Blockiert eine Firewall-Regel ungewollt den Traffic?
- [ ] Gilt Regel 1 (Established/Related) für Rückpakete?
- [ ] Ist die Regelreihenfolge korrekt (Top-Down, First-Match)?
WLAN:
- [ ] Ist die SSID dem richtigen VLAN zugewiesen?
- [ ] Ist der Uplink-Port des Access Points als Tagged für dieses VLAN konfiguriert?
Schnelltest im Terminal:
# IP-Adresse und Gateway prüfen
ip addr show # Linux/macOS
ipconfig # Windows
# Gateway erreichbar?
ping 192.168.30.1
# DHCP-Server antwortend?
# (Linux) sudo dhclient -v eth0
15. Zusammenfassung: STP vs. VLAN – Zusammenspiel auf einem Blick
| Merkmal | STP/RSTP | VLAN (802.1Q) |
|---|---|---|
| Arbeitet auf | Layer 2 (Switching) | Layer 2 (Switching) + Layer 3 (Routing) |
| Hauptaufgabe | Schleifen verhindern | Netzwerke logisch trennen |
| Konfigurationsort | Switch-Port-Parameter | Switch-Port + Router/Gateway |
| Zusammenspiel | STP läuft innerhalb der VLANs | VLANs nutzen STP als Schleifenschutz |
| Wenn falsch konfiguriert | Broadcast Storm, Netzwerkausfall | Geräte bekommen keine IP, keine Kommunikation |
| In UniFi | Automatisch aktiv (RSTP) | Manuell anlegen, große Kontrolle |
