Teil 15: VLANs – Netzwerke logisch trennen

von

Stefan
in ,

Stell dir vor, du gehst in ein Großraumbüro mit hundert Arbeitsplätzen. Auf den ersten Blick sieht alles wie ein einziges Netzwerk aus: überall PCs, Telefone, Drucker und WLAN-Access-Points. Doch im Hintergrund läuft es nicht so chaotisch ab. Die IT-Abteilung hat das Netz in verschiedene Bereiche unterteilt – nicht durch Mauern oder zusätzliche Kabel, sondern durch eine logische Aufteilung. Genau das ist die Idee von VLANs (Virtual Local Area Networks).

Warum VLANs entstanden sind

In den frühen Tagen der Netzwerke war die Struktur klar: Jeder Standort hatte ein Netz, und alle Geräte darin konnten miteinander reden. Das war einfach, aber mit zunehmender Größe wurden Probleme sichtbar:

  • Broadcast-Stürme: In großen Netzen gingen Anfragen wie „Wer hat IP X?“ an alle Geräte. Je mehr Geräte, desto mehr unnötiger Verkehr.
  • Sicherheit: Wenn jedes Gerät jedes andere erreichen konnte, waren sensible Bereiche ungeschützt.
  • Flexibilität: Wollte man eine Abteilung in ein eigenes Netz packen, musste man neue Kabel legen oder separate Switches einsetzen.

Die Lösung waren VLANs – eine Methode, um ein einziges physisches Netz in viele logische Netze zu zerlegen.

Was ist ein VLAN?

Ein Virtual Local Area Network ist ein Teilnetz innerhalb eines Switches oder einer Switch-Struktur. Es sorgt dafür, dass Geräte so behandelt werden, als ob sie in unterschiedlichen Netzen sitzen – auch wenn sie physisch am gleichen Kabel oder Switch hängen.

Man könnte sagen: VLANs sind unsichtbare Mauern in einem Gebäude. Alle sitzen im selben Raum, aber dank Kopfhörern und Trennwänden können nur die richtigen Gruppen miteinander sprechen.

Funktionsweise – VLAN-Tagging

Damit VLANs funktionieren, braucht es eine Kennzeichnung der Datenpakete. Hier kommt der Standard IEEE 802.1Q ins Spiel.

Jedes Ethernet-Frame kann ein Tag bekommen, das die VLAN-ID enthält. Typischerweise sind das Zahlen von 1 bis 4094.

  • Ein Paket mit VLAN-ID 10 gehört also ins Netz „Abteilung A“.
  • Ein Paket mit VLAN-ID 20 gehört ins Netz „Abteilung B“.

Switches lesen diese Tags und wissen so, wohin die Pakete gehören.

Access-Ports und Trunk-Ports

Ein zentrales Konzept bei VLANs ist die Unterscheidung zwischen Access-Ports und Trunk-Ports.

  • Access-Port: Verbindet ein Endgerät mit einem VLAN. Der Port gehört genau zu einem VLAN. Beispiel: Ein PC im VLAN 10.
  • Trunk-Port: Transportiert mehrere VLANs gleichzeitig. Wird oft zwischen Switches oder zwischen Switch und Router genutzt.

Der Trunk-Port markiert die Pakete mit den VLAN-Tags, sodass am anderen Ende klar ist, welches Paket zu welchem VLAN gehört.

Router-on-a-Stick – Kommunikation zwischen VLANs

Ein wichtiger Punkt: VLANs sind logische Netze. Geräte in verschiedenen VLANs können nicht direkt miteinander reden.

Wenn Abteilung A im VLAN 10 mit Abteilung B im VLAN 20 kommunizieren will, braucht es ein Gerät, das zwischen ihnen vermittelt – einen Router oder Layer-3-Switch.

Ein klassisches Szenario ist der sogenannte Router-on-a-Stick:

  • Ein Router hängt mit einem einzigen Kabel am Switch.
  • Der Port ist als Trunk konfiguriert.
  • Der Router hat für jedes VLAN eine virtuelle Schnittstelle.
  • So kann er Pakete von VLAN 10 nach VLAN 20 weiterleiten.

In großen Netzen übernehmen Layer-3-Switches diese Aufgabe direkt – schneller und effizienter.

Vorteile von VLANs

Die Einführung von VLANs hat Netzwerke revolutioniert. Einige zentrale Vorteile:

  • Sicherheit: Abteilungen oder Dienste sind voneinander getrennt. Gäste können nicht einfach auf Server zugreifen.
  • Effizienz: Broadcast-Verkehr wird auf das jeweilige VLAN beschränkt.
  • Flexibilität: Geräte können unabhängig vom physischen Standort ins passende Netz gesetzt werden. Ein Mitarbeiter im 3. Stock kann trotzdem im VLAN 10 der Buchhaltung sitzen.
  • Kostenersparnis: Statt für jede Abteilung eigene Switches zu kaufen, reicht ein gemeinsames, logisch unterteiltes Netz.

VLANs im Alltag – ein Beispiel

Ein mittelständisches Unternehmen mit 200 Mitarbeitern nutzt ein gemeinsames Kabelnetz. Ohne VLANs wäre alles ein einziges Netz. Mit VLANs sieht es so aus:

  • VLAN 10: Verwaltung (50 PCs, Drucker)
  • VLAN 20: IT-Abteilung (30 PCs, Server)
  • VLAN 30: Produktion (100 Maschinen und Steuerungen)
  • VLAN 40: Gäste-WLAN (20 Geräte)

Die Gäste bekommen nur Zugang ins Internet, aber nicht in die Verwaltung oder Produktion. Die IT-Abteilung kann auf Server und Verwaltung zugreifen, aber nicht umgekehrt.

VLANs im Heimnetz

Auch zu Hause können VLANs nützlich sein – vor allem, wenn Smart-Home-Geräte im Einsatz sind.

Ein Setup könnte so aussehen:

  • VLAN 10: Hauptnetz für PCs, Laptops und Smartphones.
  • VLAN 20: Smart-Home-Geräte wie Lampen, Kameras, Sprachassistenten.
  • VLAN 30: Gäste-WLAN.

Damit sind unsichere IoT-Geräte von den privaten Rechnern getrennt. Sollte ein Angreifer eine smarte Glühbirne hacken, kommt er nicht automatisch an die privaten Fotos auf dem Laptop.

VLANs und Sicherheit

VLANs sind ein mächtiges Werkzeug – aber kein Allheilmittel. Einige Fallstricke:

  • VLAN Hopping: Angreifer versuchen, durch fehlerhafte Konfigurationen in andere VLANs zu springen.
  • Schwache Trennung: VLANs trennen logisch, aber nicht kryptografisch. Mit falschen Port-Einstellungen kann man Lücken öffnen.
  • Fehlerhafte Regeln: Ohne durchdachte Firewall- oder Routing-Regeln können VLANs ihre Wirkung verlieren.

Darum gilt: VLANs sind ein Baustein, müssen aber immer mit Firewalls und Zugriffsregeln kombiniert werden.

VLANs und QoS

Neben Sicherheit ermöglichen VLANs auch eine bessere Qualitätssteuerung (Quality of Service). In Unternehmen wird oft Telefonie über IP (VoIP) eingesetzt. Um sicherzustellen, dass Sprachpakete Vorrang haben, legt man sie in ein eigenes VLAN. Switches und Router erkennen so den Verkehr und können ihn bevorzugt behandeln.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert