VLANs in Proxmox – Warum Netzwerksegmentierung?
VLANs (Virtual Local Area Networks) teilen ein physisches Netzwerk in mehrere logisch getrennte Segmente auf. In Proxmox-Infrastrukturen sind VLANs aus mehreren Gründen wichtig:
- Sicherheit: Server-, Client- und Management-Netzwerke voneinander isolieren
- Performance: Broadcast-Traffic reduzieren
- Compliance: NIS2, ISO 27001 fordern oft Netzwerksegmentierung
- Ordnung: Übersichtliche Netzwerkstruktur in wachsenden Infrastrukturen
Typische VLAN-Struktur für KMU
| VLAN-ID | Name | Verwendung |
|---|---|---|
| 1 | Management | Proxmox-Weboberfläche, Server-Management |
| 10 | Server | Produktionsserver, VMs |
| 20 | Client | Arbeitsplätze, PCs |
| 30 | DMZ | Webserver, öffentlich erreichbare Dienste |
| 40 | Backup | Backup-Traffic, PBS |
| 50 | VoIP | STARFACE, IP-Telefonie |
Methode 1: VLAN-aware Bridge
Die einfachste VLAN-Methode in Proxmox: Eine Bridge die VLAN-Tags weiterleitet.
VLAN-aware Bridge erstellen
Über Weboberfläche:
- Node → System → Netzwerk
- Bestehende
vmbr0auswählen → Edit - VLAN aware: Häkchen setzen
- Apply
Oder neue Bridge erstellen:nano /etc/network/interfaces
auto vmbr0 iface vmbr0 inet static address 192.168.1.10/24 gateway 192.168.1.1 bridge-ports enp1s0 bridge-stp off bridge-fd 0 bridge-vlan-aware yes
ifreload -a
VM in VLAN einbinden
Jeder VM-Netzwerkadapter bekommt einen VLAN-Tag:
- VM → Hardware → Netzwerkgerät bearbeiten
- VLAN Tag: z. B.
10(für VLAN 10)
Oder per Shell:qm set 101 --net0 virtio,bridge=vmbr0,tag=10
Die VM sendet und empfängt jetzt nur Traffic in VLAN 10.
Trunk-Port für VMs
Eine VM kann auch mehrere VLANs empfangen (Trunk), z. B. für Router-VMs (pfSense, OPNsense):
qm set 102 --net0 virtio,bridge=vmbr0,trunks=10;20;30
Methode 2: Separate Bridge pro VLAN
Für mehr Kontrolle: Eine eigene Bridge pro VLAN.
nano /etc/network/interfaces
`# VLAN 10 - Server
auto vlan10
iface vlan10 inet manual
vlan-raw-device enp1s0
vlan-id 10
auto vmbr10
iface vmbr10 inet static
address 10.10.10.1/24
bridge-ports vlan10
bridge-stp off
bridge-fd 0
VLAN 20 - Client
auto vlan20
iface vlan20 inet manual
vlan-raw-device enp1s0
vlan-id 20
auto vmbr20
iface vmbr20 inet none
bridge-ports vlan20
bridge-stp off
bridge-fd 0`
VMs wählen dann die entsprechende Bridge (vmbr10, vmbr20) statt VLAN-Tags.
Methode 3: SDN (Software Defined Networking)
Ab Proxmox VE 7.3 ist SDN vollständig integriert. SDN ermöglicht:
- Zentrale Netzwerkverwaltung für den gesamten Cluster
- VNets (Virtuelle Netzwerke) ohne manuelle Interface-Konfiguration
- VXLAN-Overlays für Cluster-übergreifende Netzwerke
- Automatische Konfigurationsverteilung auf alle Cluster-Nodes
SDN aktivieren
apt install -y libpve-network-perl ifupdown2systemctl restart pve-cluster
In der Weboberfläche erscheint jetzt: Datacenter → SDN
SDN-Zone erstellen
Eine SDN-Zone definiert die Netzwerktechnologie:
- Datacenter → SDN → Zones → Add
- Typ auswählen:
- Simple: Einfache Layer-2-Segmentierung (wie VLAN-aware Bridge)
- VLAN: VLANs auf einem physischen Interface
- QinQ: VLANs in VLANs (Provider-Dienste)
- VXLAN: Layer-2-Overlay über Layer-3 (für Cluster)
- EVPN: BGP-EVPN Routing (Enterprise)
Für einfache VLAN-Segmentierung:
- Typ: VLAN
- ID: z. B.
vlan-zone - Bridge:
vmbr0 - MTU: 1500 (oder 9000 für Jumbo Frames)
SDN-VNets erstellen
VNets sind virtuelle Netzwerke die VMs zugewiesen werden:
- Datacenter → SDN → VNets → Add
- Name: z. B.
server-net - Zone:
vlan-zone - Tag (VLAN-ID):
10 - Add
SDN-Änderungen anwenden:
- Datacenter → SDN → Apply
VM mit VNet verbinden
VM → Hardware → Netzwerkgerät → Bridge: server-net (SDN VNet statt physischer Bridge)
Managed Switch konfigurieren für Proxmox-VLANs
Der Proxmox-Server muss per Trunk-Port mit dem Switch verbunden sein:
Cisco Catalyst
interface GigabitEthernet1/0/1 description "Proxmox-Uplink" switchport mode trunk switchport trunk allowed vlan 1,10,20,30,40,50 switchport trunk native vlan 1
TP-Link/Aruba
Im Web-Interface:
- VLANs erstellen (10, 20, 30 etc.)
- Proxmox-Uplink-Port als Tagged für alle VLANs
- Andere Ports als Untagged für das jeweilige VLAN
VLAN-Routing mit pfSense/OPNsense-VM
Für Routing zwischen VLANs empfehlen wir eine dedizierte Router-VM:
- pfSense/OPNsense VM erstellen
- Netzwerkadapter 1: WAN-Interface (Internet)
- Netzwerkadapter 2: LAN-Trunk (alle VLANs)
In pfSense: Interface → VLANs → VLAN 10/20/30 als Sub-Interfaces erstellen.
Firewall-Regeln zwischen VLANs: Nur erlaubte Kommunikation freischalten.
VLAN-Konfiguration verifizieren
Netzwerkverbindung testen
Von einer VM in VLAN 10:ping 10.10.10.1 – Gateway-Pingping 10.20.0.1 – VLAN 20 (wenn Routing konfiguriert)
VLAN-Tags auf Bridge prüfen
bridge vlan show – Zeigt VLAN-Tags aller Bridge-Portscat /proc/net/vlan/vlan10 – VLAN 10 Interface-Details
FAQ
Kann ich VLANs in einem Proxmox-Cluster ohne Shared Storage nutzen?
Ja, VLANs sind unabhängig vom Storage. Jeder Node braucht nur denselben VLAN-aware Switch-Port.
Wie viele VLANs kann Proxmox verwalten?
Theoretisch bis zu 4094 VLANs (IEEE 802.1Q Standard). In der Praxis begrenzt durch Switch-Kapazität.
Ist SDN kompatibel mit der klassischen Bridge-Konfiguration?
Ja, SDN und klassische Bridges können nebeneinander existieren. SDN-Migrationen können schrittweise erfolgen.
Fazit
VLAN-Segmentierung ist für jede professionelle Proxmox-Infrastruktur unerlässlich. Mit der VLAN-aware Bridge ist der Einstieg einfach, und SDN bietet Enterprise-Funktionen für wachsende Umgebungen.
Als Netzwerk- und Proxmox-Spezialisten in Heidelberg planen wir VLAN-Strukturen für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Netzwerkplanung anfragen.