Netzwerkguide

VLAN einrichten – Netzwerksegmentierung für KMU

Managed Switch, Router und WLAN mit VLANs segmentieren

S
SeeColors IT10. Juni 20264 Min. Lesezeit239 Aufrufe

Was sind VLANs und warum sind sie wichtig?

VLANs (Virtual Local Area Networks) ermöglichen die logische Trennung eines physischen Netzwerks in mehrere isolierte Netzwerksegmente. Ohne VLANs müssten Sie für jedes Segment eigene Switches und Kabel verlegen.

Warum VLANs für KMU?

Sicherheit: Gäste im WLAN können nicht auf Firmendaten zugreifen. IoT-Geräte (Drucker, Kameras) sind isoliert vom Kern-Netzwerk.

Performance: Broadcast-Traffic bleibt innerhalb des VLANs – weniger Netzwerklast.

Compliance: Trennung von zahlungsrelevanten Systemen (PCI DSS) oder Patientendaten (DSGVO) von allgemeinen Netzwerken.

Typisches VLAN-Konzept für KMU:

VLAN ID Netz Zweck
Management 1 192.168.1.0/24 Router, Switches, Drucker
Mitarbeiter 10 192.168.10.0/24 PCs, Laptops der Mitarbeiter
Server 20 192.168.20.0/24 File-Server, Domain-Controller
WLAN-Gäste 30 192.168.30.0/24 Besucherwlan (nur Internet)
IoT 40 192.168.40.0/24 Drucker, Kameras, Smart-Devices
VoIP 50 192.168.50.0/24 IP-Telefone (priorisierter Traffic)

VLAN-Grundkonzepte

Access Port vs. Trunk Port

Access Port: Gehört zu genau einem VLAN. Endgeräte (PCs, Drucker) werden an Access Ports angeschlossen. Das Gerät weiß nichts vom VLAN.

Trunk Port: Trägt mehrere VLANs gleichzeitig. Verbindet Switches untereinander oder Switch mit Router. Pakete werden mit 802.1Q-Tags markiert (VLAN-ID im Ethernet-Frame).

Tagged vs. Untagged:

  • Untagged (Access): Pakete für das Gerät ohne Tag → Endgerät
  • Tagged (Trunk): Pakete mit VLAN-Tag → anderer Switch oder Router

VLAN auf Managed Switch einrichten

TP-Link TL-SG108E (günstiger Einstieg)

  1. Switch-IP im Browser öffnen (Standard: 192.168.0.1)
  2. 802.1Q VLAN802.1Q VLAN konfigurieren
  3. VLAN ID 10 hinzufügen:
    • Port 1-4: Untagged (Mitarbeiter-PCs)
    • Port 8: Tagged (Uplink zu Router)
  4. VLAN ID 30 hinzufügen:
    • Port 5-6: Untagged (WLAN-AP für Gäste)
    • Port 8: Tagged
  5. 802.1Q PVID-Einstellungen:
    • Port 1-4: PVID 10
    • Port 5-6: PVID 30

Cisco Catalyst (Enterprise)

`configure terminal
vlan 10
name Mitarbeiter
vlan 20
name Server
vlan 30
name Gaeste

interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
description "PC Max Mustermann"

interface GigabitEthernet0/24
switchport mode trunk
switchport trunk allowed vlan 10,20,30
description "Uplink zum Router"`

HP/Aruba ProCurve

`vlan 10
name "Mitarbeiter"
untagged 1-8
tagged 24

vlan 30
name "Gaeste"
untagged 9-12
tagged 24`

VLAN-Routing auf dem Router (Inter-VLAN Routing)

Damit VLANs miteinander kommunizieren können (z. B. Mitarbeiter → Server), brauchen Sie Inter-VLAN Routing auf Ihrem Router.

Router-on-a-Stick (für Router mit einem Uplink)

Der Router-Uplink-Port wird als Trunk konfiguriert. Für jedes VLAN wird ein virtuelles Sub-Interface erstellt.

FRITZ!Box (begrenzte VLAN-Unterstützung):
FRITZ!OS 7+ unterstützt VLANs begrenzt. Besser: Separaten Router (pfSense, OPNsense, Mikrotik).

pfSense/OPNsense:

Interface-Menü → Interfaces → Interface zuweisen:

  1. InterfacesAssignmentsVLANsHinzufügen
    • Parent Interface: em0 (Ihr LAN-Interface)
    • VLAN Tag: 10
  2. Neues Interface erscheint: "OPT1" → Aktivieren, IP 192.168.10.1/24
  3. DHCP Server für das Interface aktivieren

Firewall-Regeln zwischen VLANs:

  • Mitarbeiter → Server: Erlaubt (TCP 445 für Dateifreigabe, TCP 3389 für RDP)
  • Gäste → Internet: Erlaubt
  • Gäste → Mitarbeiter: Blockiert
  • IoT → Internet: Erlaubt (für Updates)
  • IoT → alles andere: Blockiert

WLAN-VLANs konfigurieren

Moderne WLAN-Access-Points (Ubiquiti, Cisco, Aruba) unterstützen mehrere SSIDs, jeweils in einem VLAN.

Ubiquiti UniFi (beliebt für KMU)

  1. UniFi Controller → SettingsWiFi
  2. SSID erstellen: "Firma-Intern"
    • VLAN: 10
  3. SSID erstellen: "Gaste-WLAN"
    • VLAN: 30
    • Client-Isolation aktivieren (Gäste sehen sich nicht gegenseitig)

Der Access-Point-Port am Switch muss als Trunk konfiguriert sein (tagged VLANs 10 und 30).

VLAN-Konfiguration testen

Nach der Einrichtung testen:

Von einem Mitarbeiter-PC (VLAN 10):
ipconfig → IP muss aus 192.168.10.0/24 sein

ping 192.168.10.1 → Gateway erreichbar
ping 192.168.20.1 → Server-VLAN Gateway erreichbar (falls Inter-VLAN erlaubt)
ping 192.168.30.1 → Gäste-VLAN NICHT erreichbar (Firewall blockiert)

FAQ

Brauche ich für VLANs einen Managed Switch?
Ja. Einfache (unmanaged) Switches können keine VLANs. Managed Switches ab ca. 40–80 € (TP-Link TL-SG108E) unterstützen VLANs.

Können VLANs miteinander kommunizieren?
Nur wenn der Router (oder Layer-3-Switch) entsprechende Routing-Regeln hat. VLANs sind standardmäßig vollständig isoliert.

Brauche ich VLANs wenn alle auf HomeOffice umgestellt wurden?
Im Büro: Ja, für Netzwerksicherheit essentiell. Im Homeoffice: Mitarbeiter nutzen VPN – VLAN-Segmentierung findet am zentralen Standort statt.

Fazit

VLANs sind die wichtigste Sicherheitsmaßnahme für Unternehmensnetzwerke. Mit einem günstigen Managed Switch und einem pfSense-Router lässt sich eine professionelle Netzwerksegmentierung für wenige Hundert Euro umsetzen.

Als Netzwerkspezialisten in Heidelberg planen und implementieren wir VLAN-Strukturen für Unternehmen in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Netzwerkplanung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Netzwerk#VLAN#Managed Switch#Netzwerksegmentierung#Cisco

Verwandte Artikel

Windows DNS Server – Zonen und Records konfigurieren 2025

4 Min.

Windows DHCP Server mit Failover – Ausfallsicher 2025

4 Min.

WLAN Sicherheit – WPA3 und 802.1X Enterprise 2025

4 Min.