Netzwerkguide

VLANs konfigurieren – Netzwerksegmentierung mit 802.1Q 2025

Netzwerke sicher trennen ohne extra Hardware

S
SeeColors IT11. Juni 20264 Min. Lesezeit175 Aufrufe

VLAN-Konzepte

VLAN = Virtual Local Area Network
Physisch: Ein Switch, Ein Kabel
Logisch: Mehrere getrennte Netzwerke

Typisches KMU-VLAN-Design:
VLAN 10 – Management  (192.168.10.0/24)
VLAN 20 – Server      (192.168.20.0/24)
VLAN 30 – Büro        (192.168.30.0/24)
VLAN 40 – WLAN-Gäste  (192.168.40.0/24)
VLAN 50 – IoT-Geräte  (192.168.50.0/24)

Port-Typen:
Access Port: Ein VLAN, Endgerät (PC, Drucker)
Trunk Port:  Mehrere VLANs, Switch-zu-Switch oder Switch-zu-Router

OPNsense/pfSense VLAN konfigurieren

1. Interfaces → Other Types → VLAN
   Interface: em0 (physisch)
   VLAN Tag: 10
   Description: MGMT

2. Interfaces → Assignments
   VLAN 10 Interface (em0.10) zuweisen
   → Aktivieren, IP: 192.168.10.1/24

3. DHCP-Server → VLAN-Interface
   Range: 192.168.10.100–200
   DNS: 192.168.10.1

4. Firewall-Regeln pro VLAN:
   VLAN 40 (Gäste): Internet Ja, anderes VLAN Nein
   VLAN 20 (Server): Nur erlaubte Ports

Cisco-Switch VLAN (IOS)

# VLANs anlegen
vlan 10
  name Management
vlan 20
  name Server
vlan 30
  name Buero

# Access Port (Büro-PC)
interface GigabitEthernet0/1
  switchport mode access
  switchport access vlan 30

# Trunk Port (zum Router)
interface GigabitEthernet0/48
  switchport mode trunk
  switchport trunk allowed vlan 10,20,30,40,50

# VLAN-Übersicht
show vlan brief
show interfaces trunk

Managed Switch (Ubiquiti UniFi, TP-Link)

UniFi Netzwerk:
1. Settings → Networks → Create New Network
   Name: Server, VLAN ID: 20
   Subnetz: 192.168.20.0/24
   DHCP-Server aktivieren

2. Port-Profil erstellen:
   Settings → Profiles → Port → New
   Name: Büro-PC, Native VLAN: 30

3. Switch-Port → Port-Profil zuweisen
   Devices → Switch → Port → Profil: Büro-PC

TP-Link Smart-Switch (TL-SG2008P):
Web-GUI → L2 Features → 802.1Q VLAN

Linux VLAN-Interface

# VLAN-Interface erstellen
apt install -y vlan
modprobe 8021q

# Statisch (Netplan, Ubuntu)
# /etc/netplan/01-vlan.yaml
# vlans:
#   vlan20:
#     id: 20
#     link: ens3

# Temporär
ip link add link ens3 name ens3.20 type vlan id 20
ip addr add 192.168.20.50/24 dev ens3.20
ip link set ens3.20 up

Inter-VLAN Routing

Router-on-a-Stick: Ein physischer Port, Trunk, Subinterfaces

OPNsense:
- Jedes VLAN = eigenes Interface
- Firewall-Regeln kontrollieren VLAN-zu-VLAN-Traffic
- VLAN 30 (Büro) → VLAN 20 (Server) auf Port 443 erlauben
- VLAN 40 (Gäste) → VLAN 20 (Server) SPERREN

FAQ

Brauche ich einen Managed Switch für VLANs?
Ja. Unmanaged Switches kennen keine VLANs. Günstige Managed-Switches (TP-Link TL-SG108E, ~30 €) reichen für Homelab.

Kann WLAN auch VLAN-getrennt werden?
Ja. SSID zu VLAN zuweisen (UniFi, Aruba, TP-Link EAP). Gäste-WLAN auf VLAN 40 = kein Zugang zum Firmennetz.

Fazit

VLANs sind der wichtigste Netzwerk-Sicherheitsmechanismus für KMU: Server, Büro-PCs und Gäste-WLAN getrennt – ohne extra Hardware.

Netzwerk-Segmentierung und VLAN-Konfiguration für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Netzwerk#VLAN#Segmentierung#Switch

Verwandte Artikel

Windows DNS Server – Zonen und Records konfigurieren 2025

4 Min.

Windows DHCP Server mit Failover – Ausfallsicher 2025

4 Min.

WLAN Sicherheit – WPA3 und 802.1X Enterprise 2025

4 Min.