Inhaltsverzeichnis
VLANs – Grundlagen
VLANs (Virtual LAN) ermöglichen es, ein physisches Netzwerk
logisch in mehrere, voneinander getrennte Netzwerke aufzuteilen.
So entsteht mehr Sicherheit, bessere Struktur und weniger Broadcast-Verkehr.
Warum VLANs?
- Trennung verschiedener Abteilungen (z. B. Verwaltung, Gäste, Technik)
- Sicherheit: weniger Angriffsfläche
- weniger Broadcasts → effizientere Netze
- Netzwerk logisch statt physisch trennen
- Grundlage fĂĽr groĂźe Unternehmensnetze
Beispiel:
- VLAN 10 = Clients
- VLAN 20 = Server
- VLAN 30 = VoIP
- VLAN 40 = Gäste
VLAN-IDs
Jedes VLAN bekommt eine eindeutige Nummer:
- Bereich: 1 bis 4094
- Sonderfälle:
- VLAN 1 = Default
- 1002–1005 = reserviert für alte Cisco-Technik
Access-Port vs Trunk-Port
Access-Port
- gehört genau einem VLAN
- Geräte wie PCs, Drucker, Kameras
PC → Access-Port → VLAN 10
Trunk-Port
- transportiert mehrere VLANs
- Verbindung zwischen Switches / Switch → Router
Switch A === Trunk === Switch B (VLANs 10,20,30)
802.1Q-Tagging
Trunk-Ports markieren Frames mit einem VLAN-Tag:
+--------+--------+--------+ | MACs | EthTyp | Tag | Payload | +--------+--------+--------+
Der Tag enthält:
- VLAN-ID
- Priorität (QoS)
Access-Ports hingegen taggen nicht.
ASCII-Diagramm: Access vs Trunk
PC Switch Switch
| (untagged) |(tagged VLAN 10,20,30) |
| | |
[Access Port] ----- VLAN10 | ---- [Trunk] -------- | VLANs 10-30
Inter-VLAN-Routing
VLANs können nicht direkt miteinander kommunizieren.
Verbindung erfolgt ĂĽber:
- Router (Router-on-a-Stick)
- Layer-3-Switch (empfohlen in Unternehmen)
ASCII:
VLAN 10 → Router/L3-Switch → VLAN 20
Beispiel: Router-on-a-Stick
Ein physischer Router-Port wird in virtuelle Subinterfaces unterteilt:
Gi0/0.10 → VLAN 10 → 192.168.10.1 Gi0/0.20 → VLAN 20 → 192.168.20.1
Broadcast-Domains
Jedes VLAN ist eine eigene Broadcast-Domain.
Vorteil:
- ARP, DHCP, Broadcasts bleiben isoliert
- Netzlast sinkt
DHCP in VLANs
Option A: DHCP-Server pro VLAN
Option B: zentraler DHCP via DHCP-Relay (IP Helper)
Switch → DHCP Relay → DHCP Server
Praxisbeispiel (Unternehmen)
VLAN 10 – Clients (192.168.10.0/24) VLAN 20 – Server (192.168.20.0/24) VLAN 30 – VoIP (192.168.30.0/24) VLAN 40 – Gäste (192.168.40.0/24)
Trunk zwischen Core-Switch und Access-Switch:
Switch Core === VLANs 10,20,30,40 === Switch Access
VLAN-Mapping-Tabelle
| VLAN | Name | Netz | Einsatzbereich |
| —— | ————- | ———————- | —————- |
| 10 | Clients | 192.168.10.0/24 | Arbeitsplätze |
| 20 | Server | 192.168.20.0/24 | Backend-Dienste |
| 30 | VoIP | 192.168.30.0/24 | Telefone |
| 40 | Gäste | 192.168.40.0/24 | WLAN Gäste |
Native VLAN
Auf Trunk-Ports:
- VLAN ohne Tag
- sollte nicht VLAN 1 sein
- Sicherheitsrisiko → am besten ein eigenes, unbenutztes VLAN verwenden
Sicherheitsaspekte
- niemals VLAN 1 produktiv nutzen
- Native VLAN ändern
- Access-Ports gegen ungewollte Tags schĂĽtzen (DHCP Snooping, DAI)
- Inter-VLAN-Firewall-Regeln setzen
- nur benötigte VLANs auf Trunk freigeben
VLAN Hopping – Attacke
Bei falscher Konfiguration kann ein Angreifer:
- VLANs ĂĽberspringen
- fremde VLANs betreten
Schutz:
- Native VLAN sicher setzen
- nur explizit erlaubte VLANs trunken
- Access-Ports auf „Access“ setzen
Zusammenfassung
- VLANs trennen Netzwerke logisch auf einem Switch
- Access-Ports → 1 VLAN
- Trunk-Ports → viele VLANs, getaggt
- 802.1Q = VLAN-Tag
- Broadcast-Domains werden sauber getrennt
- Kommunikation zwischen VLANs nur ĂĽber Routing
- wichtig fĂĽr Sicherheit, Struktur und groĂźe Netzwerke