Virtual Local Area Network (VLAN)

Sicherungsschicht Zugriffe: 206

Ein Virtual Local Area Network (VLAN) ist eine Schlüsseltechnologie in modernen Netzwerken, die für Sicherheit, Effizienz und Flexibilität sorgen kann. VLAN ermöglichen es, ein physisches Netzwerk in mehrere logische Segmente zu unterteilen – unabhängig von den tatsächlichen Kabeln oder Geräten.

VLAN

Logische Aufteilung von einem Netzwerk. Quelle: Technik-Kiste.de

 

📌 Gründe für den Einsatz von VLAN

  • Erhöhte Sicherheit: Durch die Trennung von Netzwerken können sensible Daten nur innerhalb eines bestimmten VLAN übertragen werden.
  • Bessere Performance: Broadcast-Domänen werden verkleinert, wodurch weniger unnötiger Traffic entsteht.
  • Flexibilität: VLANs können unabhängig von der physikalischen Topologie eingerichtet werden.
  • Einfache Verwaltung: Netzwerke lassen sich ohne physische Umverkabelung umstrukturieren.
  • Kostenersparnis: Weniger Hardware nötig, da bestehende Infrastruktur effizienter genutzt wird.

 

⚙️ Funktion von VLANs

Ein VLAN arbeitet auf OSI‑Schicht 2 und nutzt VLAN‑Tags nach IEEE 802.1Q, um Frames einem virtuellen Netzwerk zuzuordnen.
Ob ein Tag sichtbar im Frame ist, hängt vom Port‑Typ ab:

  • Access‑Port → verbindet Endgeräte wie PC oder Drucker. Frames werden ungetaggt gesendet. Der Switch entfernt das Tag, bevor es das Gerät erreicht.
  • Trunk‑Port → verbindet Switches oder Switch und Router/Firewall. Frames werden immer getaggt, damit der Empfänger weiß, zu welchem VLAN sie gehören.
  • Native VLAN auf einem Trunk → Frames dieses VLAN werden in der Regel ungetaggt übertragen (Standard oft VLAN 1, aber konfigurierbar).

💡 Kurzform: Tagging ist ein Transportmechanismus zwischen Netzwerkknoten – Endgeräte sehen im Normalbetrieb kein VLAN‑Tag. Ausnahme sind solche Endgeräte die von sich aus einen Tag einfügen können.

 

🏷️ VLAN-Tag (IEEE 802.1Q)

Ein VLAN-Tag ist ein 4-Byte-Feld, das im Ethernet-Frame zwischen MAC-Adresse und EtherType eingefügt wird.
Bestandteile:

  • TPID (Tag Protocol Identifier) (2 Byte) – Kennzeichnet, dass es sich um ein VLAN-Frame handelt.
  • Priority Code Point (PCP) (3 Bit)  – Für Quality-of-Service (QoS)-Priorisierung.
  • DEI (Drop Eligible Indicator) (1 Bit)   – Markierung für Frames, die bei Überlastung verworfen werden dürfen. Früher hieß dieses Feld CFI und diente dazu Ethernet und Token Ring kompatibel zu machen.
  • VLAN ID (12 Bit) – Identifiziert das VLAN (0–4095, 1–4094 nutzbar).

VLAN Tag

Aufbau eines VLAN-Tags. Quelle: Technik-Kiste.de

 

🔗 Zusammenhang mit Switches

Switches bilden die technische Grundlage für VLANs, weil sie den Datenverkehr auf Schicht 2 gezielt trennen und lenken können. Über ihre Ports weisen sie Geräte einem bestimmten VLAN zu – Endgeräte bemerken davon im Normalfall nichts.

Nicht jeder Switch kann für VLAN verwendet werden. Diese werden unterschieden in:

  • Unmanaged Switch: Unterstützt keine VLANs – alle Ports sind im selben Netz.
  • Managed Switch: Ermöglicht das Erstellen und Konfigurieren mehrerer VLANs.

Unterschiede Switches

Unterschiede zwischen den Switches. Quelle: Technik-Kiste.de

Verbindungen zwischen Switches oder zu Routern laufen häufig über Trunk-Ports, die mehrere VLANs gleichzeitig transportieren. Hier werden VLAN‑Tags nach IEEE 802.1Q eingesetzt, um die Zugehörigkeit jedes Frames eindeutig zu kennzeichnen. Ein definiertes „Native VLAN“ kann dabei ungetaggt übertragen werden, während alle anderen VLANs mit Tags versehen sind.

Durch diese Architektur lassen sich Netzwerke logisch segmentieren, Broadcast-Domänen verkleinern und Sicherheitszonen einrichten – ohne dass für jedes VLAN eigene physische Leitungen notwendig wären.

 

🗂️ Arten von VLAN

Auch wenn in vielen Einführungen oft nur zwei Arten genannt werden, gibt es mehr als eine Möglichkeit, VLANs zu unterscheiden. In der vereinfachten Praxisdarstellung unterscheidet man meist:

VLAN‑Art

Beschreibung

Portbasiert

Zugehörigkeit wird allein über den Switch‑Port festgelegt. Geräte an diesem Port sind automatisch Mitglied des zugewiesenen VLAN. VLAN‑Tag ist auf der Leitung untagged.

Tag‑/paketbasiert   

Zugehörigkeit wird über die VLAN‑ID im 802.1Q‑Tag im Frame bestimmt. Erlaubt, dass mehrere VLANs über denselben Port transportiert werden.

Arten

Unterschiede zwischen Port- und Paketbasiert. Quelle: Technik-Kiste.de

 

📖 Erweiterte Sichtweise

Die „nur zwei Arten“-Darstellung ist eine praktische Vereinfachung. In der Fachliteratur – vor allem im IEEE‑Umfeld – werden VLANs oft feiner klassifiziert, basierend auf der Methode der Zuweisung. Diese zusätzlichen Typen kommen eher in komplexen Netzen oder bei bestimmten Herstellern vor und sind im Alltag seltener, aber technisch relevant.

 

📊 VLAN‑Arten nach IEEE‑Klassifikation

VLAN‑Art

Beschreibung

Portbasiert

Wie oben beschrieben – VLAN‑Mitgliedschaft pro Switch‑Port.

MAC‑adressbasiert    

Switch ordnet ein Gerät anhand seiner Quell‑MAC‑Adresse einem VLAN zu, unabhängig vom Port.

Protokollbasiert

VLAN‑Zugehörigkeit richtet sich nach dem Layer‑3‑Protokoll (z. B. IPv4, IPv6, IPX).

Tagbasiert (802.1Q)    

VLAN‑ID im Frame‑Tag; ermöglicht Multiplexing mehrerer VLANs über denselben Port.

 

📄 IEEE- Standard 802.1Q

Das VLAN‑Tagging selbst wird nicht primär in einem RFC definiert, sondern im IEEE‑Standard 802.1Q. Dieser legt fest, wie ein VLAN‑Tag in einen Ethernet‑Frame eingefügt wird, um mehrere logische Netzwerke über dieselbe physische Verbindung zu transportieren.

Der Standard IEEE 802.1Q definiert nicht nur den 4‑Byte‑VLAN‑Tag, sondern auch Konzepte wie den Priority Code Point (PCP) zur Verkehrspriorisierung sowie das Canonical Format Indicator (CFI)‑Bit, das bei Ethernet‑Token‑Ring‑Interoperabilität relevant ist und heute als Drop Eligible Indicator (DEI) verwendet wird.
Er beschreibt zudem die Behandlung sogenannter Native VLANs (Untagged Frames) und legt fest, wie Switches VLAN‑Tags einfügen bzw. entfernen.
In der Praxis wird 802.1Q oft zusammen mit IEEE 802.1p eingesetzt, um sowohl logische Netztrennung als auch Quality‑of‑Service sicherzustellen.


In einigen RFCs – z. B. RFC 5517 (Protocol Independent Multicast MIB) – wird der Umgang mit VLAN‑Informationen am Rande behandelt, der technische Kern stammt jedoch aus IEEE 802.1Q.

Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Weitere Informationen | Impressum
Image

Umfrage

📢 Deine Meinung zählt!

Wir überlegen, einen Technik‑Kiste Newsletter zu starten – mit spannenden Technik‑Tipps, exklusiven Artikeln und Updates direkt in dein Postfach.

Damit wir genau das liefern, was dich interessiert, brauchen wir dein Feedback:

👉 Sag uns in unserer kurzen Umfrage, ob du dir so einen Newsletter wünschst und welche Inhalte dir am wichtigsten sind.

Deine Vorteile:

  • Mitreden, wie der Newsletter gestaltet wird
  • Exklusive Infos vor allen anderen
  • Keine Werbung, nur relevanter Technik‑Content

Jetzt mitmachen – es dauert nur 1 Minute!

Zur Umfrage (Externe Website)
Nein, Danke.