asyoube logo asyoube

VLANs und Trunking

5 min 3 Abschnitte
Was du nach diesem Konzept kannst 4

  1. Du bist in der Lage, das Konzept von Virtual Local Area Networks (VLANs) zu erklären ,

    indem die logische Segmentierung eines physischen Netzwerks in mehrere unabhängige Broadcast-Domänen auf Layer-2-Ebene und die daraus resultierenden Vorteile wie verbesserte Sicherheit, Flexibilität und Organisation dargestellt werden.

  2. Du bist in der Lage, VLANs von Subnetzen zu differenzieren ,

    indem ihre jeweiligen operativen Ebenen (Layer 2 für VLANs, Layer 3 für Subnetze), ihre primären Funktionen bei der Netzwerksegmentierung und ihre typische Beziehung zueinander (z.B. 1:1-Zuordnung) erläutert werden.

  3. Du bist in der Lage, das Konzept des Trunking im Kontext von VLANs zu erklären ,

    indem die Notwendigkeit und Funktionsweise von Trunk-Ports zur Übertragung des Datenverkehrs mehrerer VLANs über eine einzige physische Verbindung mithilfe von Tagging-Protokollen wie IEEE 802.1Q beschrieben wird.

  4. Du bist in der Lage, die Notwendigkeit und grundlegende Funktionsweise des Inter-VLAN-Routing zu veranschaulichen ,

    indem erklärt wird, wie Geräte in unterschiedlichen VLANs miteinander kommunizieren können, typischerweise unter Verwendung eines Routers oder eines Layer-3-Switches, und die Rolle der Routing-Instanz dabei skizziert wird.

Was sind VLANs und wozu dienen sie?

Das Konzept der logischen Segmentierung

Stell dir ein großes Großraumbüro vor, in dem alle Abteilungen durcheinander sitzen. Jeder hört jeden, und vertrauliche Gespräche sind unmöglich. Ein Virtual Local Area Network (VLAN) zieht in diesem Netzwerk unsichtbare, logische Wände ein. Es ermöglicht dir, einen einzigen physischen Switch in mehrere voneinander unabhängige, virtuelle Switches aufzuteilen.

Jedes dieser VLANs bildet eine eigene Broadcast-Domäne auf Layer 2 (der Sicherungsschicht des OSI-Modells). Das bedeutet: Wenn ein Computer eine Broadcast-Nachricht sendet (z. B. eine ARP-Anfrage), wird diese nur an Geräte im selben VLAN weitergeleitet. Ein PC in der Personalabteilung (z. B. VLAN 20) ist somit auf Layer-2-Ebene komplett vom PC der IT-Abteilung (VLAN 10) isoliert, obwohl beide am selben physischen Switch angeschlossen sind. Die zugehörige Grafik veranschaulicht diese logische Trennung innerhalb der Hardware.

Vorteile für den Netzwerkbetrieb

Die logische Trennung durch VLANs bietet dir in der Praxis drei entscheidende Vorteile:

  1. Verbesserte Sicherheit: Da der Datenverkehr auf Layer 2 strikt isoliert ist, können unbefugte Personen aus einem Gäste-WLAN nicht einfach den Datenverkehr der internen Buchhaltung abhören.
  2. Erhöhte Flexibilität: Wenn Mitarbeitende das Büro wechseln, musst du keine neuen Kabel ziehen. Du änderst lediglich die Konfiguration des Switch-Ports (den sogenannten Access Port) und weist ihn dem passenden VLAN zu.
  3. Bessere Organisation und Performance: Durch die Verkleinerung der Broadcast-Domänen wird das gesamte Netzwerk entlastet. Sogenannte Broadcast-Stürme können nicht mehr das komplette Unternehmensnetzwerk lahmlegen, sondern bleiben auf ein einzelnes VLAN beschränkt.
VLANs und Trunking — dec-it-networks-management-vlans-and-trunking_page1.svg

Wie funktioniert Trunking im Zusammenspiel mit VLANs?

Die Notwendigkeit von Trunk-Ports

Stell dir vor, dein Unternehmensnetzwerk erstreckt sich über zwei Stockwerke mit jeweils einem eigenen Switch. Auf beiden Stockwerken sitzen Mitarbeitende der IT (VLAN 10) und der Personalabteilung (VLAN 20). Um die Switches zu verbinden, könntest du für jedes VLAN ein separates Kabel ziehen – das skaliert aber bei 50 VLANs nicht mehr und verschwendet Hardware-Ressourcen.

Die Lösung ist ein Trunk-Port. Eine Trunk-Verbindung ist wie eine mehrspurige Autobahn zwischen zwei Switches. Sie ist in der Lage, den Datenverkehr von mehreren VLANs gleichzeitig über ein einziges physisches Kabel zu transportieren, wie es in der Darstellung der Switch-Verbindung zu sehen ist.

IEEE 802.1Q: Das Tagging-Protokoll

Wenn Datenpakete aus verschiedenen VLANs über dasselbe Trunk-Kabel fließen, muss der empfangende Switch exakt wissen, zu welchem VLAN ein Paket gehört. Hierfür wird das Standardprotokoll IEEE 802.1Q (oft "Dot1Q" genannt) verwendet.

Bevor ein Switch ein Ethernet-Frame über den Trunk-Port sendet, fügt er dem Frame eine kleine Markierung hinzu: den VLAN-Tag. Dieser Tag enthält die VLAN-ID (z. B. die Nummer 10 oder 20). Sobald das Frame am Ziel-Switch ankommt, liest dieser den Tag, weiß genau, in welches VLAN das Paket gehört, und entfernt den Tag wieder, bevor er das Paket an den Endcomputer (Access Port) weiterleitet. Normale Endgeräte wie PCs oder Drucker "sehen" diese Tags also nie.

VLANs und Trunking — dec-it-networks-management-vlans-and-trunking_page2.svg

Wie unterscheiden sich VLANs von Subnetzen und wie kommunizieren sie?

VLANs (Layer 2) vs. Subnetze (Layer 3)

VLANs und Subnetze werden oft verwechselt, da sie beide Netzwerke segmentieren. Sie arbeiten jedoch auf unterschiedlichen Ebenen des OSI-Modells und haben verschiedene Aufgaben:

  • VLANs (Layer 2): Trennen physische Netzwerke in logische Broadcast-Domänen. Sie arbeiten mit MAC-Adressen. Geräte in unterschiedlichen VLANs sind auf dieser Ebene unsichtbar füreinander.
  • Subnetze (Layer 3): Unterteilen einen großen IP-Adressbereich in kleinere IP-Netzwerke. Sie arbeiten mit IP-Adressen und Subnetzmasken.

Best Practice: In der Praxis wendest du fast immer eine 1:1-Zuordnung an. Jedes VLAN bekommt exakt ein eigenes IP-Subnetz. Beispiel: VLAN 10 (IT) nutzt das Subnetz 192.168.10.0/24. VLAN 20 (Personal) nutzt 192.168.20.0/24.

Inter-VLAN Routing: Die Brücke zwischen den Netzen

Da VLANs auf Layer 2 strikt voneinander getrennt sind, kann ein PC in VLAN 10 nicht direkt mit einem Server in VLAN 20 kommunizieren. Um diese logischen Grenzen zu überwinden, benötigst du Inter-VLAN Routing auf Layer 3.

Dafür nutzt du entweder einen klassischen Router (oft als "Router-on-a-Stick" über eine Trunk-Verbindung angebunden) oder einen Layer-3-Switch (ein Switch, der auch routen kann). Die Grafik verdeutlicht diese Brückenfunktion.

Der Ablauf:

  1. Der PC in VLAN 10 erkennt anhand der Ziel-IP, dass der Server in einem anderen Subnetz (VLAN 20) liegt.
  2. Er sendet das Paket an sein Standard-Gateway (die IP-Adresse der Routing-Instanz im VLAN 10).
  3. Der Router empfängt das Paket, prüft seine Routing-Tabelle und leitet es in das Ziel-Subnetz (VLAN 20) weiter. Ohne diese Layer-3-Instanz bleiben die VLANs vollständig isoliert.
VLANs und Trunking — dec-it-networks-management-vlans-and-trunking_page3.svg

Teste dein Wissen

Du konfigurierst einen Switch für Buchhaltung (VLAN 10) und Vertrieb (VLAN 20). Ein PC im Vertrieb sendet einen ARP-Broadcast. Wer empfängt dieses Paket auf Layer 2?

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen