Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Server & Netzwerk 02.06.2026 · 11 min Lesezeit

VLANs verstehen und auf einem Managed Switch einrichten

VLANs trennen ein physisches Netzwerk logisch in mehrere Bereiche. Diese Anleitung erklärt 802.1Q-Tagging, Access- und Trunk-Ports, PVID sowie Inter-VLAN-Routing und zeigt dir die VLAN-Einrichtung auf einem Managed Switch herstellerübergreifend mit Beispielkonfiguration.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik, die VLANs verständlich erklärt und zeigt, wie man sie auf einem Managed Switch einrichtet, mit VLAN-IDs, Access-Ports, Trunk-Ports und PVID.

Wenn Produktion, Gäste, VoIP und Verwaltung über denselben Switch laufen, brauchst du keine zweite Verkabelung, sondern VLANs. Ein VLAN (Virtual LAN) trennt ein physisches Netzwerk logisch auf Layer 2, sodass mehrere voneinander isolierte Netze über dieselbe Hardware laufen. Diese Anleitung richtet sich an Admins im Mittelstand und erklärt herstellerübergreifend, wie 802.1Q-Tagging funktioniert, was Access- und Trunk-Ports unterscheidet und wie du eine saubere Segmentierung auf einem Managed Switch konfigurierst. Du bekommst Beispielkonfigurationen für CLI und Web-GUI sowie die Verbindung zu Subnetting und Firewall-Regeln.

Kurzfassung: Ein VLAN ist ein logisch abgetrenntes Teilnetz auf einem Switch. Der Standard IEEE 802.1Q kennzeichnet Frames mit einem 4-Byte-Tag, das eine 12-Bit-VLAN-ID (1–4094) trägt. Endgeräte hängen an Access-Ports (ein VLAN, untagged), Switch- und Router-Verbindungen an Trunk-Ports (mehrere VLANs, tagged). Die PVID ordnet ungetaggte Frames einem VLAN zu. Pro VLAN ein eigenes IP-Subnetz; Kommunikation zwischen VLANs läuft über Layer 3 (Router-on-a-stick oder Layer-3-Switch). Die echte Trennung erzwingen erst Firewall-Regeln mit Default-Deny.

Voraussetzungen

Bevor du loslegst, solltest du folgende Punkte abgehakt haben:

  1. Ein Managed Switch (Smart/Web-Managed oder voll managebar), der 802.1Q-VLANs unterstützt. Unmanaged Switches können das nicht.
  2. Zugriff auf die Verwaltung des Switches (Web-GUI oder CLI/SSH) und das aktuelle Admin-Passwort.
  3. Ein Plan, welche VLANs du brauchst, mit IDs und zugehörigen IP-Subnetzen. Grundlagen dazu findest du in unserer Anleitung zu Subnetting und CIDR.
  4. Ein Router oder eine Firewall, die VLANs/802.1Q-Tags verarbeiten kann, falls die VLANs miteinander oder mit dem Internet kommunizieren sollen.
  5. Eine Dokumentation deiner Portbelegung, damit du weißt, an welchem Port welches Gerät hängt.

Wichtig: Die VLAN-IDs müssen auf Switch, Router/Firewall und Access Points exakt übereinstimmen. Tagged der Switch VLAN 20, erwartet die Firewall aber VLAN 200, geht der Traffic verloren.

Schritt 1: VLAN-Grundlagen und 802.1Q-Tagging

Ein VLAN gruppiert Ports logisch zu einer Broadcast-Domäne. Geräte im selben VLAN können sich direkt erreichen, Geräte in verschiedenen VLANs nicht – jedenfalls nicht ohne Layer-3-Routing. Damit ein Switch beim Transport über eine gemeinsame Leitung weiß, zu welchem VLAN ein Frame gehört, fügt der Standard IEEE 802.1Q einen Tag in den Ethernet-Frame ein.

Der 802.1Q-Tag ist 4 Byte (32 Bit) groß und wird zwischen der Source-MAC-Adresse und dem EtherType eingefügt. Er besteht aus diesen Feldern:

FeldGrößeBedeutung

TPID

16 Bit

Tag Protocol Identifier, fester Wert 0x8100, markiert den Frame als 802.1Q-getaggt

PCP

3 Bit

Priority Code Point (Class of Service), Priorität 0–7 für QoS

DEI

1 Bit

Drop Eligible Indicator, markiert verwerfbare Frames bei Überlast

VID

12 Bit

VLAN Identifier, die eigentliche VLAN-ID

Die VLAN-ID ist 12 Bit lang und damit theoretisch 0–4095. Gültig sind die IDs 1 bis 4094; die Werte 0 und 4095 sind reserviert. Auf den meisten Switches ist VLAN 1 das Standard-VLAN, in dem ab Werk alle Ports liegen.

Schritt 2: Access-Port und Trunk-Port, Tagged und Untagged, PVID

Jeder Port eines Managed Switches arbeitet entweder als Access-Port oder als Trunk-Port. Den Unterschied musst du verinnerlichen, sonst funktioniert die Segmentierung nicht.

Access-Port

Ein Access-Port gehört zu genau einem VLAN und überträgt Frames untagged, also ohne 802.1Q-Tag. Hier hängen Endgeräte wie PCs, Drucker oder Kameras, die selbst nichts von VLANs wissen (VLAN-unaware). Kommt an einem Access-Port ein ungetaggter Frame herein, ordnet ihn der Switch über die PVID (Port VLAN ID) seinem VLAN zu. Wichtig: Bei einem Access-Port muss die PVID exakt der VLAN-ID entsprechen, sonst landen die Frames im falschen VLAN.

Trunk-Port

Ein Trunk-Port transportiert mehrere VLANs gleichzeitig über eine Leitung und taggt dafür alle Frames mit ihrer VLAN-ID. Trunks verbindest du zwischen Switches sowie zwischen Switch und Router/Firewall oder VLAN-fähigem Access Point. Eine Ausnahme ist das Native VLAN: Frames im Native VLAN laufen über den Trunk weiterhin untagged.

Tagged und Untagged

In der GUI vieler Hersteller (NETGEAR, TP-Link, D-Link) konfigurierst du pro VLAN, ob ein Port Mitglied ist und wie:

KürzelBedeutungEinsatz

U (Untagged)

Tag wird beim Verlassen des Ports entfernt

Endgeräte, Access-Ports

T (Tagged)

Frame verlässt den Port mit 802.1Q-Tag

Trunk/Uplink zu Switch, Router, AP

– / leer

Port ist kein Mitglied dieses VLANs

VLAN soll an diesem Port nicht anliegen

Merksatz: Tagged heißt „mit Etikett für die Weiterreise“ (Uplink), Untagged heißt „Etikett ab, jetzt geht es zum Endgerät“. Die PVID bestimmt zusätzlich, welchem VLAN ein Port ankommende ungetaggte Frames zuordnet.

Schritt 3: Eine sinnvolle Segmentierung planen

Bevor du etwas konfigurierst, leg die VLAN-Struktur fest. Eine in der Praxis bewährte Aufteilung für den Mittelstand sieht so aus, mit je einem eigenen IP-Subnetz pro VLAN:

VLAN-IDNameZweckIP-SubnetzGateway

10

Produktion

Arbeitsplätze, Server, Drucker

10.0.10.0/24

10.0.10.1

20

Gäste

Gast-WLAN, nur Internet

10.0.20.0/24

10.0.20.1

30

VoIP

IP-Telefone

10.0.30.0/24

10.0.30.1

99

Management

Switch-, AP- und Firewall-Verwaltung

10.0.99.0/24

10.0.99.1

Das Prinzip „ein VLAN = ein Subnetz“ ist kein Zufall: Routing zwischen Netzen funktioniert über IP-Subnetze, und genau an dieser Grenze setzt später die Firewall an. Wer Subnetzgrößen und CIDR sicher beherrscht, plant VLANs deutlich präziser.

Best Practice: Lege VLAN 1 still und nutze es nicht für Nutzerdaten. Verwende ein eigenes, sonst ungenutztes VLAN als Native VLAN auf Trunks (im Beispiel VLAN 999) und ein separates Management-VLAN (99), das nicht gleich dem Native VLAN ist.

Schritt 4: VLANs auf dem Switch per CLI anlegen (Cisco IOS als Beispiel)

Auf einem voll managebaren Switch legst du die VLANs zentral an und benennst sie. Das folgende Beispiel zeigt Cisco IOS; die Logik (VLAN-Tabelle, Access, Trunk) gilt aber für jeden 802.1Q-Switch.

! VLANs anlegen und benennen
vlan 10
 name Produktion
vlan 20
 name Gaeste
vlan 30
 name VoIP
vlan 99
 name Management
vlan 999
 name NativeUnused

Anschließend konfigurierst du die Endgeräte-Ports als Access-Ports. DTP (Dynamic Trunking Protocol) schaltest du mit switchport nonegotiate ab, damit der Port nicht ungewollt zum Trunk verhandelt:

! Access-Port fuer einen Arbeitsplatz (VLAN 10)
interface Gi0/1
 switchport mode access
 switchport access vlan 10
 switchport nonegotiate

! Access-Port fuer ein IP-Telefon mit angehaengtem PC
! Daten ins VLAN 10, Sprache ins VLAN 30
interface Gi0/2
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 30
 switchport nonegotiate

Den Uplink zu einem zweiten Switch oder zur Firewall konfigurierst du als 802.1Q-Trunk. Setze das Native VLAN auf das ungenutzte VLAN 999 und erlaube nur die VLANs, die wirklich über diesen Trunk müssen:

! 802.1Q-Trunk (Uplink/Switch-zu-Switch)
interface Gi0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk native vlan 999
 switchport trunk allowed vlan 10,20,30,99
 switchport nonegotiate

! VLAN spaeter hinzufuegen oder entfernen
! switchport trunk allowed vlan add 40
! switchport trunk allowed vlan remove 20

Hinweis: Der Befehl switchport trunk encapsulation dot1q ist nur auf Switches nötig, die historisch auch das alte ISL beherrschten. Auf vielen modernen Switches gibt es nur noch 802.1Q; dort fehlt der Befehl oder ist überflüssig. Prüfe das pro Plattform.

Zum Kontrollieren der Konfiguration helfen dir diese Schaubefehle:

show vlan brief                       ! welcher Port liegt in welchem VLAN
show interfaces trunk                 ! welche Trunks, Native und Allowed VLANs
show interfaces Gi0/24 switchport     ! Mode, Native VLAN, Allowed VLANs eines Ports

Schritt 5: VLANs in der Web-GUI einrichten (Smart-Managed Switch)

Smart-Managed Switches (z. B. NETGEAR Easy Smart, TP-Link, D-Link) haben keine CLI, sondern eine Web-Oberfläche. Das Prinzip ist überall gleich: VLAN anlegen, Mitgliedschaften (Tagged/Untagged) setzen, PVID pro Port vergeben. Am Beispiel eines NETGEAR Easy Smart Switch:

  1. Anmelden: Web-GUI im Browser öffnen und einloggen (Standardpasswort ab Werk häufig password – nach dem ersten Login sofort ändern).
  2. 802.1Q aktivieren: unter VLAN > 802.1Q > Advanced > VLAN Configuration den Modus Advanced 802.1Q VLAN einschalten. Dann die VLAN-IDs (10, 20, 30, 99, 999) eintragen und jeweils mit Add bestätigen.
  3. Mitgliedschaft setzen: unter VLAN Membership das jeweilige VLAN wählen. Endgeräte-Ports auf U (Untagged) klicken, den Uplink-/Trunk-Port auf T (Tagged). Mit Apply speichern.
  4. PVID vergeben: unter Port PVID die Endgeräte-Ports markieren und die passende PVID setzen (Port für VLAN 10 bekommt PVID 10 usw.). Mit Apply speichern.

Bei TP-Link und D-Link läuft es analog: In der 802.1Q-VLAN-Tabelle legst du pro VLAN die Tagged- und Untagged-Mitglieder fest und setzt anschließend die PVID je Port. Achte darauf, dass ein Endgeräte-Port nicht tagged ist, wenn das angeschlossene Gerät VLAN-unaware ist.

Schritt 6: Inter-VLAN-Routing einrichten

VLANs trennen den Verkehr auf Layer 2. Sollen zwei VLANs miteinander oder mit dem Internet kommunizieren, brauchst du Layer-3-Routing. Dafür gibt es zwei klassische Wege.

Variante A: Router-on-a-stick

Hier hängt ein einziger Router-Port als 802.1Q-Trunk am Switch. Auf diesem Port legst du pro VLAN ein Subinterface an; dessen IP-Adresse ist gleichzeitig das Default-Gateway der Hosts im jeweiligen VLAN. Günstig und einfach, aber der gesamte VLAN-übergreifende Verkehr läuft über diese eine Leitung.

! Router-on-a-stick auf dem Router
interface Gi0/0.10
 encapsulation dot1Q 10
 ip address 10.0.10.1 255.255.255.0
interface Gi0/0.20
 encapsulation dot1Q 20
 ip address 10.0.20.1 255.255.255.0
interface Gi0/0.30
 encapsulation dot1Q 30
 ip address 10.0.30.1 255.255.255.0
! Native VLAN am passenden Subinterface markieren
interface Gi0/0.999
 encapsulation dot1Q 999 native

Variante B: Layer-3-Switch mit SVIs

Ein Layer-3-Switch routet zwischen VLANs direkt in Hardware. Du aktivierst global ip routing und legst pro VLAN ein SVI (Switch Virtual Interface, interface vlan <id>) an, dessen IP das Gateway der Hosts ist. Das liefert Line-rate-Routing und skaliert deutlich besser als Router-on-a-stick.

! Layer-3-Switch: Routing aktivieren und SVIs anlegen
ip routing
interface vlan 10
 ip address 10.0.10.1 255.255.255.0
 no shutdown
interface vlan 20
 ip address 10.0.20.1 255.255.255.0
 no shutdown
interface vlan 30
 ip address 10.0.30.1 255.255.255.0
 no shutdown

In beiden Fällen tragen die Endgeräte je VLAN das passende Gateway ein (z. B. 10.0.10.1 im Produktions-VLAN). Wie du IP, Gateway und DNS auf den Clients setzt, zeigt unsere Anleitung zu fester IP, Gateway und DNS unter Windows und Linux.

Schritt 7: Firewall-Regeln – die eigentliche Sicherheitsgrenze

Achtung, das ist der wichtigste Abschnitt: VLANs allein sind nur eine Layer-2-Trennung. Sobald Inter-VLAN-Routing aktiv ist, können die Netze sich erreichen, solange nichts blockiert. Die echte Sicherheitsgrenze ziehst du erst mit Firewall-Regeln oder ACLs nach dem Prinzip Default-Deny.

Vendor-neutral (OPNsense, pfSense, UniFi, Firewalla) gilt:

  1. Default-Deny zwischen VLANs: Inter-VLAN-Routing ist standardmäßig verboten. Jede erlaubte VLAN-zu-VLAN-Verbindung wird einzeln dokumentiert und gezielt freigegeben.
  2. Gast-VLAN (20): nur ausgehend ins Internet erlauben (typisch TCP 80 und 443), explizit DENY zu allen internen RFC1918-Subnetzen. Am Gast-WLAN zusätzlich Client-/AP-Isolation aktivieren, damit sich Gäste untereinander nicht sehen.
  3. Management-VLAN (99): Zugriff nur von definierten Admin-Geräten/-Netzen, niemals vom Gast-VLAN aus.

Die Detailkonfiguration einer Firewall mit VLAN-Interfaces und Regelwerk beschreibt unsere Anleitung zur pfSense-/OPNsense-Erstkonfiguration. Prüfe die Trennung danach mit einem Portscan oder Ping vom Gastgerät aus in ein internes Subnetz – es darf nichts erreichbar sein.

Typische Fehler

Diese Stolperfallen sehen wir in der Praxis am häufigsten:

  1. Native-VLAN-Mismatch: Unterschiedliche Native VLANs an den beiden Trunk-Enden ermöglichen VLAN-Hopping durch Double-Tagging. Setze das Native VLAN beidseitig gleich und auf ein ungenutztes VLAN.
  2. DTP aktiv gelassen: Ein Port kann ungewollt zum Trunk verhandeln (Switch-Spoofing). An Access-Ports immer switchport mode access und switchport nonegotiate.
  3. Trunk als Access-Port konfiguriert: Der Uplink fällt auf ein einziges VLAN zusammen, die Segmentierung verschwindet unbemerkt.
  4. PVID-/Untagged-Fehler: Bei Access-Ports muss PVID = VLAN-ID sein. Ein VLAN-unaware-Gerät an einem tagged Port empfängt nur unverständliche Frames.
  5. VLAN-ID-Inkonsistenz: Switch tagged 20, Firewall erwartet 200 – Traffic verschwindet. IDs auf Switch, Router/Firewall und AP exakt abgleichen.
  6. VLAN 1 oder Native VLAN für Nutzer-/Management-Traffic: Dort laufen Kontrollprotokolle wie STP, CDP, VTP und DTP – Störungs- und Angriffsrisiko.
  7. Keine Firewall hinter dem Routing: Bei offenem Inter-VLAN-Routing ohne Default-Deny gibt es keine echte Sicherheitsgrenze. Immer per Scan vom Gastgerät verifizieren.

Häufige Fragen

Brauche ich für VLANs zwingend einen teuren Switch?

Nein. Du brauchst einen Managed Switch mit 802.1Q-Unterstützung. Schon günstige Smart-/Web-Managed-Modelle können VLANs. Nur reine Unmanaged Switches beherrschen kein VLAN-Tagging.

Wie viele VLANs sind möglich?

Der 802.1Q-Standard erlaubt VLAN-IDs von 1 bis 4094 (0 und 4095 sind reserviert). In der Praxis begrenzt eher die Hardware (Tabelle aktiver VLANs) als die Theorie. Für ein typisches Mittelstandsnetz reichen eine Handvoll VLANs aus.

Was ist der Unterschied zwischen PVID und VLAN-ID?

Die VLAN-ID kennzeichnet ein VLAN im Tag. Die PVID (Port VLAN ID) legt fest, welchem VLAN ein Port ankommende ungetaggte Frames zuordnet. Bei einem Access-Port müssen beide identisch sein.

Können sich Geräte in verschiedenen VLANs erreichen?

Nicht auf Layer 2. Erst Inter-VLAN-Routing (Router-on-a-stick oder Layer-3-Switch) ermöglicht die Kommunikation – und auch nur, soweit die Firewall sie erlaubt. Ohne Routing sind VLANs vollständig getrennt.

Reichen VLANs als Sicherheitsmaßnahme aus?

Nein. VLANs trennen Broadcast-Domänen auf Layer 2. Eine echte Sicherheitsgrenze entsteht erst durch Firewall-Regeln oder ACLs mit Default-Deny zwischen den Netzen sowie Härtung gegen VLAN-Hopping (Native VLAN, DTP aus).

Warum soll ich VLAN 1 nicht verwenden?

VLAN 1 ist das Default-VLAN, in dem Kontrollprotokolle wie STP, CDP, VTP und DTP laufen. Nutzt du es für Nutzer- oder Management-Daten, mischst du Steuer- und Nutzverkehr und öffnest Angriffsflächen. Lege es still und verwende dedizierte VLANs.

Fazit

VLANs sind das Fundament eines aufgeräumten, segmentierten Netzwerks. Mit 802.1Q-Tagging trennst du Produktion, Gäste, VoIP und Management logisch auf einer gemeinsamen Infrastruktur. Wichtig ist die saubere Trennung von Access- und Trunk-Ports, korrekte PVIDs, ein eigenes Subnetz pro VLAN und – ganz entscheidend – Firewall-Regeln mit Default-Deny, die aus der reinen Layer-2-Trennung eine echte Sicherheitsgrenze machen. Plane die Struktur vorab, halte VLAN-IDs über alle Geräte konsistent und verifiziere die Isolation mit einem Test vom Gastgerät aus.

Weiterführende Anleitungen und Quellen

  1. Subnetting und CIDR verständlich erklärt – Grundlage für die IP-Planung deiner VLANs.
  2. pfSense/OPNsense Firewall-Erstkonfiguration – Regelwerk und VLAN-Interfaces auf der Firewall.
  3. Feste IP, Gateway und DNS unter Windows und Linux – Clients ins richtige VLAN-Subnetz bringen.
  4. Weitere Anleitungen der Kategorie Netzwerk.

Quellen: Cisco Meraki – Fundamentals of 802.1Q VLAN Tagging; Cisco Catalyst 9300 VLAN Configuration Guide (IOS XE 17.13), Configuring VLAN Trunks; NETGEAR Knowledge Base – 802.1Q VLAN auf Easy Smart Managed Switch; NetworkLessons – How to configure Router on a Stick (Inter-VLAN Routing).

Verwandt

Weiter lesen

Alle Artikel →
Proxmox VE Installation und Grundkonfiguration
02.06.2026 ·10 min

Proxmox VE installieren und Grundkonfiguration

Schritt für Schritt zur ersten Virtualisierung: Diese Anleitung zeigt dir, wie du Proxmox VE installieren und die Grundkonfiguration für KMU und Homelab sauber aufsetzt – von der ISO über das No-Subscription-Repo bis zur ersten VM, dem ersten LXC-Container und einfachen Backups.
Illustration, die Subnetting und CIDR einfach erklärt, mit IP-Bereichen, Präfixen und der Aufteilung von Netzwerken in Subnetz
02.06.2026 ·9 min

Subnetting und CIDR verständlich erklärt

Subnetting und CIDR ohne Mathe-Schock: Diese Anleitung zeigt dir mit Tabellen und klaren Rechenwegen, wie du aus einem CIDR-Präfix Netzmaske, Netz-, Broadcast- und Host-Adressen ableitest und ein Netz sauber in Subnetze teilst.
Schaubild zur Konfiguration einer festen IP-Adresse sowie von Gateway und DNS unter Windows und Linux, mit IPv4-Einstellungen, Netzwerkadapter und Beispielwerten.
02.06.2026 ·9 min

Feste IP, Gateway und DNS unter Windows und Linux setzen

Server, Drucker und Switches brauchen feste Adressen. So setzt du eine statische IP mit Gateway und DNS sauber unter Windows (netsh, PowerShell) und Linux (netplan, nmcli) - inklusive Verifikation und der häufigsten Stolperfallen.