Viele KMU betreiben ihr Firmennetz auch heute noch als ein einziges flaches Netz: Server, Drucker, IP-Telefone, Kameras, Mitarbeiter-PCs, Gäste-WLAN und IoT-Geräte hängen alle im selben Broadcast-Bereich. Das funktioniert – bis es nicht mehr funktioniert. Bei steigenden Sicherheitsanforderungen, dichteren Geräte-Populationen und immer mehr IoT-Komponenten wird ein flaches Netz zum Risiko. VLANs (Virtual LANs) trennen ein physisches Netz in mehrere logische Bereiche – sicher, kontrollierbar, wartbar. In diesem Artikel zeigen wir, welche VLAN-Struktur für ein typisches KMU sinnvoll ist, wie Routing dazwischen funktioniert und welche Fehler wir in der Praxis am häufigsten sehen.
Was ein VLAN technisch eigentlich macht
Ein VLAN ist eine virtuelle Trennung eines Netzwerks auf Layer 2 (Switching-Ebene). Geräte im selben VLAN können miteinander sprechen, als wären sie an einem eigenen Switch. Geräte in unterschiedlichen VLANs können nicht direkt miteinander sprechen – auch wenn sie am gleichen physischen Switch hängen.
Technisch erfolgt die Trennung über ein VLAN-Tag in jedem Ethernet-Frame (802.1Q). Jedes Paket bekommt einen Identifier (VLAN-ID 1-4094), und Switches entscheiden anhand dieses Tags, wer mit wem reden darf. Endgeräte sehen davon meistens nichts – sie hängen einfach an einem "Untagged Port" und der Switch macht den Rest.
Access Port (Untagged): Port für ein Endgerät, gehört zu genau einem VLAN. Trunk Port (Tagged): Port zwischen Switches oder zu Servern, überträgt mehrere VLANs gleichzeitig mit Tags. Native VLAN: Das VLAN, das auf einem Trunk-Port ohne Tag übertragen wird – meistens VLAN 1, sollte aus Sicherheitsgründen aber bewusst geändert werden.
Welche VLANs jedes KMU haben sollte
Es gibt kein universelles Schema – aber eine bewährte Basis-Struktur, die für 80 % der KMU passt:
| VLAN-ID | Name | Zweck | Beispiel-Subnetz |
|---|---|---|---|
| 10 | Management | Switche, APs, USV, IPMI, Hypervisor-Mgmt | 10.10.10.0/24 |
| 20 | Server | Server, virtuelle Maschinen, Storage-Frontend | 10.10.20.0/24 |
| 30 | Clients | Mitarbeiter-PCs, Laptops, Workstations | 10.10.30.0/24 |
| 40 | Voice | IP-Telefone, Telefonanlage | 10.10.40.0/24 |
| 50 | Printer | Drucker, MFPs, Kopierer | 10.10.50.0/24 |
| 60 | Cameras | IP-Kameras, NVR | 10.10.60.0/24 |
| 70 | IoT | Smart-Devices, Sensoren, Smart-TVs | 10.10.70.0/24 |
| 80 | Guest | Gäste-WLAN, Besucher-PCs | 10.10.80.0/24 |
| 99 | Native (unused) | Bewusst leer als Native-VLAN | 10.10.99.0/24 |
Nummerierungslogik: Lassen Sie Lücken zwischen den IDs (10er-Schritten), damit Sie später VLANs einfügen können. Verwenden Sie sprechende Namen am Switch ("VL30-Clients"), nicht nur Nummern – das hilft bei jeder Wartung.
Warum jedes dieser VLANs Sinn macht
Management-VLAN
Schutz der kritischsten Infrastruktur. Wer Zugriff auf das Management-VLAN hat, hat Zugriff auf die gesamte Netz-Steuerung. Strikte Trennung Pflicht.
Server-VLAN
Server und Storage haben andere Bandbreite-Anforderungen und andere Sicherheitsanforderungen als Clients. Eigenes VLAN ermöglicht spezifische Firewall-Regeln und QoS.
Client-VLAN
Die größte Anzahl Geräte, höchstes Risikopotenzial (E-Mail, Web-Browsing, USB-Sticks). Eigenes VLAN hält Schadsoftware-Bewegung im Schach.
Voice-VLAN
IP-Telefonie braucht QoS-Priorisierung. Eigenes VLAN ermöglicht garantierte Bandbreite und niedrige Latenz – sonst wackelt jeder Anruf bei hoher Netzlast.
Printer-VLAN
Drucker sind notorische Sicherheits-Stiefkinder – veraltete Firmware, ungesicherte Web-Interfaces, oft Vergessen. Eigenes VLAN begrenzt den Schaden bei Kompromittierung.
Camera-VLAN
Überwachungsvideo erzeugt konstanten Datenstrom. Eigenes VLAN verhindert, dass Kamera-Streams den Office-Verkehr verlangsamen – und schützt sensible Aufzeichnungen.
IoT-VLAN
Smart-Devices haben oft keine Updates, schwache Authentifizierung, China-Cloud-Anbindung. Strikt isoliert halten ist Sicherheits-Gebot.
Guest-VLAN
Besucher dürfen ins Internet, aber niemals ins Firmennetz. Strikte Internet-Only-Regel mit Bandbreiten-Limit.
⚠️ Wichtig: Wer alle Geräte in einem flachen Netz betreibt, betreibt im Sicherheits-Sinne keine Trennung von Vertrauensbereichen. Ein kompromittierter Drucker, eine angegriffene IoT-Kamera, ein verseuchter Gast-Laptop – alles hat dann freie Bahn ins Firmennetz.
Routing zwischen VLANs: Wie kommunizieren die Bereiche?
VLANs trennen auf Layer 2. Für die Kommunikation zwischen VLANs braucht es Layer-3-Routing – entweder über einen Layer-3-Switch oder über die Firewall. Beides hat Vor- und Nachteile.
| Variante | Wer routet | Vorteile | Nachteile |
|---|---|---|---|
| Layer-3-Switch (Inter-VLAN-Routing am Switch) | Switch mit L3-Funktion | Sehr schnelles Routing, niedrige Latenz | Filter-Regeln am Switch beschränkt, keine Deep-Packet-Inspection |
| Router-on-a-Stick (Firewall routet) | Zentrale Firewall | Volle Firewall-Regeln zwischen VLANs, einheitliches Regelwerk | Höhere Last auf Firewall, mehr Latenz, Bandbreite begrenzt durch Firewall-Throughput |
| Hybrid | L3-Switch routet Allgemeines, Firewall routet sensible VLANs | Beste Performance + beste Sicherheit | Komplexere Konfiguration |
Für die meisten KMU ist Router-on-a-Stick die richtige Wahl. Die Firewall sieht jeden VLAN-Übergang und kann konsistente Regeln durchsetzen. Layer-3-Switch nur bei sehr hohen Bandbreite-Anforderungen – und auch dann sollten sensible VLANs (Server, Management, Guest) immer über die Firewall geroutet werden.
Firewall-Regeln zwischen VLANs: Welche sind sinnvoll?
Eine VLAN-Trennung ohne Firewall-Regeln ist nutzlos – sie trennt zwar Broadcast-Bereiche, aber die Pakete fließen frei. Erst die richtige Firewall-Konfiguration macht VLANs zum Sicherheits-Tool. Grundregel: Standard = Deny. Explizit erlauben, was gebraucht wird.
Typische Regeln für ein KMU-Setup
- Clients → Server: erlauben für definierte Dienste (SMB, Web, DB)
- Clients → Management: blockieren – Anwender haben dort nichts zu suchen
- Clients → Internet: erlauben (mit Webfilter)
- Voice → Server: erlauben für Telefonanlage
- Voice → andere VLANs: blockieren
- IoT → Internet: erlauben oder blockieren je nach Gerät
- IoT → andere interne VLANs: streng blockieren
- Guest → Internet: erlauben mit Bandbreiten-Limit
- Guest → alle anderen VLANs: streng blockieren
- Printer → Clients: erlauben für Druckaufträge
- Printer → Internet: blockieren (Standard, Ausnahme für Firmware-Updates)
- Cameras → NVR: erlauben
- Cameras → Internet: blockieren oder nur zu spezifischen Cloud-Endpunkten
- Management → alle: erlauben, aber nur von wenigen Admin-Quellen aus
Setzen Sie einen expliziten Deny-Regel am Ende jedes Regelsets, mit Logging. So sehen Sie sofort, wenn ein Gerät versucht, irgendwo hinzukommen, wo es nicht soll – und wissen schnell, ob Sie eine Regel anpassen müssen oder ein Sicherheitsvorfall vorliegt.
VLANs und WLAN: Wie Access Points VLANs verteilen
Ein moderner Access Point kann mehrere SSIDs ausstrahlen, und jede SSID kann einem eigenen VLAN zugeordnet werden. So entsteht ohne zusätzliche Verkabelung eine drahtlose VLAN-Trennung:
- SSID "Office" → VLAN 30 (Clients)
- SSID "Voice" → VLAN 40 (für mobile DECT-IP-Geräte)
- SSID "Guest" → VLAN 80 (Gäste, Internet-only)
- SSID "IoT" → VLAN 70 (Smart-Devices, isoliert)
- SSID "Camera" → VLAN 60 (drahtlose IP-Kameras)
Der Trunk-Port zum AP muss alle VLANs taggen, die der AP bedienen soll. Das Native VLAN am Trunk sollte ein nicht produktives VLAN sein – sonst wäre der untagged Traffic potenziell auf einem sensiblen Netz.
VLANs richtig dokumentieren
Ohne saubere Dokumentation kippt jedes VLAN-Konzept binnen Monaten ins Chaos. Was unbedingt dokumentiert sein muss:
VLAN-Dokumentation
- VLAN-ID, Name, Zweck und IP-Subnetz
- DHCP-Range und feste IP-Vergaben
- Gateway-IP und DNS-Server
- Welche Switch-Ports zu welchem VLAN gehören
- Welche Trunk-Ports welche VLANs tragen
- Firewall-Regeln je VLAN-Übergang
- Verantwortliche Person je VLAN
- Letzte Änderung und Versionierung
- Notfall-Zugang zum Management-VLAN
Migration von flachem Netz zu VLANs
Eine bestehende KMU-Umgebung lässt sich nicht über Nacht umstellen. Bewährter Vorgehensplan:
Bestandsaufnahme
Welche Geräte gibt es? Welche Subnetze? Wie sieht die aktuelle IP-Adressplanung aus?
Konzept entwickeln
VLAN-IDs vergeben, Subnetze planen, Firewall-Regeln entwerfen, Dokumentation anlegen
Management-VLAN zuerst
Mit dem Management-Netz beginnen – das ist das einfachste, weil es nur Infrastruktur-Geräte betrifft
Guest-VLAN zweitens
Niedrigstes Risiko, klare Trennung. Hier lassen sich VLANs sauber testen.
Voice-VLAN als nächster Schritt
Telefonanlage ggf. an QoS koppeln
Server-VLAN
Bevor Clients migriert werden – ansonsten brechen Verbindungen ab
Client-VLAN
Schrittweise, idealerweise pro Etage oder Abteilung
IoT, Drucker, Kameras
Zuletzt – meist weniger zeitkritisch
Flaches Native-VLAN entfernen
Nach erfolgreicher Migration das ursprüngliche Default-VLAN auflösen
⚠️ Wichtig: Vor jedem Migrationsschritt: Backup der Switch-Konfiguration. Ein VLAN-Fehler legt schnell mehrere Etagen lahm – und ohne Backup ist die Rückkehr zum Vorzustand mühsam.
5 typische VLAN-Fehler in der Praxis
VLAN 1 als Produktiv-VLAN
Default-VLAN aller Switches, oft Ziel von Angriffen. Lösung: VLAN 1 leer halten, nicht produktiv nutzen.
Native VLAN gleich Produktiv-VLAN
Untagged Traffic auf einem sensiblen Netz – Sicherheitslücke. Lösung: dediziertes ungenutztes Native VLAN (z.B. VLAN 999).
Keine Firewall-Regeln zwischen VLANs
VLANs trennen Broadcasts, aber Pakete fließen frei. Lösung: explizite Firewall-Regeln, Standard Deny.
Kein DHCP-Snooping aktiviert
Rogue-DHCP-Server in einem VLAN können das gesamte VLAN übernehmen. Lösung: DHCP-Snooping am Switch.
Trunk-Port mit allen VLANs ("native all")
Wenn ein Port versehentlich umgesteckt wird, ist potenziell jedes VLAN exponiert. Lösung: Trunks nur mit den VLANs konfigurieren, die wirklich gebraucht werden.
Wie aufwändig ist die Einrichtung wirklich?
Eine vollständige VLAN-Strukturierung für ein KMU mit 30-100 Anwendern ist typisch ein 2-4-Tage-Projekt: 1 Tag Planung und Dokumentation, 1-2 Tage Implementierung, 1 Tag Test und Übergabe. Bei größeren Anlagen entsprechend länger. Der wichtigste Aufwand ist das Konzept – die technische Umsetzung folgt dann strukturiert.
Fazit: Ein durchdachtes VLAN-Konzept zahlt sich täglich aus
VLANs sind kein Luxus, sondern die Grundlage eines sicheren, wartbaren und performanten Firmennetzes. Sie trennen Vertrauensbereiche, schaffen Performance-Reserven für kritische Anwendungen und ermöglichen es, neue Gerätegruppen (IoT, Kameras, smarte Geräte) sicher in die bestehende Infrastruktur zu integrieren – ohne dass das Sicherheitsniveau leidet.
Wenn Sie noch ein flaches Netz betreiben, eine VLAN-Migration planen oder ein bestehendes VLAN-Konzept überprüfen lassen möchten – melden Sie sich. Wir planen, dokumentieren und implementieren VLAN-Strukturen für KMU in Freiburg und Region, inklusive Firewall-Regeln und sauberer Übergabe an Ihre IT.