Virtual Local Area Network
Logische Segmentierung eines physischen Netzwerks auf Schicht 2 des OSI-Modells. VLANs trennen Broadcast-Domänen und Geräte voneinander, ohne dass dafür separate Switches oder Verkabelung nötig sind.
Ein VLAN (Virtual Local Area Network) unterteilt ein physisches Netzwerk in mehrere logisch getrennte Netze. Die Trennung erfolgt auf Schicht 2 des OSI-Modells (Data Link Layer): Geräte im selben VLAN kommunizieren miteinander wie in einem gemeinsamen LAN, während Geräte in unterschiedlichen VLANs voneinander isoliert sind — auch wenn sie am selben Switch hängen. Der entscheidende Vorteil gegenüber separater Hardware: Ein einziger Switch kann Dutzende VLANs bedienen, und die Zuordnung wird in der Konfiguration statt in der Verkabelung festgelegt.
802.1Q-Tagging und Broadcast-Domänen
Damit ein Switch Datenrahmen verschiedenen VLANs zuordnen kann, ergänzt der Standard IEEE 802.1Q jeden Ethernet-Frame um ein 4-Byte-Tag mit einer VLAN-ID (1 bis 4094). Ein Switch liest dieses Tag und stellt sicher, dass der Frame nur an Ports desselben VLANs weitergeleitet wird. Jedes VLAN bildet eine eigene Broadcast-Domäne: Ein Broadcast in VLAN 10 erreicht niemals ein Gerät in VLAN 20. Das reduziert Broadcast-Verkehr und ist zugleich die sicherheitsrelevante Eigenschaft — Geräte sehen sich gegenseitig schlicht nicht.
Access-Ports und Trunk-Ports
In der Praxis unterscheidet man zwei Porttypen. Ein Access-Port gehört genau einem VLAN an und verbindet typischerweise ein Endgerät (PC, IP-Telefon, Drucker) — der Frame wird ungetaggt übertragen, das VLAN ergibt sich aus der Portkonfiguration. Ein Trunk-Port transportiert dagegen mehrere VLANs gleichzeitig über eine einzige Leitung, etwa zwischen zwei Switches oder zur Firewall. Hier bleiben die 802.1Q-Tags erhalten, damit die Gegenstelle die VLAN-Zugehörigkeit jedes Frames kennt.
| Merkmal | Access-Port | Trunk-Port |
|---|---|---|
| VLAN-Zugehörigkeit | Genau ein VLAN | Mehrere VLANs |
| Tagging | Ungetaggt | 802.1Q-getaggt |
| Typischer Einsatz | Endgerät | Switch-zu-Switch, Switch-zu-Firewall |
VLANs als Sicherheitsmaßnahme
Aus Sicherheitssicht sind VLANs ein Werkzeug zur Netzwerksegmentierung. Indem Gerätegruppen voneinander getrennt werden, lässt sich die laterale Bewegung eines Angreifers nach dem Lateral Movement-Prinzip einschränken: Ein kompromittierter Rechner im Office-VLAN erreicht nicht automatisch die Server. Klassische Anwendungsfälle sind die Isolation von Gästen, IoT-Geräten und OT-/Produktionsanlagen — Systeme, die selten gepatcht werden und nicht im selben Segment wie kritische Infrastruktur stehen sollten. Der Verkehr zwischen VLANs läuft über einen Router oder eine Firewall, wo Zugriffsregeln durchgesetzt werden. Welche IP-Bereiche die einzelnen VLANs erhalten, ergibt sich aus der Subnetz-Planung.
VLANs arbeiten dabei grobkörniger als Mikrosegmentierung: Sie trennen auf Segment-Ebene (ganze Gerätegruppen), während Mikrosegmentierung Policies pro Workload oder Service definiert. Innerhalb eines VLANs gibt es keine Kontrolle — alle Geräte sehen sich gegenseitig. Für eine feinere Granularität ergänzen sich beide Ansätze.
Risiken und Grenzen
VLANs sind kein lückenloser Schutz. Beim VLAN-Hopping versucht ein Angreifer, aus seinem VLAN in ein anderes zu gelangen. Zwei Varianten finden wir in Assessments regelmäßig: Beim Double Tagging versieht der Angreifer einen Frame mit zwei 802.1Q-Tags — der erste wird vom Switch entfernt, der zweite schmuggelt den Frame ins Zielnetz, sofern das native VLAN unsauber konfiguriert ist. Beim Switch Spoofing gibt sich ein Endgerät als Switch aus und handelt eigenständig einen Trunk aus, wodurch es Zugriff auf alle VLANs erhält. Beides lässt sich durch saubere Konfiguration entschärfen: Trunk-Aushandlung (DTP) deaktivieren, ungenutzte Ports abschalten und das native VLAN auf einen ungenutzten Wert legen.
Wichtiger noch: VLAN-Segmentierung allein ist kein Zero Trust. VLANs vertrauen implizit jedem Gerät innerhalb eines Segments — sie prüfen weder Identität noch Gerätezustand bei jedem Zugriff. Zero Trust verlangt dagegen kontinuierliche Verifikation unabhängig vom Netzwerkstandort. VLANs sind ein Baustein, ersetzen aber keine identitätsbasierte Zugriffskontrolle.
Dynamische VLAN-Zuweisung über NAC
Statt VLANs statisch pro Port zu vergeben, lässt sich die Zuordnung dynamisieren. In Verbindung mit Network Access Control und 802.1X authentifiziert sich ein Gerät beim Einstecken, und der RADIUS-Server weist ihm anhand von Identität, Gerätetyp oder Compliance-Status automatisch das passende VLAN zu — ein verwaltetes Notebook landet im Mitarbeiter-VLAN, ein unbekanntes Gerät im Gast- oder Quarantäne-VLAN. So wird die Segmentierung nicht durch die Verkabelung, sondern durch die Identität bestimmt.
Relevanz für KMUs
Für den Mittelstand sind VLANs der pragmatische Einstieg in die Netzwerksegmentierung: Sie erfordern keine neue Hardware, sondern nur verwaltbare (managed) Switches und eine durchdachte Konfiguration. Bereits eine grundlegende Trennung von Office, Servern, Gästen, IoT und gegebenenfalls Produktionsanlagen reduziert den Schadensradius eines Vorfalls erheblich. Wir sehen in Assessments jedoch häufig flache Netze mit nur einem VLAN — oder VLANs ohne Firewall-Regeln zwischen den Segmenten, was den Sicherheitsgewinn zunichtemacht. Der erste Schritt ist daher, die Segmente zu definieren und den Verkehr zwischen ihnen aktiv zu kontrollieren. Auf dieser Basis lässt sich die Architektur später um NAC und Mikrosegmentierung in Richtung Zero Trust ausbauen.