Netzwerk · Modul 5

VLAN & Trunking

Logische Netzwerksegmentierung auf Layer 2 — VLANs trennen Broadcast-Domänen ohne physische Trennung.

Was ist ein VLAN?

Ein Virtual LAN unterteilt einen physischen Switch in mehrere logische Netzwerke. Geräte in verschiedenen VLANs können nicht direkt miteinander kommunizieren.

Warum VLANs?

Sicherheit (Isolierung), Performance (kleinere Broadcast-Domänen), Flexibilität (logische statt physische Gruppierung) und Compliance (Trennung sensibler Daten vom normalen Netzwerk).

Tagged vs. Untagged

Access-Ports senden ungetaggte Frames, Trunk-Ports fügen den VLAN-Tag hinzu.

Untagged (Access Port)

ACCESS

Der Port gehört genau einem VLAN. Frames werden ohne Tag gesendet und empfangen — das Endgerät weiß nichts vom VLAN.

  • Ein VLAN pro Port
  • Endgeräte (PC, Drucker, Telefon)
  • Switch fügt intern Tag hinzu
  • Tag wird beim Verlassen entfernt

Tagged (Trunk Port)

TRUNK

Der Port transportiert Frames aus mehreren VLANs gleichzeitig. Jeder Frame erhält einen 802.1Q-Tag mit der VLAN-ID.

  • Mehrere VLANs pro Port
  • Switch-zu-Switch Verbindungen
  • 4-Byte 802.1Q Tag im Frame
  • Native VLAN: ohne Tag

802.1Q Frame

Der Standard-Tag wird nach der Source-MAC-Adresse eingefügt und enthält die VLAN-ID.

Ethernet Frame mit 802.1Q Tag

Dst MAC6 Bytes
Src MAC6 Bytes
TPID0x8100
PRI3 Bit
CFI1 Bit
VLAN ID12 Bit (0–4095)
EtherType2 Bytes
Payload46–1500 Bytes
FCS4 Bytes

Die violett markierten Felder bilden den 4-Byte 802.1Q-Tag. TPID (Tag Protocol Identifier) = 0x8100 signalisiert den Tag.

Switch-Port Visualizer

Klicke auf einen Port, um sein VLAN zu ändern. Beobachte, wie der Traffic-Flow sich verändert.

vlan-switch-visualizer
VLAN 10 · Büro
VLAN 20 · Server
VLAN 30 · Gast
VLAN 99 · Mgmt
🔲 Switch A
Trunk (802.1Q)
Alle VLANs
🔲 Switch B
Klicke auf Ports, um VLANs zuzuweisen. Traffic-Log erscheint hier.
Cybersecurity Lernmaterial · VLAN & Trunking Modul