Ein IT-Verantwortlicher steckt ein Netzwerkkabel in eine Switch.

VLAN einrichten: Schritt-für-Schritt-Anleitung für die Netzwerksegmentierung im KMU

Von / Veröffentlicht am
IT-Infrastruktur

VLANs einrichten bedeutet für kleine und mittlere Unternehmen: Netzwerksegmente planen, einen Managed Switch konfigurieren und Inter-VLAN-Routing aktivieren. Dieser Artikel liefert Ihnen eine praxisorientierte Anleitung für die konkrete Umsetzung – keine Theorie, sondern direkt anwendbare Schritte.

Die Grundlagen zu Virtual Local Area Networks – was ein VLAN ist, wie VLAN-Tagging funktioniert und welche VLAN-Typen es gibt – finden Sie in unserem Grundlagenartikel. Der vorliegende Artikel richtet sich an IT-Administratoren und IT-Verantwortliche in Unternehmen mit 10 bis 100 Mitarbeitern, die ein bestehendes flaches Netzwerk segmentieren möchten. Voraussetzung: Sie wissen bereits, was VLANs grundsätzlich leisten.

Die kurze Antwort auf die Frage „Wie richte ich VLANs ein?”: Sie benötigen einen Managed Switch mit Web-Interface, definieren Ihre Netzwerksegmente mit eindeutigen VLAN-IDs, weisen Ports zu und konfigurieren das Routing zwischen den Segmenten über einen Router oder Layer-3-Switch.

Als Praxis-Beispiel begleitet uns ein Unternehmen mit 30 Mitarbeitern, das vier VLANs einrichtet: VLAN 10 für Büro-Arbeitsplätze, VLAN 20 für VoIP-Telefonie, VLAN 30 für das Gäste-WLAN und VLAN 99 für das Management-Netz.

Nach diesem Artikel können Sie:

  • Eine durchdachte VLAN-Struktur für Ihr KMU planen
  • VLANs am Managed Switch anlegen und Ports zuweisen
  • Inter-VLAN-Routing und DHCP korrekt konfigurieren
  • Sicherheitsrichtlinien für isolierte Segmente umsetzen
  • Typische Fehler bei der VLAN-Konfiguration vermeiden

Planung der VLAN-Struktur

Eine sorgfältige Planung vor der technischen Umsetzung spart Ihnen später erheblichen Aufwand. Durchdachte Netzwerksegmente erleichtern die Fehlersuche, vereinfachen spätere Erweiterungen und bilden die Basis für eine sichere IT-Infrastruktur.

Netzwerksegmente definieren

Typische Segmente für ein KMU mit 30 Mitarbeitern umfassen: Arbeitsplätze (PCs, Notebooks), VoIP-Telefonie, Gäste-WLAN und ein Management-Netz für Switch- und Router-Administration. Optional kommen Server-Segmente hinzu.

Für die VLAN-ID-Vergabe empfiehlt sich eine logische Nummerierung:

VLAN-IDNameVerwendung
10BüroArbeitsplatz-PCs, Drucker
20VoIPIP-Telefone
30GästeWLAN für Besucher
99ManagementSwitches, Router, Server-Admin

Ein wichtiger Hinweis zur Sicherheit: Vermeiden Sie VLAN 1 für produktive Geräte. Bei vielen Switches ist VLAN 1 das Default VLAN und wird standardmäßig für Management-Kommunikation genutzt. Das macht es anfällig für Angriffe. Verwenden Sie stattdessen eine eigene VLAN-ID wie 99 für Ihr Management-Netz.

IP-Adressbereiche festlegen

Jedes VLAN benötigt ein eigenes Subnetz. Für unser Beispiel-Unternehmen sieht die IP-Adresse-Planung so aus:

  • VLAN 10 (Büro): 192.168.10.0/24 – Gateway 192.168.10.1
  • VLAN 20 (VoIP): 192.168.20.0/24 – Gateway 192.168.20.1
  • VLAN 30 (Gäste): 192.168.30.0/24 – Gateway 192.168.30.1
  • VLAN 99 (Management): 192.168.99.0/24 – Gateway 192.168.99.1

Für den DHCP-Server definieren Sie separate Bereiche pro VLAN. Im Management-VLAN vergeben Sie IP-Adressen für Switches und Router besser statisch – das erleichtert die Verwaltung und Dokumentation. Die Gateway-Adresse liegt jeweils auf dem Router oder Layer-3-Switch Interface.

Hardware-Anforderungen prüfen

Ein Managed Switch ist die Grundvoraussetzung für VLANs. Nur Managed Switches können VLANs erstellen, Ports als Access- oder Trunk-Ports konfigurieren und VLAN-Tags verarbeiten. Unmanaged Switches bieten diese Funktionen nicht.

Für Inter-VLAN-Routing – also die Kommunikation zwischen Netzwerksegmenten – benötigen Sie zusätzlich einen Router oder einen Layer-3-Switch. Dieser übernimmt das Routing zwischen den Subnetzen und stellt die Default-Gateways bereit.

Weitere Komponenten für eine vollständige VLAN-Konfiguration:

  • DHCP-Server (physisch oder virtuell) mit Scopes pro VLAN
  • Firewall für Zugriffsregeln zwischen Segmenten
  • WLAN-Access Points, die mehrere SSIDs mit VLAN-Tagging unterstützen

Mit dieser Planung können Sie zur praktischen Umsetzung übergehen.

Schritt-für-Schritt-Umsetzung am Managed Switch

Die folgenden Schritte beschreiben eine generische Konfiguration über das Web-Interface eines Managed Switches. Die Menübezeichnungen variieren je nach Hersteller – bei HP, Cisco SMB, Netgear oder D-Link finden Sie vergleichbare Funktionen unter ähnlichen Namen wie „VLAN Management”, „VLAN Settings” oder „802.1Q VLAN”.

VLANs am Switch anlegen

Die Aktivierung von VLANs am Switch erfolgt in wenigen Schritten:

  1. Anmeldung am Web-Interface: Öffnen Sie einen Webbrowser und rufen Sie die Management-IP-Adresse Ihres Switches auf. Melden Sie sich mit Ihrem Admin-Konto an.
  2. Navigation zum VLAN-Menü: Suchen Sie den Bereich „VLAN Management”, „VLAN Einstellungen” oder „802.1Q VLAN”. Bei manchen Switches liegt die Option unter „Switching” → „VLAN”.
  3. VLANs erstellen: Legen Sie die VLANs mit den geplanten VLAN-IDs und aussagekräftigen Namen an. Beispiel: VLAN ID 10 mit dem Namen „Büro”, VLAN ID 20 „VoIP”, VLAN ID 30 „Gäste”, VLAN ID 99 „Management”.
  4. VLANs aktivieren: Prüfen Sie den Status jedes VLANs – dieser sollte auf „aktiv” oder „enabled” stehen. Speichern Sie die Konfiguration.

Port-Zuweisungen konfigurieren

Nach dem Anlegen der VLANs weisen Sie die Switch-Ports den Segmenten zu. Dabei unterscheiden Sie zwischen zwei Port-Modi:

Access-Ports verbinden Endgeräte wie PCs, Telefone oder Drucker. Ein Access-Port gehört zu genau einem VLAN und sendet Ethernet Frames ohne VLAN-Tags (untagged). Das Endgerät muss nichts von VLANs wissen.

Trunk-Ports verbinden Switches untereinander oder einen Switch mit Router und Firewall. Ein Trunk Port überträgt Datenpakete mehrerer Tagged VLANs gleichzeitig. Die Frames enthalten dabei VLAN-Tags nach dem 802.1Q-Standard.

Die Konfiguration der Ports erfolgt so:

  1. Access-Ports definieren: Wählen Sie die Ports für Büro-PCs und setzen Sie den Modus auf „Access” mit VLAN 10 (untagged). Für VoIP-Telefone: Access-Port mit VLAN 20. Für Gäste-Access-Points: Access-Port mit VLAN 30 – oder Trunk, falls der AP mehrere SSIDs bedient.
  2. Trunk-Ports einrichten: Die Verbindung zwischen zwei Switches konfigurieren Sie als Trunk. Erlauben Sie alle benötigten VLANs (10, 20, 30, 99) als tagged auf diesem Port. Das gleiche gilt für die Verbindung zum Router.
  3. Port-VLAN-Zuweisungen prüfen: Kontrollieren Sie im Switch-Interface die Übersicht aller Ports und deren VLAN-Zuordnung.
  4. Native VLAN festlegen: Bei Trunk-Ports können Sie ein Native VLAN definieren – dieses wird untagged übertragen. Setzen Sie hier nicht VLAN 1, sondern entweder ein dediziertes VLAN oder deaktivieren Sie das Native VLAN wenn möglich.

Inter-VLAN-Routing einrichten

Ohne VLAN-Routing sind Ihre Netzwerksegmente vollständig isoliert. Für kontrollierte Kommunikation – etwa wenn Büro-PCs auf Server im Management-VLAN zugreifen sollen – konfigurieren Sie Inter-VLAN-Routing:

Router-Konfiguration: Erstellen Sie auf dem Router ein Interface (Subinterface) für jedes VLAN. Jedes Interface erhält die Gateway-IP-Adresse des jeweiligen Subnetzes. Beispiel: Interface VLAN 10 bekommt 192.168.10.1, Interface VLAN 20 bekommt 192.168.20.1.

Firewall-Regeln: Definieren Sie, welche VLANs miteinander kommunizieren dürfen. Typische Regeln:

  • Gäste-VLAN → nur Internet, kein Zugriff auf Büro oder Management
  • Büro-VLAN → Zugriff auf Drucker, ggf. bestimmte Server
  • VoIP-VLAN → Zugriff auf Voice-Controller, Internet für SIP
  • Management-VLAN → nur von autorisierten Admin-Arbeitsplätzen erreichbar

DHCP-Server konfigurieren: Sie haben zwei Möglichkeiten. Entweder richten Sie für jedes VLAN einen eigenen DHCP-Bereich auf dem DHCP-Server ein. Oder Sie nutzen einen zentralen DHCP-Server und konfigurieren auf dem Router DHCP-Relay (auch „IP Helper Address” genannt). Damit werden DHCP-Anfragen aus allen VLANs an den Server weitergeleitet.

Sicherheitsaspekte bei der VLAN-Einrichtung

VLANs erhöhen die Netzwerksicherheit durch Segmentierung – aber nur, wenn Sie Sicherheitsmaßnahmen von Anfang an mitdenken. Ohne passende Firewall-Regeln ist ein VLAN nur eine logische, keine echte Trennung.

Gäste-VLAN isolieren

Das Gäste-VLAN muss vollständig vom Unternehmensnetzwerk isoliert sein. Besucher erhalten Internet-Zugang, dürfen aber keine internen Ressourcen erreichen – keine Dateiserver, keine Drucker, keine Management-Interfaces.

Setzen Sie auf dem Router oder der Firewall explizite Regeln: Der Datenverkehr aus VLAN 30 (Gäste) wird nur in Richtung Internet geroutet. Verbindungen zu den IP-Bereichen der anderen VLANs werden blockiert. Zusätzlich empfiehlt sich eine Bandbreitenbegrenzung, damit Gäste nicht die gesamte Internetleitung belegen.

Management-VLAN absichern

Das Management-VLAN enthält die Verwaltungsoberflächen Ihrer Switches, Router und Server. Ein Angreifer mit Zugriff auf dieses Netz könnte Ihre gesamte IT-Infrastruktur kompromittieren.

Empfohlene Sicherheitsmaßnahmen:

  • Verwenden Sie nicht VLAN 1 für das Management
  • Beschränken Sie den Zugriff auf autorisierte Admin-Arbeitsplätze per ACL (Access Control List)
  • Deaktivieren Sie unsichere Protokolle (Telnet, HTTP) und nutzen Sie nur SSH und HTTPS
  • Vergeben Sie statische IP-Adressen für alle Management-Geräte

Sicherheitsrichtlinien implementieren

Über das Gäste- und Management-VLAN hinaus sollten Sie weitere Sicherheitsrichtlinien etablieren:

  • Ungenutzte Ports deaktivieren: Weisen Sie nicht belegte Switch-Ports einem „Dead-VLAN” zu (z.B. VLAN 999) oder deaktivieren Sie sie komplett. Das verhindert, dass jemand unbefugt ein Gerät anschließt.
  • Dokumentation führen: Erstellen Sie eine Übersicht aller VLAN-IDs, Namen, Subnetze, Gateway-Adressen und Port-Zuweisungen. Diese Dokumentation ist bei Störungen und Erweiterungen unverzichtbar.
  • Regelmäßige Kontrolle: Prüfen Sie periodisch, ob die Port-VLAN-Zuordnungen noch korrekt sind und ob keine unautorisierten Änderungen vorgenommen wurden.

Mit diesen Grundlagen sind Sie gerüstet. In der Praxis treten dennoch typische Probleme auf.

Häufige Probleme und Lösungsansätze

Bei der VLAN-Konfiguration gibt es wiederkehrende Stolpersteine. Wenn Sie diese kennen, sparen Sie sich stundenlanges Troubleshooting.

DHCP-Server im falschen VLAN

Problem: Clients erhalten keine IP-Adresse oder bekommen Adressen aus dem falschen Subnetz. Der Client zeigt eine APIPA-Adresse (169.254.x.x) oder bleibt ohne Verbindung.

Ursache: Der DHCP-Server befindet sich in einem anderen VLAN als der Client, und es wurde kein DHCP-Relay konfiguriert. DHCP-Broadcasts erreichen per Definition nur das lokale VLAN.

Lösung: Konfigurieren Sie auf dem Router-Interface jedes VLANs eine DHCP-Relay-Adresse (IP Helper Address), die auf Ihren DHCP-Server zeigt. Alternativ: Richten Sie auf dem DHCP-Server separate Scopes für jedes Subnetz ein und stellen Sie sicher, dass der Server in allen VLANs erreichbar ist.

Fehlende Trunk-Konfiguration zwischen Switches

Problem: VLANs funktionieren nur an einem Switch. Geräte an anderen Switches erreichen ihr VLAN nicht, obwohl die Ports korrekt konfiguriert sind.

Ursache: Die Verbindung zwischen den Switches ist nicht als Trunk konfiguriert oder die benötigten VLANs sind auf dem Trunk nicht erlaubt.

Lösung: Prüfen Sie beide Seiten der Switch-zu-Switch-Verbindung. Setzen Sie den Switchport Mode auf Trunk und erlauben Sie alle benötigten VLANs. Achten Sie darauf, dass das Native VLAN auf beiden Seiten identisch ist – unterschiedliche Native VLANs führen zu Kommunikationsproblemen.

Vergessene Firewall-Regeln

Problem: Trotz konfiguriertem Inter-VLAN-Routing können Geräte nicht miteinander kommunizieren. Ping-Tests zwischen VLANs scheitern.

Ursache: Die Firewall oder ACLs auf dem Router blockieren den Datenverkehr. Routing ist eingerichtet, aber die Firewall-Regeln erlauben die Kommunikation nicht.

Lösung: Überprüfen Sie die ACLs auf den Router-Interfaces und die Firewall-Regeln. Erstellen Sie explizite Regeln für die gewünschte Kommunikation – etwa „VLAN 10 darf VLAN 99 auf Port 443 erreichen”. Beginnen Sie mit einer permissiven Regel zum Testen und schränken Sie anschließend ein.

Falsche VLAN-Zuweisungen

Problem: Ein Gerät landet im falschen Netzwerksegment. Beispiel: Das VoIP-Telefon bekommt eine IP aus dem Gäste-VLAN.

Ursache: Der Port ist dem falschen VLAN zugewiesen, das Kabel steckt im falschen Port, oder bei portierbasierten VLANs wurde der Access-Port falsch konfiguriert.

Lösung: Kontrollieren Sie die Port-Konfiguration im Switch-Interface. Vergleichen Sie die physische Verkabelung mit Ihrer Dokumentation. Beschriften Sie Ports und Kabel eindeutig, um Verwechslungen zu vermeiden.

Testen und Validierung der VLAN-Konfiguration

Nach der Konfiguration folgt die systematische Überprüfung. Ohne Tests riskieren Sie, Fehler erst im Produktivbetrieb zu entdecken.

Konnektivitätstests durchführen

Innerhalb der VLANs testen: Verbinden Sie zwei Geräte im selben VLAN und führen Sie Ping-Tests durch. Beide Geräte sollten sich gegenseitig erreichen können.

Isolation testen: Versuchen Sie, von einem Client im Gäste-VLAN einen Client im Büro-VLAN zu pingen. Dieser Test muss fehlschlagen – sonst ist Ihr Gäste-VLAN nicht korrekt isoliert.

Inter-VLAN-Routing prüfen: Testen Sie die erlaubten Verbindungen zwischen VLANs. Kann ein Büro-PC den Drucker im Management-VLAN erreichen? Kann das VoIP-Telefon den Voice-Controller kontaktieren?

DHCP und IP-Vergabe überprüfen

  • Starten Sie einen Client in jedem VLAN neu und prüfen Sie, ob er eine IP-Adresse aus dem korrekten Subnetz erhält
  • Kontrollieren Sie, dass das Default-Gateway korrekt gesetzt ist (z.B. 192.168.10.1 für VLAN 10)
  • Testen Sie die Gateway-Erreichbarkeit per Ping von jedem VLAN aus
  • Prüfen Sie den Internet-Zugang aus allen VLANs – außer aus denen, die bewusst isoliert sind

Dokumentieren Sie die Testergebnisse. Bei späteren Änderungen dient diese Dokumentation als Referenz für den funktionierenden Zustand.

Fazit und nächste Schritte

VLANs einzurichten erfordert sorgfältige Planung, aber keine Raketenwissenschaft. Mit einem Managed Switch, klaren Netzwerksegmenten und durchdachten Sicherheitsrichtlinien schaffen Sie eine strukturierte IT-Infrastruktur, die Sicherheit und Netzwerkleistung verbessert.

Die wichtigsten Erkenntnisse:

  • Planung vor Konfiguration – definieren Sie Segmente, VLAN-IDs und IP-Bereiche vorab
  • Managed Switch und Router/Layer-3-Switch sind die Hardware-Grundlage
  • Sicherheit von Anfang an mitdenken – insbesondere Gäste-Isolation und Management-Schutz
  • Dokumentation ist kein optionales Extra, sondern Pflicht

Ihre nächsten Schritte:

  1. Führen Sie ein Netzwerk-Audit durch: Welche Geräte haben Sie, wie sind sie aktuell verbunden?
  2. Planen Sie Ihre VLAN-Struktur auf Papier oder in einer Tabelle
  3. Testen Sie die Konfiguration zunächst in einem kleinen Bereich oder außerhalb der Geschäftszeiten
  4. Dokumentieren Sie alle Einstellungen und Port-Zuweisungen

Für weiterführende Themen wie erweiterte Netzwerksicherheit, Monitoring oder Automatisierung der Netzwerkkonfiguration lohnt sich eine professionelle Beratung. Auch die Integration von Network Access Control (NAC) und Zero-Trust-Konzepten baut auf einer soliden VLAN-Struktur auf.

Sie möchten VLANs in Ihrem Unternehmen einrichten, aber nicht selbst konfigurieren? Unsere IT-Experten planen und implementieren Ihre Netzwerksegmentierung – sicher und ohne Betriebsunterbrechung. Vereinbaren Sie ein Beratungsgespräch.

Für die laufende Betreuung Ihrer Netzwerk-Infrastruktur bieten wir Managed Services an – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

Anrufen: +49 (0) 2241 163370

E-Mail schreiben | Remote Support