Netzwerke

VLANs erklärt – Oder: Warum Ihr Netzwerk eigentlich mehrere Netzwerke sein sollte

Aktualisiert: 7. März 2026 Lesezeit: 12 Min.

In einem typischen Heimnetzwerk hängt alles an einem einzigen gemeinsamen Netz: der Laptop, das Smartphone, die Überwachungskamera, der Gast aus dem Urlaub und die billige IoT-Glühbirne aus dem Internet. Das klingt praktisch – ist es aber nicht. Genau hier kommen VLANs ins Spiel: die eleganteste Lösung, um aus einem physischen Netzwerk mehrere logisch getrennte Netze zu machen.

Dieser Artikel erklärt VLANs von Grund auf – zuerst für alle verständlich, dann für alle, die es wirklich genau wissen wollen.

Teil 1: VLANs für Einsteiger

1. Was ist ein VLAN in aller Kürze?

VLAN steht für Virtual Local Area Network – auf Deutsch: virtuelles lokales Netzwerk.

Stellen Sie sich ein großes Bürogebäude vor. Im Erdgeschoss sitzt die Buchhaltung, im ersten Stock die IT, im zweiten Stock die Gäste. Die Stockwerke sind physisch alle im gleichen Gebäude – aber die Buchhaltung kann nicht einfach in die IT-Abteilung rein, und die Gäste schon gar nicht. Jede Etage hat ihre eigene Tür, ihren eigenen Schlüssel.

Genau das macht ein VLAN in einem Netzwerk: Es unterteilt ein physisches Netzwerk (ein Switch, ein Kabel, eine Infrastruktur) in mehrere logisch getrennte Netze, ohne dass man zusätzliche Hardware braucht.

  • Ohne VLAN: Alle Geräte in einem großen Raum – sie sehen sich alle gegenseitig.
  • Mit VLAN: Mehrere getrennte Räume – Geräte in Raum 1 wissen nicht mal, dass es Raum 2 gibt.

2. Warum braucht man VLANs überhaupt?

Ohne VLANs hängt in einem typischen Netzwerk alles zusammen. Das klingt nach Komfort – schafft aber drei echte Probleme:

Problem 1: Sicherheit. Wenn eine billige IoT-Kamera mit Schadsoftware infiziert wird, hat sie in einem flachen Netzwerk direkten Zugriff auf Ihren Laptop, Ihre NAS, Ihren Büroserver. Mit einem eigenen IoT-VLAN sitzt die infizierte Kamera in einem isolierten Raum. Sie kann ins Internet, aber nicht zu Ihrem Laptop.

Problem 2: Broadcast-Flut. Jedes Gerät sendet regelmäßig Broadcast-Pakete – kleine Nachrichten an „alle”. In einem Netzwerk mit 50 Geräten sieht jedes Gerät jeden Broadcast. VLANs sind eigene Broadcast-Domänen: Der Lärmpegel sinkt drastisch.

Problem 3: Keine Struktur für Gäste. Sollen Urlaubsgäste wirklich im gleichen Netz sein wie die NAS mit den Familienfotos? Mit einem Gäste-VLAN bekommen sie Internet – und sonst nichts.

3. Was bedeuten „Tagged” und „Untagged”?

Untagged Port (= Access Port). Der Port versteht kein VLAN-Etikett. Er ist für normale Endgeräte gedacht: Laptop, Drucker, NAS, Smart-TV. Das Gerät schickt ein normales Paket rein, der Switch klebt still das VLAN-Tag drauf.

Tagged Port (= Trunk Port). Der Port empfängt und sendet Pakete mit VLAN-Etikett. Er ist für Geräte gedacht, die mehrere VLANs gleichzeitig transportieren: andere Switches, Router, Access Points.

Die Faustregel:

  • Endgerät (PC, Drucker, Kamera) → Untagged
  • Switch, Router, Access Point → Tagged

4. Typische VLAN-Szenarien auf einer Finca oder im Büro

VLAN-IDNameWer gehört rein?Darf sprechen mit …
VLAN 10ManagementRouter, Switches, APsNur Netzwerkgeräte
VLAN 20Intern / BüroLaptops, PCs, NAS, DruckerIntern + Internet
VLAN 30Gäste / UrlaubSmartphones der GästeNur Internet
VLAN 40IoT / KamerasSmart-TV, Kameras, AlarmNur Internet (oder isoliert)

Teil 2: VLANs für Profis

5. Der 802.1Q-Frame im Detail

Wenn ein Switch ein Paket „taggt”, fügt er einen 4-Byte-802.1Q-Tag ein. Der Frame sieht dann so aus:

[ Ziel-MAC (6 Byte) ][ Quell-MAC (6 Byte) ][ 802.1Q Tag (4 Byte) ][ EtherType (2 Byte) ][ Payload ][ FCS ]

Die 4 Byte des Tags sind aufgeteilt in TPID (0x8100), PCP (Priorität 0–7), DEI und die VLAN-ID (12 Bit → 4094 nutzbare IDs).

6. Firewall-Regeln zwischen VLANs in UniFi

Standardmäßig ist bei UniFi kein Traffic zwischen VLANs geblockt – das muss man aktiv einschränken:

Regel 1 (hoch): ERLAUBT – Established/Related – alle VLANs
Regel 2: BLOCKIERT – Von VLAN 30 (Gäste) nach VLAN 20 (Intern)
Regel 3: BLOCKIERT – Von VLAN 40 (IoT) nach VLAN 20 (Intern)
Regel 4: ERLAUBT – Von VLAN 20 (Intern) nach VLAN 40 (IoT) Port 9100

Wichtig: UniFi arbeitet Top-Down mit First-Match. Die Established/Related-Regel muss immer oben stehen, sonst bricht die Kommunikation für bereits aufgebaute Verbindungen ab.

Zusammenfassung

Ein gut geplantes VLAN-Konzept ist kein Luxus, sondern grundlegende Netzwerkarchitektur – für Sicherheit, Ruhe im Netz und saubere Trennung von Gästen, IoT und Büro. In UniFi lässt sich das mit wenigen, gut beschrifteten Menüs umsetzen.

Weitere Artikel

Netzwerke Netzsperren in Spanien: Warum Websites auf Mallorca plötzlich nicht mehr laden

Was hinter den spanischen IP-Sperren der LaLiga steckt, ob Starlink betroffen ist und wie Sie Ihr Netzwerk auf Mallorca schützen.

 Netzwerke UniFi ohne Cloud Gateway: Was konkret NICHT funktioniert – für Access Points & Switches

UniFi-APs und -Switches laufen auch ohne Cloud Gateway – aber zentrale Funktionen, Stabilität und fast alle Schutz- und Komfortfeatures fehlen. Welche Szenarien es gibt und was jeweils fehlt, klar und ehrlich erklärt.

 Netzwerke Was ist das UniFi System von Ubiquiti?

Das UniFi System von Ubiquiti ist eine professionelle, integrierte Netzwerkplattform aus Hardware, Softwareverwaltung sowie Lösungen für Überwachung (Protect) und Zugangskontrolle (Access) – für private und gewerbliche Umgebungen.

 Netzwerke Starlink + VPN + Netflix – klingt simpel, ist es aber nicht. Warum Streaming durch VPN über Starlink oft ruckelt, woran es wirklich liegt, und was man dagegen tun kann.

Starlink hat genug Bandbreite fürs Streaming – und trotzdem ruckeln 4K-Streams über VPN. Der Grund liegt nicht in der Bandbreite, sondern in CGNAT, Double NAT, dem VPN-Protokoll und IPv6-Leaks.
← Zum Wissens-Center