Netzly Logo
Anmelden
DSL Rechner & Aderkennzeichnung Glasfaser FTTB Störer im Kupfernetz
Steckerbelegung Ethernet Frame VLAN IP Header OSI-Modell Protokolle IPv6 & IPv4 Bufferbloat
Lancom Script Generator RouterLab Passwortgenerator
Notizen Dateien Dropshare
Layer 2 802.1Q Praxis Troubleshooting

Netzwerk in der Praxis

VLAN in der Praxis: tagged, untagged, Access-Port, Trunk, PVID und typische Fehlerbilder

VLANs teilen ein gemeinsames Layer-2-Netz logisch in getrennte Broadcast-Domains. Damit lassen sich Clients, Kameras, VoIP, Management oder Gastnetze sauber trennen, obwohl sie über denselben Switch laufen. Wenn dir dazu noch die Grundlagen fehlen, lohnt sich vorab ein Blick auf den Ethernet Frame, das OSI-Modell und die Übersicht zu Netzwerkprotokollen.

Direkt zu den Themen

Visualisierung

So verläuft ein VLAN-Setup über Trunk und Access-Port

VLAN-Diagramm mit Router, Managed Switch, Laptop, Kamera, Trunk und Access-Ports

Grundprinzip

Was ein VLAN praktisch trennt

Ein VLAN trennt keine Kabel, sondern die logische Weiterleitung auf Layer 2. Broadcasts, unbekannte Unicasts und viele lokale Mechanismen bleiben innerhalb ihres VLANs.

Ohne VLAN landen alle Endgeräte eines Switch-Segments in derselben Broadcast-Domain. ARP, DHCP-Requests oder andere Layer-2-Frames können sich dann ungefiltert über viele Ports ausbreiten.

Mit VLANs legst du fest, welche Ports und Frames zusammengehören. Ein Büro-Laptop in VLAN 10 sieht dann nicht automatisch die Layer-2-Broadcasts einer Kamera in VLAN 20, obwohl beide am selben Switch hängen.

In der Praxis ist das die saubere Trennung zwischen Benutzer-, Kamera-, Voice- oder Management-Netzen. Die Frames bleiben dabei weiterhin Ethernet-Frames auf Layer 2. Wenn Daten zwischen zwei VLANs ausgetauscht werden sollen, braucht es zusätzlich Routing, zum Beispiel über einen Router oder eine Firewall.

  • Jedes VLAN bildet seine eigene Broadcast-Domain.
  • Die Trennung passiert lokal im Switch und nicht erst über IP-Regeln.
  • Erst für Verkehr zwischen VLANs kommt Layer 3 ins Spiel.

Warum das wichtig ist

Mehr Ordnung auf derselben Hardware

Ein einzelner Switch kann mehrere logische Netze gleichzeitig tragen. Das spart Verkabelung und erlaubt trotzdem klare Trennung zwischen Rollen und Endgeräten.

Grenze des Konzepts

VLAN ersetzt kein Routing

VLANs trennen Layer 2. Sobald ein Client aus VLAN 10 ein Ziel in VLAN 20 erreichen soll, braucht es ein Gateway und Regeln auf Layer 3.

IP-Header und Routing ansehen

Frame-Verhalten

Tagged vs. untagged

Ob ein Frame getaggt oder untagged übertragen wird, entscheidet nicht das VLAN selbst, sondern die Port-Konfiguration und der Weg über das Netz.

Bei tagged Frames wird ein 802.1Q-Tag in den Ethernet-Frame eingefügt. Darin steht unter anderem die VLAN-ID. So kann der nächste Switch erkennen, zu welchem VLAN der Frame gehört.

Bei untagged Frames fehlt dieses Tag. Das ist an klassischen Endgeräten normal, weil ein Laptop oder eine Kamera am Access-Port meist nichts von VLAN-Tags wissen soll.

Wenn du dir den Aufbau genauer ansehen willst: Das VLAN-Tag sitzt direkt im Ethernet Frame. Es bleibt also ein Layer-2-Thema und gehört nicht in den IP-Header.

Tagged

Mehrere VLANs auf einer Verbindung

Tagged Frames werden vor allem auf Trunks genutzt. Ein Uplink zwischen zwei Switches kann so gleichzeitig VLAN 10, 20 und weitere Netze transportieren.

Untagged

Einfach für Endgeräte

Am Access-Port verlässt der Frame den Switch in der Regel ohne Tag. Das Endgerät arbeitet ganz normal weiter, obwohl der Switch es intern einem VLAN zuordnet.

Port-Typen

Access-Port vs. Trunk

Die Begriffe beschreiben, wie ein Port VLANs behandelt. Ein Access-Port ist für genau ein Nutz-VLAN gedacht, ein Trunk transportiert mehrere VLANs parallel.

Ein Access-Port ist typisch für PCs, Drucker, Kameras oder Access Points im simplen Modus. Der Port nimmt untagged Frames entgegen und ordnet sie einem festen VLAN zu.

Ein Trunk ist typisch zwischen Switches, zu Hypervisoren, Firewalls oder Access Points mit mehreren SSIDs. Hier müssen mehrere VLANs unterscheidbar bleiben, deshalb werden sie üblicherweise getaggt transportiert.

Wichtig für die Praxis: Wenn zwei VLANs über einen Trunk auf demselben Uplink laufen, bleibt die logische Trennung trotzdem bestehen. Erst das Routing zwischen den VLANs auf dem Router oder der Firewall verbindet sie wieder. Das passt in der Denke direkt zum OSI-Modell: VLAN auf Layer 2, Routing auf Layer 3.

Access-Port

Ein VLAN pro Endgerät-Port

Klar, sparsam und gut für klassische Endgeräte. Der Port kennt genau ein Nutz-VLAN und sendet die Frames Richtung Endgerät untagged.

  • Typisch für Laptop, Kamera, Drucker oder Telefon
  • Geringe Fehlerfläche im Alltag
  • Das Endgerät muss keine VLAN-Tags verstehen

Trunk

Mehrere VLANs über einen Uplink

Der Port transportiert mehrere VLANs gleichzeitig. Ohne saubere Freigabe- und Native-VLAN-Konfiguration entstehen hier die meisten Missverständnisse.

  • Typisch für Switch-Uplinks und Firewalls
  • Getaggte Frames für mehrere VLANs
  • Braucht auf beiden Seiten ein konsistentes Setup

Zuordnung am Port

PVID, Native VLAN und Zuordnung am Port

Gerade hier unterscheiden sich Herstellerbegriffe. Das Grundprinzip bleibt aber gleich: untagged eingehende Frames brauchen eine Zuordnung zu einem VLAN.

Die PVID ist die VLAN-ID, die ein Switch einem untagged eingehenden Frame an einem Port zuweist. Auf einem klassischen Access-Port ist das meist genau das VLAN, in dem das Endgerät landen soll.

Beim Begriff Native VLAN geht es vor allem auf Trunks um das VLAN, das ohne Tag übertragen wird. Viele Setups vermeiden untagged Traffic auf Trunks bewusst oder halten das Native VLAN strikt konsistent, damit keine Verwechslungen entstehen.

Wenn Dokumentation und Switch-Konfiguration nicht dieselben Begriffe verwenden, entstehen schnell Fehlinterpretationen. Deshalb lohnt es sich, Ports immer mit Rolle, erlaubten VLANs und PVID klar zu dokumentieren. Das ist besonders wichtig, wenn mehrere Switch-Hersteller oder zusätzliche Protokolle im Spiel sind. Einen breiteren Kontext zu solchen Layer-2- und Layer-3-Beziehungen findest du auch in der Seite zu Netzwerkprotokollen.

PVID

Untagged Eingang bekommt intern ein VLAN

Der Switch ordnet untagged eingehende Frames anhand der Port-Voreinstellung einem VLAN zu.

Native VLAN

Untagged Verkehr auf dem Trunk

Wenn auf einem Trunk überhaupt untagged Verkehr zugelassen ist, muss auf beiden Seiten dasselbe Native VLAN erwartet werden.

Best Practice

Port klar beschriften und klein halten

Nur die VLANs freigeben, die wirklich gebraucht werden. Das macht Fehlerbilder seltener und vereinfacht die Suche deutlich.

Troubleshooting

Typische Fehlerbilder in der Praxis

Viele VLAN-Probleme fühlen sich für Benutzer wie ein allgemeiner Netzfehler an. Tatsächlich steckt oft nur eine inkonsistente Port-Konfiguration dahinter.

  • Erst prüfen, ob der Port wirklich Access oder Trunk sein soll.
  • Dann PVID, Native VLAN und erlaubte VLAN-Liste vergleichen.
  • Zum Schluss Layer 3 prüfen: Gateway, Routing und Policies nur dann, wenn Layer 2 sauber ist.

Fehlerbild 1

Falsche PVID am Access-Port

Der Laptop bekommt Link und vielleicht sogar eine IP, landet aber im falschen Netz. Typisch sind unerwartete Adressbereiche oder fehlender Zugriff auf das erwartete Gateway.

Fehlerbild 2

Access statt Trunk konfiguriert

Zwischen Switch und Firewall kommt nur ein einziges VLAN durch. Weitere Netze scheinen komplett zu fehlen, obwohl die Kabelverbindung physisch in Ordnung ist.

Fehlerbild 3

Native VLAN Mismatch

Untagged Verkehr landet auf der Gegenseite im falschen VLAN. Das führt zu schwer lesbaren Mischbildern, vor allem bei Management- oder Voice-Netzen.

Fehlerbild 4

VLAN auf dem Trunk nicht erlaubt

Ein Endgerät funktioniert an einem Switch, am anderen aber nicht. Oft ist die VLAN-ID auf einem Zwischen-Uplink schlicht nicht freigegeben.

Weiterlesen

Verwandte Themen

Diese Seiten vertiefen genau die Punkte, an denen VLANs in der Praxis mit anderen Netzwerkgrundlagen zusammentreffen.

Ethernet Frame Aufbau

Zeigt, wo das 802.1Q-Tag im Frame sitzt und wie Layer-2-Felder aufgebaut sind.

Zum Ethernet Frame

OSI-Schichtenmodell

Ordnet VLAN, Routing und Anwendungen sauber den passenden Schichten zu.

Zum OSI-Modell

Netzwerkprotokolle

Verbindet Ethernet, ARP, IP, ICMP und weitere Protokolle mit ihrem Platz im Netzwerk.

Zu den Protokollen

IP Header Aufbau

Hilft beim Übergang von VLAN-Trennung auf Layer 2 zu Routing auf Layer 3.

Zum IP Header

FAQ

Häufige Fragen

Was trennt ein VLAN genau?

Ein VLAN trennt ein gemeinsames Layer-2-Netz logisch in getrennte Broadcast-Domains. Endgeräte im selben Switch müssen dadurch nicht automatisch dieselben Broadcasts oder lokalen Frames sehen.

Was ist der Unterschied zwischen tagged und untagged?

Tagged Frames tragen ein 802.1Q-Tag mit VLAN-ID, untagged Frames nicht. Tagged wird vor allem auf Trunks genutzt, untagged typischerweise am Access-Port zu klassischen Endgeräten.

Wofür braucht man eine PVID?

Die PVID legt fest, welchem VLAN ein Switch untagged eingehende Frames an einem Port intern zuordnet. Ohne diese Zuordnung könnte der Switch den Frame keinem VLAN sauber zuweisen.

Kann ein Access-Port mehrere VLANs tragen?

Im klassischen Sinn nein. Ein Access-Port ist für genau ein Nutz-VLAN gedacht. Mehrere VLANs auf einer Verbindung sind ein Fall für einen Trunk.

Diese Webseite verwendet technisch notwendige Cookies für die korrekte Funktion der Seite.