VLAN – Ein bekannter Begriff. Aber was verbirgt sich hinter dem Begriff „VLAN“ und welche Aufgabe und Funktion kann ein VLAN übernehmen? Vernetzte Computer, Smart-TVs oder sogar der Kühlschrank – all das gehört heute zum Alltag im Heimnetz. Doch was, wenn man bestimmte Geräte voneinander trennen möchte, ohne gleich ein zweites physisches Netzwerk zu verlegen? Hier kommt das Konzept der VLANs ins Spiel. In diesem Blogbeitrag erklären wir leicht verständlich, was es mit VLANs auf sich hat, warum sie nützlich sind und wie man sie einrichtet. Keine Sorge – Vorkenntnisse sind nicht nötig. Wir starten bei Null und beantworten nacheinander alle wichtigen Fragen:

Inhalt:

  1. Was ist ein VLAN (kurz erklärt)?
  2. Ist VLAN Layer 2 oder 3?
  3. Wann ist ein VLAN sinnvoll?
  4. Was braucht man für VLAN?
  5. VLAN im Heimnetz einrichten – Schritt-für-Schritt-Anleitung
  6. Was ist der Unterschied zwischen VLAN und Subnetz?
  7. Was ist der Unterschied zwischen LAN und VLAN?
  8. Kann die FritzBox VLAN?

1. Was ist ein VLAN kurz erklärt?

Ein VLAN (Virtual Local Area Network) ist – wie der Name sagt – ein virtuelles lokales Netzwerk. Das bedeutet, man kann ein einziges physisches Netzwerk (zum Beispiel alle Geräte, die an einem Switch hängen) in mehrere logisch getrennte Netzwerke aufteilen, ohne zusätzliche Hardware oder Kabel verlegen zu müssen. Man schafft damit quasi mehrere „Netze im Netz“. Stellen Sie sich vor, Ihr Heimnetz ist ein großes Büro, in dem alle in einem Raum sitzen. Ein VLAN wäre dann wie eine Trennwand, die Sie durch den Raum ziehen: Plötzlich gibt es zwei Räume (Netzwerke), obwohl sich an der physischen Situation nichts geändert hat. Die Geräte in VLAN A können direkt nur mit Geräten in VLAN A kommunizieren, und Geräte in VLAN B nur mit VLAN-B-Geräten – so, als wären es zwei getrennte Netzwerke, obwohl physisch alles an derselben Infrastruktur hängt.

Ein VLAN funktioniert also wie ein unsichtbarer Zaun im Netzwerk: Geräte innerhalb desselben VLANs befinden sich im gleichen „virtuellen“ Raum und teilen sich die Broadcast-Domäne (das bedeutet, Rundrufe im Netz erreichen nur die VLAN-Partner). Geräte in unterschiedlichen VLANs sind durch diesen virtuellen Zaun voneinander isoliert. Das erhöht Sicherheit und Ordnung im Netz, weil sich z.B. ein Gerät im VLAN der Gäste nicht einfach zu Geräten im VLAN der Firma verbinden kann.

Wie ein VLAN in einem Netzwerk funktioniert

Ein VLAN wird umgesetzt, indem jeder Anschluss am Switch einer VLAN-ID zugewiesen wird. Diese VLAN-ID ist wie ein farbiger Sticker auf jedem Datenpaket, der sagt „gehört zu VLAN X“. Switches sortieren die Pakete dann entsprechend. Ein Gerät merkt von alledem nichts – es denkt, es wäre im eigenen kleinen Netzwerk, obwohl in Wahrheit nur virtuelle Abgrenzungen eingezogen wurden.


Windows-FAQ Newsletter

Hier könnt Ihr Euch bei unserem Windows-FAQ Newsletter anmelden.

Vorteile eines VLANs: Man kann ein großes Netz in kleinere Segmenten unterteilen – ohne neue Kabel zu ziehen. Dadurch reduziert man unnötigen Datenverkehr (Broadcasts) und erhöht die Sicherheit, da Geräte aus unterschiedlichen VLANs erst über einen Router kommunizieren müssten (dazu gleich mehr). VLANs sind in modernen Netzwerken gang und gäbe und nach IEEE-Standard 802.1Q weltweit einheitlich definiert. Das heißt, VLAN-fähige Geräte unterschiedlicher Hersteller verstehen sich in der Regel problemlos.

2. Ist VLAN Layer 2 oder 3?

Diese Frage zielt auf das OSI-Schichtenmodell der Netzwerktechnik ab – keine Angst, wir erklären es einfach: Das OSI-Modell hat 7 Schichten (Layer). Layer 2 ist die Sicherungsschicht (Data Link Layer), wo sich alles um MAC-Adressen und Switches dreht. Layer 3 ist die Vermittlungsschicht (Network Layer), wo IP-Adressen und Router ins Spiel kommen. Ein VLAN arbeitet grundsätzlich auf Layer 2, also der Schicht der Switches und Ethernet-Frames. VLANs werden durch spezielle Kennzeichnungen in den Ethernet-Frames umgesetzt (sog. VLAN-Tags nach IEEE 802.1Q) und wirken auf der Ebene der MAC-Adressen und Switch-Ports. Ein VLAN teilt also ein lokales Netzwerk auf Datenverbindungsebene in mehrere virtuelle Teilnetze.

Ein VLAN wird also auf dem Switch definiert und wirkt dort – es kümmert sich nicht um IP-Adressen, sondern nur darum, welche Ethernet-Frames sich sehen dürfen. Daraus folgt: Zwei Geräte im gleichen VLAN können direkt (auf Layer 2) Daten austauschen, selbst wenn sie in unterschiedlichen IP-Netzen wären (was allerdings unüblich ist). Umgekehrt können zwei Geräte in unterschiedlichen VLANs nicht direkt miteinander reden, selbst wenn sie zufällig im gleichen IP-Subnetz wären – der Switch lässt es nicht zu, weil die VLAN-Tags verschieden sind.

VLAN Layer 2 Layer 3

Warum besteht dann oft Verwirrung zwischen Layer 2 und 3 bei VLAN? Weil in der Praxis ein VLAN meist mit einem eigenen IP-Subnetz kombiniert wird. Typischerweise richtet man pro VLAN auch ein eigenes Subnetz ein – so bleiben die Dinge übersichtlich (ein VLAN = ein IP-Netz). Sobald aber Geräte aus verschiedenen VLANs (also verschiedenen Layer-2-Domänen) kommunizieren sollen, braucht man einen Router oder Layer-3-Switch, der diese VLANs verbindet. Das nennt man Inter-VLAN-Routing. Hier kommt Layer 3 ins Spiel: Der Router hat für jedes VLAN eine IP-Adresse und routet den Verkehr zwischen den VLAN-Netzen. Beispiel: Ihr PC ist in VLAN 10 mit IP 192.168.10.50, der Drucker in VLAN 20 mit IP 192.168.20.60. Ohne Router können die beiden nicht plaudern, mit Router schon – der Router nimmt Pakete vom PC entgegen und schickt sie ins VLAN 20 zum Drucker (und umgekehrt). Zusammengefasst:

  • VLAN an sich: Layer-2-Technik (Switch-Ebene). Isoliert Broadcast-Domänen im lokalen Netz.
  • Routing zwischen VLANs: Layer-3-Technik (Router-Ebene). Verbindet die VLANs über IP und ermöglicht Datenaustausch.

Man kann also sagen: VLAN selbst ist Layer 2, aber damit VLANs untereinander kommunizieren, wird zusätzlich Layer 3 benötigt. Wenn man im Alltag hört „VLAN = Layer-2-Segmentierung“, dann ist das absolut richtig. Ein gängiges Sprichwort dazu: „Switches (Layer 2) verbinden Geräte innerhalb eines VLANs, Router (Layer 3) verbinden die VLANs untereinander.“ – das bringt es auf den Punkt.

3. Wann ist ein VLAN sinnvoll?

Warum sollte man so etwas überhaupt brauchen? Stellen Sie sich verschiedene Szenarien vor, in denen man Netzwerke segmentieren möchte:

  • Sicherheitsgründe: Sie möchten bestimmte Geräte vom restlichen Netzwerk abschotten. Beispiel: IoT-Geräte (Smart Home, Kameras, etc.) sind oft potenzielle Angriffsziele. Mit einem VLAN kann man alle IoT-Geräte in ein eigenes Netz packen, das keinen Zugriff auf Ihren PC oder NAS hat. Wenn nun ein smartes Gerät gehackt wird, bleiben die Angreifer in diesem VLAN gefangen und kommen nicht an Ihre wichtigen Daten.
  • Gäste-Netzwerk: Viele kennen das vom WLAN – das Gast-WLAN ist isoliert vom Hauptnetz. Das gleiche Prinzip lässt sich mit VLAN auch kabelgebunden erreichen. Gästen gibt man Internetzugang, aber trennt sie vom eigenen LAN. So können die Gäste z.B. nicht auf Ihre Netzwerk-Festplatte zugreifen. (Tatsächlich setzen moderne Router Gäste-WLAN oft intern als VLAN um, ohne dass man es merkt.)
  • Netzwerkgröße und Performance: In Unternehmen mit sehr vielen Geräten kann ein einziges großes LAN ineffizient werden. Jeder Broadcast (z.B. ARP-Anfragen, die jeder im Netz empfängt) belastet dann alle Geräte. Durch VLAN-Aufteilung verkleinert man die Broadcast-Domänen. Das Netz wird „ruhiger“ und performanter, weil nicht jeder alles mitbekommt. Ein VLAN ist also sinnvoll, um große Netze in handhabbare Abschnitte zu zerlegen.
  • Strukturelle oder organisatorische Trennung: Angenommen, Sie haben ein Heimnetzwerk und betreiben nebenbei ein kleines Büro oder Home-Office. Vielleicht möchten Sie Ihr Arbeits-Netz vom restlichen Heimnetz trennen – auch hier kann ein VLAN helfen. Oder Sie haben eine Ferienwohnung mit Internetversorgung aus Ihrem Router, wollen aber verhindern, dass Feriengäste Ihre privaten Geräte im Netzwerk sehen: VLAN macht’s möglich.
VLAN IoT mit Gäste und Homeoffice Netzwerk
  • Qualitätsmanagement (Stichwort VoIP oder Video): VLANs können auch nach Verkehrstyp getrennt werden. Beispielsweise könnte man IP-Telefone in VLAN 30 und PCs in VLAN 10 packen. Dadurch lassen sich für das Telefon-VLAN besondere Regeln setzen (QoS für bessere Sprachqualität) und der Telefonverkehr wird vom restlichen Datenverkehr isoliert. So stören sich die Datenströme nicht gegenseitig.

Kurz gesagt: VLANs sind immer dann sinnvoll, wenn man innerhalb desselben physischen Netzwerks separate Zonen einrichten möchte. Das kann aus Sicherheitsgründen sein, zur Leistungssteigerung oder einfach zur besseren Übersicht. Ein bisschen so, wie Räume in einer Wohnung: Offene Loft-Bauweise (alles ein Raum) ist übersichtlich, aber es gibt keine Privatsphäre. VLANs ziehen Wände ein, wo man sie braucht.

Noch ein Punkt: VLANs lassen sich standortunabhängig nutzen, solange die Switches verbunden sind. Ein Rechner im Erdgeschoss kann also im selben VLAN sein wie einer im ersten Stock, vorausgesetzt die Switches sind VLAN-fähig und korrekt konfiguriert. So können Mitarbeiter in verschiedenen Gebäuden logisch im gleichen Netz sein (z.B. „Abteilung A“ in VLAN 10 auf allen Switches, unabhängig vom Standort). Ohne VLAN müsste man dafür die Switches anders verkabeln oder separate Hardware pro Standort einsetzen.

4. Was braucht man für VLAN?

Um VLANs nutzen zu können, benötigen Sie vor allem Netzwerkgeräte, die VLAN unterstützen. Ein normales, „dummes“ Gerät trennt das Netzwerk nicht von selbst. Hier die Essentials:

  • Einen VLAN-fähigen Switch: In vielen Heimnetzwerken kommen einfache unmanaged Switches zum Einsatz – die sind Plug&Play, aber können kein VLAN (sie reichen alles einfach durch). Für VLAN brauchen Sie einen Managed Switch oder einen sogenannten „Smart Switch“. Diese erlauben das Konfigurieren von VLANs. Es gibt bereits günstige Modelle ab 30-50€, z.B. von TP-Link, Netgear oder Zyxel, die VLAN-tauglich sind. Achten Sie auf Begriffe wie „802.1Q“ oder explizit „managed/smart“ in der Produktbeschreibung. Im Zweifel: Ein unmanaged Switch steht oft nicht mal im Webinterface zur Konfiguration zur Verfügung, ein VLAN-Switch schon.
  • Optional: einen Router, der VLANs verarbeiten kann: Wenn Ihre VLANs untereinander oder ins Internet kommunizieren sollen, muss Ihr Router damit umgehen können. Viele Profi-Router oder offene Systeme (OpenWRT, pfSense, Mikrotik etc.) unterstützen VLAN-Tagging auf ihren Schnittstellen. Klassische Heimrouter wie die FritzBox können VLAN auf LAN-Seite leider kaum bis gar nicht – dazu mehr im FritzBox-Abschnitt. Aber man kann auch ohne spezialisierten Router VLANs verwenden, dann bleiben die Netze eben strikt getrennt (kein Verkehr untereinander).
  • Zeit und Muße zur Konfiguration: VLANs einzurichten erfordert ein paar Schritte im Switch-Menü. Das ist kein Hexenwerk, aber man sollte sorgfältig vorgehen und dokumentieren, welches VLAN welche ID hat und welche Ports dazugehören.

Sehen wir uns an, wie man konkret vorgeht. Keine Sorge, wir machen das Schritt für Schritt anhand eines einfachen Beispiels.

5. VLAN im Heimnetz einrichten – Schritt-für-Schritt-Anleitung

Angenommen, Sie möchten in Ihrem Heimnetz zwei getrennte Bereiche einrichten: Eines für normales Heimnetz und eines für Gäste. Sie haben einen VLAN-fähigen Switch gekauft und Ihren vorhandenen Router (z.B. eine FritzBox) daran angeschlossen. Die FritzBox selbst kann zwar keine VLANs auf LAN, aber wir nutzen ihren Gastzugang auf LAN 4 als Trick (dieser Gast-LAN funktioniert intern wie ein separates Netz). So könnten wir VLANs nutzen, ohne die FritzBox tauschen zu müssen:

  1. Planen Sie Ihre VLANs: Überlegen Sie sich, welche VLAN-Nummern Sie verwenden. Man wählt oft einfache IDs. In unserem Beispiel nehmen wir VLAN 1 für das Hauptnetz und VLAN 10 für Gäste. (VLAN 1 ist meist voreingestellt als Standard-LAN).
  2. Switch anschließen und einrichten: Verbinden Sie den neuen Managed Switch mit Ihrem Router. Meistens schließt man den Router an einen speziellen Port des Switch an (oder einen beliebigen und deklariert ihn später als „Trunk/Uplink“). Melden Sie sich im Webinterface des Switches an (siehe Handbuch, oft bekommt der Switch per DHCP eine IP vom Router). Suchen Sie im Menü nach VLAN-Einstellungen.
VLAN im Heimnetz einrichten – Schritt-für-Schritt-Anleitung
  1. VLANs anlegen: Legen Sie im Switch die benötigten VLANs an. In unserem Beispiel tragen Sie VLAN 10 (Name z.B. „Gastnetz“) ein. VLAN 1 ist oft schon vorhanden (Standard). Sie sehen dann eine Liste der VLANs mit ihren IDs.
  2. Ports zuweisen: Jetzt kommt der wichtigste Teil. Sie müssen dem Switch sagen, welcher Port zu welchem VLAN gehört. Typischerweise haben Switch-Ports zwei Modi:
    • Access-Port: gehört fest zu einem VLAN (untagged). Ein daran angeschlossenes Gerät ist damit in diesem einen VLAN.
    • Trunk-Port: kann mehrere VLANs transportieren (getaggte Frames). Das nutzt man meist für den Uplink zum Router oder Verbindungen zwischen Switches.
    In unserem Beispiel:
    • Setzen Sie den Port, der zur FritzBox (fürs Hauptnetz) führt, als Access in VLAN 1 (Standard-LAN).
    • Den Port, der zur FritzBox LAN4 (Gast) führt, setzen Sie als Access in VLAN 10. Hinweis: Viele FritzBoxen erlauben, LAN 4 als Gast zu konfigurieren – dann verhält sich dieser Port wie ein getrenntes Netzwerk mit eigenem IP-Bereich.
    • Ports, an denen normale heimische Geräte hängen (PC, Smart TV, etc.), weisen Sie VLAN 1 zu (Access).
    • Ports für Gäste-Geräte (z.B. wenn Sie einen separaten WLAN-Access-Point für Gäste anschließen) weisen Sie VLAN 10 zu.
    • Falls Router und Switch mehrere VLANs über ein Kabel austauschen sollen, müssten Sie diese Ports als Trunk konfigurieren und der FritzBox beibringen, VLAN-Tags zu verstehen – das geht mit FritzBox nicht ohne weiteres. Daher nutzen wir hier getrennte Ports für Haupt- und Gastnetz.
  3. Switch-Konfiguration anwenden und prüfen: Speichern Sie die Einstellungen. Jetzt sollten intern im Switch zwei virtuelle Netzwerke existieren. Geräte an VLAN-1-Ports kommunizieren nur mit VLAN 1, Geräte an VLAN-10-Ports nur mit VLAN 10.
  4. Router/Gateway einrichten: In unserem Beispiel übernimmt die FritzBox bereits zwei Rollen: Sie bedient das normale LAN auf den Ports 1-3 (Standard) und das Gastnetz auf Port 4. Die FritzBox vergibt also automatisch IP-Adressen im Hauptnetz (z.B. 192.168.178.x) und im Gastnetz (192.168.179.x). Ihr Switch trennt nun diese beiden Netzbereiche hardwareseitig. Wenn Sie einen anderen Router nutzen, der VLAN versteht, könnten Sie dem Router direkt VLAN-Interfaces geben (z.B. VLAN 1 und VLAN 10 jeweils mit eigenem IP-Bereich). Ohne VLAN-fähigen Router bleibt die Trennung strikt – das kann auch gewollt sein.
  5. Testen: Schließen Sie einen PC im normalen LAN an (VLAN 1 Port) und versuchen, einen Gast-Gerät im Gast-VLAN anzupingen (z.B. die IP eines Laptops am VLAN-10-Port). Es sollte nicht funktionieren – gut so, VLAN-Trennung steht! Beide sollten aber ins Internet kommen (über FritzBox, jeweils in ihrem Netz). Versuchen Sie auch, vom Gast aus die FritzBox auf deren Haupt-IP anzusprechen – das sollte blockiert sein (FritzBox-Gastnetz isoliert das). Klappt alles? Glückwunsch, Sie haben erfolgreich VLANs eingerichtet!

Diese Anleitung ist ein einfaches Beispiel. In der Praxis gibt es viele Varianten: Etwa einen Access Point, der zwei SSIDs ausstrahlt und per VLAN taggt, so dass Gäste-WLAN auf VLAN 10 landet und Heim-WLAN auf VLAN 1 – sehr praktisch. Wichtig ist das Prinzip: Planen, VLANs anlegen, Ports zuordnen, testen. Anfangs kann es verwirren, aber mit etwas Übung wird es klarer. Dokumentieren Sie ihre VLAN-IDs (z.B. „10 = Gäste, 20 = IoT“ etc.), damit Sie den Überblick behalten.

6. Was ist der Unterschied zwischen VLAN und Subnetz?

Jetzt wird’s spannend, denn VLANs und Subnetze werden oft verwechselt oder in einem Atemzug genannt. Dabei sind es unterschiedliche Konzepte, die aber Hand in Hand arbeiten können:

  • VLAN = Layer-2-Segmentierung (wie oben erklärt). Es geht um die physische/virtuelle Topologie auf Switch-Ebene, unabhängig von IP-Adressen.
  • Subnetz = Layer-3-Segmentierung. Hier geht es um die logische Einteilung des IP-Adressraums in kleinere Netze.

Ein Subnetz (oder IP-Netz) entsteht, indem man einen IP-Adressbereich unterteilt. Beispiel: Das Netz 192.168.0.0/24 könnte in zwei Subnetze 192.168.0.0/25 und 192.168.0.128/25 aufgeteilt werden. Jedes Subnetz hat dann seinen eigenen Adressbereich und ist durch einen Router vom anderen getrennt. Subnetze haben also mit IP Adressierung und Routing zu tun.

Ein VLAN hingegen kümmert sich darum, welche Geräte auf Ebene 2 zusammenhängen. Oft stimmt es überein: man packt z.B. VLAN 10 und vergibt darin das Subnetz 192.168.10.0/24, VLAN 20 bekommt 192.168.20.0/24 usw. So hat jedes VLAN sein eigenes Subnetz. Das ist aber eine Konvention, kein Zwang. Theoretisch könnten zwei VLANs im selben IP-Bereich sein – sie könnten trotzdem nicht direkt miteinander reden, weil der Switch sie trennt (allerdings wäre das selten sinnvoll). Umgekehrt können Sie auch zwei unterschiedliche IP-Subnetze im gleichen VLAN haben – die Geräte würden sich zwar auf Layer 2 sehen (Broadcasts kämen an), aber ohne gemeinsamen IP-Bereich könnten sie kaum sinnvoll kommunizieren (sie wüssten nicht, dass sie Teil desselben Netzes sind, und würden einen Router suchen).

Kurz gesagt: VLAN = „Wer darf direkt Daten austauschen?“ (physische/virtuelle Trennung), Subnetz = „Wer befindet sich im selben Adressbereich?“ (logische IP-Zuweisung). Oft bedingt eins das andere: Geräte im selben VLAN sollten im selben Subnetz sein, damit sie sich überhaupt finden und verstehen. Daher richtet man pro VLAN meistens ein Subnetz ein. Das hat zur Folge, dass Kommunikation zwischen VLANs immer auch zwischen Subnetzen stattfindet – und dafür braucht es Routing (Layer 3).

Man kann es sich so vorstellen: Wenn VLANs virtuelle Räume sind, dann sind IP-Subnetze verschiedene Sprachen. Geräte im gleichen Raum (VLAN) können sich hören. Ob sie sich verstehen, hängt davon ab, ob sie dieselbe Sprache (Subnetz/IP-Adressbereich) sprechen. Idealerweise sortiert man gleich die Leute nach Sprache in separate Räume – dann hat jeder Raum seine eigene Sprache. Das entspricht dem praxisnahen Ansatz: Jedes VLAN bekommt sein eigenes IP-Subnetz.

Beispiel: In VLAN 10 (Raum A) verwenden alle IPs 10.0.10.x/24. In VLAN 20 (Raum B) verwenden alle IPs 10.0.20.x/24. Innerhalb von VLAN 10 können alle 10.0.10er-Adressen miteinander reden (Switch verbindet sie direkt). Ein 10.0.10er in VLAN 10 und ein 10.0.20er in VLAN 20 können nicht direkt kommunizieren: Sie sind in unterschiedlichen Räumen und sprechen unterschiedliche IP-Bereiche. Nur über einen Router, der beide Netze kennt, geht es.

Was aber, wenn man Subnetze ohne VLAN betrachtet? Nehmen wir einen einfachen Switch ohne VLAN, alle Geräte hängen dran. Man kann mehrere IP-Subnetze auf einem gemeinsamen physischen LAN haben – die Netze sind dann logisch getrennt (IP-seitig), aber nicht physisch. Das heißt, die Geräte kriegen IPs aus z.B. Netz A und Netz B, ignorieren sich in der Kommunikation weitgehend, aber sie teilen sich die Kabel. Broadcasts eines Subnetzes werden auch von Geräten des anderen empfangen (aber mangels Zugehörigkeit verworfen). So eine Konstellation ist selten optimal, denn es fehlt Isolation: Ein fehlkonfiguriertes Gerät könnte mit falscher Maske plötzlich beide Netze stören. Hier bieten VLANs die sauberere Trennung, weil sie hart durchgesetzt wird.

Die wichtige Rolle des OSI-Modells dabei: VLANs = Schicht 2 (MAC-Switching), Subnetze = Schicht 3 (IP-Routing). Intra-VLAN-Kommunikation (innerhalb eines VLANs) passiert auf Layer 2 und erfordert, dass die Geräte im gleichen IP-Subnetz sind, damit sie sich ansprechen (ARP etc.) Inter-VLAN-Kommunikation (zwischen VLANs) erfordert unterschiedliche IP-Subnetze und einen Layer-3-Router, der zwischen ihnen vermittelt.

In vielen Fällen sind VLAN und Subnetz quasi eins-zu-eins gekoppelt (ein VLAN = ein Subnetz). Doch der Unterschied ist konzeptionell wichtig: Das eine ist eine Switch-Einstellung, das andere eine Adressierungs- und Routingfrage. Wenn jemand fragt „soll ich ein neues VLAN oder ein neues Subnetz machen?“, muss man die Anforderungen anschauen. VLAN braucht spezielle Hardwareunterstützung (managed Switch), Subnetze brauchen Router/Konfiguration. VLAN trennt auch Broadcasts, Subnetze allein nicht.

Merksatz: VLAN trennt auf Draht-Ebene, Subnetz trennt auf IP-Ebene. Im Heimgebrauch merkt man den Unterschied oft nicht, weil der Heimrouter beides gleichzeitig macht (z.B. Gast-WLAN: hier wird ein getrenntes Subnetz und intern ein VLAN genutzt). In professionellen Netzwerken plant man jedoch VLAN- und IP-Plan separat und sorgt dafür, dass sie passend zueinander eingerichtet sind.

7. Was ist der Unterschied zwischen LAN und VLAN?

Ein LAN (Local Area Network) ist ein lokales Netzwerk – klassischerweise alle Geräte, die in einem begrenzten Bereich miteinander verbunden sind (z.B. alle Geräte bei Ihnen Zuhause oder in einer Abteilung im Büro). Ein LAN kann man anfassen: Kabel, Switches, vielleicht ein WLAN – das alles bildet das LAN. Ohne besondere Konfiguration ist ein LAN eine einzige Broadcast-Domäne, d.h. alle Geräte können die Datenframes aller anderen theoretisch sehen/bekommen (zumindest die Rundrufe).

Ein VLAN dagegen (wie oben beschrieben) ist eine virtuelle Unterteilung innerhalb eines LANs. Man könnte salopp sagen: „Ein VLAN ist ein LAN im LAN.“ Ein LAN ist physisch – es besteht aus Geräten und Medien. Ein VLAN ist logisch – es besteht aus einer Auswahl dieser Geräte, gruppiert durch Konfiguration.

Stellen wir uns ein Büro vor: Ein LAN wäre das gesamte Bürogebäude, wo jeder jeden über’s Firmennetz erreichen kann. Jetzt beschließt die IT, die Verwaltung vom Entwickler-Netz zu trennen. Früher hätte man zwei getrennte Switches oder Leitungen gebraucht – zwei physische LANs. Mit VLAN kann man auf denselben Switches zwei getrennte Netzwerke definieren: VLAN 100 für Verwaltung, VLAN 200 für Entwicklung. Physisch bleibt alles ein LAN (alle hängen an denselben Kabeln), aber virtuell sind es zwei LANs. Daher der Begriff Virtual LAN.

Der Unterschied LAN vs. VLAN lässt sich auch so formulieren: Ein VLAN ist ein LAN – aber eben ein virtuelles, aus dem großen Gesamt-LAN herausgelöst. Technisch betrachtet benutzt ein VLAN zusätzliche Kennzeichnungen (Tags), um den Datenverkehr zu separieren, während ein „normales“ LAN keine solche Unterscheidung macht.

Ein LAN im Alltag ist oft gleichbedeutend mit dem ganzen Heimnetz (Ihre 4-Port-FritzBox und alles dran ergibt ein LAN) oder Firmen-LAN (das Netzwerk innerhalb der Firma). In diesem LAN können Switches den Verkehr segmentieren, aber standardmäßig gehören alle Anschlüsse dem gleichen Netzwerk an. Ohne VLAN ist alles ein einziges LAN. Mit VLAN können auf der gleichen Infrastruktur mehrere LANs parallel betrieben werden, ohne dass sie sich beeinflussen.

Vielleicht noch ein greifbares Bild: Sie haben eine mehrspurige Autobahn (das physische LAN). Ohne VLAN fahren alle Autos auf allen Spuren durcheinander (teilen sich die gesamte Breite). Mit VLAN ziehen Sie Trennlinien und machen Fahrbahnen: Spur 1 gehört VLAN A, Spur 2 gehört VLAN B. Es fahren immer noch Autos über dieselbe Autobahn, aber strikt getrennt nach Spuren. Die Autobahn entspricht dem physischen LAN, die einzelnen Spuren den VLANs. So hat z.B. Spur 1 einen anderen Zielort als Spur 2.

Ein weiterer Unterschied: LAN ist ein allgemeiner Begriff, während VLAN eine konkrete Technik ist. Man kann ein VLAN nur mit entsprechender Hardware/Software nutzen, ein normales LAN ergibt sich einfach durch das Verbinden von Geräten. Anders gesagt: Jedes VLAN ist Teil irgendeines LANs (es läuft ja auf echter Hardware), aber nicht jedes LAN hat VLANs (man kann ein LAN auch komplett ohne VLAN betreiben).

Zusammengefasst:

  • LAN: Physisches lokales Netzwerk, alle Geräte können grundsätzlich direkt kommunizieren. Beispiel: Ihr Heimnetz mit Router und Switch – alles in einem LAN.
  • VLAN: Virtuelle Unterteilung innerhalb eines LANs. Es macht aus einem physischen LAN mehrere isolierte logische Netzwerke. Beispiel: Sie konfigurieren an Ihrem Switch zwei VLANs, damit die Geräte getrennt sind, obwohl sie am selben Switch hängen.

Ohne VLAN ist ein LAN oft gleichbedeutend mit „dem Netzwerk“. Mit VLAN kann man auf einem LAN-Infrastruktur mehrere Netzwerke schaffen. In Firmen wird daher gern von dem LAN gesprochen, wenn alle Mitarbeiter in einem flachen Netz hängen, und von VLANs, wenn man z.B. pro Abteilung oder Zweck segmentiert hat.

Kann die FritzBox VLAN

8. Kann die FritzBox VLAN?

Viele Heimnetz-Enthusiasten fragen sich das, denn AVMs Fritz!Box ist in Deutschland sehr verbreitet. Die kurze Antwort lautet leider: Nein, eine FritzBox unterstützt auf den LAN-Ports kein frei konfigurierbares VLAN. Die FritzBox ist primär ein Heimrouter und setzt auf Einfachheit. Funktionen wie VLAN-Tagging, Trunk-Ports oder das Aufteilen der LAN-Switchports in mehrere VLANs bietet sie nicht an.

Allerdings gibt es ein paar Aspekte zu beachten:

  • Gastnetz auf LAN 4: Neuere FritzBox-Modelle (und FritzOS) bieten die Option „Gastzugang für LAN 4“. Wenn man diese aktiviert, wird der vierte LAN-Port intern von den anderen getrennt – daran kann man z.B. einen Access Point hängen und hat darüber ein vom Hauptnetz isoliertes Gäste-LAN. Interessanterweise arbeitet die FritzBox intern dafür mit VLAN-Techniken, ohne dass der Nutzer es merk. Aber man kann diese VLANs nicht selbst konfigurieren – es ist eine feste Einstellung: LAN 4 = Gast, fertig.
  • VLAN auf WAN-Seite: In manchen Fällen (z.B. VDSL oder Glasfaser-Anschlüsse) muss die FritzBox einen VLAN-Tag für den Internetzugang setzen (häufig VLAN 7 bei Deutsche Telekom). Das kann die FritzBox auf dem WAN-Port konfigurieren (im Menü unter Internet -> Zugangsdaten findet sich bei bestimmten Providern die VLAN-ID-Einstellung). Das betrifft aber nur den Internet-Uplink, nicht das interne Netzwerk.
  • Keine VLAN-Unterstützung auf Switch: Die integrierten LAN-Ports der FritzBox verhalten sich wie ein simpler Switch ohne VLAN-Funktion. Man kann z.B. nicht Port 1 und 2 dem VLAN 10 zuweisen und 3,4 dem VLAN 20 – solche Optionen gibt es in der FritzBox-Oberfläche nicht.
  • Firmware/Hacks: Es gab in der Vergangenheit Versuche, mit alternativer Firmware (wie Freetz) oder speziellen Einstellungen VLAN inoffiziell nutzbar zu machen. Das ist aber nichts für Normalnutzer und wird von AVM nicht unterstützt.

Warum ist das so? Vermutlich, weil die FritzBox als Consumer-Gerät gedacht ist und VLAN-Konfiguration zu komplex für die meisten Heimanwender wäre. Außerdem hat die FritzBox einen eingebauten Switch-Chip, der schlicht kein Interface für benutzerdefiniertes VLAN-Tagging bietet. Sie setzt stattdessen auf das simpler zu verstehende Gastnetz-Feature.

Für die meisten Heimanwendungen reicht das auch: Man hat sein Hauptnetz und, wenn nötig, ein Gastnetz – mehr Segmentierung braucht der Durchschnittsnutzer nicht. Power-User hingegen stoßen an Grenzen. Wer VLANs im Heimnetz einsetzen will, greift oft zu zusätzlicher Hardware: Etwa einem managebaren Switch (siehe oben) oder einem leistungsfähigeren Router. Einige kombinieren eine FritzBox mit einem nachgeschalteten Router (z.B. einer günstigen Linux-basierten Appliance), um VLANs und andere Profi-Features zu bekommen. Die FritzBox läuft dann quasi nur noch als Modem/Telefonanlage, während der andere Router das interne Netz managt.

Workaround mit FritzBox: Wie oben im Beispiel gezeigt, kann man dennoch mit FritzBox ein VLAN-ähnliches Setup bauen, indem man den Gastzugang auf LAN 4 nutzt. Das ist dann zwar strenggenommen kein selbst konfiguriertes VLAN, aber man erreicht einen ähnlichen Effekt: Zwei Netzwerke (Haupt und Gast) auf einer Router-Hardware. Diese beiden Netze könnte man wiederum via externem VLAN-Switch aufteilen und verteilen. Zum Beispiel alle IoT-Geräte an Switch-Ports im Gast-LAN, und das Gast-LAN in der FritzBox entsprechend so verwenden. Das erfordert aber Kreativität und hat Limits – spätestens, wenn man mehr als zwei Segmente will, ist Schluss.

Fazit

VLANs ermöglichen es, ein physisches Netzwerk in mehrere logische Netzwerke aufzuteilen. Sie arbeiten auf Schicht 2 des OSI-Modells und werden in Managed Switches eingerichtet. VLANs sind sinnvoll zur Verbesserung von Sicherheit und Performance, etwa um Gäste oder IoT-Geräte vom Rest abzuschotten. Zur Einrichtung benötigt man VLAN-fähige Hardware (Switch/Router). VLANs unterscheiden sich von IP-Subnetzen darin, dass sie die Layer-2-Ebene betreffen, während Subnetze Layer 3 sind – oft werden beide Konzepte kombiniert, um ein Netzwerk effizient zu strukturieren. Ein LAN ist das physische lokale Netzwerk; ein VLAN ist eine virtuelle Unterteilung davon. Und die FritzBox? Die kann von Haus aus leider kaum mit VLANs umgehen – hier muss man kreativ werden oder auf Profi-Hardware setzen.