Netzwerksegmentierung: Warum jedes Unternehmen VLANs braucht

Bei einem Kundentermin vor einiger Zeit fand ich folgende Situation vor: Im Netzwerk waren 87 Geräte. Alle im selben Subnetz 192.168.1.0/24. Büro-PCs, Server, ein CNC-Maschinen-Controller, ein Kassensystem, das Gäste-WLAN, zwei IP-Kameras, ein Smart-TV im Besprechungsraum und – der Grund für meinen Termin – ein privates Notebook, das ein Mitarbeiter eingesteckt hatte und das offenbar mit einem Trojaner infiziert war. Die Malware hatte innerhalb weniger Stunden den kompletten Serverraum gescannt.

Hätte es in diesem Unternehmen VLANs gegeben, wäre die Infektion auf ein einzelnes Segment beschränkt geblieben. So aber war alles erreichbar, und das Aufräumen hat eine ganze Woche gedauert.

Was VLANs genau tun – und was nicht

Ein VLAN (Virtual LAN) ist eine logische Trennung innerhalb eines physischen Netzwerks. Man braucht keine neue Verkabelung, keine neuen Switches – man konfiguriert nur, welche Ports zu welchem VLAN gehören, und plötzlich haben Geräte in unterschiedlichen VLANs keinen direkten Netzwerk-Zugriff aufeinander. Der Austausch zwischen VLANs läuft kontrolliert über einen Router oder eine Firewall, die dabei die Kontrolle übernimmt.

Wichtig zu verstehen: VLANs alleine sind kein Sicherheitskonzept. Sie sind ein Werkzeug zur Strukturierung. Ohne passende Firewall-Regeln bringen sie wenig. Mit Firewall-Regeln werden sie zu einem der stärksten Sicherheits-Instrumente überhaupt.

Ein typisches VLAN-Design für den Mittelstand

Für ein Unternehmen zwischen 30 und 150 Mitarbeitenden empfehle ich meistens folgende Segmentierung:

VLAN 10: Management – Switch-Management, iDRAC/iLO, Backup-Netz. Extrem eingeschränkt erreichbar, nur von Admin-Workstations aus.
VLAN 20: Server – Domain Controller, Fileserver, SQL, Exchange/M365-Gateway. Nur definierte Zugriffe aus anderen VLANs erlaubt.
VLAN 30: Clients/Büro – PCs, Notebooks, Drucker. Hat Zugriff auf VLAN 20 (für Dienste), aber nichts in VLAN 10.
VLAN 40: VoIP – IP-Telefone, Telefonanlage. Komplett getrennt, eigene DHCP, QoS-Priorisierung.
VLAN 50: Produktion / OT – Maschinen, SPS, CNC-Steuerungen. Hoch-kritisch. Kein Internet, nur dedizierte Verbindung zu einem Server.
VLAN 60: IoT – IP-Kameras, Alarmanlage, Smart-Home-Geräte. Strikt getrennt, kein Zugriff auf andere Segmente.
VLAN 90: Gäste-WLAN – Komplett vom Firmennetz getrennt, nur Internet-Zugang. Captive Portal zur Zustimmung.

Das sieht auf den ersten Blick aufwendig aus. In der Praxis sind es einmal ein paar Stunden Konfigurationsarbeit – und danach läuft es jahrelang unauffällig im Hintergrund.

Die Firewall als zentraler Vermittler

Zwischen den VLANs steht in der Regel eine Firewall. Bei mittelständischen Kunden kommen meistens Sophos XGS, Fortinet FortiGate, pfSense oder OPNsense zum Einsatz – je nach Anforderung, Budget und Vorliebe.

Die Firewall-Regeln orientieren sich am Prinzip des geringsten Rechts: Erlaubt ist nur, was ausdrücklich erlaubt sein muss. Alles andere wird geblockt. Eine typische Regelstruktur:

Clients (VLAN 30) dürfen auf DNS, Active Directory, Fileserver in VLAN 20 zugreifen – auf ganz bestimmten Ports.
Clients dürfen ins Internet, aber nur über einen Proxy oder mit URL-Filter.
VoIP (VLAN 40) darf nur mit der Telefonanlage und dem SIP-Provider sprechen.
Produktion (VLAN 50) darf nur mit einem dezidierten Datenerfassungs-Server in VLAN 20 sprechen. Sonst nichts. Kein Internet, keine Clients.
Gäste (VLAN 90) dürfen ausschließlich ins Internet.
Management (VLAN 10) ist nur von genau zwei Admin-Workstations erreichbar, die wiederum in einem separaten Mini-VLAN hängen.

WLAN: Auch innerhalb der SSID segmentieren

Moderne WLAN-Controller erlauben es, mehrere SSIDs auszustrahlen, die jeweils in unterschiedlichen VLANs landen. Typisch:

Firma-intern: WPA3-Enterprise mit RADIUS/AD-Anbindung, landet in VLAN 30 (Clients).
Firma-Devices: Für Handhelds, Scanner, Tablets. Eigene Authentifizierung, eigenes VLAN.
Gäste: Captive Portal, Tagescode, landet in VLAN 90.

Dadurch bleibt das Netzwerk übersichtlich und sicher, obwohl alle Geräte drahtlos im selben Raum sind.

Dokumentation: Ohne IP-Plan kein Netzwerk

Jedes segmentierte Netzwerk braucht eine ordentliche Dokumentation. Mindestens:

IP-Plan: Welches VLAN hat welches Subnetz? Welche DHCP-Range? Welches Gateway?
VLAN-Tabelle: VLAN-ID, Name, Zweck, berechtigte Firewall-Regeln.
Port-Liste pro Switch: Welcher Port gehört zu welchem VLAN? Welche sind Trunks? Welche sind unbenutzt (abgeschaltet)?
Topologie-Diagramm: Bildlich, wie die Geräte miteinander verbunden sind. Bei größeren Umgebungen mit Tools wie draw.io, Visio oder NetBox.

Diese Dokumentation gehört zum Abschluss jedes Netzwerk-Projekts dazu. Und sie wird gepflegt – jede Änderung wird nachgezogen.

Fallen, die man vermeiden sollte

Zu viele VLANs. Nicht jeder Drucker braucht sein eigenes VLAN. Gruppieren Sie nach Funktion und Sicherheits-Anforderung, nicht nach Gerät.
Management-VLAN direkt erreichbar. Das Management-Netz darf niemals direkt aus dem Client-Netz erreichbar sein. Niemals.
VoIP ohne QoS. Ohne Quality-of-Service-Konfiguration leiden die Telefonate unter Bandbreiten-Engpässen.
Kein DHCP-Snooping. Ohne diese Switch-Funktion können beliebige Geräte DHCP-Server spielen und das Netzwerk stören.
Unbenutzte Ports offen lassen. Ports, an denen nichts hängt, werden abgeschaltet oder in ein „Unassigned"-VLAN ohne Internet-Zugang gelegt.

Fazit

Netzwerksegmentierung ist kein Luxus für Großkonzerne, sondern Grundlage für jedes Unternehmen ab einer Handvoll Mitarbeitenden. Die Investition in Managed Switches und eine ordentliche Firewall amortisiert sich meistens nach dem ersten vermiedenen Sicherheitsvorfall.

Wenn Sie Ihr bestehendes Netz auf eine saubere VLAN-Struktur bringen möchten oder einen Neubau mit durchdachter Segmentierung planen: Ich komme gerne vorbei, schaue mir den aktuellen Stand an und sage Ihnen, was machbar ist.

Häufige Fragen

Brauche ich für VLANs spezielle Switches?

Ja, Sie brauchen Managed Switches. Unmanaged Switches (oft bei Consumer-Geräten) können keine VLANs. Einsteiger-Managed-Switches von MikroTik, TP-Link, Netgear oder Ubiquiti gibt es bereits ab etwa 100 € pro Gerät. Enterprise-Hardware von Cisco, HPE/Aruba oder Juniper ist teurer, aber langlebiger.

Kann ich VLANs auch mit einer Fritz!Box umsetzen?

Eingeschränkt. Die Fritz!Box unterstützt nur sehr rudimentäre VLAN-Funktionen (Gast-WLAN). Für ernsthafte Segmentierung braucht man dedizierte Firewall-Hardware oder einen Router, der mehrere VLANs routen kann.

Wie kompliziert ist die Einrichtung?

Einmalig einige Stunden bis wenige Tage Arbeit, je nach Unternehmensgröße. Danach läuft es unauffällig im Hintergrund. Der Hauptaufwand liegt in der Planung – welche VLANs braucht man, welche Regeln sollen gelten, welche Geräte kommen wohin.

Muss ich die komplette Verkabelung neu machen?

Nein. VLANs sind rein logisch, die Verkabelung bleibt. Manchmal werden aber aus Sicherheitsgründen zusätzliche physische Trennungen eingerichtet, etwa für Produktionsnetze.

Was kostet eine saubere Netzwerkstruktur?

Für ein mittelständisches Unternehmen mit zwei, drei Standorten liegt ein Netzwerk-Rebuild (Firewall, Switches, WLAN, Projektarbeit) meist zwischen 15.000 € und 60.000 €. Der genaue Betrag hängt stark von der bestehenden Hardware und den Anforderungen ab.

CV

Über den Autor

Christian Voß ist IT-Systemadministrator mit über 20 Jahren Erfahrung und Inhaber von Netzking in Lehrte bei Hannover. Er plant, baut und betreibt Microsoft-Server-Landschaften und Netzwerke für Unternehmen in Niedersachsen.

IT-Service anfragen → Weitere Artikel →

Klingt das nach Ihrem Thema?

Sprechen wir darüber, wie ich Ihre Server-Landschaft fit machen kann.

Unverbindliche Anfrage