VLAN (Virtual Local Area Network)
Ein VLAN teilt ein physisches Netzwerk in mehrere logische Netzwerke auf Layer 2. Geräte in verschiedenen VLANs können ohne Router nicht kommunizieren, selbst wenn sie am selben Switch hängen.
detaillierte erklärung
Ein Virtual Local Area Network (VLAN) erstellt logisch getrennte Netzwerke auf einem physischen Switch durch Tagging nach IEEE 802.1Q. Jeder Ethernet-Frame erhält einen 4-Byte-Tag mit der VLAN-ID (1-4094). Ports können als Access-Port (ein VLAN, untagged) oder Trunk-Port (mehrere VLANs, tagged) konfiguriert werden. VLANs isolieren Broadcast-Domains: Ein Broadcast in VLAN 10 erreicht nur Geräte in VLAN 10. Für Kommunikation zwischen VLANs ist ein Router oder Layer-3-Switch nötig (Inter-VLAN-Routing). Hauptvorteile: Sicherheit durch Segmentierung, Performance durch kleinere Broadcast-Domains, Flexibilität bei Netzwerk-Änderungen ohne Umverkabelung.
warum ist das wichtig?
VLANs sind Standard in Enterprise-Netzwerken zur Segmentierung (z.B. Gäste-VLAN, Admin-VLAN). Im Pentesting suchst du nach VLAN-Hopping-Schwachstellen. In Klausuren wird oft Inter-VLAN-Routing oder Trunk-Konfiguration abgefragt.
häufige fehler
- ⚠VLANs verschlüsseln Traffic - Nein, nur logische Trennung, keine Kryptographie
- ⚠VLAN 10 kann direkt mit VLAN 20 sprechen - Nein, braucht Router/L3-Switch
- ⚠Ein Switch kann nur 10 VLANs - Nein, IEEE 802.1Q erlaubt 4094 VLANs