VLANs, Routing & NAT#

VLANs (Virtual Local Area Networks)#

VLANs trennen ein physisches Netzwerk in logisch getrennte Segmente — ohne separate Hardware.

Wozu VLANs?#

Sicherheit: Abteilungen sind voneinander isoliert (z.B. Buchhaltung ↔ Gäste-WLAN)
Performance: Broadcast-Traffic wird auf das VLAN begrenzt
Flexibilität: Umzug = nur Konfiguration ändern, kein Kabelumbau

VLAN-Typen#

Typ	Zuweisung	Beschreibung
Port-basiert	Switchport → VLAN-ID	Einfachste Methode, Standardfall
MAC-basiert	MAC-Adresse → VLAN-ID	Unabhängig vom Port
Protokollbasiert	Protokoll (z.B. IP) → VLAN	Selten

Trunk vs. Access Port#

	Access Port	Trunk Port
Funktion	Verbindet Endgeräte	Verbindet Switches / Router
VLANs	Genau 1 VLAN	Mehrere VLANs
Tagging	Kein Tag (transparent)	IEEE 802.1Q-Tag im Frame
Beispiel	PC, Drucker	Uplink Switch↔Switch, Switch↔Router

IEEE 802.1Q Tagging#

flowchart LR
    A["Ethernet Frame\n(ohne Tag)"] --> B["Switch fügt Tag ein\n[Dest MAC][Src MAC][802.1Q Tag: VLAN-ID][Type][Data][FCS]"]
    B --> C["Trunk-Leitung\n(mehrere VLANs)"]
    C --> D["Nächster Switch\nliest VLAN-ID"]

Der 802.1Q-Tag enthält u.a.:

VLAN-ID (VID): 12 Bit → 4094 mögliche VLANs (0 und 4095 reserviert)
Priority (PCP): 3 Bit für QoS

Inter-VLAN-Routing#

VLANs können nicht direkt miteinander kommunizieren. Dafür gibt es zwei Methoden:

1. Router-on-a-Stick (eine physische Verbindung, Sub-Interfaces):

flowchart LR
    PC1["PC VLAN 10"] --> SW["Switch"]
    PC2["PC VLAN 20"] --> SW
    SW -->|"Trunk"| R["Router\n.10 Sub-IF\n.20 Sub-IF"]

2. Layer-3-Switch (Routing direkt im Switch — performanter):

Switch mit SVIs (Switched Virtual Interfaces):
interface vlan 10 → IP 192.168.10.1/24
interface vlan 20 → IP 192.168.20.1/24
ip routing

Routing#

Routing bestimmt den besten Weg für ein IP-Paket durch das Netzwerk.

Routing-Tabelle#

Jeder Router hat eine Routing-Tabelle:

Zielnetz	Maske	Next-Hop / Interface	Metrik
192.168.1.0	/24	direkt (eth0)	0
192.168.2.0	/24	10.0.0.2	1
0.0.0.0	/0	10.0.0.1 (Default GW)	—

Default Gateway (0.0.0.0/0): Wird verwendet, wenn kein spezifischerer Eintrag passt. → “Alles andere geht hier lang.”

Statisches vs. dynamisches Routing#

	Statisch	Dynamisch
Konfiguration	Manuell	Automatisch (Routing-Protokoll)
Aufwand	Hoch bei großen Netzen	Gering (selbstkonfigurierend)
Fehlertoleranz	Keine (manuell)	Automatische Umwege
Protokolle	—	OSPF, BGP, RIP, EIGRP
Einsatz	Kleine Netze, Default GW	Große/dynamische Netze

Longest Prefix Match#

Router wählt immer den spezifischsten Eintrag:

Paket an 192.168.1.50
Eintrag A: 192.168.0.0/16 → passt
Eintrag B: 192.168.1.0/24 → passt und spezifischer → B gewinnt

NAT (Network Address Translation)#

NAT übersetzt private IP-Adressen in eine (oder wenige) öffentliche IP-Adresse(n).

Warum NAT?#

IPv4-Adressen sind knapp. NAT ermöglicht es, dass viele Geräte im LAN eine einzige öffentliche IP verwenden.

flowchart LR
    PC1["PC1\n192.168.1.10"] --> NAT["Router / Firewall\nNAT-Tabelle\n---\n192.168.1.10:5000 ↔ 5.6.7.8:5000\n192.168.1.11:5001 ↔ 5.6.7.8:5001"]
    PC2["PC2\n192.168.1.11"] --> NAT
    NAT -->|"öffentliche IP\n5.6.7.8"| Internet["Internet"]

NAT-Arten#

Art	Beschreibung	Einsatz
SNAT (Source NAT)	Private Quell-IP → öffentliche IP	Ausgehender Internetzugang (häufigste Form)
DNAT (Destination NAT)	Öffentliche Ziel-IP → private IP	Port-Forwarding, Server im LAN
Masquerading	SNAT mit dynamischer IP	DSL-Anschlüsse (IP wechselt)
PAT / NAT Overload	Viele private IPs → 1 öffentliche IP (via Ports)	Heimrouter, Unternehmensgateway

PAT — Port Address Translation#

PAT unterscheidet Verbindungen über Port-Nummern:

Interne IP:Port	Öffentliche IP:Port
192.168.1.10:12345	5.6.7.8:40001
192.168.1.11:23456	5.6.7.8:40002
192.168.1.10:34567	5.6.7.8:40003

→ Antwortpakete werden anhand des Ports zurückübersetzt.

Siehe auch#

ipv4 ipv6 subnetting — Subnetting & IP-Adressierung
netzwerkdokumentation — Netzwerkplan mit VLANs
[[../06_it-sicherheit/verschluesselung]] — Verschlüsselung im Netzwerk

VLAN Routing NAT