Mit einem Virtual Local Area Network (VLAN) kann man ein Local Area Network (LAN) logisch in verschiedene [[netzwerk|Netzwerk]] unterteilen. 

=====Access Ports=====
Dabei kann für jeden Port eine Übertragung an ein bestimmtes VLAN festgelegt werden. Diese Port nennt man Access Port, weil sie Access (Zugriff) in ein einzelnes VLAN bieten. 

{{:vlan-access-port.png?400|}}

=====Trunk Ports=====
VLANS müssen sich nicht alle auf dem selben Switch befinden. Im Gegensatz zu Access Ports gibt es auch Trunk Ports. Trunk Ports sind nicht zum Zugriff auf ein einzelnes Netzwerk (VLAN) gedacht, sondern zum Weiterleiten des Traffic verschiedener VLANS an einen anderen Switch.

{{:vlan-trunk-port.png?400|}}

=====Spezielle VLANs=====

Du kannst pro Trunk-Port ein eigenes Native VLAN konfigurieren. Aber in der Praxis setzt man meistens ein einheitliches Native VLAN für alle Trunks.

====Default VLAN====

Das Default VLAN ist das VLAN, das ein Switch „ab Werk“ als Standard verwendet. Bei Cisco ist das VLAN 1 das Default VLAN.

  * Alle Switchports sind am Anfang Mitglieder des Default VLANs.
  * Management-Protokolle wie CDP, STP, VTP laufen üblicherweise in diesem VLAN (je nach Hersteller/Config).
  * Das Default VLAN kannst du ändern, aber es ist meist besser, VLAN 1 nicht produktiv zu nutzen.

<box green>Default VLAN = Werkseinstellung / Start-VLAN der Ports.</box>

====Native VLAN====

Das Native VLAN ist ein Konzept für 802.1Q-Trunks. Ein Trunk-Port transportiert mehrere VLANs gleichzeitig, aber:

  * Das Native VLAN wird auf einem Trunk nicht getaggt übertragen.
  * Alle anderen VLANs bekommen einen 802.1Q-Tag.
  * Frames ohne Tag auf einem Trunk werden automatisch dem Native VLAN zugeordnet.
  * Bei Cisco ist das Default-Native-VLAN ebenfalls VLAN 1, aber du kannst und solltest es ändern, z. B. auf 99 oder 999.

<box green>Native VLAN = das ungetaggte VLAN auf einem Trunk.</box>
=====Sonstiges=====
Siehe [[VTP]] (vlan trunking protocol). Eine "Erweiterung" davon ist [[vxlan|VXLAN]] welches die maximale Anzahl an VLans (4094) erhöht.

[[switch|Switche]] haben das Protokol [[https://www.youtube.com/watch?v=Wi48h6UFhlo|IEEE208.1q]] womit ein VLAN-Tag **in Frames injiziert** werden kann. Es wird als Encapsulation bezeichnet ist aber **genau genommen keine Verkapselung** da kein zusätzlicher Frame darübergestülpt wird. 

Es gibt **Trunk-Ports** (übermitteln mehrere VLANs über einen Link) und **Access-Ports** (führen in genau ein VLAN pro Link). **Trunk- und Acces-Ports haben keine IP Adressen**! VLan Interfaces schon. 

Es gibt PVST (per Vlan [[spanning_tree_protocol|Spanning tree]]) wobei ein eigener Tree pro VLAN erstellt werden kann. Die Root-Bridge kann dann für jedes VLan separat definiert werden. So kann man Traffic in großen Umgebungen besser lenken. 

Inter Switch Link (ISL) ist eine Cisco-proprietäre trunking encapsulation. 802.1q ist Industriestandard encapsulation.

Siehe auch [[vmps|VMPS]]

**Inter VLan Routing** bedeutet Routing zwischen 2 VLans. 

VLan Interfaces nennt man auch SVI (Switched virtual interface). 

<code>

Vtp mode (server|client|transparent|off) 

// create vlan
Vlan 2
<name>

// delete
No vlan 2

// access port
Int fa0/1
Switchport mode access
Switchport access vlan 2

// remove mode access
Int fa0/1
no switchport nonegotiate
no switchport mode access 
no switchport access vlan 2
no switchport

// trunk port
Int fa0/2
Switchport mode trunk
// vlan tags
switchport trunk encapsulation dot1q 
Switchport trunk native vlan 23
Switchport trunk allowed vlan 2,3,4
// Switchport trunk allowed vlan all
// Switchport trunk allowed except 1
// Switchport trunk allowed vlan add 1
// Switchport trunk allowed vlan remove 1

// remove mode trunk
Int fa0/2
no switchport mode trunk
no switchport trunk allowed vlan 2

show interfaces switchport

show vlan id 100
show ip interface vlan 100
show interface trunk
show ip route | include Vlan100
</code>

{{ciscopackettracerintervlanroutingmitacls.zip|Packet Tracer Lab}}

=====Private VLAN=====

Siehe [[PVLAN]].

=====Links=====

  * [[https://de.wikipedia.org/wiki/Virtual_Local_Area_Network|Wikipedia]]
  * [[https://www.practicalnetworking.net/stand-alone/vlans/|Basics about VLans]]
  * [[https://www.youtube.com/watch?v=MmwF1oHOvmg|VLAN Basics Youtube tutorial]]
  * [[https://www.youtube.com/watch?v=qG1vp8I-upI|Cisco packet tracer lab]]
  * [[https://www.youtube.com/watch?v=Nlyx5lFQR34|VTP - vlan trunk protocol]]
  * [[https://youtu.be/LuF3MvW6INs|Inter VLan Routing lab]] 
  * [[https://www.youtube.com/watch?v=LuF3MvW6INs|More inter vlan routing]]
  * [[https://www.youtube.com/watch?v=muc_gZZ-sWg|Inter Vlan Routing - Router on a stick]]
  * [[https://www.stigviewer.com/stig/cisco_ios_xe_switch_l2s/2021-03-24/finding/V-220672|VLan Hopping]] und [[https://www.omnisecu.com/ccna-security/what-is-vlan-hopping-attack.php|VLan Hopping & Prevention]]
  * [[https://networkengineering.stackexchange.com/questions/79964/why-do-802-1q-trunk-ports-drop-tagged-frames-with-the-same-id-as-the-native-vlan|Why do 802.1Q trunk ports drop tagged frames with the same ID as the native VLAN?]]