Sind Sie schon einmal vor Ihrem Unifi Controller gesessen, die Stirn gerunzelt und sich gefragt, wie genau Sie Ihre **VLANs auf Unifi Switches** richtig einrichten? Das Konzept von getaggtem (tagged) und ungetaggtem (untagged) Traffic, von nativen VLANs und Port-Profilen kann auf den ersten Blick wie ein undurchdringliches Rätsel erscheinen. Keine Sorge, Sie sind nicht allein! Viele Unifi-Nutzer, vom engagierten Heimnetzwerk-Enthusiasten bis zum Kleinunternehmer, kämpfen mit dieser Thematik.
Doch wir haben gute Nachrichten: Das **VLAN-Rätsel** ist leichter zu lösen, als Sie vielleicht denken. In diesem umfassenden Artikel tauchen wir tief in die Welt der **Unifi Switch Port Konfiguration** ein. Wir lüften die Geheimnisse hinter nativen und getaggten VLANs, erklären Ihnen die Macht der Port-Profile und beantworten all Ihre brennenden Fragen, damit Ihr Netzwerk endlich so segmentiert und sicher ist, wie Sie es sich wünschen.
### Warum VLANs im Unifi-Netzwerk unverzichtbar sind
Bevor wir ins Detail gehen, fragen Sie sich vielleicht: Wozu brauche ich überhaupt VLANs? Die Antwort ist einfach und leistungsstark: **Netzwerksegmentierung**. VLANs (Virtual Local Area Networks) ermöglichen es Ihnen, ein physisches Netzwerk in mehrere logische Netzwerke aufzuteilen. Dies bringt eine Reihe von Vorteilen mit sich:
* **Sicherheit:** Isolieren Sie kritische Geräte (z.B. NAS, Server) von weniger vertrauenswürdigen (z.B. IoT-Geräte, Gastnetzwerke). Ein kompromittiertes Gerät in einem VLAN kann nicht ohne Weiteres auf Geräte in einem anderen VLAN zugreifen.
* **Performance:** Reduzieren Sie Broadcast-Domains. Weniger Geräte, die sich Broadcast-Traffic teilen müssen, bedeuten oft eine bessere Netzwerkleistung.
* **Organisation:** Halten Sie Ihr Netzwerk sauber und übersichtlich. Separate VLANs für Gäste, Mitarbeiter, IoT, Überwachungskameras oder Sprachkommunikation (VoIP) erleichtern die Verwaltung und Fehlerbehebung erheblich.
* **Flexibilität:** Ermöglicht die flexible Zuweisung von Geräten zu bestimmten Netzwerken, unabhängig von ihrem physischen Standort.
### Die Grundlagen verstehen: VLANs in Unifi
Im Unifi Controller erstellen Sie VLANs nicht direkt als „VLANs”, sondern als „Netzwerke”. Gehen Sie zu „Einstellungen” -> „Netzwerke”. Hier finden Sie typischerweise das Standard-Netzwerk („Default”) und können weitere erstellen.
Beim Erstellen eines neuen Netzwerks haben Sie verschiedene Optionen:
* **Corporate:** Das Standard-Netzwerk für interne Geräte.
* **Guest:** Für Gäste, typischerweise mit Isolation von internen Ressourcen.
* **VLAN Only:** Ein reines VLAN ohne eigenes Subnetz und DHCP-Server, gedacht für die Integration mit externen Routern/Firewalls oder spezifischen Anwendungsfällen.
Jedes dieser Netzwerke wird, sofern es nicht das „Default”-Netzwerk ist, mit einer eindeutigen **VLAN-ID** (eine Zahl zwischen 1 und 4094) versehen. Das Standard-Netzwerk hat oft die VLAN-ID 1, auch wenn diese im Unifi Controller nicht explizit angezeigt wird (es ist das „Native” oder „Untagged” Netzwerk, wenn keine andere spezifische Konfiguration vorgenommen wird).
### Das Herzstück: Switch Port Konfiguration – Native vs. Tagged
Hier liegt oft der Kern des „Rätsels”. Lassen Sie uns die wichtigsten Konzepte beleuchten:
1. **Das Native VLAN (Untagged Traffic):**
* Stellen Sie sich das native VLAN als die „Standard-Sprache” vor, die ein Port spricht, wenn nichts anderes gesagt wird.
* Ein Gerät, das keine Ahnung von VLANs hat (z.B. die meisten PCs, Drucker, Smart-TVs), sendet und empfängt **ungetaggten** Traffic.
* Der Switch-Port muss wissen, welchem VLAN dieser ungetaggte Traffic zugeordnet werden soll. Genau das ist das **native VLAN** für diesen Port.
* Im Unifi Controller wählen Sie einfach ein Netzwerk (z.B. „LAN”, „IoT”, „Gäste”) als „Native Network” für einen Port aus. Jeglicher ungetaggter Traffic, der diesen Port erreicht, wird diesem VLAN zugeordnet.
2. **Getaggte VLANs (Tagged Traffic):**
* Manchmal muss ein Switch-Port Traffic für *mehrere* VLANs gleichzeitig verarbeiten. Dies ist bei Geräten der Fall, die **VLAN-fähig** sind (z.B. Unifi Access Points, andere Switches, virtuelle Maschinen, bestimmte VoIP-Telefone).
* Um zu kennzeichnen, zu welchem VLAN ein Datenpaket gehört, wird es mit einer **VLAN-ID** versehen – es wird „getaggt”.
* Ein Port, der Traffic für mehrere VLANs transportiert (z.B. das native VLAN und zusätzlich getaggte VLANs), wird oft als **Trunk-Port** bezeichnet.
* Im Unifi Controller fügen Sie einfach die gewünschten VLANs unter „Tagged Networks” zu einem Port oder Port-Profil hinzu.
### Die Macht der Port-Profile: Vereinfachen Sie Ihre Konfiguration
Anstatt jeden Port einzeln zu konfigurieren, können Sie im Unifi Controller **Switch Port Profile** erstellen. Dies ist eine enorme Zeitersparnis und sorgt für Konsistenz in Ihrem Netzwerk.
Gehen Sie zu „Einstellungen” -> „Profile” -> „Switch Port Profile”. Hier können Sie benutzerdefinierte Profile erstellen, die eine bestimmte Kombination aus nativem und getaggtem VLANs definieren.
**Beispiele für Port-Profile und deren Anwendung:**
* **”LAN-Client” (für PCs, Drucker):**
* Native Network: Ihr Haupt-LAN (z.B. „Corporate” oder „LAN”)
* Tagged Networks: Keine
* Dieser Port liefert ungetaggten Traffic für Geräte, die nur einem VLAN angehören sollen.
* **”Unifi AP” (für Ihre Access Points):**
* Native Network: Ihr Management-VLAN (wo der AP seine IP-Adresse und Konfiguration herbeizieht, z.B. „Corporate” oder ein separates „Management”-VLAN)
* Tagged Networks: Alle VLANs, für die Sie WLANs erstellt haben (z.B. „IoT”, „Gäste”, „VoIP”)
* **Wichtiger Hinweis:** Der AP selbst nutzt das native VLAN für seine Management-IP. Alle WLANs, die Sie im Unifi Controller auf verschiedenen VLANs erstellt haben, werden dann **getaggt** über denselben Port zum AP gesendet. Der AP verteilt diesen getaggten Traffic dann an die entsprechenden WLAN-Clients.
* **”Trunk-Port” (für Switch-zu-Switch-Verbindungen, Server, Router):**
* Native Network: Optional, oft Ihr Haupt-LAN oder ein „Management”-VLAN.
* Tagged Networks: Alle VLANs, die über diese Verbindung transportiert werden sollen.
* Dies ist der häufigste Anwendungsfall, wenn mehrere VLANs über eine einzelne physische Verbindung laufen sollen.
### Schritt-für-Schritt: Einen Port im Unifi Controller konfigurieren
1. **Navigieren Sie zu Ihren Switches:** Im Unifi Controller gehen Sie zu „Geräte” und klicken auf den Switch, den Sie konfigurieren möchten.
2. **Ports auswählen:** Wählen Sie den Tab „Ports” aus.
3. **Port bearbeiten:** Klicken Sie auf das Zahnrad-Symbol neben dem Port, den Sie konfigurieren möchten.
4. **Konfiguration anpassen:**
* **”Port Profile” auswählen:** Am einfachsten ist es, hier ein bereits erstelltes Profil (z.B. „LAN-Client”, „Unifi AP”, „Trunk”) auszuwählen.
* **Manuelle Konfiguration („Override”):** Wenn Sie kein passendes Profil haben oder eine einmalige Konfiguration wünschen, wählen Sie „Override” bei „Advanced Options” (erfordert das Aktivieren von „Manual”).
* **”Native Network”:** Wählen Sie hier das VLAN aus, dem ungetaggter Traffic auf diesem Port zugeordnet werden soll (z.B. Ihr Haupt-LAN für einen PC).
* **”Tagged Networks”:** Hier können Sie zusätzliche VLANs hinzufügen, deren Traffic getaggt über diesen Port gesendet/empfangen werden soll (z.B. für einen AP oder einen Trunk-Port).
5. **Speichern:** Klicken Sie auf „Apply Changes”, um die Konfiguration zu übernehmen.
### Häufige Szenarien und deren optimale Konfiguration
* **Standard-PC / Drucker / Smart-TV:**
* **Port Profile:** „LAN-Client” (oder ein ähnliches Profil)
* **Native Network:** Das VLAN, in dem sich das Gerät befinden soll (z.B. „Corporate” oder „IoT”).
* **Tagged Networks:** Keine
* **Erklärung:** Diese Geräte verstehen keine VLAN-Tags. Der Port liefert ungetaggten Traffic im gewünschten VLAN.
* **Unifi Access Point:**
* **Port Profile:** „Unifi AP” (oder ein ähnliches Profil)
* **Native Network:** Das Management-VLAN für den AP selbst (z.B. „Corporate” oder ein spezielles „Management”-VLAN).
* **Tagged Networks:** *Alle* VLANs, die Sie für Ihre WLAN-Netzwerke erstellt haben (z.B. „IoT-WLAN”, „Gäste-WLAN”).
* **Erklärung:** Der AP zieht seine IP und Management-Konfiguration aus dem nativen VLAN. Die einzelnen SSIDs, die Sie verschiedenen VLANs zuweisen, senden und empfangen ihren Traffic **getaggt** über denselben physischen Port zum Switch.
* **Switch-zu-Switch-Verbindung (Uplink/Downlink):**
* **Port Profile:** „Trunk-Port” (oder ein ähnliches Profil)
* **Native Network:** Optional, oft das Management-VLAN oder „Default”.
* **Tagged Networks:** *Alle* VLANs, die zwischen den Switches transportiert werden sollen.
* **Erklärung:** Diese Verbindung muss Traffic für mehrere VLANs gleichzeitig transportieren, daher ist es ein Trunk-Port, der alle relevanten VLANs getaggt durchlässt.
* **Server mit virtuellen Maschinen / Docker-Containern (VLAN-fähig):**
* **Port Profile:** „Trunk-Port”
* **Native Network:** Optional, oft Ihr Haupt-LAN oder ein separates „Server-VLAN”.
* **Tagged Networks:** Alle VLANs, auf denen die VMs/Container kommunizieren sollen.
* **Erklärung:** Der Server oder die Virtualisierungsplattform muss so konfiguriert sein, dass sie die VLAN-Tags versteht und den virtuellen NICs die entsprechenden VLANs zuweist.
* **VoIP-Telefon mit PC-Passthrough:**
* Dies ist ein spezieller Fall. Viele VoIP-Telefone haben einen integrierten Switch, an den Sie einen PC anschließen können.
* **Option 1 (häufig):**
* **Native Network (für PC):** Ihr „Corporate”-VLAN (oder das LAN für den PC).
* **Tagged Networks (für Telefon):** Ihr „VoIP”-VLAN.
* Das Telefon muss im Idealfall so konfiguriert werden, dass es seinen eigenen Traffic taggt und den PC-Traffic ungetaggt weiterleitet.
* **Option 2:** Umgekehrt, das Telefon ist nativ, der PC getaggt (seltener).
* **Erklärung:** Der Port am Switch liefert sowohl ungetaggten Traffic (für den PC, der durch das Telefon geschleift wird) als auch getaggten Traffic (für das Telefon selbst).
### Häufige Fallstricke und Tipps zur Fehlerbehebung
* **Kein DHCP erhalten?**
* Überprüfen Sie, ob Sie im Unifi Controller für das betreffende VLAN einen DHCP-Server (oder einen DHCP-Relay-Agenten) aktiviert haben.
* Stellen Sie sicher, dass Ihr Router/Gateway das VLAN auch routen kann und einen DHCP-Server für dieses Subnetz bereitstellt.
* Ist das Gerät überhaupt im richtigen VLAN gelandet (durch korrektes natives VLAN am Switch-Port)?
* **Geräte können sich nicht gegenseitig erreichen (trotz gleicher VLAN-ID):**
* Überprüfen Sie die Firewall-Regeln Ihres Unifi Gateways (oder externen Routers/Firewalls). Standardmäßig blockiert Unifi den Inter-VLAN-Traffic oft nicht, aber wenn Sie Firewall-Regeln erstellt haben, könnten diese den Zugriff verhindern.
* **Access Point offline/nicht adoptierbar:**
* Sehr wahrscheinlich hat der AP keine IP-Adresse bekommen. Das liegt fast immer daran, dass das **native VLAN** am Switch-Port, an dem der AP angeschlossen ist, falsch konfiguriert ist oder keinen DHCP-Server hat. Stellen Sie sicher, dass das Management-VLAN des APs als natives VLAN am Port eingestellt ist.
* **Gerät ist nicht VLAN-fähig, aber Sie versuchen, es zu taggen:**
* Viele Endgeräte (PCs, Drucker, TVs) verstehen keine VLAN-Tags. Wenn Sie einen Port für ein solches Gerät als „Tagged” für ein bestimmtes VLAN konfigurieren und das Gerät selbst nicht weiß, wie es diesen Tag handhaben soll, wird es keine Verbindung aufbauen können. Für diese Geräte muss immer das **native VLAN** korrekt gesetzt sein.
* **Vergessen Sie nicht Ihr Gateway/Ihre Firewall:** Die VLAN-Konfiguration ist nicht nur Sache der Switches. Ihr Router oder Ihre Firewall muss auch VLAN-fähig sein und über Schnittstellen für jedes Ihrer VLANs verfügen, damit der Traffic zwischen den VLANs geroutet werden kann und sie als DHCP-Server dienen können.
### Best Practices für Ihre Unifi VLAN-Konfiguration
* **Planen Sie im Voraus:** Überlegen Sie sich, welche Geräte in welche VLANs gehören, bevor Sie mit der Konfiguration beginnen.
* **Konsistente Benennung:** Verwenden Sie klare und verständliche Namen für Ihre Netzwerke und Port-Profile (z.B. „LAN_10”, „IoT_20”, „Gäste_30”, „AP-Profil”, „PC-Profil”).
* **Dokumentieren Sie Ihr Netzwerk:** Eine einfache Tabelle, die Ports, Geräte und zugewiesene VLANs auflistet, kann Wunder wirken.
* **Starten Sie einfach:** Fangen Sie mit wenigen VLANs an und erweitern Sie Ihr Setup schrittweise.
* **Testen Sie gründlich:** Nach jeder größeren Änderung, testen Sie, ob die Geräte im richtigen VLAN landen und die gewünschte Konnektivität haben.
### Fazit: Das VLAN-Rätsel ist gelöst!
Herzlichen Glückwunsch! Sie haben das **VLAN-Rätsel** auf Unifi-Switches erfolgreich gelöst. Indem Sie die Konzepte von **nativem (untagged) und getaggtem (tagged) Traffic** sowie die Anwendung von **Port-Profilen** verstanden haben, besitzen Sie nun das Wissen, um ein robustes, sicheres und effizientes Netzwerk mit Ihrer Unifi-Ausrüstung aufzubauen.
Die Möglichkeit, Ihr Netzwerk in logische Segmente zu unterteilen, ist eine der mächtigsten Funktionen, die Ihnen moderne Netzwerkgeräte bieten. Nutzen Sie dieses Wissen, um die Kontrolle über Ihr Netzwerk zu übernehmen, die Sicherheit zu erhöhen und die Leistung zu optimieren. Experimentieren Sie, lernen Sie weiter, und genießen Sie die Vorteile eines perfekt konfigurierten Unifi-Netzwerks!