senn-techNetzwerk-Grundlagen: VLANs & Jumbo Frames
VLANs und Jumbo Frames sind zwei Techniken, die jeder Proxmox-Administrator verstehen sollte. Die eine segmentiert, die andere beschleunigt — und beide können bei falscher Konfiguration subtile Probleme erzeugen.
VLANs: Warum segmentieren?
Ein flaches Netzwerk, in dem Management, Storage, Clients und Gäste-WLAN im selben Broadcast-Domain hängen, ist ein Sicherheitsalbtraum. VLANs trennen diese Welten auf Layer 2.
Unter Proxmox ist die Konfiguration direkt: Linux-Bridge mit VLAN-Aware-Flag, dann pro VM-Netzwerkkarte die VLAN-ID setzen.
iface vmbr0 inet manual
bridge-ports eno1
bridge-vlan-aware yes
Die VM-Netzwerkkarte bekommt beim Anlegen die VLAN-ID mit. Der Switch muss trunk-fähig sein — das ist heute selbst bei Einstiegsmodellen Standard.
Was wir separieren
- Management: Proxmox-Host, iDRAC/iLO, Switch-UI
- Storage: Ceph/LINSTOR/DRBD-Replikation, NFS
- DMZ: öffentlich erreichbare Dienste (Reverse Proxy)
- Intern: VMs, Clients, Drucker
Das kostet 10 Minuten Switch-Konfiguration und bringt jahrelang Sicherheit.
Jumbo Frames: MTU 9000
Standard-Ethernet-Frames fassen 1500 Bytes. Jumbo Frames heben das auf 9000 — das reduziert die Anzahl der Frames bei grossen Transfers und senkt CPU-Last auf beiden Seiten.
Wo es sich lohnt: Storage-Netzwerke (Ceph, NFS mit großen IOs) und Backup-Netzwerke. Wo es nichts bringt: normales Client-Traffic, Internet-Uplinks.
Der Fallstrick
Alle Geräte im selben Layer-2-Segment müssen dieselbe MTU sprechen. Ein Switch mit MTU 1500 zwischen zwei Jumbo-Endpunkten führt zu fragmentierten oder verworfenen Paketen — und das Fehlerbild ist diffus: „manchmal langsam, manchmal Timeout".
Die Regel: Storage-VLAN bekommt MTU 9000, alles andere bleibt auf 1500. Und vor dem Produktivbetrieb mit ping -M do -s 8972 <ziel> testen.
Fazit
VLANs sind Pflicht ab dem zweiten Dienst. Jumbo Frames sind optional, aber in Storage-Netzen ein einfacher Performance-Gewinn. Beide Techniken belohnen saubere Dokumentation.