Netzwerk-Isolation gehört zu den grundlegenden Anforderungen jeder Virtualisierungsumgebung. Traditionell werden dafür physische Switches mit VLAN-Konfiguration und manuell gepflegte Linux-Bridges auf jedem Hypervisor eingesetzt. Ab Proxmox VE 8.1 steht mit SDN (Software-Defined Networking) eine integrierte Lösung bereit, die virtuelle Netzwerke zentral über das Webinterface verwaltet — unabhängig von der physischen Netzwerkinfrastruktur.
Was ist Proxmox SDN?
SDN trennt die logische Netzwerkkonfiguration von der physischen Hardware. Statt auf jedem Cluster-Node einzeln Bridges, VLANs und Firewall-Regeln zu konfigurieren, definieren Administratoren virtuelle Netzwerke zentral in Proxmox. Die Konfiguration wird automatisch auf alle Nodes im Cluster verteilt und angewendet.
Das löst ein konkretes Problem: In einem Proxmox-Cluster mit drei Nodes und zehn isolierten Netzwerken müssten ohne SDN auf jedem Node manuell zehn Bridges oder VLAN-Interfaces konfiguriert werden — insgesamt 30 Konfigurationseinträge, die synchron gehalten werden müssen. Mit SDN geschieht das automatisch.
Architektur: Zonen, VNets und Subnetze
Proxmox SDN arbeitet mit einer dreistufigen Hierarchie:
Zonen definieren die Netzwerktechnologie und legen fest, wie Datenverkehr zwischen Nodes transportiert wird. Jede Zone nutzt einen bestimmten Typ — Simple, VLAN, VXLAN oder EVPN.
VNets (Virtual Networks) sind die virtuellen Netzwerke innerhalb einer Zone. VMs und Container werden an VNets angeschlossen, nicht an physische Bridges. Ein VNet erscheint auf den Nodes als Bridge, über die Proxmox den Datenverkehr steuert.
Subnetze definieren IP-Bereiche und Gateway-Adressen für ein VNet. Optional können DHCP und DNS über integriertes dnsmasq bereitgestellt werden.
Controller steuern bei EVPN-Zonen die Routing-Informationen zwischen Nodes. Für Simple- und VXLAN-Zonen ist kein Controller erforderlich.
Zonentypen im Überblick
| Zonentyp | Transport | Nodes | Einsatzzweck |
|---|---|---|---|
| Simple | Lokale Bridge | Einzelner Node | Testumgebungen, Standalone-Server |
| VLAN | 802.1Q-Tags | Cluster | Vorhandene VLAN-Infrastruktur nutzen |
| VXLAN | UDP-Overlay (Port 4789) | Cluster | Netzwerk-Isolation ohne physische VLANs |
| EVPN | VXLAN + BGP-Routing | Cluster | Inter-VNet-Routing, komplexe Topologien |
Simple eignet sich für Einzelserver oder schnelle Tests. Kein Overlay, kein Controller — ein VNet wird als lokale Bridge auf dem Node erstellt.
VLAN nutzt die vorhandene Switch-Infrastruktur mit 802.1Q-Tagging. Sinnvoll, wenn physische Switches bereits VLANs bereitstellen und die Proxmox-Konfiguration nur vereinfacht werden soll.
VXLAN ist die beste Wahl für Cluster-Umgebungen. Ein Layer-2-Overlay-Netzwerk über UDP transportiert den Datenverkehr zwischen Nodes — unabhängig vom physischen Netzwerk. Bis zu 16 Millionen isolierte Netzwerke sind möglich.
EVPN erweitert VXLAN um BGP-basiertes Routing zwischen VNets. Für KMU-Umgebungen in der Regel nicht erforderlich.
Simple Zone einrichten
Für einen einzelnen Proxmox-Node genügt eine Simple Zone. Unter Datacenter > SDN > Zones eine neue Zone anlegen:
Zone ID: simple1
Type: SimpleAnschließend ein VNet erstellen unter Datacenter > SDN > VNets:
VNet ID: vnet-intern
Zone: simple1Dann ein Subnetz für das VNet definieren:
Subnet: 10.10.10.0/24
Gateway: 10.10.10.1
SNAT: aktiviert (für Internetzugriff)Nach dem Konfigurieren die Änderungen über SDN > Apply aktivieren. Erst nach dem Apply werden die Bridges auf den Nodes tatsächlich erstellt.
VXLAN Zone für Multi-Node-Cluster
In einem Cluster mit mehreren Nodes bietet VXLAN die sauberste Lösung. Die Nodes kommunizieren über ein Overlay-Netzwerk, das keinen speziell konfigurierten physischen Switch erfordert.
Zone ID: vxlan1
Type: VXLAN
Peers: 192.168.1.10,192.168.1.11,192.168.1.12
MTU: 1450Die Peers sind die IP-Adressen der Cluster-Nodes im Management-Netzwerk. Die MTU sollte auf 1450 gesetzt werden, da der VXLAN-Header 50 Bytes zum Paket hinzufügt — bei einer physischen MTU von 1500 bleiben so 1450 Bytes für die Nutzlast. Bei Jumbo Frames (MTU 9000) kann der Wert auf 8950 erhöht werden.
VNets in einer VXLAN-Zone benötigen eine eindeutige VXLAN-Tag-Nummer (VNI), vergleichbar mit einer VLAN-ID:
VNet ID: vnet-prod
Zone: vxlan1
Tag: 100VNet ID: vnet-dev
Zone: vxlan1
Tag: 200Beide VNets sind vollständig voneinander isoliert. VMs in vnet-prod können nicht auf vnet-dev zugreifen.
VNets an VMs und Container zuweisen
Nach dem Apply erscheinen die VNets als auswählbare Bridges in der VM- und Container-Konfiguration. Im Webinterface unter Hardware > Network Device das gewünschte VNet als Bridge auswählen:
Bridge: vnet-prod
Model: VirtIO (paravirtualized)Alternativ über die CLI:
qm set 100 -net0 virtio,bridge=vnet-prod
pct set 200 -net0 name=eth0,bridge=vnet-dev,ip=dhcpDie Zuweisung funktioniert identisch für KVM-VMs und LXC-Container.
DHCP und DNS mit dnsmasq
Seit Proxmox VE 8.1 kann SDN einen integrierten DHCP-Server pro Subnetz bereitstellen. Die Konfiguration erfolgt im Subnetz:
Subnet: 10.10.10.0/24
Gateway: 10.10.10.1
DHCP Range: 10.10.10.100 - 10.10.10.200
DNS Server: 10.10.10.1Proxmox startet automatisch eine dnsmasq-Instanz für das Subnetz. Der DHCP-Server vergibt IP-Adressen im definierten Bereich und registriert Hostnamen. Für produktive Umgebungen empfiehlt sich dennoch ein dedizierter DNS-Server — der integrierte DHCP eignet sich vor allem für Entwicklungs- und Testumgebungen.
SDN vs Linux Bridges vs Open vSwitch
| Kriterium | Linux Bridge | Open vSwitch | Proxmox SDN |
|---|---|---|---|
| Konfiguration | Pro Node manuell | Pro Node manuell | Zentral im Cluster |
| VLAN-Support | Manuell (vlan-aware) | Ja (Flow Rules) | Ja (VLAN-Zone) |
| Overlay-Netzwerke | Nein | Ja (GRE, VXLAN) | Ja (VXLAN, EVPN) |
| Automatische Verteilung | Nein | Nein | Ja (SDN Apply) |
| DHCP integriert | Nein | Nein | Ja (dnsmasq) |
| Web-GUI | Nur Basis-Interfaces | Nein | Vollständig |
| Komplexität | Niedrig | Hoch | Mittel |
Linux Bridges bleiben eine solide Wahl für einfache Setups mit wenigen Netzwerken. SDN lohnt sich, sobald mehrere isolierte Netzwerke über einen Cluster hinweg benötigt werden. Open vSwitch (OVS) ist weiterhin eine Option, wird aber von Proxmox SDN zunehmend abgelöst.
Monitoring mit DATAZONE Control
Netzwerk-Isolation allein reicht nicht — die Netzwerke müssen auch überwacht werden. Mit DATAZONE Control lassen sich SDN-Netzwerke im Cluster monitoren:
- Interface-Status: Bridge- und VXLAN-Interfaces auf allen Nodes überwachen
- Traffic-Analyse: Bandbreitenauslastung pro VNet erkennen
- Konfigurationsdrift: Abweichungen zwischen SDN-Konfiguration und tatsächlichem Zustand auf den Nodes identifizieren
- Alerting: Benachrichtigungen bei ausgefallenen Overlay-Tunneln oder fehlerhaften Bridges
So behalten Sie auch bei wachsender Anzahl virtueller Netzwerke den Überblick.
Fazit
Proxmox SDN vereinfacht die Netzwerkverwaltung in Virtualisierungsumgebungen erheblich. Statt auf jedem Node manuell Bridges und VLANs zu pflegen, definieren Sie Netzwerke einmal zentral. VXLAN bietet dabei die flexibelste Lösung für Cluster-Umgebungen: vollständige Layer-2-Isolation ohne Abhängigkeit von der physischen Switch-Konfiguration. Für KMU-Umgebungen mit drei bis fünf Nodes und zehn bis zwanzig isolierten Netzwerken ist SDN ein erheblicher Gewinn an Übersichtlichkeit und Wartbarkeit.
Sie möchten Proxmox SDN in Ihrem Cluster einrichten oder bestehende Netzwerke migrieren? Kontaktieren Sie uns — wir planen die Netzwerkarchitektur und setzen die Konfiguration um.
Mehr zu diesen Themen:
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
Proxmox Notification-System: Matcher, Targets, SMTP, Gotify und Webhooks
Proxmox Notification-System ab PVE 8.1 konfigurieren: Matcher und Targets, SMTP-Setup, Gotify-Integration, Webhook-Targets, Notification-Filter und sendmail vs. neue API.
Proxmox Cluster-Netzwerk richtig planen: Corosync, Migration, Storage und Management
Proxmox Cluster-Netzwerk designen: Corosync-Ring, Migration-Network, Storage-Network für Ceph/iSCSI, Management-VLAN, Bonding/LACP und MTU 9000 — mit Beispiel-Topologien.