March 28, 2026

10.10 Inter-VLAN-Routing mit einem Layer-3-Switch konfigurieren

Inter-VLAN-Routing mit einem Layer-3-Switch ist eine der wichtigsten Funktionen in modernen Unternehmensnetzwerken. VLANs sorgen auf Layer 2 für eine saubere logische Trennung von Benutzergruppen, Abteilungen, Servern, Druckern oder VoIP-Systemen. Genau diese Trennung bringt jedoch eine wichtige Konsequenz mit sich: Geräte in unterschiedlichen VLANs können nicht direkt miteinander kommunizieren, solange keine Routing-Instanz den Verkehr zwischen den Netzen weiterleitet. Während kleine oder ältere Umgebungen dafür oft Router-on-a-Stick verwenden, ist in professionellen Netzwerken meist ein Layer-3-Switch die bessere Lösung. Er kombiniert Switching und Routing in einem Gerät und ermöglicht dadurch performantes Inter-VLAN-Routing direkt in der Switching-Infrastruktur.

Table of Contents

Warum Inter-VLAN-Routing überhaupt notwendig ist

Ein VLAN bildet eine eigene Broadcast-Domain. Das bedeutet: Geräte innerhalb desselben VLANs können direkt per Layer-2-Switching miteinander kommunizieren, sofern sie sich im passenden IP-Subnetz befinden. Zwischen VLAN 10 und VLAN 20 funktioniert das jedoch nicht automatisch, selbst wenn beide Geräte am selben physischen Switch angeschlossen sind.

Der Grund ist technisch klar: Ein klassischer Layer-2-Switch trennt VLANs bewusst voneinander. Für die Kommunikation zwischen verschiedenen VLANs ist deshalb eine Layer-3-Entscheidung erforderlich. Genau diese Aufgabe übernimmt das Inter-VLAN-Routing.

  • VLANs trennen Netzbereiche logisch auf Layer 2.
  • Jedes VLAN entspricht in der Regel einem eigenen IP-Subnetz.
  • Verkehr zwischen VLANs braucht Routing.
  • Ohne Routing bleiben VLANs strikt voneinander isoliert.

Ein Layer-3-Switch kann diese Routing-Funktion direkt übernehmen, ohne dass der Datenverkehr einen separaten Router passieren muss.

Was ist ein Layer-3-Switch?

Ein Layer-3-Switch ist ein Switch, der neben klassischem Layer-2-Switching auch Routing-Funktionen auf Layer 3 beherrscht. Er kann also nicht nur Ethernet-Frames anhand von MAC-Adressen weiterleiten, sondern auch IP-Pakete zwischen verschiedenen Netzwerken routen.

Für Inter-VLAN-Routing ist das besonders nützlich. Statt den Verkehr über einen externen Router zu führen, verarbeitet der Layer-3-Switch den Datenverkehr direkt intern. Das reduziert Umwege, erhöht die Performance und vereinfacht viele Netzdesigns.

Typische Eigenschaften eines Layer-3-Switches

  • unterstützt VLANs und Trunking wie ein normaler Switch
  • kann Routing zwischen VLANs durchführen
  • unterstützt Switch Virtual Interfaces, kurz SVIs
  • arbeitet in Enterprise-Netzen deutlich effizienter als Router-on-a-Stick
  • kann häufig zusätzlich statisches oder dynamisches Routing unterstützen

Gerade in Campus-Netzen, Etagenverteilern und Distribution-Layern ist der Layer-3-Switch deshalb der Standard für Inter-VLAN-Routing.

Wie Inter-VLAN-Routing auf einem Layer-3-Switch funktioniert

Das Grundprinzip ist einfach: Für jedes VLAN wird auf dem Layer-3-Switch ein logisches Interface erstellt. Dieses Interface heißt Switch Virtual Interface oder kurz SVI. Jedes SVI erhält eine IP-Adresse und fungiert als Standard-Gateway für die Hosts im jeweiligen VLAN.

Wenn nun ein Gerät in VLAN 10 ein Ziel in VLAN 20 erreichen will, sendet es das Paket an sein Gateway, also die IP-Adresse des SVI von VLAN 10. Der Layer-3-Switch empfängt das Paket, trifft eine Routing-Entscheidung und leitet es intern in Richtung VLAN 20 weiter. Dafür ist kein externer Router nötig.

Das Grundprinzip in Kurzform

  • VLAN 10 bekommt ein SVI mit zum Beispiel 192.168.10.1
  • VLAN 20 bekommt ein SVI mit zum Beispiel 192.168.20.1
  • Clients in VLAN 10 nutzen 192.168.10.1 als Gateway
  • Clients in VLAN 20 nutzen 192.168.20.1 als Gateway
  • Der Layer-3-Switch routet den Verkehr zwischen diesen Netzen

Damit wird der Switch gleichzeitig zum zentralen VLAN-Gateway im lokalen Netz.

Was ist ein SVI?

Ein SVI, also ein Switch Virtual Interface, ist ein logisches Interface auf einem Layer-3-Switch, das einem VLAN zugeordnet ist. Es ist keine physische Schnittstelle, sondern ein virtuelles Layer-3-Interface, das dem VLAN eine IP-Adresse und damit Routing-Funktionalität gibt.

Das SVI ist der Schlüssel für Inter-VLAN-Routing auf Cisco Layer-3-Switches.

Aufgaben eines SVI

  • stellt eine IP-Adresse für das VLAN bereit
  • fungiert als Standard-Gateway für die Hosts im VLAN
  • ermöglicht Routing zwischen VLANs
  • kann auch für Management-Zugriffe verwendet werden

Wichtig ist: Ein SVI ersetzt nicht das VLAN selbst, sondern ergänzt es um Layer-3-Funktionalität.

Warum Layer-3-Switching oft besser ist als Router-on-a-Stick

Router-on-a-Stick ist didaktisch sehr gut, aber in größeren Netzen oft nicht ideal. Dort läuft der gesamte Inter-VLAN-Verkehr über einen einzigen Router-Link und muss zusätzlich durch eine externe Routing-Instanz verarbeitet werden. Das kann schnell zum Flaschenhals werden.

Ein Layer-3-Switch löst dieses Problem eleganter, weil Routing direkt im Switch stattfindet.

Vorteile gegenüber Router-on-a-Stick

  • höhere Performance
  • kein externer Router für jedes VLAN nötig
  • kein einzelner physischer Router-Uplink als Engpass
  • einfacheres Design in Enterprise-Netzen
  • bessere Skalierbarkeit

Deshalb wird Inter-VLAN-Routing in modernen Unternehmensumgebungen meist direkt auf Layer-3-Switches umgesetzt.

Ein einfaches Beispielnetz

Für die Konfiguration betrachten wir ein typisches kleines Unternehmensszenario mit drei VLANs:

  • VLAN 10 für Clients mit 192.168.10.0/24
  • VLAN 20 für Drucker mit 192.168.20.0/24
  • VLAN 30 für Server mit 192.168.30.0/24

Die Hosts in jedem VLAN sollen untereinander über den Layer-3-Switch kommunizieren können. Dazu bekommt jedes VLAN ein eigenes SVI:

  • VLAN 10 erhält 192.168.10.1
  • VLAN 20 erhält 192.168.20.1
  • VLAN 30 erhält 192.168.30.1

Diese Adressen werden später als Standard-Gateways auf den Hosts eingetragen.

Schritt 1: VLANs auf dem Cisco-Switch anlegen

Bevor Routing zwischen VLANs möglich ist, müssen die VLANs selbst auf dem Switch vorhanden sein. Dieser Schritt gehört immer an den Anfang.

VLANs erstellen

configure terminal
vlan 10
 name CLIENTS
exit
vlan 20
 name PRINTERS
exit
vlan 30
 name SERVERS
exit

Damit existieren die drei VLANs auf dem Switch.

Warum dieser Schritt wichtig ist

  • SVIs können sauber einem vorhandenen VLAN zugeordnet werden
  • Ports lassen sich erst danach sinnvoll zuweisen
  • die VLAN-Struktur bleibt übersichtlich und dokumentierbar

Schritt 2: Access-Ports den VLANs zuweisen

Damit Endgeräte tatsächlich in den jeweiligen VLANs arbeiten, müssen die passenden Switch-Ports als Access-Ports konfiguriert und den VLANs zugeordnet werden.

Ports für VLAN 10 konfigurieren

configure terminal
interface range GigabitEthernet1/0/1 - 8
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

Ports für VLAN 20 konfigurieren

configure terminal
interface range GigabitEthernet1/0/9 - 12
 switchport mode access
 switchport access vlan 20
 no shutdown
exit

Ports für VLAN 30 konfigurieren

configure terminal
interface range GigabitEthernet1/0/13 - 16
 switchport mode access
 switchport access vlan 30
 no shutdown
exit

Damit sind die physisch angeschlossenen Geräte logisch ihren VLANs zugeordnet.

Schritt 3: SVIs für die VLANs konfigurieren

Jetzt folgt der zentrale Schritt des Inter-VLAN-Routings: das Anlegen der SVIs mit ihren IP-Adressen.

SVI für VLAN 10 konfigurieren

configure terminal
interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown
exit

SVI für VLAN 20 konfigurieren

configure terminal
interface vlan 20
 ip address 192.168.20.1 255.255.255.0
 no shutdown
exit

SVI für VLAN 30 konfigurieren

configure terminal
interface vlan 30
 ip address 192.168.30.1 255.255.255.0
 no shutdown
exit

Diese Interfaces fungieren jetzt als Standard-Gateways für die Hosts in den jeweiligen VLANs.

Was diese Konfiguration bewirkt

  • jedes VLAN erhält eine Layer-3-Adresse
  • der Switch kann Pakete aus diesem Subnetz entgegennehmen
  • das VLAN wird routingfähig

Schritt 4: IP-Routing auf dem Layer-3-Switch aktivieren

Ein sehr wichtiger Schritt wird von Einsteigern oft vergessen: Auf vielen Cisco Layer-3-Switches muss das Routing explizit aktiviert werden. Ohne diesen Befehl existieren die SVIs zwar, aber der Switch routet nicht aktiv zwischen ihnen.

IP-Routing einschalten

configure terminal
ip routing

Erst mit diesem Befehl arbeitet der Switch wirklich als Layer-3-Gerät für Inter-VLAN-Routing.

Warum dieser Schritt so wichtig ist

  • ohne ip routing bleiben die VLANs trotz SVI oft logisch getrennt
  • das Gateway existiert zwar, aber Routing zwischen den Netzen funktioniert nicht korrekt
  • dies ist einer der häufigsten Konfigurationsfehler bei Einsteigern

Schritt 5: Standard-Gateway auf den Endgeräten setzen

Damit Clients den Layer-3-Switch für Ziele in anderen VLANs nutzen, müssen sie das passende Standard-Gateway eingetragen haben. Dieses Gateway ist jeweils die IP-Adresse des SVI im eigenen VLAN.

Beispiele für Gateway-Adressen

  • Clients in VLAN 10 nutzen 192.168.10.1
  • Drucker in VLAN 20 nutzen 192.168.20.1
  • Server in VLAN 30 nutzen 192.168.30.1

Fehlt diese Konfiguration, funktioniert Kommunikation nur innerhalb desselben VLANs, nicht aber in andere VLANs.

Wie der Datenverkehr im Layer-3-Switch läuft

Das Routing auf dem Layer-3-Switch läuft intern sehr effizient ab. Nehmen wir an, ein PC in VLAN 10 möchte einen Server in VLAN 30 erreichen:

  • Der PC erkennt, dass das Ziel in einem anderen IP-Subnetz liegt.
  • Er sendet das Paket an sein Standard-Gateway 192.168.10.1.
  • Der Switch empfängt das Paket auf dem SVI von VLAN 10.
  • Der Switch prüft seine Routing-Tabelle.
  • Er erkennt, dass das Netz 192.168.30.0/24 direkt über das SVI von VLAN 30 erreichbar ist.
  • Er routet das Paket intern in Richtung VLAN 30.
  • Der Zielhost in VLAN 30 erhält den Frame.

Da dieses Routing intern auf dem Switch erfolgt, ist der Ablauf deutlich direkter als bei Router-on-a-Stick.

Ein vollständiges Konfigurationsbeispiel

Die folgende Beispielkonfiguration zeigt ein einfaches, aber vollständiges Inter-VLAN-Routing-Setup auf einem Cisco Layer-3-Switch.

enable
configure terminal

vlan 10
 name CLIENTS
exit
vlan 20
 name PRINTERS
exit
vlan 30
 name SERVERS
exit

interface range GigabitEthernet1/0/1 - 8
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

interface range GigabitEthernet1/0/9 - 12
 switchport mode access
 switchport access vlan 20
 no shutdown
exit

interface range GigabitEthernet1/0/13 - 16
 switchport mode access
 switchport access vlan 30
 no shutdown
exit

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown
exit

interface vlan 20
 ip address 192.168.20.1 255.255.255.0
 no shutdown
exit

interface vlan 30
 ip address 192.168.30.1 255.255.255.0
 no shutdown
exit

ip routing

end
copy running-config startup-config

Mit dieser Konfiguration kann der Switch Verkehr zwischen den drei VLANs routen, sofern die Endgeräte passende IP-Adressen und Gateways verwenden.

Uplink-Konfiguration zu weiteren Switches

In echten Unternehmensnetzen endet die VLAN-Struktur selten auf einem einzelnen Gerät. Oft müssen weitere Access-Switches über Trunks angebunden werden. Diese Trunks transportieren die VLANs zu anderen Switches, während das Routing zentral auf dem Layer-3-Switch stattfindet.

Beispiel für einen Trunk-Uplink

configure terminal
interface GigabitEthernet1/0/24
 description Uplink zum Access-Switch
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 no shutdown
exit

Damit können die VLANs 10, 20 und 30 auch auf einem nachgelagerten Access-Switch genutzt werden, während die Routing-Funktion zentral auf dem Layer-3-Switch bleibt.

Wichtige Prüf-Befehle nach der Konfiguration

Nach der Einrichtung sollte die Konfiguration immer kontrolliert werden. Cisco IOS bietet dafür mehrere wichtige Befehle.

VLANs anzeigen

show vlan brief

Dieser Befehl zeigt die vorhandenen VLANs und ihre Access-Ports.

SVIs und IP-Adressen prüfen

show ip interface brief

Hier sieht man, ob die VLAN-Interfaces vorhanden sind, die richtigen IP-Adressen tragen und aktiv sind.

Routing-Tabelle prüfen

show ip route

Dieser Befehl zeigt, welche direkt verbundenen VLAN-Netze der Switch kennt. Bei korrekt konfigurierten SVIs erscheinen die zugehörigen Netze typischerweise als direkt verbunden.

Trunks kontrollieren

show interfaces trunk

Falls weitere Switches angebunden sind, sollte geprüft werden, ob die VLANs über den Trunk korrekt transportiert werden.

Einzelne SVI-Konfiguration prüfen

show running-config interface vlan 10

Damit lässt sich ein bestimmtes VLAN-Interface direkt kontrollieren.

Typische Fehler bei Inter-VLAN-Routing auf Layer-3-Switches

Auch wenn die Grundidee einfach ist, treten in der Praxis immer wieder ähnliche Fehler auf. Wer diese kennt, findet Probleme deutlich schneller.

IP-Routing wurde nicht aktiviert

Das ist einer der häufigsten Fehler überhaupt. Die SVIs existieren, aber der Switch routet nicht zwischen ihnen, weil ip routing fehlt.

VLAN existiert, aber kein SVI wurde konfiguriert

Der Port ist zwar im richtigen VLAN, aber es gibt kein Gateway auf dem Switch für dieses VLAN.

SVI ist down

Ein VLAN-Interface kann down bleiben, wenn es im entsprechenden VLAN keinen aktiven Port gibt. Das wird von Einsteigern oft übersehen.

Falsche Gateway-Adresse auf Hosts

Selbst bei perfekter Switch-Konfiguration funktioniert das Routing nicht, wenn Clients nicht das passende SVI als Standard-Gateway verwenden.

Falsche Access-Port-Zuweisung

Ein Host steht physisch am richtigen Port, aber der Port gehört versehentlich zum falschen VLAN.

Trunk transportiert benötigte VLANs nicht

Wenn Access-Switches über Uplinks angebunden sind, müssen die betroffenen VLANs auch tatsächlich über diese Trunks erlaubt sein.

Layer-3-Switch vs. Router-on-a-Stick

Beide Methoden lösen dasselbe Problem, aber auf unterschiedliche Weise. Ein kurzer Vergleich hilft beim technischen Einordnen.

Router-on-a-Stick

  • ein externer Router übernimmt das Routing
  • ein physischer Link transportiert mehrere VLANs per Trunk
  • Subinterfaces auf dem Router dienen als Gateways
  • gut für Ausbildung und kleine Netze

Layer-3-Switch

  • der Switch routet direkt selbst
  • SVIs dienen als Gateways
  • höhere Performance
  • bessere Skalierbarkeit für Unternehmensnetze

In modernen Campus- und Enterprise-Netzen ist der Layer-3-Switch daher meistens die bevorzugte Lösung.

Praxisnutzen im Unternehmensnetzwerk

Inter-VLAN-Routing mit einem Layer-3-Switch ist im Unternehmensalltag sehr relevant. Typische Szenarien sind:

  • Clients in VLAN 10 sollen Drucker in VLAN 20 erreichen
  • Benutzer-VLANs benötigen Zugriff auf Server in VLAN 30
  • VoIP-Systeme sollen getrennt laufen, aber bestimmte Dienste erreichen
  • Management-VLANs sollen nur kontrolliert zugänglich sein

Der Layer-3-Switch ermöglicht dabei nicht nur Routing, sondern auch die spätere Durchsetzung von Regeln wie ACLs, QoS oder Policy-basiertem Zugriff zwischen den VLANs.

Typische Erweiterungen nach der Grundkonfiguration

Wenn die Basis funktioniert, wird Inter-VLAN-Routing in der Praxis oft weiter ausgebaut. Dazu gehören zum Beispiel:

  • statisches Routing zu anderen Netzen
  • dynamische Routing-Protokolle
  • ACLs zwischen VLANs
  • DHCP-Relay mit ip helper-address
  • Redundanz mit HSRP oder VRRP

Für Einsteiger ist zunächst jedoch wichtig, die Grundlogik von VLAN, SVI und aktiviertem IP-Routing sauber zu beherrschen.

Warum dieses Thema für CCNA und Praxis so wichtig ist

Inter-VLAN-Routing mit einem Layer-3-Switch gehört zu den wichtigsten Grundlagen moderner Netzwerktechnik. Es verbindet VLANs, Switching, Routing, Gateways und Cisco-CLI in einem sehr praxisnahen Thema.

  • Es erklärt, wie logisch getrennte VLANs dennoch kontrolliert kommunizieren.
  • Es zeigt die Rolle von SVIs in Cisco-Netzen.
  • Es gehört zu den Kernkompetenzen im Switching- und Routing-Bereich.
  • Es ist in Unternehmensnetzwerken deutlich praxisnäher als reine Router-on-a-Stick-Labore.
  • Es schafft die Grundlage für weiterführende Design- und Security-Themen.

Wer die Konfiguration von Inter-VLAN-Routing auf einem Layer-3-Switch sicher beherrscht, versteht einen entscheidenden Teil moderner Campus-Netze. Genau deshalb ist dieses Thema nicht nur für CCNA-Lernende, sondern auch für Administratoren und Network Engineers von zentraler Bedeutung.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Anhang B → Wichtige Ports und Protokolle im Überblick für CCNA

Anhang C → Schnelle Subnetting-Tabelle für CCNA und Networking

Anhang D → Glossar der wichtigsten CCNA-Begriffe einfach erklärt

Anhang E → Zusätzliche Lernressourcen für CCNA, Networking und Cisco

22.5 Fragen zu DHCP, NAT und ACL mit Lösungen

22.6 Fragen zu Wireless und Sicherheit mit Lösungen

22.7 Ausführliche Lösungen zu allen CCNA-Übungsfragen

22.8 Lernerfolg bewerten: So überprüfst du deinen CCNA-Fortschritt

21.1 Netzwerkgrundlagen zusammengefasst: Das Wichtigste für CCNA

Fazit → CCNA erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

21.2 IP-Adressierung und Subnetting einfach zusammengefasst

Botschaft an die Leser → Deine CCNA-Reise beginnt jetzt: Motivation und nächste Schritte