10.3 Access Port und Trunk Port einfach erklärt

Access Port und Trunk Port gehören zu den wichtigsten Grundbegriffen in VLAN-basierten Netzwerken. Wer moderne Switches konfigurieren, VLANs verstehen oder ein Unternehmensnetzwerk sauber strukturieren möchte, muss den Unterschied zwischen diesen beiden Porttypen sicher beherrschen. Beide arbeiten auf einem Switch, beide transportieren Ethernet-Frames, aber ihre Aufgabe ist grundverschieden. Ein Access Port verbindet in der Regel ein einzelnes Endgerät mit genau einem VLAN. Ein Trunk Port dagegen transportiert mehrere VLANs gleichzeitig über eine einzige physische Verbindung. Genau diese Trennung ist die Grundlage dafür, dass VLANs in der Praxis überhaupt sinnvoll nutzbar sind.

Warum Access Port und Trunk Port so wichtig sind

In einem einfachen kleinen Netzwerk ohne VLANs wirken Switch-Ports zunächst austauschbar. Ein Gerät wird angeschlossen, der Link kommt hoch, und die Kommunikation funktioniert. Sobald jedoch mehrere VLANs ins Spiel kommen, reicht dieses einfache Denken nicht mehr aus. Der Switch muss wissen, ob ein Port nur einem VLAN zugeordnet sein soll oder ob er mehrere VLANs transportieren muss.

Genau daraus ergeben sich die zwei Grundtypen:

• Access Port: für Endgeräte und genau ein VLAN
• Trunk Port: für mehrere VLANs über denselben Link

Ohne diese Unterscheidung wäre ein strukturiertes VLAN-Design im Unternehmensnetzwerk nicht möglich. Access-Ports sorgen für klare Zuweisung an einzelne Netzbereiche, Trunks verbinden diese VLAN-Strukturen über mehrere Switches, Router oder Virtualisierungsplattformen hinweg.

Was ist ein Access Port?

Ein Access Port ist ein Switch-Port, der genau einem VLAN zugeordnet ist. Er wird typischerweise für Endgeräte wie PCs, Drucker, Kameras oder andere klassische Netzwerkgeräte verwendet. Der angeschlossene Host sendet und empfängt Frames normalerweise ohne VLAN-Tag. Die VLAN-Zuordnung übernimmt der Switch intern.

Ein Access Port ist also die Standardwahl für Geräte, die selbst keine VLAN-Tags setzen oder auswerten sollen.

Typische Eigenschaften eines Access Ports

• gehört genau einem VLAN an
• transportiert ungetaggten Traffic
• wird meist für Endgeräte genutzt
• ist logisch Teil einer bestimmten Broadcast-Domain
• einfach und übersichtlich in der Konfiguration

Wenn ein PC an einem Access Port angeschlossen wird, bemerkt dieser PC in der Regel nicht, dass er sich in einem VLAN befindet. Aus Sicht des Endgeräts ist es einfach eine normale Ethernet-Verbindung.

Wie ein Access Port arbeitet

Wenn ein ungetaggter Ethernet-Frame an einem Access Port ankommt, ordnet der Switch diesen Frame automatisch dem VLAN zu, das auf diesem Port konfiguriert wurde. Beim Senden in Richtung Endgerät entfernt der Switch gegebenenfalls interne VLAN-Informationen und sendet die Frames ebenfalls ungetaggt.

Das bedeutet:

• der Host sendet normale Ethernet-Frames
• der Switch ordnet diese Frames intern einem VLAN zu
• Broadcasts bleiben innerhalb dieses VLANs
• MAC-Adressen werden VLAN-bezogen gelernt

Was ist ein Trunk Port?

Ein Trunk Port ist ein Switch-Port, der mehrere VLANs gleichzeitig über eine einzige physische Verbindung transportieren kann. Er wird typischerweise dort eingesetzt, wo VLANs zwischen Netzkomponenten weitergegeben werden müssen, zum Beispiel zwischen zwei Switches, zwischen Switch und Router oder zwischen Switch und Hypervisor.

Im Gegensatz zum Access Port reicht hier ein einziges VLAN nicht aus. Der Port muss Frames aus mehreren VLANs transportieren und der empfangenden Seite mitteilen, zu welchem VLAN ein Frame gehört. Genau dafür wird VLAN-Tagging verwendet.

Typische Eigenschaften eines Trunk Ports

• transportiert mehrere VLANs gleichzeitig
• nutzt VLAN-Tags, meist nach IEEE 802.1Q
• wird oft für Uplinks oder Switch-zu-Switch-Verbindungen verwendet
• ermöglicht eine skalierbare VLAN-Struktur über mehrere Geräte hinweg
• ist essenziell für größere VLAN-Designs

Ein Trunk Port ist also keine „schnellere“ Verbindung, sondern ein Port mit einer anderen logischen Aufgabe im VLAN-Design.

Wie ein Trunk Port arbeitet

Wenn ein Frame über einen Trunk-Port läuft, fügt der Switch in der Regel ein VLAN-Tag hinzu oder wertet ein vorhandenes Tag aus. Dieses Tag enthält die VLAN-ID, sodass die Gegenseite erkennt, zu welchem VLAN der Frame gehört.

Dadurch können mehrere logische Netzwerke denselben physischen Link nutzen, ohne dass ihre Daten vermischt werden.

• VLAN 10 kann über denselben Link laufen wie VLAN 20
• auch Management-, Voice- oder Gäste-VLANs können parallel transportiert werden
• die Trennung bleibt logisch erhalten

Der wichtigste Unterschied zwischen Access Port und Trunk Port

Der zentrale Unterschied lässt sich sehr einfach zusammenfassen:

• Ein Access Port ist für genau ein VLAN gedacht.
• Ein Trunk Port ist für mehrere VLANs gedacht.

Das wirkt zunächst simpel, hat aber große praktische Auswirkungen auf Netzwerkdesign, Fehlersuche und Konfiguration.

Access Port im Alltag

Ein Access Port verbindet meist genau ein Endgerät mit genau einem Netzbereich. Ein PC aus der Buchhaltung kommt zum Beispiel in VLAN 10, ein Drucker vielleicht in VLAN 30. Jeder dieser Ports ist klar einem einzigen VLAN zugeordnet.

Trunk Port im Alltag

Ein Trunk Port verbindet meist zwei Infrastrukturkomponenten miteinander. Wenn zwei Switches mehrere VLANs gemeinsam transportieren müssen, wäre es unpraktisch, für jedes VLAN ein eigenes Kabel zu verwenden. Stattdessen nutzt man einen Trunk, der alle benötigten VLANs auf einem Link zusammenfasst.

Warum Access-Ports für Endgeräte genutzt werden

Die meisten klassischen Endgeräte arbeiten nicht selbst mit VLAN-Tags. Ein normaler Büro-PC, ein Standarddrucker oder viele Kameras senden einfache Ethernet-Frames ohne 802.1Q-Tagging. Genau deshalb werden sie an Access Ports angeschlossen.

Der Access Port macht die VLAN-Struktur für das Endgerät transparent. Das Gerät muss nicht wissen, in welchem VLAN es sich befindet. Der Switch übernimmt diese Zuordnung.

Typische Endgeräte an Access Ports

• Desktop-PCs
• Laptops an Docking-Stationen
• Drucker
• Netzwerkkameras
• IoT-Geräte
• einfache Serveranschlüsse in bestimmten Szenarien

Diese klare Zuordnung macht den Access Port zum Standardporttyp an der Netzwerkkante, also im Access-Layer.

Warum Trunks für Infrastrukturverbindungen nötig sind

In professionellen Netzwerken reicht es nicht aus, VLANs nur lokal auf einem einzelnen Switch zu betreiben. VLANs müssen oft über mehrere Switches, Stockwerke oder Verteilerschichten hinweg transportiert werden. Genau dafür sind Trunk-Ports nötig.

Typische Einsatzorte für Trunk Ports

• Verbindung zwischen zwei Switches
• Uplink zum Distribution-Switch
• Verbindung zu einem Router für Router-on-a-Stick
• Anbindung eines Hypervisors mit mehreren virtuellen Netzwerken
• Verbindung zu Firewalls oder WLAN-Infrastruktur mit mehreren VLANs

Ohne Trunks müsste für jedes VLAN ein separates physisches Kabel zwischen den Geräten verlegt werden. Das wäre ineffizient, teuer und schlecht skalierbar.

Was ist VLAN-Tagging bei einem Trunk?

Damit mehrere VLANs gleichzeitig über denselben Link transportiert werden können, muss jeder Frame klar gekennzeichnet werden. Diese Kennzeichnung erfolgt in der Regel mit IEEE 802.1Q. Dabei wird dem Ethernet-Frame ein VLAN-Tag hinzugefügt.

Das Tag enthält unter anderem die VLAN-ID. So kann der empfangende Switch oder Router den Frame dem richtigen VLAN zuordnen.

Warum Tagging nötig ist

• ein Link transportiert mehrere VLANs gleichzeitig
• der Empfänger muss das Quell-VLAN erkennen können
• Frames dürfen zwischen VLANs nicht vermischt werden

Beim Access Port ist ein solches Tagging normalerweise nicht erforderlich, weil dort ohnehin nur ein VLAN transportiert wird.

IEEE 802.1Q als Standard

In modernen Netzwerken ist 802.1Q der Standardmechanismus für VLAN-Tagging. Cisco-Switches und Geräte anderer Hersteller unterstützen dieses Verfahren breit. Für Einsteiger ist vor allem wichtig: Auf Trunks werden VLANs über Tags unterschieden, auf Access Ports meist nicht.

Das Native VLAN einfach erklärt

Im Zusammenhang mit Trunk Ports taucht fast immer der Begriff Native VLAN auf. Das Native VLAN ist bei 802.1Q-Trunks das VLAN, dessen Frames standardmäßig ungetaggt übertragen werden können. Es spielt vor allem bei Switch-zu-Switch-Verbindungen eine Rolle.

Warum das Native VLAN wichtig ist

• es betrifft ungetaggte Frames auf einem Trunk
• es muss auf beiden Seiten des Trunks konsistent sein
• falsche Konfiguration kann zu VLAN-Problemen führen

Einsteiger sollten sich vor allem merken: Das Native VLAN ist ein Spezialfall auf Trunk-Ports. Es betrifft nicht den klassischen normalen Access Port für Endgeräte.

Access Port und Trunk Port in der Praxis vergleichen

Die Unterschiede werden besonders klar, wenn man beide Porttypen direkt gegenüberstellt.

Access Port

• genau ein VLAN
• typisch für Endgeräte
• Frames meist ungetaggt
• einfachere Konfiguration
• Teil genau einer Broadcast-Domain

Trunk Port

• mehrere VLANs
• typisch für Infrastrukturverbindungen
• Frames meist getaggt
• komplexere Konfiguration
• transportiert mehrere Broadcast-Domains logisch getrennt

Diese Gegenüberstellung zeigt sehr deutlich, dass Access und Trunk keine konkurrierenden, sondern ergänzende Porttypen sind.

Einfaches Praxisbeispiel aus dem Unternehmensnetz

Stellen wir uns ein Büro mit zwei Switches vor. Es gibt drei VLANs:

• VLAN 10 für Büro-PCs
• VLAN 20 für IP-Telefone
• VLAN 30 für Gäste-WLAN

Auf Switch A und Switch B befinden sich Endgeräte aus allen drei VLANs. Jetzt stellt sich die Frage, wie diese VLANs zwischen den Switches transportiert werden.

Ports zu Endgeräten

Die Ports, an denen PCs oder Drucker angeschlossen sind, werden als Access Ports konfiguriert. Ein PC-Port im Büro ist etwa Access VLAN 10, ein Drucker-Port vielleicht Access VLAN 10 oder VLAN 30, je nach Design.

Verbindung zwischen den Switches

Die Verbindung zwischen Switch A und Switch B muss alle drei VLANs transportieren. Deshalb wird dieser Link als Trunk konfiguriert. So können VLAN 10, 20 und 30 gleichzeitig über denselben Uplink laufen.

Ohne Trunk wären drei getrennte physische Links nötig, jeweils einer pro VLAN. Das wäre in der Praxis unnötig aufwendig.

Wann ein Port falsch als Access oder Trunk konfiguriert ist

Ein häufiger Fehler in der Praxis besteht darin, einen Port mit dem falschen Porttyp zu betreiben. Das führt oft zu Verbindungsproblemen, VLAN-Fehlern oder unerwartetem Verhalten.

Typischer Fehler: Endgerät an Trunk-Port

Wenn ein normaler PC an einem falsch konfigurierten Trunk-Port hängt, kann es zu Problemen kommen, weil der Host mit getaggten Frames nichts anfangen kann oder der Switch ungetaggten Traffic unerwartet behandelt. In bestimmten Spezialfällen kann das funktionieren, ist für Standard-Endgeräte aber meist falsch.

Typischer Fehler: Uplink als Access-Port

Wenn ein Link zwischen zwei Switches irrtümlich als Access-Port läuft, wird nur ein einziges VLAN korrekt transportiert. Andere VLANs fehlen dann auf der Gegenseite. Das kann dazu führen, dass manche Clients funktionieren und andere nicht.

• ein VLAN scheint erreichbar zu sein
• andere VLANs fehlen komplett
• Fehlersuche wird unnötig schwierig

Cisco Access Port konfigurieren

Auf Cisco-Switches wird ein Access Port explizit als solcher definiert und einem VLAN zugewiesen. Eine typische Grundkonfiguration sieht so aus:

configure terminal
interface GigabitEthernet1/0/5
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

Damit arbeitet der Port als Access Port im VLAN 10. Geräte an diesem Port gehören logisch zu diesem VLAN.

Access Port mit Beschreibung und PortFast

In der Praxis ergänzt man die Konfiguration häufig um eine Beschreibung und aktiviert für Endgeräte PortFast:

configure terminal
interface GigabitEthernet1/0/5
 description Arbeitsplatz Vertrieb
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 no shutdown
exit

Das ist ein typisches Beispiel für einen sauber konfigurierten Access-Port im Access-Layer.

Cisco Trunk Port konfigurieren

Ein Trunk Port wird ebenfalls explizit konfiguriert. Dabei definiert man meist, dass der Port als Trunk arbeiten soll und welche VLANs über diesen Link transportiert werden dürfen.

configure terminal
interface GigabitEthernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 no shutdown
exit

Dieser Port transportiert nun mehrere VLANs gleichzeitig.

Native VLAN auf dem Trunk setzen

Falls erforderlich, kann zusätzlich das Native VLAN konfiguriert werden:

configure terminal
interface GigabitEthernet1/0/24
 switchport mode trunk
 switchport trunk native vlan 99
 switchport trunk allowed vlan 10,20,30,99
 no shutdown
exit

Dabei ist wichtig, dass die Gegenseite des Trunks konsistent konfiguriert ist.

Wichtige Prüf-Befehle für Access- und Trunk-Ports

Wer Access und Trunk in der Praxis verstehen will, sollte auch die wichtigsten Prüfkommandos kennen. Sie helfen, Fehlkonfigurationen und Statusprobleme schnell zu erkennen.

Portstatus anzeigen

show interfaces status

Dieser Befehl zeigt unter anderem, ob ein Port connected ist und welchem VLAN er zugeordnet ist.

VLAN-Zuordnung von Access Ports prüfen

show vlan brief

Hier sieht man die vorhandenen VLANs und welche Access-Ports ihnen zugeordnet sind.

Trunk-Ports prüfen

show interfaces trunk

Dieser Befehl ist zentral für die Analyse von Trunk-Verbindungen. Er zeigt:

• welche Ports als Trunk arbeiten
• welches Native VLAN gesetzt ist
• welche VLANs erlaubt sind
• welche VLANs tatsächlich aktiv über den Trunk laufen

Interface-Konfiguration direkt prüfen

show running-config interface GigabitEthernet1/0/24

Damit lässt sich schnell kontrollieren, ob ein Port wirklich als Access oder Trunk konfiguriert wurde.

Typische Einsatzszenarien für Access Ports

Access Ports sind im täglichen Netzwerkbetrieb sehr häufig. Sie bilden den Standard an der Netzwerkkante.

• PC-Arbeitsplätze
• Druckeranschlüsse
• Netzwerkkameras
• Kassen- oder IoT-Geräte
• einzelne Server in einfachen VLAN-Designs

In all diesen Fällen ist klar: Das Gerät gehört einem bestimmten VLAN an, nicht mehreren.

Typische Einsatzszenarien für Trunk Ports

Trunk Ports kommen immer dort zum Einsatz, wo mehrere VLANs über einen Link transportiert werden müssen.

• Switch-zu-Switch-Uplink
• Access-Switch zum Distribution-Switch
• Router-on-a-Stick
• Anbindung von ESXi-, Hyper-V- oder anderen Virtualisierungshosts
• Verbindungen zu WLAN-Infrastruktur mit mehreren SSIDs und VLANs

Trunks sind damit ein zentrales Element jeder skalierbaren VLAN-Infrastruktur.

Typische Anfängerfehler bei Access und Trunk

„Ein Trunk ist einfach nur ein Uplink“

Nicht jeder Uplink ist automatisch ein Trunk, auch wenn das häufig der Fall ist. Ein Trunk ist technisch definiert durch den Transport mehrerer VLANs, nicht nur durch die Richtung des Links.

„Ein Access Port kann mehrere VLANs transportieren“

Ein klassischer Access Port gehört genau einem VLAN an. Mehrere VLANs sind Aufgabe eines Trunk Ports.

„Endgeräte können problemlos an Trunks hängen“

Normale Standard-Endgeräte sind typischerweise für Access Ports vorgesehen. Nur spezielle Systeme, etwa bestimmte Server oder Virtualisierungshosts, arbeiten bewusst mit VLAN-Tagging auf einer Endgeräteseite.

„Wenn der Link up ist, ist die Portkonfiguration richtig“

Auch ein falsch konfigurierter Port kann physisch up sein. Ob er logisch als Access oder Trunk korrekt arbeitet, muss separat geprüft werden.

Warum Access Port und Trunk Port für VLANs unverzichtbar sind

VLANs funktionieren in der Praxis nur dann sauber, wenn Access- und Trunk-Ports korrekt eingesetzt werden. Access Ports bringen einzelne Geräte in die richtige Broadcast-Domain. Trunk Ports verbinden diese VLAN-Strukturen über mehrere Geräte hinweg.

• Access Ports sorgen für klare Zuordnung von Endgeräten.
• Trunk Ports ermöglichen den VLAN-Transport über Infrastrukturgrenzen hinweg.
• Beide Porttypen sind zentrale Bausteine in Unternehmensnetzwerken.
• Fehlkonfigurationen in diesem Bereich führen schnell zu typischen VLAN-Problemen.

Wer den Unterschied zwischen Access Port und Trunk Port wirklich versteht, legt damit eine der wichtigsten Grundlagen für Themen wie VLAN-Design, Inter-VLAN-Routing, Switch-Konfiguration und Layer-2-Troubleshooting. Genau deshalb gehört dieses Thema zu den zentralen Bausteinen in CCNA, Praxisbetrieb und jedem professionellen Ethernet-Netzwerk.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.