10.6 VLAN auf Cisco-Switches erstellen: Schritt-für-Schritt-Anleitung

Das Erstellen von VLANs auf Cisco-Switches gehört zu den wichtigsten Grundlagen in der Netzwerktechnik. Sobald ein Netzwerk logisch segmentiert werden soll, führt an VLANs kaum ein Weg vorbei. Mit ihrer Hilfe lassen sich Benutzer, Abteilungen, Server, Drucker, IP-Telefone oder Gäste logisch voneinander trennen, obwohl sie über dieselbe physische Switching-Infrastruktur verbunden sind. Auf Cisco-Switches ist die VLAN-Konfiguration mit wenigen Befehlen möglich, doch für Einsteiger ist entscheidend, nicht nur die Syntax zu kennen, sondern auch die zugrunde liegende Logik zu verstehen. Nur dann lässt sich ein VLAN sauber planen, korrekt zuweisen und später zuverlässig prüfen.

Was ein VLAN auf dem Cisco-Switch überhaupt bewirkt

Ein VLAN ist ein Virtual Local Area Network, also ein logisch getrenntes Netzwerk innerhalb einer gemeinsamen Switch-Infrastruktur. Jeder VLAN-Bereich bildet eine eigene Broadcast-Domain. Geräte im selben VLAN können direkt auf Layer 2 miteinander kommunizieren. Geräte in unterschiedlichen VLANs benötigen dagegen Routing, um Daten austauschen zu können.

Wenn auf einem Cisco-Switch ein VLAN erstellt wird, passiert nicht automatisch schon die komplette Segmentierung des Netzwerks. Das VLAN ist zunächst nur auf dem Switch definiert. Erst wenn Ports diesem VLAN zugewiesen werden oder das VLAN über Trunks transportiert wird, wird es praktisch nutzbar.

• Ein VLAN trennt Broadcast-Domains logisch voneinander.
• Ein Switch kann mehrere VLANs gleichzeitig verwalten.
• Ports können gezielt einem VLAN zugeordnet werden.
• Trunks können mehrere VLANs über einen Link transportieren.
• Für Kommunikation zwischen VLANs ist ein Layer-3-Gerät erforderlich.

Warum VLANs auf Cisco-Switches erstellt werden

In einem kleinen Netzwerk ohne VLANs befinden sich viele Ports eines Switches standardmäßig in derselben Layer-2-Domäne. Das ist einfach, aber nicht immer sinnvoll. In Unternehmensnetzwerken werden VLANs genutzt, um Struktur, Sicherheit und Skalierbarkeit zu verbessern.

Typische Gründe für VLANs

• Trennung von Benutzer- und Servernetz
• eigene VLANs für IP-Telefonie
• Gastnetzwerke getrennt vom internen LAN
• separates Management-VLAN für Infrastruktur
• Segmentierung nach Abteilungen oder Standorten

Auf Cisco-Switches gehört die VLAN-Konfiguration deshalb zu den häufigsten Standardaufgaben im Betrieb und in der Ausbildung.

Bevor man beginnt: Was man vorbereiten sollte

Bevor ein VLAN auf einem Cisco-Switch erstellt wird, sollte klar sein, welche Rolle dieses VLAN im Netzwerkdesign spielen soll. Wer einfach nur eine VLAN-ID anlegt, ohne die spätere Zuordnung zu Access-Ports, Trunks oder Routing zu berücksichtigen, bekommt oft ein VLAN, das zwar existiert, aber praktisch noch keine Funktion erfüllt.

Wichtige Planungsfragen

• Welche VLAN-ID soll verwendet werden?
• Welchen Namen soll das VLAN erhalten?
• Welche Ports sollen diesem VLAN zugeordnet werden?
• Soll das VLAN über Trunk-Links transportiert werden?
• Wird später Inter-VLAN-Routing benötigt?

Eine kleine Planung verhindert viele Anfängerfehler und sorgt dafür, dass die Konfiguration später logisch nachvollziehbar bleibt.

Beispiel für eine einfache VLAN-Planung

• VLAN 10 für Büro-PCs
• VLAN 20 für IP-Telefone
• VLAN 30 für Drucker
• VLAN 99 für Management

Mit einer solchen Struktur wird sofort klar, welche Geräte wohin gehören.

Zugriff auf den Cisco-Switch

Die VLAN-Konfiguration erfolgt auf Cisco-Switches typischerweise über die CLI. Dafür wird zunächst der privilegierte Modus und danach der globale Konfigurationsmodus aufgerufen.

Wechsel in den privilegierten Modus

enable

Wechsel in den globalen Konfigurationsmodus

configure terminal

Ab diesem Punkt können VLANs angelegt und Ports konfiguriert werden.

VLAN auf dem Cisco-Switch erstellen

Das eigentliche Anlegen eines VLANs ist auf Cisco-Switches sehr direkt. Zunächst wird die VLAN-ID definiert. Optional kann ein Name vergeben werden, was im praktischen Betrieb sehr zu empfehlen ist.

Ein VLAN mit VLAN-ID anlegen

configure terminal
vlan 10
exit

Mit diesem Befehl wird VLAN 10 erstellt. Das VLAN existiert nun in der VLAN-Datenbank des Switches.

VLAN mit Namen anlegen

configure terminal
vlan 10
 name CLIENTS
exit

Hier wird VLAN 10 erstellt und mit dem Namen CLIENTS versehen. Der Name erleichtert die Dokumentation und die spätere Übersicht erheblich.

Was der Name bewirkt

• Er verbessert die Lesbarkeit der Konfiguration.
• Er hilft bei der Fehlersuche.
• Er macht VLAN-Listen verständlicher.
• Er ersetzt nicht die VLAN-ID, sondern ergänzt sie.

Die VLAN-ID bleibt technisch entscheidend. Der Name ist vor allem für Administratoren hilfreich.

Mehrere VLANs nacheinander erstellen

In realen Netzwerken wird selten nur ein einziges VLAN angelegt. Oft werden mehrere VLANs in einer Sitzung konfiguriert.

Beispiel für mehrere VLANs

configure terminal
vlan 10
 name CLIENTS
exit
vlan 20
 name VOICE
exit
vlan 30
 name PRINTERS
exit
vlan 99
 name MGMT
exit

Damit ist eine einfache VLAN-Struktur bereits auf dem Switch definiert.

Wichtiger Hinweis für Einsteiger

Nach dem Erstellen sind die VLANs zwar vorhanden, aber noch keinem Port zugewiesen. Ohne Portzuordnung oder Trunk-Transport gibt es also noch keine praktische Nutzung durch Endgeräte.

Access-Port einem VLAN zuweisen

Damit ein Endgerät tatsächlich Teil eines VLANs wird, muss der zugehörige Switch-Port als Access-Port konfiguriert und dem gewünschten VLAN zugeordnet werden. Das ist einer der wichtigsten Schritte in der gesamten VLAN-Einrichtung.

Ein Access-Port für VLAN 10 konfigurieren

configure terminal
interface GigabitEthernet1/0/5
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

Dieser Port ist nun ein Access-Port im VLAN 10. Ein angeschlossener PC gehört damit logisch zum VLAN 10.

Was diese Befehle bewirken

• interface GigabitEthernet1/0/5 wählt den Port aus.
• switchport mode access setzt ihn in den Access-Modus.
• switchport access vlan 10 ordnet ihn VLAN 10 zu.
• no shutdown aktiviert den Port administrativ.

Gerade der Befehl switchport mode access sollte bewusst gesetzt werden, damit der Port eindeutig als Endgeräteport definiert ist.

Mehrere Access-Ports gleichzeitig einem VLAN zuweisen

In der Praxis sollen oft mehrere Ports demselben VLAN angehören. Dafür ist die Bereichskonfiguration besonders nützlich.

Interface-Range für mehrere Ports

configure terminal
interface range GigabitEthernet1/0/1 - 12
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

Damit werden die Ports GigabitEthernet1/0/1 bis GigabitEthernet1/0/12 dem VLAN 10 zugeordnet.

Vorteile der Bereichskonfiguration

• schnellere Konfiguration vieler Ports
• weniger Tippfehler
• konsistente Einstellungen auf mehreren Interfaces

Bei größeren Access-Switches spart diese Methode viel Zeit.

Ein VLAN über einen Trunk transportieren

Ein VLAN ist nur auf dem lokalen Switch nutzbar, solange es nicht über andere Geräte hinweg transportiert wird. Sobald ein VLAN zwischen mehreren Switches verfügbar sein soll, muss es über einen Trunk-Link laufen.

Trunk-Port konfigurieren

configure terminal
interface GigabitEthernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 no shutdown
exit

Dieser Port transportiert mehrere VLANs, darunter auch das neu erstellte VLAN 10.

Warum das wichtig ist

• Ein VLAN auf Switch A ist nicht automatisch auf Switch B nutzbar.
• Der Trunk muss das VLAN explizit transportieren.
• Fehlt das VLAN auf dem Trunk, bleibt es lokal begrenzt.

Gerade bei VLAN-Problemen zwischen mehreren Switches sollte immer geprüft werden, ob das VLAN über den Trunk tatsächlich zugelassen ist.

Management-VLAN erstellen und SVI konfigurieren

In vielen Szenarien soll ein Switch selbst über ein eigenes Management-VLAN erreichbar sein. Dafür reicht das Erstellen des VLANs allein nicht aus. Zusätzlich wird ein Switch Virtual Interface, kurz SVI, benötigt.

Management-VLAN anlegen

configure terminal
vlan 99
 name MGMT
exit

SVI für das Management-VLAN konfigurieren

configure terminal
interface vlan 99
 ip address 192.168.99.10 255.255.255.0
 no shutdown
exit

Damit erhält der Switch eine Management-IP im VLAN 99.

Default-Gateway setzen

configure terminal
ip default-gateway 192.168.99.1

Diese Konfiguration ist wichtig, wenn der Switch aus anderen Netzsegmenten erreichbar sein soll.

Wichtiger Praxisaspekt

Das SVI eines VLANs wird nur dann sinnvoll aktiv, wenn es im entsprechenden VLAN mindestens einen aktiven Port gibt oder das VLAN anderweitig operational vorhanden ist. Das ist ein häufiger Stolperstein bei Einsteigern.

VLAN-Konfiguration prüfen

Nach dem Erstellen eines VLANs sollte die Konfiguration immer überprüft werden. Nur so lässt sich feststellen, ob das VLAN korrekt angelegt, benannt und den richtigen Ports zugeordnet wurde.

Vorhandene VLANs anzeigen

show vlan brief

Dieser Befehl zeigt:

• VLAN-ID
• VLAN-Name
• Status
• zugeordnete Access-Ports

Für Einsteiger ist das der wichtigste Kontrollbefehl nach der VLAN-Erstellung.

Trunk-Ports prüfen

show interfaces trunk

Damit wird kontrolliert, ob das VLAN über Trunk-Links transportiert wird.

Port-Konfiguration direkt anzeigen

show running-config interface GigabitEthernet1/0/5

So lässt sich prüfen, ob ein Port tatsächlich dem gewünschten VLAN zugewiesen wurde.

Kurzübersicht der IP-Interfaces

show ip interface brief

Dieser Befehl ist besonders hilfreich, wenn zusätzlich ein SVI für das VLAN konfiguriert wurde.

Typisches Schritt-für-Schritt-Beispiel aus der Praxis

Ein einfaches Szenario hilft, die Logik der Konfiguration besser zu verstehen. Angenommen, auf einem Cisco-Switch soll VLAN 10 für Büro-PCs erstellt werden. Die Ports 1 bis 8 sollen diesem VLAN zugeordnet werden, und der Uplink an Port 24 soll VLAN 10 auf einen anderen Switch transportieren.

Schritt 1: VLAN anlegen

configure terminal
vlan 10
 name CLIENTS
exit

Schritt 2: Access-Ports zuweisen

configure terminal
interface range GigabitEthernet1/0/1 - 8
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

Schritt 3: Trunk für VLAN-Transport konfigurieren

configure terminal
interface GigabitEthernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
 no shutdown
exit

Schritt 4: Konfiguration prüfen

show vlan brief
show interfaces trunk

Mit diesen Schritten ist VLAN 10 nicht nur erstellt, sondern auch praktisch im Netz nutzbar gemacht.

Unterschied zwischen VLAN erstellen und VLAN nutzen

Ein häufiger Anfängerfehler besteht darin, das bloße Anlegen eines VLANs mit seiner vollständigen Nutzung gleichzusetzen. Das ist technisch nicht dasselbe.

VLAN nur erstellt

• VLAN existiert in der VLAN-Datenbank des Switches.
• Es hat möglicherweise einen Namen.
• Es ist noch keinem Port zugeordnet.
• Es wird unter Umständen noch nicht über Trunks transportiert.

VLAN aktiv genutzt

• Access-Ports sind dem VLAN zugewiesen.
• Trunks transportieren das VLAN bei Bedarf.
• optional existiert ein SVI für Management oder Routing.
• Endgeräte können tatsächlich in diesem VLAN arbeiten.

Diese Unterscheidung ist im Betrieb sehr wichtig, weil ein korrekt erstelltes VLAN allein noch keine funktionierende Kommunikation garantiert.

Typische Fehler beim Erstellen von VLANs auf Cisco-Switches

Gerade Einsteiger machen bei der VLAN-Konfiguration häufig ähnliche Fehler. Wer diese kennt, spart viel Zeit bei der Fehlersuche.

VLAN erstellt, aber keinem Port zugewiesen

Das VLAN taucht in show vlan brief auf, aber kein Endgerät kann es nutzen, weil keine Access-Ports zugeordnet wurden.

VLAN nicht über Trunk zugelassen

Das VLAN existiert lokal, ist aber auf dem Uplink nicht erlaubt. Dadurch funktioniert es nur auf einem Switch und nicht übergreifend.

Port im falschen Modus

Ein Port wurde einem VLAN zugewiesen, aber nicht ausdrücklich als Access-Port konfiguriert oder ist unerwartet als Trunk aktiv.

Management-SVI ohne aktiven VLAN-Kontext

Ein SVI wurde korrekt konfiguriert, bleibt aber wirkungslos, weil im entsprechenden VLAN kein aktiver Port vorhanden ist.

Konfiguration nicht gespeichert

Nach einem Neustart ist die Änderung weg, weil die laufende Konfiguration nicht in die Startkonfiguration übernommen wurde.

Konfiguration speichern

Nach dem Erstellen und Zuweisen von VLANs sollte die Konfiguration immer dauerhaft gespeichert werden. Andernfalls gehen die Änderungen nach einem Neustart verloren.

Running-Config in Startup-Config speichern

copy running-config startup-config

Alternativ wird häufig auch verwendet:

write memory

Für den sauberen Betrieb gilt: Nach sinnvollen Änderungen speichern.

Wichtige Prüf- und Kontrollbefehle im VLAN-Alltag

Beim Arbeiten mit VLANs auf Cisco-Switches gehören einige Befehle zur Grundausstattung. Wer sie beherrscht, kann die meisten Standardaufgaben sicher durchführen.

VLANs und Portzuordnung anzeigen

show vlan brief

Trunk-Status prüfen

show interfaces trunk

Portkonfiguration anzeigen

show running-config interface GigabitEthernet1/0/5

IP-Interfaces prüfen

show ip interface brief

MAC-Adressen kontrollieren

show mac address-table

Diese Befehle sind besonders hilfreich, wenn nach der VLAN-Erstellung geprüft werden soll, ob Endgeräte wirklich im richtigen VLAN arbeiten.

Ein vollständiges Beispiel für eine einfache VLAN-Konfiguration

Die folgende Beispielkonfiguration zeigt eine kleine, aber typische Grundstruktur mit Benutzer-, Voice- und Management-VLAN:

enable
configure terminal

vlan 10
 name CLIENTS
exit

vlan 20
 name VOICE
exit

vlan 99
 name MGMT
exit

interface range GigabitEthernet1/0/1 - 8
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 no shutdown
exit

interface GigabitEthernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
 no shutdown
exit

interface vlan 99
 ip address 192.168.99.10 255.255.255.0
 no shutdown
exit

ip default-gateway 192.168.99.1

end
copy running-config startup-config

Dieses Beispiel zeigt sehr gut, dass zur praktischen VLAN-Nutzung meist mehr gehört als nur der Befehl vlan 10.

Warum diese Schritt-für-Schritt-Konfiguration für Einsteiger so wichtig ist

Das Erstellen von VLANs auf Cisco-Switches ist ein zentrales Basisthema in der Netzwerktechnik. Es verbindet theoretische Grundlagen mit praktischer CLI-Arbeit und bildet die Basis für viele weiterführende Themen wie Trunking, Inter-VLAN-Routing, Spanning Tree, Port Security oder Voice-VLANs.

• Es vermittelt die Grundlogik der Layer-2-Segmentierung.
• Es zeigt, wie ein Switch logisch strukturiert wird.
• Es ist essenziell für den Aufbau moderner Unternehmensnetze.
• Es bereitet auf Troubleshooting und weiterführende Cisco-Themen vor.

Wer VLANs auf Cisco-Switches sicher erstellen, zuweisen, prüfen und speichern kann, beherrscht bereits einen sehr wichtigen Teil der praktischen Switching-Grundlagen. Genau deshalb gehört diese Aufgabe zu den klassischen Kernkompetenzen für CCNA-Einsteiger, Netzwerkadministratoren und alle, die professionelle LANs betreiben oder aufbauen möchten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.