April 1, 2026

11.4 Access Ports und Trunk Ports einfach erklärt

Access Ports und Trunk Ports gehören zu den wichtigsten Grundlagen beim Arbeiten mit VLANs, weil sie festlegen, wie ein Switch-Port den Datenverkehr behandelt und welche VLANs über ihn transportiert werden. Viele Einsteiger verstehen zwar schnell, dass VLANs ein Netzwerk logisch in mehrere Bereiche aufteilen, stoßen dann aber auf die nächste entscheidende Frage: Wie kommen diese VLANs eigentlich an die richtigen Ports? Genau hier kommen Access Ports und Trunk Ports ins Spiel. Ein Access Port ist typischerweise für ein einzelnes Endgerät und genau ein VLAN gedacht. Ein Trunk Port dagegen transportiert mehrere VLANs gleichzeitig über denselben physischen Link, meist zwischen Switches oder zu einem Router, einer Firewall oder einem Access Point. Wer VLANs wirklich verstehen möchte, muss deshalb auch verstehen, worin sich diese beiden Porttypen unterscheiden, wofür sie genutzt werden und wie man sie in der Praxis korrekt einsetzt.

Table of Contents

Warum Access Ports und Trunk Ports so wichtig sind

Ein Switch arbeitet nicht nur mit physischen Anschlüssen, sondern mit logisch konfigurierten Ports. Sobald VLANs im Netzwerk verwendet werden, reicht es nicht mehr aus, Geräte einfach nur einzustecken. Der Switch muss wissen, ob ein Port nur zu einem einzelnen VLAN gehört oder ob er Verkehr mehrerer VLANs gleichzeitig transportieren soll.

VLANs brauchen klare Portrollen

Ohne eine saubere Unterscheidung zwischen Access- und Trunk-Ports wäre nicht klar, wie Frames behandelt werden sollen. Ein PC an einem Arbeitsplatz braucht normalerweise nur Zugriff auf ein einzelnes VLAN. Ein Uplink zwischen zwei Switches muss dagegen oft mehrere VLANs gleichzeitig transportieren.

  • Endgeräte benötigen meist nur ein VLAN
  • Uplink-Verbindungen benötigen oft mehrere VLANs
  • Der Switch muss die Portrolle deshalb kennen

Porttyp entscheidet über die Behandlung von Frames

Access und Trunk unterscheiden sich vor allem darin, wie sie Ethernet-Frames im VLAN-Kontext behandeln. Genau diese Unterscheidung ist der Schlüssel zum Verständnis moderner VLAN-Netze.

  • Access-Port = ein VLAN pro Port
  • Trunk-Port = mehrere VLANs auf einem Port
  • Die Art der Frame-Behandlung ist unterschiedlich

Was ein Access Port grundsätzlich ist

Ein Access Port ist ein Switch-Port, der typischerweise genau einem VLAN zugeordnet ist. Er wird meist für Endgeräte verwendet, die selbst keine VLAN-Tags setzen oder auswerten sollen. Dazu gehören klassische PCs, Drucker, einfache Kameras oder andere Standardgeräte im LAN.

Ein Access Port gehört zu einem einzigen VLAN

Wenn ein Port als Access-Port konfiguriert ist, behandelt der Switch den Verkehr dieses Ports so, als gehöre er ausschließlich zu einem bestimmten VLAN. Alles, was über diesen Port hereinkommt oder hinausgeht, wird diesem VLAN zugeordnet.

  • ein Port
  • ein zugeordnetes VLAN
  • typisch für ein einzelnes Endgerät

Endgeräte sehen meist kein VLAN-Tag

Normale Endgeräte wie PCs arbeiten in Standardumgebungen ohne explizites VLAN-Tagging. Der Switch übernimmt die VLAN-Zuordnung auf dem Access-Port intern. Für das Endgerät wirkt die Verbindung deshalb wie ein ganz normales Ethernet-LAN.

  • das Endgerät sendet normale Ethernet-Frames
  • der Switch ordnet diese Frames dem Access-VLAN zu
  • das VLAN bleibt für das Endgerät oft unsichtbar

Typische Einsatzbereiche für Access Ports

Access Ports werden vor allem dort eingesetzt, wo ein einzelnes Gerät an ein klar definiertes VLAN angebunden werden soll. Das ist in der Praxis der häufigste Porttyp für Benutzer- und Endgeräteanschlüsse.

Klassische Endgeräte am Access-Port

  • Arbeitsplatz-PCs
  • Drucker
  • Einzelne Kameras
  • einfache IoT-Geräte
  • Server mit einer klaren VLAN-Zuordnung

Beispiel aus dem Alltag

Ein Büro-PC soll im Client-Netz arbeiten. Dafür wird sein Switch-Port als Access-Port im VLAN 10 konfiguriert. Der Benutzer merkt davon meist nichts, der Switch ordnet den gesamten Verkehr dieses Ports intern VLAN 10 zu.

Typische Cisco-Konfiguration:

interface GigabitEthernet1/0/10
 switchport mode access
 switchport access vlan 10
 no shutdown

Damit wird Port GigabitEthernet1/0/10 als Access-Port für VLAN 10 betrieben.

Was ein Trunk Port grundsätzlich ist

Ein Trunk Port ist ein Switch-Port, der mehrere VLANs gleichzeitig über denselben physischen Link transportieren kann. Er wird vor allem für Verbindungen zwischen Netzwerkgeräten verwendet, bei denen mehrere logische Netze parallel übertragen werden müssen.

Ein Trunk trägt mehrere VLANs gleichzeitig

Während ein Access-Port genau einem VLAN zugeordnet ist, kann ein Trunk-Port Verkehr aus mehreren VLANs transportieren. Das macht ihn für Uplink-Verbindungen unverzichtbar.

  • ein Port
  • mehrere VLANs
  • typisch für Verbindungen zwischen Switches oder zu anderen Infrastrukturgeräten

Warum dafür eine Kennzeichnung nötig ist

Wenn mehrere VLANs über denselben physischen Link laufen, muss auf Empfängerseite erkennbar bleiben, zu welchem VLAN ein Frame gehört. Genau deshalb werden Frames auf einem Trunk typischerweise VLAN-bezogen markiert.

  • sonst wären VLANs auf dem gemeinsamen Link nicht unterscheidbar
  • die Kennzeichnung erhält die logische Trennung auf demselben Kabel
  • mehrere VLANs bleiben sauber transportierbar

Typische Einsatzbereiche für Trunk Ports

Trunk Ports werden überall dort genutzt, wo mehrere VLANs über einen einzigen Link transportiert werden sollen. In professionellen Netzen sind sie deshalb an zentralen Stellen der Infrastruktur sehr häufig.

Typische Verbindungen mit Trunk Ports

  • Switch zu Switch
  • Switch zu Router für Inter-VLAN-Routing
  • Switch zu Firewall
  • Switch zu Access Point mit mehreren SSIDs und VLAN-Zuordnungen
  • Switch zu Servern mit VLAN-fähigen Interfaces oder Virtualisierung

Warum Trunks so wichtig sind

Ohne Trunk-Ports müsste für jedes VLAN eine eigene physische Verbindung aufgebaut werden. Das wäre teuer, unflexibel und in größeren Netzen kaum praktikabel. Trunks machen die Infrastruktur deutlich effizienter.

  • weniger physische Links nötig
  • bessere Nutzung der vorhandenen Verkabelung
  • einfachere Skalierung

Wie Access Ports Frames behandeln

Der praktische Unterschied zwischen Access und Trunk zeigt sich besonders gut an der Behandlung von Ethernet-Frames. Ein Access-Port arbeitet aus Sicht des Endgeräts meist „einfach und transparent“.

Frames auf einem Access-Port

Ein normales Endgerät sendet ungetaggte Ethernet-Frames an den Switch. Der Switch nimmt diese Frames entgegen und ordnet sie intern dem VLAN zu, das auf dem Access-Port konfiguriert ist.

Vereinfacht bedeutet das:

  • Frame kommt ungetaggt am Port an
  • Switch weiß: Dieser Port gehört zu VLAN 10
  • Frame wird intern als Verkehr von VLAN 10 behandelt

Auch ausgehender Verkehr wirkt für das Endgerät „normal“

Wenn der Switch Frames aus demselben VLAN an dieses Endgerät sendet, erscheinen sie ebenfalls als normale Ethernet-Frames. Das Endgerät muss keine VLAN-Logik verstehen.

  • kein spezielles VLAN-Wissen am Standard-PC nötig
  • Switch erledigt die Zuordnung
  • Access-Port vereinfacht die Endgeräteanbindung

Wie Trunk Ports Frames behandeln

Ein Trunk-Port muss mehrere VLANs gleichzeitig transportieren. Deshalb behandelt er Frames anders als ein Access-Port. Auf dem Trunk muss erkennbar sein, zu welchem VLAN ein Frame gehört.

Frames auf einem Trunk tragen VLAN-Kontext

Wenn ein Trunk-Port Verkehr aus mehreren VLANs transportiert, werden die Frames typischerweise so übertragen, dass die VLAN-Zugehörigkeit erhalten bleibt. Damit kann die Gegenstelle die Frames wieder korrekt dem passenden VLAN zuordnen.

  • mehrere VLANs auf demselben Link
  • VLAN-Zugehörigkeit bleibt transportiert
  • Gegenstelle kann Frames richtig einordnen

Warum das Endgeräte normalerweise nicht betrifft

Ein normaler Büro-PC wird üblicherweise nicht an einem klassischen Trunk-Port betrieben. Trunks sind vor allem für Geräte gedacht, die mehrere VLANs verstehen oder mehrere VLANs an andere Netzsegmente weiterreichen müssen.

  • Switches verstehen Trunks
  • Router oder Firewalls verstehen Trunks
  • normale PCs nutzen meist Access-Ports

Ein einfaches Praxisbeispiel mit Access und Trunk

Ein Unternehmen betreibt drei VLANs:

  • VLAN 10 für Clients
  • VLAN 20 für Drucker
  • VLAN 30 für VoIP-Telefone

Ein Access-Switch im Büro verbindet Endgeräte, ein zweiter Switch steht im Technikraum. Beide Switches sollen alle drei VLANs transportieren.

Access-Port im Beispiel

Der PC eines Mitarbeiters ist an Port 10 des Büro-Switches angeschlossen. Dieser Port wird als Access-Port für VLAN 10 konfiguriert.

interface GigabitEthernet1/0/10
 switchport mode access
 switchport access vlan 10

Der PC arbeitet damit logisch im Client-VLAN.

Trunk-Port im Beispiel

Der Uplink zwischen Büro-Switch und Technikraum-Switch muss alle drei VLANs transportieren. Daher wird dieser Port als Trunk konfiguriert.

interface GigabitEthernet1/0/24
 switchport mode trunk

So können VLAN 10, VLAN 20 und VLAN 30 gemeinsam über einen Link transportiert werden.

Warum Access und Trunk nicht verwechselt werden dürfen

Ein sehr häufiger Anfängerfehler ist es, einen Access-Port als Trunk oder einen Trunk-Port als Access zu konfigurieren. Das kann dazu führen, dass Geräte zwar physisch verbunden sind, aber logisch nicht korrekt kommunizieren.

Wenn ein Endgerät fälschlich an einem Trunk hängt

Ein Standard-PC erwartet normalerweise keine VLAN-getaggten Frames und setzt auch selbst keine Tags. Wird sein Port fälschlich als Trunk betrieben, kann die Kommunikation fehlschlagen oder unerwartet funktionieren.

  • der PC bekommt möglicherweise keine sinnvolle Netzverbindung
  • Frames werden nicht wie erwartet behandelt
  • Fehlersuche wird unnötig kompliziert

Wenn ein Uplink fälschlich als Access-Port läuft

Wird eine Verbindung zwischen zwei Switches nur als Access-Port betrieben, obwohl mehrere VLANs transportiert werden sollen, funktioniert über diesen Link effektiv nur ein einzelnes VLAN korrekt. Andere VLANs gehen verloren.

  • nicht alle VLANs erreichen die Gegenstelle
  • Teilbereiche des Netzes funktionieren scheinbar zufällig nicht
  • besonders tückischer Fehler in der Praxis

Native VLAN und ungetaggter Verkehr kurz eingeordnet

Beim Thema Trunk taucht häufig auch der Begriff Native VLAN auf. Für Einsteiger genügt zunächst ein Grundverständnis, ohne in alle Sonderfälle einzusteigen.

Was das Native VLAN grundsätzlich bedeutet

Auf einem Trunk kann es ein VLAN geben, dessen Verkehr in bestimmten Umgebungen ohne Tag behandelt wird. Dieses VLAN wird als Native VLAN bezeichnet. Es ist wichtig, weil Trunk-Ports nicht nur „irgendwie mehrere VLANs“ transportieren, sondern dafür eine saubere gemeinsame Definition brauchen.

Warum das in der Praxis relevant ist

Wenn auf zwei Seiten eines Trunks unterschiedliche Annahmen über das Native VLAN bestehen, kann das zu schwer auffindbaren Problemen führen. Für Einsteiger reicht deshalb die Merkhilfe: Trunk-Ports müssen auf beiden Seiten konsistent konfiguriert sein.

  • Trunk-Konfiguration sollte auf beiden Seiten zusammenpassen
  • VLAN-Zulassung und Betriebsmodus müssen konsistent sein
  • sonst entstehen VLAN- und Kommunikationsprobleme

Wichtige Cisco-Konfigurationen für Access Ports

Für Einsteiger ist es hilfreich, typische Grundkonfigurationen direkt zu sehen. Ein Access-Port wird in Cisco-Umgebungen meist mit wenigen klaren Befehlen eingerichtet.

Access-Port in VLAN 20 konfigurieren

configure terminal
interface GigabitEthernet1/0/12
 switchport mode access
 switchport access vlan 20
 no shutdown

Diese Konfiguration bedeutet:

  • Port arbeitet als Access-Port
  • Port gehört zu VLAN 20
  • Port ist administrativ aktiv

Typischer Einsatz

  • Drucker an VLAN 20
  • Benutzer-PC an VLAN 10
  • Kamera an VLAN 40

Wichtige Cisco-Konfigurationen für Trunk Ports

Auch Trunk-Ports lassen sich mit wenigen Grundbefehlen konfigurieren. Entscheidend ist, dass beide Seiten des Links passend eingerichtet werden.

Einfachen Trunk konfigurieren

configure terminal
interface GigabitEthernet1/0/24
 switchport mode trunk
 no shutdown

Damit wird der Port als Trunk betrieben.

Warum das oft erst der Anfang ist

In realen Netzen werden Trunks häufig noch weiter eingeschränkt oder präzisiert, etwa durch erlaubte VLANs. Für Einsteiger reicht zunächst das Grundverständnis, dass dieser Port mehrere VLANs transportieren kann.

Trunk prüfen

show interfaces trunk

Mit diesem Befehl lässt sich auf Cisco-Switches anzeigen, welche Ports als Trunk arbeiten und welche VLANs dort aktiv sind.

Wie man erkennt, ob ein Port Access oder Trunk ist

Gerade im Troubleshooting ist es wichtig, schnell zu erkennen, in welchem Modus ein Port arbeitet. Dafür gibt es einige Standardbefehle.

Wichtige Prüf-Befehle

show interfaces status
show running-config interface GigabitEthernet1/0/10
show interfaces trunk
show vlan brief

Was man damit prüfen kann

  • gehört ein Port zu einem bestimmten Access-VLAN?
  • ist der Port als Trunk definiert?
  • welche VLANs werden transportiert?
  • ist die Konfiguration logisch plausibel?

Typische Fehler bei Access und Trunk Ports

Gerade in Einsteigerumgebungen entstehen viele VLAN-Probleme direkt an den Portrollen. Einige Fehler tauchen besonders häufig auf.

Häufige Access-Port-Fehler

  • Port im falschen VLAN
  • Port nicht aktiviert
  • Endgerät an einem unerwarteten Port angeschlossen
  • Port als Trunk statt Access konfiguriert

Häufige Trunk-Port-Fehler

  • eine Seite Trunk, andere Seite Access
  • nicht alle benötigten VLANs werden transportiert
  • inkonsistente Konfiguration auf beiden Seiten
  • Native-VLAN-Probleme

Warum solche Fehler so tückisch sind

Der physische Link ist oft aktiv, die Port-LED leuchtet, und trotzdem funktioniert nur ein Teil der Kommunikation oder ganze VLANs bleiben unerreichbar. Genau das macht Portrollen zu einem klassischen Prüfpunkt im VLAN-Troubleshooting.

Wann Access und Trunk in echten Netzen gemeinsam vorkommen

In der Praxis arbeiten Access- und Trunk-Ports fast immer zusammen. Genau diese Kombination macht VLANs im Netzwerk alltagstauglich.

Typisches Unternehmensbeispiel

  • Benutzer-PCs hängen an Access-Ports im Client-VLAN
  • Drucker hängen an Access-Ports im Drucker-VLAN
  • IP-Telefone hängen an speziellen Ports mit Voice-VLAN-Konzepten
  • Uplinks zwischen Etagen- und Core-Switches laufen als Trunks

Warum das ein gutes Design ist

Access-Ports binden Endgeräte einfach und klar an. Trunk-Ports verbinden die Netzwerksegmente flexibel untereinander. Zusammen bilden sie das Grundgerüst eines VLAN-basierten LANs.

Warum Netzwerkeinsteiger diese Unterscheidung früh verstehen sollten

Access Ports und Trunk Ports sind keine Spezialthemen für große Rechenzentren, sondern absolute Grundlagen für das Arbeiten mit VLANs. Wer sie nicht sauber unterscheiden kann, hat bei VLAN-Konfigurationen und Switch-Troubleshooting schnell Probleme.

Wichtige Folgethemen bauen direkt darauf auf

  • VLAN-Design
  • Inter-VLAN-Routing
  • Switch-Uplinks
  • Voice-VLANs
  • Layer-2-Fehlersuche

Die Begriffe erklären viele reale Netzwerkprobleme

Wenn ein Gerät „kein Netz“ hat oder VLANs nicht zwischen Switches ankommen, liegt die Ursache sehr oft an falsch verstandenen Portrollen. Genau deshalb ist dieses Thema für Einsteiger so praxisrelevant.

Was Einsteiger sich zu Access Ports und Trunk Ports merken sollten

Ein Access-Port ist für genau ein VLAN gedacht und wird typischerweise für Endgeräte wie PCs, Drucker oder Kameras verwendet. Ein Trunk-Port transportiert mehrere VLANs gleichzeitig über denselben physischen Link und wird vor allem für Verbindungen zwischen Switches oder zu anderen Netzwerkgeräten genutzt. Der Unterschied liegt vor allem in der Anzahl der VLANs pro Port und in der Art, wie Frames im VLAN-Kontext behandelt werden.

  • Access-Port = ein VLAN, meist für Endgeräte
  • Trunk-Port = mehrere VLANs, meist für Uplinks
  • Access ist einfach und direkt für normale Geräte
  • Trunk ist flexibel und zentral für VLAN-Transport
  • Falsche Portrollen sind eine häufige Fehlerquelle
  • Die Unterscheidung ist eine Grundvoraussetzung für VLAN-Verständnis

Wer Access Ports und Trunk Ports sauber verstanden hat, besitzt eine sehr wichtige Grundlage für Switch-Konfiguration, VLAN-Transport und Layer-2-Troubleshooting. Genau dieses Wissen macht aus theoretischen VLAN-Begriffen ein praktisch nutzbares Netzwerkverständnis.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Anhang E Zusätzliche Lernressourcen für CCST Networking

Anhang A Wichtige Netzwerkbegriffe einfach erklärt

Anhang B Grundlegende Cisco-Befehle für Einsteiger im Überblick

Anhang C Tabelle wichtiger Ports und Protokolle einfach erklärt

Anhang D Schnelle Übersicht zu IPv4 und Subnetting

21.2 Fragen zu OSI, TCP/IP und Ethernet zum Üben

21.3 Übungsfragen zu IP-Adressierung und Subnetting

21.4 Fragen zu Switching, VLAN und Routing mit Lösungen

21.5 Fragen zu Wireless und Netzwerksicherheit

21.6 Praxisnahe Fallfragen für Networking-Einsteiger

21.7 Ausführliche Lösungen zu den Übungsfragen

21.8 Lernerfolg bewerten: So prüfst du deinen Wissensstand