March 28, 2026

19.5 VLAN und Trunk im Lab praktisch konfigurieren

VLANs und Trunks gehören zu den wichtigsten Grundlagen im Switching-Bereich und sind fester Bestandteil jedes CCNA-Labs. Wer Netzwerke nicht nur theoretisch verstehen, sondern praktisch konfigurieren und sauber segmentieren will, muss lernen, wie mehrere logische Netze auf derselben physischen Infrastruktur betrieben werden. Genau dafür werden VLANs eingesetzt: Sie trennen Broadcast-Domänen logisch auf Switches. Trunks ergänzen dieses Konzept, indem sie mehrere VLANs über eine einzige Verbindung zwischen Switches oder zwischen Switch und Router transportieren. Im Lab lassen sich diese Mechanismen besonders gut nachvollziehen, weil sich Konfiguration, Fehlverhalten und Troubleshooting direkt beobachten lassen. Eine saubere praktische Übung mit VLAN und Trunk vermittelt deshalb nicht nur Cisco-Befehle, sondern auch ein belastbares Verständnis für Segmentierung, Access-Ports, Uplinks und typische Fehlerbilder in Campus-Netzwerken.

Warum VLAN und Trunk im CCNA-Lab so wichtig sind

In einem einfachen Layer-2-Netz befinden sich alle Endgeräte standardmäßig in derselben Broadcast-Domäne. Das ist für kleine Testumgebungen ausreichend, in realen Netzwerken aber technisch und organisatorisch unpraktisch. Unterschiedliche Abteilungen, Sicherheitszonen oder Geräteklassen sollen voneinander getrennt werden, ohne für jedes Netz eigene physische Switches zu benötigen. Genau hier kommen VLANs ins Spiel.

  • VLANs segmentieren ein physisches Netzwerk in mehrere logische Broadcast-Domänen.
  • Hosts im selben VLAN können auf Layer 2 direkt miteinander kommunizieren.
  • Hosts in unterschiedlichen VLANs benötigen ein Layer-3-Gerät für die Kommunikation.
  • Trunks transportieren mehrere VLANs über eine einzige Verbindung.

Im CCNA-Lab ist dieses Thema besonders wichtig, weil VLANs und Trunks die Grundlage für Inter-VLAN-Routing, DHCP pro VLAN, Access Control Lists und Campus-Designs bilden. Wer VLAN und Trunk praktisch konfigurieren kann, versteht später auch Router-on-a-Stick, Layer-3-Switching und viele typische Troubleshooting-Szenarien deutlich besser.

Die passende Lab-Topologie für VLAN- und Trunk-Übungen

Für praxisnahe Übungen genügt eine überschaubare, aber technisch sinnvolle Topologie. Ideal ist eine Umgebung mit zwei Switches und mehreren Endgeräten. So kann nicht nur die VLAN-Zuordnung an Access-Ports, sondern auch der VLAN-Transport über einen Trunk getestet werden.

Empfohlene Grundtopologie

  • 2 Switches, zum Beispiel Cisco 2960 oder IOSvL2
  • 2 bis 4 PCs oder virtuelle Hosts
  • 1 Uplink zwischen den Switches
  • Optional später ein Router oder Layer-3-Switch für Inter-VLAN-Routing

Beispielhafte Rollen im Lab

  • SW1 als erster Access-Switch
  • SW2 als zweiter Access-Switch
  • PC1 und PC3 in VLAN 10
  • PC2 und PC4 in VLAN 20

Mit dieser Struktur lässt sich sehr gut demonstrieren, dass Hosts im selben VLAN auch über zwei Switches hinweg kommunizieren können, sofern der Trunk korrekt konfiguriert ist. Gleichzeitig wird sichtbar, dass Hosts in unterschiedlichen VLANs trotz funktionierender physischer Verbindung ohne Routing nicht miteinander kommunizieren.

VLAN-Grundlagen im Lab zuerst logisch verstehen

Bevor die CLI-Konfiguration beginnt, sollte klar sein, was technisch passiert. Ein VLAN ist kein eigenes Kabel und kein eigenes Gerät, sondern eine logische Gruppierung von Switchports. Ein Access-Port gehört genau einem VLAN an. Frames, die dort eingehen, werden intern diesem VLAN zugeordnet. Auf einem Trunk dagegen werden mehrere VLANs transportiert, typischerweise mit IEEE 802.1Q-Tags.

Wichtige Grundbegriffe

  • Access-Port: Port für Endgeräte, meist einem einzelnen VLAN zugeordnet
  • Trunk-Port: Port zwischen Netzwerkgeräten, transportiert mehrere VLANs
  • VLAN-ID: Numerische Kennung eines VLANs, zum Beispiel 10 oder 20
  • Native VLAN: VLAN für ungetaggte Frames auf einem 802.1Q-Trunk

Gerade im Lab ist es sinnvoll, diese Begriffe nicht nur auswendig zu lernen, sondern durch gezielte Tests zu verifizieren. Wenn zwei Hosts im selben IP-Netz liegen, aber in unterschiedlichen VLANs angeschlossen sind, scheitert die Kommunikation trotzdem. Genau diese Beobachtung macht die VLAN-Funktion greifbar.

VLANs auf dem Switch anlegen

Der erste praktische Schritt besteht darin, die benötigten VLANs auf beiden Switches anzulegen. Im Lab ist eine klare Benennung sinnvoll, weil sie die Zuordnung deutlich übersichtlicher macht.

enable
configure terminal
vlan 10
 name SALES
vlan 20
 name IT
vlan 99
 name MGMT
end
write memory

Was diese Konfiguration bewirkt

  • VLAN 10 wird als logisches Segment für eine erste Hostgruppe erstellt.
  • VLAN 20 dient als zweites logisches Segment.
  • VLAN 99 kann als separates Management-VLAN genutzt werden.

Wichtig ist, dass VLANs auf allen beteiligten Switches vorhanden sein müssen. Ein sehr häufiger Lab-Fehler ist, dass VLAN 10 auf SW1 existiert, auf SW2 aber nicht. Dann wirkt der Trunk scheinbar fehlerhaft, obwohl das Problem in Wirklichkeit an fehlender lokaler VLAN-Definition liegt.

VLANs prüfen

show vlan brief
show running-config

Mit show vlan brief lässt sich schnell prüfen, welche VLANs vorhanden sind und welche Access-Ports ihnen bereits zugeordnet wurden. Dieser Befehl gehört zu den wichtigsten Prüfkommandos in jedem VLAN-Lab.

Access-Ports den VLANs zuweisen

Nach dem Anlegen der VLANs müssen die Ports für die Endgeräte korrekt zugewiesen werden. Im Lab sollte bewusst mit mehreren Hosts gearbeitet werden, damit sich Kommunikation innerhalb und zwischen VLANs sauber testen lässt.

Beispiel auf SW1

configure terminal
interface fastEthernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 description PC1-SALES

interface fastEthernet0/2
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 description PC2-IT
end

Beispiel auf SW2

configure terminal
interface fastEthernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 description PC3-SALES

interface fastEthernet0/2
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 description PC4-IT
end
  • switchport mode access setzt den Port explizit in den Access-Modus.
  • switchport access vlan X weist das gewünschte VLAN zu.
  • spanning-tree portfast beschleunigt die Aktivierung von Endgeräteports.
  • Beschreibungen mit description verbessern Lesbarkeit und Dokumentation.

Im Lab sollte jetzt bereits geprüft werden, ob Hosts im selben VLAN am selben Switch kommunizieren können. Zwei PCs in VLAN 10 auf demselben Switch sollten sich problemlos pingen können, sofern die IP-Konfiguration korrekt ist.

Access-Port-Zuweisungen prüfen

show vlan brief
show interfaces fastEthernet0/1 switchport
show interfaces fastEthernet0/2 switchport

Diese Befehle sind wichtig, weil sie den tatsächlich aktiven Portmodus und die VLAN-Zuordnung sichtbar machen. Gerade bei Fehlersuche ist das wesentlich aussagekräftiger als bloßes Vertrauen in die ursprüngliche Konfiguration.

Endgeräte im Lab passend adressieren

Damit Tests sinnvoll durchgeführt werden können, müssen die Hosts passend zu den VLANs adressiert werden. Üblich ist, pro VLAN ein eigenes IP-Subnetz zu verwenden. Auch wenn ohne Routing noch keine Kommunikation zwischen VLANs stattfindet, macht diese Struktur das Design korrekt und erweitert später einfach auf Inter-VLAN-Routing.

Beispielhafte Adressierung

  • VLAN 10: 192.168.10.0/24
  • VLAN 20: 192.168.20.0/24
  • VLAN 99: 192.168.99.0/24

Beispiel für Hosts

  • PC1: 192.168.10.10/24
  • PC3: 192.168.10.11/24
  • PC2: 192.168.20.10/24
  • PC4: 192.168.20.11/24

Vor dem Trunk-Test ist eine wichtige Beobachtung: PC1 in VLAN 10 auf SW1 kann zunächst nur dann PC3 erreichen, wenn der Uplink zwischen den Switches korrekt als Trunk arbeitet. Ohne funktionierenden Trunk bleiben die VLANs lokal auf ihren jeweiligen Switch begrenzt.

Trunk zwischen zwei Switches praktisch konfigurieren

Der nächste zentrale Schritt ist die Uplink-Konfiguration als Trunk. Dadurch können VLAN 10 und VLAN 20 zwischen SW1 und SW2 transportiert werden. Im Lab sollte der Uplink explizit konfiguriert werden, statt sich auf automatische Aushandlung zu verlassen.

Trunk-Konfiguration auf SW1

configure terminal
interface gigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
 description Uplink-to-SW2
end

Trunk-Konfiguration auf SW2

configure terminal
interface gigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
 description Uplink-to-SW1
end
  • switchport mode trunk aktiviert den Trunk-Modus.
  • switchport trunk allowed vlan begrenzt die erlaubten VLANs gezielt.
  • Eine dokumentierte Uplink-Beschreibung erleichtert die Orientierung im Lab.

Nach dieser Konfiguration sollten sich Hosts desselben VLANs auch switchübergreifend erreichen können. Beispielsweise muss ein Ping von PC1 auf PC3 funktionieren, weil beide in VLAN 10 arbeiten und dieses VLAN über den Trunk transportiert wird.

Trunk-Zustand prüfen

show interfaces trunk
show interfaces gigabitEthernet0/1 switchport
show running-config interface gigabitEthernet0/1

show interfaces trunk ist einer der wichtigsten Befehle überhaupt. Er zeigt, welche Interfaces tatsächlich trunking sind, welche VLANs erlaubt wurden und welche VLANs aktiv transportiert werden. Im Troubleshooting liefert genau dieser Befehl oft den schnellsten Hinweis auf Uplink-Probleme.

Native VLAN und praktische Bedeutung im Lab

Im CCNA-Lab sollte auch das Native VLAN zumindest grundlegend verstanden werden. Auf einem 802.1Q-Trunk werden Frames des Native VLAN standardmäßig ungetaggt transportiert. In der Praxis sollte dieses VLAN bewusst geplant und nicht unüberlegt auf Standardwerten belassen werden.

Native VLAN auf dem Trunk setzen

configure terminal
interface gigabitEthernet0/1
 switchport trunk native vlan 99
end
  • Das Native VLAN sollte auf beiden Seiten des Trunks identisch sein.
  • Ein Native-VLAN-Mismatch kann zu Warnmeldungen und unerwartetem Verhalten führen.
  • Im Lab ist diese Übung nützlich, um Konfigurationskonsistenz zu trainieren.

Wichtig ist, das Native VLAN nicht mit einem allgemeinen Benutzer-VLAN zu verwechseln. In gut strukturierten Labs und produktiven Umgebungen wird dafür oft ein separates VLAN verwendet, etwa für Management oder ungenutzte Zwecke.

Management-VLAN im Lab ergänzen

Ein sehr praxisnaher nächster Schritt ist das Management-VLAN. Damit wird sichtbar, wie ein Switch für IP-basiertes Management erreichbar gemacht wird. Auf einem Layer-2-Switch erhält nicht der physische Access-Port eine IP-Adresse, sondern ein SVI.

Management-IP auf SW1

configure terminal
interface vlan 99
 ip address 192.168.99.2 255.255.255.0
 no shutdown
exit
ip default-gateway 192.168.99.1
end

Management-IP auf SW2

configure terminal
interface vlan 99
 ip address 192.168.99.3 255.255.255.0
 no shutdown
exit
ip default-gateway 192.168.99.1
end
  • Das SVI für VLAN 99 ermöglicht Management per IP.
  • Das VLAN muss auf dem Switch aktiv sein, sonst bleibt das Interface oft down.
  • Für Management aus anderen Netzen ist ein Default Gateway erforderlich.

Im Lab wird hier sehr gut deutlich, dass VLANs nicht nur für Clients, sondern auch für saubere Verwaltungsstrukturen verwendet werden. Das verbessert später das Verständnis für Campus-Design und Switch-Management erheblich.

Kommunikation im Lab systematisch testen

Nach der Konfiguration müssen die Funktionen gezielt überprüft werden. Das Testing sollte in einer klaren Reihenfolge erfolgen, damit Fehler schnell eingegrenzt werden können.

Empfohlene Testreihenfolge

  • Host im selben VLAN auf demselben Switch testen
  • Host im selben VLAN auf anderem Switch testen
  • Host in anderem VLAN testen
  • Management-IP der Switches anpingen
  • MAC-Learning und Portzuordnung kontrollieren

Typische Prüfkommandos

show vlan brief
show interfaces trunk
show mac address-table
show ip interface brief
ping 192.168.10.11
ping 192.168.20.11

Die fachlich wichtige Beobachtung im Lab lautet: Hosts im selben VLAN können über den Trunk kommunizieren, Hosts in unterschiedlichen VLANs jedoch nicht. Diese Trennung ist gewollt und kein Fehler. Erst ein Router oder Layer-3-Switch würde Kommunikation zwischen VLAN 10 und VLAN 20 ermöglichen.

Typische Fehlerbilder bei VLAN und Trunk im Lab

Gerade VLAN- und Trunk-Labs eignen sich hervorragend für Troubleshooting-Übungen, weil viele Fehler leicht reproduzierbar und technisch lehrreich sind. Wer diese Fehlerbilder bewusst erzeugt und wieder behebt, entwickelt deutlich schneller ein belastbares Switching-Verständnis.

Häufige Konfigurationsfehler

  • Port im falschen VLAN
  • VLAN nur auf einem der beiden Switches angelegt
  • Uplink nicht als Trunk konfiguriert
  • Falsche Allowed-VLAN-Liste
  • Native-VLAN-Mismatch
  • Management-SVI ohne aktives VLAN

Fehler systematisch eingrenzen

show interfaces status
show interfaces trunk
show interfaces switchport
show vlan brief
show mac address-table
show spanning-tree
  • Mit show interfaces status wird geprüft, ob Ports überhaupt verbunden sind.
  • show interfaces trunk zeigt sofort, ob der Uplink trunking ist.
  • show interfaces switchport zeigt den Modus einzelner Ports.
  • show vlan brief verifiziert VLAN-Existenz und Access-Port-Zuweisung.
  • show mac address-table zeigt, ob der Switch die Endgeräte überhaupt sieht.

Ein klassisches Lab-Szenario ist etwa: PC1 und PC3 befinden sich beide in VLAN 10, können aber nicht kommunizieren. Die Ursache ist oft nicht die IP-Konfiguration, sondern ein Trunk, auf dem VLAN 10 nicht erlaubt wurde. Genau solche Fehler sollten nicht nur behoben, sondern bewusst analysiert werden.

VLAN- und Trunk-Übungen sinnvoll erweitern

Ist die Grundtopologie stabil, lässt sich das Lab schrittweise ausbauen. So entsteht aus der VLAN-Trunk-Übung eine vollständige CCNA-Lernumgebung.

Sinnvolle nächste Schritte

  • Router-on-a-Stick für Inter-VLAN-Routing ergänzen
  • Layer-3-Switch mit SVIs und ip routing einsetzen
  • DHCP pro VLAN konfigurieren
  • ACLs zwischen VLANs testen
  • Spanning Tree mit redundanten Uplinks beobachten

Didaktisch ist diese Reihenfolge sehr sinnvoll, weil zuerst die Layer-2-Segmentierung sauber verstanden wird. Erst danach folgt Routing zwischen den VLANs. Wer diese Trennung konsequent übt, erkennt später Störungen schneller und kann klar unterscheiden, ob ein Problem auf Access-Port-, Trunk-, VLAN- oder Layer-3-Ebene liegt.

Empfohlene Reihenfolge für eine saubere Praxisübung

  • Zuerst Topologie mit zwei Switches und mehreren Hosts aufbauen.
  • Dann VLANs auf beiden Switches anlegen.
  • Danach Access-Ports den richtigen VLANs zuweisen.
  • Im nächsten Schritt den Uplink als Trunk konfigurieren.
  • Anschließend Allowed VLANs und optional das Native VLAN setzen.
  • Dann Management-VLAN und SVI ergänzen.
  • Zum Schluss gezielt testen und Fehlerbilder simulieren.

Wer VLAN und Trunk im Lab praktisch konfiguriert, trainiert damit nicht nur zwei CCNA-Themen, sondern das Grundprinzip moderner Layer-2-Segmentierung. Genau daraus entsteht das technische Fundament für sauberes Switching, Inter-VLAN-Routing und belastbares Troubleshooting in Cisco-Netzwerken.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick