VLANs und Trunks gehören zu den wichtigsten Grundlagen im Switching-Bereich und sind fester Bestandteil jedes CCNA-Labs. Wer Netzwerke nicht nur theoretisch verstehen, sondern praktisch konfigurieren und sauber segmentieren will, muss lernen, wie mehrere logische Netze auf derselben physischen Infrastruktur betrieben werden. Genau dafür werden VLANs eingesetzt: Sie trennen Broadcast-Domänen logisch auf Switches. Trunks ergänzen dieses Konzept, indem sie mehrere VLANs über eine einzige Verbindung zwischen Switches oder zwischen Switch und Router transportieren. Im Lab lassen sich diese Mechanismen besonders gut nachvollziehen, weil sich Konfiguration, Fehlverhalten und Troubleshooting direkt beobachten lassen. Eine saubere praktische Übung mit VLAN und Trunk vermittelt deshalb nicht nur Cisco-Befehle, sondern auch ein belastbares Verständnis für Segmentierung, Access-Ports, Uplinks und typische Fehlerbilder in Campus-Netzwerken.
Warum VLAN und Trunk im CCNA-Lab so wichtig sind
In einem einfachen Layer-2-Netz befinden sich alle Endgeräte standardmäßig in derselben Broadcast-Domäne. Das ist für kleine Testumgebungen ausreichend, in realen Netzwerken aber technisch und organisatorisch unpraktisch. Unterschiedliche Abteilungen, Sicherheitszonen oder Geräteklassen sollen voneinander getrennt werden, ohne für jedes Netz eigene physische Switches zu benötigen. Genau hier kommen VLANs ins Spiel.
- VLANs segmentieren ein physisches Netzwerk in mehrere logische Broadcast-Domänen.
- Hosts im selben VLAN können auf Layer 2 direkt miteinander kommunizieren.
- Hosts in unterschiedlichen VLANs benötigen ein Layer-3-Gerät für die Kommunikation.
- Trunks transportieren mehrere VLANs über eine einzige Verbindung.
Im CCNA-Lab ist dieses Thema besonders wichtig, weil VLANs und Trunks die Grundlage für Inter-VLAN-Routing, DHCP pro VLAN, Access Control Lists und Campus-Designs bilden. Wer VLAN und Trunk praktisch konfigurieren kann, versteht später auch Router-on-a-Stick, Layer-3-Switching und viele typische Troubleshooting-Szenarien deutlich besser.
Die passende Lab-Topologie für VLAN- und Trunk-Übungen
Für praxisnahe Übungen genügt eine überschaubare, aber technisch sinnvolle Topologie. Ideal ist eine Umgebung mit zwei Switches und mehreren Endgeräten. So kann nicht nur die VLAN-Zuordnung an Access-Ports, sondern auch der VLAN-Transport über einen Trunk getestet werden.
Empfohlene Grundtopologie
- 2 Switches, zum Beispiel Cisco 2960 oder IOSvL2
- 2 bis 4 PCs oder virtuelle Hosts
- 1 Uplink zwischen den Switches
- Optional später ein Router oder Layer-3-Switch für Inter-VLAN-Routing
Beispielhafte Rollen im Lab
SW1als erster Access-SwitchSW2als zweiter Access-SwitchPC1undPC3in VLAN 10PC2undPC4in VLAN 20
Mit dieser Struktur lässt sich sehr gut demonstrieren, dass Hosts im selben VLAN auch über zwei Switches hinweg kommunizieren können, sofern der Trunk korrekt konfiguriert ist. Gleichzeitig wird sichtbar, dass Hosts in unterschiedlichen VLANs trotz funktionierender physischer Verbindung ohne Routing nicht miteinander kommunizieren.
VLAN-Grundlagen im Lab zuerst logisch verstehen
Bevor die CLI-Konfiguration beginnt, sollte klar sein, was technisch passiert. Ein VLAN ist kein eigenes Kabel und kein eigenes Gerät, sondern eine logische Gruppierung von Switchports. Ein Access-Port gehört genau einem VLAN an. Frames, die dort eingehen, werden intern diesem VLAN zugeordnet. Auf einem Trunk dagegen werden mehrere VLANs transportiert, typischerweise mit IEEE 802.1Q-Tags.
Wichtige Grundbegriffe
- Access-Port: Port für Endgeräte, meist einem einzelnen VLAN zugeordnet
- Trunk-Port: Port zwischen Netzwerkgeräten, transportiert mehrere VLANs
- VLAN-ID: Numerische Kennung eines VLANs, zum Beispiel 10 oder 20
- Native VLAN: VLAN für ungetaggte Frames auf einem 802.1Q-Trunk
Gerade im Lab ist es sinnvoll, diese Begriffe nicht nur auswendig zu lernen, sondern durch gezielte Tests zu verifizieren. Wenn zwei Hosts im selben IP-Netz liegen, aber in unterschiedlichen VLANs angeschlossen sind, scheitert die Kommunikation trotzdem. Genau diese Beobachtung macht die VLAN-Funktion greifbar.
VLANs auf dem Switch anlegen
Der erste praktische Schritt besteht darin, die benötigten VLANs auf beiden Switches anzulegen. Im Lab ist eine klare Benennung sinnvoll, weil sie die Zuordnung deutlich übersichtlicher macht.
enable
configure terminal
vlan 10
name SALES
vlan 20
name IT
vlan 99
name MGMT
end
write memory
Was diese Konfiguration bewirkt
- VLAN 10 wird als logisches Segment für eine erste Hostgruppe erstellt.
- VLAN 20 dient als zweites logisches Segment.
- VLAN 99 kann als separates Management-VLAN genutzt werden.
Wichtig ist, dass VLANs auf allen beteiligten Switches vorhanden sein müssen. Ein sehr häufiger Lab-Fehler ist, dass VLAN 10 auf SW1 existiert, auf SW2 aber nicht. Dann wirkt der Trunk scheinbar fehlerhaft, obwohl das Problem in Wirklichkeit an fehlender lokaler VLAN-Definition liegt.
VLANs prüfen
show vlan brief
show running-config
Mit show vlan brief lässt sich schnell prüfen, welche VLANs vorhanden sind und welche Access-Ports ihnen bereits zugeordnet wurden. Dieser Befehl gehört zu den wichtigsten Prüfkommandos in jedem VLAN-Lab.
Access-Ports den VLANs zuweisen
Nach dem Anlegen der VLANs müssen die Ports für die Endgeräte korrekt zugewiesen werden. Im Lab sollte bewusst mit mehreren Hosts gearbeitet werden, damit sich Kommunikation innerhalb und zwischen VLANs sauber testen lässt.
Beispiel auf SW1
configure terminal
interface fastEthernet0/1
switchport mode access
switchport access vlan 10
spanning-tree portfast
description PC1-SALES
interface fastEthernet0/2
switchport mode access
switchport access vlan 20
spanning-tree portfast
description PC2-IT
end
Beispiel auf SW2
configure terminal
interface fastEthernet0/1
switchport mode access
switchport access vlan 10
spanning-tree portfast
description PC3-SALES
interface fastEthernet0/2
switchport mode access
switchport access vlan 20
spanning-tree portfast
description PC4-IT
end
switchport mode accesssetzt den Port explizit in den Access-Modus.switchport access vlan Xweist das gewünschte VLAN zu.spanning-tree portfastbeschleunigt die Aktivierung von Endgeräteports.- Beschreibungen mit
descriptionverbessern Lesbarkeit und Dokumentation.
Im Lab sollte jetzt bereits geprüft werden, ob Hosts im selben VLAN am selben Switch kommunizieren können. Zwei PCs in VLAN 10 auf demselben Switch sollten sich problemlos pingen können, sofern die IP-Konfiguration korrekt ist.
Access-Port-Zuweisungen prüfen
show vlan brief
show interfaces fastEthernet0/1 switchport
show interfaces fastEthernet0/2 switchport
Diese Befehle sind wichtig, weil sie den tatsächlich aktiven Portmodus und die VLAN-Zuordnung sichtbar machen. Gerade bei Fehlersuche ist das wesentlich aussagekräftiger als bloßes Vertrauen in die ursprüngliche Konfiguration.
Endgeräte im Lab passend adressieren
Damit Tests sinnvoll durchgeführt werden können, müssen die Hosts passend zu den VLANs adressiert werden. Üblich ist, pro VLAN ein eigenes IP-Subnetz zu verwenden. Auch wenn ohne Routing noch keine Kommunikation zwischen VLANs stattfindet, macht diese Struktur das Design korrekt und erweitert später einfach auf Inter-VLAN-Routing.
Beispielhafte Adressierung
- VLAN 10:
192.168.10.0/24 - VLAN 20:
192.168.20.0/24 - VLAN 99:
192.168.99.0/24
Beispiel für Hosts
PC1:192.168.10.10/24PC3:192.168.10.11/24PC2:192.168.20.10/24PC4:192.168.20.11/24
Vor dem Trunk-Test ist eine wichtige Beobachtung: PC1 in VLAN 10 auf SW1 kann zunächst nur dann PC3 erreichen, wenn der Uplink zwischen den Switches korrekt als Trunk arbeitet. Ohne funktionierenden Trunk bleiben die VLANs lokal auf ihren jeweiligen Switch begrenzt.
Trunk zwischen zwei Switches praktisch konfigurieren
Der nächste zentrale Schritt ist die Uplink-Konfiguration als Trunk. Dadurch können VLAN 10 und VLAN 20 zwischen SW1 und SW2 transportiert werden. Im Lab sollte der Uplink explizit konfiguriert werden, statt sich auf automatische Aushandlung zu verlassen.
Trunk-Konfiguration auf SW1
configure terminal
interface gigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,99
description Uplink-to-SW2
end
Trunk-Konfiguration auf SW2
configure terminal
interface gigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,99
description Uplink-to-SW1
end
switchport mode trunkaktiviert den Trunk-Modus.switchport trunk allowed vlanbegrenzt die erlaubten VLANs gezielt.- Eine dokumentierte Uplink-Beschreibung erleichtert die Orientierung im Lab.
Nach dieser Konfiguration sollten sich Hosts desselben VLANs auch switchübergreifend erreichen können. Beispielsweise muss ein Ping von PC1 auf PC3 funktionieren, weil beide in VLAN 10 arbeiten und dieses VLAN über den Trunk transportiert wird.
Trunk-Zustand prüfen
show interfaces trunk
show interfaces gigabitEthernet0/1 switchport
show running-config interface gigabitEthernet0/1
show interfaces trunk ist einer der wichtigsten Befehle überhaupt. Er zeigt, welche Interfaces tatsächlich trunking sind, welche VLANs erlaubt wurden und welche VLANs aktiv transportiert werden. Im Troubleshooting liefert genau dieser Befehl oft den schnellsten Hinweis auf Uplink-Probleme.
Native VLAN und praktische Bedeutung im Lab
Im CCNA-Lab sollte auch das Native VLAN zumindest grundlegend verstanden werden. Auf einem 802.1Q-Trunk werden Frames des Native VLAN standardmäßig ungetaggt transportiert. In der Praxis sollte dieses VLAN bewusst geplant und nicht unüberlegt auf Standardwerten belassen werden.
Native VLAN auf dem Trunk setzen
configure terminal
interface gigabitEthernet0/1
switchport trunk native vlan 99
end
- Das Native VLAN sollte auf beiden Seiten des Trunks identisch sein.
- Ein Native-VLAN-Mismatch kann zu Warnmeldungen und unerwartetem Verhalten führen.
- Im Lab ist diese Übung nützlich, um Konfigurationskonsistenz zu trainieren.
Wichtig ist, das Native VLAN nicht mit einem allgemeinen Benutzer-VLAN zu verwechseln. In gut strukturierten Labs und produktiven Umgebungen wird dafür oft ein separates VLAN verwendet, etwa für Management oder ungenutzte Zwecke.
Management-VLAN im Lab ergänzen
Ein sehr praxisnaher nächster Schritt ist das Management-VLAN. Damit wird sichtbar, wie ein Switch für IP-basiertes Management erreichbar gemacht wird. Auf einem Layer-2-Switch erhält nicht der physische Access-Port eine IP-Adresse, sondern ein SVI.
Management-IP auf SW1
configure terminal
interface vlan 99
ip address 192.168.99.2 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.99.1
end
Management-IP auf SW2
configure terminal
interface vlan 99
ip address 192.168.99.3 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.99.1
end
- Das SVI für VLAN 99 ermöglicht Management per IP.
- Das VLAN muss auf dem Switch aktiv sein, sonst bleibt das Interface oft down.
- Für Management aus anderen Netzen ist ein Default Gateway erforderlich.
Im Lab wird hier sehr gut deutlich, dass VLANs nicht nur für Clients, sondern auch für saubere Verwaltungsstrukturen verwendet werden. Das verbessert später das Verständnis für Campus-Design und Switch-Management erheblich.
Kommunikation im Lab systematisch testen
Nach der Konfiguration müssen die Funktionen gezielt überprüft werden. Das Testing sollte in einer klaren Reihenfolge erfolgen, damit Fehler schnell eingegrenzt werden können.
Empfohlene Testreihenfolge
- Host im selben VLAN auf demselben Switch testen
- Host im selben VLAN auf anderem Switch testen
- Host in anderem VLAN testen
- Management-IP der Switches anpingen
- MAC-Learning und Portzuordnung kontrollieren
Typische Prüfkommandos
show vlan brief
show interfaces trunk
show mac address-table
show ip interface brief
ping 192.168.10.11
ping 192.168.20.11
Die fachlich wichtige Beobachtung im Lab lautet: Hosts im selben VLAN können über den Trunk kommunizieren, Hosts in unterschiedlichen VLANs jedoch nicht. Diese Trennung ist gewollt und kein Fehler. Erst ein Router oder Layer-3-Switch würde Kommunikation zwischen VLAN 10 und VLAN 20 ermöglichen.
Typische Fehlerbilder bei VLAN und Trunk im Lab
Gerade VLAN- und Trunk-Labs eignen sich hervorragend für Troubleshooting-Übungen, weil viele Fehler leicht reproduzierbar und technisch lehrreich sind. Wer diese Fehlerbilder bewusst erzeugt und wieder behebt, entwickelt deutlich schneller ein belastbares Switching-Verständnis.
Häufige Konfigurationsfehler
- Port im falschen VLAN
- VLAN nur auf einem der beiden Switches angelegt
- Uplink nicht als Trunk konfiguriert
- Falsche Allowed-VLAN-Liste
- Native-VLAN-Mismatch
- Management-SVI ohne aktives VLAN
Fehler systematisch eingrenzen
show interfaces status
show interfaces trunk
show interfaces switchport
show vlan brief
show mac address-table
show spanning-tree
- Mit
show interfaces statuswird geprüft, ob Ports überhaupt verbunden sind. show interfaces trunkzeigt sofort, ob der Uplink trunking ist.show interfaces switchportzeigt den Modus einzelner Ports.show vlan briefverifiziert VLAN-Existenz und Access-Port-Zuweisung.show mac address-tablezeigt, ob der Switch die Endgeräte überhaupt sieht.
Ein klassisches Lab-Szenario ist etwa: PC1 und PC3 befinden sich beide in VLAN 10, können aber nicht kommunizieren. Die Ursache ist oft nicht die IP-Konfiguration, sondern ein Trunk, auf dem VLAN 10 nicht erlaubt wurde. Genau solche Fehler sollten nicht nur behoben, sondern bewusst analysiert werden.
VLAN- und Trunk-Übungen sinnvoll erweitern
Ist die Grundtopologie stabil, lässt sich das Lab schrittweise ausbauen. So entsteht aus der VLAN-Trunk-Übung eine vollständige CCNA-Lernumgebung.
Sinnvolle nächste Schritte
- Router-on-a-Stick für Inter-VLAN-Routing ergänzen
- Layer-3-Switch mit SVIs und
ip routingeinsetzen - DHCP pro VLAN konfigurieren
- ACLs zwischen VLANs testen
- Spanning Tree mit redundanten Uplinks beobachten
Didaktisch ist diese Reihenfolge sehr sinnvoll, weil zuerst die Layer-2-Segmentierung sauber verstanden wird. Erst danach folgt Routing zwischen den VLANs. Wer diese Trennung konsequent übt, erkennt später Störungen schneller und kann klar unterscheiden, ob ein Problem auf Access-Port-, Trunk-, VLAN- oder Layer-3-Ebene liegt.
Empfohlene Reihenfolge für eine saubere Praxisübung
- Zuerst Topologie mit zwei Switches und mehreren Hosts aufbauen.
- Dann VLANs auf beiden Switches anlegen.
- Danach Access-Ports den richtigen VLANs zuweisen.
- Im nächsten Schritt den Uplink als Trunk konfigurieren.
- Anschließend Allowed VLANs und optional das Native VLAN setzen.
- Dann Management-VLAN und SVI ergänzen.
- Zum Schluss gezielt testen und Fehlerbilder simulieren.
Wer VLAN und Trunk im Lab praktisch konfiguriert, trainiert damit nicht nur zwei CCNA-Themen, sondern das Grundprinzip moderner Layer-2-Segmentierung. Genau daraus entsteht das technische Fundament für sauberes Switching, Inter-VLAN-Routing und belastbares Troubleshooting in Cisco-Netzwerken.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.