19.6 Inter-VLAN-Routing im Lab Schritt für Schritt

Inter-VLAN-Routing gehört zu den wichtigsten praktischen Themen im CCNA-Lab, weil es den Übergang von reinem Layer-2-Switching zu echter Kommunikation zwischen logisch getrennten Netzsegmenten sichtbar macht. Solange Hosts im selben VLAN arbeiten, genügt ein Layer-2-Switch für die lokale Weiterleitung. Sobald sich Endgeräte jedoch in unterschiedlichen VLANs befinden, reicht Switching allein nicht mehr aus. Dann wird ein Layer-3-Gerät benötigt, das den Verkehr zwischen den VLANs routet. Genau diese Funktion wird als Inter-VLAN-Routing bezeichnet. Im Lab lässt sich dieses Prinzip besonders gut Schritt für Schritt aufbauen: zuerst mit VLANs und Trunks, danach mit einem Router oder Layer-3-Switch als Gateway für mehrere Netze. Wer Inter-VLAN-Routing praktisch konfiguriert und testet, versteht nicht nur Cisco-Befehle besser, sondern auch die saubere Trennung zwischen Broadcast-Domänen, Access-Ports, Trunks und Routing auf Layer 3.

Was Inter-VLAN-Routing technisch bedeutet

Ein VLAN bildet eine eigene Broadcast-Domäne. Geräte in VLAN 10 können direkt auf Layer 2 miteinander kommunizieren, ebenso Geräte in VLAN 20. Zwischen VLAN 10 und VLAN 20 findet ohne Routing jedoch keine direkte Kommunikation statt. Das ist kein Fehler, sondern die beabsichtigte Funktion der Segmentierung. Ein Router oder ein Layer-3-Switch übernimmt hier die Rolle des Default Gateways für jedes VLAN und entscheidet, wie Pakete von einem Netz in das andere weitergeleitet werden.

• Jedes VLAN erhält in der Regel ein eigenes IP-Subnetz.
• Jedes VLAN braucht ein Gateway im jeweiligen Netz.
• Der Host sendet Verkehr zu fremden Netzen immer an sein Default Gateway.
• Das Routing-Gerät entscheidet anhand seiner Routing-Tabelle über die Weiterleitung.

Im Lab ist dieses Verhalten besonders lehrreich, weil sich sehr klar zeigen lässt, was funktioniert und was nicht. Zwei Hosts im selben VLAN können sich pingen. Zwei Hosts in unterschiedlichen VLANs nicht. Erst nach der korrekten Inter-VLAN-Routing-Konfiguration wird die Kommunikation zwischen beiden Netzen möglich.

Welche Varianten es für Inter-VLAN-Routing gibt

Im Cisco-Umfeld sind zwei grundlegende Varianten für Inter-VLAN-Routing üblich: Router-on-a-Stick und Routing über einen Layer-3-Switch mit SVIs. Für ein klassisches CCNA-Lab ist Router-on-a-Stick besonders beliebt, weil dabei VLANs, Trunking und Routing in einer kompakten Topologie zusammenkommen. Die Variante mit Layer-3-Switch ist moderner und näher an heutigen Campus-Netzwerken, setzt aber ein Routing-fähiges Switch-Modell voraus.

Router-on-a-Stick

• Ein Router ist über einen einzelnen Trunk mit dem Switch verbunden.
• Auf dem Router werden Subinterfaces für die VLANs angelegt.
• Jedes Subinterface erhält eine Gateway-IP für sein VLAN.

Layer-3-Switch mit SVIs

• Der Switch routet selbst zwischen den VLANs.
• Für jedes VLAN wird ein SVI mit IP-Adresse konfiguriert.
• Mit ip routing wird die Layer-3-Funktion aktiviert.

Für eine Schritt-für-Schritt-Anleitung eignet sich Router-on-a-Stick sehr gut, weil damit viele zentrale CCNA-Konzepte gleichzeitig trainiert werden: Access-Ports, VLANs, Trunks, 802.1Q und Routing zwischen mehreren Subnetzen.

Die passende Lab-Topologie vorbereiten

Eine gute Inter-VLAN-Routing-Übung beginnt mit einer kleinen, übersichtlichen Topologie. Zu viele Geräte erzeugen unnötige Komplexität. Für den Einstieg reichen ein Switch, ein Router und zwei oder mehr Hosts.

Empfohlene Grundtopologie

• 1 Router, zum Beispiel Cisco 1941 oder ein virtuelles IOSv-Gerät
• 1 Layer-2-Switch, zum Beispiel Catalyst 2960 oder IOSvL2
• 2 bis 4 Hosts
• 1 Uplink zwischen Switch und Router

Beispielhafte VLAN- und IP-Struktur

• VLAN 10: 192.168.10.0/24
• VLAN 20: 192.168.20.0/24
• Router-Gateway für VLAN 10: 192.168.10.1
• Router-Gateway für VLAN 20: 192.168.20.1

Beispiel für Hosts

• PC1 in VLAN 10 mit 192.168.10.10/24
• PC2 in VLAN 10 mit 192.168.10.11/24
• PC3 in VLAN 20 mit 192.168.20.10/24
• PC4 in VLAN 20 mit 192.168.20.11/24

Wichtig ist, dass die Hosts jeweils die Gateway-IP ihres VLANs als Default Gateway eingetragen bekommen. Ohne dieses Gateway weiß ein Endgerät nicht, wohin Pakete für ein fremdes Netz gesendet werden sollen.

Schritt 1: VLANs auf dem Switch anlegen

Bevor Routing konfiguriert werden kann, müssen die VLANs auf dem Switch vorhanden sein. Dabei ist eine klare Benennung hilfreich, weil sie Übersicht und Dokumentation verbessert.

enable
configure terminal
vlan 10
 name SALES
vlan 20
 name IT
end
write memory

Worauf in diesem Schritt zu achten ist

• Die VLAN-IDs müssen konsistent mit der späteren Router-Konfiguration sein.
• Die Namen sind optional, im Lab aber sehr hilfreich.
• Nach dem Anlegen sollten die VLANs direkt verifiziert werden.

show vlan brief

In der Ausgabe muss sichtbar sein, dass VLAN 10 und VLAN 20 existieren. Zu diesem Zeitpunkt sind meist noch keine Ports zugeordnet, was normal ist.

Schritt 2: Access-Ports den VLANs zuweisen

Im nächsten Schritt werden die Ports für die Endgeräte konfiguriert. Jeder Port, an dem ein Host angeschlossen ist, wird als Access-Port genau einem VLAN zugewiesen.

configure terminal
interface fastEthernet0/1
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 description PC1-VLAN10

interface fastEthernet0/2
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 description PC2-VLAN10

interface fastEthernet0/3
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 description PC3-VLAN20

interface fastEthernet0/4
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 description PC4-VLAN20
end

Warum diese Konfiguration wichtig ist

• switchport mode access stellt sicher, dass der Port nicht dynamisch als Trunk arbeitet.
• switchport access vlan ordnet den Port dem richtigen VLAN zu.
• spanning-tree portfast ist für Endgeräteports sinnvoll.

Kontrolle der Port-Zuordnung

show vlan brief
show interfaces fastEthernet0/1 switchport
show interfaces fastEthernet0/3 switchport

Jetzt sollten die Access-Ports in der Ausgabe ihren jeweiligen VLANs zugeordnet sein. In diesem Zustand können Hosts innerhalb desselben VLANs lokal kommunizieren, aber noch nicht VLAN-übergreifend.

Schritt 3: Den Uplink zum Router als Trunk konfigurieren

Da mehrere VLANs über eine einzige physische Verbindung zum Router transportiert werden sollen, muss der Switchport zum Router als Trunk arbeiten. Dies ist der Kern des Router-on-a-Stick-Konzepts.

configure terminal
interface gigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20
 description Uplink-to-R1
end

Wichtige technische Punkte

• Der Uplink transportiert gleichzeitig VLAN 10 und VLAN 20.
• Ohne Trunk kann der Router nicht erkennen, aus welchem VLAN ein Frame stammt.
• Die Allowed-VLAN-Liste sollte bewusst gesetzt werden, statt alle VLANs automatisch zu erlauben.

Trunk prüfen

show interfaces trunk
show interfaces gigabitEthernet0/1 switchport

In der Ausgabe von show interfaces trunk muss sichtbar sein, dass der Port tatsächlich trunking ist und die VLANs 10 und 20 transportiert. Wenn dieser Zustand fehlt, ist spätere Routing-Kommunikation nicht möglich.

Schritt 4: Router-on-a-Stick mit Subinterfaces konfigurieren

Jetzt folgt der zentrale Routing-Schritt. Auf dem Router wird das physische Interface aktiviert, danach werden für jedes VLAN eigene Subinterfaces eingerichtet. Jedes Subinterface erhält eine 802.1Q-Zuordnung und eine IP-Adresse als Gateway des jeweiligen VLANs.

enable
configure terminal
interface gigabitEthernet0/0
 no shutdown

interface gigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 description Gateway-VLAN10

interface gigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
 description Gateway-VLAN20
end
write memory

Was diese Konfiguration bewirkt

• Das physische Interface gigabitEthernet0/0 dient als Träger für mehrere VLANs.
• Subinterface .10 verarbeitet Frames aus VLAN 10.
• Subinterface .20 verarbeitet Frames aus VLAN 20.
• Jede IP-Adresse stellt das Default Gateway für ihr jeweiliges VLAN dar.

Ein häufiger Fehler im Lab ist das Vergessen von no shutdown auf dem physischen Interface. Ebenso kritisch ist eine falsche VLAN-ID bei encapsulation dot1Q. Dann sieht die Konfiguration äußerlich richtig aus, funktioniert aber technisch nicht.

Router-Konfiguration prüfen

show ip interface brief
show running-config interface gigabitEthernet0/0.10
show running-config interface gigabitEthernet0/0.20

Die Subinterfaces müssen in der Ausgabe mit ihren IP-Adressen erscheinen. Wenn sie down bleiben, ist meist der Trunk am Switch oder das physische Router-Interface die Ursache.

Schritt 5: Endgeräte mit korrekten Gateways konfigurieren

Damit Hosts VLAN-übergreifend kommunizieren können, müssen sie nicht nur eine IP-Adresse und Subnetzmaske, sondern auch das richtige Default Gateway besitzen. Genau hier scheitern viele Lab-Setups, obwohl VLAN und Trunk korrekt eingerichtet sind.

Beispielkonfiguration für VLAN 10

• PC1: IP 192.168.10.10, Maske 255.255.255.0, Gateway 192.168.10.1
• PC2: IP 192.168.10.11, Maske 255.255.255.0, Gateway 192.168.10.1

Beispielkonfiguration für VLAN 20

• PC3: IP 192.168.20.10, Maske 255.255.255.0, Gateway 192.168.20.1
• PC4: IP 192.168.20.11, Maske 255.255.255.0, Gateway 192.168.20.1

Vor dem Routing-Test ist eine wichtige Beobachtung möglich: Ein Host in VLAN 10 kann weiterhin einen anderen Host in VLAN 10 direkt erreichen. Kommunikation in VLAN 20 funktioniert ebenfalls. Erst mit dem korrekt gesetzten Gateway ist danach die Kommunikation zwischen VLAN 10 und VLAN 20 möglich.

Schritt 6: Inter-VLAN-Kommunikation systematisch testen

Nach der Konfiguration folgt die Verifikation. Dabei sollte schrittweise vorgegangen werden, um Fehler sauber einzugrenzen. Es ist sinnvoll, zuerst die lokalen Teile zu prüfen und erst danach VLAN-übergreifende Tests durchzuführen.

Empfohlene Testreihenfolge

• Host pingt das eigene Gateway.
• Host pingt einen anderen Host im selben VLAN.
• Host pingt das Gateway des anderen VLANs.
• Host pingt einen Host im anderen VLAN.

Beispielhafte Tests

Von PC1:
ping 192.168.10.1
ping 192.168.10.11
ping 192.168.20.1
ping 192.168.20.10

Wenn der Ping zum eigenen Gateway funktioniert, sind Access-Port, VLAN-Zuordnung, Trunk und das zugehörige Subinterface meist korrekt. Wenn der Ping zwischen VLANs scheitert, obwohl beide Gateways erreichbar sind, sollte der Fokus auf Host-Gateway, Router-Subinterfaces oder ACLs liegen.

Wichtige Prüfkommandos auf Switch und Router

Switch:
show vlan brief
show interfaces trunk
show interfaces switchport
show mac address-table

Router:
show ip interface brief
show ip route
show running-config

Da die VLANs direkt am Router angeschlossen sind, erscheinen sie dort als direkt verbundene Netze in der Routing-Tabelle. Genau das ist ein wichtiger Lernpunkt: Der Router braucht in diesem Lab keine statischen Routen zwischen VLAN 10 und VLAN 20, weil beide Netze lokal bekannt sind.

Typische Fehler beim Inter-VLAN-Routing im Lab

Inter-VLAN-Routing ist fachlich klar strukturiert, in der Praxis aber fehleranfällig. Gerade deshalb eignet sich dieses Thema hervorragend für Troubleshooting-Übungen. Viele Fehler wiederholen sich in Labs immer wieder und lassen sich mit wenigen gezielten Befehlen finden.

Häufige Ursachen für Störungen

• Das physische Router-Interface ist administrativ down.
• Der Uplink am Switch ist kein Trunk.
• Ein VLAN ist auf dem Switch nicht vorhanden.
• Die VLAN-ID bei encapsulation dot1Q ist falsch.
• Ein Host hat ein falsches oder fehlendes Default Gateway.
• Ein Access-Port ist dem falschen VLAN zugeordnet.

Fehler systematisch eingrenzen

• Kann der Host das eigene Gateway pingen?
• Ist das VLAN am Switch korrekt angelegt?
• Zeigt show interfaces trunk den Uplink als trunking?
• Sind die Router-Subinterfaces mit den richtigen IP-Adressen vorhanden?
• Stimmt die Gateway-Adresse auf dem Client?

Eine sehr typische Lab-Störung ist folgende: Hosts im selben VLAN kommunizieren, VLAN-übergreifende Pings schlagen jedoch fehl. In diesem Fall ist das lokale Switching korrekt, der Fehler sitzt fast immer am Router-Subinterface, am Trunk oder am Default Gateway der Hosts.

Inter-VLAN-Routing mit Layer-3-Switch als Alternative

Neben Router-on-a-Stick sollte im CCNA-Lab auch die moderne Alternative verstanden werden: ein Layer-3-Switch mit SVIs. Das Konzept ist ähnlich, aber das Routing findet direkt auf dem Switch statt. Dadurch entfällt der externe Router-Uplink für VLAN-Routing.

configure terminal
ip routing

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown

interface vlan 20
 ip address 192.168.20.1 255.255.255.0
 no shutdown
end

Wichtige Unterschiede zu Router-on-a-Stick

• Kein externer Router für VLAN-Routing nötig
• Gateways liegen direkt auf dem Switch
• Routing ist meist performanter und näher an realen Campus-Designs
• ip routing muss aktiviert werden

Im Lab ist diese Variante besonders nützlich, um den Unterschied zwischen reinem Layer-2-Switch und Routing-fähigem Switch zu verstehen. Fachlich bleibt das Grundprinzip identisch: Jedes VLAN braucht ein Gateway, und das Layer-3-Gerät routet zwischen den Netzen.

Das Lab sinnvoll erweitern

Wenn Inter-VLAN-Routing stabil funktioniert, lässt sich die Übung gezielt ausbauen. So wird aus einer Basis-Konfiguration eine praxisnahe CCNA-Lernumgebung.

Sinnvolle nächste Schritte

• DHCP für mehrere VLANs konfigurieren
• Management-VLAN ergänzen
• ACLs zwischen VLANs testen
• Mehrere Switches mit Trunks einbinden
• Spanning Tree mit redundanten Uplinks beobachten

Gerade ACLs zwischen VLANs sind eine sehr wertvolle Folgestufe. Damit lässt sich demonstrieren, dass Routing zwar grundsätzlich aktiv ist, aber bestimmte Verbindungen dennoch gezielt blockiert werden können. So wird das Zusammenspiel von Segmentierung, Routing und Zugriffskontrolle klar sichtbar.

Bewährte Reihenfolge für das Üben im CCNA-Lab

• Zuerst VLANs und Access-Ports konfigurieren.
• Danach den Uplink als Trunk einrichten.
• Anschließend Router-Subinterfaces oder SVIs konfigurieren.
• Danach Host-Adressen und Gateways setzen.
• Im nächsten Schritt die Kommunikation innerhalb und zwischen VLANs testen.
• Zum Schluss gezielt Fehlerszenarien simulieren und mit Show-Befehlen analysieren.

Wer Inter-VLAN-Routing im Lab Schritt für Schritt aufbaut, entwickelt damit ein zentrales Fundament für Cisco Switching und Routing. Genau aus dieser Übung entstehen sauberes Verständnis für VLAN-Segmentierung, korrektes Gateway-Design, sicheres Arbeiten mit Trunks und die Fähigkeit, Layer-2- und Layer-3-Probleme im CCNA-Umfeld klar voneinander zu trennen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.