VLAN auf Cisco Switch konfigurieren: Praxisanleitung

Ein VLAN ist eine der wichtigsten Grundlagen im Switching – und zugleich eine der häufigsten Fehlerquellen im Alltag. Wer ein VLAN auf Cisco Switch konfigurieren möchte, sollte deshalb nicht nur die Befehle kennen, sondern auch verstehen, was dabei im Hintergrund passiert: VLANs trennen Broadcast-Domänen logisch voneinander, reduzieren unnötigen Broadcast-Verkehr und ermöglichen eine saubere Segmentierung nach Abteilungen, Sicherheitszonen oder Gerätetypen (z. B. Clients, Server, VoIP, Management). In der Praxis entscheidet die VLAN-Konfiguration oft darüber, ob Endgeräte zuverlässig eine IP-Adresse bekommen, ob VoIP-Telefone stabil laufen oder ob sich ein Fehler auf ein gesamtes Netzsegment ausbreitet. Gleichzeitig sind VLANs nur dann sinnvoll, wenn sie konsequent umgesetzt werden – mit klaren VLAN-IDs, sauberen Portzuweisungen, korrekt konfigurierten Trunks und einer nachvollziehbaren Dokumentation. Diese Praxisanleitung führt Sie Schritt für Schritt durch typische VLAN-Szenarien auf Cisco-Switches (Cisco IOS/IOS XE): VLANs anlegen und benennen, Access-Ports korrekt zuordnen, Trunks konfigurieren, VLANs über Uplinks transportieren und die häufigsten Fehlerbilder systematisch beheben. Sie erhalten außerdem Best Practices, mit denen Sie Ihr Setup nicht nur funktionsfähig, sondern dauerhaft wartbar und sicher gestalten.

VLAN-Grundlagen: Was Sie vor der Konfiguration wissen sollten

Ein VLAN (Virtual LAN) ist eine logische Gruppierung von Ports innerhalb eines Switches. Geräte in unterschiedlichen VLANs sind auf Layer 2 voneinander getrennt, selbst wenn sie am selben physischen Switch hängen. Kommunikation zwischen VLANs ist ohne Routing (Layer 3) nicht möglich. Genau das macht VLANs so wertvoll: Sie schaffen Struktur und Segmentierung.

• Access-Port: Port gehört genau einem VLAN (typisch für Clients/Endgeräte).
• Trunk-Port: Port transportiert mehrere VLANs via 802.1Q (typisch zwischen Switches oder zum Router/Layer-3-Switch).
• Native VLAN: VLAN, das auf einem Trunk untagged übertragen wird (sollte bewusst gewählt und konsistent sein).
• VLAN-Datenbank: Liste der VLANs, die auf dem Switch existieren.

Wenn Sie VLAN-Konzepte und 802.1Q-Tagging in einer herstellerseitigen Quelle vertiefen möchten, ist der Anchor-Text Cisco Dokumentation zu LAN Switching ein guter Einstieg.

Planung: VLAN-Design, Nummerierung und Namenskonventionen

Bevor Sie Befehle eintippen, lohnt sich ein kurzer Plan. Ein klares VLAN-Schema reduziert Fehler und spart später enorm viel Zeit. Bewährt sind sprechende Namen und eine sinnvolle Nummerierung, die nicht zufällig wächst.

• VLAN 10: CLIENTS
• VLAN 20: SERVERS
• VLAN 30: VOICE
• VLAN 99: MGMT
• VLAN 999: PARKING/UNUSED (für ungenutzte Ports)

Best Practice: Halten Sie VLAN-Namen kurz, eindeutig und konsistent (Großschreibung ist üblich). Dokumentieren Sie zusätzlich, welche Ports zu welchen VLANs gehören.

Vorbereitung: Zugriff auf den Switch und nützliche Show-Befehle

Für Änderungen benötigen Sie Zugriff auf die CLI (Konsole oder SSH) und sollten die wichtigsten Prüfkommandos kennen. Diese Befehle werden Sie während der VLAN-Konfiguration ständig nutzen:

• show vlan brief (VLANs und Portzuordnung)
• show interfaces status (Portstatus, VLAN, Speed/Duplex)
• show interfaces switchport (Details pro Port: Access/Trunk, Native VLAN, Allowed VLANs)
• show interfaces trunk (aktive Trunks und erlaubte VLANs)
• show mac address-table (MAC-Lerntabelle)

Gerade als Einsteiger ist es sinnvoll, nach jedem Konfigurationsblock zu prüfen, ob das Ergebnis wie erwartet aussieht.

Schritt 1: VLANs anlegen und benennen

Das Anlegen von VLANs ist der erste Schritt. Sie erstellen die VLANs in der VLAN-Datenbank und vergeben optional einen Namen. Beispiel: VLAN 10, 20, 30, 99 und 999.

enable
configure terminal
vlan 10
name CLIENTS
vlan 20
name SERVERS
vlan 30
name VOICE
vlan 99
name MGMT
vlan 999
name PARKING

Prüfen:

show vlan brief

Schritt 2: Access-Ports einem VLAN zuweisen (Praxisbeispiel)

Access-Ports sind der Standard für Endgeräte. Ein typisches Beispiel: Ports Gi1/0/1 bis Gi1/0/12 sind Arbeitsplätze und sollen ins VLAN 10. Dabei setzen Sie den Port explizit auf Access-Modus und weisen das VLAN zu. Ergänzend ist spanning-tree portfast für Endgeräte-Ports üblich, um schneller eine nutzbare Verbindung zu erhalten.

interface range gigabitethernet1/0/1 - 1/0/12
description CLIENTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
no shutdown

Prüfen:

show vlan brief
show interfaces status

Voice-VLAN für IP-Telefone (optional, aber häufig)

Wenn ein IP-Telefon am Port hängt und ein PC über das Telefon durchgeschleift wird, ist die Kombination aus Daten-VLAN und Voice-VLAN üblich. Beispiel: Daten VLAN 10, Voice VLAN 30.

interface gigabitethernet1/0/13
description Telefon + PC
switchport mode access
switchport access vlan 10
switchport voice vlan 30
spanning-tree portfast
no shutdown

Prüfen:

show interfaces switchport gigabitethernet1/0/13

Schritt 3: Trunk konfigurieren (Uplink zwischen Switches oder zum Router)

Trunks transportieren mehrere VLANs über einen Port. Das ist notwendig, wenn VLANs über mehrere Switches hinweg genutzt werden oder wenn ein Router/Layer-3-Switch Inter-VLAN-Routing bereitstellt. Best Practice ist, die erlaubten VLANs explizit festzulegen. So verhindern Sie, dass „aus Versehen“ VLANs übertragen werden, die dort nichts zu suchen haben.

interface gigabitethernet1/0/48
description Uplink zu SW-DIST-01
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
no shutdown

Optional: Native VLAN bewusst setzen (nur wenn Ihre Umgebung das so vorsieht und konsistent ist):

switchport trunk native vlan 99

Prüfen:

show interfaces trunk
show interfaces switchport gigabitethernet1/0/48

Schritt 4: Management-VLAN und Management-IP (sinnvolle Ergänzung)

Damit Sie den Switch remote verwalten können, empfiehlt sich ein dediziertes Management-VLAN (z. B. VLAN 99) und eine Management-IP auf dem SVI. Bei einem Layer-2-Switch benötigen Sie zusätzlich ein Default Gateway, damit der Switch aus anderen Netzen erreichbar ist.

interface vlan 99
description Management SVI
ip address 192.168.99.10 255.255.255.0
no shutdown

ip default-gateway 192.168.99.1

Wichtig: Das SVI wird erst up, wenn mindestens ein Port im VLAN 99 aktiv ist oder ein Trunk VLAN 99 transportiert.

Prüfen:

show ip interface brief
ping 192.168.99.1

Schritt 5: VLAN-Konfiguration verifizieren (Praxis-Checks)

Nach der Konfiguration ist Verifikation Pflicht. Nur weil ein VLAN angelegt ist, heißt das nicht, dass Endgeräte tatsächlich im richtigen VLAN landen oder VLANs über den Uplink transportiert werden. Die folgenden Checks sind in der Praxis besonders hilfreich:

VLANs und Portzuordnung prüfen

show vlan brief

Trunks und Allowed VLANs prüfen

show interfaces trunk

MAC-Adressen und Endgerät-Zuordnung prüfen

Wenn ein Endgerät am Port hängt, sollte seine MAC-Adresse auf diesem Port erscheinen:

show mac address-table dynamic

Switchport-Details pro Port prüfen

show interfaces switchport gigabitethernet1/0/5

Inter-VLAN-Kommunikation: Warum VLANs allein nicht reichen

Ein häufiger Irrtum: „Ich habe VLAN 10 und VLAN 20 erstellt, warum können Geräte nicht miteinander sprechen?“ VLANs trennen Layer 2. Kommunikation zwischen VLANs erfordert Routing (Layer 3). Das kann erfolgen über:

• Router-on-a-Stick: Router mit Subinterfaces und 802.1Q-Trunk
• Layer-3-Switch: SVIs mit IPs und ip routing
• Firewall: Segmentierung und Routing/Policies zwischen VLANs

Wenn Sie die Grundlagen dazu vertiefen möchten, ist der Anchor-Text Cisco Grundlagen zu Routing-Konzepten eine hilfreiche Orientierung.

Häufige Fehlerbilder und Troubleshooting (mit schnellen Lösungen)

VLAN-Probleme sind oft wiederkehrende Muster. Mit den richtigen Befehlen finden Sie die Ursache schnell.

Endgerät ist im falschen VLAN

• Prüfen Sie den Portmodus: show interfaces switchport <IF>
• Prüfen Sie switchport access vlan und ob der Port wirklich im Access-Modus ist.
• Bei IP-Telefonen: Prüfen Sie voice vlan vs. Daten-VLAN.

VLAN wird nicht über den Uplink transportiert

• Trunk aktiv? show interfaces trunk
• Allowed VLANs enthalten das VLAN? switchport trunk allowed vlan prüfen.
• VLAN existiert auf beiden Switches? show vlan brief

SVI (Management-IP) bleibt down

• Gibt es einen aktiven Port im VLAN? show vlan brief
• Trunk erlaubt VLAN 99? show interfaces trunk
• SVI administrativ down? show ip interface brief und no shutdown

Clients bekommen keine IP-Adresse (DHCP-Probleme)

• PortFast aktiv, Link stabil? show interfaces status
• Ist das DHCP-Servernetz korrekt erreichbar (Routing/Helper)?
• Ist das VLAN korrekt bis zum DHCP-Server getrunkt?

Best Practices: VLANs sauber, sicher und wartbar halten

Mit ein paar Grundregeln vermeiden Sie die meisten VLAN-Probleme langfristig. Diese Best Practices sind in vielen Umgebungen Standard:

• Allowed VLANs einschränken statt „alles erlauben“.
• Native VLAN bewusst festlegen und konsistent halten.
• Ungenutzte Ports deaktivieren und in ein Parking-VLAN legen.
• Portbeschreibungen setzen (description) für Dokumentation.
• Management trennen (dediziertes Management-VLAN, Zugriff nur aus Admin-Netzen).
• STP absichern (PortFast an Endgeräte-Ports, ggf. BPDU Guard).

Für weiterführende, herstellerneutrale Sicherheitsleitlinien eignet sich der Anchor-Text CIS Controls.

Konfiguration speichern und dokumentieren

Nach erfolgreicher Verifikation sollten Sie die Konfiguration speichern, damit sie nach einem Neustart erhalten bleibt. Das ist ein häufiger Schritt, der im Alltag vergessen wird.

copy running-config startup-config

Prüfen:

show startup-config

Zusätzlich ist eine kurze Dokumentation sinnvoll: VLAN-Liste, Portzuordnung, Trunk-Uplinks und Management-IP. Damit reduzieren Sie den Aufwand bei späteren Erweiterungen oder bei der Fehlersuche erheblich.

Weiterführende Orientierung: Offizielle Referenzen für VLAN und Trunking

Je nach Switch-Serie und IOS/IOS XE-Version können Details leicht variieren. Wenn Sie Parameter, Plattformunterschiede oder zusätzliche Best Practices prüfen möchten, nutzen Sie herstellerseitige Quellen. Besonders hilfreich sind der Anchor-Text Cisco LAN Switching Dokumentation sowie der Anchor-Text Cisco IOS Command Reference, um Befehle und Syntax für Ihr konkretes Modell verlässlich abzugleichen.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.