February 23, 2026

VLAN Trunk konfigurieren (802.1Q): Cisco Schritt-für-Schritt

Wer mehrere VLANs über eine einzige physische Verbindung transportieren möchte, kommt an Trunking nicht vorbei. Genau hier setzt diese Anleitung an: Sie lernen Schritt für Schritt, wie Sie einen VLAN Trunk konfigurieren (802.1Q) und dabei typische Fehler vermeiden, die in der Praxis regelmäßig zu Ausfällen führen. Ein Trunk ist ein Switchport, der gleichzeitig mehrere VLANs tragen kann – zum Beispiel zwischen zwei Cisco-Switches (Access ↔ Distribution), zwischen Switch und Firewall oder beim klassischen „Router-on-a-Stick“. Damit das zuverlässig funktioniert, müssen VLANs auf beiden Seiten bekannt sein, die Trunk-Parameter konsistent gesetzt werden (z. B. allowed VLANs, Native VLAN) und der Portmodus eindeutig definiert sein. Viele Probleme entstehen durch „halbautomatische“ Einstellungen wie DTP-Aushandlung oder durch unklare Standardwerte, die auf den ersten Blick funktionieren, aber später bei Erweiterungen oder nach einem Gerätewechsel plötzlich brechen. In diesem Artikel bekommen Sie eine praxistaugliche Vorgehensweise – inklusive Konfigurationsbeispielen, Prüfkommandos und Best Practices, die auch in produktiven Umgebungen sinnvoll sind. Ziel ist nicht nur ein laufender Trunk, sondern eine stabile, sichere und wartbare Trunk-Konfiguration auf Cisco IOS bzw. IOS XE.

Grundlagen: Was ist ein 802.1Q-Trunk und wie funktioniert er?

Ein 802.1Q-Trunk (IEEE 802.1Q) kennzeichnet Ethernet-Frames mit einem VLAN-Tag, sodass der empfangende Switch weiß, zu welchem VLAN der Frame gehört. Ohne Trunking wäre ein VLAN pro physischem Kabel nötig – unpraktisch und teuer. Der Trunk transportiert VLANs über eine gemeinsame Leitung und sorgt so für Skalierbarkeit in Campus-Netzen und Rechenzentren.

  • Tagged Frames: Frames erhalten ein VLAN-Tag und werden VLAN-spezifisch verarbeitet.
  • Native VLAN: Ein VLAN wird untagged übertragen (Vorsicht: Konsistenz ist entscheidend).
  • Allowed VLANs: Liste der VLANs, die auf dem Trunk tatsächlich übertragen werden dürfen.

Wenn Sie die Grundlagen des VLAN-Taggings im Standardkontext vertiefen möchten, ist der Anchor-Text IEEE 802.1Q Standardübersicht eine passende Orientierung (Standarddokumente selbst sind häufig kostenpflichtig, die Übersicht erklärt jedoch Zweck und Kontext).

Vorbereitung: Voraussetzungen und eine saubere VLAN-Planung

Bevor Sie einen Trunk konfigurieren, sollten Sie die VLANs planen und prüfen, welche VLANs wirklich über den Trunk müssen. Ein häufiger Fehler ist „alles erlauben“, obwohl nur wenige VLANs benötigt werden. Das erhöht die Angriffsfläche, erschwert Fehlersuche und kann Broadcast-Domänen unnötig ausdehnen.

  • VLAN-IDs und Namen definieren (z. B. 10 CLIENTS, 20 SERVERS, 30 VOICE, 99 MGMT).
  • Trunk-Pfade festlegen (welcher Uplink trägt welche VLANs?).
  • Native VLAN bewusst auswählen und dokumentieren.
  • Management-VLAN getrennt behandeln (idealerweise nicht als Native VLAN verwenden).

Für Cisco-spezifische Trunking-Hintergründe und Praxisdetails ist der Anchor-Text Cisco LAN Switching Dokumentation eine verlässliche, herstellerseitige Quelle.

Schritt 1: VLANs auf beiden Switches anlegen

Ein Trunk transportiert VLANs nur sinnvoll, wenn diese VLANs auf beiden Seiten existieren (oder durch VLAN-Management-Mechanismen in Ihrer Umgebung bereitgestellt werden). Im Einsteiger- und Mittelstufe-Setup legen Sie VLANs typischerweise manuell an.

enable
configure terminal
vlan 10
name CLIENTS
vlan 20
name SERVERS
vlan 30
name VOICE
vlan 99
name MGMT
end

Prüfen Sie die VLAN-Datenbank:

show vlan brief

Schritt 2: Trunk-Port eindeutig setzen (keine „Grauzone“)

Auf Cisco-Switches kann Trunking je nach Plattform und Defaultverhalten teilweise automatisch ausgehandelt werden (DTP). In modernen, sicherheitsbewussten Setups ist Best Practice jedoch: Portmodus explizit setzen und automatische Aushandlung vermeiden, sofern sie nicht bewusst benötigt wird.

Trunk-Port konfigurationssicher setzen

Beispiel: Uplink-Port GigabitEthernet1/0/48 soll ein Trunk werden.

configure terminal
interface gigabitethernet1/0/48
description Uplink zu SW-DIST-01
switchport mode trunk
no shutdown
end

802.1Q-Encapsulation: Plattformunterschiede beachten

Auf manchen älteren Plattformen wird die Trunk-Encapsulation explizit gesetzt. Viele neuere Catalyst-Modelle nutzen 802.1Q automatisch und unterstützen den Encapsulation-Befehl nicht mehr. Wenn Ihr Gerät den Befehl benötigt:

switchport trunk encapsulation dot1q

Wenn der Befehl nicht akzeptiert wird, ist das meist ein Hinweis darauf, dass die Plattform bereits fest auf 802.1Q ausgelegt ist.

Schritt 3: Allowed VLANs festlegen (statt „alle VLANs“)

Allowed VLANs sind einer der wichtigsten Stabilitäts- und Sicherheitshebel. Ohne Einschränkung kann der Trunk sehr viele VLANs transportieren, die Sie gar nicht vorgesehen haben. Das führt zu unübersichtlichen Abhängigkeiten und erschwert die Segmentierung.

Beispiel: Auf dem Trunk sollen nur VLAN 10, 20, 30 und 99 laufen.

configure terminal
interface gigabitethernet1/0/48
switchport trunk allowed vlan 10,20,30,99
end

Prüfen:

show interfaces trunk

Allowed VLANs erweitern oder reduzieren

In der Praxis ändern sich VLAN-Anforderungen. Viele Cisco-Plattformen unterstützen komfortable Add/Remove-Varianten. Typische Beispiele:

switchport trunk allowed vlan add 40
switchport trunk allowed vlan remove 20

Falls Ihre Plattform diese Syntax nicht unterstützt, setzen Sie die Liste neu und vollständig.

Schritt 4: Native VLAN festlegen (und konsequent identisch halten)

Die Native VLAN ist das VLAN, das auf einem 802.1Q-Trunk untagged übertragen wird. In vielen Umgebungen ist es sinnvoll, die Native VLAN bewusst zu setzen und die Standard-Native-VLAN (häufig VLAN 1) nicht produktiv zu nutzen. Der wichtigste Punkt ist Konsistenz: Wenn die Native VLAN auf beiden Trunk-Seiten unterschiedlich ist, entstehen schwer zu diagnostizierende Probleme und potenzielle Sicherheitsrisiken.

Beispiel: Native VLAN auf 999 setzen (Park/Unused), während Management weiterhin getaggt bleibt.

configure terminal
interface gigabitethernet1/0/48
switchport trunk native vlan 999
end

Prüfen:

show interfaces switchport gigabitethernet1/0/48

Schritt 5: DTP vermeiden und Trunks „hart“ definieren

DTP (Dynamic Trunking Protocol) kann Trunks aushandeln. In vielen Unternehmensnetzen ist das unerwünscht, weil es Angriffsflächen und unbeabsichtigte Trunks begünstigen kann. Eine praxistaugliche Best Practice ist, den Trunk nicht aushandeln zu lassen.

Je nach Plattform können Sie DTP mit switchport nonegotiate deaktivieren:

configure terminal
interface gigabitethernet1/0/48
switchport nonegotiate
end

Wichtig: Wenn nonegotiate gesetzt wird, muss die Gegenseite ebenfalls passend konfiguriert sein (also explizit Trunk), da keine Aushandlung mehr erfolgt.

Praxis-Szenario 1: Trunk zwischen zwei Switches (Access ↔ Distribution)

Dieses Szenario ist der Klassiker. Sie haben einen Access-Switch für Endgeräte und einen Distribution-Switch, der mehrere Access-Switches zusammenführt. Der Uplink-Port auf beiden Seiten wird als Trunk konfiguriert, Allowed VLANs werden eingeschränkt, Native VLAN wird konsistent gesetzt.

Access-Switch (Uplink Gi1/0/48):

configure terminal
interface gigabitethernet1/0/48
description Uplink zu SW-DIST-01
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
no shutdown
end

Distribution-Switch (Downlink zum Access-Switch):

configure terminal
interface gigabitethernet1/0/10
description Downlink zu SW-ACCESS-01
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
no shutdown
end

Praxis-Szenario 2: Trunk zum Router (Router-on-a-Stick)

Wenn ein Router mehrere VLANs routen soll, wird ein Trunk vom Switch zum Router aufgebaut. Auf dem Switch ist es ein normaler Trunk. Auf dem Router werden Subinterfaces angelegt, die jeweils ein VLAN taggen. Dieses Design ist in kleinen Umgebungen und Labs sehr verbreitet.

Switchport zum Router (Beispiel Gi1/0/24):

configure terminal
interface gigabitethernet1/0/24
description Trunk zum Router R1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
no shutdown
end

Für Subinterface-Tagging und IP-Design ist die Router-Konfiguration maßgeblich. Als Orientierung für Router- und Switching-Grundlagen eignet sich der Anchor-Text Cisco VLAN-Konfigurationsgrundlagen.

Praxis-Szenario 3: Trunk als EtherChannel (LACP) für Redundanz und Bandbreite

Gerade zwischen Switches wird häufig ein Port-Channel (EtherChannel) eingesetzt, um mehrere physische Links zu bündeln. Das erhöht Bandbreite und Redundanz. Wichtig ist dabei: Konfigurieren Sie Trunk-Parameter konsistent auf dem Port-Channel-Interface und nicht nur auf den Einzelports.

Beispiel: Gi1/0/47-48 als LACP-Bundle, Trunk auf Port-Channel 1

configure terminal
interface range gigabitethernet1/0/47 - 1/0/48
description Uplink-Bundle zu SW-DIST-01
switchport mode trunk
channel-group 1 mode active
no shutdown
interface port-channel 1
description LACP Trunk zu SW-DIST-01
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end

Prüfen:

show etherchannel summary
show interfaces trunk

Verifikation: So prüfen Sie, ob der Trunk wirklich korrekt arbeitet

Nach der Konfiguration sollten Sie sich nicht auf „es sieht gut aus“ verlassen. Trunking-Probleme zeigen sich oft erst unter Last oder beim Hinzufügen neuer VLANs. Diese Befehle gehören zur Standard-Checkliste:

  • show interfaces trunk (Trunk-Status, Native VLAN, Allowed VLANs)
  • show interfaces switchport <INTERFACE> (Portmodus, Administrative/Operational Mode)
  • show vlan brief (VLANs existieren, Ports korrekt zugeordnet)
  • show mac address-table (lernen MACs in den erwarteten VLANs?)
  • show spanning-tree (STP-Status, Root-Port/Designated-Port Rollen plausibel?)

Ein besonders aussagekräftiger Punkt ist der Vergleich von „Administrative Mode“ und „Operational Mode“ am Switchport. Wenn Sie Trunk administrativ setzen, aber operational nicht trunked, fehlt häufig die passende Gegenseite oder es gibt ein Aushandlungs-/Policy-Problem.

Häufige Fehlerbilder und schnelle Lösungen

In der Praxis sind Trunk-Probleme oft wiederkehrende Muster. Wenn Sie diese Muster kennen, ist Troubleshooting deutlich schneller.

Trunk kommt nicht hoch (nur Access oder „not-trunking“)

  • Portmodus auf beiden Seiten prüfen: show interfaces switchport
  • DTP/nonegotiate-Kombination prüfen (beide Seiten müssen konsistent sein).
  • Physik prüfen: show interfaces status und Link-LEDs.

VLANs funktionieren lokal, aber nicht über den Trunk

  • Allowed VLANs: show interfaces trunk (ist das VLAN erlaubt?)
  • VLAN existiert auf beiden Switches: show vlan brief
  • Bei EtherChannel: Trunk-Parameter auf port-channel statt Einzelports prüfen.

Native VLAN Mismatch

  • Native VLAN auf beiden Seiten abgleichen: show interfaces trunk
  • Native VLAN bewusst setzen und dokumentieren; Standardwerte vermeiden.
  • Logs prüfen: show logging kann Mismatch-Hinweise enthalten.

Endgeräte bekommen keine IP oder Voice funktioniert nicht zuverlässig

  • Ist das Voice-VLAN über den Trunk erlaubt?
  • Stimmen VLAN-Zuweisungen am Access-Port?
  • DHCP-Pfad prüfen (Routing/Helper/Firewall), wenn VLAN korrekt getrunkt ist.

Best Practices: Trunking sicher und wartbar gestalten

Ein stabiler Trunk ist mehr als nur „mode trunk“. Die folgenden Best Practices haben sich in vielen Umgebungen bewährt, weil sie Fehlkonfigurationen reduzieren und Angriffsflächen minimieren.

  • Allowed VLANs restriktiv: Nur VLANs erlauben, die benötigt werden.
  • Native VLAN bewusst wählen: Konsistent setzen, möglichst nicht VLAN 1 verwenden.
  • DTP vermeiden: Trunks statisch konfigurieren, ggf. switchport nonegotiate.
  • Portbeschreibungen setzen: Uplinks und Downlinks klar benennen (description).
  • Management trennen: Management-VLAN nicht untagged „mitlaufen“ lassen.
  • STP-Design beachten: Root-Bridge bewusst planen, um unerwartete Blockings zu vermeiden.
  • Unbenutzte VLANs/Ports aufräumen: Klarheit in VLAN-Liste und Portzuordnung.

Für herstellerneutrale Sicherheitsleitlinien, die solche Prinzipien unterstützen (Segmentierung, Minimierung der Angriffsfläche), ist der Anchor-Text CIS Controls eine gute Orientierung.

Dokumentation und Betrieb: Änderungen sauber durchführen

Trunks sind zentrale Verbindungen. Jede Änderung an Allowed VLANs oder Native VLAN kann ganze Netzsegmente betreffen. Deshalb ist ein kontrolliertes Vorgehen wichtig:

  • Vor Änderung: aktuellen Stand prüfen (show interfaces trunk, show running-config interface ...).
  • Änderung in kleinen Schritten durchführen (z. B. VLAN add statt komplette Liste neu setzen, wenn möglich).
  • Nach Änderung: Verifikation und ggf. Endgerät-Tests (DHCP, Voice, Management).
  • Dokumentation aktualisieren (VLAN-Liste, Uplink-Plan, Allowed VLANs).

Konfiguration speichern: Damit der Trunk nach Neustart erhalten bleibt

Nach erfolgreicher Verifikation sollten Sie die Konfiguration speichern. Das ist ein häufiger Schritt, der im Alltag vergessen wird und nach einem Reload zu vermeidbaren Ausfällen führt.

copy running-config startup-config

Kontrolle:

show startup-config

Weiterführende Orientierung: Verlässliche Quellen zu VLAN und Trunking

Je nach Catalyst-Serie und IOS/IOS XE-Version können Details wie Encapsulation-Kommandos oder Defaultverhalten leicht variieren. Für präzise, plattformspezifische Befehle und Syntax ist die offizielle Referenz über den Anchor-Text Cisco IOS Command Reference besonders hilfreich. Wenn Sie zudem Standardkonzepte wie 802.1Q-Tagging, Native VLAN und Trunk-Mechanik fundiert einordnen möchten, ergänzt die Übersicht über den Anchor-Text IEEE 802.1Q die herstellerseitige Sicht mit dem Standard-Kontext.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern