February 23, 2026

SVI konfigurieren: Inter-VLAN Routing auf Layer-3-Switch

Wer mehrere VLANs in einem Netzwerk betreibt, kommt um Inter-VLAN Routing nicht herum: Geräte in unterschiedlichen VLANs sind auf Layer 2 voneinander getrennt und können ohne Routing nicht kommunizieren. Genau hier setzt das Thema SVI konfigurieren an. SVI steht für Switched Virtual Interface und beschreibt ein VLAN-Interface auf einem Layer-3-Switch, dem Sie eine IP-Adresse zuweisen können. Diese IP wird dann zum Default Gateway für die Clients im jeweiligen VLAN. Im Gegensatz zu „Router-on-a-Stick“ findet das Routing dabei direkt auf dem Switch statt – oft mit höherer Performance und weniger Komplexität im Uplink. In der Praxis ist ein sauberer SVI-Aufbau jedoch entscheidend: VLANs müssen existieren, Ports müssen korrekt zugewiesen sein, die SVIs müssen „up“ sein, ip routing muss aktiv sein (falls der Switch routen soll), und das Routing-Konzept (statisch oder dynamisch) muss nachvollziehbar geplant werden. Dieser Leitfaden erklärt Schritt für Schritt, wie Sie SVIs auf einem Cisco Layer-3-Switch konfigurieren, Inter-VLAN Routing aktivieren, typische Fehlerbilder vermeiden und die Konfiguration so verifizieren, dass sie produktiv zuverlässig funktioniert.

Grundlagen: Was ist ein SVI und warum ist es für Inter-VLAN Routing wichtig?

Ein SVI ist ein logisches Interface, das an ein VLAN gebunden ist. Technisch gesehen „repräsentiert“ das SVI dieses VLAN auf Layer 3. Sobald ein VLAN ein SVI mit IP-Adresse hat, kann der Switch Pakete zwischen VLANs routen – vorausgesetzt, Routing ist aktiviert und die VLANs sind korrekt angebunden.

  • SVI = VLAN-Interface: z. B. interface vlan 10
  • Gateway-IP: z. B. 192.168.10.1/24 für Clients in VLAN 10
  • Inter-VLAN Routing: Der Switch routet zwischen den SVIs (VLAN 10 ↔ VLAN 20 etc.)
  • VLAN muss aktiv sein: Ein SVI wird häufig nur dann „up“, wenn es im VLAN mindestens einen aktiven Port gibt

Für Cisco-spezifische Grundlagen im Bereich LAN-Switching und VLANs eignet sich der Anchor-Text Cisco Dokumentation zu LAN Switching.

Layer-2-Switch vs. Layer-3-Switch: Der entscheidende Unterschied

Ein Layer-2-Switch kann VLANs trennen und Frames innerhalb eines VLANs weiterleiten, routet aber nicht zwischen VLANs. Ein Layer-3-Switch kann zusätzlich Layer-3-Funktionen ausführen, also routen. Für die Konfiguration bedeutet das:

  • Layer-2-Switch: Management-IP auf einem SVI möglich, aber Routing zwischen VLANs nicht (ohne externen Router/Firewall).
  • Layer-3-Switch: SVIs können als Gateways dienen, und der Switch kann Inter-VLAN Routing übernehmen.

Typischer Praxisfall: Access-Switches bleiben Layer 2, ein Distribution- oder Core-Switch ist Layer 3 und übernimmt Routing über SVIs.

Planung: VLANs, IP-Adressierung und Gateway-Konzept

Bevor Sie SVIs konfigurieren, brauchen Sie ein klares Design. Die meisten Probleme entstehen durch fehlende Planung oder „historisch gewachsene“ VLAN-Strukturen. Eine robuste Basis umfasst:

  • VLAN-IDs und Namen (z. B. 10 CLIENTS, 20 SERVERS, 30 VOICE, 99 MGMT)
  • IP-Netze pro VLAN (z. B. 192.168.10.0/24, 192.168.20.0/24)
  • Gateway-IP pro VLAN (typisch .1 oder .254, konsistent im ganzen Netzwerk)
  • Regeln für Inter-VLAN Traffic (soll „alles zu allem“ möglich sein oder brauchen Sie Segmentierung per ACL/Firewall?)

Beispiel-Design für diesen Guide:

  • VLAN 10 (CLIENTS): 192.168.10.0/24, SVI/Gateway 192.168.10.1
  • VLAN 20 (SERVERS): 192.168.20.0/24, SVI/Gateway 192.168.20.1
  • VLAN 30 (VOICE): 192.168.30.0/24, SVI/Gateway 192.168.30.1
  • VLAN 99 (MGMT): 192.168.99.0/24, SVI/Gateway 192.168.99.1

Vorbereitung: Wichtige Show-Befehle, die Sie ständig brauchen

SVI- und VLAN-Probleme lassen sich schnell eingrenzen, wenn Sie die richtigen Prüfkommandos nutzen. Diese Befehle gehören zur Standardausrüstung:

  • show vlan brief (VLANs und Portzuordnung)
  • show ip interface brief (Status der SVIs und IPs)
  • show interfaces trunk (Trunks und VLAN-Transport)
  • show interfaces switchport (Portmodus Access/Trunk, VLAN-Details)
  • show ip route (Routingtabelle des Layer-3-Switches)
  • show arp oder show ip arp (ARP-Tabelle, hilfreich bei Gateway-Problemen)

Schritt 1: VLANs anlegen und benennen

Legt zuerst die VLANs an, damit SVIs und Portzuweisungen sauber funktionieren. Beispiel:

enable
configure terminal
vlan 10
name CLIENTS
vlan 20
name SERVERS
vlan 30
name VOICE
vlan 99
name MGMT
end

Prüfen:

show vlan brief

Schritt 2: Access-Ports den VLANs zuweisen

Damit VLANs „leben“, müssen Ports korrekt zugeordnet sein. Beispiel: Client-Ports Gi1/0/1 bis Gi1/0/12 in VLAN 10.

configure terminal
interface range gigabitethernet1/0/1 - 1/0/12
description CLIENTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
no shutdown
end

Server-Ports (VLAN 20) analog. Für Voice-Ports können Sie zusätzlich ein Voice-VLAN setzen, wenn IP-Telefone genutzt werden:

configure terminal
interface gigabitethernet1/0/13
description Telefon + PC
switchport mode access
switchport access vlan 10
switchport voice vlan 30
spanning-tree portfast
no shutdown
end

Schritt 3: Uplinks als Trunk konfigurieren (wenn VLANs über mehrere Switches gehen)

In realen Netzwerken hängen Clients oft an Access-Switches, während die SVIs auf einem Distribution/Core-Layer-3-Switch liegen. Dann müssen die VLANs über Trunks transportiert werden. Best Practice: Allowed VLANs einschränken.

configure terminal
interface gigabitethernet1/0/48
description Uplink zum Access-Switch
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
no shutdown
end

Prüfen:

show interfaces trunk

Wenn Sie tiefer in Trunking und VLAN-Tagging einsteigen möchten, ist der Anchor-Text IEEE 802.1Q Standardübersicht hilfreich.

Schritt 4: SVIs konfigurieren (VLAN-Interfaces mit IP-Adressen)

Jetzt kommt der Kern: Sie erstellen pro VLAN ein SVI und weisen eine Gateway-IP zu. Beispiel für VLAN 10:

configure terminal
interface vlan 10
description Gateway VLAN 10 CLIENTS
ip address 192.168.10.1 255.255.255.0
no shutdown
end

VLAN 20:

configure terminal
interface vlan 20
description Gateway VLAN 20 SERVERS
ip address 192.168.20.1 255.255.255.0
no shutdown
end

VLAN 30:

configure terminal
interface vlan 30
description Gateway VLAN 30 VOICE
ip address 192.168.30.1 255.255.255.0
no shutdown
end

VLAN 99 (Management):

configure terminal
interface vlan 99
description Gateway VLAN 99 MGMT
ip address 192.168.99.1 255.255.255.0
no shutdown
end

Schritt 5: Inter-VLAN Routing aktivieren (ip routing)

Damit der Layer-3-Switch tatsächlich zwischen den SVIs routet, muss Routing aktiviert sein. Auf vielen Layer-3-Switches ist ip routing nicht automatisch aktiv, insbesondere wenn das Gerät auch als Layer-2 betrieben werden kann.

configure terminal
ip routing
end

Prüfen:

show running-config | include ip routing
show ip route

In der Routingtabelle sollten die VLAN-Netze als „connected“ erscheinen, wenn die SVIs up sind.

Schritt 6: Default Gateways auf Clients setzen

Ein häufiger Grund für „Inter-VLAN Routing funktioniert nicht“ ist ein falsches Default Gateway auf den Endgeräten. Jeder Client muss als Gateway die IP seines VLAN-SVIs nutzen:

  • Client in VLAN 10: Gateway 192.168.10.1
  • Server in VLAN 20: Gateway 192.168.20.1
  • Voice-Gerät in VLAN 30: Gateway 192.168.30.1

Wenn DHCP genutzt wird, muss der DHCP-Server diese Gateway-Informationen korrekt verteilen (Option „Router“/Default Gateway).

Verifikation: So testen Sie SVI-basiertes Inter-VLAN Routing systematisch

Ein sauberer Testablauf spart enorm Zeit. Prüfen Sie zuerst, ob die SVIs wirklich up sind, dann ob die Routen vorhanden sind, und erst danach End-to-End-Kommunikation.

SVI-Status prüfen

show ip interface brief

Wichtig: Ein SVI kann trotz IP-Adresse „down“ sein, wenn im VLAN kein Port aktiv ist oder das VLAN nicht transportiert wird.

VLANs und Portzuordnung prüfen

show vlan brief

Trunks und VLAN-Transport prüfen

show interfaces trunk

Routingtabelle prüfen

show ip route

Ping-Tests (Layer-3-Switch und Endgeräte)

  • Vom Switch: ping 192.168.10.10 (Client in VLAN 10)
  • Vom Client VLAN 10: Ping auf 192.168.20.10 (Server VLAN 20)
  • Traceroute, um den Hop über den Switch zu sehen

Häufige Fehlerbilder und schnelle Lösungen

Bei SVI-Konfigurationen sind die Fehlerbilder oft sehr ähnlich. Wenn Sie diese Muster kennen, lösen Sie die meisten Probleme schnell.

SVI bleibt down/down

  • Es gibt keinen aktiven Port im VLAN (kein Link up): show interfaces status
  • VLAN existiert nicht oder ist falsch: show vlan brief
  • VLAN wird nicht über Trunks transportiert: show interfaces trunk
  • SVI ist administrativ down: prüfen und no shutdown setzen

SVIs sind up, aber VLANs routen nicht

  • ip routing fehlt: show running-config | include ip routing
  • Clients haben falsches Default Gateway
  • ACLs blockieren Verkehr (auf SVIs oder global): show ip access-lists

Nur ein VLAN funktioniert, andere nicht

  • Allowed VLANs auf dem Trunk sind zu restriktiv: show interfaces trunk
  • Ports sind im falschen VLAN: show vlan brief und show interfaces switchport

DHCP funktioniert in einem VLAN nicht

  • DHCP-Server erreichbar? Routing/Firewall prüfen
  • Optionen (Gateway) korrekt?
  • Bei zentralem DHCP und VLANs: ggf. DHCP-Relay/IP Helper auf SVIs erforderlich (abhängig von Design)

Best Practices: SVIs sauber, sicher und wartbar betreiben

Inter-VLAN Routing auf dem Layer-3-Switch ist leistungsfähig, sollte aber bewusst abgesichert werden. Best Practices zielen auf Klarheit, Segmentierung und minimale Angriffsfläche.

  • Klare VLAN-Namenskonventionen: VLAN und SVI-Beschreibungen konsistent halten.
  • Allowed VLANs restriktiv: Trunks nur mit benötigten VLANs betreiben.
  • Management trennen: eigenes Management-VLAN, Zugriff nur aus Admin-Netzen.
  • Segmentierung via ACLs: nicht automatisch „alles zu allem“ erlauben, wenn Sicherheitszonen existieren.
  • Native VLAN bewusst setzen: untagged Traffic auf Trunks vermeiden und konsistent konfigurieren.
  • Dokumentation: Gateways, Netze, VLAN-IDs, Trunk-Uplinks und Portbereiche dokumentieren.

Als herstellerneutrale Sicherheitsleitlinie, die Prinzipien wie Segmentierung und Härtung unterstützt, eignet sich der Anchor-Text CIS Controls.

Inter-VLAN Routing kontrollieren: ACLs auf SVIs als praxisnahe Option

In vielen Umgebungen möchten Sie Inter-VLAN Kommunikation einschränken, etwa Clients dürfen nicht direkt auf Management-Systeme zugreifen. Eine gängige Methode ist eine ACL am SVI (inbound oder outbound). Das ist kein Ersatz für eine Firewall in komplexen Szenarien, aber für viele Netze ein praktikabler Baustein.

Beispielidee: VLAN 10 darf nur zu VLAN 20 auf Port 443, sonst nichts (vereinfachtes Muster). Die konkrete Umsetzung hängt von Ihren Anforderungen ab; wichtig ist, ACLs gezielt zu planen, zu dokumentieren und nach Änderungen zu testen. Details zur IOS-ACL-Syntax finden Sie über den Anchor-Text Cisco ACL-Konfigurationsgrundlagen.

Konfiguration speichern und Wiederanlauf sicherstellen

Nach erfolgreicher Verifikation sollten Sie die Konfiguration speichern, damit sie nach einem Neustart erhalten bleibt.

copy running-config startup-config

Prüfen:

show startup-config

In produktiven Umgebungen ist zusätzlich ein externes Backup sinnvoll, z. B. per SCP/SFTP. Eine Cisco-Referenz dazu bietet der Anchor-Text Cisco Secure Copy (SCP) und SFTP.

Weiterführende Orientierung: Command Reference und Switching-Grundlagen

Die genaue Syntax kann je nach Switch-Serie und IOS/IOS XE-Version variieren. Für verlässliche Befehlsdetails ist der Anchor-Text Cisco IOS Command Reference hilfreich. Für Konzepte rund um VLANs, Trunks und Switching-Design liefert der Anchor-Text Cisco LAN Switching Dokumentation eine solide, herstellerseitige Basis.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Postmortems nach Voice Outages: QoS Lessons Learned in Standards übersetzen

QoS Maturity Model: Von Best Effort zu Carrier-Grade QoE

QoS Roadmap: Schrittweise Einführung ohne Betriebsrisiko

Blueprint “Voice-Ready Access”: HQoS Patterns für DSL/FTTH/Cable

Blueprint “Metro QoS”: Ring-Design, Shaping Points und Queueing

Blueprint “Core QoS”: Class-Aware TE und skalierbare Policies

Blueprint “VPN QoS”: DSCP Preservation über IPSec/SD-WAN

Blueprint “Video QoS”: ABR, Priorisierung und Monitoring-Methoden

QoS Review Checkliste: Experten-Gates für Design und Konfiguration

Häufige QoS Fehlerbilder: Die Top 25 Ursachen für Voice/Video Probleme

Tools für QoS Troubleshooting: Counters, Telemetry, PCAPs, RTP Stats

QoS für IMS/VoLTE/VoNR: Echtzeitpfade im Telco Netz absichern