Inter-VLAN Routing mit Cisco Router: Router-on-a-Stick Tutorial

Router-on-a-Stick ist ein klassisches und sehr lehrreiches Design für Inter-VLAN Routing: Mehrere VLANs werden über einen einzigen physischen Router-Port per 802.1Q getaggt (Trunk) zum Switch übertragen. Der Router nutzt Subinterfaces als Default Gateways der VLANs und routet den Verkehr zwischen den Netzen. Dieses Tutorial führt dich Schritt für Schritt durch ein praxisnahes Lab-Setup.

Konzept: Warum Router-on-a-Stick funktioniert

Ein Switch trennt VLANs auf Layer 2. Damit Geräte aus VLAN 10 und VLAN 20 miteinander kommunizieren können, brauchst du Layer-3-Routing. Router-on-a-Stick löst das, indem der Router pro VLAN ein Subinterface mit eigener IP-Adresse bereitstellt.

• Switch-Port zum Router: Trunk (802.1Q), trägt mehrere VLANs
• Router: ein physisches Interface, mehrere Subinterfaces
• Jedes VLAN hat ein eigenes Layer-3-Gateway (IP am Subinterface)

Praxis-Topologie und IP-Plan (Beispiel)

Wir nutzen zwei VLANs und einen Switch. Der Router ist über GigabitEthernet0/1 am Switch angebunden. Die Endgeräte erhalten IPs passend zum VLAN und nutzen den Router als Default Gateway.

• VLAN 10 (Clients): 192.168.10.0/24, Gateway 192.168.10.1
• VLAN 20 (Server/IoT): 192.168.20.0/24, Gateway 192.168.20.1
• Trunk-Link: Switch-Port z. B. Gi0/1 ↔ Router Gi0/1

Subnetting-Merker für /24

Ein /24 bietet 254 nutzbare Host-Adressen. Für VLANs in Labs und kleinen Netzen ist das oft ausreichend.

$\text{Hosts bei /24}=2^8–2=254$

Switch vorbereiten: VLANs anlegen und Trunk konfigurieren

Auf dem Switch legst du die VLANs an und konfigurierst den Port zum Router als Trunk. Anschließend ordnest du Access-Ports den VLANs zu, damit Endgeräte korrekt segmentiert sind.

VLANs erstellen (Switch)

Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name CLIENTS
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name SERVERS
Switch(config-vlan)# end

Trunk-Port zum Router konfigurieren (Switch)

Beispiel: Switch-Port GigabitEthernet0/1 geht zum Router. Erlaubt werden VLAN 10 und 20.

Switch# configure terminal
Switch(config)# interface gigabitEthernet0/1
Switch(config-if)# description TRUNK-to-R1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# no shutdown
Switch(config-if)# end

Access-Ports für Endgeräte konfigurieren (Switch)

Beispiel: PC hängt an Gi0/2 (VLAN 10), Server an Gi0/3 (VLAN 20).

Switch# configure terminal
Switch(config)# interface gigabitEthernet0/2
Switch(config-if)# description PC-VLAN10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface gigabitEthernet0/3

Switch(config-if)# description SERVER-VLAN20

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 20

Switch(config-if)# no shutdown

Switch(config-if)# end

Router konfigurieren: Subinterfaces als VLAN-Gateways

Am Router bleibt das physische Interface ohne IP-Adresse. Stattdessen erhalten die Subinterfaces die IPs als Default Gateways. Wichtig ist die korrekte VLAN-ID in encapsulation dot1Q.

Physisches Interface aktivieren (ohne IP)

R1# configure terminal
R1(config)# interface gigabitEthernet0/1
R1(config-if)# description TRUNK-to-SW1
R1(config-if)# no ip address
R1(config-if)# no shutdown
R1(config-if)# exit

Subinterface für VLAN 10

R1(config)# interface gigabitEthernet0/1.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# description VLAN10-CLIENTS
R1(config-subif)# ip address 192.168.10.1 255.255.255.0
R1(config-subif)# exit

Subinterface für VLAN 20

R1(config)# interface gigabitEthernet0/1.20
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# description VLAN20-SERVERS
R1(config-subif)# ip address 192.168.20.1 255.255.255.0
R1(config-subif)# end

Endgeräte konfigurieren: IP und Default Gateway korrekt setzen

Damit Inter-VLAN Routing funktioniert, müssen die Hosts die richtige IP im VLAN und das passende Default Gateway (Router-Subinterface) verwenden.

• PC (VLAN 10): IP 192.168.10.10/24, Gateway 192.168.10.1
• Server (VLAN 20): IP 192.168.20.10/24, Gateway 192.168.20.1

Verifikation: VLANs, Trunk und Routing Schritt für Schritt prüfen

Teste nicht „alles auf einmal“. Prüfe zuerst VLAN/Trunk auf dem Switch, dann Subinterfaces am Router, danach End-to-End. So findest du Fehler schnell.

Switch: VLANs und Trunk prüfen

Switch# show vlan brief
Switch# show interfaces trunk
Switch# show interfaces gigabitEthernet0/1 switchport

Router: Subinterfaces und IP-Status prüfen

R1# show ip interface brief | include GigabitEthernet0/1
R1# show interfaces gigabitEthernet0/1.10
R1# show interfaces gigabitEthernet0/1.20

End-to-End: Ping und Traceroute

R1# ping 192.168.10.10
R1# ping 192.168.20.10
R1# traceroute 192.168.20.10

Häufige Fehler beim Router-on-a-Stick

Wenn Inter-VLAN Routing nicht funktioniert, sind es meist Trunk/VLAN-Mismatches oder falsche Gateways. Diese Fehler lassen sich mit wenigen Show-Befehlen schnell einkreisen.

• Trunk erlaubt VLANs nicht (allowed vlan fehlt/zu restriktiv)
• Switch-Port zum Router ist nicht im Trunk-Modus
• Falsche VLAN-ID in encapsulation dot1Q
• Endgerät hat falsches Default Gateway
• Physisches Interface ist down oder shutdown

Schnelle Troubleshooting-Kommandos

Switch# show interfaces trunk
Switch# show vlan brief
R1# show ip interface brief
R1# show running-config | section interface gigabitEthernet0/1
R1# show arp

Optional: Inter-VLAN Traffic einschränken (ACL-Grundidee)

Standardmäßig routet der Router zwischen VLANs ohne Einschränkung. In der Praxis begrenzt man oft den Zugriff, z. B. dürfen Clients VLAN 10 nicht direkt auf IoT VLAN 20 zugreifen.

Beispiel: VLAN10 darf nicht auf VLAN20 (außer DNS)

R1# configure terminal
R1(config)# ip access-list extended VLAN10_POLICY
R1(config-ext-nacl)# permit udp 192.168.10.0 0.0.0.255 any eq 53
R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
R1(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any
R1(config-ext-nacl)# exit
R1(config)# interface gigabitEthernet0/1.10
R1(config-subif)# ip access-group VLAN10_POLICY in
R1(config-subif)# end

Konfiguration speichern

Speichere nach erfolgreichem Test die Konfiguration, damit sie einen Neustart überlebt.

R1# copy running-config startup-config
Switch# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.