March 3, 2026

Cisco Router Subinterfaces konfigurieren: VLAN Trunking leicht gemacht

Subinterfaces sind eine der einfachsten Möglichkeiten, VLANs über einen einzigen Router-Port zu routen und sauber zu segmentieren. Du nutzt dafür 802.1Q-VLAN-Tagging (Trunk) zwischen Switch und Router. Jedes VLAN erhält auf dem Router ein eigenes Subinterface mit IP-Adresse als Default Gateway – so wird VLAN Trunking in der Praxis schnell nachvollziehbar.

Was sind Subinterfaces – und wofür nutzt man sie?

Ein Subinterface ist ein logisches Interface unter einem physischen Port, erkennbar am Punkt im Namen (z. B. Gi0/1.10). Es erlaubt dir, mehrere VLANs über einen physikalischen Link zu führen und auf Layer 3 zu routen.

  • Ein physischer Router-Port, mehrere logische VLAN-Interfaces
  • 802.1Q-Encapsulation pro VLAN (encapsulation dot1Q)
  • Jedes VLAN bekommt ein eigenes Gateway (IP am Subinterface)
  • Typisches Szenario: Router-on-a-Stick (Switch-Trunk ↔ Router)

Praxisbeispiel: VLAN 10 und VLAN 20 über einen Trunk

Wir konfigurieren zwei VLANs und routen sie über einen Router. Der Switch-Port zum Router ist ein Trunk und erlaubt VLAN 10 und 20. Die Endgeräte nutzen die Subinterface-IP als Default Gateway.

  • VLAN 10: 192.168.10.0/24, Gateway 192.168.10.1
  • VLAN 20: 192.168.20.0/24, Gateway 192.168.20.1
  • Trunk: Switch Gi0/1 ↔ Router Gi0/1

Subnetting-Merker für /24

Hosts bei /24 = 28 2 = 254

Switch-Seite: Trunk aktivieren und VLANs erlauben

Damit VLAN-Tags übertragen werden, muss der Switch-Port zum Router als Trunk laufen. Außerdem sollten nur die VLANs erlaubt sein, die du wirklich brauchst.

VLANs anlegen (falls noch nicht vorhanden)

Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name CLIENTS
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name SERVERS
Switch(config-vlan)# end

Trunk-Port zum Router konfigurieren

Switch# configure terminal
Switch(config)# interface gigabitEthernet0/1
Switch(config-if)# description TRUNK-to-R1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# no shutdown
Switch(config-if)# end

Router-Seite: Physisches Interface vorbereiten

Am Router bleibt das physische Interface typischerweise ohne IP-Adresse. Es wird nur aktiviert, und die IPs liegen auf den Subinterfaces.

R1# configure terminal
R1(config)# interface gigabitEthernet0/1
R1(config-if)# description TRUNK-to-SW1
R1(config-if)# no ip address
R1(config-if)# no shutdown
R1(config-if)# end

Subinterfaces konfigurieren: 802.1Q und Gateway-IP setzen

Pro VLAN erstellst du ein Subinterface, setzt die Encapsulation und vergibst die Gateway-IP. Wichtig ist die korrekte VLAN-ID und eine saubere Beschreibung.

Subinterface für VLAN 10

R1# configure terminal
R1(config)# interface gigabitEthernet0/1.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# description VLAN10-CLIENTS
R1(config-subif)# ip address 192.168.10.1 255.255.255.0
R1(config-subif)# end

Subinterface für VLAN 20

R1# configure terminal
R1(config)# interface gigabitEthernet0/1.20
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# description VLAN20-SERVERS
R1(config-subif)# ip address 192.168.20.1 255.255.255.0
R1(config-subif)# end

Native VLAN: wann relevant und wie konfigurieren?

Die Native VLAN ist untagged Traffic auf einem Trunk. In vielen modernen Designs wird sie bewusst vermieden oder strikt standardisiert, um Mismatches zu verhindern. Wenn du sie nutzt, musst Router und Switch identisch konfigurieren.

Native VLAN setzen (Beispiel VLAN 99)

Switch# configure terminal
Switch(config)# interface gigabitEthernet0/1
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# end
R1# configure terminal
R1(config)# interface gigabitEthernet0/1.99
R1(config-subif)# encapsulation dot1Q 99 native
R1(config-subif)# description VLAN99-NATIVE-MGMT
R1(config-subif)# ip address 192.168.99.1 255.255.255.0
R1(config-subif)# end

Endgeräte: IP und Default Gateway korrekt setzen

Damit Hosts routen können, muss das Gateway zur VLAN-Zugehörigkeit passen. Ein falsches Gateway ist einer der häufigsten Gründe für „kein Inter-VLAN Routing“.

  • VLAN 10 Host: 192.168.10.10/24, Gateway 192.168.10.1
  • VLAN 20 Host: 192.168.20.10/24, Gateway 192.168.20.1

Verifikation: Trunk, Subinterfaces und Routing prüfen

Prüfe systematisch: Erst VLAN/Trunk am Switch, dann Subinterfaces am Router, dann End-to-End. So findest du Mismatches in Minuten.

Switch-Checks

Switch# show vlan brief
Switch# show interfaces trunk
Switch# show interfaces gigabitEthernet0/1 switchport

Router-Checks

R1# show ip interface brief | include GigabitEthernet0/1
R1# show running-config | section interface gigabitEthernet0/1
R1# show interfaces gigabitEthernet0/1.10
R1# show interfaces gigabitEthernet0/1.20

End-to-End-Tests

R1# ping 192.168.10.10
R1# ping 192.168.20.10
R1# traceroute 192.168.20.10

Häufige Fehler und schnelle Lösungen

Subinterfaces sind einfach, aber bei VLAN-Trunks sind die Fehlerbilder sehr ähnlich. Mit den richtigen Checks findest du die Ursache schnell.

  • Trunk erlaubt VLAN nicht: allowed vlan prüfen
  • Switch-Port ist Access statt Trunk: show interfaces trunk
  • Falsche VLAN-ID am Router: encapsulation dot1Q kontrollieren
  • Native VLAN Mismatch: Router/Switch müssen übereinstimmen
  • Physisches Interface down/shutdown: show ip interface brief

Minimal-Troubleshooting-Set

Switch# show interfaces trunk
Switch# show vlan brief
R1# show ip interface brief
R1# show running-config | section interface gigabitEthernet0/1
R1# show arp

Konfiguration speichern

Nach erfolgreichem Test speicherst du Router- und Switch-Konfiguration, damit alles nach einem Neustart erhalten bleibt.

R1# copy running-config startup-config
Switch# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane