„Allowed VLANs“ auf Trunk-Ports entscheiden darüber, welche VLANs tatsächlich über einen Uplink transportiert werden. In der Praxis sind falsche Allowed-Listen eine der häufigsten Ursachen für „VLAN geht nicht“, unerreichbare Management-Zugriffe oder plötzlich fehlende Netze nach Changes. Dieses Tutorial erklärt, wie Allowed VLANs auf Cisco Switches funktionieren, welche typischen Fehler auftreten und welche Best Practices Trunks stabil und auditierbar machen.
Grundlagen: Was bedeuten „Allowed VLANs“ auf einem Trunk?
Ein Trunk kann viele VLANs transportieren, aber nur VLANs, die auf dem Trunk erlaubt sind, werden über den Link weitergeleitet. Die Allowed-Liste ist damit eine bewusste Einschränkung und ein zentrales Sicherheits- und Betriebsinstrument.
- Allowed VLANs steuern, welche VLAN-Tags über den Trunk gehen
- „Alles erlauben“ ist selten sinnvoll und erhöht Risiko/Komplexität
- Allowed VLANs sollten zum Design (Access/Distribution/Core) passen
Wichtiger Zusammenhang: VLAN existiert vs. VLAN ist erlaubt
Ein VLAN muss auf dem Switch existieren, aber zusätzlich auf dem Trunk erlaubt sein. Fehlt eines davon, kommt das VLAN nicht über den Uplink.
show vlan brief
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
Allowed VLANs konfigurieren: Setzen, hinzufügen, entfernen
Auf Cisco IOS/IOS XE setzt du Allowed VLANs direkt am Interface. In der Praxis ist es wichtig zu wissen, ob du die Liste „ersetzt“ oder „änderst“.
Allowed VLANs explizit setzen (empfohlen)
Das ist der „sichere“ Weg: Du definierst den gewünschten Zustand vollständig. So vermeidest du schleichend wachsende Listen.
configure terminal
interface gigabitEthernet 1/0/48
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
end
VLANs zur Allowed-Liste hinzufügen
Wenn ein neues VLAN über denselben Trunk transportiert werden soll, fügst du es gezielt hinzu.
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk allowed vlan add 40
end
VLANs aus der Allowed-Liste entfernen
So entfernst du VLANs, die über den Trunk nicht mehr laufen sollen. Das ist wichtig bei Cleanup und Security-Härtung.
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk allowed vlan remove 30
end
Allowed VLANs „alle“ setzen oder zurücksetzen
In vielen Designs willst du explizit keine „alle VLANs“ auf Trunks. Wenn du jedoch temporär zurücksetzen musst, prüfe danach unbedingt, welche VLANs tatsächlich aktiv sind.
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk allowed vlan all
end
Verifikation: Wie du sicher prüfst, was wirklich über den Trunk läuft
Die wichtigste Frage im Betrieb lautet: „Welche VLANs sind erlaubt und welche sind aktiv?“ Dafür nutzt du primär show interfaces trunk und show interfaces switchport.
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show running-config interface gigabitEthernet 1/0/48
Praxis-Check: MAC-Learning pro VLAN
Wenn ein VLAN über den Trunk funktioniert, solltest du je VLAN MAC-Adressen lernen (abhängig von Traffic). Das hilft bei „Allowed stimmt, aber trotzdem kein Traffic“-Fällen.
show mac address-table vlan 10
show mac address-table vlan 99
Häufige Fehler: Warum Allowed VLANs so oft Probleme machen
Viele Ausfälle entstehen, weil Allowed-Listen bei Changes nicht mitgezogen werden oder ein VLAN auf einer Seite fehlt. Die folgenden Fehlerbilder sind besonders häufig.
- VLAN vergessen: Neues VLAN angelegt, aber nicht auf allen Trunks erlaubt
- Asymmetrie: VLAN ist nur auf einer Trunk-Seite erlaubt
- Management-VLAN fehlt: Remote-Zugriff (SSH/Syslog/NTP) bricht weg
- „Allowed wächst unkontrolliert“: Historisch hinzugefügt, nie bereinigt
- Native VLAN Verwechslung: Native VLAN korrekt, aber Allowed VLANs falsch
Symptom: „SVI down“ oder Management nicht erreichbar
Wenn das Management-VLAN nicht über den Uplink kommt, kann das Management-SVI zwar lokal up sein, aber Remote-Zugriff scheitert. Prüfe Allowed VLANs und Trunk-Status.
show ip interface brief
show interfaces trunk
show vlan brief
ping 192.168.99.1
Best Practices: Allowed VLANs sicher und auditierbar betreiben
Ein guter Trunk ist nicht „offen“, sondern minimal und bewusst. Damit reduzierst du Broadcast-Domänen, begrenzt Fehlerausbreitung und hältst das Design nachvollziehbar.
- Allowed VLANs immer explizit definieren (Whitelist)
- Trunks rollenbasiert planen (Access ↔ Distribution: nur benötigte VLANs)
- Management-VLAN konsequent auf nötigen Trunks erlauben
- Native VLAN bewusst setzen und dokumentieren (z. B. ungenutzte VLAN)
- Description auf Uplinks setzen (Gegenstelle + Interface)
- Regelmäßige Cleanup-Reviews (alte VLANs entfernen)
Empfohlenes Uplink-Template (Beispiel)
configure terminal
interface gigabitEthernet 1/0/48
description TO-SW-DIST-01 Gi1/0/48
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end
Change-Sicherheit: Vorgehensweise, um Ausfälle zu vermeiden
Allowed VLANs betreffen oft mehrere Links. Ein sicherer Change-Prozess verhindert, dass du VLANs „abschneidest“ oder dich aussperrst.
- Pre-Check: aktuelle Allowed VLANs und Trunk-Status dokumentieren
- Change in kleinen Schritten (add/remove), nicht „blind ersetzen“
- Nach jedem Schritt verifizieren (Trunk, MAC-Learning, Ping)
- Rollback-Plan: vorherige Allowed-Liste griffbereit halten
- Konfiguration speichern und Backup versionieren
show interfaces trunk
show running-config interface gigabitEthernet 1/0/48
copy running-config startup-config
Troubleshooting-Playbook: Wenn ein VLAN über den Trunk nicht durchkommt
Arbeite systematisch: Port up, Trunk aktiv, VLAN existiert, VLAN erlaubt, Gegenstelle konsistent. So findest du den Fehler zuverlässig und schnell.
show interfaces status
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show vlan brief
show mac address-table vlan 10
show logging | include TRUNK|VLAN|NATIVE|DTP
Quick-Fix: VLAN gezielt hinzufügen und testen
Wenn das VLAN fehlt, füge es kontrolliert hinzu und teste sofort. Danach dokumentieren und speichern.
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk allowed vlan add 10
end
show interfaces trunk
ping 192.168.10.1
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
