Inter-VLAN Routing verstehen: Switch vs. Router-on-a-Stick

VLANs trennen ein Netzwerk auf Layer 2 in separate Broadcast-Domänen. Sobald Geräte aus unterschiedlichen VLANs miteinander kommunizieren sollen, brauchst du Inter-VLAN Routing – also Routing zwischen VLAN-Subnetzen. In der Praxis gibt es dafür zwei typische Ansätze: Routing auf einem Layer-3-Switch (SVIs) oder „Router-on-a-Stick“ über Subinterfaces auf einem Router. Dieser Artikel erklärt beide Konzepte verständlich, zeigt Konfigurationsbeispiele und hilft bei der Auswahl für dein Netzwerkdesign.

Grundprinzip: Warum Inter-VLAN Routing nötig ist

Ein Access-Port gehört genau einem VLAN. Frames bleiben innerhalb der Broadcast-Domäne. Ein PC in VLAN 10 kann daher nicht direkt mit einem Server in VLAN 20 sprechen, weil zwischen den VLANs ein Layer-3-Hop erforderlich ist.

• VLAN 10 und VLAN 20 sind getrennte Layer-2-Domänen
• Jedes VLAN hat typischerweise ein eigenes IP-Subnetz
• Kommunikation zwischen VLANs braucht ein Gateway mit Routing

Beispiel-Adressierung (typisch im Campus)

$\text{VLAN 10:}\text{192.168.10.0}/\text{24}\text{Gateway:}\text{192.168.10.1}$
$\text{VLAN 20:}\text{192.168.20.0}/\text{24}\text{Gateway:}\text{192.168.20.1}$

Variante 1: Inter-VLAN Routing auf einem Layer-3-Switch (SVIs)

Beim Layer-3-Switch erfolgt das Routing direkt auf dem Switch über SVIs (Switch Virtual Interfaces). Jedes VLAN bekommt ein SVI mit IP-Adresse, das als Default-Gateway für die Clients dient.

• Hohe Performance (Routing in Hardware/ASIC)
• Saubere Trennung: VLANs + Gateways direkt am Switch
• Typisch für Campus: Distribution/Core als L3, Access als L2

Konzept: SVI pro VLAN

Du erstellst VLANs und setzt pro VLAN ein interface vlan X mit IP. Zusätzlich muss Routing auf dem Switch aktiviert werden.

enable
configure terminal

vlan 10
 name CLIENTS
exit
vlan 20
 name SERVER
exit

ip routing

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown
exit

interface vlan 20
 ip address 192.168.20.1 255.255.255.0
 no shutdown
exit

end

Access-Ports den VLANs zuweisen

Clients und Server hängen an Access-Ports. Der Default-Gateway ist jeweils die SVI-IP im eigenen VLAN.

configure terminal
interface range gigabitEthernet 1/0/1 - 12
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
exit
interface range gigabitEthernet 1/0/13 - 16

switchport mode access

switchport access vlan 20

spanning-tree portfast

spanning-tree bpduguard enable

exit

end

Verifikation auf dem Layer-3-Switch

show ip interface brief
show vlan brief
show ip route
ping 192.168.10.10
ping 192.168.20.10

Variante 2: Router-on-a-Stick (RoAS) mit Subinterfaces

Beim Router-on-a-Stick nutzt du einen Router mit einem einzigen physischen Interface, das als Trunk zum Switch läuft. Auf dem Router werden Subinterfaces erstellt – jeweils mit 802.1Q-Tag für ein VLAN und einer IP als Gateway.

• Kostengünstig für kleine Umgebungen/Labs
• Ein Router-Port routet mehrere VLANs per Subinterfaces
• Bandbreite des einen Links kann zum Bottleneck werden

Switch-Seite: Trunk zum Router konfigurieren

Der Port zum Router muss als Trunk laufen und die VLANs transportieren, die geroutet werden sollen.

configure terminal
interface gigabitEthernet 1/0/48
 description TRUNK-TO-ROUTER
 switchport mode trunk
 switchport trunk allowed vlan 10,20
 switchport trunk native vlan 999
exit
end

Router-Seite: Subinterfaces mit 802.1Q konfigurieren

Jedes Subinterface bekommt eine VLAN-Zuordnung und eine IP-Adresse als Default-Gateway. Der Router routet dann zwischen den Subnetzen.

enable
configure terminal
interface gigabitEthernet 0/0

no shutdown

exit
interface gigabitEthernet 0/0.10

encapsulation dot1Q 10

ip address 192.168.10.1 255.255.255.0

exit
interface gigabitEthernet 0/0.20

encapsulation dot1Q 20

ip address 192.168.20.1 255.255.255.0

exit
end

Native VLAN am Router (optional, falls genutzt)

Wenn du eine Native VLAN aktiv nutzt, muss sie auf beiden Seiten konsistent sein. In vielen Designs wird eine ungenutzte Native VLAN gewählt, um untagged Traffic zu „parken“.

configure terminal
interface gigabitEthernet 0/0.999
 encapsulation dot1Q 999 native
 ip address 192.0.2.1 255.255.255.0
end

Verifikation beim Router-on-a-Stick

show ip interface brief
show interfaces gigabitEthernet 0/0.10
show interfaces gigabitEthernet 0/0.20
show ip route

Switch vs. Router-on-a-Stick: Vergleich und Entscheidungshilfe

Beide Designs funktionieren technisch zuverlässig, aber sie sind für unterschiedliche Anforderungen optimiert. Entscheidend sind Performance, Redundanz, Betrieb und Skalierbarkeit.

• Performance: L3-Switch ist meist schneller (Hardware-Routing), RoAS teilt sich einen Link
• Skalierbarkeit: L3-Switch skaliert besser mit vielen VLANs und hohem Ost-West-Traffic
• Kosten: RoAS ist günstig für kleine Umgebungen/Labs
• Redundanz: L3-Switch-Designs lassen sich oft sauberer redundant aufbauen
• Betrieb: SVIs sind im Campus standardisiert, RoAS ist oft „Lab/Small Office“

Typische Einsatzempfehlung

• Lab/kleines Büro: Router-on-a-Stick ist schnell umgesetzt
• Campus/Unternehmen: Layer-3-Switching mit SVIs ist Standard

Häufige Fehler und Troubleshooting-Checkliste

Inter-VLAN Routing scheitert meistens nicht am Routing selbst, sondern an VLAN/Trunk/Port-Zuordnungen oder falschen Gateways. Prüfe zuerst Layer 2, dann Layer 3.

Layer-2-Checks (Switch)

show vlan brief
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show mac address-table vlan 10
show mac address-table vlan 20

Layer-3-Checks (L3-Switch oder Router)

show ip interface brief
show ip route
ping 192.168.10.1
ping 192.168.20.1

Typische Fehlerbilder

• Default-Gateway auf Clients falsch (muss SVI/Subinterface-IP sein)
• Trunk erlaubt VLAN nicht (Allowed VLANs fehlen)
• SVI down: VLAN nicht aktiv oder keine Ports im VLAN up
• Native VLAN mismatch: untagged Traffic landet falsch oder erzeugt Warnungen
• IP-Adressierung überlappt oder falsche Subnetzmaske

Best Practices: Sauberer Betrieb bei Inter-VLAN Routing

Mit wenigen Standards bleibt Inter-VLAN Routing stabil, sicher und leicht zu betreiben – unabhängig vom gewählten Design.

• VLANs konsequent benennen und dokumentieren
• Trunks whitelisten (Allowed VLANs) und Native VLAN bewusst setzen
• Management-VLAN getrennt führen und Zugriff per ACL begrenzen
• Routing-Design klar definieren (SVIs im Distribution/Core oder RoAS im Edge)
• Nach Changes verifizieren und Konfiguration sichern

show interfaces trunk
show ip interface brief
show ip route
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.