March 3, 2026

Voice VLAN einrichten: Cisco Switch Setup für VoIP-Telefone

Ein Voice VLAN trennt VoIP-Telefone logisch vom normalen Datenverkehr, obwohl Telefon und PC oft am gleichen Switchport hängen. Das verbessert Sicherheit, vereinfacht Betrieb und ermöglicht Quality of Service (QoS) für Sprachpakete. Auf Cisco Switches wird das Voice VLAN typischerweise mit switchport voice vlan konfiguriert, während der PC weiterhin im Data VLAN bleibt. Dieses Tutorial zeigt das Setup Schritt für Schritt – inklusive PoE, Trunk-Uplink und praxisnaher Verifikation.

Grundkonzept: Data VLAN und Voice VLAN am gleichen Port

Bei einem typischen Arbeitsplatz steckt das IP-Telefon am Switchport und der PC am „PC-Port“ des Telefons. Der Switchport ist Access für das Data VLAN (untagged) und zusätzlich Voice VLAN für Telefon-Traffic (tagged).

  • Data VLAN: PC-Traffic untagged (z. B. VLAN 10)
  • Voice VLAN: Telefon-Traffic tagged (z. B. VLAN 20)
  • Vorteil: Trennung, Priorisierung (QoS) und klarere Policies

Voraussetzung: Uplink muss das Voice VLAN transportieren

Damit Telefonie-Endgeräte DHCP/Call Manager erreichen, müssen Data- und Voice VLAN über Uplinks/Trunks korrekt weitergeleitet werden.

Vorbereitung: VLANs planen und anlegen

Plane mindestens ein Data VLAN und ein Voice VLAN. Optional kommen ein Management VLAN und ein Guest VLAN hinzu. Verwende klare Namen und dokumentiere Subnetze und Gateways.

  • VLAN 10: CLIENTS (z. B. 192.168.10.0/24)
  • VLAN 20: VOICE (z. B. 192.168.20.0/24)
enable
configure terminal

vlan 10
 name CLIENTS
exit

vlan 20
 name VOICE
exit

end

VLANs prüfen

show vlan brief

Switchport für VoIP-Telefon + PC konfigurieren

Der Port wird als Access-Port konfiguriert (Data VLAN) und zusätzlich wird das Voice VLAN gesetzt. PortFast und BPDU Guard sind für Endgeräte-Ports in der Regel sinnvoll.

Einzelnen Port konfigurieren (Beispiel)

configure terminal
interface gigabitEthernet 1/0/15
 description IP-PHONE+PC OFFICE-2.14
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Mehrere Voice-Ports per Range setzen

In der Praxis werden Telefonports blockweise ausgerollt. Das reduziert Fehler und sorgt für konsistente Standards.

configure terminal
interface range gigabitEthernet 1/0/13 - 24
 description IP-PHONE+PC
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable
end

PoE prüfen und sicherstellen: Stromversorgung für Telefone

Viele IP-Telefone werden per PoE versorgt. Wenn ein Telefon nicht bootet, ist PoE einer der ersten Checks. Prüfe auch das PoE-Budget des Switches.

show power inline
show power inline gigabitEthernet 1/0/15

PoE temporär neu starten (kontrolliert)

Wenn ein Telefon „hängt“, kann ein PoE-Reset helfen. Setze PoE dabei nur kurz auf „never“ und anschließend wieder auf „auto“.

configure terminal
interface gigabitEthernet 1/0/15
 power inline never
 power inline auto
end

Uplink/Trunk konfigurieren: Voice VLAN muss transportiert werden

Wenn du Voice VLAN am Access-Port nutzt, muss VLAN 20 über den Trunk zum nächsten Switch/L3-Gerät erlaubt sein. Begrenze Allowed VLANs bewusst und setze eine definierte Native VLAN.

configure terminal
vlan 999
 name NATIVE-UNUSED
exit

interface gigabitEthernet 1/0/48
 description UPLINK-TRUNK
 switchport mode trunk
 switchport trunk allowed vlan 10,20
 switchport trunk native vlan 999
 switchport nonegotiate
end

Trunk verifizieren

show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport

QoS-Basics für Voice: Was du mindestens beachten solltest

Voice-Traffic ist latenz- und jitter-sensitiv. In vielen Umgebungen wird QoS eingesetzt, um Voice gegenüber Daten zu priorisieren. Auf Catalyst-Access-Switches ist es üblich, QoS global zu aktivieren und Telefonverkehr zu „vertrauen“ – allerdings nur, wenn das Endgerät vertrauenswürdig ist.

  • QoS aktivieren (plattformabhängig)
  • Voice VLAN als Grundlage für Policy/Marking
  • Nur vertrauenswürdigen Geräten Markierungen erlauben

Telefon am Port erkennen (Hinweis)

Viele Setups nutzen CDP/LLDP, damit das Telefon das Voice VLAN automatisch lernt. Stelle sicher, dass Nachbarschaftsprotokolle im Design erlaubt sind.

show cdp neighbors
show lldp neighbors

Verifikation: So prüfst du, ob Voice VLAN wirklich funktioniert

Nach der Konfiguration sollte der Switch den Port korrekt als Access + Voice VLAN anzeigen. Zusätzlich hilft MAC-Learning pro VLAN, um Traffic-Fluss zu bestätigen.

show interfaces gigabitEthernet 1/0/15 switchport
show vlan brief
show mac address-table interface gigabitEthernet 1/0/15
show mac address-table vlan 20

Typische Symptome und schnelle Diagnose

  • Telefon bekommt keine IP: Voice VLAN nicht aktiv, DHCP im Voice VLAN fehlt oder Trunk erlaubt VLAN 20 nicht
  • PC hat falsches VLAN: Access VLAN falsch gesetzt oder Telefon nicht korrekt „durchgeschaltet“
  • Telefon bootet nicht: PoE deaktiviert, PoE-Budget erschöpft, Kabel/Port-Problem
  • Einseitige Audio/Qualitätsprobleme: QoS/Upstream-Policy/Netzpfad prüfen
show interfaces status
show interfaces trunk
show power inline
show logging | include VLAN|TRUNK|POWER|CDP|LLDP

Best Practices: Voice VLAN sauber und sicher betreiben

Ein stabiles Voice-VLAN-Design lebt von konsistenten Port-Profilen, kontrollierten Trunks und sauberem Management der Stromversorgung. Diese Standards reduzieren Störungen und erleichtern Rollouts.

  • Voice VLAN immer getrennt vom Data VLAN (klare VLAN-Namen)
  • Uplinks whitelisten: nur benötigte VLANs erlauben
  • Native VLAN bewusst ungenutzt setzen (z. B. 999)
  • PortFast und BPDU Guard auf Endgeräte-Ports aktivieren
  • PoE-Budget überwachen und dokumentieren
  • QoS-Konzept definieren (Trust nur für bekannte Telefone)
  • Nach Changes verifizieren und Konfiguration speichern
copy running-config startup-config
show running-config interface gigabitEthernet 1/0/15
show interfaces trunk

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer