Private VLANs (PVLAN) erweitern das klassische VLAN-Konzept um eine kontrollierte Isolation auf Layer 2: Endgeräte können im gleichen IP-Subnetz bleiben, dürfen aber je nach PVLAN-Typ nicht direkt miteinander kommunizieren. Das ist besonders in Enterprise- und Provider-Umgebungen nützlich, z. B. für Server-Farmen, DMZs, Gäste-/IoT-Segmente oder Shared-Subnetze, in denen Clients voneinander getrennt werden sollen. Dieses Tutorial erklärt PVLANs verständlich und zeigt eine praxistaugliche Cisco-Konfiguration mit Verifikation.
PVLAN-Grundlagen: Primary, Isolated und Community
PVLANs bestehen aus einem „Primary VLAN“ und einem oder mehreren „Secondary VLANs“. Die Secondary VLANs bestimmen, wie Geräte untereinander sprechen dürfen. Ein Promiscuous-Port (z. B. Gateway/Firewall) kann mit allen sprechen.
- Primary VLAN: das übergeordnete VLAN (z. B. VLAN 100)
- Isolated VLAN: Hosts sind untereinander isoliert, nur Promiscuous erreichbar
- Community VLAN: Hosts innerhalb der Community dürfen miteinander, aber nicht mit anderen Communities
- Promiscuous Port: darf mit allen Secondary VLANs kommunizieren (typisch: Gateway)
Typischer Einsatzzweck
PVLAN erlaubt „gleiche IP-Subnetze, aber L2-Isolation“. Das ist hilfreich, wenn du IP-Adressierung nicht aufsplitten willst oder kannst, aber trotzdem East-West-Traffic zwischen Clients verhindern möchtest.
Konzeptbeispiel: Server/Clients isolieren, Gateway bleibt erreichbar
Ein häufiges Design: Alle Hosts sind im Subnetz 192.168.100.0/24, aber Hosts sollen nicht miteinander sprechen. Nur das Default-Gateway (SVI/Firewall) darf alle erreichen.
- Primary VLAN 100 (PVLAN-Primary)
- Isolated VLAN 101 (PVLAN-Isolated für „isolierte Hosts“)
- Community VLAN 102 (PVLAN-Community für Gruppe A)
- Community VLAN 103 (PVLAN-Community für Gruppe B)
Voraussetzungen und Hinweise für Cisco PVLAN
PVLAN ist nicht auf jeder Switch-Plattform und in jedem Feature-Set verfügbar. In Enterprise-Netzen wird PVLAN häufig auf Distribution-/Core- oder Datacenter-Switching-Plattformen umgesetzt. Stelle sicher, dass dein Switch PVLAN unterstützt und dass Uplink-Design und Gateways dazu passen.
Vorab-Checks
show version
show vlan brief
PVLANs anlegen: Primary und Secondary VLANs definieren
Zuerst legst du das Primary VLAN an und markierst es als PVLAN Primary. Danach legst du Secondary VLANs an und definierst ihren Typ (isolated/community). Anschließend werden die Secondary VLANs dem Primary VLAN zugeordnet.
enable
configure terminal
vlan 100
name PVLAN-PRIMARY
private-vlan primary
exit
vlan 101
name PVLAN-ISO
private-vlan isolated
exit
vlan 102
name PVLAN-COMM-A
private-vlan community
exit
vlan 103
name PVLAN-COMM-B
private-vlan community
exit
vlan 100
private-vlan association 101,102,103
exit
end
PVLAN-VLANs prüfen
show vlan private-vlan
show vlan brief
Ports konfigurieren: Promiscuous vs. Host-Port
Für PVLAN brauchst du zwei zentrale Port-Rollen: Promiscuous (z. B. zu Firewall/Router/Gateway) und Host-Ports (Endgeräte). Host-Ports werden dem Primary VLAN zugeordnet und zusätzlich einer Secondary VLAN (isolated oder community) zugewiesen.
Promiscuous Port (Gateway/Firewall) konfigurieren
Dieser Port darf mit allen Secondary VLANs sprechen. Typisch ist die Verbindung zu einer Firewall, einem Router oder einem L3-Device, das als Default-Gateway dient.
configure terminal
interface gigabitEthernet 1/0/48
description PVLAN-PROMISCUOUS-TO-GW
switchport mode private-vlan promiscuous
switchport private-vlan mapping 100 101,102,103
end
Isolated Host-Port konfigurieren
Hosts im isolated VLAN können nicht direkt mit anderen Hosts sprechen (auch nicht mit anderen isolated Hosts), sondern nur mit dem Promiscuous-Port.
configure terminal
interface gigabitEthernet 1/0/10
description PVLAN-ISO-HOST
switchport mode private-vlan host
switchport private-vlan host-association 100 101
spanning-tree portfast
spanning-tree bpduguard enable
end
Community Host-Port konfigurieren
Hosts in der gleichen Community dürfen miteinander kommunizieren, sind aber von anderen Communities und isolated Hosts getrennt. Sie erreichen weiterhin den Promiscuous-Port.
configure terminal
interface range gigabitEthernet 1/0/11 - 12
description PVLAN-COMM-A-HOSTS
switchport mode private-vlan host
switchport private-vlan host-association 100 102
spanning-tree portfast
spanning-tree bpduguard enable
end
configure terminal
interface range gigabitEthernet 1/0/13 - 14
description PVLAN-COMM-B-HOSTS
switchport mode private-vlan host
switchport private-vlan host-association 100 103
spanning-tree portfast
spanning-tree bpduguard enable
end
Gateway/Layer-3-Anbindung: SVI/Firewall passend planen
PVLAN ist Layer 2. Für Inter-VLAN-/Upstream-Routing brauchst du ein L3-Gateway (Firewall/L3-SVI). In PVLAN-Designs ist das Gateway typischerweise am Promiscuous-Port angebunden. Achte darauf, dass dein Gateway-Design PVLAN unterstützt oder dass die L3-Schnittstelle korrekt im Primary VLAN arbeitet.
Konzept-Hinweis: Default Gateway für alle Hosts
Alle Hosts bleiben im gleichen Subnetz und nutzen das gleiche Gateway (z. B. 192.168.100.1). PVLAN verhindert dann Host-zu-Host-Kommunikation auf Layer 2, nicht das Routing.
Verifikation: Funktion und Isolation prüfen
Nach der Konfiguration solltest du prüfen, ob PVLAN-Zuordnungen korrekt sind und ob Hosts sich wie erwartet verhalten: Isolated-Hosts dürfen sich nicht gegenseitig erreichen, Community-Hosts dürfen innerhalb ihrer Community sprechen, alle dürfen den Promiscuous-Port erreichen.
show vlan private-vlan
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces gigabitEthernet 1/0/10 switchport
show mac address-table vlan 100
Praxis-Testmatrix (erwartetes Verhalten)
- Isolated Host → Isolated Host: nicht erlaubt
- Isolated Host → Community Host: nicht erlaubt
- Community A Host → Community A Host: erlaubt
- Community A Host → Community B Host: nicht erlaubt
- Alle Hosts → Promiscuous/Gateway: erlaubt
Häufige Fehler und Troubleshooting
PVLAN-Probleme sind oft Mapping-/Association-Fehler oder ein nicht passendes Gateway/Uplink-Design. Prüfe zuerst VLAN/Association, dann Port-Modi und Mapping.
- Secondary VLAN nicht dem Primary zugeordnet (Association fehlt)
- Promiscuous-Port ohne Mapping zu Secondary VLANs
- Host-Port falsche host-association (Primary/Secondary vertauscht)
- Uplink/Gateway unterstützt Design nicht oder falscher Anschluss
show vlan private-vlan
show running-config | include private-vlan
show interfaces status
show logging | include VLAN|PVLAN|SPANNING
Best Practices: PVLAN sicher und betrieblich sauber umsetzen
PVLAN ist mächtig, aber sollte standardisiert und dokumentiert betrieben werden. Eine klare Template-Logik und saubere Uplink-/Gateway-Planung verhindern Überraschungen.
- Primary/Secondary VLANs konsequent benennen und dokumentieren
- Isolated für „Zero-Trust“-Zonen, Community für Gruppen mit Bedarf
- Promiscuous-Port klar definieren (nur Gateways/Firewalls)
- Uplinks bewusst planen (PVLAN-fähige Pfade, keine „random“ Trunks)
- PortFast/BPDU Guard auf Host-Ports aktivieren
- Nach Changes Verifikation mit
show vlan private-vlandurchführen
copy running-config startup-config
show vlan private-vlan
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
