March 3, 2026

VLAN Tagging erklärt: Was wirklich über den Trunk geht

VLAN Tagging ist der Kern von 802.1Q-Trunks: Es entscheidet, zu welchem VLAN ein Ethernet-Frame gehört, wenn mehrere VLANs über denselben Link transportiert werden. Viele Probleme in der Praxis entstehen, weil unklar ist, was auf dem Trunk wirklich getaggt läuft, was untagged bleibt (Native VLAN) und welche VLANs überhaupt „erlaubt“ sind. Dieser Artikel erklärt VLAN Tagging verständlich und zeigt, wie du auf Cisco Switches verifizierst, was tatsächlich über den Trunk geht.

Grundlagen: Was bedeutet VLAN Tagging (802.1Q)?

Bei 802.1Q wird ein VLAN-Tag in den Ethernet-Frame eingefügt. Dieser Tag enthält unter anderem die VLAN-ID (VID), sodass Switches den Frame dem richtigen VLAN zuordnen können. Auf einem Trunk werden VLANs typischerweise getaggt übertragen.

  • 802.1Q-Tag markiert Frames mit einer VLAN-ID
  • Trunk transportiert mehrere VLANs gleichzeitig
  • Switch entscheidet anhand der VLAN-ID, in welche Broadcast-Domäne der Frame gehört

Was im Tag steckt (vereinfacht)

Der 802.1Q-Tag enthält neben der VLAN-ID auch Prioritätsinformationen (PCP) für QoS. Für das Verständnis im Alltag ist entscheidend: VLAN-ID = Zugehörigkeit, PCP = Priorität.

Access vs. Trunk: Wo wird getaggt und wo nicht?

Auf Access-Ports ist Traffic für das Endgerät untagged: Der Switch ordnet Frames intern dem Access-VLAN zu. Auf Trunks werden VLANs getaggt übertragen – mit einer Ausnahme: der Native VLAN.

  • Access-Port: Frames untagged, VLAN-Zuordnung erfolgt über Port-Konfig
  • Trunk-Port: Frames für VLANs werden getaggt übertragen
  • Native VLAN: wird auf dem Trunk typischerweise untagged gesendet/empfangen

Merksatz für die Praxis

Endgeräte sehen normalerweise keine Tags (Access). Uplinks zwischen Switches/Router sehen Tags (Trunk). Wenn du an einem Client-Port Tags siehst, ist fast immer etwas falsch konfiguriert.

Native VLAN: Was läuft untagged über den Trunk?

Die Native VLAN ist das VLAN, dem untagged Frames auf einem Trunk zugeordnet werden. Standardmäßig ist das oft VLAN 1, was in professionellen Designs vermieden wird. Best Practice ist eine ungenutzte Native VLAN (z. B. 999).

  • Untagged auf Trunk = Native VLAN
  • Native VLAN muss auf beiden Seiten identisch sein
  • Unbenutzte Native VLAN reduziert Fehlzuordnung und Risiko

Native VLAN sicher setzen (Beispiel)

configure terminal
vlan 999
 name NATIVE-UNUSED
exit

interface gigabitEthernet 1/0/48

switchport mode trunk

switchport trunk native vlan 999

end

Allowed VLANs: Nicht alles, was getaggt werden könnte, darf auch über den Trunk

Ein Trunk kann theoretisch viele VLANs transportieren. Praktisch steuert die Allowed-Liste, welche VLANs wirklich über den Link laufen. Das ist eine der häufigsten Ursachen für „VLAN geht nicht“.

Allowed VLANs setzen (Whitelist)

configure terminal
interface gigabitEthernet 1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
end

Allowed VLANs hinzufügen oder entfernen

configure terminal
interface gigabitEthernet 1/0/48
 switchport trunk allowed vlan add 40
 switchport trunk allowed vlan remove 30
end

Was geht wirklich über den Trunk? Verifikation mit Cisco Show-Befehlen

Der wichtigste Punkt ist die Unterscheidung zwischen „konfiguriert“ und „tatsächlich aktiv“. Mit den folgenden Befehlen prüfst du Trunk-Status, Native VLAN und die effektiv transportierten VLANs.

show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show running-config interface gigabitEthernet 1/0/48

Wie du den Output richtig liest

  • „Native VLAN“: untagged VLAN auf dem Trunk
  • „Allowed VLANs“: VLANs, die konfiguriert erlaubt sind
  • „Vlans in spanning tree forwarding state“: VLANs, die aktuell aktiv weiterleiten

Praxisbeispiel: Zwei VLANs + Management über einen Trunk

Dieses Beispiel zeigt einen typischen Uplink: Clients (10), Voice (20) und Management (99) laufen getaggt, Native VLAN ist 999 (ungenutzt). DTP wird deaktiviert, um Trunking kontrolliert zu halten.

configure terminal
vlan 10
 name CLIENTS
exit
vlan 20
 name VOICE
exit
vlan 99
 name MGMT
exit
vlan 999
 name NATIVE-UNUSED
exit

interface gigabitEthernet 1/0/48
 description UPLINK-TRUNK
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
 switchport trunk native vlan 999
 switchport nonegotiate
end

Verifikation nach dem Change

show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show vlan brief

Typische Missverständnisse: Warum Traffic „trotz Trunk“ nicht ankommt

Viele Probleme sind keine Tagging-Probleme im eigentlichen Sinne, sondern Folge von Allowed VLANs, Native VLAN Mismatch oder STP-Blockierung.

  • VLAN ist nicht in Allowed VLANs: es wird nicht transportiert
  • Native VLAN mismatch: untagged Traffic landet im falschen VLAN
  • STP blockiert: VLAN ist vorhanden, aber nicht forwarding
  • Port ist kein Trunk: DTP/Mode-Konflikt oder falsche Konfiguration

Schnelle Troubleshooting-Checks

show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show spanning-tree vlan 10
show spanning-tree inconsistentports
show logging | include VLAN|TRUNK|NATIVE|DTP|SPANNING

Best Practices: Tagging-Design sauber und sicher halten

Ein robustes Tagging-Design entsteht nicht durch „mehr VLANs“, sondern durch klare Regeln: Trunks statisch, VLANs whitelisten, Native VLAN ungenutzt, Dokumentation und konsequente Verifikation nach Changes.

  • Trunks statisch setzen (switchport mode trunk)
  • Allowed VLANs als Whitelist pflegen
  • Native VLAN ungenutzt wählen (z. B. 999) und konsistent halten
  • DTP deaktivieren (switchport nonegotiate), wenn Design statisch ist
  • Uplinks eindeutig dokumentieren (description)
  • Nach jeder Änderung prüfen: show interfaces trunk und STP-Forwarding
show interfaces trunk
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer