March 4, 2026

Private VLAN (PVLAN) Lab: Isolation im Campus nachbauen (Realitätscheck)

Private VLANs (PVLANs) sind eine erweiterte Funktionalität von VLANs, die vor allem in großen Netzwerken zur Isolation von Geräten innerhalb eines VLANs genutzt wird. Diese Technologie hilft dabei, die Kommunikation zwischen Endgeräten zu begrenzen, ohne separate VLANs für jedes Gerät zu benötigen. In diesem Artikel zeigen wir, wie Sie PVLANs im Packet Tracer konfigurieren und nachstellen können, um die Isolation im Campus-Netzwerk zu testen und zu verstehen.

1. Was ist ein Private VLAN (PVLAN)?

Ein Private VLAN (PVLAN) ermöglicht die Isolation von Geräten innerhalb des gleichen VLANs. Dabei werden PVLANs in drei Typen unterteilt:

  • Primary VLAN: Das Haupt-VLAN, das alle anderen PVLANs enthält.
  • Community VLAN: Geräte in diesem VLAN können miteinander kommunizieren, jedoch nicht mit Geräten in anderen VLANs.
  • Isolated VLAN: Geräte in diesem VLAN können nur mit Geräten im Primary VLAN kommunizieren, nicht jedoch mit anderen Geräten im gleichen Isolated VLAN.

1.1 Einsatz von PVLANs

  • Verwendung in großen Rechenzentren oder Campus-Netzwerken, um Sicherheit und Kontrolle zu gewährleisten.
  • Isolierung von Servern oder Endgeräten, die keinen direkten Zugriff auf andere Endgeräte benötigen.
  • Optimierung von IP-Adressen und Reduzierung der Komplexität im Netzwerkmanagement.

2. PVLAN im Packet Tracer konfigurieren

Im folgenden Abschnitt zeigen wir, wie Sie ein PVLAN im Packet Tracer konfigurieren. Wir erstellen ein Szenario, in dem wir drei Geräte in einem PVLAN-Netzwerk isolieren und die Kommunikation zwischen ihnen einschränken.

2.1 Grundkonfiguration des PVLANs

Um ein PVLAN zu konfigurieren, müssen Sie das Primary VLAN und die Community- oder Isolated VLANs auf dem Switch definieren. Hier ist ein einfaches Beispiel, um PVLANs zu konfigurieren:


Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 101,102

Switch(config)# vlan 101
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 102
Switch(config-vlan)# private-vlan isolated

In diesem Beispiel haben wir VLAN 100 als Primary VLAN konfiguriert, VLAN 101 als Community VLAN und VLAN 102 als Isolated VLAN.

2.2 Zuweisung der PVLANs zu den Ports

Nachdem die PVLANs auf dem Switch erstellt wurden, müssen Sie die Ports den entsprechenden VLANs zuweisen. Zum Beispiel können wir Ports für Community und Isolated VLANs konfigurieren:


Switch(config)# interface range gig0/1 - 2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 101  ! Community VLAN

Switch(config)# interface gig0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 102  ! Isolated VLAN

In diesem Beispiel haben wir zwei Ports für das Community VLAN (VLAN 101) und einen Port für das Isolated VLAN (VLAN 102) zugewiesen.

3. Testen der Kommunikation in PVLANs

Nachdem die PVLANs konfiguriert sind, können wir die Kommunikation zwischen den Geräten testen, um sicherzustellen, dass die Isolationsregeln korrekt angewendet werden.

3.1 Test der Kommunikation im gleichen PVLAN

Geräte im gleichen Community VLAN (VLAN 101) können miteinander kommunizieren, aber Geräte im Isolated VLAN (VLAN 102) können nur mit Geräten im Primary VLAN (VLAN 100) kommunizieren.

  • Führen Sie den Befehl ping aus, um die Verbindung zwischen den Geräten im Community VLAN zu testen:

Device1# ping 192.168.1.2  ! Kommunikation innerhalb des Community VLANs

Dies sollte erfolgreich sein, da Geräte im Community VLAN miteinander kommunizieren können.

3.2 Test der Kommunikation zwischen PVLANs

Geräte im Isolated VLAN (VLAN 102) können nicht mit Geräten im gleichen VLAN kommunizieren, daher wird ein Ping-Test zwischen zwei Geräten im Isolated VLAN fehlschlagen.


Device3# ping 192.168.1.3  ! Kommunikation innerhalb des Isolated VLANs

Dieser Test wird fehlschlagen, da die Geräte im Isolated VLAN voneinander isoliert sind.

4. Sicherheitsvorteile und Troubleshooting

Die Verwendung von PVLANs bietet zahlreiche Sicherheitsvorteile, da sie verhindern, dass Geräte ungewollt miteinander kommunizieren. Allerdings gibt es auch potenzielle Probleme, die beim Einsatz von PVLANs auftreten können.

4.1 Sicherheitsvorteile von PVLANs

  • Schutz sensibler Geräte, indem sie nur mit dem Primary VLAN kommunizieren dürfen.
  • Minimierung des Risikos von Angriffen, die auf die Kommunikation zwischen Geräten im gleichen VLAN abzielen.
  • Optimierung der Netzwerksegmentierung und Reduzierung der Broadcast-Domänen.

4.2 Troubleshooting bei PVLANs

Falls Probleme bei der Kommunikation zwischen Geräten auftreten, können Sie folgende Schritte zur Fehlersuche unternehmen:

  • Überprüfen Sie die VLAN-Zuweisungen auf den Switch-Ports.
  • Stellen Sie sicher, dass die richtigen PVLAN-Typen (Community oder Isolated) auf den Ports zugewiesen sind.
  • Vergewissern Sie sich, dass der Trunk-Port korrekt konfiguriert ist, um das Primary VLAN und die PVLANs zu übertragen.

4.3 Überprüfung der VLAN-Konfiguration

Um sicherzustellen, dass Ihre VLANs korrekt konfiguriert sind, können Sie den folgenden Befehl verwenden:


Switch# show vlan brief

Dieser Befehl gibt Ihnen eine Übersicht über alle konfigurierten VLANs und deren Zuweisung zu den Ports.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind