March 28, 2026

10.9 Inter-VLAN-Routing mit Router-on-a-Stick einfach erklärt

Inter-VLAN-Routing mit Router-on-a-Stick gehört zu den wichtigsten Grundlagen, wenn mehrere VLANs in einem Netzwerk nicht nur getrennt, sondern auch kontrolliert miteinander kommunizieren sollen. VLANs teilen ein Switch-Netz logisch in mehrere Broadcast-Domains auf. Das erhöht Struktur, Sicherheit und Übersichtlichkeit. Gleichzeitig entsteht dadurch ein technischer Nebeneffekt: Geräte in unterschiedlichen VLANs können nicht direkt auf Layer 2 miteinander kommunizieren. Genau an dieser Stelle wird Routing zwischen VLANs notwendig. Eine klassische und besonders lehrreiche Methode dafür ist Router-on-a-Stick. Dabei übernimmt ein einzelner Router über eine einzige physische Verbindung das Routing für mehrere VLANs. Dieses Konzept ist einfach, anschaulich und ideal, um Inter-VLAN-Routing Schritt für Schritt zu verstehen.

Table of Contents

Warum Inter-VLAN-Routing überhaupt nötig ist

Ein VLAN bildet eine eigene Broadcast-Domain. Geräte innerhalb desselben VLANs können direkt per Switching miteinander kommunizieren, solange sie sich im gleichen IP-Subnetz befinden. Zwischen zwei unterschiedlichen VLANs funktioniert das jedoch nicht automatisch, selbst wenn beide Geräte am selben physischen Switch angeschlossen sind.

Der Grund ist einfach: Ein Layer-2-Switch trennt VLANs bewusst voneinander. Ein Host in VLAN 10 kann deshalb nicht direkt mit einem Host in VLAN 20 sprechen, solange kein Layer-3-Gerät den Verkehr zwischen diesen Netzen weiterleitet.

  • VLANs trennen Broadcast-Domains auf Layer 2.
  • Jedes VLAN entspricht in der Regel einem eigenen IP-Subnetz.
  • Verkehr zwischen VLANs braucht eine Routing-Entscheidung.
  • Diese Routing-Funktion kann ein Router oder ein Layer-3-Switch übernehmen.

Router-on-a-Stick ist eine klassische Lösung, bei der ein Router diese Aufgabe übernimmt.

Was bedeutet Router-on-a-Stick?

Router-on-a-Stick beschreibt eine Architektur, bei der ein einzelnes physisches Router-Interface mehrere VLANs bedient. Statt für jedes VLAN eine eigene physische Router-Schnittstelle zu verwenden, wird nur ein Router-Port über einen Trunk mit dem Switch verbunden. Auf diesem Router-Port werden mehrere logische Subinterfaces eingerichtet. Jedes Subinterface ist einem VLAN zugeordnet und erhält eine eigene IP-Adresse als Standard-Gateway für dieses VLAN.

Der Name klingt ungewöhnlich, lässt sich aber leicht merken:

  • Router: übernimmt das Routing zwischen den VLANs
  • on a Stick: mehrere VLANs laufen über eine einzige physische Verbindung

Das „Stick“ steht also sinnbildlich für den einen Link zwischen Switch und Router, über den der gesamte VLAN-Verkehr transportiert wird.

Die Grundidee hinter Router-on-a-Stick

Die zentrale Idee ist, dass mehrere VLANs über einen Trunk-Port vom Switch zum Router gelangen. Der Switch versieht die Frames mit IEEE-802.1Q-Tags. Der Router empfängt diese getaggten Frames auf dem physischen Interface und verarbeitet sie über einzelne Subinterfaces. Jedes dieser Subinterfaces kennt genau ein VLAN und genau ein zugehöriges IP-Subnetz.

Ein einfaches Beispiel:

  • VLAN 10 für Clients mit dem Netz 192.168.10.0/24
  • VLAN 20 für Drucker mit dem Netz 192.168.20.0/24
  • VLAN 30 für Gäste mit dem Netz 192.168.30.0/24

Der Router erhält dann drei logische Subinterfaces:

  • ein Subinterface für VLAN 10 mit 192.168.10.1
  • ein Subinterface für VLAN 20 mit 192.168.20.1
  • ein Subinterface für VLAN 30 mit 192.168.30.1

Diese IP-Adressen dienen den Hosts in den jeweiligen VLANs als Standard-Gateway.

Wie Router-on-a-Stick technisch arbeitet

Damit Router-on-a-Stick funktioniert, müssen Switch und Router eng zusammenarbeiten. Der Switch liefert VLAN-Traffic über einen Trunk an den Router. Der Router ordnet die Frames anhand der VLAN-Tags den passenden Subinterfaces zu und trifft anschließend eine Layer-3-Entscheidung.

Ablauf eines Pakets zwischen zwei VLANs

Angenommen, ein PC in VLAN 10 möchte einen Drucker in VLAN 20 erreichen:

  • Der PC erkennt, dass sich das Ziel in einem anderen IP-Subnetz befindet.
  • Er sendet das Paket an sein Standard-Gateway, also die IP des Router-Subinterfaces für VLAN 10.
  • Der Switch leitet den Frame über den Trunk zum Router weiter.
  • Der Router empfängt den Frame auf dem passenden Subinterface für VLAN 10.
  • Der Router routet das Paket in Richtung VLAN 20.
  • Der Rückweg zum Switch erfolgt wieder über denselben physischen Link, aber logisch über das Subinterface für VLAN 20.
  • Der Switch liefert den Frame an das Zielgerät im VLAN 20 aus.

Damit wird deutlich: Der gesamte Verkehr zwischen VLANs läuft über den Router und denselben physischen Link.

Warum dafür ein Trunk nötig ist

Da mehrere VLANs gleichzeitig über dieselbe Verbindung transportiert werden, muss der Switch-Port zum Router als Trunk konfiguriert sein. Ohne Trunk würde nur ein einziges VLAN korrekt übertragen werden.

Die wichtigsten technischen Voraussetzungen sind:

  • Trunk-Port am Switch
  • IEEE 802.1Q auf dem Router-Interface
  • Subinterfaces auf dem Router
  • IP-Adresse pro VLAN-Subinterface

Welche Komponenten werden benötigt?

Router-on-a-Stick ist konzeptionell einfach und deshalb ideal für Lernumgebungen, kleine Netzwerke und klassische CCNA-Szenarien. Man benötigt dafür keine aufwendige Hardware, sondern nur eine saubere Grundkonfiguration.

Typische Voraussetzungen

  • ein Layer-2-Switch mit VLAN-Unterstützung
  • ein Router mit einem freien Ethernet-Interface
  • ein Trunk-Link zwischen Switch und Router
  • mehrere VLANs auf dem Switch
  • Hosts mit passenden IP-Adressen und Standard-Gateways

Wichtig ist, dass der Router 802.1Q-Subinterfaces unterstützt. Das ist bei klassischen Cisco-Routern in entsprechenden Labor- und Praxisumgebungen der Fall.

Ein einfaches Beispielnetz

Ein anschauliches Beispiel macht das Konzept greifbar. Nehmen wir drei VLANs auf einem Cisco-Switch:

  • VLAN 10 – CLIENTS – 192.168.10.0/24
  • VLAN 20 – PRINTERS – 192.168.20.0/24
  • VLAN 30 – GUEST – 192.168.30.0/24

Der Uplink vom Switch zum Router verwendet Port GigabitEthernet1/0/24 am Switch und GigabitEthernet0/0 am Router. Der Switch-Port arbeitet als Trunk. Auf dem Router werden drei Subinterfaces angelegt:

  • GigabitEthernet0/0.10
  • GigabitEthernet0/0.20
  • GigabitEthernet0/0.30

Jedes Subinterface erhält seine VLAN-Zuordnung und die passende Gateway-IP.

VLANs auf dem Cisco-Switch vorbereiten

Bevor Router-on-a-Stick funktioniert, müssen die VLANs auf dem Switch vorhanden sein. Außerdem müssen Endgeräteports den richtigen VLANs zugewiesen werden.

VLANs anlegen

configure terminal
vlan 10
 name CLIENTS
exit
vlan 20
 name PRINTERS
exit
vlan 30
 name GUEST
exit

Damit sind die benötigten VLANs auf dem Switch erstellt.

Access-Ports zuweisen

configure terminal
interface range GigabitEthernet1/0/1 - 8
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

interface range GigabitEthernet1/0/9 - 12
 switchport mode access
 switchport access vlan 20
 no shutdown
exit

interface range GigabitEthernet1/0/13 - 16
 switchport mode access
 switchport access vlan 30
 no shutdown
exit

Jetzt befinden sich die Benutzerports in VLAN 10, die Druckerports in VLAN 20 und die Gästeports in VLAN 30.

Trunk-Port am Switch konfigurieren

Der Port zum Router muss mehrere VLANs transportieren können. Deshalb wird dieser Port als Trunk eingerichtet.

Switch-Port als Trunk konfigurieren

configure terminal
interface GigabitEthernet1/0/24
 description Uplink zum Router
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30
 no shutdown
exit

Damit kann der Switch die VLANs 10, 20 und 30 zum Router transportieren.

Warum die Allowed-VLAN-Liste wichtig ist

  • Nur benötigte VLANs werden übertragen.
  • Das Design bleibt übersichtlich.
  • Fehler und unnötiger Traffic werden reduziert.

In produktiven Netzen sollte der Trunk nie unnötig mehr VLANs transportieren, als tatsächlich gebraucht werden.

Router-Subinterfaces konfigurieren

Nun folgt der eigentliche Kern von Router-on-a-Stick: die Subinterfaces auf dem Router. Jedes Subinterface repräsentiert logisch ein VLAN.

Physisches Interface aktivieren

Zuerst wird das physische Interface eingeschaltet. Die IP-Adressen liegen später jedoch nicht direkt auf diesem Interface, sondern auf den Subinterfaces.

configure terminal
interface GigabitEthernet0/0
 no shutdown
exit

Subinterface für VLAN 10 konfigurieren

configure terminal
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
exit

Subinterface für VLAN 20 konfigurieren

configure terminal
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
exit

Subinterface für VLAN 30 konfigurieren

configure terminal
interface GigabitEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0
exit

Diese drei Subinterfaces bilden jetzt die Gateways für die drei VLANs.

Was die Konfiguration bedeutet

  • GigabitEthernet0/0.10 ist ein logisches Interface für VLAN 10.
  • encapsulation dot1Q 10 ordnet dem Subinterface VLAN 10 zu.
  • ip address 192.168.10.1 255.255.255.0 setzt die Gateway-IP für Hosts in VLAN 10.

Dasselbe Prinzip gilt für alle weiteren VLANs.

Standard-Gateway auf den Hosts setzen

Damit die Clients in den VLANs tatsächlich über den Router kommunizieren können, muss auf jedem Host das passende Standard-Gateway eingetragen sein. Dieses Gateway ist die IP-Adresse des jeweiligen Router-Subinterfaces.

Beispiele

  • Hosts in VLAN 10 nutzen 192.168.10.1 als Standard-Gateway
  • Hosts in VLAN 20 nutzen 192.168.20.1 als Standard-Gateway
  • Hosts in VLAN 30 nutzen 192.168.30.1 als Standard-Gateway

Fehlt diese Einstellung, kann der Host zwar innerhalb seines VLANs kommunizieren, aber nicht mit anderen VLANs.

Wie der Datenverkehr tatsächlich läuft

Router-on-a-Stick ist besonders lehrreich, weil sich der Verkehrsfluss logisch gut nachvollziehen lässt. Der Router sitzt gewissermaßen zwischen den VLANs, obwohl nur ein einziges physisches Kabel vorhanden ist.

Beispiel: VLAN 10 kommuniziert mit VLAN 20

  • Ein PC in VLAN 10 will einen Host in VLAN 20 erreichen.
  • Der PC sendet an sein Gateway 192.168.10.1.
  • Der Switch taggt den Verkehr auf dem Trunk mit VLAN 10.
  • Der Router empfängt den Verkehr auf Subinterface GigabitEthernet0/0.10.
  • Der Router routet das Paket in das Netz 192.168.20.0/24.
  • Der Rückweg zum Switch erfolgt logisch über GigabitEthernet0/0.20.
  • Der Switch liefert den Frame im VLAN 20 an den Zielhost aus.

Wichtig ist dabei: Das Paket läuft zweimal über denselben physischen Link, einmal in Richtung Router und einmal zurück zum Switch.

Vorteile von Router-on-a-Stick

Router-on-a-Stick ist trotz seines Alters ein sehr nützliches Konzept. Besonders in Ausbildung, Laboren und kleineren Umgebungen bietet es klare Vorteile.

Die wichtigsten Vorteile

  • einfache und anschauliche Architektur
  • nur ein physisches Router-Interface erforderlich
  • gut geeignet für Lern- und Testumgebungen
  • leicht verständlich für CCNA-Grundlagen
  • kostengünstig in kleinen Szenarien

Gerade für Einsteiger ist Router-on-a-Stick ideal, weil es VLANs, Trunks, 802.1Q und Routing in einem einzigen überschaubaren Szenario zusammenführt.

Nachteile und Grenzen von Router-on-a-Stick

In größeren oder leistungsintensiven Unternehmensnetzen ist Router-on-a-Stick meist nicht die bevorzugte Lösung. Das liegt an mehreren technischen Grenzen.

Wesentliche Nachteile

  • der gesamte Inter-VLAN-Verkehr nutzt eine einzige physische Verbindung
  • dieser Link kann schnell zum Flaschenhals werden
  • die Router-CPU übernimmt sämtliches VLAN-Routing
  • Skalierung ist begrenzt
  • für große Netze sind Layer-3-Switches meist effizienter

In modernen Enterprise-Umgebungen wird Inter-VLAN-Routing deshalb oft direkt auf einem Layer-3-Switch umgesetzt. Trotzdem bleibt Router-on-a-Stick ein wichtiges Grundlagenkonzept.

Wichtige Cisco-Befehle zur Prüfung

Nach der Konfiguration sollte Router-on-a-Stick gründlich überprüft werden. Cisco IOS bietet dafür sowohl auf Switch- als auch auf Router-Seite mehrere nützliche Befehle.

VLANs auf dem Switch prüfen

show vlan brief

Dieser Befehl zeigt, ob die VLANs angelegt sind und welche Access-Ports ihnen zugewiesen wurden.

Trunk-Status prüfen

show interfaces trunk

Damit lässt sich kontrollieren, ob der Port zum Router tatsächlich als Trunk arbeitet und die gewünschten VLANs transportiert.

Router-Subinterfaces anzeigen

show ip interface brief

Hier sieht man, ob die Subinterfaces aktiv sind und die richtigen IP-Adressen tragen.

Router-Konfiguration prüfen

show running-config interface GigabitEthernet0/0.10

Dieser Befehl hilft, die 802.1Q-Kapselung und IP-Zuweisung eines bestimmten Subinterfaces zu kontrollieren.

Erreichbarkeit testen

ping 192.168.20.1

Mit Ping-Tests von Clients oder direkt vom Router lässt sich die grundlegende Konnektivität zwischen den VLANs prüfen.

Typische Fehler bei Router-on-a-Stick

Wie bei jeder Netzwerkkonfiguration gibt es auch hier typische Stolperfallen. Viele Probleme entstehen durch kleine, aber entscheidende Details.

Trunk am Switch fehlt

Wenn der Switch-Port zum Router nicht als Trunk konfiguriert ist, gelangt nur ein VLAN korrekt zum Router oder die Kommunikation scheitert vollständig.

Subinterface ohne encapsulation dot1Q

Fehlt der Befehl encapsulation dot1Q, weiß der Router nicht, welchem VLAN das Subinterface zugeordnet ist.

Falsche VLAN-ID im Subinterface

Wenn das Subinterface auf VLAN 20 eingestellt ist, der Switch aber VLAN 10 sendet, passt die Zuordnung nicht zusammen.

Falsche Gateway-Adressen auf Hosts

Selbst bei korrekter Switch- und Routerkonfiguration funktioniert Inter-VLAN-Routing nicht, wenn Clients das falsche Standard-Gateway eingetragen haben.

Allowed VLANs auf dem Trunk unvollständig

Fehlt ein VLAN auf der Allowed-Liste des Trunks, kann der Router für dieses VLAN nicht korrekt erreicht werden.

Physisches Interface auf dem Router ist administrativ down

Auch wenn alle Subinterfaces korrekt konfiguriert sind, bleibt ohne no shutdown auf dem physischen Interface die Kommunikation gestört.

Router-on-a-Stick im Vergleich zu Layer-3-Switching

Es ist hilfreich, Router-on-a-Stick kurz in den größeren Kontext einzuordnen. Inter-VLAN-Routing kann heute auf zwei typische Arten umgesetzt werden:

  • mit einem Router über Router-on-a-Stick
  • mit einem Layer-3-Switch über SVIs

Router-on-a-Stick

  • einfach und didaktisch sehr gut
  • gut für kleine Netze und Labore
  • verwendet einen externen Router
  • gleicher physischer Link für mehrere VLANs

Layer-3-Switching

  • performanter in Enterprise-Umgebungen
  • Routing direkt auf dem Switch
  • keine externe Routerverbindung für jedes VLAN nötig
  • besser skalierbar

Für das Lernen der Grundlagen bleibt Router-on-a-Stick jedoch besonders wertvoll, weil es die Mechanik des Inter-VLAN-Routings sehr transparent macht.

Ein kompaktes Komplettbeispiel

Die folgende Konfiguration zeigt ein vollständiges kleines Router-on-a-Stick-Beispiel mit zwei VLANs:

Switch-Konfiguration

configure terminal
vlan 10
 name CLIENTS
exit
vlan 20
 name PRINTERS
exit

interface range GigabitEthernet1/0/1 - 8
 switchport mode access
 switchport access vlan 10
 no shutdown
exit

interface range GigabitEthernet1/0/9 - 12
 switchport mode access
 switchport access vlan 20
 no shutdown
exit

interface GigabitEthernet1/0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20
 no shutdown
exit

Router-Konfiguration

configure terminal
interface GigabitEthernet0/0
 no shutdown
exit

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
exit

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
exit

Mit dieser Konfiguration können Hosts aus VLAN 10 und VLAN 20 über den Router miteinander kommunizieren, sofern sie die jeweiligen Gateway-Adressen korrekt verwenden.

Warum dieses Thema für CCNA und Praxis so wichtig ist

Router-on-a-Stick ist eines der klassischen Themen, das mehrere Kernbereiche der Netzwerktechnik in einer einzigen Lösung verbindet. Wer dieses Konzept versteht, versteht gleichzeitig VLANs, 802.1Q, Trunks, Standard-Gateways, Subinterfaces und Inter-VLAN-Routing.

  • Es ist ein zentrales Grundlagen-Thema für CCNA.
  • Es zeigt sehr anschaulich die Zusammenarbeit von Switching und Routing.
  • Es trainiert den Umgang mit Cisco-CLI auf Switch und Router.
  • Es ist ideal für Labore, Schulungen und kleine Praxisumgebungen.
  • Es schafft das Fundament für komplexere Layer-3-Designs.

Gerade für Einsteiger ist Router-on-a-Stick deshalb eine der besten Methoden, um zu verstehen, warum VLANs zwar sauber trennen, Kommunikation zwischen ihnen aber immer eine bewusste Routing-Entscheidung erfordert.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Anhang B → Wichtige Ports und Protokolle im Überblick für CCNA

Anhang C → Schnelle Subnetting-Tabelle für CCNA und Networking

Anhang D → Glossar der wichtigsten CCNA-Begriffe einfach erklärt

Anhang E → Zusätzliche Lernressourcen für CCNA, Networking und Cisco

22.5 Fragen zu DHCP, NAT und ACL mit Lösungen

22.6 Fragen zu Wireless und Sicherheit mit Lösungen

22.7 Ausführliche Lösungen zu allen CCNA-Übungsfragen

22.8 Lernerfolg bewerten: So überprüfst du deinen CCNA-Fortschritt

21.1 Netzwerkgrundlagen zusammengefasst: Das Wichtigste für CCNA

Fazit → CCNA erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

21.2 IP-Adressierung und Subnetting einfach zusammengefasst

Botschaft an die Leser → Deine CCNA-Reise beginnt jetzt: Motivation und nächste Schritte