Inter-VLAN-Routing verbindet getrennte VLANs kontrolliert miteinander, damit z. B. Clients auf Server zugreifen können, ohne dass das Netzwerk zu einem unsicheren „Flachnetz“ wird. Eine sichere und effiziente Cisco-Inter-VLAN-Routing-Konfiguration kombiniert klare VLAN-Rollen, konsistente IP-Pläne, saubere Trunk-/L3-Uplink-Designs und restriktive Policies an den Segmentgrenzen. Dieser Leitfaden zeigt bewährte Architekturen, konkrete CLI-Beispiele und verifizierbare Ergebnisse.
Inter-VLAN-Routing: Ziele und typische Einsatzszenarien
Inter-VLAN-Routing ist immer dann notwendig, wenn VLANs nicht nur isoliert sein sollen, sondern definierte Dienste zwischen Segmenten erreichbar sein müssen. Entscheidend ist dabei das Minimalprinzip: nur benötigte Verbindungen erlauben.
- Users → Server: Zugriff auf AD/DNS/Files/Apps
- Voice → Call-Manager: VoIP-Signalisierung und Media
- IoT → Management/Cloud: nur definierte Ports zu definierten Zielen
- Guest → Internet: kein Zugriff auf interne Netze
Design-Optionen: Router-on-a-Stick vs. Layer-3-Switch
Inter-VLAN-Routing kann entweder auf einem Router (Router-on-a-Stick) oder auf einem Layer-3-Switch (SVIs) erfolgen. Für kleine Standorte ist Router-on-a-Stick üblich, für Campus/Enterprise routet meist ein L3-Core und der Router übernimmt WAN/Edge.
- Router-on-a-Stick: 802.1Q-Trunk, Subinterfaces je VLAN
- Layer-3-Switch: SVIs am Switch, Router nur für WAN/Edge
- Effizienz: L3-Switch skaliert besser bei vielen VLANs und hohem Ost-West-Traffic
Grundvoraussetzungen: Rollen, IP-Plan und Gateway-Logik
Die häufigsten Fehler entstehen durch inkonsistente IP-Pläne oder fehlende Standards. Legen Sie daher Rollen-VLANs fest (Users, Voice, Guest, IoT, Management) und definieren Sie klare Regeln für Subnetzgrößen und Gateway-Adressen.
- VLAN-ID und Subnetzlogik koppeln (z. B. VLAN20 → 10.10.20.0/24)
- Gateway-Regel: immer .1 oder immer .254 pro VLAN (konsequent bleiben)
- Kleine Segmente als /26 planen, um Broadcast-Last zu reduzieren
Subnetting-Kompakt: /26 als Standardbaustein
Ein /26-Netz liefert 64 Adressen, davon 62 nutzbar. Für Voice/IoT/Printer ist das häufig ausreichend und hält Segmentgrößen übersichtlich.
Konfiguration Variante 1: Router-on-a-Stick (sicher und übersichtlich)
Beim Router-on-a-Stick ist der Switchport zum Router ein Trunk. Auf dem Router wird pro VLAN ein Subinterface mit dot1Q-Tagging und Gateway-IP erstellt. Nutzen Sie klare Interface-Descriptions und gruppieren Sie die Konfiguration logisch.
Beispiel: Trunk + VLAN-Gateways (Subinterfaces)
interface GigabitEthernet0/1
description LAN-TRUNK-to-SW1
no shutdown
interface GigabitEthernet0/1.10
description VLAN10-MGMT
encapsulation dot1Q 10
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1.20
description VLAN20-USERS
encapsulation dot1Q 20
ip address 10.10.20.1 255.255.255.0
interface GigabitEthernet0/1.30
description VLAN30-VOICE
encapsulation dot1Q 30
ip address 10.10.30.1 255.255.255.192
interface GigabitEthernet0/1.40
description VLAN40-IOT
encapsulation dot1Q 40
ip address 10.10.40.1 255.255.255.192
interface GigabitEthernet0/1.50
description VLAN50-GUEST
encapsulation dot1Q 50
ip address 10.10.50.1 255.255.255.0
Erwartete Ergebnisse
- Clients in jedem VLAN erreichen ihr Gateway (z. B. 10.10.20.1)
- Inter-VLAN-Routing funktioniert technisch (ohne Policies wäre alles erreichbar)
- Segmente sind logisch getrennt; Zugriff wird über ACLs gesteuert
Konfiguration Variante 2: Layer-3-Switch (SVIs) mit Router als Edge
In größeren Umgebungen ist es effizienter, Inter-VLAN-Routing auf dem L3-Switch zu betreiben (SVIs). Der Router übernimmt dann WAN, BGP/Failover, NAT oder VPN. Wichtig: Die Default-Route und Routing-Nachbarschaften müssen sauber zwischen Core und Edge abgestimmt sein.
- SVIs auf dem Switch: Gateways pro VLAN
- Router: WAN/Internet, ggf. NAT/VPN, ggf. BGP
- Zwischen Switch und Router: L3-Transitnetz (kleines /30 oder /31)
Sicherheit: Policies an den Segmentgrenzen (ACLs als Mindeststandard)
Inter-VLAN-Routing ist erst „sicher“, wenn Sie den Verkehr zwischen VLANs begrenzen. Für viele Büro-Setups reichen klare ACLs: Guest darf nicht intern, IoT nur zu definierten Zielen, Management nur aus dem Management-VLAN.
Beispiel: Guest darf keine internen Netze erreichen
ip access-list extended ACL-GUEST-IN
deny ip 10.10.50.0 0.0.0.255 10.10.0.0 0.0.255.255
permit ip 10.10.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50
ip access-group ACL-GUEST-IN in
Beispiel: IoT restriktiv (nur definierte Ziele und Ports)
ip access-list extended ACL-IOT-IN
permit udp 10.10.40.0 0.0.0.63 10.10.10.10 0.0.0.0 eq 53
permit tcp 10.10.40.0 0.0.0.63 10.10.20.20 0.0.0.0 eq 443
deny ip 10.10.40.0 0.0.0.63 10.10.0.0 0.0.255.255
permit ip 10.10.40.0 0.0.0.63 any
interface GigabitEthernet0/1.40
ip access-group ACL-IOT-IN in
Beispiel: Management-Zugriff auf SSH begrenzen
ip access-list standard MGMT_ONLY
permit 10.10.10.0 0.0.0.255
deny any
line vty 0 4
transport input ssh
access-class MGMT_ONLY in
login local
exec-timeout 10 0
DHCP im Inter-VLAN-Design: Relay als Standard
Wenn DHCP zentral bereitgestellt wird, nutzen Sie DHCP-Relay pro VLAN. Das reduziert lokalen Konfigaufwand und erleichtert Betrieb und Fehleranalyse.
Beispiel: ip helper-address pro VLAN
interface GigabitEthernet0/1.20
ip helper-address 10.10.10.10
interface GigabitEthernet0/1.30
ip helper-address 10.10.10.10
interface GigabitEthernet0/1.50
ip helper-address 10.10.10.10
Effizienz: Wo Performance wirklich entscheidet
Inter-VLAN-Routing auf einem Router ist für viele Filialen ausreichend, kann aber bei vielen VLANs und hohem Ost-West-Traffic zum Engpass werden. Für hohe interne Datenraten ist ein L3-Switch (SVIs) meist effizienter.
- Viele VLANs + hoher interner Traffic: L3-Switch bevorzugen
- Filiale mit moderatem Traffic: Router-on-a-Stick oft ausreichend
- ACLs/QoS/VPN/NAT können CPU belasten: Ressourcen überwachen
Verifikation: Sichere und effiziente Ergebnisse nachweisen
Nach der Implementierung müssen Sie sowohl Funktion als auch Policy-Wirkung prüfen: VLAN-Gateways, Routing-Tabelle, ACL-Hits und DHCP-Funktion. Diese Checks sind als SOP reproduzierbar.
Basis-Checks (Interfaces, Routing, ARP)
show ip interface brief
show ip route
show arp summary
show interfaces counters errorsPolicy-Checks (ACL-Hits und Zuordnung)
show access-lists
show running-config | include ip access-groupDHCP-Checks (indirekt über Client-Tests und Relay-Konfig)
show running-config | include ip helper-addressTypische Fehlerbilder und schnelle Ursachen
Viele Inter-VLAN-Probleme liegen nicht im Routing selbst, sondern im Trunking oder in falschen VLAN-Zuordnungen. Mit wenigen Checks lässt sich die Ursache schnell eingrenzen.
- Ein VLAN funktioniert, andere nicht: Trunk erlaubt VLANs nicht oder Encapsulation falsch
- Clients bekommen keine IP: DHCP-Relay fehlt oder VLAN am Switch nicht korrekt
- Guest kommt intern durch: ACL fehlt oder ist am falschen Interface/direction
- IoT erreicht unerwartete Ziele: ACL zu breit oder Reihenfolge/Ziele nicht präzise
- Performance schlecht: Router-CPU hoch, Drops/Errors, zu große Segmente
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
