Cisco Inter-VLAN-Routing-Konfiguration: Sicher und effizient

Inter-VLAN-Routing verbindet getrennte VLANs kontrolliert miteinander, damit z. B. Clients auf Server zugreifen können, ohne dass das Netzwerk zu einem unsicheren „Flachnetz“ wird. Eine sichere und effiziente Cisco-Inter-VLAN-Routing-Konfiguration kombiniert klare VLAN-Rollen, konsistente IP-Pläne, saubere Trunk-/L3-Uplink-Designs und restriktive Policies an den Segmentgrenzen. Dieser Leitfaden zeigt bewährte Architekturen, konkrete CLI-Beispiele und verifizierbare Ergebnisse.

Inter-VLAN-Routing: Ziele und typische Einsatzszenarien

Inter-VLAN-Routing ist immer dann notwendig, wenn VLANs nicht nur isoliert sein sollen, sondern definierte Dienste zwischen Segmenten erreichbar sein müssen. Entscheidend ist dabei das Minimalprinzip: nur benötigte Verbindungen erlauben.

• Users → Server: Zugriff auf AD/DNS/Files/Apps
• Voice → Call-Manager: VoIP-Signalisierung und Media
• IoT → Management/Cloud: nur definierte Ports zu definierten Zielen
• Guest → Internet: kein Zugriff auf interne Netze

Design-Optionen: Router-on-a-Stick vs. Layer-3-Switch

Inter-VLAN-Routing kann entweder auf einem Router (Router-on-a-Stick) oder auf einem Layer-3-Switch (SVIs) erfolgen. Für kleine Standorte ist Router-on-a-Stick üblich, für Campus/Enterprise routet meist ein L3-Core und der Router übernimmt WAN/Edge.

• Router-on-a-Stick: 802.1Q-Trunk, Subinterfaces je VLAN
• Layer-3-Switch: SVIs am Switch, Router nur für WAN/Edge
• Effizienz: L3-Switch skaliert besser bei vielen VLANs und hohem Ost-West-Traffic

Grundvoraussetzungen: Rollen, IP-Plan und Gateway-Logik

Die häufigsten Fehler entstehen durch inkonsistente IP-Pläne oder fehlende Standards. Legen Sie daher Rollen-VLANs fest (Users, Voice, Guest, IoT, Management) und definieren Sie klare Regeln für Subnetzgrößen und Gateway-Adressen.

• VLAN-ID und Subnetzlogik koppeln (z. B. VLAN20 → 10.10.20.0/24)
• Gateway-Regel: immer .1 oder immer .254 pro VLAN (konsequent bleiben)
• Kleine Segmente als /26 planen, um Broadcast-Last zu reduzieren

Subnetting-Kompakt: /26 als Standardbaustein

Ein /26-Netz liefert 64 Adressen, davon 62 nutzbar. Für Voice/IoT/Printer ist das häufig ausreichend und hält Segmentgrößen übersichtlich.

26 = 64

Konfiguration Variante 1: Router-on-a-Stick (sicher und übersichtlich)

Beim Router-on-a-Stick ist der Switchport zum Router ein Trunk. Auf dem Router wird pro VLAN ein Subinterface mit dot1Q-Tagging und Gateway-IP erstellt. Nutzen Sie klare Interface-Descriptions und gruppieren Sie die Konfiguration logisch.

Beispiel: Trunk + VLAN-Gateways (Subinterfaces)

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1
 no shutdown
interface GigabitEthernet0/1.10

description VLAN10-MGMT

encapsulation dot1Q 10

ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1.20

description VLAN20-USERS

encapsulation dot1Q 20

ip address 10.10.20.1 255.255.255.0
interface GigabitEthernet0/1.30

description VLAN30-VOICE

encapsulation dot1Q 30

ip address 10.10.30.1 255.255.255.192
interface GigabitEthernet0/1.40

description VLAN40-IOT

encapsulation dot1Q 40

ip address 10.10.40.1 255.255.255.192
interface GigabitEthernet0/1.50

description VLAN50-GUEST

encapsulation dot1Q 50

ip address 10.10.50.1 255.255.255.0

Erwartete Ergebnisse

• Clients in jedem VLAN erreichen ihr Gateway (z. B. 10.10.20.1)
• Inter-VLAN-Routing funktioniert technisch (ohne Policies wäre alles erreichbar)
• Segmente sind logisch getrennt; Zugriff wird über ACLs gesteuert

Konfiguration Variante 2: Layer-3-Switch (SVIs) mit Router als Edge

In größeren Umgebungen ist es effizienter, Inter-VLAN-Routing auf dem L3-Switch zu betreiben (SVIs). Der Router übernimmt dann WAN, BGP/Failover, NAT oder VPN. Wichtig: Die Default-Route und Routing-Nachbarschaften müssen sauber zwischen Core und Edge abgestimmt sein.

• SVIs auf dem Switch: Gateways pro VLAN
• Router: WAN/Internet, ggf. NAT/VPN, ggf. BGP
• Zwischen Switch und Router: L3-Transitnetz (kleines /30 oder /31)

Sicherheit: Policies an den Segmentgrenzen (ACLs als Mindeststandard)

Inter-VLAN-Routing ist erst „sicher“, wenn Sie den Verkehr zwischen VLANs begrenzen. Für viele Büro-Setups reichen klare ACLs: Guest darf nicht intern, IoT nur zu definierten Zielen, Management nur aus dem Management-VLAN.

Beispiel: Guest darf keine internen Netze erreichen

ip access-list extended ACL-GUEST-IN
 deny ip 10.10.50.0 0.0.0.255 10.10.0.0 0.0.255.255
 permit ip 10.10.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50

ip access-group ACL-GUEST-IN in

Beispiel: IoT restriktiv (nur definierte Ziele und Ports)

ip access-list extended ACL-IOT-IN
 permit udp 10.10.40.0 0.0.0.63 10.10.10.10 0.0.0.0 eq 53
 permit tcp 10.10.40.0 0.0.0.63 10.10.20.20 0.0.0.0 eq 443
 deny ip 10.10.40.0 0.0.0.63 10.10.0.0 0.0.255.255
 permit ip 10.10.40.0 0.0.0.63 any
interface GigabitEthernet0/1.40

ip access-group ACL-IOT-IN in

Beispiel: Management-Zugriff auf SSH begrenzen

ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny   any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

login local

exec-timeout 10 0

DHCP im Inter-VLAN-Design: Relay als Standard

Wenn DHCP zentral bereitgestellt wird, nutzen Sie DHCP-Relay pro VLAN. Das reduziert lokalen Konfigaufwand und erleichtert Betrieb und Fehleranalyse.

Beispiel: ip helper-address pro VLAN

interface GigabitEthernet0/1.20
 ip helper-address 10.10.10.10
interface GigabitEthernet0/1.30

ip helper-address 10.10.10.10
interface GigabitEthernet0/1.50

ip helper-address 10.10.10.10

Effizienz: Wo Performance wirklich entscheidet

Inter-VLAN-Routing auf einem Router ist für viele Filialen ausreichend, kann aber bei vielen VLANs und hohem Ost-West-Traffic zum Engpass werden. Für hohe interne Datenraten ist ein L3-Switch (SVIs) meist effizienter.

• Viele VLANs + hoher interner Traffic: L3-Switch bevorzugen
• Filiale mit moderatem Traffic: Router-on-a-Stick oft ausreichend
• ACLs/QoS/VPN/NAT können CPU belasten: Ressourcen überwachen

Verifikation: Sichere und effiziente Ergebnisse nachweisen

Nach der Implementierung müssen Sie sowohl Funktion als auch Policy-Wirkung prüfen: VLAN-Gateways, Routing-Tabelle, ACL-Hits und DHCP-Funktion. Diese Checks sind als SOP reproduzierbar.

Basis-Checks (Interfaces, Routing, ARP)

show ip interface brief
show ip route
show arp summary
show interfaces counters errors

Policy-Checks (ACL-Hits und Zuordnung)

show access-lists
show running-config | include ip access-group

DHCP-Checks (indirekt über Client-Tests und Relay-Konfig)

show running-config | include ip helper-address

Typische Fehlerbilder und schnelle Ursachen

Viele Inter-VLAN-Probleme liegen nicht im Routing selbst, sondern im Trunking oder in falschen VLAN-Zuordnungen. Mit wenigen Checks lässt sich die Ursache schnell eingrenzen.

• Ein VLAN funktioniert, andere nicht: Trunk erlaubt VLANs nicht oder Encapsulation falsch
• Clients bekommen keine IP: DHCP-Relay fehlt oder VLAN am Switch nicht korrekt
• Guest kommt intern durch: ACL fehlt oder ist am falschen Interface/direction
• IoT erreicht unerwartete Ziele: ACL zu breit oder Reihenfolge/Ziele nicht präzise
• Performance schlecht: Router-CPU hoch, Drops/Errors, zu große Segmente

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.