March 4, 2026

Cisco-Router-Konfiguration für VLAN-Segmentierung: Saubere, übersichtliche Struktur

VLAN-Segmentierung mit Cisco-Routern ist eine der wirkungsvollsten Maßnahmen, um Büro- und Unternehmensnetze sicherer, stabiler und leichter verwaltbar zu machen. Statt „ein großes Netz für alles“ erhalten Sie klare Rollen (z. B. Users, Voice, Guest, IoT), eindeutige IP-Pläne und saubere Trust-Grenzen. Dieser Leitfaden zeigt, wie Sie eine übersichtliche VLAN-Struktur planen und auf Cisco-Routern implementieren – inklusive Best Practices für Naming, Subnetting, Inter-VLAN-Routing und verifizierbare Ergebnisse.

Zielbild: Was „saubere VLAN-Segmentierung“ bedeutet

Sauber segmentiert ist ein Netz dann, wenn jede VLAN-Rolle eindeutig ist, IP-Plan und Gateway-Logik konsistent sind und Policies an den Segmentgrenzen nachvollziehbar umgesetzt werden. Dadurch werden Fehler schneller gefunden und Sicherheitsrisiken reduziert.

  • Klare Rollen: Users, Voice, Guest, IoT/Printer, Management
  • Konsistente VLAN-IDs und Namenskonventionen über alle Standorte
  • Standardisierte IP-Plan-Regeln (Gateway, Subnetzgröße)
  • Inter-VLAN-Routing kontrolliert (Policies statt „Any-Any“)
  • Dokumentation: VLAN-/IP-Plan, Interface-Plan, Policy-Matrix

Planung: VLAN-Rollen und Namenskonventionen

Bevor Sie konfigurieren, definieren Sie eine Rollenliste und halten Sie diese überall gleich. Das erleichtert Rollouts, Monitoring und Troubleshooting.

  • VLAN10-MGMT: Management (nur IT, restriktiv)
  • VLAN20-USERS: Mitarbeitergeräte
  • VLAN30-VOICE: IP-Telefone (QoS-relevant)
  • VLAN40-IOT: Drucker/IoT (limitiert)
  • VLAN50-GUEST: Gäste (nur Internet)

Praxisregel: VLAN-ID und Subnetzgröße standardisieren

Wenn möglich, koppeln Sie VLAN-ID und Subnetzlogik (z. B. „VLAN20 → 10.10.20.0/24“). Kleine Segmente (Voice/IoT) können als /26 geplant werden, um Broadcast-Last zu reduzieren.

26 = 64

Architekturoptionen: Router-on-a-Stick vs. Layer-3-Switch

VLAN-Segmentierung kann auf dem Router (Router-on-a-Stick) oder auf einem Layer-3-Switch umgesetzt werden. In kleinen Umgebungen ist Router-on-a-Stick üblich, in größeren Campus-Designs routet oft der Core-Switch und der Router ist Edge.

  • Router-on-a-Stick: Trunk zum Switch, Subinterfaces pro VLAN
  • Layer-3-Switch: SVIs auf dem Switch, Router übernimmt WAN/Edge-Routing
  • Praxis: Für Filialen häufig Router-on-a-Stick, für Campus häufig L3-Core

Konfiguration: Trunk-Interface und Subinterfaces (Router-on-a-Stick)

Beim Router-on-a-Stick läuft ein 802.1Q-Trunk vom Switch zum Router. Pro VLAN wird ein Subinterface mit dot1Q-Tagging und Gateway-IP konfiguriert. Wichtig sind klare Interface-Descriptions und konsistente Gateway-Adressen.

Beispiel: Trunk + VLAN-Gateways (übersichtliches Muster)

interface GigabitEthernet0/1
 description LAN-TRUNK-to-SW1
 no shutdown

interface GigabitEthernet0/1.10

description VLAN10-MGMT

encapsulation dot1Q 10

ip address 10.10.10.1 255.255.255.0


interface GigabitEthernet0/1.20

description VLAN20-USERS

encapsulation dot1Q 20

ip address 10.10.20.1 255.255.255.0


interface GigabitEthernet0/1.30

description VLAN30-VOICE

encapsulation dot1Q 30

ip address 10.10.30.1 255.255.255.192


interface GigabitEthernet0/1.40

description VLAN40-IOT

encapsulation dot1Q 40

ip address 10.10.40.1 255.255.255.192


interface GigabitEthernet0/1.50

description VLAN50-GUEST

encapsulation dot1Q 50

ip address 10.10.50.1 255.255.255.0

DHCP: Lokal oder Relay (ip helper-address)

Viele Unternehmen nutzen zentrale DHCP-Server. Dann wird pro VLAN ein DHCP-Relay konfiguriert. Das ist übersichtlich und skaliert besser als lokale Pools auf jedem Standortrouter.

Beispiel: DHCP-Relay pro VLAN

interface GigabitEthernet0/1.20
 ip helper-address 10.10.10.10

interface GigabitEthernet0/1.30

ip helper-address 10.10.10.10


interface GigabitEthernet0/1.50

ip helper-address 10.10.10.10

Policies an Segmentgrenzen: Guest und IoT kontrollieren

Segmentierung ohne Policies ist nur Ordnung, keine Sicherheit. In der Praxis reichen für viele Büros einfache, klar dokumentierte ACLs: Guest darf nicht intern, IoT nur zu definierten Zielen. Die Regeln werden am VLAN-Interface angewendet.

Beispiel: Guest darf keine internen Netze erreichen

ip access-list extended ACL-GUEST-IN
 deny ip 10.10.50.0 0.0.0.255 10.10.0.0 0.0.255.255
 permit ip 10.10.50.0 0.0.0.255 any

interface GigabitEthernet0/1.50

ip access-group ACL-GUEST-IN in

Beispiel: IoT restriktiv (nur definierte Ziele)

ip access-list extended ACL-IOT-IN
 permit tcp 10.10.40.0 0.0.0.63 10.10.20.20 0.0.0.0 eq 9100
 permit udp 10.10.40.0 0.0.0.63 10.10.10.10 0.0.0.0 eq 53
 deny ip 10.10.40.0 0.0.0.63 10.10.0.0 0.0.255.255
 permit ip 10.10.40.0 0.0.0.63 any

interface GigabitEthernet0/1.40

ip access-group ACL-IOT-IN in

Internetzugang pro VLAN: NAT sauber und nachvollziehbar

Wenn der Router das WAN-Termination-Gerät ist, wird NAT meist auf dem Router umgesetzt. Achten Sie darauf, dass nur die VLANs genattet werden, die Internetzugang haben sollen (z. B. MGMT oft nicht).

Beispiel: NAT Overload für Users/Voice/Guest/IoT

interface GigabitEthernet0/0
 description WAN-ISP
 ip address 198.51.100.2 255.255.255.252
 ip nat outside
 no shutdown

interface GigabitEthernet0/1

ip nat inside


ip access-list standard NAT_INSIDE

permit 10.10.20.0 0.0.0.255

permit 10.10.30.0 0.0.0.63

permit 10.10.40.0 0.0.0.63

permit 10.10.50.0 0.0.0.255


ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 198.51.100.1

Saubere Struktur in der Konfiguration: Ordnung, die im Betrieb Zeit spart

Eine übersichtliche Struktur ist ein technischer Vorteil: Änderungen werden schneller und sicherer. Nutzen Sie konsistente Namen, gruppieren Sie Blöcke und dokumentieren Sie Zweck und Owner der Policies.

  • Blöcke: Management, WAN, VLANs, DHCP-Relay, NAT, Routing, Policies
  • Consistent Naming: VLANXX-ROLE, ACL-ROLE-IN, NAT_INSIDE, MGMT_ONLY
  • Interface-Descriptions überall setzen
  • Policy-Matrix dokumentieren (wer darf wohin?)

Verifikation: Erwartete Ergebnisse und Standard-Checks

Nach der Konfiguration müssen Funktion und Segmentierung überprüfbar sein: VLAN-Gateways up, Clients bekommen IPs, Inter-VLAN-Verkehr ist kontrolliert, Guest ist isoliert und Internet funktioniert für erlaubte VLANs.

Basis-Checks für VLANs und Interfaces

show ip interface brief
show interfaces counters errors
show arp summary

Routing- und NAT-Checks

show ip route
show ip route 0.0.0.0
show ip nat statistics
show ip nat translations

Policy-Checks

show access-lists
show running-config | include ip access-group

Typische Fehlerbilder bei VLAN-Segmentierung (und schnelle Ursachen)

Die meisten Probleme entstehen durch Trunking/VLAN-Tagging, falsche Gateway-IPs oder unklare ACL-Reihenfolgen. Mit wenigen Checks lassen sich diese Ursachen schnell eingrenzen.

  • Client bekommt keine IP: VLAN fehlt am Switch-Trunk oder DHCP-Relay fehlt
  • Nur ein VLAN funktioniert: Subinterface/Encapsulation falsch oder Switch-Port Access statt Trunk
  • Guest kommt intern rein: ACL fehlt oder ist am falschen Interface/direction
  • Internet nur in manchen VLANs: NAT-ACL umfasst nicht alle Netze oder Default-Route fehlt
  • Performance-Probleme: zu große Netze, Broadcast-Last, fehlende QoS für Voice

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)