VLAN-Segmentierung mit Cisco-Routern ist eine der wirkungsvollsten Maßnahmen, um Büro- und Unternehmensnetze sicherer, stabiler und leichter verwaltbar zu machen. Statt „ein großes Netz für alles“ erhalten Sie klare Rollen (z. B. Users, Voice, Guest, IoT), eindeutige IP-Pläne und saubere Trust-Grenzen. Dieser Leitfaden zeigt, wie Sie eine übersichtliche VLAN-Struktur planen und auf Cisco-Routern implementieren – inklusive Best Practices für Naming, Subnetting, Inter-VLAN-Routing und verifizierbare Ergebnisse.
Zielbild: Was „saubere VLAN-Segmentierung“ bedeutet
Sauber segmentiert ist ein Netz dann, wenn jede VLAN-Rolle eindeutig ist, IP-Plan und Gateway-Logik konsistent sind und Policies an den Segmentgrenzen nachvollziehbar umgesetzt werden. Dadurch werden Fehler schneller gefunden und Sicherheitsrisiken reduziert.
- Klare Rollen: Users, Voice, Guest, IoT/Printer, Management
- Konsistente VLAN-IDs und Namenskonventionen über alle Standorte
- Standardisierte IP-Plan-Regeln (Gateway, Subnetzgröße)
- Inter-VLAN-Routing kontrolliert (Policies statt „Any-Any“)
- Dokumentation: VLAN-/IP-Plan, Interface-Plan, Policy-Matrix
Planung: VLAN-Rollen und Namenskonventionen
Bevor Sie konfigurieren, definieren Sie eine Rollenliste und halten Sie diese überall gleich. Das erleichtert Rollouts, Monitoring und Troubleshooting.
- VLAN10-MGMT: Management (nur IT, restriktiv)
- VLAN20-USERS: Mitarbeitergeräte
- VLAN30-VOICE: IP-Telefone (QoS-relevant)
- VLAN40-IOT: Drucker/IoT (limitiert)
- VLAN50-GUEST: Gäste (nur Internet)
Praxisregel: VLAN-ID und Subnetzgröße standardisieren
Wenn möglich, koppeln Sie VLAN-ID und Subnetzlogik (z. B. „VLAN20 → 10.10.20.0/24“). Kleine Segmente (Voice/IoT) können als /26 geplant werden, um Broadcast-Last zu reduzieren.
26 = 64
Architekturoptionen: Router-on-a-Stick vs. Layer-3-Switch
VLAN-Segmentierung kann auf dem Router (Router-on-a-Stick) oder auf einem Layer-3-Switch umgesetzt werden. In kleinen Umgebungen ist Router-on-a-Stick üblich, in größeren Campus-Designs routet oft der Core-Switch und der Router ist Edge.
- Router-on-a-Stick: Trunk zum Switch, Subinterfaces pro VLAN
- Layer-3-Switch: SVIs auf dem Switch, Router übernimmt WAN/Edge-Routing
- Praxis: Für Filialen häufig Router-on-a-Stick, für Campus häufig L3-Core
Konfiguration: Trunk-Interface und Subinterfaces (Router-on-a-Stick)
Beim Router-on-a-Stick läuft ein 802.1Q-Trunk vom Switch zum Router. Pro VLAN wird ein Subinterface mit dot1Q-Tagging und Gateway-IP konfiguriert. Wichtig sind klare Interface-Descriptions und konsistente Gateway-Adressen.
Beispiel: Trunk + VLAN-Gateways (übersichtliches Muster)
interface GigabitEthernet0/1
description LAN-TRUNK-to-SW1
no shutdown
interface GigabitEthernet0/1.10
description VLAN10-MGMT
encapsulation dot1Q 10
ip address 10.10.10.1 255.255.255.0
interface GigabitEthernet0/1.20
description VLAN20-USERS
encapsulation dot1Q 20
ip address 10.10.20.1 255.255.255.0
interface GigabitEthernet0/1.30
description VLAN30-VOICE
encapsulation dot1Q 30
ip address 10.10.30.1 255.255.255.192
interface GigabitEthernet0/1.40
description VLAN40-IOT
encapsulation dot1Q 40
ip address 10.10.40.1 255.255.255.192
interface GigabitEthernet0/1.50
description VLAN50-GUEST
encapsulation dot1Q 50
ip address 10.10.50.1 255.255.255.0
DHCP: Lokal oder Relay (ip helper-address)
Viele Unternehmen nutzen zentrale DHCP-Server. Dann wird pro VLAN ein DHCP-Relay konfiguriert. Das ist übersichtlich und skaliert besser als lokale Pools auf jedem Standortrouter.
Beispiel: DHCP-Relay pro VLAN
interface GigabitEthernet0/1.20
ip helper-address 10.10.10.10
interface GigabitEthernet0/1.30
ip helper-address 10.10.10.10
interface GigabitEthernet0/1.50
ip helper-address 10.10.10.10
Policies an Segmentgrenzen: Guest und IoT kontrollieren
Segmentierung ohne Policies ist nur Ordnung, keine Sicherheit. In der Praxis reichen für viele Büros einfache, klar dokumentierte ACLs: Guest darf nicht intern, IoT nur zu definierten Zielen. Die Regeln werden am VLAN-Interface angewendet.
Beispiel: Guest darf keine internen Netze erreichen
ip access-list extended ACL-GUEST-IN
deny ip 10.10.50.0 0.0.0.255 10.10.0.0 0.0.255.255
permit ip 10.10.50.0 0.0.0.255 any
interface GigabitEthernet0/1.50
ip access-group ACL-GUEST-IN in
Beispiel: IoT restriktiv (nur definierte Ziele)
ip access-list extended ACL-IOT-IN
permit tcp 10.10.40.0 0.0.0.63 10.10.20.20 0.0.0.0 eq 9100
permit udp 10.10.40.0 0.0.0.63 10.10.10.10 0.0.0.0 eq 53
deny ip 10.10.40.0 0.0.0.63 10.10.0.0 0.0.255.255
permit ip 10.10.40.0 0.0.0.63 any
interface GigabitEthernet0/1.40
ip access-group ACL-IOT-IN in
Internetzugang pro VLAN: NAT sauber und nachvollziehbar
Wenn der Router das WAN-Termination-Gerät ist, wird NAT meist auf dem Router umgesetzt. Achten Sie darauf, dass nur die VLANs genattet werden, die Internetzugang haben sollen (z. B. MGMT oft nicht).
Beispiel: NAT Overload für Users/Voice/Guest/IoT
interface GigabitEthernet0/0
description WAN-ISP
ip address 198.51.100.2 255.255.255.252
ip nat outside
no shutdown
interface GigabitEthernet0/1
ip nat inside
ip access-list standard NAT_INSIDE
permit 10.10.20.0 0.0.0.255
permit 10.10.30.0 0.0.0.63
permit 10.10.40.0 0.0.0.63
permit 10.10.50.0 0.0.0.255
ip nat inside source list NAT_INSIDE interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 198.51.100.1
Saubere Struktur in der Konfiguration: Ordnung, die im Betrieb Zeit spart
Eine übersichtliche Struktur ist ein technischer Vorteil: Änderungen werden schneller und sicherer. Nutzen Sie konsistente Namen, gruppieren Sie Blöcke und dokumentieren Sie Zweck und Owner der Policies.
- Blöcke: Management, WAN, VLANs, DHCP-Relay, NAT, Routing, Policies
- Consistent Naming: VLANXX-ROLE, ACL-ROLE-IN, NAT_INSIDE, MGMT_ONLY
- Interface-Descriptions überall setzen
- Policy-Matrix dokumentieren (wer darf wohin?)
Verifikation: Erwartete Ergebnisse und Standard-Checks
Nach der Konfiguration müssen Funktion und Segmentierung überprüfbar sein: VLAN-Gateways up, Clients bekommen IPs, Inter-VLAN-Verkehr ist kontrolliert, Guest ist isoliert und Internet funktioniert für erlaubte VLANs.
Basis-Checks für VLANs und Interfaces
show ip interface brief
show interfaces counters errors
show arp summaryRouting- und NAT-Checks
show ip route
show ip route 0.0.0.0
show ip nat statistics
show ip nat translationsPolicy-Checks
show access-lists
show running-config | include ip access-groupTypische Fehlerbilder bei VLAN-Segmentierung (und schnelle Ursachen)
Die meisten Probleme entstehen durch Trunking/VLAN-Tagging, falsche Gateway-IPs oder unklare ACL-Reihenfolgen. Mit wenigen Checks lassen sich diese Ursachen schnell eingrenzen.
- Client bekommt keine IP: VLAN fehlt am Switch-Trunk oder DHCP-Relay fehlt
- Nur ein VLAN funktioniert: Subinterface/Encapsulation falsch oder Switch-Port Access statt Trunk
- Guest kommt intern rein: ACL fehlt oder ist am falschen Interface/direction
- Internet nur in manchen VLANs: NAT-ACL umfasst nicht alle Netze oder Default-Route fehlt
- Performance-Probleme: zu große Netze, Broadcast-Last, fehlende QoS für Voice
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.