Inter-VLAN Routing mit Router-on-a-Stick: Cisco Guide

Wer mehrere VLANs in einem Netzwerk nutzt, stößt schnell an eine Grenze: VLANs trennen Broadcast-Domänen auf Layer 2 – Geräte in unterschiedlichen VLANs können ohne Routing nicht miteinander kommunizieren. Genau hier kommt das Konzept Inter-VLAN Routing mit Router-on-a-Stick ins Spiel. Dabei übernimmt ein Router das Routing zwischen VLANs, obwohl nur eine einzige physische Verbindung zum Switch existiert. Diese Verbindung wird als 802.1Q-Trunk konfiguriert, und auf dem Router werden sogenannte Subinterfaces eingerichtet – jeweils eines pro VLAN. Für Einsteiger wirkt das zunächst ungewöhnlich, weil ein Kabel plötzlich „mehrere Netze“ trägt. In der Praxis ist Router-on-a-Stick jedoch eine bewährte Lösung für kleinere Umgebungen, Labore, Filialnetze oder Szenarien, in denen kein Layer-3-Switch zur Verfügung steht. Gleichzeitig gibt es typische Stolperfallen: falsche Trunk-Konfiguration, Native-VLAN-Probleme, fehlende Default Gateways auf Clients, DHCP-Fehlkonfiguration oder Access-Ports im falschen VLAN. Dieser Cisco Guide führt Sie Schritt für Schritt durch Planung, Konfiguration und Verifikation – inklusive Best Practices und Troubleshooting-Befehlen, damit Inter-VLAN Routing nicht nur „irgendwie“ funktioniert, sondern stabil und sicher.

Grundprinzip: Was bedeutet Router-on-a-Stick?

Router-on-a-Stick beschreibt ein Design, bei dem ein Router über ein einziges physisches Interface mehrere VLANs bedient. Der Switch-Port zum Router ist ein Trunk (802.1Q), der mehrere VLANs transportiert. Auf dem Router werden Subinterfaces angelegt (z. B. GigabitEthernet0/0.10, GigabitEthernet0/0.20), die jeweils ein VLAN taggen und eine IP-Adresse als Default Gateway für dieses VLAN erhalten. So kann der Router zwischen den VLANs routen.

• Switch-Seite: Trunk-Port mit Allowed VLANs
• Router-Seite: Subinterfaces mit encapsulation dot1Q und IP-Adressen
• Clients: Default Gateway ist jeweils die Router-IP des eigenen VLANs

Wenn Sie die technischen Grundlagen von VLAN-Tagging im Standardkontext einordnen möchten, bietet der Anchor-Text IEEE 802.1Q Standardübersicht eine hilfreiche Orientierung.

Wann Router-on-a-Stick sinnvoll ist – und wann nicht

Router-on-a-Stick ist nicht „die beste“ Lösung für jedes Netzwerk, aber in vielen Fällen eine sehr praktische. Entscheidend sind Bandbreite, Performance-Anforderungen, Komplexität und vorhandene Hardware.

• Sinnvoll: Labore, kleine Büros, Filialen, Lernumgebungen, geringe bis mittlere Inter-VLAN-Last
• Weniger sinnvoll: Hoher Ost-West-Verkehr, viele VLANs mit hoher Last, sehr niedrige Latenzanforderungen
• Alternative: Layer-3-Switch mit SVIs und ip routing (Routing direkt im Switch)

In der Praxis ist Router-on-a-Stick vor allem dann attraktiv, wenn ohnehin ein Router oder eine Firewall als zentrale Policy-Instanz genutzt wird und ein Layer-3-Switch nicht verfügbar oder nicht gewünscht ist.

Beispiel-Topologie: VLANs, IP-Netze und Ziele

Damit die Konfiguration nachvollziehbar bleibt, arbeiten wir mit einem typischen Beispiel:

• VLAN 10 (CLIENTS): 192.168.10.0/24, Gateway 192.168.10.1
• VLAN 20 (SERVERS): 192.168.20.0/24, Gateway 192.168.20.1
• VLAN 30 (VOICE): 192.168.30.0/24, Gateway 192.168.30.1
• VLAN 99 (MGMT): 192.168.99.0/24, Gateway 192.168.99.1

Der Switch hat Access-Ports für Endgeräte (VLAN 10/20/30) und einen Trunk-Port zum Router, der VLAN 10,20,30,99 transportiert.

Schritt 1: VLANs auf dem Cisco Switch anlegen

Zuerst legen Sie die VLANs an und vergeben Namen. Das schafft Klarheit und erleichtert spätere Verifikation.

enable
configure terminal
vlan 10
name CLIENTS
vlan 20
name SERVERS
vlan 30
name VOICE
vlan 99
name MGMT
end

Prüfen:

show vlan brief

Schritt 2: Access-Ports korrekt zuweisen

Endgeräte-Ports sollten explizit als Access-Port konfiguriert sein, damit sie nicht versehentlich als Trunk agieren. Beispiel: Ports Gi1/0/1 bis Gi1/0/10 sind Clients in VLAN 10.

configure terminal
interface range gigabitethernet1/0/1 - 1/0/10
description CLIENTS
switchport mode access
switchport access vlan 10
spanning-tree portfast
no shutdown
end

Für Server-Ports (VLAN 20) ist das Muster identisch, nur mit anderer VLAN-ID.

Schritt 3: Trunk-Port zum Router konfigurieren (802.1Q)

Der Port zum Router muss ein Trunk sein, der die VLANs transportiert, die der Router routen soll. Best Practice ist, Allowed VLANs restriktiv zu setzen.

configure terminal
interface gigabitethernet1/0/24
description Trunk zum Router R1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
no shutdown
end

Native VLAN bewusst behandeln

In vielen Designs wird eine „Parking VLAN“ als Native VLAN genutzt, um untagged Traffic zu kontrollieren. Wenn Sie eine Native VLAN setzen, muss sie auf beiden Seiten konsistent sein. In Router-on-a-Stick-Setups ist es häufig am saubersten, alle produktiven VLANs getaggt zu transportieren und untagged Traffic zu vermeiden.

Prüfen Sie den Trunk:

show interfaces trunk
show interfaces switchport gigabitethernet1/0/24

Schritt 4: Subinterfaces auf dem Cisco Router anlegen

Jetzt konfigurieren Sie auf dem Router das physische Interface zum Switch (z. B. GigabitEthernet0/0) und legen pro VLAN ein Subinterface an. Jedes Subinterface bekommt:

• encapsulation dot1Q <VLAN-ID>
• Eine IP-Adresse, die als Default Gateway für dieses VLAN dient
• no shutdown (am physischen Interface, falls erforderlich)

Physisches Interface aktivieren

enable
configure terminal
interface gigabitethernet0/0
description Uplink zum Switch (Trunk)
no shutdown
end

Subinterface für VLAN 10 (Clients)

configure terminal
interface gigabitethernet0/0.10
description VLAN 10 CLIENTS
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
end

Subinterface für VLAN 20 (Servers)

configure terminal
interface gigabitethernet0/0.20
description VLAN 20 SERVERS
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
end

Subinterface für VLAN 30 (Voice)

configure terminal
interface gigabitethernet0/0.30
description VLAN 30 VOICE
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
end

Subinterface für VLAN 99 (Management)

configure terminal
interface gigabitethernet0/0.99
description VLAN 99 MGMT
encapsulation dot1Q 99
ip address 192.168.99.1 255.255.255.0
end

Prüfen Sie die Interfaces:

show ip interface brief

Schritt 5: Default Gateway auf Clients korrekt setzen

Inter-VLAN Routing funktioniert nur, wenn die Endgeräte den Router als Gateway nutzen. Das ist einer der häufigsten Fehler in der Praxis. Für VLAN 10 muss der Client als Default Gateway 192.168.10.1 verwenden, für VLAN 20 entsprechend 192.168.20.1, usw.

• Client in VLAN 10: Default Gateway 192.168.10.1
• Server in VLAN 20: Default Gateway 192.168.20.1
• Voice-Gerät in VLAN 30: Default Gateway 192.168.30.1

Schritt 6: Verifikation – so testen Sie Inter-VLAN Routing systematisch

Nach der Konfiguration sollten Sie strukturiert testen: erst Layer 2 (VLAN/Trunk), dann Layer 3 (Subinterfaces/Routing), dann End-to-End (Ping/Traceroute).

Switch-Checks

• show vlan brief (VLANs vorhanden, Ports korrekt?)
• show interfaces trunk (Trunk aktiv, VLANs erlaubt?)
• show mac address-table (MACs in den richtigen VLANs?)

Router-Checks

• show ip interface brief (Subinterfaces up/up?)
• show running-config | section interface gigabitethernet0/0 (Subinterface-Konfig vollständig?)
• show ip route (Netze direkt verbunden?)

End-to-End-Tests

• Ping von VLAN 10 nach VLAN 20 (z. B. Client → Server)
• Ping von VLAN 10 zum Gateway (192.168.10.1)
• Traceroute, um den Pfad zu sehen (Router sollte als Hop erscheinen)

Beispiel:

ping 192.168.20.10
traceroute 192.168.20.10

Häufige Fehler und Troubleshooting: Die Klassiker bei Router-on-a-Stick

Router-on-a-Stick ist konzeptionell einfach, scheitert aber in der Praxis oft an Details. Diese Fehlerbilder treten besonders häufig auf.

Trunk ist nicht aktiv oder VLANs fehlen

• Prüfen: show interfaces trunk
• Allowed VLANs enthalten alle benötigten VLANs?
• Portmodus wirklich trunk? show interfaces switchport

Subinterfaces sind down/down

• Physisches Interface down? show ip interface brief
• Kabel/Portstatus prüfen: show interfaces status (Switch)
• Trunk-Fehler oder VLAN-Tagging falsch (encapsulation dot1Q prüfen)

Clients erreichen ihr Gateway, aber nicht andere VLANs

• Default Gateways auf Clients korrekt?
• ACLs auf dem Router blockieren Inter-VLAN Traffic?
• Firewall/Policies zwischen VLANs vorhanden?

Native VLAN Mismatch oder untagged Traffic

• Prüfen: show interfaces trunk auf dem Switch
• Native VLAN konsistent setzen oder untagged Traffic vermeiden

Best Practices: Stabilität und Sicherheit im Router-on-a-Stick-Design

Damit Inter-VLAN Routing nicht nur funktioniert, sondern stabil und sicher bleibt, haben sich diese Best Practices bewährt:

• Allowed VLANs einschränken: Nur notwendige VLANs auf dem Trunk.
• Native VLAN bewusst wählen: Kein produktives VLAN als Native VLAN; untagged Traffic minimieren.
• Portmodus explizit setzen: Kein „Auto“-Trunking, klare Konfiguration.
• Dokumentation: VLAN-IDs, Netze, Gateways, Trunk-Ports und Subinterfaces dokumentieren.
• Segmentierung über ACLs: Inter-VLAN Traffic bewusst erlauben statt pauschal „alles zu allem“.
• Management trennen: Management-VLAN restriktiv, Zugriff nur aus Admin-Netzen.

Als herstellerneutrale Orientierung für Sicherheitsprinzipien (Segmentierung, Minimierung der Angriffsfläche) eignet sich der Anchor-Text CIS Controls.

Konfiguration speichern und Backup erstellen

Nach erfolgreicher Verifikation sollten Sie Konfigurationen speichern, damit sie nach einem Neustart erhalten bleiben. Das gilt für Switch und Router.

Switch:

copy running-config startup-config

Router:

copy running-config startup-config

Wenn Sie zusätzlich ein externes Backup planen, sind SCP/SFTP in vielen Umgebungen die bevorzugten Methoden. Cisco-Hintergründe dazu finden Sie über den Anchor-Text Cisco Secure Copy (SCP) und SFTP.

Weiterführende Orientierung: Cisco Referenzen für VLAN, Trunking und Routing

Je nach Plattform und IOS/IOS XE-Version können Details der Syntax leicht variieren. Für verlässliche Kommandoreferenzen ist der Anchor-Text Cisco IOS Command Reference hilfreich. Für VLAN- und Trunking-Grundlagen im Cisco-Kontext bietet außerdem der Anchor-Text Cisco LAN Switching Dokumentation eine solide Basis.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.