Multilayer Switching: L3-Switch Konfiguration in der Praxis

Multilayer Switching beschreibt die Kombination aus Switching (Layer 2) und Routing (Layer 3) auf einem einzigen Gerät. Ein moderner L3-Switch kann VLANs nicht nur trennen, sondern den Datenverkehr zwischen VLANs auch direkt im Hardware-Pfad weiterleiten – schnell, skalierbar und oft einfacher zu betreiben als ein separates Router-on-a-Stick-Design. In der Praxis bedeutet Multilayer Switching: Sie konfigurieren VLANs wie gewohnt, erstellen pro VLAN ein SVI (Switch Virtual Interface) als Gateway, aktivieren IP-Routing und steuern den Verkehr zwischen den Netzen mit Routing-Regeln und Access Control Lists. Das ist besonders im Campus- und Enterprise-Umfeld beliebt, weil es die Latenz senkt, den Throughput erhöht und die Komplexität von Trunk- und Subinterface-Konstrukten reduziert. Gleichzeitig ist eine saubere L3-Switch Konfiguration in der Praxis mehr als nur „ip routing einschalten“. Sie müssen Routing- und STP-Design zusammendenken, Management und Security sauber trennen, Default-Gateways hochverfügbar planen und dafür sorgen, dass DHCP, DNS, NTP, Syslog und Monitoring korrekt funktionieren. Dieser Leitfaden zeigt Schritt für Schritt, wie Sie einen Multilayer-Switch sinnvoll aufsetzen, welche Konfigurationsbausteine sich bewährt haben und wie Sie typische Fehlerbilder schnell eingrenzen.

Wann Multilayer Switching sinnvoll ist und wann nicht

Ein L3-Switch ist in vielen Netzen die effizienteste Lösung für Inter-VLAN-Routing, aber nicht immer die beste Wahl. Diese Kriterien helfen bei der Entscheidung:

• Sinnvoll, wenn Sie viele VLANs im Campus/Office haben und Inter-VLAN-Traffic häufig ist (z. B. Clients zu Servern, Drucker, VoIP, WLAN, IoT).
• Sinnvoll, wenn Sie geringe Latenz und hohen Durchsatz benötigen, weil Routing im ASIC/Hardwarepfad erfolgt.
• Sinnvoll, wenn Sie ein klares Segmentierungsmodell mit SVIs als Gateways und zentralen Policies (ACLs, QoS) umsetzen möchten.
• Weniger sinnvoll, wenn Ihre Routing-Policies sehr komplex sind und spezielle Router-Features benötigen (z. B. bestimmte WAN-Funktionen, umfangreiches NAT, komplexe VPN-Szenarien – abhängig von Plattform).
• Weniger sinnvoll, wenn Sie bewusst sehr kleine L2-Domains und konsequent L3 bis zum Access fahren (dann kann L3 im Access zwar auch passen, aber das Design ist anders).

Als Einstieg in Cisco-spezifische Befehle und Plattformvarianten ist der Anchor-Text Cisco IOS Command Reference hilfreich, weil Syntax und Feature-Umfang je IOS/IOS XE-Version variieren.

Grundkonzept: VLANs, SVIs und IP Routing

Das Herzstück beim Multilayer Switching sind SVIs. Ein SVI ist ein logisches Interface pro VLAN, das eine IP-Adresse trägt und damit als Default-Gateway für dieses VLAN dient. Clients in VLAN 10 nutzen dann z. B. 10.10.10.1 als Gateway (IP am SVI VLAN 10). Der Switch routet anschließend zwischen VLAN 10 und VLAN 20, wenn beide SVIs aktiv sind und Routing erlaubt ist.

• VLAN: Layer-2-Broadcast-Domain
• SVI (VlanX): L3-Gateway und Routing-Interface für VLAN X
• ip routing: aktiviert Inter-VLAN-Routing auf dem Switch

Praxis-Setup: Beispielnetz und Zielbild

Für die Praxis ist ein konkretes Beispiel hilfreich. Nehmen wir ein typisches Standortnetz:

• VLAN 10: Users – 10.10.10.0/24, Gateway 10.10.10.1
• VLAN 20: Voice – 10.10.20.0/24, Gateway 10.10.20.1
• VLAN 30: Servers – 10.10.30.0/24, Gateway 10.10.30.1
• VLAN 99: Management – 10.10.99.0/24, Gateway 10.10.99.1
• Uplink zum Core/Router: gerouteter Link 10.255.0.0/30 (oder Transit-VLAN)

Das Zielbild: Der Multilayer-Switch routet zwischen den VLANs, setzt Sicherheitsregeln (z. B. Users dürfen nur bestimmte Serverdienste), und nutzt eine Default-Route oder dynamisches Routing Richtung Core/Internet.

Schritt 1: Basis-Hardening und Management vorbereiten

Bevor Sie Routing aktivieren, sollten Managementzugang und Grundlagen stimmen. Das minimiert das Risiko, dass Sie später „produktiv routen“, aber den Switch nicht sauber verwalten können.

• Hostname, Domain-Name, SSH, starke lokale Accounts oder AAA
• NTP für korrekte Zeitstempel (Syslog, Zertifikate, Audits)
• Syslog und SNMPv3 (optional) für Monitoring
• Management-VLAN (VLAN 99) und Zugriff nur aus Admin-Netzen

Beispiel: Management-Basis

configure terminal
hostname MLS-CORE-01
ip domain-name firma.local
username breakglass privilege 15 secret <STARKES_PASSWORT>
crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 15
transport input ssh
login local
exec-timeout 10 0
end

Für Best Practices rund um Switch-Hardening ist als allgemeiner Rahmen der Anchor-Text CIS Controls hilfreich, weil er Betriebssicherheit, Logging und Zugriffskontrolle strukturiert zusammenfasst.

Schritt 2: VLANs anlegen und Access-/Trunk-Ports definieren

Im Multilayer-Switching bleibt Layer 2 weiterhin relevant. VLANs müssen existieren, Access-Ports müssen dem richtigen VLAN zugeordnet werden, und Uplinks müssen als Trunk oder als gerouteter Port geplant werden.

VLANs anlegen

configure terminal
vlan 10
name USERS
vlan 20
name VOICE
vlan 30
name SERVERS
vlan 99
name MGMT
end

Access-Port Beispiel

configure terminal
interface GigabitEthernet1/0/10
description User-PC
switchport mode access
switchport access vlan 10
spanning-tree portfast
spanning-tree bpduguard enable
end

Trunk-Port Beispiel

configure terminal
interface GigabitEthernet1/0/49
description Uplink-Access-Stack
switchport mode trunk
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,99
switchport nonegotiate
end

Hinweis: Eine konsequente Allowed-VLAN-Liste reduziert unnötige VLAN-Ausbreitung und ist eine der wichtigsten Maßnahmen für stabile Campus-Netze.

Schritt 3: SVIs konfigurieren (Gateways pro VLAN)

Jetzt kommt der entscheidende L3-Teil: SVIs mit IP-Adressen. Diese IPs sind die Default-Gateways der Endgeräte.

SVIs anlegen

configure terminal
interface Vlan10
description GW_USERS
ip address 10.10.10.1 255.255.255.0
no shutdown
!
interface Vlan20
description GW_VOICE
ip address 10.10.20.1 255.255.255.0
no shutdown
!
interface Vlan30
description GW_SERVERS
ip address 10.10.30.1 255.255.255.0
no shutdown
!
interface Vlan99
description GW_MGMT
ip address 10.10.99.1 255.255.255.0
no shutdown
end

Wichtig: Ein SVI ist nur „up/up“, wenn das VLAN existiert und mindestens ein Port im VLAN aktiv ist (oder entsprechende Plattformmechanismen greifen). Wenn ein SVI down bleibt, ist das oft ein VLAN-/Trunk-Thema, nicht „Routing kaputt“.

Schritt 4: IP Routing aktivieren

Ohne IP Routing routet ein Switch auch mit SVIs nicht zwischen VLANs. In vielen Cisco L3-Switches ist Routing explizit zu aktivieren.

configure terminal
ip routing
end

Ab diesem Moment kann der Switch grundsätzlich zwischen VLAN 10, 20, 30 und 99 routen (sofern keine ACLs oder Policy-Mechanismen es verhindern).

Schritt 5: Upstream-Anbindung: Default Route oder dynamisches Routing

Ein Multilayer-Switch routet intern zwischen VLANs. Damit Clients auch externe Netze (z. B. Internet oder andere Standorte) erreichen, braucht der Switch einen Weg nach „oben“. Zwei typische Ansätze:

• Default Route: Einfach und für kleine Standorte häufig ausreichend.
• Dynamisches Routing (OSPF/EIGRP/BGP): Sinnvoll, wenn Sie mehrere Pfade, Redundanz und größere Topologien haben.

Variante A: Gerouteter Uplink + Default Route

configure terminal
interface GigabitEthernet1/0/52
description L3_Uplink_to_Core
no switchport
ip address 10.255.0.2 255.255.255.252
no shutdown
!
ip route 0.0.0.0 0.0.0.0 10.255.0.1
end

Variante B: OSPF (konzeptionell)

configure terminal
router ospf 1
passive-interface default
no passive-interface GigabitEthernet1/0/52
network 10.10.10.0 0.0.0.255 area 0
network 10.10.20.0 0.0.0.255 area 0
network 10.10.30.0 0.0.0.255 area 0
network 10.10.99.0 0.0.0.255 area 0
network 10.255.0.0 0.0.0.3 area 0
end

Praxis-Tipp: Nutzen Sie bei dynamischem Routing passive-interface, damit Access-VLANs nicht unnötig Nachbarschaften aufbauen. OSPF-Grundlagen lassen sich über den Anchor-Text RFC 2328 (OSPFv2) nachschlagen.

Schritt 6: Inter-VLAN Traffic steuern mit ACLs

Multilayer Switching macht Inter-VLAN-Routing einfach – aber genau deshalb sollten Sie die Kommunikation bewusst steuern. Eine häufige Anforderung: Users dürfen Serverdienste nutzen, aber nicht „alles überall“. Oder: Management-Netz darf Geräte verwalten, aber nicht aus User-VLANs erreichbar sein.

Beispiel: Users dürfen nur DNS, NTP und HTTPS zu Servern

Angenommen, Server VLAN 30 enthält zentrale Dienste und Web-Apps. Users VLAN 10 soll nur bestimmte Ports zu 10.10.30.0/24 nutzen.

configure terminal
ip access-list extended USERS-TO-SERVERS
permit udp 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255 eq 53
permit udp 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255 eq 123
permit tcp 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255 eq 443
deny ip 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255
permit ip 10.10.10.0 0.0.0.255 any
!
interface Vlan10
ip access-group USERS-TO-SERVERS in
end

Wichtig: ACLs werden von oben nach unten ausgewertet. Planen Sie Reihenfolge und Logik sauber, sonst blocken Sie ungewollt Traffic. Für tiefergehende ACL-Details ist der Anchor-Text Cisco ACL Konfigurationsgrundlagen hilfreich.

Schritt 7: DHCP-Design im Multilayer Switching

In VLAN-Umgebungen kommt DHCP oft aus einem zentralen Servernetz (z. B. VLAN 30), während Clients in VLAN 10/20 sitzen. Dann brauchen Sie auf den SVIs typischerweise DHCP-Relay (ip helper-address), damit DHCP-Broadcasts zu einem Unicast Richtung DHCP-Server werden.

Beispiel: DHCP Relay für VLAN 10 und 20

configure terminal
interface Vlan10
ip helper-address 10.10.30.10
!
interface Vlan20
ip helper-address 10.10.30.10
end

Praxis-Tipp: Wenn Sie DHCP Snooping und DAI einsetzen, müssen Trusted Ports und VLAN-Listen konsistent zum L3-Design passen, sonst blocken Sie legitimen Verkehr.

High Availability: Gateway-Redundanz auf L3-Switches

Ein einzelner Multilayer-Switch kann zum neuen Single Point of Failure werden, wenn alle Gateways dort liegen. In Campus-Designs werden deshalb häufig zwei Distribution/L3-Switches eingesetzt, die pro VLAN ein redundantes Gateway bereitstellen – typischerweise mit HSRP oder VRRP.

• HSRP: Cisco-spezifisch, in Cisco-Campus-Netzen sehr verbreitet
• VRRP: Standardisiert, geeignet für Mixed-Vendor
• GLBP: Cisco-spezifisch, kann Load Balancing am Gateway ermöglichen

Wenn Sie tiefer in Gateway-Redundanz einsteigen möchten, ist der Anchor-Text Cisco HSRP Konzepte hilfreich.

Verifikation: Die wichtigsten Show-Befehle für Multilayer Switching

Nach der Konfiguration sollten Sie systematisch prüfen, ob Layer 2 und Layer 3 sauber zusammenspielen:

• show vlan brief (VLANs vorhanden, Ports korrekt zugeordnet)
• show interfaces trunk (Trunks, Allowed VLANs, Native VLAN)
• show ip interface brief (SVIs up/up?)
• show ip route (Routing-Tabelle, Default Route oder dynamische Routen)
• show arp (ARP-Einträge, Gateway-ARP plausibel)
• show ip access-lists (ACL Trefferzähler, Debugging von Blockaden)
• ping und traceroute (Pfadprüfung zwischen VLANs und Richtung Upstream)

Troubleshooting: Häufige Fehlerbilder und schnelle Ursachen

Multilayer Switching ist robust, aber einige Klassiker treten immer wieder auf. Ein strukturierter Blick spart viel Zeit:

• SVI ist down/down: VLAN existiert nicht, VLAN wird nicht über Trunk transportiert, oder kein aktiver Port im VLAN. Prüfen: VLAN, Trunk, Portstatus.
• Clients haben IP, aber kein Routing: ip routing fehlt oder Default Route fehlt. Prüfen: ip routing, show ip route.
• Nur ein VLAN funktioniert: Allowed VLANs auf Uplinks falsch oder Access-Port in falschem VLAN. Prüfen: show interfaces trunk, show vlan brief.
• Traffic wird geblockt: ACL-Reihenfolge falsch, „deny ip any any“ greift unerwartet. Prüfen: ACL Trefferzähler.
• DHCP geht nicht: ip helper-address fehlt, DHCP Server nicht erreichbar, oder Snooping/DAI blockt. Prüfen: Relay, Routing, Security-Features.
• Asymmetrische Pfade/Umwege: STP Root und Gateway Active nicht abgestimmt (bei HA-Designs). Prüfen: STP und HSRP/VRRP Rollen.

Best Practices: Sauberes Design für Multilayer Switching im Alltag

• Segmentierung ernst nehmen: VLANs sind nicht nur Ordnung, sondern Sicherheits- und Betriebsgrenzen.
• Management trennen: eigenes Management-VLAN, Zugriff nur aus Adminnetzen, SSH/SNMPv3/Syslog/NTP sauber.
• Trunks restriktiv: Allowed VLANs bewusst setzen, Native VLAN konsistent, DTP minimieren.
• Inter-VLAN-Policies definieren: ACLs, Mikrosegmentierung, Dienste explizit erlauben (DNS/NTP/ICMP nach Bedarf).
• HA planen: Zwei L3-Geräte, Gateway-Redundanz, Tracking, STP-Abstimmung.
• Dokumentation: VLAN-ID, Subnetz, Gateway, Zweck, erlaubte Kommunikation und Uplink-Pfade dokumentieren.
• Monitoring: Interface-Errors, CPU/Memory, Routing-Neighbors, Syslog-Events, NTP-Status überwachen.

Praxis-Checkliste: L3-Switch Konfiguration in der Praxis

• Ist das VLAN- und IP-Design klar (Subnets, Gateways, Namenskonventionen)?
• Sind VLANs angelegt und sind Access-/Trunk-Ports korrekt zugeordnet und eingeschränkt?
• Sind SVIs konfiguriert und tatsächlich up/up (VLAN aktiv, Trunks erlauben VLANs)?
• Ist ip routing aktiv und gibt es eine Default Route oder dynamisches Routing nach oben?
• Sind Sicherheitsregeln (ACLs) geplant, getestet und mit Trefferzählern verifiziert?
• Funktioniert DHCP (ip helper-address) und sind Security-Features (Snooping/DAI) konsistent?
• Ist Management sauber abgesichert (SSH-only, Admin-ACL, NTP, Syslog, SNMPv3 optional)?
• Ist Redundanz geplant (zweiter L3-Switch, HSRP/VRRP/GLBP) und wurden Failover-Tests durchgeführt?

copy running-config startup-config

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.