Native VLAN & Allowed VLANs: Häufige Fehler in Übungen

Native VLAN und Allowed VLANs sind die häufigsten Ursachen für „VLAN geht nicht“-Fehler in Packet-Tracer-Übungen. Der Trunk ist physisch up, aber Traffic verschwindet, landet im falschen VLAN oder wirkt „zufällig“. Ursache ist fast immer eine Inkonsistenz: unterschiedliche Native VLANs auf beiden Seiten oder eine Allowed-Liste, die benötigte VLANs nicht transportiert. Mit den folgenden Regeln, Checks und Korrekturen beheben Sie diese Fehler systematisch.

Native VLAN: Was es ist und warum es gefährlich sein kann

Auf einem 802.1Q-Trunk werden Frames normalerweise getaggt. Die Native VLAN ist die Ausnahme: Frames dieser VLAN werden untagged übertragen. Das ist historisch gewachsen, kann aber zu Fehlzuordnungen führen, wenn die Native VLAN auf beiden Trunk-Seiten nicht identisch ist.

• Native VLAN = untagged VLAN auf dem Trunk
• Standard ist häufig VLAN 1 (je nach Gerät/Setup)
• Mismatch führt dazu, dass untagged Frames im „falschen“ VLAN landen

Best Practice in Übungen

• Native VLAN bewusst setzen (z. B. VLAN 99) und dokumentieren
• Native VLAN nicht für User-Traffic verwenden
• Native VLAN auf beiden Seiten identisch konfigurieren

Allowed VLANs: Was transportiert der Trunk wirklich?

Allowed VLANs definieren, welche VLANs über den Trunk gehen dürfen. Ein Port kann „Trunk“ sein und trotzdem kein VLAN transportieren, das Sie brauchen – wenn die Allowed-Liste falsch ist. Genau das ist der Klassiker in Labs.

• Allowed VLANs sind eine Filterliste pro Trunk-Port
• Fehlendes VLAN in der Liste = VLAN-Traffic kommt nicht durch
• Restriktive Allowed-Liste ist Best Practice, aber muss korrekt sein

Merksatz

• Trunk up + VLAN existiert + VLAN erlaubt = VLAN kann über den Link laufen.
• Fehlt eine dieser Bedingungen, ist das VLAN „logisch down“.

Typische Fehler in Übungen (und wie sie aussehen)

Die folgenden Fehlerbilder sind in Packet Tracer besonders häufig, weil sie optisch nicht auffallen: Link grün, aber keine Connectivity. Nutzen Sie die Symptome als Mustererkennung.

Fehlerbild: Geräte im gleichen VLAN über zwei Switches erreichen sich nicht

• Ursache: VLAN nicht in Allowed-Liste
• Ursache: VLAN existiert nicht auf einem Switch
• Ursache: Port ist doch Access statt Trunk

Fehlerbild: „Native VLAN mismatch“ oder Traffic landet im falschen VLAN

• Ursache: Native VLAN auf SW1 ≠ Native VLAN auf SW2
• Ursache: Untagged Frames werden in unterschiedliche VLANs einsortiert
• Folge: scheinbar „zufällige“ Erreichbarkeit oder falsche Broadcast-Domäne

Fehlerbild: Inter-VLAN-Routing (Router-on-a-Stick) funktioniert nur für ein VLAN

• Ursache: Nur ein VLAN ist in Allowed-Liste
• Ursache: Native VLAN falsch gesetzt, Subinterfaces passen nicht
• Ursache: Trunk läuft auf falschem Port oder im Access-Modus

Schnellchecks: In 30 Sekunden zur Ursache

Statt „neu bauen“ prüfen Sie zuerst den Trunk-Status und die VLAN-Liste. Diese zwei Befehle lösen die meisten Übungsprobleme.

Trunk und Allowed VLANs prüfen

enable
show interfaces trunk

VLANs und Portzuordnung prüfen

enable
show vlan brief
show interfaces status

Native VLAN korrekt setzen: sauberes Beispiel

Setzen Sie eine dedizierte Native VLAN (z. B. 99) und stellen Sie sicher, dass sie auf beiden Seiten identisch ist. Legen Sie VLAN 99 auf beiden Switches an, bevor Sie sie als Native VLAN konfigurieren.

VLAN 99 anlegen

enable
configure terminal
vlan 99
 name NATIVE
end
write memory

Native VLAN auf dem Trunk setzen (auf beiden Seiten identisch)

enable
configure terminal
interface gigabitEthernet0/1
 switchport mode trunk
 switchport trunk native vlan 99
end
write memory

Typischer Fehler: Native VLAN nur auf einer Seite ändern

• Folge: untagged Frames werden unterschiedlich interpretiert
• Lösung: Native VLAN immer paarweise (beide Switches) konfigurieren

Allowed VLANs sauber konfigurieren: „nur was gebraucht wird“

In Übungen ist es sinnvoll, die Allowed-Liste bewusst zu setzen, um Fehlersuche zu trainieren. Gleichzeitig muss die Liste alle VLANs enthalten, die über den Trunk laufen sollen.

Beispiel: VLAN 10, 20 und 99 erlauben

enable
configure terminal
interface gigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
end
write memory

Typischer Fehler: Native VLAN gesetzt, aber nicht erlaubt

In vielen Übungsumgebungen wird erwartet, dass Sie die Native VLAN ebenfalls in die Allowed-Liste aufnehmen. Wenn Sie eine restriktive Allowed-Liste verwenden, nehmen Sie Native VLAN grundsätzlich mit auf.

• Allowed: 10,20,99 statt nur 10,20

Häufige Stolperfallen bei Allowed VLANs

Allowed VLANs sind anfällig für kleine Tippfehler und Missverständnisse. In Labs führt das schnell zu „VLAN tot“, obwohl Trunk up ist.

VLAN-ID vertippt oder falsche VLANs erlaubt

• Beispiel: switchport trunk allowed vlan 10,200 statt 10,20
• Symptom: VLAN20-Traffic fehlt komplett

Allowed-Liste überschrieben statt erweitert

Wenn Sie die Allowed-Liste erneut setzen, überschreiben Sie die vorherige Liste. Prüfen Sie danach immer mit show interfaces trunk, was wirklich aktiv ist.

• Best Practice: nach jeder Änderung verifizieren

Trunk wird durch „mode access“ versehentlich deaktiviert

• Symptom: Trunk verschwindet, VLAN-Traffic bricht ab
• Ursache: Port wurde wieder als Access konfiguriert

Fehler beheben: Standard-Reparaturablauf

Wenn eine Übung nicht funktioniert, nutzen Sie diesen Ablauf. Er ist kurz, zuverlässig und vermeidet unnötige Nebenwirkungen.

• Schritt 1: show interfaces trunk (ist es wirklich ein Trunk?)
• Schritt 2: Allowed VLANs prüfen (enthält die Liste alle benötigten VLANs?)
• Schritt 3: Native VLAN prüfen (beidseitig identisch?)
• Schritt 4: VLANs existieren auf beiden Switches? (show vlan brief)
• Schritt 5: PC-Ports im richtigen VLAN? (Access-Port-Zuordnung)

Konfigurationsausschnitt am Trunk-Port anzeigen

enable
show running-config interface gigabitEthernet0/1

Dokumentation in der Topologie: Fehler von vornherein vermeiden

Viele Native-/Allowed-Fehler entstehen, weil nicht dokumentiert ist, was „geplant“ war. Beschriften Sie Trunks daher direkt im Workspace, damit Soll/Ist sofort sichtbar ist.

• TRUNK | native 99 | allowed 10,20,99
• Uplink-Ports reservieren (z. B. Gi0/1) und konsistent nutzen
• VLAN-Plan als Note: VLAN-ID, Name, Ports

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.