Die Native VLAN ist ein oft unterschätztes Detail in 802.1Q-Trunk-Designs: Sie bestimmt, in welchem VLAN ungetaggter Traffic auf einem Trunk landet. Genau das ist sicherheitsrelevant, weil ungetaggte Frames unerwartet entstehen können (Fehlkonfiguration, fremdes Gerät, VLAN-Hopping-Angriffe). Wer die Native VLAN sauber plant, konsistent konfiguriert und Trunks bewusst „whitelistet“, reduziert Risiken und vermeidet typische Betriebsfehler wie Native-VLAN-Mismatch.
Grundlagen: Was ist die Native VLAN bei 802.1Q?
Auf einem 802.1Q-Trunk werden VLANs normalerweise getaggt übertragen. Die Native VLAN ist die Ausnahme: Frames in der Native VLAN werden untagged gesendet und untagged empfangene Frames werden dieser VLAN zugeordnet.
- Tagged VLANs: VLAN-ID im 802.1Q-Tag enthalten
- Native VLAN: untagged auf dem Trunk
- Untagged Traffic auf einem Trunk ist grundsätzlich ein Risiko und ein Design-Signal
Warum überhaupt untagged auf einem Trunk?
Historisch war die Native VLAN für Interoperabilität und bestimmte Legacy-Szenarien gedacht. In modernen Designs wird untagged Traffic auf Trunks möglichst vermieden oder in eine bewusst ungenutzte VLAN gelenkt.
Sicherheitsrisiken: Was kann bei falscher Native VLAN passieren?
Eine falsch geplante oder inkonsistente Native VLAN kann dazu führen, dass Traffic im falschen VLAN landet oder dass Angriffsflächen entstehen. Besonders kritisch ist, wenn die Native VLAN produktive Netze oder gar Management enthält.
- Unerwarteter untagged Traffic wird einem produktiven VLAN zugeordnet
- Native VLAN Mismatch führt zu Fehlersuche/Instabilität und Warnmeldungen
- VLAN-Hopping-Risiko (z. B. durch Double-Tagging in bestimmten Szenarien)
- Management-VLAN als Native VLAN erhöht Impact bei Fehlkonfiguration
Typischer Fehler: Native VLAN = VLAN 1 „aus Bequemlichkeit“
VLAN 1 ist auf vielen Switches historisch default. In professionellen Umgebungen wird VLAN 1 für Management und produktiven Traffic möglichst vermieden und Native VLAN bewusst anders gesetzt.
Planung: Native VLAN als „Unused/Blackhole VLAN“ definieren
Ein bewährter Ansatz ist, die Native VLAN auf eine ungenutzte VLAN zu setzen (z. B. VLAN 999) und diese VLAN nicht für Endgeräte oder Services zu verwenden. So landet untagged Traffic nicht in produktiven Netzen.
- Native VLAN = ungenutzte VLAN (z. B. 999)
- Diese VLAN nicht routen, nicht als Management nutzen
- Trunks nur mit expliziten Allowed VLANs betreiben
Beispiel-VLAN anlegen und benennen
enable
configure terminal
vlan 999
name NATIVE-UNUSED
end
Konfiguration: Native VLAN auf Trunks korrekt setzen
Setze Native VLAN konsistent auf beiden Seiten des Trunks. Zusätzlich solltest du die Allowed VLANs auf das notwendige Minimum begrenzen, damit keine VLANs „versehentlich“ transportiert werden.
Trunk mit Allowed VLANs und Native VLAN (Best Practice)
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TO-SW-DIST-01 Gi1/0/48
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end
Gegenstelle spiegeln (Konfig-Konsistenz)
Native VLAN und Allowed VLANs müssen auf der Gegenstelle konsistent sein. Asymmetrien sind eine häufige Ursache für Störungen.
Native VLAN Mismatch: Erkennen, verstehen, beheben
Wenn zwei Switches unterschiedliche Native VLANs auf einem Trunk haben, entstehen Warnungen und potenziell Traffic-Fehlzuordnungen. In der Praxis ist das ein wichtiges Signal für eine Konfigurationsabweichung.
Mismatch schnell erkennen
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show logging | include NATIVE|VLAN|TRUNK
Mismatch beheben
Setze auf beiden Seiten dieselbe Native VLAN und verifiziere anschließend Trunk-Status und Logs.
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk native vlan 999
end
show interfaces trunk
show logging | include NATIVE|VLAN
Zusätzliche Härtung: Trunks „whitelisten“ und Aushandlung verhindern
Native VLAN ist nur ein Teil. Für ein robustes Sicherheitsdesign solltest du Trunks statisch konfigurieren, DTP-Aushandlung verhindern und nur benötigte VLANs erlauben.
- Trunk statisch setzen:
switchport mode trunk - DTP deaktivieren:
switchport nonegotiate(wenn passend) - Allowed VLANs als Whitelist:
switchport trunk allowed vlan ... - Uplinks klar dokumentieren (
description)
Allowed VLANs sauber pflegen
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk allowed vlan 10,20,30,99
switchport trunk allowed vlan add 40
switchport trunk allowed vlan remove 30
end
Praxisbeispiel: Access-Switch Uplink mit sicherer Native VLAN
Dieses Beispiel ist typisch für Campus/Access: VLANs für Clients, Voice, Guest und Management werden getaggt transportiert, Native VLAN ist ungenutzt, DTP deaktiviert.
configure terminal
vlan 10
name CLIENTS
exit
vlan 20
name VOICE
exit
vlan 30
name GUEST
exit
vlan 99
name MGMT
exit
vlan 999
name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end
copy running-config startup-config
Verifikation: So prüfst du Native VLAN und Trunk-Verhalten
Nach der Änderung solltest du Trunk-Status, Native VLAN, Allowed VLANs und Logs prüfen. Bei Problemen hilft zusätzlich MAC-Learning in den betroffenen VLANs.
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show vlan brief
show logging | include NATIVE|VLAN|TRUNK
MAC-Learning als Praxis-Check
show mac address-table vlan 10
show mac address-table vlan 99
Best Practices: Native VLAN sicher planen und dokumentieren
Ein konsistentes Native-VLAN-Konzept reduziert Security-Risiken und Betriebsfehler deutlich. Wichtig ist, dass die Native VLAN niemals „nebenbei“ entsteht, sondern bewusst festgelegt und geprüft wird.
- Native VLAN als ungenutztes VLAN definieren (z. B. 999)
- Native VLAN nie als Management- oder produktives Client-VLAN nutzen
- Trunks nur mit Allowed VLAN Whitelist betreiben
- Konfig auf beiden Seiten konsistent halten (Native/Allowed/Mode)
- Trunk-Aushandlung deaktivieren, wenn Design statisch ist
- Nach Changes:
show interfaces trunkund Logs prüfen
show interfaces trunk
show running-config interface gigabitEthernet 1/0/48
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
