Private VLANs (PVLAN): Isolation in Enterprise-Netzen umsetzen

Private VLANs (PVLAN) erweitern das klassische VLAN-Konzept um eine kontrollierte Isolation auf Layer 2: Endgeräte können im gleichen IP-Subnetz bleiben, dürfen aber je nach PVLAN-Typ nicht direkt miteinander kommunizieren. Das ist besonders in Enterprise- und Provider-Umgebungen nützlich, z. B. für Server-Farmen, DMZs, Gäste-/IoT-Segmente oder Shared-Subnetze, in denen Clients voneinander getrennt werden sollen. Dieses Tutorial erklärt PVLANs verständlich und zeigt eine praxistaugliche Cisco-Konfiguration mit Verifikation.

PVLAN-Grundlagen: Primary, Isolated und Community

PVLANs bestehen aus einem „Primary VLAN“ und einem oder mehreren „Secondary VLANs“. Die Secondary VLANs bestimmen, wie Geräte untereinander sprechen dürfen. Ein Promiscuous-Port (z. B. Gateway/Firewall) kann mit allen sprechen.

• Primary VLAN: das übergeordnete VLAN (z. B. VLAN 100)
• Isolated VLAN: Hosts sind untereinander isoliert, nur Promiscuous erreichbar
• Community VLAN: Hosts innerhalb der Community dürfen miteinander, aber nicht mit anderen Communities
• Promiscuous Port: darf mit allen Secondary VLANs kommunizieren (typisch: Gateway)

Typischer Einsatzzweck

PVLAN erlaubt „gleiche IP-Subnetze, aber L2-Isolation“. Das ist hilfreich, wenn du IP-Adressierung nicht aufsplitten willst oder kannst, aber trotzdem East-West-Traffic zwischen Clients verhindern möchtest.

Konzeptbeispiel: Server/Clients isolieren, Gateway bleibt erreichbar

Ein häufiges Design: Alle Hosts sind im Subnetz 192.168.100.0/24, aber Hosts sollen nicht miteinander sprechen. Nur das Default-Gateway (SVI/Firewall) darf alle erreichen.

• Primary VLAN 100 (PVLAN-Primary)
• Isolated VLAN 101 (PVLAN-Isolated für „isolierte Hosts“)
• Community VLAN 102 (PVLAN-Community für Gruppe A)
• Community VLAN 103 (PVLAN-Community für Gruppe B)

Subnetz: 192.168.100.0/24 Gateway: 192.168.100.1

Voraussetzungen und Hinweise für Cisco PVLAN

PVLAN ist nicht auf jeder Switch-Plattform und in jedem Feature-Set verfügbar. In Enterprise-Netzen wird PVLAN häufig auf Distribution-/Core- oder Datacenter-Switching-Plattformen umgesetzt. Stelle sicher, dass dein Switch PVLAN unterstützt und dass Uplink-Design und Gateways dazu passen.

Vorab-Checks

show version
show vlan brief

PVLANs anlegen: Primary und Secondary VLANs definieren

Zuerst legst du das Primary VLAN an und markierst es als PVLAN Primary. Danach legst du Secondary VLANs an und definierst ihren Typ (isolated/community). Anschließend werden die Secondary VLANs dem Primary VLAN zugeordnet.

enable
configure terminal

vlan 100
 name PVLAN-PRIMARY
 private-vlan primary
exit

vlan 101
 name PVLAN-ISO
 private-vlan isolated
exit

vlan 102
 name PVLAN-COMM-A
 private-vlan community
exit

vlan 103
 name PVLAN-COMM-B
 private-vlan community
exit

vlan 100
 private-vlan association 101,102,103
exit

end

PVLAN-VLANs prüfen

show vlan private-vlan
show vlan brief

Ports konfigurieren: Promiscuous vs. Host-Port

Für PVLAN brauchst du zwei zentrale Port-Rollen: Promiscuous (z. B. zu Firewall/Router/Gateway) und Host-Ports (Endgeräte). Host-Ports werden dem Primary VLAN zugeordnet und zusätzlich einer Secondary VLAN (isolated oder community) zugewiesen.

Promiscuous Port (Gateway/Firewall) konfigurieren

Dieser Port darf mit allen Secondary VLANs sprechen. Typisch ist die Verbindung zu einer Firewall, einem Router oder einem L3-Device, das als Default-Gateway dient.

configure terminal
interface gigabitEthernet 1/0/48
 description PVLAN-PROMISCUOUS-TO-GW
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 100 101,102,103
end

Isolated Host-Port konfigurieren

Hosts im isolated VLAN können nicht direkt mit anderen Hosts sprechen (auch nicht mit anderen isolated Hosts), sondern nur mit dem Promiscuous-Port.

configure terminal
interface gigabitEthernet 1/0/10
 description PVLAN-ISO-HOST
 switchport mode private-vlan host
 switchport private-vlan host-association 100 101
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Community Host-Port konfigurieren

Hosts in der gleichen Community dürfen miteinander kommunizieren, sind aber von anderen Communities und isolated Hosts getrennt. Sie erreichen weiterhin den Promiscuous-Port.

configure terminal
interface range gigabitEthernet 1/0/11 - 12
 description PVLAN-COMM-A-HOSTS
 switchport mode private-vlan host
 switchport private-vlan host-association 100 102
 spanning-tree portfast
 spanning-tree bpduguard enable
end

configure terminal
interface range gigabitEthernet 1/0/13 - 14
 description PVLAN-COMM-B-HOSTS
 switchport mode private-vlan host
 switchport private-vlan host-association 100 103
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Gateway/Layer-3-Anbindung: SVI/Firewall passend planen

PVLAN ist Layer 2. Für Inter-VLAN-/Upstream-Routing brauchst du ein L3-Gateway (Firewall/L3-SVI). In PVLAN-Designs ist das Gateway typischerweise am Promiscuous-Port angebunden. Achte darauf, dass dein Gateway-Design PVLAN unterstützt oder dass die L3-Schnittstelle korrekt im Primary VLAN arbeitet.

Konzept-Hinweis: Default Gateway für alle Hosts

Alle Hosts bleiben im gleichen Subnetz und nutzen das gleiche Gateway (z. B. 192.168.100.1). PVLAN verhindert dann Host-zu-Host-Kommunikation auf Layer 2, nicht das Routing.

Verifikation: Funktion und Isolation prüfen

Nach der Konfiguration solltest du prüfen, ob PVLAN-Zuordnungen korrekt sind und ob Hosts sich wie erwartet verhalten: Isolated-Hosts dürfen sich nicht gegenseitig erreichen, Community-Hosts dürfen innerhalb ihrer Community sprechen, alle dürfen den Promiscuous-Port erreichen.

show vlan private-vlan
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces gigabitEthernet 1/0/10 switchport
show mac address-table vlan 100

Praxis-Testmatrix (erwartetes Verhalten)

• Isolated Host → Isolated Host: nicht erlaubt
• Isolated Host → Community Host: nicht erlaubt
• Community A Host → Community A Host: erlaubt
• Community A Host → Community B Host: nicht erlaubt
• Alle Hosts → Promiscuous/Gateway: erlaubt

Häufige Fehler und Troubleshooting

PVLAN-Probleme sind oft Mapping-/Association-Fehler oder ein nicht passendes Gateway/Uplink-Design. Prüfe zuerst VLAN/Association, dann Port-Modi und Mapping.

• Secondary VLAN nicht dem Primary zugeordnet (Association fehlt)
• Promiscuous-Port ohne Mapping zu Secondary VLANs
• Host-Port falsche host-association (Primary/Secondary vertauscht)
• Uplink/Gateway unterstützt Design nicht oder falscher Anschluss

show vlan private-vlan
show running-config | include private-vlan
show interfaces status
show logging | include VLAN|PVLAN|SPANNING

Best Practices: PVLAN sicher und betrieblich sauber umsetzen

PVLAN ist mächtig, aber sollte standardisiert und dokumentiert betrieben werden. Eine klare Template-Logik und saubere Uplink-/Gateway-Planung verhindern Überraschungen.

• Primary/Secondary VLANs konsequent benennen und dokumentieren
• Isolated für „Zero-Trust“-Zonen, Community für Gruppen mit Bedarf
• Promiscuous-Port klar definieren (nur Gateways/Firewalls)
• Uplinks bewusst planen (PVLAN-fähige Pfade, keine „random“ Trunks)
• PortFast/BPDU Guard auf Host-Ports aktivieren
• Nach Changes Verifikation mit show vlan private-vlan durchführen

copy running-config startup-config
show vlan private-vlan

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.