SVI konfigurieren: VLAN Interface und Default Gateway korrekt setzen

Ein SVI (Switch Virtual Interface) ist das VLAN-Interface auf Cisco Switches und die zentrale Grundlage für Management-Zugriff und – bei Layer-3-Switches – für Inter-VLAN Routing. Damit ein SVI zuverlässig funktioniert, müssen VLAN, IP-Adressierung, Port-Zuordnung und der korrekte „Default“-Mechanismus (Default-Gateway vs. Routing) zusammenpassen. Dieses Tutorial zeigt die saubere Konfiguration von VLAN-Interfaces und erklärt, wann du ip default-gateway nutzt und wann ip routing erforderlich ist.

SVI verstehen: Was ist ein VLAN Interface?

Ein SVI ist ein logisches Interface, das an ein VLAN gebunden ist: interface vlan X. Auf einem Layer-2-Switch dient es typischerweise nur für Management (z. B. SSH/Syslog/NTP). Auf einem Layer-3-Switch kann es zusätzlich als Default-Gateway für Clients dienen und zwischen VLANs routen.

• SVI = interface vlan <VLAN-ID> mit IP-Adresse
• Layer 2: Management-IP auf SVI, Routing erfolgt extern
• Layer 3: SVIs + ip routing = Inter-VLAN Routing direkt am Switch

SVI-Status: Warum „up/down“ so häufig ist

Ein SVI ist nur dann up, wenn das VLAN aktiv ist. Praktisch bedeutet das: Mindestens ein Port in diesem VLAN muss Link up sein (Access-Port) oder das VLAN muss über einen aktiven Trunk geführt werden.

Vorbereitung: VLAN und IP-Plan festlegen

Plane VLAN-ID, Subnetz und Gateway sauber, bevor du konfigurierst. Für Management empfiehlt sich ein dediziertes VLAN (nicht VLAN 1).

• VLAN 99 (MGMT): 192.168.99.0/24, SVI 192.168.99.10, Gateway 192.168.99.1
• VLAN 10 (CLIENTS): 192.168.10.0/24, Gateway 192.168.10.1

/24 = 255.255.255.0

SVI für Management (Layer-2-Switch): VLAN Interface + Default Gateway

Bei einem Layer-2-Switch setzt du eine Management-IP auf einem SVI und definierst ein Default-Gateway für Management-Traffic in andere Netze. Das ist kein Routing zwischen VLANs, sondern nur ein „Next Hop“ für den Switch selbst.

VLAN anlegen und SVI konfigurieren

enable
configure terminal
vlan 99

name MGMT

exit
interface vlan 99

ip address 192.168.99.10 255.255.255.0

no shutdown

exit
end

Default-Gateway setzen (Layer 2)

Ohne ip default-gateway erreichst du nur Hosts im gleichen Subnetz. Für SSH/Syslog/NTP aus anderen Netzen brauchst du das Gateway.

configure terminal
ip default-gateway 192.168.99.1
end

VLAN „aktivieren“: Mindestens einen Port zuweisen

Damit das SVI wirklich up wird, muss das VLAN aktiv sein. Weise mindestens einen Access-Port in VLAN 99 zu oder stelle sicher, dass der Trunk VLAN 99 erlaubt.

configure terminal
interface gigabitEthernet 1/0/24
 description MGMT-ACCESS
 switchport mode access
 switchport access vlan 99
 spanning-tree portfast
exit
end

SVIs für Inter-VLAN Routing (Layer-3-Switch): ip routing statt ip default-gateway

Bei einem Layer-3-Switch ist das Ziel, dass Clients ihre Default-Gateways auf den SVIs haben. Dazu aktivierst du ip routing. Das klassische ip default-gateway ist dann in der Regel nicht mehr der richtige Mechanismus.

SVIs für VLAN 10 und VLAN 20 konfigurieren

enable
configure terminal
vlan 10

name CLIENTS

exit

vlan 20

name SERVER

exit
ip routing
interface vlan 10

ip address 192.168.10.1 255.255.255.0

no shutdown

exit
interface vlan 20

ip address 192.168.20.1 255.255.255.0

no shutdown

exit
end

Default Route auf dem Layer-3-Switch (statt default-gateway)

Wenn der L3-Switch zu anderen Netzen/Internet routen soll, setze eine Default Route (oder nutze dynamisches Routing). Das ersetzt das Layer-2-Default-Gateway-Konzept.

configure terminal
ip route 0.0.0.0 0.0.0.0 192.168.99.1
end

Trunk vs. Access: Wie SVIs mit Port-Konfiguration zusammenhängen

SVIs sind VLAN-gebunden. Ob das VLAN „lebt“, hängt davon ab, ob es auf Ports aktiv ist. Bei Trunks muss VLAN in der Allowed-Liste stehen, bei Access-Ports muss VLAN als Access-VLAN gesetzt sein.

Trunk so konfigurieren, dass VLAN 99 transportiert wird

configure terminal
interface gigabitEthernet 1/0/48
 description UPLINK-TRUNK
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
 switchport trunk native vlan 999
exit
end

Verifikation von VLAN-Transport und SVI-Status

show ip interface brief
show interfaces trunk
show vlan brief
show interfaces vlan 99

Häufige Fehlerbilder und schnelle Diagnose

Wenn ein SVI nicht erreichbar ist, liegt es meist nicht an der IP-Adresse, sondern an VLAN-Zustand, Port-Zuordnung oder Default-Mechanismus (Gateway/Route). Arbeite systematisch von Layer 2 nach Layer 3.

• SVI down/down: VLAN nicht aktiv (kein Port im VLAN up)
• SVI up, aber kein Zugriff: Default-Gateway/Route fehlt oder falsch
• Trunk erlaubt VLAN nicht: VLAN fehlt in Allowed-Liste
• Falsche Maske: Geräte glauben, Ziel sei lokal/remot
• ACL blockiert Management: VTY-/Interface-ACLs prüfen

show ip interface brief
show interfaces status
show interfaces trunk
show vlan brief
show ip route
show access-lists
show logging | include VLAN|TRUNK|NATIVE|DENY

Best Practices: SVIs sauber und sicher betreiben

Mit klaren Standards bleiben SVIs stabil, sicher und gut betreibbar – unabhängig davon, ob du sie nur für Management oder für Routing einsetzt.

• Dediziertes Management-VLAN statt VLAN 1
• SVI nur „up“, wenn VLAN aktiv ist: Port-Zuordnung sicherstellen
• Layer-2: ip default-gateway korrekt setzen
• Layer-3: ip routing + Default Route/Dynamic Routing nutzen
• Trunks whitelisten (Allowed VLANs) und Native VLAN bewusst setzen
• Management-Zugriff per SSH und ACLs absichern

show running-config | section interface vlan
show ip interface brief
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.