Switchport Mode Access vs. Trunk: Wann was sinnvoll ist

Auf Cisco Switches ist die Wahl zwischen switchport mode access und switchport mode trunk eine der wichtigsten Grundlagenentscheidungen im Alltag. Sie bestimmt, ob ein Port genau ein VLAN (Access) oder mehrere VLANs (Trunk) transportiert – und damit, wie sauber Segmentierung, Sicherheit und Betrieb funktionieren. Dieser Leitfaden erklärt die Unterschiede verständlich, zeigt typische Einsatzfälle und liefert praxistaugliche Cisco-Konfigurationen inklusive Verifikation.

Grundprinzip: Access vs. Trunk in einem Satz

Ein Access-Port gehört genau einem VLAN und sendet/empfängt untagged Frames. Ein Trunk-Port transportiert mehrere VLANs über 802.1Q-Tagging; untagged Frames gehören zur Native VLAN.

• Access: ein VLAN pro Port, untagged
• Trunk: mehrere VLANs pro Port, 802.1Q-tagged
• Native VLAN: untagged auf dem Trunk (bewusst planen)

Wann ist Access sinnvoll?

Access ist die Standardwahl für Endgeräte-Ports. Das Endgerät muss keine VLAN-Tags verstehen, und der Port ist betrieblich einfach, eindeutig und sicherer gegen „ungewolltes Trunking“.

• PCs/Notebooks
• Drucker/Scanner
• Kameras/IoT-Geräte (wenn kein Trunk benötigt wird)
• Server mit einem VLAN (ohne VLAN-Tagging am NIC)

Access-Port konfigurieren (Beispiel)

enable
configure terminal
interface gigabitEthernet 1/0/10
 description CLIENT-OFFICE-2.14
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
end

Warum Access oft sicherer ist

Access verhindert, dass ein Port mehrere VLANs transportiert. In Kombination mit deaktiviertem DTP und einem Parking-VLAN für ungenutzte Ports sinkt die Angriffsfläche deutlich.

Wann ist Trunk sinnvoll?

Trunks nutzt du, wenn mehrere VLANs über denselben Link laufen müssen. Das ist typischerweise bei Uplinks zwischen Switches oder bei Geräten mit mehreren logischen Netzen (z. B. Access Points, Router/L3-Switches) der Fall.

• Switch-to-Switch Uplink (Access ↔ Distribution/Core)
• Switch ↔ Router (Router-on-a-Stick)
• Switch ↔ Access Point (mehrere SSIDs/VLANs)
• Switch ↔ Firewall/Controller (mehrere Zonen/VLANs)

Trunk konfigurieren (Best Practice)

Ein sicherer Trunk ist statisch konfiguriert, whitelisted VLANs und hat eine ungenutzte Native VLAN. DTP wird deaktiviert, wenn das Design statisch ist.

configure terminal
vlan 999
 name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48

description UPLINK-TO-SW-DIST-01 Gi1/0/48

switchport mode trunk

switchport trunk allowed vlan 10,20,30,99

switchport trunk native vlan 999

switchport nonegotiate

end

Praxisfälle: Welche Wahl ist „richtig“?

Die Entscheidung hängt davon ab, ob das Endgerät ein oder mehrere VLANs benötigt und ob es VLAN-Tags verarbeiten soll. Die folgenden Beispiele decken die häufigsten Alltagsszenarien ab.

PC direkt am Switch

In fast allen Fällen Access. Der PC soll untagged arbeiten, VLAN wird über den Switchport zugeordnet.

interface gigabitEthernet 1/0/5
 switchport mode access
 switchport access vlan 10

IP-Telefon mit PC dahinter (Voice VLAN)

Der Port bleibt Access für Data, zusätzlich wird ein Voice VLAN gesetzt. Der PC bleibt im Data VLAN, das Telefon nutzt das Voice VLAN (tagged).

interface gigabitEthernet 1/0/15
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable

Access Point mit mehreren SSIDs

Häufig Trunk, weil mehrere VLANs (Corp/Guest/Management) zum AP müssen. Allowed VLANs bewusst begrenzen.

interface gigabitEthernet 1/0/31
 description AP-FLOOR-2
 switchport mode trunk
 switchport trunk allowed vlan 30,40,99
 switchport trunk native vlan 999
 spanning-tree portfast trunk

Server mit VLAN-Tagging (NIC-Trunking am Host)

Wenn der Server mehrere VLANs über eine NIC fährt (z. B. Virtualisierung), ist der Port ein Trunk. Wenn der Server nur ein VLAN nutzt, ist Access meist einfacher.

interface gigabitEthernet 1/0/20
 description ESXI-HOST-01
 switchport mode trunk
 switchport trunk allowed vlan 80,81,99
 switchport trunk native vlan 999

Häufige Fehler: Wenn Access und Trunk verwechselt werden

Viele „VLAN geht nicht“-Tickets entstehen, weil ein Client-Port versehentlich als Trunk läuft oder ein Uplink als Access. Die Symptome wirken dann wie DHCP- oder Routing-Probleme.

• Client-Port als Trunk: Endgerät bekommt keine/falsche IP, VLAN „springt“
• Uplink als Access: VLANs fehlen auf der Gegenseite, nur ein VLAN funktioniert
• Allowed VLANs fehlen: VLAN ist auf dem Trunk nicht transportiert
• Native VLAN mismatch: untagged Traffic landet im falschen VLAN

Schnelle Diagnose-Befehle

show interfaces status
show interfaces gigabitEthernet 1/0/10 switchport
show interfaces trunk
show vlan brief
show logging | include VLAN|TRUNK|NATIVE|DTP

Sicherheits- und Betriebsstandards: So bleibt es kontrollierbar

Ein robustes Design entsteht durch klare Port-Standards: Endgeräte-Ports sind Access, Uplinks sind statische Trunks, VLANs werden whitelisted und Native VLAN ist ungenutzt. Dazu kommen PortFast/BPDU Guard im Access.

• Access-Ports immer explizit setzen: switchport mode access
• Trunks statisch setzen und DTP deaktivieren: switchport nonegotiate
• Allowed VLANs als Whitelist pflegen
• Native VLAN ungenutzt wählen (z. B. 999) und konsistent halten
• Ungenutzte Ports in Parking-VLAN und administrativ down

Parking-Ports (Beispiel)

configure terminal
vlan 998
 name PARKING
exit
interface range gigabitEthernet 1/0/40 - 47

description UNUSED-PARKED

switchport mode access

switchport access vlan 998

shutdown

end

Verifikation: So prüfst du zuverlässig, was ein Port wirklich macht

Verlasse dich nicht nur auf die Running-Config. Prüfe den tatsächlichen Switchport-Status, Trunk-Informationen und VLAN-Zuordnung.

show interfaces gigabitEthernet 1/0/10 switchport
show running-config interface gigabitEthernet 1/0/10
show interfaces trunk
show vlan brief

Nach Changes speichern

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.