Ein Trunk-Port verbindet Switches, Access-Switches mit Distribution/Core oder einen Switch mit einem Router/L3-Switch und transportiert dabei mehrere VLANs über einen einzigen Link. Auf Cisco Switches wird dies typischerweise per IEEE 802.1Q (VLAN-Tagging) umgesetzt. Damit Trunks zuverlässig und sicher funktionieren, sind drei Punkte entscheidend: Trunk-Modus korrekt setzen, VLANs bewusst begrenzen und Native VLAN sauber definieren. Diese Anleitung zeigt die Praxis-Konfiguration inklusive Verifikation und Troubleshooting.
Grundlagen: Was ist ein Trunk-Port und was macht 802.1Q?
802.1Q fügt Ethernet-Frames ein VLAN-Tag hinzu, damit mehrere VLANs über einen Link transportiert werden können. Nur die Native VLAN wird (je nach Konfiguration) untagged übertragen. Trunks sind daher Standard für Uplinks zwischen Switches.
- Trunk = mehrere VLANs über einen Link
- 802.1Q Tagging trennt VLANs logisch auf Layer 2
- Native VLAN ist untagged (Policy-basiert, bewusst wählen)
Wann du einen Trunk brauchst
Typische Szenarien sind Switch-to-Switch-Uplinks, Switch-to-Router (Router-on-a-Stick) oder Switch-to-Firewall/Controller, wenn mehrere VLANs über denselben Port laufen sollen.
- Uplink Access ↔ Distribution/Core
- Switch ↔ Switch (Topologie/Stack-Uplinks)
- Switch ↔ Router/L3-Switch für Inter-VLAN-Routing
Vorbereitung: VLANs existieren lassen und Port-Status prüfen
Ein Trunk transportiert nur VLANs, die auf dem Switch vorhanden und auf dem Trunk erlaubt sind. Prüfe außerdem, ob der Port physikalisch up ist und nicht durch Fehlermechanismen blockiert wird.
show interfaces status
show vlan brief
show interfaces trunk
show logging | include VLAN|TRUNK|NATIVE|ERRDISABLE
Port-Switchport-Details anzeigen
Dieser Befehl zeigt dir den aktuellen Switchport-Modus (Access/Trunk), Native VLAN und Allowed VLANs.
show interfaces gigabitEthernet 1/0/48 switchport
Trunk-Port konfigurieren: 802.1Q sauber setzen
In der Praxis setzt du den Port in den Trunk-Modus und begrenzt die VLANs. Damit vermeidest du, dass „ungewollte“ VLANs automatisch über den Uplink laufen.
Standard-Konfiguration: Trunk + Allowed VLANs
enable
configure terminal
interface gigabitEthernet 1/0/48
description UPLINK-TO-SW-DIST-01 Gi1/0/48
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
end
Trunk aufräumen: Allowed VLANs ersetzen statt „wild wachsen lassen“
Wenn du ein vorhandenes Allowed-Set sauber definieren willst, setze es explizit neu. So bleibt der Trunk auditierbar.
configure terminal
interface gigabitEthernet 1/0/48
switchport trunk allowed vlan 10,20,30,99
end
Native VLAN richtig setzen: Konsistenz verhindert Fehler
Eine Native VLAN Mismatch-Konfiguration führt häufig zu Syslog-Warnungen und kann in bestimmten Designs Traffic-Probleme verursachen. Wähle eine klare Policy und setze sie konsistent auf beiden Seiten.
Empfohlener Ansatz: Unbenutzte Native VLAN
Viele Umgebungen setzen die Native VLAN auf eine ungenutzte VLAN (z. B. 999), um unbeabsichtigten untagged Traffic zu vermeiden und Fehlkonfigurationen sichtbar zu machen.
configure terminal
vlan 999
name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48
switchport trunk native vlan 999
end
Native VLAN prüfen
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show logging | include NATIVE|VLAN
DTP und Trunk-Aushandlung: Warum „mode trunk“ sauberer ist
Cisco Switches können Trunks über DTP (Dynamic Trunking Protocol) aushandeln. Für vorhersehbaren Betrieb wird häufig statisch konfiguriert, um ungewollte Trunk-Bildung zu vermeiden.
Trunk statisch setzen (Best Practice)
Mit switchport mode trunk ist der Port eindeutig. In Security-orientierten Designs wird die Aushandlung zusätzlich deaktiviert.
configure terminal
interface gigabitEthernet 1/0/48
switchport mode trunk
switchport nonegotiate
end
Hinweis: nonegotiate nur passend einsetzen
Wenn die Gegenstelle DTP erwartet, kann nonegotiate den Trunk-Aufbau verhindern. In Switch-to-Switch-Links mit statischem Trunk auf beiden Seiten ist es meist unkritisch.
Praxisbeispiel: Access-Switch Uplink mit Management-VLAN
Dieses Beispiel zeigt einen typischen Uplink: Clients (10), Voice (20), Guest (30) und Management (99) werden über den Trunk zur Distribution transportiert, Native VLAN wird auf 999 gesetzt.
configure terminal
vlan 10
name CLIENTS
exit
vlan 20
name VOICE
exit
vlan 30
name GUEST
exit
vlan 99
name MGMT
exit
vlan 999
name NATIVE-UNUSED
exit
interface gigabitEthernet 1/0/48
description UPLINK-TRUNK-TO-DIST
switchport mode trunk
switchport trunk allowed vlan 10,20,30,99
switchport trunk native vlan 999
switchport nonegotiate
end
copy running-config startup-config
Verifikation: Trunk-Status und VLAN-Transport prüfen
Mit diesen Befehlen siehst du, ob der Trunk aktiv ist, welche VLANs erlaubt sind und welche VLANs tatsächlich über den Trunk laufen.
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show vlan brief
MAC-Lernen pro VLAN als Praxis-Test
Wenn Clients in VLAN 10 aktiv sind, sollte der Switch MACs in VLAN 10 lernen. Das hilft bei „VLAN kommt nicht an“-Fehlern.
show mac address-table vlan 10
show mac address-table vlan 99
Troubleshooting: Häufige Fehler und schnelle Checks
Wenn VLANs nicht über den Trunk kommen, ist die Ursache meist ein Allowed-VLAN-Problem, Native VLAN Mismatch oder der Port ist nicht wirklich im Trunk-Modus. Arbeite systematisch von Layer 1 nach Layer 2.
- Port down: Kabel/SFP, Gegenstelle, administrativer Status
- Kein Trunk: falscher Mode, DTP/nonegotiate-Mismatch
- VLAN fehlt: VLAN nicht angelegt oder nicht erlaubt auf Trunk
- Native VLAN mismatch: unterschiedliche Native VLAN auf beiden Seiten
- STP/Err-Disable: BPDU Guard/Loop-Mechanismen greifen
show interfaces status
show interfaces gigabitEthernet 1/0/48
show interfaces gigabitEthernet 1/0/48 switchport
show interfaces trunk
show spanning-tree inconsistentports
show interface status err-disabled
show logging | include TRUNK|VLAN|NATIVE|BPDU|ERRDISABLE
Best Practices: Trunks sicher und auditierbar betreiben
Ein sauberer Trunk ist bewusst konfiguriert, minimal geöffnet und klar dokumentiert. Diese Standards reduzieren Risiken und erleichtern Betrieb und Audits.
- Trunk statisch setzen (
switchport mode trunk) - Allowed VLANs begrenzen (
switchport trunk allowed vlan ...) - Native VLAN definieren und konsistent halten
- Description mit Gegenstelle und Port setzen
- Ungenutzte VLANs nicht über Trunks transportieren
- Nach Changes verifizieren und speichern
show interfaces trunk
show running-config interface gigabitEthernet 1/0/48
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
