March 3, 2026

VLAN Grundlagen auf Cisco Switches: Einfach erklärt mit Praxisbeispiel

VLANs (Virtual LANs) gehören zu den wichtigsten Grundlagen in Switch-Netzen: Sie trennen ein physisches Netzwerk logisch in mehrere Broadcast-Domänen. Das verbessert Sicherheit, Performance und Übersichtlichkeit – besonders in Büros, Campus-Netzen und Labs. Dieses Tutorial erklärt VLANs auf Cisco Switches einfach und zeigt ein praxisnahes Beispiel mit Access-Ports, Trunk und Management-VLAN.

Was ist ein VLAN? Verständlich und technisch korrekt

Ein VLAN ist eine logische Segmentierung auf Layer 2. Geräte in unterschiedlichen VLANs sind so voneinander getrennt, als wären sie an unterschiedliche Switches angeschlossen – selbst wenn sie physisch am gleichen Switch hängen.

  • Ein VLAN = eine eigene Broadcast-Domäne
  • Trennung von Abteilungen, Services oder Sicherheitszonen
  • Kommunikation zwischen VLANs erfordert Routing (Layer 3)

Warum VLANs in der Praxis genutzt werden

VLANs reduzieren unnötigen Broadcast-Traffic und ermöglichen klare Sicherheits- und Betriebsgrenzen. Typische VLANs sind Clients, Server, VoIP und Management.

  • Mehr Sicherheit durch Segmentierung
  • Bessere Fehlersuche (klar definierte Domänen)
  • Skalierbarkeit ohne zusätzliche Hardware

VLAN-Typen auf Cisco Switches: Access vs. Trunk

Die wichtigsten VLAN-Konzepte im Alltag sind Access-Ports (ein VLAN) und Trunks (mehrere VLANs über einen Link). Diese Unterscheidung ist entscheidend für jede VLAN-Konfiguration.

Access-Port: Ein VLAN pro Port

Ein Access-Port transportiert untagged Traffic und gehört genau einem VLAN. Er ist für Endgeräte wie PCs, Drucker oder Access Points (je nach Design) üblich.

interface gigabitEthernet 1/0/10
 switchport mode access
 switchport access vlan 10

Trunk-Port: Mehrere VLANs über einen Link

Ein Trunk transportiert mehrere VLANs zwischen Switches oder zu einem Router/L3-Switch. VLANs werden dabei per 802.1Q getaggt (außer ggf. Native VLAN).

interface gigabitEthernet 1/0/48
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99

Praxisbeispiel: VLANs für Clients, Gäste und Management

In diesem Beispiel konfigurieren wir drei VLANs: Clients (VLAN 10), Gäste (VLAN 20) und Management (VLAN 99). Außerdem setzen wir Access-Ports, einen Trunk-Uplink und eine Management-IP auf einem SVI.

  • VLAN 10: CLIENTS (z. B. Büro-PCs)
  • VLAN 20: GUEST (z. B. Gäste-WLAN)
  • VLAN 99: MGMT (Switch-Management)

VLANs erstellen und benennen

enable
configure terminal

vlan 10

name CLIENTS

exit


vlan 20

name GUEST

exit


vlan 99

name MGMT

exit

end

Access-Ports VLANs zuweisen

Wir weisen Ports 1–12 dem Client-VLAN zu und Ports 13–16 dem Gäste-VLAN. Zusätzlich aktivieren wir PortFast und BPDU Guard auf Endgeräte-Ports.

configure terminal
interface range gigabitEthernet 1/0/1 - 12
 description CLIENTS
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 spanning-tree bpduguard enable
exit

interface range gigabitEthernet 1/0/13 - 16
 description GUEST
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 spanning-tree bpduguard enable
exit
end

Trunk zum nächsten Switch (Uplink) konfigurieren

Auf dem Uplink erlauben wir explizit nur die VLANs 10, 20 und 99. Das reduziert Fehlkonfigurationen und hält den Trunk sauber.

configure terminal
interface gigabitEthernet 1/0/48
 description UPLINK-TRUNK
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99
end

Management-VLAN: Switch per IP verwalten

Damit du den Switch remote (z. B. per SSH) verwalten kannst, erhält das Management-VLAN ein SVI mit IP-Adresse. Bei Layer-2-Switches brauchst du zusätzlich ein Default-Gateway.

SVI für VLAN 99 konfigurieren

configure terminal
interface vlan 99
 ip address 192.168.99.10 255.255.255.0
 no shutdown
exit

ip default-gateway 192.168.99.1

end

Wichtig: SVI wird nur up, wenn VLAN aktiv ist

Wenn kein Port im VLAN 99 aktiv ist, bleibt interface vlan 99 down. Weise mindestens einen Port ins Management-VLAN zu (z. B. Admin-Port).

configure terminal
interface gigabitEthernet 1/0/24
 description MGMT-ACCESS
 switchport mode access
 switchport access vlan 99
 spanning-tree portfast
end

VLAN-Konfiguration prüfen: Die wichtigsten Show-Befehle

Nach jeder VLAN-Änderung solltest du prüfen, ob VLANs existieren, Ports korrekt zugewiesen sind und Trunks die VLANs transportieren.

show vlan brief
show interfaces status
show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport
show ip interface brief

Typische VLAN-Fehler schnell erkennen

  • Port im falschen VLAN: show vlan brief und show interfaces status
  • VLAN nicht erlaubt auf Trunk: show interfaces trunk
  • SVI down: kein aktiver Port im VLAN oder VLAN existiert nicht
  • Native VLAN mismatch: Logs prüfen und Trunk-Einstellungen vergleichen
show logging | include VLAN|NATIVE|TRUNK|SPANNING

Inter-VLAN-Kommunikation: Warum Routing nötig ist

Geräte in VLAN 10 und VLAN 20 können nicht direkt miteinander kommunizieren, da VLANs Layer-2-Domänen trennen. Für Kommunikation zwischen VLANs brauchst du ein Layer-3-Device (Router oder L3-Switch).

Einfaches Konzept: Default Gateway pro VLAN

Jedes VLAN benötigt ein Gateway im jeweiligen Subnetz. Beispiel: VLAN 10 nutzt 192.168.10.1/24, VLAN 20 nutzt 192.168.20.1/24.

VLAN 10: 192.168.10.0/24 Gateway: 192.168.10.1
VLAN 20: 192.168.20.0/24 Gateway: 192.168.20.1

Best Practices für VLANs auf Cisco Switches

Mit wenigen Standards vermeidest du die häufigsten VLAN-Probleme und erhöhst Sicherheit sowie Betriebssicherheit deutlich.

  • VLANs sauber benennen (Clients, Voice, Guest, Mgmt)
  • Trunks mit allowed vlan begrenzen
  • Dediziertes Management-VLAN statt VLAN 1 verwenden
  • PortFast und BPDU Guard auf Endgeräte-Ports aktivieren
  • Native VLAN bewusst wählen und dokumentieren
  • Änderungen speichern und Backups versionieren
copy running-config startup-config
show running-config | include vlan|switchport trunk allowed|interface vlan

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer