VLAN Problem? Checkliste für Access- und Trunk-Fehler

VLAN-Probleme wirken in der Praxis oft unspezifisch: „Client bekommt keine IP“, „kommt nicht ins richtige Netz“, „Ping geht nur manchmal“ oder „nur ein Standort ist betroffen“. Häufig liegt die Ursache nicht im VLAN selbst, sondern an einem Access-Port im falschen VLAN, an einem Trunk, der VLANs nicht transportiert (Allowed VLANs), an Native-VLAN-Mismatches oder an STP/Port-Channel-Inkonsistenzen. Diese Checkliste führt dich Schritt für Schritt durch die häufigsten Access- und Trunk-Fehler – mit schnellen Cisco-CLI-Checks, die du in wenigen Minuten abarbeiten kannst.

Startpunkt: Problem eingrenzen, bevor du tiefer gehst

Ein VLAN-Problem ist meist entlang eines Pfads zu finden: Client-Port → Access-Switch → Uplink/Trunk → Distribution/Core → SVI/Gateway/DHCP. Wenn du weißt, wo es „noch funktioniert“, sparst du Zeit.

• Welches VLAN ist betroffen (VLAN-ID/Name)?
• Ist es nur ein Client/Port oder ein ganzer Switch/Standort?
• Geht Layer 1/2 (Link up, MAC gelernt), aber Layer 3 nicht (IP, Gateway)?
• Ist es ein neues VLAN/Change oder „plötzlich“ ohne Change?

Quick-Checks (global)

show interfaces status
show vlan brief
show mac address-table dynamic
show interfaces trunk

Access-Port-Checkliste: Der häufigste Fehler sitzt am Rand

Wenn ein einzelner Client „im falschen Netz“ ist, ist es in der Praxis fast immer ein Access-Port-Thema: falsches VLAN, falscher Switchport-Mode, Voice VLAN/Telefon-Port, Port in Parking-VLAN oder Port Security/802.1X blockiert.

1) Ist der Port wirklich ein Access-Port?

show interfaces gigabitEthernet 1/0/10 switchport
show running-config interface gigabitEthernet 1/0/10

• Switchport Mode: static access erwartet
• Access VLAN stimmt mit Ziel-VLAN überein
• Kein unerwarteter Trunk/DTP

2) Liegt der Port im richtigen VLAN (und ist das VLAN aktiv)?

show vlan id 10
show vlan brief

• VLAN existiert auf dem Switch
• Port ist als Mitglied im VLAN sichtbar
• VLAN ist nicht „suspended“ (selten, aber möglich)

3) Wird die MAC-Adresse am Port gelernt?

show mac address-table interface gigabitEthernet 1/0/10

• Keine MAC: Layer 1/Client/Port down oder falsches Kabel
• Viele MACs: möglicher Rogue-Switch oder falscher Port-Typ

4) Voice VLAN / Multi-Device Sonderfall

Bei Telefon+PC Ports ist oft das Data-VLAN falsch oder das Telefon hängt im falschen Voice VLAN. Prüfe Voice VLAN und LLDP/CDP, falls genutzt.

show interfaces gigabitEthernet 1/0/15 switchport
show cdp neighbors interface gigabitEthernet 1/0/15 detail
show lldp neighbors interface gigabitEthernet 1/0/15 detail

5) Blockiert ein Security-Feature (802.1X/MAB/Port Security)?

show authentication sessions interface gigabitEthernet 1/0/10 details
show port-security interface gigabitEthernet 1/0/10
show interface status err-disabled
show logging | include AUTH|DOT1X|MAB|PORT_SECURITY|ERRDISABLE

Trunk-Checkliste: VLAN transportiert nicht (Allowed VLANs / Native / DTP)

Wenn ein ganzes VLAN „am anderen Switch nicht ankommt“, ist der Trunk der häufigste Schuldige. Besonders häufig: VLAN nicht erlaubt, Native VLAN mismatch, Trunk ist gar kein Trunk oder ein Port-Channel ist inkonsistent.

1) Ist der Link wirklich ein Trunk?

show interfaces trunk
show interfaces gigabitEthernet 1/0/48 switchport

• Port ist im Trunking Mode
• Encapsulation passt (bei modernen Switches meist 802.1Q)
• DTP nonegotiate gesetzt, wenn statisch gewünscht

2) Ist das VLAN auf dem Trunk erlaubt (Allowed VLANs)?

show interfaces trunk
show running-config interface gigabitEthernet 1/0/48

• VLAN-ID ist in „allowed and active“ enthalten
• Whitelist ist nicht zu restriktiv (VLAN vergessen)
• VLAN existiert auf beiden Enden

3) Native VLAN mismatch prüfen

Native VLAN Mismatches erzeugen Warnungen und können zu falscher VLAN-Zuordnung von untagged Frames führen.

show interfaces trunk
show logging | include NATIVE|VLAN|TRUNK

4) Transportiert der Trunk das VLAN wirklich bis zur Gegenstelle?

Ein VLAN kann am lokalen Trunk erlaubt sein, aber upstream auf einem anderen Trunk fehlen. Prüfe den Pfad hop-by-hop.

show interfaces trunk
show vlan id 10

Port-Channel-Checkliste: Wenn der Trunk über EtherChannel läuft

Viele VLAN-Probleme sind in Wahrheit EtherChannel-Inkonsistenzen: Member nicht gebündelt, Allowed VLANs nur auf einem Member, oder der Port-Channel selbst ist nicht korrekt konfiguriert.

1) Ist der Port-Channel wirklich gebündelt?

show etherchannel summary
show lacp neighbor

2) Trunk-Settings am Port-Channel prüfen

show interfaces port-channel 1 switchport
show running-config interface port-channel 1
show interfaces trunk

Typische EtherChannel-Fallen

• Allowed VLANs unterscheiden sich zwischen Membern
• Native VLAN unterschiedlich
• Ein Member ist Access statt Trunk
• LACP passive↔passive oder Protokoll-Mix

STP-Checkliste: VLAN vorhanden, aber Forwarding blockiert

Wenn VLANs korrekt getaggt/transportiert werden, aber Traffic trotzdem nicht ankommt, kann STP einen Pfad blockieren oder Guards können Ports in inconsistent setzen.

STP pro VLAN prüfen

show spanning-tree vlan 10
show spanning-tree root
show spanning-tree inconsistentports

Typische STP-Indikatoren

• Uplink ist Altn/BLK statt Root/Desg
• Viele TCNs deuten auf Flapping/Loops hin
• root-inconsistent/loop-inconsistent zeigt Guard-Ereignisse

Layer-3 Checkliste: VLAN ok, aber kein Routing/DHCP

Wenn VLAN und Trunks stimmen, liegt das Problem oft an SVI/Gateway oder DHCP. Für Layer-2-Switches ist das häufig: Default-Gateway fehlt oder DHCP-Relay sitzt upstream falsch.

SVI/Gateway prüfen (Distribution/L3-Switch)

show ip interface brief
show running-config interface vlan 10
show ip route

DHCP-Sicht (Client-VLAN)

show ip dhcp snooping binding
show logging | include DHCP|SNOOP|Option

Sonderfälle: Sicherheitsfeatures, die VLAN-Verhalten beeinflussen

Bestimmte Security-Mechanismen können dazu führen, dass Clients „kein Netz“ bekommen, obwohl VLAN/Trunk korrekt sind. Prüfe diese Punkte besonders bei neuen Rollouts.

• 802.1X/MAB weist VLAN dynamisch zu (falsche Policy)
• DHCP Snooping blockt DHCP-Antworten (Uplink nicht trusted)
• DAI dropt ARP (fehlende Bindings, statische IPs)
• IP Source Guard dropt IP-Traffic (keine Bindings)

Security-Checks (kompakt)

show authentication sessions interface gigabitEthernet 1/0/10 details
show ip dhcp snooping
show ip dhcp snooping binding
show ip arp inspection vlan 10
show logging | include AUTH|DOT1X|MAB|DHCP|SNOOP|ARP|INSPECTION

Playbook: VLAN-Problem in 10 Minuten systematisch lösen

Arbeite immer vom Edge nach oben und prüfe pro Hop nur die relevanten Punkte. So vermeidest du „Blindflug“ und findest den Bruch im Pfad zuverlässig.

• 1) Port ist up, MAC wird gelernt
• 2) Port ist Access, VLAN stimmt
• 3) VLAN existiert lokal
• 4) Uplink ist Trunk, VLAN ist allowed+active
• 5) Bei Port-Channel: Bundle ok, Trunk am PoX korrekt
• 6) STP pro VLAN: Pfad forwardet, keine inconsistent Ports
• 7) SVI/Gateway erreichbar, DHCP/Relay funktioniert
• 8) Security-Features blocken nichts (802.1X/Snooping/DAI/IPSG)

show interfaces status
show interfaces gigabitEthernet 1/0/10 switchport
show vlan id 10
show mac address-table interface gigabitEthernet 1/0/10
show interfaces trunk
show etherchannel summary
show spanning-tree vlan 10
show ip interface brief

Konfiguration speichern (nach Fix)

copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.