VLAN-Trunks sind ein zentrales Element in modernen Provider- und Enterprise-Netzen, da sie mehrere VLANs über einen einzigen physikalischen Link transportieren. Ein sauberes Design von Allowed VLANs, Native VLAN und strikte Hygiene-Regeln verhindert Sicherheitsprobleme, VLAN-Sprawl und unerwartete Broadcast-Domänen. In diesem Artikel erfahren Einsteiger, IT-Studierende und Junior Network Engineers praxisnah, wie Trunk-Links optimal konfiguriert und verwaltet werden.

Grundlagen von VLAN-Trunks

Ein VLAN-Trunk transportiert Traffic von mehreren VLANs zwischen Switches oder Routern. Jedes VLAN wird dabei durch ein Tag im Ethernet-Frame identifiziert, typischerweise nach IEEE 802.1Q.

• Trunk-Links verbinden Switches, Aggregation- und Core-Layer
• Unterstützen mehrere VLANs gleichzeitig
• Ermöglichen zentrale Segmentierung und Traffic-Isolation
• Native VLAN transportiert ungetaggten Traffic

Allowed VLANs konfigurieren

Allowed VLANs definieren, welche VLANs über einen Trunk transportiert werden. Dies reduziert Broadcast-Domänen und minimiert Sicherheitsrisiken.

• Standardmäßig werden alle VLANs übertragen, was vermieden werden sollte
• Nur benötigte VLANs auf Trunk zulassen
• Erleichtert Fehlersuche und Dokumentation
• Unterstützt VLAN-Hierarchie und Segmentierung

CLI-Beispiel für Allowed VLANs

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,40

Native VLAN richtig einsetzen

Das Native VLAN transportiert ungetaggten Traffic auf einem Trunk. Falsch konfigurierte Native VLANs können Sicherheitsprobleme verursachen.

• Native VLAN sollte nicht für Kunden- oder kritische VLANs verwendet werden
• Separate VLAN-ID (z. B. 999) für Management oder ungetaggten Traffic
• Matching Native VLAN auf beiden Enden des Trunks notwendig

CLI-Beispiel für Native VLAN

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk native vlan 999
 switchport trunk allowed vlan 10,20,30,40,999

Hygiene-Regeln für Trunks

Saubere Trunk-Designs verhindern VLAN-Sprawl, Broadcast-Stürme und Sicherheitslücken.

• Nur benötigte VLANs auf Trunks zulassen
• Native VLAN konsistent und isoliert konfigurieren
• Kein unbeabsichtigtes VLAN-Tagging oder doppelte VLANs
• Dokumentation und IPAM-Unterstützung für VLAN-Zuweisungen
• Regelmäßige Auditierung der Trunk-Ports
• Verwendung von VLAN-ACLs zur zusätzlichen Sicherheit

Segmentierung und Skalierbarkeit

Trunk-Designs sollten so geplant sein, dass zukünftige Erweiterungen möglich sind, ohne bestehende VLANs zu stören.

• Hierarchische VLAN-Zuweisung: Core → Aggregation → Access
• Reservierung von VLAN-IDs für zukünftige Services oder Kunden
• Trunks pro Standort oder POP getrennt verwalten
• Integration von VRFs für Multi-Tenant-Umgebungen

Beispiel Trunk-Hierarchie

# Core-Switch
interface TenGigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10-50
 switchport trunk native vlan 999
Aggregation-Switch
interface GigabitEthernet0/24

switchport mode trunk

switchport trunk allowed vlan 10,20,30

switchport trunk native vlan 999

Monitoring und Betrieb

Regelmäßiges Monitoring von Trunks stellt sicher, dass VLANs korrekt transportiert werden und keine Sicherheitsprobleme auftreten:

• Überwachung von Trunk-Port-Status und VLAN-Zuordnung
• Prüfung auf ungetaggten Traffic im Native VLAN
• Logs und Alerts bei Broadcast-Stürmen oder VLAN-Konflikten
• Integration in Netzwerk-Management-Systeme

Praxisbeispiel für saubere Trunk-Konfiguration

• Native VLAN: 999 (Management)
• Allowed VLANs: 10,20,30,40 (Kunden, Services)
• Core-Trunk: VLANs 10–50, Native VLAN 999
• Aggregation-Trunk: VLANs 10,20,30, Native VLAN 999
• Dokumentation der VLAN-Zuordnung pro Standort/POP
• IPAM-System zur Pflege der VLAN-IDs und Trunk-Ports

Skalierung und Governance

Saubere Trunk-Designs ermöglichen skalierbare Netzwerke und einfache Integration neuer VLANs, Kunden oder POPs:

• VLAN-Hierarchie konsequent einhalten
• Neue VLANs nur nach Dokumentation und Freigabe hinzufügen
• Trunk-Pools pro Standort oder Core-Segment reservieren
• Audit und IPAM-Integration für Compliance
• Redundanz und Failover über separate Trunks planen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.