#1. Was ist ein VLAN?

#1.1 Definition

VLAN ist die Abkürzung für:

Virtual Local Area Network
auf Deutsch: virtuelles lokales Netzwerk.

Ein VLAN ist eine logische Aufteilung eines Switch-Netzwerks in mehrere voneinander getrennte Netzwerke, obwohl die Geräte möglicherweise am selben physischen Switch angeschlossen sind.

Ein Switch mit 24 Ports kann beispielsweise logisch wie folgt unterteilt werden:

• VLAN 10 für die Verwaltung.
• VLAN 20 für die Buchhaltung.
• VLAN 30 für die IT-Abteilung.
• VLAN 40 für IP-Telefone.
• VLAN 50 für Gäste.

Jedes VLAN verhält sich so, als wäre es ein eigener Switch und ein eigenes Netzwerk.

#1.2 Zusammenhang zwischen VLAN und Broadcast-Domain

Die grundlegende Regel lautet:

❝

Jedes VLAN bildet eine eigene Broadcast-Domain.

Sendet ein Gerät innerhalb von VLAN 10 einen Broadcast-Frame, leitet der Switch diesen nur an Ports weiter, die zu VLAN 10 gehören. Er wird nicht an VLAN 20 oder VLAN 30 gesendet.

In einem Netzwerk ohne VLAN-Unterteilung befinden sich alle Ports in derselben Broadcast-Domain. Daher erreicht jeder Broadcast, beispielsweise ein ARP-Request, alle Geräte.

Bei der Verwendung von VLANs gilt dagegen:

VLAN 10 = eigene Broadcast-Domain
VLAN 20 = eigene Broadcast-Domain
VLAN 30 = eigene Broadcast-Domain

Befinden sich Geräte im selben VLAN, empfangen sie die für dieses VLAN bestimmten Broadcasts auch dann, wenn sie über mehrere miteinander verbundene Switches verteilt sind.

Ein Broadcast aus VLAN 5 erreicht ausschließlich die Geräte, die ebenfalls VLAN 5 zugeordnet sind.

#1.3 Ist ein VLAN dasselbe wie ein Subnetz?

Aus Sicht des Netzwerkdesigns gilt folgende Regel:

❝

Üblicherweise wird jedem VLAN ein eigenes IP-Subnetz zugewiesen.

Beispiel:

Es wird nicht empfohlen, unterschiedliche VLANs innerhalb desselben IP-Subnetzes zu verwenden. Ein VLAN trennt die Kommunikation auf Layer 2, während ein Subnetz die Kommunikation auf Layer 3 strukturiert.

#1.4 Warum werden VLANs verwendet?

#Verkleinerung der Broadcast-Domain

Anstatt dass ein Broadcast 200 Geräte erreicht, können die Geräte beispielsweise auf vier VLANs verteilt werden. Dann erreicht der Broadcast nur noch die 50 Geräte innerhalb des jeweiligen VLANs.

Dadurch werden reduziert:

• Bandbreitenverbrauch.
• Verarbeitung von Broadcasts auf Endgeräten.
• Prozessorbelastung.
• Netzwerküberlastung.

#Verbesserung der Sicherheit

Sensible Geräte können in einem eigenen VLAN isoliert werden.

Beispiel:

VLAN 10: Mitarbeiter
VLAN 20: Server
VLAN 30: Kameras
VLAN 40: Gäste

Ein Gerät im Gäste-VLAN kann nicht direkt auf das Server-VLAN zugreifen. Der Verkehr zwischen beiden VLANs muss über ein Layer-3-Gerät geleitet werden, auf dem eine ACL oder eine Firewall-Regel angewendet werden kann.

Dabei ist zu beachten:

❝

Ein VLAN ist kein vollständiger Ersatz für eine Firewall.

VLANs ermöglichen eine Trennung auf Layer 2. Eine genaue Kontrolle des Datenverkehrs zwischen Netzen erfordert jedoch Routing sowie ACLs oder eine Firewall.

#Administrative Flexibilität

Mitarbeiter derselben Abteilung können demselben VLAN zugeordnet werden, auch wenn sie sich in unterschiedlichen Etagen oder Gebäuden befinden, solange die Switches über Trunk-Verbindungen miteinander verbunden sind.

#Einfachere Umzüge und Änderungen

Wechselt ein Mitarbeiter die Abteilung, genügt häufig eine Änderung der VLAN-Zuweisung des Switchports. Eine physische Neuverkabelung ist dann nicht erforderlich.

#2. Arbeitsweise eines Switches innerhalb eines VLANs

Ein Switch arbeitet grundsätzlich auf Layer 2 und verwendet MAC-Adressen.

Für jedes VLAN besteht logisch eine eigene MAC-Adresstabelle. In der Ausgabe eines Befehls kann die Tabelle zwar gemeinsam angezeigt werden, jeder Eintrag ist jedoch mit einer VLAN-Nummer verknüpft.

Beispiel:

VLAN 10:
AAAA.AAAA.AAAA → Fa0/1

VLAN 20:
BBBB.BBBB.BBBB → Fa0/2

Theoretisch kann derselbe MAC-Adresswert in unterschiedlichen VLANs vorkommen, weil die VLAN-ID Teil des Switching-Kontexts ist.

#Arten von Frames, die ein Switch verarbeitet

#Known Unicast

Der Switch kennt den Port der Ziel-MAC-Adresse und sendet den Frame nur an diesen Port.

#Unknown Unicast

Der Switch kennt den Port der Ziel-MAC-Adresse nicht. Deshalb führt er ein Flooding innerhalb desselben VLANs durch.

#Broadcast

Der Frame wird an alle Ports desselben VLANs gesendet, mit Ausnahme des Eingangsports.

#Multicast

Die Verarbeitung hängt unter anderem von Funktionen wie IGMP Snooping ab. Der Verkehr bleibt jedoch grundsätzlich auf das betreffende VLAN beschränkt.

#3. Erstellen eines VLANs und Zuweisen eines Ports

Switchports befinden sich standardmäßig in VLAN 1.

Zur Anzeige der VLANs:

Switch# show vlan brief

Der Befehl show vlan brief ist kompakter und übersichtlicher als show vlan.

#VLAN erstellen

Switch(config)# vlan 10
Switch(config-vlan)# name ACCOUNTING
Switch(config-vlan)# exit

Bedeutung der Befehle:

• vlan 10: Erstellt VLAN 10.
• name ACCOUNTING: Vergibt einen beschreibenden Namen.
• Der Name ist optional, seine Verwendung gilt jedoch als Best Practice.

#Port einem Endgerät zuweisen

Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Bedeutung der Befehle:

#switchport mode access

Der Port wird fest als Access-Port konfiguriert und kann nicht dynamisch zu einem Trunk-Port ausgehandelt werden.

#switchport access vlan 10

Untagged-Datenverkehr, der vom Endgerät an diesem Port empfangen wird, wird VLAN 10 zugeordnet.

#Wie behandelt der Switch den Frame?

Wenn ein Computer einen Frame an einen Access-Port sendet:

1. Der Frame kommt normalerweise ohne VLAN-Tag an.
2. Der Switch weiß, dass der Port VLAN 10 zugeordnet ist.
3. Intern behandelt er den Frame als Bestandteil von VLAN 10.
4. Der Frame wird nur innerhalb von VLAN 10 weitergeleitet.

#Überprüfung

Switch# show vlan brief

Erwartete Ausgabe:

10   ACCOUNTING   active   Fa0/1

Für eine detaillierte Portprüfung:

Switch# show interfaces fa0/1 switchport

#4. Access-Port und Trunk-Port

Dieses Thema gehört zu den wichtigsten Grundlagen von VLANs.

#4.1 Access-Port

Ein Access-Port transportiert normalerweise den Datenverkehr eines einzigen Benutzer-VLANs.

Er wird typischerweise verwendet für:

• Computer.
• Drucker.
• Kameras.
• Server, die nur ein VLAN verwenden.
• Access Points in einfachen Designs.

Beispiel:

interface fa0/1
 switchport mode access
 switchport access vlan 10

Das Endgerät weiß normalerweise nicht, dass VLAN 10 existiert. Es sendet und empfängt gewöhnliche Ethernet-Frames ohne VLAN-Tag.

#4.2 Trunk-Port

Ein Trunk-Port transportiert den Datenverkehr mehrerer VLANs über eine einzige physische Verbindung.

Er wird häufig eingesetzt zwischen:

• Switch und Switch.
• Switch und Router bei Router-on-a-Stick.
• Switch und Firewall.
• Switch und Server mit VLAN-Tagging.
• Switch und Access Point mit mehreren SSIDs beziehungsweise VLANs.
• Switch und Hypervisor, beispielsweise VMware ESXi oder Hyper-V.

Beispiel:

interface gi0/1
 switchport mode trunk

Ports zu Endgeräten werden üblicherweise als Access-Ports konfiguriert, während Verbindungen zwischen Switches meist als Trunk-Ports arbeiten.

#Warum wird ein Trunk benötigt?

Angenommen, es gibt zwei Switches und auf jedem befinden sich Geräte in:

VLAN 10
VLAN 20
VLAN 30

Es wäre unpraktisch, drei separate Kabel zwischen den Switches zu verwenden, also eines pro VLAN.

Stattdessen wird eine einzige Trunk-Verbindung verwendet, die alle drei VLANs transportiert. Den Frames wird ein VLAN-Tag hinzugefügt, damit der empfangende Switch erkennt, zu welchem VLAN jeder Frame gehört.

#5. Frame-Tagging

#5.1 Warum wird ein Tag benötigt?

Bei einem Access-Port besteht keine Mehrdeutigkeit, weil alle eingehenden Frames einem fest definierten VLAN zugeordnet werden.

Über eine Trunk-Verbindung können jedoch gleichzeitig Frames aus mehreren VLANs übertragen werden, beispielsweise:

• VLAN 10.
• VLAN 20.
• VLAN 30.

Deshalb muss der Frame eine Information enthalten, die das zugehörige VLAN kennzeichnet.

Dieser Vorgang heißt:

VLAN-Tagging

#5.2 Übertragung eines Frames zwischen zwei Switches

Angenommen, Host A in VLAN 10 ist mit SW1 verbunden und Host B in VLAN 10 mit SW2.

Wenn Host A einen Broadcast sendet:

1. Host A sendet einen ungetaggten Frame an einen Access-Port.
2. SW1 erkennt anhand des Ports, dass der Frame zu VLAN 10 gehört.
3. Beim Senden über den Trunk fügt SW1 ein 802.1Q-Tag mit VLAN-ID 10 hinzu.
4. SW2 empfängt den Frame.
5. SW2 liest die VLAN-ID 10.
6. Der Frame wird nur an Access-Ports von VLAN 10 weitergeleitet.
7. Vor der Weiterleitung an Host B entfernt SW2 das Tag, weil ein gewöhnlicher Computer normalerweise keine getaggten Frames erwartet.

Auf diese Weise bleibt die VLAN-Zuordnung über die gesamte Trunk-Verbindung erhalten.

#6. IEEE 802.1Q

802.1Q ist der wichtigste und am weitesten verbreitete Standard für VLAN-Tagging.

Da es sich um einen offenen Standard handelt, kann er zwischen Geräten verschiedener Hersteller verwendet werden, beispielsweise:

• Cisco.
• Juniper.
• Aruba.
• HPE.
• Huawei.
• MikroTik.

#6.1 Position des Tags im Ethernet-Frame

Ursprünglicher Frame:

Destination MAC
Source MAC
EtherType/Length
Data
FCS

Frame mit 802.1Q-Tag:

Destination MAC
Source MAC
802.1Q Tag
EtherType/Length
Data
FCS

Die Größe des Tags beträgt:

4 Bytes = 32 Bits

Das Tag wird zwischen der Source-MAC-Adresse und dem Feld EtherType/Length eingefügt.

#6.2 Bestandteile des 802.1Q-Tags

Das Tag besteht aus zwei Hauptteilen:

#TPID — Tag Protocol Identifier

Größe:

16 Bits

Typischer Wert:

0x8100

Dieser Wert zeigt an, dass der Frame ein 802.1Q-Tag enthält.

#TCI — Tag Control Information

Größe:

16 Bits

Es enthält folgende Felder:

#PCP — Priority Code Point

Größe: 3 Bits.

Dieses Feld definiert die Layer-2-Priorität nach IEEE 802.1p.

Mögliche Werte:

0 bis 7

Sprachverkehr kann beispielsweise eine höhere Priorität als gewöhnlicher Datenverkehr erhalten.

#DEI — Drop Eligible Indicator

Größe: 1 Bit.

Dieses Feld zeigt an, ob ein Frame bei Überlastung bevorzugt verworfen werden darf.

#VID — VLAN Identifier

Größe: 12 Bits.

Theoretisch sind damit möglich:

2^12 = 4096

also Werte von 0 bis 4095.

Tatsächlich verwendbare VLAN-IDs liegen normalerweise im Bereich:

1 bis 4094

Die Werte 0 und 4095 sind reserviert.

#6.3 Neuberechnung der FCS

Da sich der Inhalt des Frames durch das Einfügen des Tags ändert, muss die Frame Check Sequence, kurz FCS, neu berechnet werden.

Dadurch kann der Empfänger die Integrität des veränderten Ethernet-Frames korrekt prüfen.

#7. Native VLAN

Bei einem 802.1Q-Trunk existiert ein sogenanntes:

Native VLAN

Der Datenverkehr des Native VLANs wird auf dem Trunk standardmäßig ungetaggt übertragen.

Bei Cisco-Geräten ist VLAN 1 standardmäßig das Native VLAN.

Es kann geändert werden:

interface gi0/1
 switchport mode trunk
 switchport trunk native vlan 999

Das Native VLAN muss auf beiden Seiten der Trunk-Verbindung identisch sein.

Fehlerhaftes Beispiel:

SW1 Native VLAN = 999
SW2 Native VLAN = 1

Dies wird als:

Native VLAN Mismatch

bezeichnet.

Mögliche Folgen:

• Frames werden dem falschen VLAN zugeordnet.
• CDP erzeugt Warnmeldungen.
• Sicherheits- oder Betriebsprobleme entstehen.
• STP kann sich unerwartet verhalten.

Als Best Practice wird häufig ein ungenutztes VLAN als Native VLAN verwendet. VLAN 1 sollte nicht für regulären Benutzerverkehr eingesetzt werden.

#8. ISL-Protokoll

ISL steht für:

ISL steht für:

Inter-Switch Link

Es handelt sich um ein älteres proprietäres Cisco-Protokoll.

Der wesentliche Unterschied lautet:

• 802.1Q fügt ein Tag in einen bestehenden Ethernet-Frame ein.
• ISL kapselt den vollständigen ursprünglichen Frame in einen neuen Header und Trailer ein.

ISL verursacht einen größeren Overhead, ist veraltet und wird von den meisten modernen Switches nicht mehr unterstützt.

Für Studium und Praxis gilt:

❝

802.1Q ist der heute verwendete Standard. ISL besitzt hauptsächlich historische und didaktische Bedeutung.

#9. Konfiguration eines Trunks

Auf SW1:

SW1(config)# interface gi0/1
SW1(config-if)# switchport mode trunk

Auf SW2:

SW2(config)# interface gi0/1
SW2(config-if)# switchport mode trunk

Zur Überprüfung:

show interfaces trunk

Der Befehl zeigt unter anderem:

• Ports im Trunk-Modus.
• Verwendete Kapselung.
• Native VLAN.
• Erlaubte VLANs.
• Vorhandene und aktive VLANs.
• VLANs im STP-Forwarding-Zustand.

Zusätzlich kann verwendet werden:

show interfaces gi0/1 switchport

#Administrativer und operativer Portzustand

Bei der Diagnose eines Trunk-Ports können unter anderem folgende Zustände angezeigt werden:

Administrative Mode: dynamic auto
Operational Mode: down

Zuvor wurde jedoch switchport mode trunk konfiguriert.

Das ist nicht konsistent. Wenn der Befehl tatsächlich am richtigen Port ausgeführt wurde, sollte Folgendes erscheinen:

Administrative Mode: trunk

Operational Mode: down bedeutet, dass die Verbindung zu diesem Zeitpunkt nicht aktiv ist. Mögliche Ursachen:

• Das Kabel ist nicht angeschlossen.
• Der gegenüberliegende Port ist administrativ deaktiviert.
• Es besteht ein Layer-1-Problem.
• Der Gegenport ist nicht verfügbar.

#10. Allowed VLANs auf einem Trunk

Standardmäßig erlaubt ein Trunk auf vielen Cisco-Geräten den Verkehr aller VLANs.

Aus Sicherheits- und Betriebsgründen sollte der Trunk jedoch möglichst nur die tatsächlich benötigten VLANs transportieren.

Beispiel:

interface gi0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

Damit transportiert die Verbindung nur:

VLAN 10
VLAN 20
VLAN 30

#VLAN zur vorhandenen Liste hinzufügen

switchport trunk allowed vlan add 40

Danach lautet die Liste:

10,20,30,40

#VLAN aus der Liste entfernen

switchport trunk allowed vlan remove 20

#Alle VLANs erlauben

switchport trunk allowed vlan all

#Sehr häufiger Fehler

Der Befehl:

switchport trunk allowed vlan 40

fügt VLAN 40 nicht zur bestehenden Liste hinzu. Stattdessen wird die gesamte Liste ersetzt, sodass nur noch VLAN 40 erlaubt ist.

Zum Hinzufügen muss verwendet werden:

switchport trunk allowed vlan add 40

#Müssen die Listen auf beiden Seiten identisch sein?

In der Praxis sollten alle benötigten VLANs auf beiden Seiten des Trunks erlaubt sein.

Ist VLAN 20 auf SW1 erlaubt, aber auf SW2 nicht, funktioniert die Kommunikation über diese Verbindung nicht korrekt.

#11. Voice VLAN

Ein Voice VLAN trennt den Sprachverkehr eines IP-Telefons logisch vom Datenverkehr des angeschlossenen Computers.

Ein IP-Telefon besitzt häufig zwei Ports:

• Einen Port zum Switch.
• Einen Port zum Computer.

Dadurch können Telefon und Computer dieselbe physische Verbindung zum Switch verwenden.

Beispiel:

vlan 10
 name DATA

vlan 20
 name VOICE

interface fa0/1
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20

#Wie funktioniert der Port?

• Der Datenverkehr des Computers wird VLAN 10 zugeordnet und normalerweise ungetaggt übertragen.
• Das Telefon sendet den Sprachverkehr getaggt in VLAN 20.

Obwohl der Port als Access-Port angezeigt wird, verarbeitet er gleichzeitig das Daten-VLAN und ein spezielles Voice VLAN.

#Wie erfährt das Telefon die Voice-VLAN-ID?

Übliche Möglichkeiten sind:

• CDP in Cisco-Umgebungen.
• LLDP-MED als herstellerübergreifender Standard.
• Manuelle Konfiguration am Telefon.
• Teilweise DHCP-Optionen, abhängig vom Telefontyp.

#Warum werden Sprache und Daten getrennt?

• Anwendung von QoS.
• Höhere Sicherheit.
• Strukturierte IP-Adressierung.
• Spezifische DHCP-Optionen für Telefone.
• Einfachere Verwaltung eines Call Managers.
• Trennung von Problemen im Daten- und Sprachnetz.

#12. DTP — Dynamic Trunking Protocol

DTP ist ein proprietäres Cisco-Protokoll zur automatischen Aushandlung einer Trunk-Verbindung.

#Portmodi

#Access

switchport mode access

Der Port bleibt ein Access-Port.

#Trunk

switchport mode trunk

Der Port wird fest als Trunk konfiguriert.

#Dynamic Auto

switchport mode dynamic auto

Der Port wartet passiv auf die Initiative der Gegenseite und startet die Aushandlung nicht aktiv.

#Dynamic Desirable

switchport mode dynamic desirable

Der Port versucht aktiv, eine Trunk-Verbindung aufzubauen.

#Wichtige Kombinationen

#DTP deaktivieren

switchport nonegotiate

In professionellen Designs wird eine explizite Konfiguration bevorzugt:

interface gi0/1
 switchport mode trunk
 switchport nonegotiate

Auf Benutzerports:

interface fa0/1
 switchport mode access

Dadurch wird das Risiko reduziert, dass ein nicht autorisiertes Gerät versucht, eine Trunk-Verbindung auszuhandeln.

#13. VTP — VLAN Trunking Protocol

VTP unterscheidet sich vollständig von DTP.

• DTP handelt aus, ob eine Verbindung als Trunk oder Access arbeitet.
• VTP verteilt Informationen aus der VLAN-Datenbank zwischen Cisco-Switches.

VTP transportiert keine Nutzdaten, sondern kündigt Informationen an wie:

• VLAN-ID.
• VLAN-Name.
• Hinzufügen eines VLANs.
• Löschen eines VLANs.

VTP überträgt nicht die Information, dass beispielsweise Fa0/1 VLAN 10 zugeordnet ist. Portzuweisungen bleiben lokale Switch-Konfigurationen.

#VTP-Domain

Damit Switches VTP-Informationen austauschen können, müssen mehrere Parameter übereinstimmen:

• Domain-Name.
• Passwort, falls verwendet.
• VTP-Version.
• Vorhandene Trunk-Verbindung.
• Passender VTP-Modus.

#VTP-Modi

#Server

Ein VTP-Server kann:

• VLANs erstellen.
• VLANs löschen.
• VLANs ändern.
• Änderungen an andere Switches verteilen.

#Client

In klassischen VTP-Versionen kann ein Client VLANs normalerweise nicht lokal erstellen oder löschen. Er empfängt die VLAN-Datenbank von einem Server.

#Transparent

Ein Switch im Transparent-Modus verwaltet seine VLANs lokal und übernimmt empfangene VTP-Ankündigungen nicht in seine lokale VLAN-Datenbank.

Abhängig von Version und Plattform kann er VTP-Ankündigungen jedoch weiterleiten.

#Off

Dieser Modus deaktiviert VTP und steht im Zusammenhang mit VTP Version 3.

#Configuration Revision Number

Dies ist einer der gefährlichsten Aspekte von VTP.

Jede Änderung an der VLAN-Datenbank eines VTP-Servers erhöht die Revision Number.

Empfängt ein Switch eine VTP-Ankündigung mit einer höheren Revision Number, kann er die darin enthaltene VLAN-Datenbank als aktueller betrachten und übernehmen.

Ein alter Switch mit folgenden Eigenschaften kann deshalb erhebliche Schäden verursachen:

• Passender Domain-Name.
• Hohe Revision Number.
• Unvollständige oder abweichende VLAN-Datenbank.

Das kann zum Löschen oder Verändern von VLANs im gesamten Netzwerk führen.

Vor dem Einbinden eines Switches in eine VTP-Umgebung sollte deshalb:

• show vtp status geprüft werden.
• Die VTP-Revision sicher zurückgesetzt werden.
• Transparent oder Off verwendet werden, wenn VTP nicht benötigt wird.
• Bei Bedarf VTPv3 mit einem sorgfältig verwalteten Primary Server eingesetzt werden.

#Beispielbefehle

Auf einem Server:

vtp domain COMPANY
vtp mode server
vtp password SecretPassword
vtp version 2

Auf einem Client:

vtp domain COMPANY
vtp mode client
vtp password SecretPassword
vtp version 2

Zur Überprüfung:

show vtp status

#Plattform- und Versionsunterschiede

Das konkrete Standardverhalten und der Funktionsumfang von VTP können je nach Cisco-Plattform sowie IOS- oder IOS-XE-Version abweichen.

Das Standardverhalten und die tatsächliche Unterstützung von VTP unterscheiden sich je nach Plattform, IOS- beziehungsweise IOS-XE-Version. Daher sollte nicht angenommen werden, dass jedes moderne Gerät standardmäßig als VTP-Server arbeitet. Die konkrete Konfiguration muss immer geprüft werden.

#14. Warum können unterschiedliche VLANs nicht direkt miteinander kommunizieren?

Ein Layer-2-Switch leitet keinen Frame von einem VLAN in ein anderes VLAN weiter.

Beispiel:

PC-A:
IP: 192.168.10.10/24
VLAN 10

PC-B:
IP: 192.168.20.10/24
VLAN 20

Wenn PC-A mit PC-B kommunizieren möchte:

1. PC-A vergleicht die Zieladresse mit seiner Subnetzmaske.
2. Er erkennt, dass 192.168.20.10 außerhalb seines eigenen Netzes liegt.
3. Er sendet das Paket an das Default Gateway.
4. Ein Layer-3-Gerät empfängt das Paket.
5. Das Gerät durchsucht seine Routing-Tabelle.
6. Es leitet das Paket zum Netz von VLAN 20 weiter.
7. Das Paket wird an PC-B gesendet.

Daher wird eines der folgenden Geräte benötigt:

• Router.
• Layer-3-Switch.
• Firewall mit Routing-Unterstützung zwischen VLANs.

#15. Methoden des Inter-VLAN-Routings

Für das Inter-VLAN-Routing stehen drei grundlegende Methoden zur Verfügung.

#Methode 1: Ein Router-Port pro VLAN

Beispiel:

Router Gi0/0 → VLAN 10
Router Gi0/1 → VLAN 20
Router Gi0/2 → VLAN 30

Jede Verbindung zwischen Switch und Router ist als Access-Port in einem anderen VLAN konfiguriert.

Diese Methode funktioniert, ist aber schlecht skalierbar, weil für jedes VLAN ein eigener physischer Router-Port benötigt wird.

#Methode 2: Router-on-a-Stick

Es wird ein einziger physischer Router-Port verwendet, der in mehrere Subinterfaces aufgeteilt wird.

Die Verbindung zwischen Switch und Router arbeitet als Trunk.

#Methode 3: Layer-3-Switch

Für jedes VLAN wird ein SVI erstellt. Der Switch führt das Routing intern durch.

Diese Methode bietet normalerweise eine höhere Leistung und eignet sich besser für Unternehmensnetzwerke.

#16. Router-on-a-Stick

#16.1 Grundidee

Angenommen, folgende VLANs existieren:

VLAN 10 → 192.168.10.0/24
VLAN 20 → 192.168.20.0/24
VLAN 30 → 192.168.30.0/24

Auf dem Router werden folgende Subinterfaces erstellt:

Gi0/0.10
Gi0/0.20
Gi0/0.30

Jedes Subinterface ist das Default Gateway für ein bestimmtes VLAN.

#16.2 Konfiguration des Switches

vlan 10
vlan 20
vlan 30

interface fa0/2
 switchport mode access
 switchport access vlan 10

interface fa0/3
 switchport mode access
 switchport access vlan 20

interface fa0/4
 switchport mode access
 switchport access vlan 30

interface gi0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30

#16.3 Konfiguration des Routers

interface gi0/0
 no shutdown

interface gi0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface gi0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

interface gi0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0

Wichtig:

• Die Zahl nach dem Punkt legt die VLAN-ID nicht automatisch fest.
• Theoretisch könnte Gi0/0.100 mit VLAN 10 verbunden werden.
• Als Best Practice sollte die Nummer des Subinterfaces jedoch der VLAN-ID entsprechen:

Gi0/0.10 → VLAN 10
Gi0/0.20 → VLAN 20

Die tatsächliche Zuordnung erfolgt durch:

encapsulation dot1Q 10

#16.4 Default Gateway auf den Endgeräten

Gerät in VLAN 10:

IP: 192.168.10.10
Maske: 255.255.255.0
Gateway: 192.168.10.1

Gerät in VLAN 20:

IP: 192.168.20.10
Maske: 255.255.255.0
Gateway: 192.168.20.1

#16.5 Ablauf eines Pakets von VLAN 10 zu VLAN 20

1. PC-A sendet den Frame an die MAC-Adresse des Default Gateways.
2. Der Frame erreicht den Switch über einen Access-Port in VLAN 10.
3. Der Switch sendet den Frame über den Trunk mit VLAN-Tag 10.
4. Das Subinterface Gi0/0.10 empfängt den Frame.
5. Der Router entfernt den Ethernet-Header und liest das IP-Paket.
6. Er erkennt, dass das Netz 192.168.20.0/24 direkt über Gi0/0.20 erreichbar ist.
7. Der Router erstellt einen neuen Ethernet-Frame.
8. Er sendet ihn über Gi0/0.20 mit VLAN-Tag 20.
9. Der Switch liest das Tag.
10. Der Frame wird ungetaggt an den Access-Port von PC-B in VLAN 20 gesendet.

#16.6 Nachteile von Router-on-a-Stick

• Der einzelne physische Port kann zu einem Engpass werden.
• Ein Ausfall der Verbindung unterbricht die Kommunikation zwischen allen VLANs.
• Die Leistung ist in großen Netzen geringer als bei Layer-3-Switching.
• Die Lösung ist von einem externen Router abhängig.

Router-on-a-Stick eignet sich vor allem für Labore und kleinere Netzwerke.

#17. Inter-VLAN-Routing auf einem Layer-3-Switch

#17.1 Was ist ein SVI?

SVI steht für:

Switched Virtual Interface

Es ist ein logisches Interface, das ein VLAN auf dem Switch repräsentiert.

Beispiel:

interface vlan 10
 ip address 192.168.10.1 255.255.255.0

Diese IP-Adresse wird zum Default Gateway für die Geräte in VLAN 10.

#17.2 Konfiguration

ip routing

vlan 10
 name USERS

vlan 20
 name SERVERS

vlan 30
 name VOICE

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
 no shutdown

interface vlan 20
 ip address 192.168.20.1 255.255.255.0
 no shutdown

interface vlan 30
 ip address 192.168.30.1 255.255.255.0
 no shutdown

Der Befehl:

ip routing

aktiviert das Routing auf dem Multilayer-Switch.

Ohne diesen Befehl können Management-IP-Adressen funktionieren, der Switch routet jedoch nicht wie gewünscht zwischen den Netzen.

#17.3 Wann befindet sich ein SVI im Zustand Up/Up?

no shutdown allein genügt normalerweise nicht.

Ein SVI benötigt in der Regel:

• Ein vorhandenes VLAN.
• Mindestens einen aktiven Port in diesem VLAN im Zustand Up und Forwarding.
• Alternativ einen aktiven Trunk, der dieses VLAN transportiert.
• Einen administrativ aktivierten SVI.

Wird Folgendes angezeigt:

Vlan10   192.168.10.1   up   down

liegt das Problem häufig nicht an der IP-Adresse, sondern an Layer 2 oder daran, dass kein aktiver Port in diesem VLAN vorhanden ist.

#17.4 Routed Port

Ein Switchport kann von Layer 2 zu Layer 3 umgewandelt werden:

interface gi0/1
 no switchport
 ip address 10.1.1.1 255.255.255.252
 no shutdown

Der Befehl:

no switchport

entfernt die Layer-2-Switchport-Funktion. Der Port arbeitet danach als Routed Port ähnlich einem Router-Interface.

#17.5 Default Route

ip route 0.0.0.0 0.0.0.0 10.1.1.2

Bedeutung:

❝

Sende jedes Zielnetz, das nicht in der Routing-Tabelle vorhanden ist, an 10.1.1.2.

#17.6 Überprüfung

show ip interface brief
show ip route
show vlan brief
show interfaces trunk

In der Routing-Tabelle sollten Einträge wie folgende erscheinen:

C 192.168.10.0/24 is directly connected, Vlan10
C 192.168.20.0/24 is directly connected, Vlan20
C 192.168.30.0/24 is directly connected, Vlan30

Der Buchstabe C bedeutet:

Connected Route

In neueren Versionen kann zusätzlich der Buchstabe L für die IP-Adresse des Interfaces selbst erscheinen:

L 192.168.10.1/32 is directly connected, Vlan10

#18. Systematische Troubleshooting-Schritte

Wenn die Kommunikation zwischen zwei Geräten im selben VLAN nicht funktioniert:

#Layer 1 prüfen

show interfaces status
show ip interface brief

Fragen:

• Ist der Port verbunden?
• Ist der Port administrativ deaktiviert?

#VLAN prüfen

show vlan brief

Fragen:

• Existiert das VLAN?
• Befindet sich der Port im richtigen VLAN?

#Portkonfiguration prüfen

show interfaces fa0/1 switchport

Fragen:

• Ist der Port ein Access-Port?
• Welches Access VLAN ist konfiguriert?

#MAC-Adresstabelle prüfen

show mac address-table
show mac address-table vlan 10

Frage:

• Hat der Switch die MAC-Adresse des Geräts gelernt?

#Wenn die Geräte an unterschiedlichen Switches angeschlossen sind

show interfaces trunk

Zu prüfen sind:

• Arbeitet die Verbindung als Trunk?
• Ist das VLAN erlaubt?
• Ist das VLAN aktiv?
• Stimmt das Native VLAN auf beiden Seiten überein?
• Blockiert STP den benötigten Pfad?

Wenn die Kommunikation zwischen unterschiedlichen VLANs nicht funktioniert:

#IP-Konfiguration der Geräte prüfen

• IP-Adresse.
• Subnetzmaske.
• Default Gateway.

#VLAN-Gateways prüfen

Auf einem Layer-3-Switch:

show ip interface brief

Frage:

• Befindet sich das SVI im Zustand up/up?

Auf einem Router:

show ip interface brief
show running-config interface gi0/0.10

#Routing prüfen

show ip route

Die VLAN-Netze müssen in der Routing-Tabelle vorhanden sein.

#Trunk bei Router-on-a-Stick prüfen

show interfaces trunk

#ACLs prüfen

show access-lists
show running-config | include access-group

Das Routing kann korrekt funktionieren, während eine ACL die Kommunikation blockiert.

#19. Konzeptionelle Zusammenfassung

Diese Kette sollte nicht nur auswendig gelernt, sondern verstanden werden:

VLAN
↓
Aufteilung von Layer 2 in Broadcast-Domains
↓
Access-Port
Verbindet ein Endgerät normalerweise mit einem VLAN
↓
Trunk-Port
Transportiert mehrere VLANs
↓
802.1Q
Fügt dem Ethernet-Frame eine VLAN-Kennzeichnung hinzu
↓
Jedes VLAN benötigt normalerweise ein eigenes IP-Subnetz
↓
Kommunikation zwischen VLANs benötigt Layer 3
↓
Router-on-a-Stick, Layer-3-Switch oder Firewall

Die wichtigsten Unterschiede:

Die dargestellten Konzepte bilden eine Grundlage für die Planung, Konfiguration und systematische Fehlersuche in VLAN-basierten Netzwerken.