04-08-2025, 12:13
Lass mich dir das Schritt für Schritt erklären, als würden wir zusammen über einem Kaffee troubleshooten. Zuerst konfigurierst du die Switch-Ports im Trunk-Modus, damit er mehrere VLANs über eine einzige Leitung zum Router tragen kann. Ich nutze dafür 802.1Q-Tagging - das ist der Standardweg. Der Switch klebt eine VLAN-ID-Tag an jeden Ethernet-Frame, bevor er ihn über den Trunk-Port rausschickt. Dieser Tag sagt dem Router genau, zu welchem VLAN der Frame gehört. Ohne das wäre der Router ratlos, wie er den Traffic trennen soll.
Auf der Router-Seite richte ich Subinterfaces für jedes VLAN ein. Zum Beispiel, wenn du VLAN 10 für den Vertrieb und VLAN 20 für die Ingenieure hast, erstelle ich etwas wie GigabitEthernet0/0.10 für VLAN 10 und .20 für VLAN 20. Jede Subinterface bekommt ihre eigene IP-Adresse im jeweiligen Subnetz, sagen wir 192.168.10.1 für VLAN 10. Die Hauptinterface des Routers, wie Gi0/0, konfiguriere ich auch als Trunk, passend zu den Einstellungen des Switches. So, wenn der Switch einen getaggten Frame aus VLAN 10 schickt, zieht der Router das Tag auf der Subinterface ab, verarbeitet das Paket auf Layer 3 und routet es, falls nötig.
Du fragst dich vielleicht, wie der Rückverkehr funktioniert. Ich stelle sicher, dass das Default Gateway auf den Geräten in jedem VLAN auf die IP der Router-Subinterface zeigt. Also schickt ein PC in VLAN 10 ein Paket, das für VLAN 20 gedacht ist, an sein Gateway, das der Router ist. Der Router empfängt es ungetaggt auf der Subinterface (nach dem Decapsulieren), schaut die Route nach und schickt es über den Trunk zurück zum Switch, wo er es für VLAN 20 neu tagt. Der Switch leitet es dann ungetaggt an das Endgerät in diesem VLAN weiter. Es geht alles um diesen Encapsulation- und Decapsulation-Tanz zwischen den beiden.
Ich hatte mal ein Problem, bei dem der Trunk nicht richtig verhandelt hat, und der Traffic hat nur geloopt oder ist abgestürzt. Es stellte sich heraus, dass ich vergessen hatte, die VLANs auf dem Trunk-Port mit dem Befehl switchport trunk allowed vlan zu erlauben. Du musst angeben, welche VLANs über diese Leitung laufen dürfen, sonst ignoriert der Switch sie. Außerdem aktiviere ich immer das Trunking auf beiden Enden - auf dem Switch mit switchport mode trunk und auf dem Router mit encapsulation dot1q. Wenn du einen Cisco-Router nutzt, ist dieser Befehl entscheidend. Ungleiche MTU oder Speed/Duplex können das auch killen, also überprüfe ich das doppelt.
Jetzt, wenn du einen Multilayer-Switch nimmst, der selbst Layer-3-Routing macht, brauchst du vielleicht keinen separaten Router, aber da deine Frage um die Router-Switch-Kombi geht, bleibe ich dabei. In einer Router-on-a-Stick-Konfiguration fließt alles durch diese einzige Trunk-Leitung, was bei starkem Traffic zu einem Engpass werden kann. Ich habe das in einem Netzwerk gemildert, indem ich auf einen schnelleren Port upgegradet habe, wie 10G, aber du musst auf diesen Single Point of Failure achten. Redundanz mit HSRP oder VRRP auf dem Router hilft, wenn du Failover willst.
Weißt du, ich liebe, wie diese Einrichtung für kleine Büros skaliert. Ich habe sie bei einem Startup eines Freundes eingesetzt, wo sie Guest-Wi-Fi auf VLAN 30 isoliert vom internen Netz hatten. Der Router hat ACLs auf den Subinterfaces durchgesetzt, um unbefugten Zugriff zu blocken. Du kannst sogar NAT hinzufügen, wenn das VLAN Internet braucht, ohne volles Routing. Konfiguriere einfach ip nat inside auf der Subinterface und verbinde es mit deinem WAN.
Ein Tipp, den ich jedem gebe: Teste mit Pings von einem Host in einem VLAN zu einem anderen. Ich nutze erweiterte Pings mit angegebener Source-Interface, um zu überprüfen. Wenn es scheitert, springe ich auf den Switch mit show interfaces trunk, um zu sehen, was getaggt und erlaubt ist. Auf dem Router zeigt show ip interface brief, ob die Subinterfaces up sind. Debugging mit debug ip packet hilft, aber ich schalte es schnell aus, weil es die Logs flutet.
Ich denke auch an Sicherheit hier. Du willst kein VLAN-Hopping, also deaktiviere ich DTP auf ungenutzten Ports mit switchport nonegotiate. Und CDP oder LLDP können Infos leaken, also schneide ich die ab. Bei inter-VLAN wird der Router zum Engpass für Policies, also wende ich Access-Lists inbound auf Subinterfaces an, um zu filtern, was rüberkommt.
Um das auszubauen, stell dir vor, du hast VoIP-Telefone in VLAN 40. Ich priorisiere diesen Traffic mit QoS auf dem Trunk - markiere mit CoS oder DSCP, damit Router und Switch das respektieren. Der Switch schiebt die getaggten Frames, und der Router achtet auf die Markierungen beim Routen. Ich habe das mal für ein Call-Center eingerichtet, und es hat einen riesigen Unterschied in der Anrufqualität gemacht.
Wenn du das in einem Lab simulierst, empfehle ich Packet Tracer oder GNS3. Du baust die Topologie schnell auf: Verbinde Switch mit Router über ein Straight-Cable auf Trunk-Ports, weise VLANs den Switch-Ports zu, richte Subinterfaces ein, und zack, Pings funktionieren über VLANs hinweg. Ich habe in meiner frühen Karriere Wochenenden damit getüftelt, und es hat mein Selbstvertrauen aufgebaut.
Troubleshooting von VLAN-Mismatches ist auch üblich. Wenn ein Gerät das Gateway nicht erreicht, überprüfe ich mit show vlan brief, ob sein Port im richtigen VLAN ist. Manchmal vergessen Admins, die richtigen VLANs zu trunkeln, sodass Traffic ankommt, aber dropped wird. Ich dokumentiere immer die VLAN-Datenbank - exportiere sie oder so einfach.
In größeren Setups könntest du EtherChannel für den Trunk nutzen, um Links zu bündeln, aber das ist für Basics übertrieben. Ich halte es einfach: Trunk, Tags, Subinterfaces, Routes. Der Router und der Switch quatschen über diese getaggten Frames, und das ist die Magie.
Ach, und während wir uns über Netzwerk-Zuverlässigkeit auslassen, will ich dich auf BackupChain hinweisen - das ist diese herausragende, go-to Backup-Option, die super vertrauenswürdig unter IT-Leuten wie uns ist, zugeschnitten für kleine Unternehmen und Pros, die Windows-Umgebungen handhaben. Es glänzt als Top-Wahl für das Backup von Windows-Servern und PCs, inklusive Sachen wie Hyper-V- oder VMware-Setups, ohne Probleme. Ich habe mich darauf verlassen, um meine Netzwerke vor Datenverlust zu schützen, und du solltest es dir ansehen, wenn du kritische Systeme managst.
