Cisco: VLANs für Anfänger

Mit folgender Beispielkonfiguration erkläre ich, wie bestimmte Ports auf Cisco Switchen zu VLANs zugewiesen werden und Cisco VLAN Trunk zwischen Switchen konfiguriert wird.

cisco vlans für anfänger

Szenario: IT-PC1 darf nur mit IT-PC2 kommunizieren und umgekehrt. (Vlan 10)
Buchhaltung-PC1 darf nur mit Buchhaltung-PC2 kommunizieren und umgekehrt. (Vlan 20)
Zwischen Switch 1 und Switch 2 wird Cisco Trunk konfiguriert. Über Trunk werden alles VLANs übertragen.

Cisco Vlans mit Trunk Beispielkonfiguration.


Konfiguration vom Switch 1

Switch>enable
Switch#conf t
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk 
Switch(config-if)#exit
Switch(config)# exit
Router#write


Konfiguration vom Switch 2
Switch>enable
Switch#conf t
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit

Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit
Switch(config)# exit
Router#write


Cisco VLAN  Schritt für Schritt Anleitung

(Erklärung der obigen Konfiguration)

Die Bedeutung von Basis Befehlen wie „enable“ , „conf t“ und „write“ werden hier nicht erklärt.
Hier werden hauptsächlich nur Befehle erklärt, die mit  der Konfiguration von VLANs direkt verbunden sind.

 

Switch>enable
Switch#conf t

Port FastEthernet 0/1 zu VLAN 10  zuweisen:
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit

Port FastEthernet 0/2 zu VLAN 20 zuweisen:

Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit

Port FastEthernet 0/10 als Trunk Port (=Tagged Port) konfigurieren:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk 
Switch(config-if)#exit
Switch(config)# exit
Router#write


Hinweise:

Wenn die Option „switchport trunk encapsulation dot1q“ in der Konfiguration nicht verfügbar ist, bedeutet es, dass der Switch höchstwahrscheinlich nur den 802.1q Standard unterstützt.
Bei der Option "switchport mode trunk" werden Standardmäßig alle VLANs in Trunk  erlaubt, wenn man erlaubte/gesperrte VLANs nicht extra angibt.


Weitere mögliche VLAN Befehle:
(Sie wurden in dem obigen Szenario nicht verwendet):

Erlaubte Vlans in Trunk definieren:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan 10,20

 
Weitere erlaubte VLANs in Trunk nachträglich hinzufügen:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan add 50

Ein erlaubtes VLAN in Trunk löschen:
Switch(config)#interface FastEthernet 0/10
Switch(config-if)#switchport trunk allowed vlan remove 50


Informationen über VLANs und Trunk anschauen:
Switch#show  vlan
Switch#show interface fa0/22 trunk
Switch#show interface fa0/10 switchport


Hinweis:

Oben beschriebene Konfiguration wurde mit Cisco Packet Tracer getestet.
Falls Sie Fehler entdecken, bitte melden Sie es über Kommentare.


Sind Sie bereits mit den grundlegenden Cisco Vlan Befehlen vertraut? Dann lesen Sie doch den Artikel "Cisco Vlans konfigurieren". Hier finden Sie eine kompliziertere Beispielkonfiguration von mehreren Cisco Switchen und Routern mit Subinterfaces.

9 Kommentare

  1. Lieben Dank für die klare Auflistung der Befehle.

    AntwortenLöschen
  2. Besonders interessant finde ich folgenden Bug im Paket Tracer: Würde man die Topologie um einen weiteren Switch zwischen den bereits vorhandenen ergänzen, der lediglich durch Trunks angebunden ist und sonst keine weiteren Access Ports in den vorhanden VLANs hat, dann funktioniert die Kommunikation schon nicht mehr. Also im realen Leben nicht, aber im Paket Tracer schon. Hintergrund: Über Trunks können nur Pakete übertragen werden, die es in der lokalen VLAN Database gibt. Paket Tracer beachtet das nicht.

    AntwortenLöschen
  3. Packet Tracer beachtet viele Optionen nicht. Ich glaube, diese Software ist eher für Üben von Basics gedacht. Das habe ich in Cisco Foren schon oft gelesen. Das mit Trunk ist ein interessanter Hinweis, wusste ich selbst nicht, danke. Aber wozu ist so ein Szenario im realen Leben nötig? Längere Strecken überbrücken?

    AntwortenLöschen
  4. Ich betreue beruflich mehrere große Netzwerke, dort wird es zum teil so aufgebaut, das du nach den redundanten Firewalls jeweils einen Aggregation Switch hast wo dann mehrere Switche dahinter geschaltet werden. Dadurch sind auf den beiden Switchen hinter der Firewalls nur Trunk-Ports und keine Access-Ports. Damit kommt der interne Traffic nicht bis zur Firewall und belastet sie nicht unnötig. Ich hoffe ich konnte mal ein reales Szenario aufzeigen ;)

    AntwortenLöschen
  5. Verstehe ich dein Szenario richtig?

    Firewall [Vlan1 Subinterface] ------ [tagged port] switch [tagged port]------- [tagged port] switch [access points Vlan1]----PC

    Meinst du, wenn Trunks von der Firewall bis zum letzten Switch korrekt eingerichtet ist, kommt der Traffic aus Vlan1 trotzdem nicht durch?

    AntwortenLöschen
  6. So wie du es beschrieben hast, kommt der Traffic durch. Natürlich musst du die Vlans auf jedem Switch anlegen.

    AntwortenLöschen
  7. Ich habe 2 Router und 2 Pc
    Ich habe 2 vlan pro Router erstellt und zugewiesen aber ich kann nur innerhalb der Netze Pingen also der Pc kann nicht dem anderen an Pingen aber sich selber und dem Router im Netz.
    Die Router aber können sich auch gegenseitig anpingen.

    AntwortenLöschen

Bitte beachten Sie beim Verwenden vom Kommentarsystem die Datenschutzerklärung von www.itslot.de