RabbitZ INFO

Trunking

Home / Trunking
View Categories

Trunking

22 min read

Trunking #

1. Überblick #

Trunking ist ein grundlegendes Konzept moderner Netzwerke und spielt überall dort eine zentrale Rolle, wo mehrere logische Netzwerke über eine gemeinsame physische Verbindung transportiert werden sollen. In der Praxis begegnet man Trunking vor allem im Zusammenhang mit VLANs (Virtual Local Area Networks), also logisch getrennten Layer-2-Netzen innerhalb derselben physischen Switching-Infrastruktur.

Ohne Trunking müsste für jedes VLAN eine eigene physische Leitung zwischen zwei Geräten existieren. Das wäre in kleinen Umgebungen vielleicht noch handhabbar, in größeren Netzwerken jedoch schnell unpraktisch, teuer, unübersichtlich und fehleranfällig. Trunking löst dieses Problem, indem es ermöglicht, dass eine einzige physische Verbindung den Verkehr mehrerer VLANs gleichzeitig transportiert. Damit wird die Netzwerkinfrastruktur flexibler, skalierbarer und deutlich effizienter.

Das Thema wird oft zu knapp erklärt, nach dem Muster: „Ein Trunk überträgt mehrere VLANs über einen Port.“ Das ist zwar nicht falsch, aber viel zu oberflächlich. Um Trunking wirklich zu verstehen, muss man tiefer einsteigen: Wie erkennt der empfangende Switch, zu welchem VLAN ein Frame gehört? Was bedeutet Tagging? Was ist ein Native VLAN? Warum sind Access-Ports und Trunk-Ports unterschiedlich? Welche Rolle spielt IEEE 802.1Q? Was passiert bei Fehlkonfigurationen? Und warum ist Trunking nicht nur eine Komfortfunktion, sondern oft ein zentrales Element für Design, Betrieb und Sicherheit?

Dieser Artikel erklärt Trunking deshalb nicht nur als Begriff, sondern als technischen Mechanismus. Dabei wird sowohl die Sicht des Einsteigers berücksichtigt, der die Grundidee verstehen möchte, als auch die Sicht des Fortgeschrittenen, der saubere Zusammenhänge, typische Designmuster, Fehlerbilder und Praxiskonfigurationen benötigt.

2. Definition und Zweck #

Was ist Trunking? #

Trunking bezeichnet im Switching-Kontext die Übertragung von Datenverkehr aus mehreren VLANs über eine einzige physische Verbindung. Diese Verbindung nennt man Trunk-Link oder einfach Trunk. Ein Port, der entsprechend konfiguriert ist, heißt Trunk-Port.

Damit ein empfangendes Gerät unterscheiden kann, welcher Ethernet-Frame zu welchem VLAN gehört, wird der Datenverkehr auf einem Trunk in der Regel mit einer VLAN-Kennzeichnung versehen. Dieses Verfahren nennt man VLAN-Tagging. Der heute praktisch relevante Standard dafür ist IEEE 802.1Q.

Warum gibt es Trunking? #

Trunking existiert, weil Netzwerke in der Praxis selten nur aus einem einzigen VLAN bestehen. Moderne Umgebungen arbeiten typischerweise mit einer logischen Trennung nach Funktionen oder Sicherheitszonen, zum Beispiel:

  • VLAN 10: Clients
  • VLAN 20: Server
  • VLAN 30: Voice
  • VLAN 40: Gäste
  • VLAN 99: Management

Wenn ein Switch nur Access-Ports hätte, müsste für jedes VLAN eine eigene physische Verbindung zum nächsten Switch, zum Router, zur Firewall oder zum Hypervisor aufgebaut werden. Das wäre ineffizient und schlecht skalierbar.

Trunking erfüllt daher mehrere Zwecke gleichzeitig:

  • Konsolidierung physischer Verbindungen
  • Transport mehrerer VLANs über eine Leitung
  • Vereinfachung der Verkabelung
  • Skalierbarkeit in größeren Umgebungen
  • Anbindung von Geräten mit Mehr-VLAN-Bedarf

Wo wird Trunking typischerweise eingesetzt? #

Trunking ist nicht nur zwischen zwei Switches relevant. Es wird auch in vielen anderen Szenarien benötigt, etwa zwischen:

  • Switch und Switch
  • Switch und Router
  • Switch und Firewall
  • Switch und Hypervisor
  • Switch und WLAN-Access-Point
  • Switch und IP-Telefon in bestimmten Designs
  • Switch und Server mit mehreren logischen Netzsegmenten

Warum ist Trunking so wichtig? #

Trunking ist eine der Grundlagen dafür, dass VLAN-basierte Netzarchitekturen überhaupt praktikabel werden. VLANs alleine schaffen nur logische Trennung. Erst Trunking macht es möglich, diese Trennung über mehrere Geräte, Etagen, Racks oder Systeme hinweg konsistent zu transportieren.

3. Grundprinzip #

Das Grundprinzip von Trunking ist einfach, wenn man es abstrakt betrachtet:

Mehrere logisch getrennte Netzwerke teilen sich dieselbe physische Leitung, ohne ihre logische Trennung zu verlieren.

Man kann sich das wie eine Autobahn vorstellen, auf der Fahrzeuge verschiedener Speditionen fahren. Die Straße ist dieselbe, aber jedes Fahrzeug trägt eine eindeutige Kennzeichnung, zu welcher Spedition es gehört. Der Empfänger kann dadurch weiterhin sauber unterscheiden, welche Lieferung wohin gehört.

Im Netzwerk ist diese Kennzeichnung das VLAN-Tag.

Access-Port vs. Trunk-Port #

Um Trunking zu verstehen, muss man den Unterschied zwischen zwei Porttypen kennen.

Access-Port #

Ein Access-Port gehört genau einem VLAN. Er ist für klassische Endgeräte gedacht, etwa:

  • PCs
  • Drucker
  • einfache Server
  • Kameras
  • einzelne IoT-Geräte

Der Port transportiert in der Regel ungetaggten Verkehr, und der Switch ordnet diesen Verkehr intern genau einem VLAN zu.

Trunk-Port #

Ein Trunk-Port kann mehrere VLANs gleichzeitig transportieren. Er ist für Verbindungen gedacht, über die unterschiedliche VLANs gemeinsam laufen müssen.

Vereinfachtes Beispiel #

Ein Unternehmen hat zwei Switches, auf beiden existieren VLAN 10 und VLAN 20.
Damit Geräte in VLAN 10 an beiden Switches logisch im selben VLAN bleiben und Geräte in VLAN 20 ebenso, braucht die Verbindung zwischen den Switches einen Trunk.

[PC A VLAN 10] -- SW1 --\
                         \__ Trunk __ SW2 -- [PC B VLAN 10]
[PC C VLAN 20] -- SW1 --/                 \
                                             [Server VLAN 20]

Über diesen einen Uplink laufen also zwei logisch getrennte Verkehrsströme.

Kernidee #

  • physisch: eine Leitung
  • logisch: mehrere VLANs
  • technisch: Kennzeichnung per Tagging
  • Ergebnis: skalierbare VLAN-Übertragung

4. Technische Funktionsweise im Detail #

4.1 Ausgangspunkt: Ethernet ohne VLAN-Tag #

Ein normales Ethernet-Frame enthält standardmäßig keine VLAN-Information. Vereinfacht sieht ein Frame so aus:

+----------------+----------------+----------------+------------------+------+
| Ziel-MAC       | Quell-MAC      | EtherType/Len  | Nutzdaten        | FCS  |
+----------------+----------------+----------------+------------------+------+

Wenn ein Switch so einen Frame an einem Access-Port empfängt, weiß er durch die Portkonfiguration, zu welchem VLAN dieser Frame gehört. Die VLAN-Zuordnung ergibt sich also aus dem Port, nicht aus dem Frame selbst.

Auf einem Trunk reicht das nicht aus. Dort kommen Frames aus mehreren VLANs über denselben Port an. Deshalb muss die VLAN-Zugehörigkeit im Frame selbst transportiert werden.

4.2 IEEE 802.1Q: Der Standard für VLAN-Tagging #

Der in der Praxis wichtigste Trunking-Standard ist IEEE 802.1Q. Er definiert, wie ein VLAN-Tag in ein Ethernet-Frame eingefügt wird.

Was macht 802.1Q? #

802.1Q fügt dem Ethernet-Frame ein zusätzliches Feld ein, das unter anderem die VLAN-ID enthält.

Vereinfacht:

+-----------+-----------+---------+-------------+-------------+------+
| Ziel-MAC  | Quell-MAC | 802.1Q  | EtherType   | Nutzdaten   | FCS  |
+-----------+-----------+---------+-------------+-------------+------+

Dieses zusätzliche Tag enthält Informationen darüber, zu welchem VLAN der Frame gehört.

Bestandteile des 802.1Q-Tags #

Das Tag besteht im Kern aus folgenden logischen Informationen:

  • TPID (Tag Protocol Identifier)
    Kennzeichnet, dass ein VLAN-Tag vorhanden ist.
  • PCP (Priority Code Point)
    Wird für Layer-2-Priorisierung genutzt.
  • DEI (Drop Eligible Indicator)
    Markierung für verwerfbaren Verkehr bei Überlast.
  • VID (VLAN Identifier)
    Die eigentliche VLAN-ID.

Für das Trunking ist vor allem die VID entscheidend.

VLAN-ID #

Die VLAN-ID identifiziert das VLAN, zu dem ein Frame gehört.

Beispiele:

  • VLAN 10
  • VLAN 20
  • VLAN 30
  • VLAN 99

Wenn ein Frame mit VLAN-ID 20 auf einem Trunk ankommt, weiß der empfangende Switch: Dieser Frame gehört logisch in VLAN 20.

4.3 Wie ein Switch Frames auf einem Trunk verarbeitet #

Betrachten wir den Ablauf Schritt für Schritt.

Szenario #

  • SW1 und SW2 sind über einen Trunk verbunden
  • VLAN 10 und VLAN 20 sind auf beiden Switches vorhanden
  • Ein PC in VLAN 10 sendet einen Frame

Ablauf #

  1. PC sendet ungetaggten Ethernet-Frame an Access-Port
    Der PC selbst kennt meist kein VLAN-Tagging. Er sendet einfach einen normalen Ethernet-Frame.
  2. SW1 empfängt Frame an Access-Port in VLAN 10
    Der Port ist als Access-Port im VLAN 10 konfiguriert.
  3. SW1 ordnet den Frame intern VLAN 10 zu
    Die VLAN-Zugehörigkeit ergibt sich aus der Portkonfiguration.
  4. SW1 muss den Frame über den Trunk weiterleiten
    Weil der Zielhost an SW2 hängt, muss der Frame über die Switch-zu-Switch-Verbindung.
  5. SW1 taggt den Frame mit VLAN 10
    Vor dem Versand über den Trunk fügt SW1 ein 802.1Q-Tag ein.
  6. SW2 empfängt den getaggten Frame auf dem Trunk
    SW2 liest das Tag und erkennt: VLAN 10.
  7. SW2 verarbeitet den Frame im Kontext von VLAN 10
    MAC-Learning und Forwarding erfolgen logisch innerhalb von VLAN 10.
  8. SW2 sendet den Frame an den Zielport
    Hängt das Zielgerät an einem Access-Port in VLAN 10, entfernt SW2 das Tag vor dem Senden.

Wesentliche Erkenntnis #

Endgeräte sehen in vielen Standardfällen keine VLAN-Tags. Das Tagging ist vor allem ein Mechanismus zwischen trunkfähigen Geräten.

4.4 Tagged und Untagged Frames #

Tagged #

Ein getaggter Frame enthält VLAN-Information im Frame selbst. Das ist auf einem Trunk der Regelfall für VLANs, die explizit transportiert werden.

Untagged #

Ein ungetaggter Frame enthält keine VLAN-Information. Das ist typisch für:

  • Access-Ports
  • Native-VLAN-Verkehr auf bestimmten Trunks
  • manche Spezialfälle oder Altgeräte

Dieser Unterschied ist entscheidend, weil viele Trunk-Probleme letztlich daraus entstehen, dass ein Gerät getaggten Verkehr erwartet, der andere Partner aber ungetaggten sendet, oder umgekehrt.

4.5 Native VLAN #

Das Native VLAN ist eines der wichtigsten und gleichzeitig missverständlichsten Konzepte im Trunking.

Grundidee #

Auf vielen 802.1Q-Trunks kann ein bestimmtes VLAN festgelegt werden, dessen Frames ohne Tag übertragen werden. Dieses VLAN nennt man Native VLAN.

Beispiel:

  • VLAN 999 = Native VLAN
  • Frames dieses VLANs laufen ungetaggt
  • alle anderen VLANs laufen getaggt

Warum gibt es das? #

Historisch und technisch gibt es dafür Kompatibilitäts- und Designgründe. In modernen Umgebungen wird das Native VLAN aber bewusst und vorsichtig eingesetzt, weil es eine häufige Quelle für Fehlkonfigurationen ist.

Gefahr: Native-VLAN-Mismatch #

Wenn auf zwei Seiten eines Trunks unterschiedliche Native VLANs konfiguriert sind, können ungetaggte Frames falsch einsortiert werden.

Beispiel:

  • SW1: Native VLAN 99
  • SW2: Native VLAN 1

Ein ungetaggter Frame wird von SW1 als VLAN 99 gedacht, von SW2 aber als VLAN 1 interpretiert. Dadurch entstehen schwer verständliche Fehler oder Sicherheitsprobleme.

Praxisregel #

Native VLANs müssen auf beiden Seiten eines Trunks konsistent geplant sein.

4.6 Welche VLANs darf ein Trunk transportieren? #

Ein Trunk transportiert nicht zwingend automatisch alle VLANs. In der Praxis kann und sollte festgelegt werden, welche VLANs über den Trunk erlaubt sind.

Warum das wichtig ist #

Ein „alles ist erlaubt“-Ansatz ist bequem, aber unsauber. Besser ist:

  • nur benötigte VLANs zulassen
  • unnötige Broadcast-Domänen fernhalten
  • Angriffsfläche reduzieren
  • Fehler klarer eingrenzen

Beispiel #

Auf einem Uplink zwischen zwei Switches sollen nur diese VLANs laufen:

  • VLAN 10
  • VLAN 20
  • VLAN 30
  • VLAN 99

Dann ist es sinnvoll, nur diese VLANs freizugeben, statt pauschal jedes konfigurierte VLAN.

4.7 Trunking und MAC-Learning #

Ein Switch lernt MAC-Adressen immer im Kontext eines VLANs.

Das ist wichtig, weil dieselbe physische Verbindung mehrere VLANs transportieren kann. Ein Trunk ist also nicht „ein gemeinsamer Layer-2-Raum“, sondern eher eine gemeinsame Transportstrecke für mehrere logisch getrennte Räume.

Beispielhafte MAC-Tabelle:

VLANMAC-AdressePort
10AA:AA:AA:AA:AA:AAGi0/24
20BB:BB:BB:BB:BB:BBGi0/24

Beide MAC-Adressen wurden über denselben Trunk-Port gelernt, gehören aber unterschiedlichen VLAN-Kontexten an.

4.8 Trunking und Inter-VLAN-Routing #

Ein Trunk allein verbindet VLANs nicht miteinander. Das ist ein ganz wichtiger Punkt.

Ein Trunk transportiert mehrere VLANs, aber die VLANs bleiben logisch getrennt. Wenn Kommunikation zwischen VLAN 10 und VLAN 20 stattfinden soll, braucht es ein Layer-3-Gerät, etwa:

  • Router
  • Layer-3-Switch
  • Firewall

Typisches Szenario: Router-on-a-Stick #

Ein Router wird über einen Trunk mit einem Switch verbunden. Auf dem Router gibt es pro VLAN eine logische Subschnittstelle.

ASCII-Beispiel:

[Clients VLAN 10] \
                   SW ---- Trunk ---- Router
[Server VLAN 20]  /

Der Router empfängt über dieselbe physische Schnittstelle Frames aus mehreren VLANs, erkennt das VLAN-Tag, verarbeitet sie auf der passenden Subschnittstelle und kann zwischen den VLANs routen.

Wichtiger Zusammenhang #

  • Trunking = Transport mehrerer VLANs
  • Routing = Kommunikation zwischen VLANs

Beides wird oft verwechselt, ist aber technisch etwas völlig anderes.

5. Wichtige Bestandteile / Mechanismen / Konzepte #

5.1 Access-Port #

Der Access-Port ist der Gegenpol zum Trunk-Port. Er gehört genau einem VLAN und liefert die VLAN-Zugehörigkeit über die Portkonfiguration.

Typische Einsatzfälle:

  • Arbeitsplatz-PCs
  • Drucker
  • Einzelgeräte ohne VLAN-Bewusstsein

5.2 Trunk-Port #

Der Trunk-Port transportiert mehrere VLANs über eine Leitung. Er ist für Verbindungen zwischen trunkfähigen Geräten gedacht.

Typische Einsätze:

  • Switch-Uplinks
  • Verbindung zu Firewalls
  • Verbindung zu Hypervisoren
  • Verbindung zu Access Points

5.3 VLAN-Tagging #

VLAN-Tagging ist die technische Kennzeichnung eines Frames mit VLAN-Information. Ohne Tagging könnte der Empfänger auf einem gemeinsamen Link nicht erkennen, zu welchem VLAN der Frame gehört.

5.4 802.1Q #

802.1Q ist der Standardmechanismus für VLAN-Tagging und damit für Trunking in Ethernet-Netzen.

Er ist heute die fachliche Grundlage für praktisch alle klassischen VLAN-Trunks.

5.5 Native VLAN #

Das Native VLAN definiert, welches VLAN auf einem Trunk ungetaggt übertragen wird.

Es ist praktisch relevant, aber auch fehleranfällig. In gut gepflegten Netzen wird es bewusst und konsistent geplant.

5.6 Allowed VLANs #

Die Menge der VLANs, die ein Trunk transportieren darf. Eine restriktive Konfiguration verbessert Übersicht, Sicherheit und Troubleshooting.

5.7 DTP / automatische Trunk-Aushandlung #

In manchen Herstellerwelten, insbesondere historisch in Cisco-Umgebungen, gab es Mechanismen wie DTP (Dynamic Trunking Protocol), um Trunks automatisch auszuhandeln.

Warum relevant? #

Automatische Trunk-Aushandlung klingt bequem, kann aber problematisch sein:

  • ungewollte Trunk-Bildung
  • Sicherheitsrisiken
  • schwerer vorhersehbares Verhalten

Deshalb ist in professionellen Umgebungen oft die explizite Konfiguration vorzuziehen:

  • Access-Port bleibt Access-Port
  • Trunk wird bewusst als Trunk gesetzt

5.8 Voice VLAN #

Ein Spezialfall in vielen Netzen ist das Voice VLAN. Hier kann ein Switchport gleichzeitig:

  • ein normales Daten-VLAN für den PC
  • und ein Sprach-VLAN für das Telefon

bereitstellen.

Das Telefon ist dann VLAN-bewusst und taggt seinen Sprachverkehr, während der PC-Verkehr ungetaggt im Access-VLAN bleibt.

Dieses Szenario ist kein klassischer Volltrunk wie zwischen zwei Switches, nutzt aber trunkähnliche VLAN-Mechanismen.

5.9 STP auf Trunks #

Da Trunks oft Switches miteinander verbinden, tragen sie typischerweise auch Spanning-Tree-relevante BPDUs. Dadurch sind Trunk-Ports in vielen Topologien direkt Teil der Layer-2-Schleifenvermeidung.

Das ist wichtig für den Betrieb:

  • Ein Trunk kann durch STP blockiert werden.
  • Ein physisch intakter Trunk kann logisch in Blocking/Discarding stehen.
  • Uplink-Probleme sind daher nicht nur VLAN-, sondern oft auch STP-Themen.

6. Einsatzgebiete in der Praxis #

Trunking ist in realen Netzwerken fast überall dort anzutreffen, wo VLANs nicht nur lokal auf einem einzelnen Switch existieren, sondern über mehrere Komponenten hinweg transportiert werden.

Switch-zu-Switch-Verbindungen #

Der klassische und häufigste Fall. Zwei oder mehr Switches müssen dieselben VLANs transportieren, ohne für jedes VLAN eine eigene Leitung zu benötigen.

Switch zu Hypervisor #

Ein Virtualisierungshost betreibt VMs in verschiedenen VLANs. Der physische Uplink zum Switch ist ein Trunk, der mehrere VLANs zum Hypervisor transportiert.

Switch zu Firewall #

Eine Firewall kann mehrere logische Interfaces oder Subinterfaces für verschiedene VLANs bereitstellen. Über einen Trunk erreicht sie mehrere Sicherheitszonen über einen Port.

Switch zu Router #

Beim Router-on-a-Stick wird über einen Trunk Verkehr aus mehreren VLANs an den Router geliefert, der anschließend zwischen den VLANs routet.

Switch zu WLAN-Access-Point #

Ein Access Point kann mehrere SSIDs auf unterschiedliche VLANs abbilden:

  • Mitarbeiter-WLAN
  • Gäste-WLAN
  • IoT-WLAN

Der Uplink zum Switch ist dann typischerweise ein Trunk.

Switch zu IP-Telefonie-Umgebung #

Telefone und PCs teilen sich oft einen physischen Anschluss, aber unterschiedliche logische Netze.

7. Mehrere ausführliche Praxisbeispiele #

7.1 Praxisbeispiel 1: Zwei Switches mit mehreren VLANs #

Ausgangssituation #

Ein Unternehmen hat zwei Etagen-Switches:

  • SW1 im Erdgeschoss
  • SW2 im Obergeschoss

Folgende VLANs sollen auf beiden Switches verfügbar sein:

  • VLAN 10: Mitarbeiter
  • VLAN 20: Drucker
  • VLAN 30: Voice

Ohne Trunking #

Ohne Trunking müsste man theoretisch für jedes VLAN eine eigene physische Verbindung zwischen SW1 und SW2 vorsehen:

  • Leitung für VLAN 10
  • Leitung für VLAN 20
  • Leitung für VLAN 30

Das wäre unnötig aufwendig.

Mit Trunking #

Die Verbindung zwischen SW1 und SW2 wird als Trunk konfiguriert.

Ablauf:

  1. Ein Mitarbeiter-PC an SW1 sendet Verkehr aus VLAN 10.
  2. SW1 versieht den Frame auf dem Uplink mit VLAN 10.
  3. SW2 empfängt den Frame, erkennt VLAN 10 und leitet ihn an den passenden Access-Port weiter.
  4. Dasselbe Prinzip gilt unabhängig für Drucker- und Voice-Verkehr.

Bedeutung #

Mit nur einer physischen Verbindung werden drei logisch getrennte Netze transportiert.

Lerneffekt #

Dieses Beispiel zeigt den eigentlichen Kernnutzen von Trunking:
Reduktion physischer Komplexität bei Erhalt logischer Trennung.

7.2 Praxisbeispiel 2: Hypervisor mit mehreren virtuellen Netzen #

Ausgangssituation #

Ein Proxmox-, VMware- oder Hyper-V-Host betreibt mehrere VMs:

  • Webserver in VLAN 20
  • Datenbank in VLAN 21
  • Backup-Netz in VLAN 50
  • Management in VLAN 99

Der Host hat nur wenige physische Netzwerkkarten, soll aber mehrere logische Netze bedienen.

Lösung #

Der Uplink vom Host zum Switch wird als Trunk konfiguriert.

Ablauf #

  1. Der physische Switchport erlaubt VLAN 20, 21, 50 und 99.
  2. Im Hypervisor werden Portgruppen oder Bridges mit den passenden VLAN-IDs definiert.
  3. Jede VM wird dem passenden VLAN zugeordnet.
  4. Verlässt ein Frame den Host, trägt er das entsprechende VLAN-Tag.
  5. Der Switch verarbeitet den Verkehr im jeweiligen VLAN-Kontext.

Bedeutung #

Ohne Trunking müsste man pro Netz oder VM-Gruppe eigene physische NICs bereitstellen. Das wäre unpraktisch und teuer.

Lerneffekt #

Trunking ist eine zentrale Grundlage für Virtualisierung und konsolidierte Rechenzentrumsnetze.

7.3 Praxisbeispiel 3: WLAN-Access-Point mit mehreren SSIDs #

Ausgangssituation #

Ein Unternehmen betreibt einen Access Point mit drei SSIDs:

  • Firma-Intern → VLAN 10
  • Firma-Gast → VLAN 40
  • Firma-IoT → VLAN 50

Ablauf #

  1. Der Access Point empfängt Clients auf unterschiedlichen SSIDs.
  2. Er ordnet jede SSID einem VLAN zu.
  3. Der Uplink zum Switch ist ein Trunk.
  4. Verkehr der internen Mitarbeiter wird mit VLAN 10 getaggt.
  5. Gastverkehr wird mit VLAN 40 getaggt.
  6. IoT-Geräte landen in VLAN 50.
  7. Der Switch trennt den Verkehr sauber weiter.

Bedeutung #

So lassen sich mehrere logisch getrennte WLAN-Netze über denselben Access Point und denselben Uplink transportieren.

Typischer Fehler #

Die SSID ist sauber getrennt konfiguriert, aber der Switchport zum Access Point ist kein korrekter Trunk oder erlaubt die nötigen VLANs nicht. Dann funktionieren einzelne SSIDs nicht oder landen im falschen Netz.

Lerneffekt #

Trunking ist oft die unsichtbare Voraussetzung dafür, dass Multi-SSID-Konzepte korrekt funktionieren.

7.4 Praxisbeispiel 4: Router-on-a-Stick #

Ausgangssituation #

Ein kleines Unternehmen möchte VLAN 10 und VLAN 20 verwenden, besitzt aber keinen Layer-3-Switch.

Lösung #

Ein Router wird per Trunk mit dem Switch verbunden.

Ablauf #

  1. Auf dem Switch existieren VLAN 10 und VLAN 20.
  2. Der Port zum Router ist ein Trunk.
  3. Der Router hat logische Subinterfaces:
    • Interface für VLAN 10 mit Gateway-IP
    • Interface für VLAN 20 mit Gateway-IP
  4. Der Switch sendet Frames aus beiden VLANs über denselben Trunk zum Router.
  5. Der Router enttaggt bzw. verarbeitet die Frames pro Subinterface.
  6. Soll ein Client in VLAN 10 einen Server in VLAN 20 erreichen, routet der Router zwischen den beiden Subinterfaces.

Bedeutung #

Der Trunk ist hier die Transportbasis, auf der das Routing aufsetzt.

Lerneffekt #

Ein Trunk ersetzt kein Routing, macht es aber bei Mehr-VLAN-Anbindung über einen Port erst praktikabel.

7.5 Praxisbeispiel 5: Native-VLAN-Mismatch #

Ausgangssituation #

Zwei Switches sind per Trunk verbunden.

  • SW1: Native VLAN 99
  • SW2: Native VLAN 1

Problem #

Ungetaggter Verkehr wird auf SW1 als VLAN 99, auf SW2 aber als VLAN 1 interpretiert.

Folgen #

  • Management-Verkehr landet im falschen Netz
  • bestimmte Protokolle verhalten sich unerwartet
  • STP oder andere Steuerframes können problematisch einsortiert werden
  • Fehlerbilder sind schwer zu deuten

Diagnose #

  • Trunk-Status prüfen
  • Native VLAN beidseitig vergleichen
  • Logs auf Mismatch-Hinweise prüfen

Lerneffekt #

Einer der häufigsten Trunk-Fehler ist nicht der Trunk an sich, sondern ein inkonsistentes Verständnis darüber, wie ungetaggter Verkehr interpretiert wird.

7.6 Praxisbeispiel 6: Zu viele VLANs auf dem Trunk erlaubt #

Ausgangssituation #

Ein Administrator erlaubt auf einem Trunk „einfach alles“. Später kommt ein neues sensibles Management-VLAN hinzu.

Problem #

Das neue VLAN wird automatisch auch über Strecken transportiert, auf denen es nie gebraucht wurde.

Folgen #

  • unnötige Reichweite sensibler Broadcast-Domänen
  • potenziell größere Angriffsfläche
  • unklarere Fehlersuche
  • Design entspricht nicht mehr dem Sollzustand

Lerneffekt #

Ein Trunk sollte nicht nur funktionieren, sondern bewusst und restriktiv entworfen werden.

8. Typische Probleme, Fehler und Missverständnisse #

8.1 „Ein Trunk verbindet VLANs miteinander“ #

Falsch. Ein Trunk transportiert mehrere VLANs. Er sorgt nicht dafür, dass sie miteinander kommunizieren können. Dafür ist Routing nötig.

8.2 „Ein Trunk ist einfach nur ein schnellerer Port“ #

Falsch. Die Funktion eines Trunk-Ports ist nicht primär Geschwindigkeit, sondern Mehr-VLAN-Transport mit VLAN-Zuordnung pro Frame.

8.3 „Alle Geräte an einem Trunk müssen automatisch alle VLANs sehen“ #

Nicht zwingend. Nur weil ein Trunk mehrere VLANs transportiert, bedeutet das nicht, dass jedes angeschlossene System alle VLANs sinnvoll nutzt oder erreichen darf.

8.4 „Wenn ein VLAN existiert, läuft es automatisch über alle Trunks“ #

Nicht immer. Das hängt davon ab:

  • ob es auf beiden Seiten existiert
  • ob es auf dem Trunk erlaubt ist
  • ob die Gegenstelle es korrekt verarbeitet
  • ob STP oder andere Mechanismen den Pfad freigeben

8.5 Native-VLAN-Fehler werden unterschätzt #

Viele Administratoren achten auf die getaggten VLANs, vergessen aber das Native VLAN. Das führt zu schwer erkennbaren Problemen.

8.6 Trunk und Access verwechselt #

Ein sehr häufiger Fehler:

  • eine Seite als Trunk
  • die andere Seite als Access

Folgen:

  • VLANs funktionieren nicht
  • nur ungetaggter Verkehr kommt an
  • einzelne Dienste arbeiten scheinbar zufällig

8.7 Falsches Allowed-VLAN-Set #

Ein VLAN ist zwar grundsätzlich korrekt eingerichtet, aber nicht auf dem Trunk erlaubt. Das Problem wirkt dann oft wie DHCP-, Routing- oder Firewall-Fehler, ist aber in Wahrheit ein Layer-2-Transportproblem.

8.8 Dynamische Trunk-Aushandlung blind vertrauen #

Automatische Aushandlung ist bequem, aber kontrollierte Netzwerke profitieren meist von expliziter Konfiguration.

9. Sicherheit / Risiken #

9.1 VLAN Hopping #

Bei bestimmten Fehlkonfigurationen oder unsicherem Portverhalten kann ein Angreifer versuchen, in andere VLANs zu gelangen. Klassische Stichworte sind:

  • Double-Tagging
  • unerwartete Trunk-Aushandlung
  • unsichere Native-VLAN-Nutzung

Gegenmaßnahmen #

  • Access-Ports explizit als Access konfigurieren
  • keine automatische Trunk-Aushandlung an Endgeräteports
  • Native VLAN bewusst wählen
  • ungenutzte VLANs nicht unnötig transportieren
  • Sicherheitsregeln auf Layer 3/Firewall ergänzen

9.2 Unsichere Trunks zu Endgeräten #

Ein Endgeräteport sollte in der Regel kein Trunk sein, außer das Design verlangt es ausdrücklich. Ein versehentlich offener Trunk an einem Arbeitsplatz ist ein unnötiges Risiko.

9.3 Zu breite VLAN-Reichweite #

Je mehr VLANs ein Trunk ohne Not transportiert, desto größer ist die Reichweite möglicher Probleme:

  • Broadcast-Verkehr
  • Fehlkonfigurationen
  • Seitwärtsbewegungen bei Sicherheitsvorfällen

9.4 Management-VLAN auf breiten Trunks #

Management-Netze sollten nicht leichtfertig auf beliebige Trunks ausgedehnt werden. Management-Verkehr gehört in ein bewusst geplantes, kontrolliertes Design.

9.5 Fehlende Dokumentation #

Nicht jede Sicherheitslücke ist ein Protokollproblem. Oft liegt das Risiko darin, dass niemand mehr weiß:

  • welche VLANs über welchen Trunk laufen
  • welche Gegenstellen beteiligt sind
  • welches Native VLAN definiert wurde
  • welche VLANs wirklich benötigt werden

10. Vergleich mit ähnlichen Technologien #

10.1 Trunking vs. Access-Port #

MerkmalAccess-PortTrunk-Port
Anzahl VLANsgenau einsmehrere
Taggingmeist ungetaggtmeist getaggt
ZielgerätEndgerättrunkfähige Gegenstelle
EinsatzPC, Drucker, KameraSwitch, Firewall, Hypervisor, AP

10.2 Trunking vs. Link Aggregation #

Diese Konzepte werden oft verwechselt.

Trunking #

  • transportiert mehrere VLANs über eine Verbindung
  • betrifft logische Netzsegmentierung

Link Aggregation #

  • bündelt mehrere physische Leitungen zu einem logischen Link
  • betrifft Bandbreite und Redundanz

Beides kann kombiniert werden: Ein gebündelter Link kann gleichzeitig ein Trunk sein.

10.3 Trunking vs. Routing #

Trunking #

  • Layer 2
  • transportiert VLANs
  • trennt VLANs nicht auf Layer 3 auf

Routing #

  • Layer 3
  • verbindet unterschiedliche IP-Netze
  • ermöglicht Kommunikation zwischen VLANs

10.4 Trunking vs. physisch getrennte Verkabelung #

Trunking #

  • flexibel
  • effizient
  • platzsparend
  • erfordert saubere Konfiguration

Physische Trennung #

  • maximale Isolation
  • mehr Kabel und Ports
  • teurer und unflexibler

In der Praxis ist Trunking meist die Standardlösung, physische Trennung eher für Spezial- oder Hochsicherheitsbereiche.

11. Praxis-Teil (Befehle, Tools, reale Anwendungsszenarien) #

Die konkrete Syntax hängt vom Hersteller ab. Die folgenden Beispiele orientieren sich an verbreiteten CLI-Konzepten in Cisco-ähnlichen Umgebungen. Die fachlichen Prinzipien sind aber allgemein anwendbar.

11.1 Trunk konfigurieren #

Beispiel für einen klassischen Trunk-Port:

interface GigabitEthernet0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 switchport trunk native vlan 999

Bedeutung #

  • Der Port arbeitet als Trunk.
  • Er erlaubt nur VLAN 10, 20, 30 und 99.
  • Das Native VLAN ist 999.

Das ist deutlich sauberer als ein unkontrollierter Trunk mit Standardwerten.

11.2 Access-Port konfigurieren #

Zum Vergleich ein normaler Access-Port:

interface GigabitEthernet0/5
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast

Bedeutung #

  • Der Port gehört nur VLAN 10.
  • Das angeschlossene Endgerät sendet ungetaggt.
  • Der Switch ordnet den Verkehr VLAN 10 zu.

11.3 Trunk-Status anzeigen #

show interfaces trunk

Typischer Erkenntnisgewinn:

  • welche Ports Trunks sind
  • welche VLANs erlaubt sind
  • welches Native VLAN gilt
  • welche VLANs aktiv transportiert werden

Das ist einer der wichtigsten Diagnosebefehle überhaupt im Trunking-Kontext.

11.4 VLANs anzeigen #

show vlan brief

Dieser Befehl zeigt:

  • welche VLANs auf dem Gerät existieren
  • welche Access-Ports zugeordnet sind

Wichtig: Ein VLAN kann auf dem Switch existieren, aber trotzdem nicht über einen bestimmten Trunk erlaubt sein.

11.5 Interface-Status prüfen #

show interfaces status

Hilfreich bei:

  • up/down-Prüfung
  • Duplex/Speed
  • Portmodus
  • allgemeinen Uplink-Problemen

11.6 MAC-Tabelle prüfen #

show mac address-table

Oder gezielt:

show mac address-table vlan 20

Das hilft zu sehen:

  • ob MAC-Adressen im erwarteten VLAN gelernt werden
  • ob ein Gerät auf einem Trunk oder Access-Port auftaucht
  • ob Verkehr vielleicht im falschen VLAN landet

11.7 Praxisfall: WLAN-SSID funktioniert nicht #

Situation #

Die SSID Guest soll in VLAN 40 laufen. Clients verbinden sich, bekommen aber keine IP.

Prüfschritte #

  1. Existiert VLAN 40 auf dem Switch?
  2. Ist der Port zum Access Point ein Trunk?
  3. Ist VLAN 40 auf dem Trunk erlaubt?
  4. Nutzt der Access Point tatsächlich VLAN 40 für die SSID?
  5. Gibt es DHCP im VLAN 40?
  6. Gibt es Layer-3-/Firewall-Regeln für dieses Netz?

Typischer Befund #

Der AP ist korrekt eingerichtet, aber VLAN 40 fehlt auf dem Uplink-Trunk.

11.8 Praxisfall: Hypervisor-VM ohne Netz #

Situation #

Eine VM soll im VLAN 50 erreichbar sein, funktioniert aber nicht.

Prüfschritte #

  1. Ist VLAN 50 auf dem physischen Switch vorhanden?
  2. Ist der Uplink zum Hypervisor ein Trunk?
  3. Ist VLAN 50 auf dem Trunk erlaubt?
  4. Ist im Hypervisor die richtige VLAN-ID eingetragen?
  5. Hat die VM die korrekte IP/Gateway-Konfiguration?

Typischer Befund #

Oft ist das Problem nicht die VM selbst, sondern der physische Trunk.

11.9 Praxisfall: Native-VLAN-Mismatch erkennen #

Hinweise können sein:

  • Warnmeldungen in Logs
  • unklare Erreichbarkeitsprobleme
  • Management-Verkehr verhält sich seltsam
  • bestimmte Kontrollprotokolle zeigen Inkonsistenzen

Typische Analyse:

  • Trunk-Konfiguration auf beiden Seiten prüfen
  • Native VLAN vergleichen
  • ungetaggten Verkehr mit Wireshark analysieren

11.10 Wireshark / Paketmitschnitt #

Mit Wireshark lassen sich VLAN-Tags sichtbar machen.

Wichtige Analysefragen:

  • Ist ein 802.1Q-Tag vorhanden?
  • Welche VLAN-ID steht im Frame?
  • Ist Verkehr unerwartet ungetaggt?
  • Kommt ein Frame mit falscher VLAN-ID an?
  • Werden Native-VLAN-Frames untagged transportiert?

Das ist besonders hilfreich bei:

  • AP-Uplinks
  • Hypervisor-Uplinks
  • Router-on-a-Stick
  • komplexen Firewall-Subinterface-Designs

11.11 Dokumentation eines Trunks #

Ein professionelles Netz dokumentiert Trunks nicht nur implizit in der Konfiguration, sondern auch explizit.

Sinnvolle Angaben:

LinkGegenstelleModusNative VLANErlaubte VLANsZweck
Gi0/24SW-OG-01Trunk99910,20,30,99Etagen-Uplink
Gi0/48ESXi-01Trunk99920,21,50,99Virtualisierung
Gi0/12AP-LobbyTrunk99910,40,50WLAN

Solche Tabellen sind in der Praxis extrem wertvoll für Betrieb, Troubleshooting und Audits.

11.12 Design-Empfehlungen aus der Praxis #

Ein sauberer Umgang mit Trunking folgt meist diesen Prinzipien:

  1. Trunks bewusst konfigurieren, nicht zufällig entstehen lassen
  2. Native VLAN explizit planen
  3. Nur benötigte VLANs erlauben
  4. Management-VLANs restriktiv behandeln
  5. Access und Trunk klar unterscheiden
  6. Hypervisor-, AP- und Firewall-Uplinks dokumentieren
  7. Trunk-Probleme immer zusammen mit VLAN-, STP- und Routing-Kontext betrachten

12. Fazit #

Trunking ist ein zentrales Mechanismus moderner VLAN-basierter Netzwerke. Es ermöglicht, mehrere logisch getrennte VLANs über eine gemeinsame physische Verbindung zu transportieren und ist damit eine wesentliche Voraussetzung für skalierbare, strukturierte und wirtschaftliche Netzarchitekturen.

Die wichtigste Kernaussage lautet:

Trunking reduziert physische Komplexität, ohne logische Trennung aufzugeben.

Wer Trunking richtig versteht, erkennt schnell die fachlichen Zusammenhänge:

  • Ein Trunk ist kein „normaler Port“, sondern ein Mehr-VLAN-Transportpfad.
  • Die Grundlage dafür ist VLAN-Tagging, in der Praxis meist nach IEEE 802.1Q.
  • Access-Port und Trunk-Port unterscheiden sich grundlegend in Funktion und Einsatz.
  • Das Native VLAN ist technisch wichtig, aber auch eine häufige Fehlerquelle.
  • Trunking ersetzt kein Routing, sondern ergänzt VLAN-Architekturen auf Layer 2.
  • Viele Probleme in realen Netzen beruhen auf falschen Allowed-VLANs, Native-VLAN-Mismatches oder einer Verwechslung von Access und Trunk.
  • Sicherheitsaspekte sind real: Ein zu offener oder falsch konfigurierter Trunk kann mehr Probleme verursachen, als man auf den ersten Blick vermutet.

In der Praxis ist Trunking überall dort unverzichtbar, wo VLANs über mehr als einen einzelnen Switch hinausgehen: in Unternehmens-LANs, Virtualisierungsumgebungen, WLAN-Infrastrukturen, Firewall-Designs und Router-on-a-Stick-Szenarien. Es gehört daher zum Pflichtwissen jeder professionellen Netzwerkdokumentation.

Wie fandest du den Beitrag?

© 2026 Made by BlackRabbitZ.