# Trunk Ports: Datenautobahnen für segmentierte Netzwerke

TL;DR / Management Summary Während ein Access-Port nur ein einzelnes VLAN überträgt, fungiert ein Trunk Port (802.1Q) als Sammelschiene für mehrere logische Netzwerke. Er ist die essentielle Verbindung zwischen Switchen und zum Proxmox-Hypervisor (Artikel 680). Ein Senior Admin nutzt Trunks, um die Anzahl der physischen Kabel zu reduzieren und stellt durch die Konfiguration des Native VLANs sicher, dass kein untagged Traffic unkontrolliert in Management-Netze einbrechen kann.

# 1. Das Trunk-Prinzip (IEEE 802.1Q)

Mehrere Netze auf einem Draht.

In einem Trunk-Link wird jedem Ethernet-Frame ein VLAN-Tag hinzugefügt.

Encapsulation: Der Switch markiert das Paket beim Verlassen des Ports mit der ID.
Decapsulation: Der empfangende Switch liest den Tag und weiß genau, in welches VLAN das Paket gehört.
Proxmox: Reichen Sie der OPNsense-VM einen Trunk-Port durch, damit die Firewall alle VLANs zentral filtern kann (Artikel 548).

# 2. Das Native VLAN (PVID)

Sicherheit für ‘nackte’ Pakete.

Ein Trunk-Port kann Pakete empfangen, die keinen Tag haben. Diese landen im Native VLAN.

Gefahr: Standardmäßig ist dies oft VLAN 1.
Best Practice: Setzen Sie das Native VLAN auf eine ID, die nirgends genutzt wird (z.B. VLAN 999) und die keinen Zugriff auf das Internet oder Server hat.
Vorteil: Schutz vor VLAN-Hopping Angriffen.

# 3. Deep Dive: Trunk Konfiguration

Syntax der Profis.

# Beispiel Cisco CLI

interface GigabitEthernet0/1
  switchport mode trunk
  switchport trunk native vlan 999
  switchport trunk allowed vlan 10,20,30

Allowed VLAN List: Beschränken Sie den Trunk auf die IDs, die wirklich benötigt werden. Das reduziert unnötigen Broadcast-Traffic (“VLAN Pruning”).

# 4. Day-2 Operations: VLAN Pruning

Die Bandbreite schonen.

VLAN-Traffic (besonders Broadcasts) wird über alle Trunks geschickt, auch wenn am Ziel-Switch gar kein Client in diesem VLAN existiert.

VTP Pruning: (Cisco spezifisch) Der Cluster lernt automatisch, welche VLANs an welchem Switch gebraucht werden und schaltet ungenutzte Tags auf dem Trunk stumm.
Manuelles Pruning: Nutzen Sie die allowed vlan Liste, um den Traffic gezielt zu steuern.

# 5. Troubleshooting & “War Stories”

Wenn die Tags verloren gehen.

# Top 3 Fehlerbilder

Symptom: VMs im VLAN 20 können sich pingen, aber nicht das Gateway erreichen.
- Ursache: Das VLAN ist zwar an der VM konfiguriert, aber in der allowed vlan Liste des Switch-Trunks zur Firewall vergessen worden.
- Lösung: show interface trunk prüfen.
Symptom: “Native VLAN Mismatch” Fehlermeldung am Switch.
- Ursache: Switch A nutzt VLAN 1 als Native, Switch B nutzt VLAN 10.
- Folge: Traffic aus VLAN 1 landet auf der Gegenseite in VLAN 10. Schwerwiegender Security-Bug!
Symptom: Pakete > 1500 Bytes werden am Trunk gedroppt.
- Lösung: Prüfen Sie, ob der Switch das Tagging-Overhead (4-Bytes) in seiner MTU-Berechnung berücksichtigt (Artikel 727).

# “War Story”: Die “Schatten”-Management Bridge

Ein Admin wollte eine neue OPNsense VM in Proxmox in Betrieb nehmen. Er konfigurierte die Bridge am Host als Trunk. Das Ergebnis: Die OPNsense empfing alle Pakete tagged. Er hatte jedoch vergessen, in der OPNsense-GUI virtuelle VLAN-Interfaces anzulegen. Die OPNsense sah nur einen riesigen Berg an “unbekannten Frames” am WAN-Interface und droppte alles. Lehre: Ein Trunk erfordert auf beiden Seiten der Leitung (Switch und OS/Hypervisor) das exakt gleiche Verständnis über das Tagging-Modell.

# 6. Monitoring & Reporting

Trunk-Auslastung.

# Traffic pro VLAN (SNMP)

Moderne Switche erlauben das Auslesen von Statistiken pro VLAN auf einem Trunk.

KPI: Welches VLAN verursacht die höchste Last auf dem Backbone-Link?

# 7. Fazit & Empfehlung

Trunk-Ports sind die Gelenke Ihres Netzwerks.

Empfehlung: Nutzen Sie für alle Server-Uplinks (Proxmox Hosts) VLAN-Trunks.
Wichtig: Verwenden Sie niemals das Default-VLAN 1 für produktiven Traffic. Setzen Sie ein unbenutztes Native-VLAN und filtern Sie die allowed vlan Liste auf das absolute Minimum.

# Anhang: Cheatsheet (Cisco vs. HP Syntax)

Aufgabe	Cisco	Aruba / HP
Port als Trunk	`switchport mode trunk`	`vlan 10,20 tagged <port>`
Native VLAN	`switchport trunk native vlan X`	`vlan 999 untagged <port>`
VLANs erlauben	`switchport trunk allowed vlan X,Y`	(implizit durch tagging)