Weblog

on-a-Stick

24.04.2025 3 Min. Lesezeit

Das Konzept Router-on-a-Stick (RoaS) - und in verwandter Form Firewall-on-a-Stick - beschreibt eine Netzwerkarchitektur, bei der ein einzelnes physisches Interface eines Layer-3-Geräts (Router oder Firewall) verwendet wird, um mehrere VLANs zu routen oder zu filtern. Dies geschieht meist durch den Einsatz von 802.1Q VLAN-Tagging auf einem Trunk-Port, wodurch das Gerät logisch mehrere Subinterfaces über ein einziges physisches Interface bereitstellt.

Einordnung des „on-a-stick“-Konzepts

Der Begriff „on-a-stick“ stammt aus der Vorstellung, dass alle VLANs über einen einzigen „Stab“ (Stick) - also ein physisches Interface - mit dem Router oder der Firewall verbunden sind. Dieses Konzept ist besonders in kleineren Netzwerken, Laborszenarien, Proof-of-Concept-Umgebungen oder bei begrenzter Hardwareverfügbarkeit verbreitet.

Technische Voraussetzungen

  • VLAN-fähiger Switch (Layer 2)
  • Router mit Unterstützung für 802.1Q-Trunking bzw. Firewall mit Unterstützung für 802.1Q-Trunking
  • Konfiguration von Subinterfaces mit VLAN-Tags

Funktionsweise

Ein Switch stellt mehrere VLANs bereit, z. B. VLAN 10 (Clients), VLAN 20 (Server), VLAN 30 (VoIP). Diese VLANs werden über einen Trunk-Port an ein einziges Interface eines Routers oder einer Firewall weitergeleitet. Auf dem Router werden Subinterfaces konfiguriert, die jeweils einem VLAN zugeordnet sind. Jedes Subinterface erhält eine eigene IP-Adresse und fungiert als Default Gateway für das jeweilige VLAN.

Der Router übernimmt dann das Inter-VLAN-Routing - also die Weiterleitung von Paketen zwischen den VLANs - über das gleiche physische Interface, auf dem die VLAN-Tags erkannt und verarbeitet werden.

Router-on-a-Stick vs. Firewall-on-a-Stick

MerkmalRouter-on-a-StickFirewall-on-a-StickGerätetypLayer-3-RouterLayer-3-Firewall (z. B. ASA, SRX, pfSense)HauptfunktionInter-VLAN-RoutingVLAN-separierte SicherheitszonenEinsatzszenarioRouting zwischen VLANsSegmentierung mit SicherheitsrichtlinienBeispielVLAN 10 ↔ VLAN 20DMZ ↔ LAN ↔ WAN#### Vorteile

  • Kosteneffizienz: Nur ein physisches Interface erforderlich
  • Einfache Implementierung: Ideal für kleine Netzwerke oder Labors
  • VLAN-Trennung bleibt erhalten: Logische Isolation bleibt bestehen
  • Zentrale Kontrolle: Routing oder Firewalling an einem Punkt

Nachteile

  • Engpassrisiko: Alle VLANs teilen sich ein Interface → Bandbreitenlimit
  • Single Point of Failure: Fällt das Interface aus, ist gesamte Kommunikation betroffen
  • Skalierungsgrenzen: Nicht geeignet für große Netze mit hohem Durchsatz
  • Komplexität bei Fehlersuche: VLAN-Tagging, Subinterfaces, Trunking müssen exakt stimmen

Konfigurationsbeispiele

Cisco IOS - Router-on-a-Stick

interface GigabitEthernet0/0
no shutdown
!
interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
!

Juniper Junos - Router-on-a-Stick

set vlans vlan10 vlan-id 10
set vlans vlan10 l3-interface irb.10
set interfaces irb unit 10 family inet address 192.168.10.1/24

set vlans vlan20 vlan-id 20
set vlans vlan20 l3-interface irb.20
set interfaces irb unit 20 family inet address 192.168.20.1/24

set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members [ vlan10 vlan20 ]

Juniper SRX - Firewall-on-a-Stick

set interfaces ge-0/0/0 unit 0 vlan-id 10 family inet address 192.168.10.1/24
set interfaces ge-0/0/0 unit 0 vlan-id 20 family inet address 192.168.20.1/24
set security zones security-zone trust interfaces ge-0/0/0.10
set security zones security-zone dmz interfaces ge-0/0/0.20
set security policies from-zone trust to-zone dmz policy allow-http match source-address any destination-address any application junos-http
set security policies from-zone trust to-zone dmz policy allow-http then permit

Best Practices

  1. Trunk-Port korrekt konfigurieren: Sowohl auf Switch als auch Router/Firewall
  2. MTU beachten: VLAN-Tagging erhöht Frame-Größe → MTU ggf. anpassen
  3. QoS planen: Bei mehreren VLANs auf einem Interface kann QoS helfen, Engpässe zu vermeiden
  4. Monitoring aktivieren: Interface-Auslastung und Fehlerstatistiken überwachen
  5. Redundanz einplanen: Für produktive Umgebungen besser Layer-3-Switching oder mehrere Interfaces nutzen
  6. Sicherheitszonen definieren: Bei Firewall-on-a-Stick klare Policies zwischen VLANs setzen

Fazit

Das „on-a-stick“-Konzept ist eine einfache, elegante Lösung für VLAN-Routing oder -Segmentierung über ein einzelnes Interface. Es eignet sich hervorragend für kleine bis mittlere Netzwerke, Labors oder Testumgebungen, ist aber in großen, produktiven Umgebungen aufgrund von Skalierungs- und Redundanzgrenzen nur bedingt empfehlenswert. Mit korrekter Konfiguration und Monitoring kann es jedoch eine kosteneffiziente und funktionale Lösung darstellen.

Themen Technikzeug
Schlagworte Cisco Juniper SRX Router Firewall
π