Geltungsbereich: Yealink-Telefone an Starface über verschiedene Switch-Plattformen. Stand: Juni 2026
Worum es geht
An einem Switch-Port hängen zwei Geräte: das Telefon und dahinter, am Durchreich-Port des Telefons, ein PC. Auf einer Leitung kann aber nur ein VLAN untagged laufen. Daraus folgt das Muster, das auf allen Plattformen gleich ist:
- Daten-VLAN läuft untagged (native). Das ist der PC. Man stellt das nicht aktiv ein, es ist schlicht das, was der Switch mit allem macht, was ohne VLAN-Tag ankommt.
- Voice-VLAN läuft tagged. Das ist das Telefon. Es bekommt die VLAN-ID per LLDP-MED vom Switch und taggt seinen Traffic selbst.
Das aktive Gerät taggt sich also selbst, das passive bleibt untagged. Deshalb ist Daten native und Voice getaggt, nicht andersrum. Praktischer Nebeneffekt: Steckt jemand statt des Telefons direkt ein Notebook in die Dose, landet es im Daten-VLAN und nicht im Telefonnetz.
Beispielwerte hier: Voice-VLAN 13, Daten-VLAN 1. Pro Kunde an die dort gültigen IDs anpassen.
Voraussetzungen (alle Plattformen)
- Das Voice-VLAN existiert auf dem Switch (z. B. 13).
- Telefon-Port: Daten-VLAN untagged, Voice-VLAN tagged.
- Uplink-Port zur Firewall: Voice-VLAN tagged ergänzen. Wichtig: additiv, vorhandene VLANs nicht entfernen.
- LLDP bzw. LLDP-MED ist aktiv. Das ist der Mechanismus, der dem Telefon die VLAN-ID ansagt.
- Auf der Firewall (Securepoint UTM) gibt es ein VLAN-Interface fürs Voice-VLAN mit eigener Zone und DHCP-Bereich. Details in Abschnitt 8.
Fehlt Punkt 4, taggt das Telefon nicht und landet trotz korrektem Port-Tagging im Daten-VLAN.
Aruba / HP 2530 (AOS-S / ProCurve)
Verwaltung über CLI (SSH oder Konsole). Die Web-GUI kann das voice-Flag nicht setzen.
Konfiguration
configure terminal
vlan 13
name "Voice"
voice ! aktiviert die LLDP-MED Voice-Policy (zwingend)
tagged 1-9 ! Telefon-Ports
tagged 49 ! Uplink zur Firewall (additiv)
exit
! VLAN 1 muss man nicht anfassen. Alle Ports sind dort per Default
! untagged Mitglied, d. h. der PC-Port landet automatisch in VLAN 1.
write memory ! speichern, sonst nach Reboot wegSSH-Zugang
Der 2530 bietet nur veraltete Krypto-Algorithmen an, moderne SSH-Clients verweigern deshalb den Verbindungsaufbau. Für einen einmaligen Zugriff die alten Verfahren explizit erlauben:
ssh -oKexAlgorithms=+diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-rsa -oCiphers=+aes256-cbc admin@<switch-ip>Dauerhaft hinterlegen in ~/.ssh/config (unter Windows C:\Users\<user>\.ssh\config):
Host <switch-ip>
KexAlgorithms +diffie-hellman-group14-sha1
HostKeyAlgorithms +ssh-rsa
Ciphers +aes256-cbcVerifizieren
show vlans ! in der Voice-Spalte muss bei VLAN 13 "Yes" stehen
show vlans ports 1 detail ! Port: VLAN 1 untagged, VLAN 13 tagged?
show lldp info remote-device 1 ! Telefon erkannt, Network Policy VLAN 13?In der LLDP-Ausgabe gehören Media Policy Vlan id : 13 und Media Policy Tagged : True.
Cambium cnMatrix (z. B. EX2052)
Verwaltung über die Web-GUI unter Layer 2 → VLAN → Voice. Cambium bietet Voice- und Daten-VLAN als getrennte Felder an, das ist angenehm übersichtlich.
Vorher muss VLAN 13 unter Static VLANs angelegt sein.
Einstellungen (Reiter „Voice“)
| Feld | Wert |
|---|---|
| Voice VLAN | 13 |
| Voice Traffic Priority | 5 (Standard für Voice) |
| Voice Traffic DSCP | 46 (EF, Standard für Voice) |
| Voice VLAN Tagging | Tagged |
| Voice Data VLAN | 1 |
| Voice Data VLAN Tagging | Untagged |
| Voice Uplink Interface | Port zur Firewall |
Danach auf Apply.
Automated Voice VLAN (ab Firmware 4.2)
Ist das VLAN als Voice deklariert und der Uplink gesetzt, konfiguriert der Switch die Telefon-Ports selbst, sobald er per LLDP-MED ein Telefon erkennt. Wird das Telefon abgesteckt, räumt er die Config wieder weg. Bei älterer Firmware setzt man die Telefon-Ports manuell als Hybrid-Port (Voice 13 tagged, Daten 1 untagged).
LLDP muss aktiv sein (Layer 2 → LLDP, normalerweise Standard).
Aruba Instant On 1930 / 1960 (lokale Web-GUI)
Verwaltung über die lokale Web-GUI (https://<switch-ip>). SSH oder CLI gibt es bei Instant On nicht.
Im Cloud-Modus (Instant On App) läuft das anders, dort legt man ein „Wired Network“ mit Usage = Voice an. Dieser Abschnitt beschreibt den lokalen Modus.
- VLAN anlegen unter
VLAN → VLAN Configuration → Add, VLAN 13. Der VLAN-Wizard legt nur ein VLAN pro Durchlauf an, das wirkt wie ein Limit. ÜberVLAN Configurationdirekt gehen beliebig viele. Achtung:VLAN Interface Configurationsind die L3-Routing-Interfaces (max. 8), nicht damit verwechseln. - Ports taggen unter
VLAN → VLAN Membership – By Interface. Telefon-Port: VLAN 1 untagged, VLAN 13 tagged. Uplink-Port: VLAN 13 tagged, additiv. - Voice-VLAN aktivieren unter
Switching → Voice VLAN Configuration. Global: Voice VLAN enable, Voice VLAN ID 13, DSCP 46. UnterTelephony OUIprüfen, ob der Yealink-OUIC4:FC:22drinsteht, sonst eintragen. UnterVoice VLAN Interface Settingsan den Telefon-Ports aktivieren. - LLDP aktiv unter
Neighbor Discovery → LLDPbzw.LLDP-MED.
Die OUI-Erkennung sorgt für Priorisierung und Port-Mitgliedschaft. Dass das Telefon mit 13 taggt, lernt es aber über LLDP-MED. Ohne LLDP-MED nützt die OUI-Tabelle nichts.
Aruba Instant On 1830 (lokale Web-GUI)
Das ist das Einstiegsmodell und hat keine eigene „Voice VLAN“-Seite. Das Voice-Handling läuft hier komplett über LLDP-MED.
- VLAN anlegen unter
VLAN → VLAN Configuration → Add, VLAN 13. - Ports taggen unter
VLAN → VLAN Membership – By Interface. Telefon-Port: VLAN 1 untagged, VLAN 13 tagged. Uplink-Port: VLAN 13 tagged, additiv. - LLDP-MED unter
Neighbor Discovery → LLDP-MED. MED global und pro Port aufEnabled, TLVsCapabilities, Network Policy. UnterInterface Configurationdie Network Policy am Telefon-Port aktiv.
Telefon-Port finden
Auf Neighbor Discovery → LLDP-MED → Interface Configuration zeigt die Spalte „Operational Status“ pro Port Enabled, sobald ein MED-fähiges Gerät erkannt wurde. Das ist praktisch immer ein Telefon, also ein eingebauter „hier steckt ein Telefon“-Detektor. Unter „Remote Device Information“ auf derselben Seite steht, welche Network Policy ausgehandelt wurde. Das ist das 1830-Pendant zu show lldp info remote-device beim 2530.
Fallback, falls die MED-Advertisement zickt
Beim 1830 ist die VLAN-Ableitung über MED nicht immer zuverlässig. Sicher funktioniert es, wenn man das VLAN statisch am Telefon setzt: am Yealink unter Network → Advanced → VLAN → Internet Port VLAN die 13 eintragen (Enabled). Dann taggt das Telefon selbst, der Switch braucht nur VLAN 13 tagged am Port. Der Nachteil ist, dass man das pro Telefon einmal von Hand machen muss, also kein Plug-and-Play.
Aruba CX und Cisco IOS (Referenz)
Aruba CX (Cisco-ähnliche CLI):
vlan 13
name Voice
voice
interface 1/1/1
no shutdown
no routing
vlan trunk native 1 ! Daten untagged -> PC
vlan trunk allowed 1,13 ! die 1 muss mit rein, sonst kein DHCP am PC-PortStolperfalle bei CX: Steht unter allowed nur die 13, funktioniert das Telefon, aber der PC am Durchreich-Port bekommt kein DHCP. Die 1 muss explizit dabei sein.
Cisco IOS:
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 1 ! Daten untagged
switchport voice vlan 13 ! Voice getaggt, per CDP/LLDP-MED ans Telefon
spanning-tree portfastFirewall-Seite (Securepoint UTM)
Wenn jedes VLAN seinen eigenen DHCP-Server auf der Firewall hat, entfällt das DHCP-Relay (ip helper-address). Erreichbar muss das Voice-VLAN aber sein:
- Auf dem Switch-Port Richtung UTM läuft VLAN 13 tagged.
- Auf der UTM unter
Netzwerk → Netzwerkkonfigurationein VLAN-Interface mit ID 13 auf dem physischen Port anlegen. Es bekommt eine eigene IP (das Gateway fürs Telefonnetz), eine eigene Zone und einen eigenen DHCP-Bereich für den 13er-Scope.
Der häufigste Fehler an dieser Stelle: Switch-Seite sauber, aber auf der UTM fehlt das VLAN-Interface. Dann taggt das Telefon brav mit 13, nur lauscht niemand auf VLAN 13, also kommt keine IP.
Telefon-Seite (Yealink)
Im Normalfall muss man am Telefon nichts tun. LLDP ist ab Werk an (Network → Advanced → VLAN → LLDP = Enabled), das Telefon zieht die VLAN automatisch. Der PC-Port steht auf PC Port Mode = Bridge (Standard) und reicht den PC-Traffic untagged durch. Wer das VLAN statisch setzen will, trägt es unter Network → Advanced → VLAN → Internet Port VLAN ein.
Status prüfen am Telefon: unter Status → Netzwerk stehen IP und VLAN-ID, unter Account → Register der Registrierungsstatus an der Starface.
Wichtig ist, dass Netzwerk und Telefonie zwei getrennte Ebenen sind. Ein Telefon kann eine korrekte Voice-IP haben und sich trotzdem nicht anmelden, etwa wenn das Konto auf Disabled steht. Dann liegt es an der Provisionierung bzw. Endgeräte-Zuordnung an der Starface und nicht am VLAN.
Troubleshooting
| Symptom | Wahrscheinliche Ursache |
|---|---|
| Telefon zieht IP im Daten-VLAN statt Voice | voice-Flag bzw. LLDP-MED fehlt, oder Voice-VLAN am Port nicht tagged |
| Telefon zieht gar keine IP (169.254.x.x) | DHCP-Bereich fehlt, oder VLAN-Interface auf der UTM fehlt, oder Uplink nicht getaggt |
| PC am Telefon bekommt kein DHCP | Daten-VLAN am Port nicht untagged; bei Aruba CX fehlt die 1 unter allowed |
| Telefon hat IP, registriert sich aber nicht | Kein VLAN-Problem, sondern SIP-Account bzw. Provisionierung an der Starface |
| SSH zum alten Switch schlägt fehl | Legacy-Krypto erzwingen (Abschnitt 3) |
| Instant On zeigt nur ein VLAN an | Der Wizard legt nur eins pro Durchlauf an, über VLAN Configuration mehrere anlegen |
Plattform-Übersicht
| Plattform | Verwaltung | Voice-VLAN-Mechanismus |
|---|---|---|
| HP/Aruba 2530 (AOS-S) | CLI (SSH/Konsole) | voice-Flag am VLAN |
| Aruba CX | CLI (SSH) | voice-Flag am VLAN |
| Cisco IOS | CLI | switchport voice vlan |
| Cambium cnMatrix | Web-GUI | Voice-Reiter, Automated Voice VLAN |
| Instant On 1930/1960 | Web-GUI (lokal/Cloud) | Voice VLAN Configuration plus OUI |
| Instant On 1830 | Web-GUI (lokal/Cloud) | LLDP-MED Network Policy |
Über alle Plattformen hinweg bleibt es dasselbe: Daten untagged, Voice tagged, das Telefon meldet sich per LLDP-MED selbst. Nur die Oberfläche ist jedes Mal eine andere.