RabbitZ INFO

Switching → Switching & Segmentierung

Home / Switching → Switching & Segmentierung
View Categories

Switching → Switching & Segmentierung

22 min read

Switching → Switching & Segmentierung #

1. Überblick #

Switching und Segmentierung gehören zu den zentralen Grundlagen moderner Netzwerke. Sobald in einem Unternehmen mehr als nur wenige Endgeräte miteinander kommunizieren, reicht ein „alles hängt an allem“-Ansatz nicht mehr aus. Es braucht eine saubere Weiterleitung von Daten im lokalen Netzwerk und gleichzeitig eine logische Trennung von Kommunikationsbereichen. Genau hier greifen Switching und Segmentierung ineinander.

Ein Switch verbindet Geräte innerhalb eines lokalen Netzwerks auf OSI-Schicht 2 (Sicherungsschicht / Data Link Layer). Er entscheidet anhand von MAC-Adressen, an welchen Port ein Ethernet-Frame weitergeleitet werden muss. Dadurch unterscheidet er sich grundlegend von älteren Hubs, die Daten blind an alle Ports senden. Ein Switch schafft also Ordnung und Effizienz in der lokalen Kommunikation.

Segmentierung ergänzt dieses Prinzip, indem ein Netzwerk in kleinere, logisch oder physisch getrennte Teilbereiche aufgeteilt wird. Diese Trennung kann unterschiedliche Ziele verfolgen: bessere Performance, höhere Sicherheit, weniger Broadcast-Verkehr, klarere Zuständigkeiten oder die Isolation sensibler Systeme. Typische Mittel dafür sind VLANs, separate Switch-Infrastrukturen, unterschiedliche IP-Subnetze oder Sicherheitszonen.

Das Zusammenspiel beider Themen ist in der Praxis entscheidend:
Ein Switch allein sorgt für zielgerichtete Weiterleitung innerhalb eines Broadcast-Domänenbereichs. Erst durch Segmentierung entstehen klar getrennte Netzwerkbereiche wie beispielsweise „Clients“, „Server“, „VoIP“, „Gastnetz“, „Drucker“ oder „Management“.

Wer Netzwerke wirklich verstehen will, muss daher nicht nur wissen, dass Switches Frames weiterleiten und VLANs Netzwerke aufteilen, sondern auch wie diese Mechanismen technisch funktionieren, warum sie notwendig sind und welche Folgen falsche Planung oder Konfiguration in der Praxis haben.

2. Definition und Zweck #

Was ist Switching? #

Switching bezeichnet im lokalen Ethernet-Netzwerk den Vorgang, eingehende Frames an genau den Port weiterzuleichen, an dem sich das Zielgerät befindet. Ein Switch liest dazu den Ethernet-Header, merkt sich Quell-MAC-Adressen pro Port und baut daraus eine interne Zuordnungstabelle auf.

Das Ziel ist:

  • unnötigen Verkehr zu vermeiden
  • Bandbreite effizient zu nutzen
  • Kollisionen zu reduzieren
  • lokale Kommunikation skalierbar zu machen

Früher wurden Hubs eingesetzt. Ein Hub arbeitet im Prinzip wie ein elektrischer Verteiler: Alles, was reinkommt, geht an alle Ports raus. Ein Switch ist dagegen intelligent genug, die Daten nur dort hinzuschicken, wo sie gebraucht werden.

Was ist Segmentierung? #

Segmentierung bedeutet, ein Netzwerk in kleinere Bereiche zu unterteilen. Diese Bereiche können physisch oder logisch getrennt sein. In modernen Umgebungen erfolgt Segmentierung meist logisch per VLAN und zusätzlich auf Layer 3 per Routing und Firewall-Regeln.

Der Zweck ist:

  • Broadcast-Domänen zu verkleinern
  • Sicherheitszonen zu schaffen
  • unterschiedliche Gerätetypen sauber zu trennen
  • Fehlerbereiche einzugrenzen
  • Netzwerkbetrieb übersichtlicher und kontrollierbarer zu machen

Warum gibt es das überhaupt? #

Ohne Switching und Segmentierung würde ein wachsendes Netzwerk schnell unübersichtlich und ineffizient:

  • Jeder Broadcast würde alle Geräte erreichen.
  • Sicherheitskritische Systeme wären mit normalen Benutzer-PCs im gleichen Netz.
  • Störungen oder Fehlkonfigurationen würden sich auf alle Systeme auswirken.
  • Troubleshooting wäre deutlich schwieriger.
  • Compliance-Anforderungen wären kaum umsetzbar.

Switching löst also das Problem der gezielten lokalen Weiterleitung, Segmentierung das Problem der kontrollierten Trennung und Strukturierung.

3. Grundprinzip #

Stellen wir uns ein Büro mit mehreren Räumen vor.

  • Der Switch ist vergleichbar mit einer intelligenten Poststelle im Gebäude.
  • Jede Netzwerkkarte eines Geräts hat eine MAC-Adresse, vergleichbar mit einer internen Empfängerkennung.
  • Die Poststelle merkt sich, in welchem Raum welcher Empfänger sitzt.
  • Kommt ein Brief rein, wird er gezielt in den richtigen Raum gebracht.

Die Segmentierung ist dann die Aufteilung des Gebäudes in Bereiche:

  • Buchhaltung
  • Entwicklung
  • Geschäftsleitung
  • Besucherbereich
  • Technikraum

Nicht jeder darf mit jedem direkt kommunizieren. Manche Bereiche dürfen nur eingeschränkt miteinander sprechen, manche gar nicht. Genau das bildet Segmentierung im Netzwerk ab.

Einfaches Grundmodell #

Ein Switch trennt Kollisionsdomänen, aber ohne VLANs nicht automatisch Broadcast-Domänen.
Das ist ein zentraler Punkt.

  • Kollisionsdomäne: Bereich, in dem Ethernet-Kollisionen auftreten könnten
  • Broadcast-Domäne: Bereich, in dem Broadcasts alle Teilnehmer erreichen

Ein moderner Switch sorgt dafür, dass jeder Port seine eigene Kollisionsdomäne darstellt.
Broadcasts wie ARP-Anfragen werden ohne Segmentierung aber weiterhin an alle Ports innerhalb desselben VLANs weitergeleitet.

Deshalb lautet die praktische Grundregel:

Switching verbessert die lokale Weiterleitung.
Segmentierung begrenzt, wer überhaupt Teil derselben Kommunikationsdomäne ist.

4. Technische Funktionsweise im Detail #

4.1 Ethernet-Frame als Grundlage #

Ein Switch verarbeitet auf Layer 2 in der Regel Ethernet-Frames. Ein stark vereinfachter Aufbau sieht so aus:

+----------------+----------------+----------------+------------------+------+
| Ziel-MAC       | Quell-MAC      | EtherType/Len  | Nutzdaten        | FCS  |
+----------------+----------------+----------------+------------------+------+

Optional kann bei VLAN-Nutzung noch ein 802.1Q-Tag eingefügt sein:

+-----------+-----------+---------+-------------+-------------+------+
| Ziel-MAC  | Quell-MAC | 802.1Q  | EtherType   | Nutzdaten   | FCS  |
+-----------+-----------+---------+-------------+-------------+------+

Der Switch interessiert sich besonders für:

  • Quell-MAC
  • Ziel-MAC
  • VLAN-Information
  • Eingangsport

Was ist eine MAC-Adresse? #

Die MAC-Adresse ist die eindeutige Hardware-Adresse einer Netzwerkschnittstelle auf Layer 2. Sie wird meist hexadezimal dargestellt, z. B.:

00:1A:2B:3C:4D:5E

Für Switching ist sie die zentrale Identität im lokalen Segment.

4.2 MAC-Learning: Wie der Switch „lernt“ #

Ein Switch kennt beim Einschalten zunächst nicht automatisch alle Geräte. Er lernt sie dynamisch.

Ablauf Schritt für Schritt #

  1. Ein Frame kommt an Port 5 an.
  2. Der Switch liest die Quell-MAC-Adresse.
  3. Er speichert intern:
    MAC X befindet sich an Port 5 im VLAN Y
  4. Anschließend prüft er die Ziel-MAC-Adresse.
  5. Falls das Ziel bekannt ist, leitet er gezielt nur an den passenden Port weiter.
  6. Falls das Ziel unbekannt ist, wird der Frame geflutet.

Beispiel:

  • PC-A sendet mit MAC AA:AA:AA:AA:AA:AA
  • Der Frame kommt an Port 3 an
  • Der Switch lernt:
    AA:AA:AA:AA:AA:AA -> Port 3

Später sendet PC-B an diese Adresse. Dann weiß der Switch sofort, wohin der Frame muss.

CAM/MAC-Adress-Tabelle #

Intern führt der Switch eine Tabelle, oft als MAC Address Table oder CAM Table bezeichnet.

Beispiel:

VLANMAC-AdressePort
10AA:AA:AA:AA:AA:AAGi0/3
10BB:BB:BB:BB:BB:BBGi0/7
20CC:CC:CC:CC:CC:CCGi0/12

Wichtig: Diese Tabelle ist nicht global unabhängig vom VLAN, sondern typischerweise pro VLAN relevant. Dieselbe MAC kann in anderen logischen Kontexten anders behandelt werden.

4.3 Unknown Unicast, Broadcast und Multicast #

Known Unicast #

Ist die Ziel-MAC bekannt, sendet der Switch den Frame nur an den Zielport.

Unknown Unicast #

Ist die Ziel-MAC unbekannt, wird der Frame an alle Ports im gleichen VLAN geflutet, außer dem Eingangsport.

Broadcast #

Ein Broadcast nutzt die Zieladresse:

FF:FF:FF:FF:FF:FF

Solche Frames gehen an alle Geräte im gleichen Broadcast-Bereich, z. B. bei ARP.

Multicast #

Multicast richtet sich an eine definierte Gruppe von Empfängern. Ohne Optimierungsmechanismen verhalten sich viele Switches hier zunächst ähnlich wie bei Flooding. Erweiterte Funktionen wie IGMP Snooping helfen, Multicast gezielter zu behandeln.

4.4 Forwarding-Entscheidung des Switches #

Vereinfacht läuft die Entscheidung so ab:

Frame empfangen
   |
   v
Quell-MAC lernen
   |
   v
Ziel-MAC prüfen
   |
   +--> bekannt? ---- Ja ---> an Zielport senden
   |
   +--> Nein --------> Flooding im VLAN

Zusätzliche Prüfungen können sein:

  • Ist der Zielport überhaupt aktiv?
  • Ist der Port Mitglied desselben VLANs?
  • Gibt es STP-Status, der den Port blockiert?
  • Greifen Sicherheitsrichtlinien wie Port Security?
  • Muss QoS priorisieren?
  • Ist es ein spezieller Control-Plane-Frame?

4.5 Store-and-Forward, Cut-Through, Fragment-Free #

Switches arbeiten nicht alle identisch bei der Frame-Verarbeitung.

Store-and-Forward #

Der komplette Frame wird erst vollständig empfangen, dann auf Fehler geprüft und anschließend weitergeleitet.

Vorteile:

  • Fehlererkennung per FCS
  • bessere Kontrolle
  • Standard in vielen Umgebungen

Nachteile:

  • etwas höhere Latenz

Cut-Through #

Der Switch beginnt mit der Weiterleitung bereits, sobald die Ziel-MAC gelesen wurde.

Vorteile:

  • geringere Latenz

Nachteile:

  • beschädigte Frames können unter Umständen weitergeleitet werden

Fragment-Free #

Zwischenform: Der Switch wartet die ersten Bytes ab, bevor er weiterleitet, um typische Kollisionsfragmente auszufiltern.

In modernen Enterprise-Netzwerken ist Store-and-Forward am häufigsten.

4.6 Mikrosegmentierung auf Port-Ebene #

Jeder Switchport bildet typischerweise eine eigene Kollisionsdomäne. Das war ein großer Fortschritt gegenüber Hubs.

Früher mit Hub:

PC1 ---\
PC2 ---- HUB ---- Uplink
PC3 ---/

Alle teilen sich dieselbe Kollisionsdomäne.

Mit Switch:

PC1 ---- Port1
PC2 ---- Port2   SWITCH ---- Uplink
PC3 ---- Port3

Jeder Port ist separat. Das reduziert Kollisionen drastisch und verbessert den Durchsatz.

4.7 Segmentierung mit VLANs #

Was ist ein VLAN? #

Ein Virtual LAN (VLAN) ist eine logische Trennung auf Layer 2. Geräte in unterschiedlichen VLANs verhalten sich so, als wären sie an verschiedenen physischen Switches angeschlossen, auch wenn sie tatsächlich dieselbe Hardware nutzen.

Beispiel:

  • VLAN 10 = Clients
  • VLAN 20 = Server
  • VLAN 30 = Voice
  • VLAN 40 = Gäste
  • VLAN 99 = Management

Ein Gerät in VLAN 10 kann nicht direkt per Layer 2 mit einem Gerät in VLAN 20 kommunizieren. Dafür braucht es Routing.

Warum VLANs so wichtig sind #

Ohne VLANs müssten für jede Trennung oft eigene physische Switches oder getrennte Verkabelung eingesetzt werden. VLANs ermöglichen dieselbe logische Trennung effizienter und flexibler.

4.8 Access-Port und Trunk-Port #

Access-Port #

Ein Access-Port gehört genau zu einem VLAN. Endgeräte wie PCs, Drucker oder einfache Server hängen meist an Access-Ports.

Beispiel:

  • Port Gi0/5 ist Access-Port im VLAN 10
  • Alle ungetaggten Frames an diesem Port gehören zu VLAN 10

Trunk-Port #

Ein Trunk-Port transportiert mehrere VLANs gleichzeitig über eine physische Verbindung, typischerweise zwischen:

  • Switch und Switch
  • Switch und Hypervisor
  • Switch und Router
  • Switch und Firewall

Dazu wird VLAN-Information meist per IEEE 802.1Q in den Frame eingefügt.

4.9 802.1Q-Tagging im Detail #

Bei einem Trunk muss der Empfänger wissen, zu welchem VLAN ein Frame gehört. Dafür wird ein VLAN-Tag eingefügt.

Wichtige Bestandteile des Tags:

  • TPID (Tag Protocol Identifier): Kennzeichnung, dass ein VLAN-Tag vorhanden ist
  • PCP: Priorisierung (Class of Service)
  • DEI: Drop Eligible Indicator
  • VID: VLAN-ID

VLAN-ID #

Die VLAN-ID identifiziert das VLAN. In der Praxis sind VLANs wie 10, 20, 30, 100 üblich.

Wichtige Begriffe:

  • Native VLAN: VLAN, dessen Frames auf manchen Trunks ungetaggt übertragen werden
  • Tagged Frames: Frames mit VLAN-Tag
  • Untagged Frames: Frames ohne VLAN-Tag

Eine häufige Fehlerquelle ist ein Native-VLAN-Mismatch, wenn zwei Trunk-Enden unterschiedliche Erwartungen an ungetaggten Verkehr haben.

4.10 Inter-VLAN-Kommunikation: Warum Routing nötig ist #

VLANs trennen Broadcast-Domänen. Kommunikation zwischen VLAN 10 und VLAN 20 ist daher nicht direkt per Layer 2 möglich.

Dazu braucht man ein Gerät mit Layer-3-Funktionalität:

  • Router
  • Layer-3-Switch
  • Firewall

Beispiel:

PC in VLAN 10  --->  Default Gateway VLAN 10
                           |
                           v
                    Layer-3-Routing
                           |
                           v
Server in VLAN 20

Typischer Ablauf #

  1. PC in VLAN 10 will Server in VLAN 20 erreichen.
  2. Er erkennt anhand der Subnetzmaske: Ziel liegt nicht im eigenen Netz.
  3. Er sendet das Paket an sein Default Gateway.
  4. Das Gateway besitzt Schnittstellen oder SVIs für beide VLANs.
  5. Es routet das Paket in VLAN 20 weiter.
  6. Optional prüft eine ACL oder Firewall-Regel, ob das erlaubt ist.

Damit wird klar:
VLANs strukturieren Layer 2, Routing verbindet Layer 3.

4.11 Spanning Tree Protocol (STP): Schutz vor Layer-2-Schleifen #

Layer-2-Schleifen sind extrem gefährlich. Anders als auf Layer 3 gibt es bei Ethernet-Broadcasts keinen TTL-Mechanismus, der Frames zuverlässig abbaut. Eine Schleife kann daher zu einem Broadcast Storm führen.

Beispiel für eine Schleife #

Switch A ----- Switch B
   |              |
   |              |
   +---- Switch C-+

Wenn mehrere aktive Verbindungen ohne Schleifenschutz bestehen, können Broadcasts endlos kreisen.

Aufgabe von STP #

Spanning Tree Protocol erkennt redundante Pfade und blockiert selektiv bestimmte Ports, sodass logisch nur ein schleifenfreier Baum aktiv bleibt.

Grundidee #

  1. Switches wählen eine Root Bridge.
  2. Jeder Switch berechnet den besten Pfad zur Root.
  3. Überflüssige Pfade werden blockiert.
  4. Fällt ein aktiver Link aus, kann ein blockierter Pfad aktiv werden.

Warum das wichtig ist #

Redundanz ist erwünscht, Schleifen sind gefährlich. STP ermöglicht beides:

  • physische Redundanz
  • logische Schleifenfreiheit

Moderne Varianten:

  • STP
  • RSTP
  • MSTP

4.12 ARP, Broadcasts und Segmentierung #

Ein sehr praxisrelevanter Zusammenhang:

Viele Netzwerke „funktionieren“, obwohl man ihre Broadcast-Mechanismen kaum beachtet. Bei Wachstum wird das jedoch zum Problem.

Beispiel ARP #

Wenn ein Host die MAC-Adresse zu einer IPv4-Adresse im gleichen Subnetz nicht kennt, sendet er einen ARP-Broadcast:

Wer hat 192.168.10.20? Bitte antworte an 192.168.10.5

Alle Geräte im selben VLAN erhalten diesen Broadcast. Nur das Ziel antwortet.

In kleinen Netzen ist das unkritisch. In großen, unsegmentierten Netzen führt es jedoch zu:

  • unnötiger Last
  • mehr Störungen
  • schwierigerer Fehlersuche

Segmentierung begrenzt daher nicht nur Sicherheitsthemen, sondern auch Broadcast-Reichweite.

5. Wichtige Bestandteile / Mechanismen / Konzepte #

5.1 MAC-Adress-Tabelle #

Sie ist das Gedächtnis des Switches für Layer-2-Weiterleitung. Einträge altern nach einer gewissen Zeit aus, wenn kein Verkehr mehr zu sehen ist.

Wichtig:
Wenn Einträge fehlen oder ständig wechseln, kann das auf Probleme hindeuten, etwa:

  • flappende Links
  • falsch angeschlossene Geräte
  • Schleifen
  • MAC Flooding
  • Virtualisierung mit wechselnden MACs

5.2 Broadcast-Domäne #

Ein Broadcast wird an alle Geräte innerhalb derselben Broadcast-Domäne gesendet. VLANs erzeugen getrennte Broadcast-Domänen.

Faustregel:

  • Ein VLAN = eine Layer-2-Broadcast-Domäne
  • Häufig korreliert das mit einem IP-Subnetz

5.3 Kollisionsdomäne #

Bei modernen Full-Duplex-Switchverbindungen spielen klassische Kollisionen kaum noch eine Rolle, der Begriff ist aber didaktisch wichtig.

  • Hub: viele Geräte in einer Kollisionsdomäne
  • Switch: pro Port eigene Kollisionsdomäne

5.4 VLANs als logische Netzwerkgrenzen #

VLANs sind keine Sicherheitslösung allein, aber sie sind eine wichtige Strukturierungsmaßnahme. Erst in Kombination mit Routing-Policies, ACLs oder Firewalls entsteht kontrollierte Kommunikation.

5.5 Trunking #

Trunking ermöglicht den Transport mehrerer VLANs über einen Link. Das ist essenziell für:

  • Switch-Uplinks
  • Server-Virtualisierung
  • Access Point Uplinks
  • Router-on-a-Stick
  • Firewalls mit mehreren logischen Interfaces

5.6 Native VLAN #

Das Native VLAN ist historisch und betrieblich relevant, aber auch fehleranfällig. In gut strukturierten Netzen wird es bewusst geplant und oft von produktivem Verkehr getrennt.

Typische Best Practice:

  • kein produktives Benutzer-VLAN als Native VLAN
  • Native VLAN auf beiden Seiten identisch
  • unbenutzte VLANs nicht unnötig erlauben
  • möglichst restriktive Trunk-Zulassung

5.7 STP / RSTP / MSTP #

Diese Protokolle verhindern Schleifen und regeln Redundanz auf Layer 2.

  • STP: klassisch, eher träge
  • RSTP: schneller
  • MSTP: besser für viele VLANs skalierbar

5.8 Port Security #

Ein Sicherheitsmechanismus, mit dem festgelegt werden kann, wie viele und welche MAC-Adressen an einem Port erlaubt sind.

Einsatzfälle:

  • Schutz vor unerlaubten Geräten
  • Begrenzung von MAC Flooding
  • Absicherung von Client-Ports

Beispielidee:

  • Maximal 1 oder 2 MAC-Adressen pro Arbeitsplatzport
  • Bei Verstoß: Port blockieren oder Alarm auslösen

5.9 LLDP / CDP #

Nachbarschaftsprotokolle helfen bei der Netzwerkerkennung.

  • LLDP: standardisiert
  • CDP: herstellerspezifisch (Cisco)

Sie sind nicht direkt Teil des Switching-Grundprinzips, aber in Betrieb und Troubleshooting äußerst nützlich.

5.10 QoS im Switching-Kontext #

Switches können Verkehr priorisieren, etwa:

  • VoIP
  • Video
  • Steuerverkehr
  • Management

Besonders im Zusammenspiel mit VLANs ist das wichtig, z. B. für ein dediziertes Voice-VLAN.

6. Einsatzgebiete in der Praxis #

Switching und Segmentierung begegnen uns fast überall, wo professionelle Netzwerke betrieben werden.

Büro- und Unternehmensnetzwerke #

Typische Trennung:

  • Clients
  • Server
  • Drucker
  • VoIP
  • Gäste
  • Management

Das sorgt dafür, dass nicht jeder Rechner mit jedem System direkt kommuniziert.

Rechenzentren #

Hier spielen zusätzlich eine Rolle:

  • hohe Portdichten
  • Trunking zu Hypervisoren
  • Storage-Netze
  • Mandantentrennung
  • redundante Pfade
  • Layer-2- und Layer-3-Design

Industrie und OT #

In Produktionsumgebungen werden Steuerungsnetze oft besonders segmentiert, um:

  • Anlagenstabilität zu sichern
  • Broadcasts zu begrenzen
  • Büro-IT und Produktions-IT zu trennen
  • Sicherheitszonen zu schaffen

WLAN-Infrastrukturen #

Ein Access Point kann mehrere SSIDs auf verschiedene VLANs abbilden:

  • Mitarbeiter-WLAN → VLAN 10
  • Gast-WLAN → VLAN 40
  • IoT-WLAN → VLAN 50

Hier zeigt sich die direkte Praxisrelevanz von Trunking und Segmentierung.

Bildung, Krankenhäuser, Hotellerie #

Besonders wichtig sind dort:

  • Rollentrennung
  • Datenschutz
  • Gastzugänge
  • Management-Netze
  • Medizingeräte oder Spezialgeräte in getrennten Segmenten

7. Mehrere ausführliche Praxisbeispiele #

7.1 Praxisbeispiel 1: Kleines Büro ohne Segmentierung #

Ausgangssituation #

Ein kleines Unternehmen hat:

  • 15 PCs
  • 2 Drucker
  • 1 NAS
  • 1 Router
  • 1 Switch

Alles ist im gleichen Netz:
192.168.1.0/24

Ablauf #

Alle Geräte befinden sich im gleichen VLAN, faktisch also in derselben Broadcast-Domäne.

Wenn PC1 mit dem NAS kommuniziert:

  1. PC1 prüft, ob das NAS im gleichen Subnetz liegt.
  2. Ja, also wird per ARP die MAC des NAS ermittelt.
  3. Der ARP-Broadcast geht an alle Geräte.
  4. Das NAS antwortet mit seiner MAC.
  5. Danach sendet PC1 die Daten direkt an die MAC des NAS.
  6. Der Switch leitet die Frames gezielt weiter, sobald er beide Geräte gelernt hat.

Bedeutung #

Das funktioniert in kleinen Umgebungen meist problemlos.
Aber schon hier gibt es Nachteile:

  • jeder Broadcast erreicht alle Geräte
  • kein Sicherheitsabstand zwischen PCs und NAS
  • Drucker und Clients liegen im gleichen Layer-2-Bereich
  • Gastgeräte könnten leicht ins gleiche Netz geraten

Didaktischer Kern #

Dieses Beispiel zeigt:
Switching allein reicht für kleine Netze oft aus, aber es schafft noch keine echte Struktur.

7.2 Praxisbeispiel 2: Büro mit sinnvoller VLAN-Segmentierung #

Ausgangssituation #

Das Unternehmen wächst auf 80 Mitarbeitende. Neu hinzu kommen:

  • IP-Telefone
  • Server
  • Gäste-WLAN
  • Netzwerkmanagement
  • Druckerflotte

Netzdesign:

  • VLAN 10: Clients
  • VLAN 20: Server
  • VLAN 30: Voice
  • VLAN 40: Gäste
  • VLAN 99: Management

Je VLAN gibt es ein eigenes IP-Subnetz:

  • VLAN 10 → 192.168.10.0/24
  • VLAN 20 → 192.168.20.0/24
  • VLAN 30 → 192.168.30.0/24
  • VLAN 40 → 192.168.40.0/24
  • VLAN 99 → 192.168.99.0/24

Ablauf #

Ein Arbeitsplatz mit PC und IP-Telefon ist an einem Switchport angeschlossen.

Typisches Design:

  • Telefon nutzt VLAN 30
  • Dahinter angeschlossener PC nutzt VLAN 10

Der Switchport kann so konfiguriert sein, dass er:

  • Datenverkehr des PCs als Access-VLAN 10 behandelt
  • Telefonverkehr per Voice-VLAN 30 priorisiert

Wenn der PC einen Server im VLAN 20 erreichen will:

  1. Der PC erkennt: Ziel liegt nicht im lokalen Subnetz.
  2. Er sendet an sein Default Gateway in VLAN 10.
  3. Der Layer-3-Switch oder Router routet in VLAN 20.
  4. Eine ACL oder Firewall kann prüfen, ob die Verbindung erlaubt ist.
  5. Der Server antwortet über sein Gateway zurück.

Bedeutung #

Jetzt sind mehrere zentrale Ziele erreicht:

  • Broadcasts sind pro VLAN begrenzt.
  • Gäste gelangen nicht direkt an Server.
  • Management ist getrennt von Nutzerverkehr.
  • Sprachverkehr kann priorisiert werden.
  • Richtlinien lassen sich gezielt anwenden.

Didaktischer Kern #

Dieses Beispiel zeigt die eigentliche Stärke von Segmentierung:
Nicht nur Ordnung, sondern kontrollierbare Kommunikation.

7.3 Praxisbeispiel 3: Gastnetz mit Sicherheitsgrenze #

Ausgangssituation #

Ein Unternehmen bietet Gästen WLAN an. Früher wurden Gäste einfach ins normale Firmennetz eingebunden. Das führte zu Risiken.

Neue Struktur:

  • Mitarbeiter-WLAN → VLAN 10
  • Gast-WLAN → VLAN 40

Ablauf #

Ein Gast verbindet sich mit dem WLAN „Guest“.

  1. Der Access Point ordnet diese SSID dem VLAN 40 zu.
  2. Über den Trunk-Uplink zum Switch wird der Verkehr getaggt transportiert.
  3. Der Switch übergibt das VLAN 40 an die Firewall.
  4. Die Firewall erlaubt nur:
    • DNS
    • DHCP
    • HTTP/HTTPS ins Internet
  5. Zugriff auf interne RFC1918-Netze wird blockiert.

Bedeutung #

Der Gast kann im Internet surfen, aber keine Drucker, Fileserver oder Management-Interfaces des Unternehmens erreichen.

Typischer Fehler in der Praxis #

Viele glauben, ein getrenntes WLAN-SSID allein sei schon sicher. Das stimmt nicht zwingend. Entscheidend ist die dahinterliegende Segmentierung und Policy-Durchsetzung.

Didaktischer Kern #

Segmentierung ist erst dann wirksam, wenn Grenzen technisch und regelbasiert durchgesetzt werden.

7.4 Praxisbeispiel 4: Server-Virtualisierung mit Trunk zum Hypervisor #

Ausgangssituation #

Ein VMware-, Hyper-V- oder Proxmox-Host betreibt mehrere virtuelle Maschinen:

  • Webserver in VLAN 20
  • Datenbankserver in VLAN 21
  • Management in VLAN 99
  • Backup-Netz in VLAN 50

Der physische Uplink des Hosts zum Switch ist ein Trunk.

Ablauf #

  1. Der Switchport zum Hypervisor ist als Trunk konfiguriert.
  2. Mehrere VLANs sind auf diesem Uplink erlaubt.
  3. Die virtuellen Switches oder Portgruppen im Hypervisor ordnen einzelne VMs den VLANs zu.
  4. Frames verlassen den Host mit passender VLAN-ID.
  5. Der physische Switch behandelt sie im jeweiligen VLAN-Kontext.

Bedeutung #

So können viele logisch getrennte Netze über wenige physische Links transportiert werden.

Typische Risiken #

  • falsche VLAN-Zuordnung einer VM
  • versehentlich zu viele VLANs auf dem Trunk erlaubt
  • Management und Nutzdaten nicht sauber getrennt
  • Sicherheitsregeln nur auf Layer 2 gedacht, aber nicht auf Layer 3/Firewall durchgesetzt

Didaktischer Kern #

Dieses Beispiel zeigt, dass Segmentierung nicht nur im Access-Bereich relevant ist, sondern auch massiv in Virtualisierungsumgebungen.

7.5 Praxisbeispiel 5: Broadcast-Storm durch Schleife #

Ausgangssituation #

Ein Administrator verbindet aus Versehen zwei Access-Ports desselben Switches mit einem Patchkabel oder verbindet Switches redundant, ohne STP korrekt zu beachten.

Ablauf #

  1. Ein Broadcast tritt auf, z. B. ARP.
  2. Der Frame läuft über die Schleife.
  3. Da Layer 2 keinen TTL-Mechanismus wie IP hat, wird der Broadcast immer wieder weiterkopiert.
  4. Die Last steigt exponentiell.
  5. Switch-CPU und Bandbreite werden belastet.
  6. Netzwerk wirkt langsam oder fällt aus.

Symptome #

  • hohe Auslastung
  • instabile Erreichbarkeit
  • MAC-Adress-Tabelle verändert sich ständig
  • Logs zeigen MAC-Flapping oder STP-Ereignisse

Bedeutung #

Dieses Problem ist real und sehr häufig in schlecht kontrollierten Umgebungen.

Didaktischer Kern #

Redundanz ohne Schleifenschutz ist kein Vorteil, sondern ein Ausfallrisiko.
STP ist kein optionales Extra, sondern essenziell.

8. Typische Probleme, Fehler und Missverständnisse #

8.1 „Ein Switch ist dasselbe wie ein Hub“ #

Falsch. Ein Hub repliziert Verkehr an alle Ports. Ein Switch trifft gezielte Weiterleitungsentscheidungen anhand von MAC-Adressen.

8.2 „Ein VLAN ist automatisch eine Sicherheitslösung“ #

Nur teilweise richtig. Ein VLAN trennt Layer-2-Domänen, aber echte Sicherheit entsteht erst durch:

  • Routing-Kontrolle
  • ACLs
  • Firewalls
  • Zugriffskonzepte
  • sichere Management-Wege

Ein falsch konfiguriertes Routing kann VLAN-Trennung praktisch wirkungslos machen.

8.3 „Ein großes gemeinsames Netz ist einfacher“ #

Anfangs vielleicht, langfristig fast nie. Große unsegmentierte Netze führen zu:

  • mehr Broadcasts
  • schlechterer Übersicht
  • höherem Risiko
  • erschwerter Fehlersuche
  • unklaren Verantwortlichkeiten

8.4 Native-VLAN-Mismatches #

Wenn zwei Trunk-Seiten unterschiedliche Native VLANs erwarten, kann ungetaggter Verkehr falsch zugeordnet werden. Das erzeugt schwer erkennbare Fehlerbilder.

8.5 Zu viele VLANs auf einem Trunk erlaubt #

Oft werden auf Trunks „einfach alle VLANs“ freigegeben. Das ist bequem, aber unsauber und riskant. Besser ist die explizite Einschränkung auf benötigte VLANs.

8.6 Kein klares Mapping VLAN ↔ Subnetz ↔ Zweck #

Wenn VLAN-Nummern, IP-Netze und Nutzung wild gemischt sind, leidet die Betriebssicherheit. Gute Netzwerke haben ein konsistentes Schema.

Beispiel:

  • VLAN 10 → Clients → 192.168.10.0/24
  • VLAN 20 → Server → 192.168.20.0/24
  • VLAN 30 → Voice → 192.168.30.0/24

8.7 Unbenutzte Ports bleiben aktiv #

Ein häufiger Sicherheitsfehler. Nicht genutzte Ports sollten deaktiviert oder in ein isoliertes VLAN verschoben werden.

8.8 Schleifen durch unbedachte Verkabelung #

Gerade in Etagenverteilern, Laborumgebungen oder bei schnellen Umbauten kommt das oft vor. Fehlende Dokumentation verstärkt das Problem.

8.9 Verwechslung von Layer 2 und Layer 3 #

Ein häufiger Denkfehler ist:

„Warum kann Gerät A in VLAN 10 Gerät B in VLAN 20 nicht direkt erreichen, obwohl beide am gleichen Switch hängen?“

Antwort:
Weil derselbe physische Switch nicht automatisch bedeutet, dass dieselbe logische Layer-2-Domäne vorliegt. Zwischen VLANs ist Routing erforderlich.

9. Sicherheit / Risiken #

9.1 VLAN Hopping #

Unter bestimmten Fehlkonfigurationen kann ein Angreifer versuchen, Verkehr in andere VLANs zu gelangen. Moderne Geräte und saubere Konfiguration minimieren das Risiko, aber typische Gegenmaßnahmen sind:

  • ungenutzte DTP-/Autonegotiation-Funktionen deaktivieren
  • Access-Ports explizit als Access setzen
  • Native VLAN bewusst wählen
  • unbenutzte VLANs nicht auf Trunks erlauben

9.2 MAC Flooding #

Ein Angreifer sendet sehr viele Frames mit gefälschten Quell-MACs, um die MAC-Tabelle zu überlasten. Der Switch könnte dann unbekannten Verkehr fluten, was Mitschneiden erleichtert.

Gegenmaßnahmen:

  • Port Security
  • Rate Limiting
  • moderne Switch-Schutzmechanismen
  • Monitoring

9.3 ARP-Spoofing / ARP-Poisoning #

In lokalen Netzen können Angreifer gefälschte ARP-Antworten senden, um sich zwischen Kommunikationspartner zu schalten.

Gegenmaßnahmen:

  • Dynamic ARP Inspection
  • DHCP Snooping
  • statische ARP-Einträge in Spezialfällen
  • Segmentierung sensibler Netze

9.4 Unsichere Management-Zugänge #

Switch-Management über dasselbe allgemeine Client-Netz ist riskant. Besser:

  • dediziertes Management-VLAN
  • Zugriff nur von Admin-Systemen
  • SSH statt Telnet
  • SNMPv3 statt veralteter Varianten
  • Logging und AAA

9.5 Fehlende Trennung von IoT, OT und Office-IT #

Viele Angriffe oder Seitwärtsbewegungen gelingen, weil Geräte mit schwacher Sicherheit im gleichen Netz wie kritische Systeme hängen.

Typische Problemgeräte:

  • Kameras
  • Drucker
  • Smart-TVs
  • Zutrittssysteme
  • Sensorik
  • Altgeräte in Produktionsnetzen

Segmentierung reduziert hier den Schadenradius erheblich.

10. Vergleich mit ähnlichen Technologien #

10.1 Switch vs. Hub #

MerkmalHubSwitch
OSI-SchichtLayer 1Layer 2
Weiterleitungan alle Portsgezielt nach MAC
Kollisionsdomänengemeinsampro Port
Effizienzgeringhoch
Einsatz heutepraktisch obsoletStandard

10.2 Switch vs. Router #

MerkmalSwitchRouter
HauptfunktionLayer-2-WeiterleitungLayer-3-Routing
GrundlageMAC-AdressenIP-Adressen
Broadcast-Domänebleibt im VLANtrennt Broadcast-Domänen
Inter-VLAN-Kommunikationnein, außer L3-Switchja

Ein Layer-3-Switch vereint beide Welten teilweise:
Er kann lokal sehr schnell routen und gleichzeitig klassisches Switching leisten.

10.3 VLAN vs. physisch getrenntes Netz #

VLAN #

  • flexibel
  • kosteneffizient
  • logisch getrennt
  • benötigt saubere Konfiguration

Physische Trennung #

  • maximale Isolierung
  • höherer Aufwand
  • mehr Hardware und Verkabelung
  • in Hochsicherheitsbereichen oft sinnvoll

In der Praxis ist meist eine Mischung sinnvoll:
logische Trennung per VLAN plus physische Trennung dort, wo Schutzbedarf besonders hoch ist.

10.4 Segmentierung vs. Mikrosegmentierung #

Klassische Segmentierung arbeitet oft mit VLANs und Subnetzen.
Mikrosegmentierung geht feiner vor, etwa per hostbasierter Firewall oder softwaredefinierter Policy auf Workload-Ebene.

Beispiel:

  • VLAN trennt „Server“ von „Clients“
  • Mikrosegmentierung trennt zusätzlich Webserver von Datenbankservern innerhalb des Rechenzentrums

11. Praxis-Teil (Befehle, Tools, reale Anwendungsszenarien) #

Die exakte Syntax hängt vom Hersteller ab. Die folgenden Beispiele orientieren sich an gängigen CLI-Konzepten, vor allem aus Cisco-ähnlichen Umgebungen. Inhaltlich sind die Prinzipien aber allgemein gültig.

11.1 Wichtige Diagnosefragen in der Praxis #

Wenn Switching oder Segmentierung Probleme machen, helfen diese Fragen:

  1. Ist der Link physisch up?
  2. Ist der Port im richtigen VLAN?
  3. Ist der Uplink Access oder Trunk?
  4. Sind auf dem Trunk die richtigen VLANs erlaubt?
  5. Stimmt das Native VLAN?
  6. Lernt der Switch die MAC-Adresse am erwarteten Port?
  7. Ist STP aktiv und blockiert ggf. einen Pfad?
  8. Liegt das Problem auf Layer 2 oder bereits auf Layer 3?
  9. Funktioniert ARP?
  10. Verhindert eine ACL oder Firewall die Kommunikation?

11.2 Typische Show-Befehle #

VLANs anzeigen #

show vlan brief

Zeigt typischerweise:

  • vorhandene VLANs
  • Namen
  • zugeordnete Access-Ports

MAC-Adress-Tabelle prüfen #

show mac address-table

Oder gefiltert:

show mac address-table address AA:AA:AA:AA:AA:AA

Wichtig für:

  • Gerät lokalisieren
  • MAC-Flapping erkennen
  • unbekannte Geräte finden

Trunk-Status anzeigen #

show interfaces trunk

Hilft bei:

  • erlaubten VLANs
  • aktivem Tagging
  • Native VLAN
  • Trunk-Zustand

Interface-Status prüfen #

show interfaces status

Zeigt oft:

  • up/down
  • Speed/Duplex
  • VLAN-Zuordnung
  • Porttyp

STP-Status prüfen #

show spanning-tree

Oder pro VLAN:

show spanning-tree vlan 10

Wichtig bei:

  • blockierten Ports
  • Root-Bridge-Fragen
  • Schleifenverdacht

ARP-Tabelle auf Layer-3-Geräten prüfen #

show ip arp

Hilft beim Zusammenspiel zwischen VLAN, MAC und IP.

11.3 Beispielkonfiguration: Access-Port #

interface GigabitEthernet0/5
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast

Bedeutung #

  • Der Port ist ein Access-Port.
  • Ungetaggter Verkehr gehört zu VLAN 10.
  • portfast beschleunigt den Übergang in den Forwarding-Zustand für Endgeräteports.

Wichtig: portfast nicht blind auf Uplinks verwenden.

11.4 Beispielkonfiguration: Trunk-Port #

interface GigabitEthernet0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,99
 switchport trunk native vlan 999

Bedeutung #

  • Port transportiert mehrere VLANs
  • nur definierte VLANs sind erlaubt
  • Native VLAN ist bewusst festgelegt

Best Practice:

  • Nicht unnötig alle VLANs erlauben
  • Native VLAN nicht produktiv verwenden
  • Uplink-Konfiguration auf beiden Seiten abgleichen

11.5 Beispiel: SVI für Inter-VLAN-Routing #

Auf einem Layer-3-Switch:

interface vlan 10
 ip address 192.168.10.1 255.255.255.0interface vlan 20
 ip address 192.168.20.1 255.255.255.0ip routing

Bedeutung #

  • Das Gerät hat pro VLAN ein logisches Interface (SVI)
  • Diese IPs sind meist die Default Gateways der Hosts
  • Mit aktiviertem Routing kann der Switch zwischen den VLANs routen

11.6 Praxisfall: Gerät findet das Gateway nicht #

Symptome #

  • Gerät kann lokale Systeme erreichen
  • aber keine anderen VLANs oder das Internet

Schrittweiser Prüfpfad #

  1. Hat das Gerät die richtige IP-Konfiguration?
  2. Ist die Default-Gateway-IP korrekt?
  3. Ist der Port im richtigen VLAN?
  4. Existiert das SVI/Gateway im VLAN?
  5. Lernt der Switch die MAC des Geräts?
  6. Funktioniert ARP zum Gateway?
  7. Gibt es eine ACL oder Firewall-Regel, die blockiert?

Das zeigt schön den Unterschied zwischen:

  • lokalem Layer-2-Erfolg
  • und weitergehender Layer-3-Konnektivität

11.7 Praxisfall: Falsches VLAN am Access-Port #

Situation #

Ein Drucker sollte im Drucker-VLAN 50 sein, hängt aber versehentlich an einem Port im Client-VLAN 10.

Folgen #

  • falsche IP-Adresse via DHCP
  • Druckserver findet ihn nicht
  • Sicherheitsrichtlinien greifen falsch
  • Namensauflösung oder Management scheitern

Diagnose #

  • Switchport prüfen
  • MAC-Tabelle prüfen
  • DHCP-Lease prüfen
  • VLAN-Zuordnung korrigieren

Lerneffekt #

Viele „mysteriöse“ Netzwerkfehler sind letztlich einfache Zuordnungsfehler auf Port- oder VLAN-Ebene.

11.8 Praxisfall: Voice-VLAN mit IP-Telefon #

Viele IP-Telefone können zwischen Switch und PC geschaltet werden.

ASCII-Darstellung:

PC ---- Telefon ---- Switch

Typischer Ablauf:

  1. Der Switchport stellt dem Telefon ein Voice-VLAN bereit.
  2. Das Telefon taggt seinen Sprachverkehr mit dem Voice-VLAN.
  3. Der PC-Verkehr bleibt im normalen Access-VLAN.
  4. Der Switch kann Sprachverkehr höher priorisieren.

Warum das sinnvoll ist #

  • bessere Sprachqualität
  • saubere Trennung von Voice und Data
  • zentrale Steuerbarkeit
  • QoS einfacher umsetzbar

11.9 Tools außerhalb der Switch-CLI #

ping #

Zeigt grundlegende Erreichbarkeit, aber nicht die Ursache.
Ein erfolgreicher Ping zwischen VLANs beweist, dass Routing funktioniert. Ein fehlgeschlagener Ping kann aber viele Gründe haben.

traceroute / tracert #

Hilft auf Layer 3.
In reinen Layer-2-Problemen oft weniger aussagekräftig.

arp / ip neigh #

Zeigt Nachbarschaftsauflösung.

tcpdump / Wireshark #

Extrem wertvoll bei:

  • VLAN-Tagging prüfen
  • ARP analysieren
  • Broadcast-Last erkennen
  • STP-Frames sehen
  • ungewolltes Flooding entdecken

Beispielhafte Analysefragen in Wireshark:

  • Sind VLAN-Tags sichtbar?
  • Kommen ARP-Requests an?
  • Gibt es doppelte ARP-Antworten?
  • Gibt es STP- oder LLDP-Frames?
  • Ist der Verkehr ungetaggt, obwohl ein Trunk erwartet wurde?

11.10 Dokumentation als praktischer Erfolgsfaktor #

Ein oft unterschätzter Teil professioneller Segmentierung ist nicht Technik, sondern Dokumentation.

Sinnvolle Dokumentation enthält:

  • VLAN-ID
  • Name/Zweck
  • IP-Subnetz
  • Gateway
  • DHCP-Bereich
  • zuständige Systeme
  • erlaubte Kommunikationsbeziehungen
  • Uplinks/Trunks
  • Sicherheitsregeln

Beispiel:

VLANNameSubnetzZweck
10CLIENTS192.168.10.0/24Benutzer-PCs
20SERVERS192.168.20.0/24interne Server
30VOICE192.168.30.0/24IP-Telefonie
40GUEST192.168.40.0/24Gästezugang
99MGMT192.168.99.0/24Netzwerkmanagement

Diese Tabelle ist kein Selbstzweck. Sie reduziert Fehler, beschleunigt Betrieb und macht Audits oder Troubleshooting deutlich einfacher.

12. Fazit #

Switching und Segmentierung sind keine getrennten Randthemen, sondern das strukturelle Fundament professioneller Netzwerke.

Switching sorgt dafür, dass Ethernet-Verkehr innerhalb eines lokalen Netzes effizient und zielgerichtet anhand von MAC-Adressen weitergeleitet wird. Es reduziert unnötigen Verkehr, trennt Kollisionsdomänen und macht moderne LAN-Kommunikation überhaupt erst leistungsfähig.

Segmentierung sorgt dafür, dass nicht alle Geräte automatisch Teil derselben logischen Kommunikationswelt sind. Durch VLANs, Subnetze, Routing und Sicherheitsrichtlinien werden Netzwerke in kontrollierbare Einheiten aufgeteilt. Das verbessert Performance, Sicherheit, Fehlereingrenzung und Betriebsqualität.

Die fachlich entscheidenden Kernaussagen sind:

  • Ein Switch leitet nicht blind weiter, sondern arbeitet MAC-basiert.
  • VLANs trennen Layer-2-Domänen, lösen aber nicht automatisch alle Sicherheitsfragen.
  • Kommunikation zwischen VLANs benötigt Routing.
  • Broadcasts, ARP, Trunks, STP und MAC-Learning sind keine Nebendetails, sondern zentrale Mechanismen.
  • Gute Segmentierung ist nicht nur Technik, sondern auch Design, Dokumentation und Policy.
  • Viele reale Störungen entstehen durch einfache Fehlkonfigurationen: falsches VLAN, Trunk-Fehler, Schleifen, unklare Zuständigkeiten.

Wer Netzwerke sauber plant, denkt daher nicht nur in Kabeln und Ports, sondern in Kommunikationsbeziehungen, Sicherheitszonen, Broadcast-Grenzen und betrieblichen Anforderungen. Genau darin liegt die eigentliche Reife moderner Netzwerkarchitektur.

Wie fandest du den Beitrag?

© 2026 Made by BlackRabbitZ.