Switching
- Ein Layer‑2‑Switch arbeitet mit Ethernet‑Frames und entscheidet anhand der MAC‑Adressen, wohin ein Frame gesendet wird.
- Dafür führt der Switch eine MAC‑Adress‑Tabelle (auch CAM‑Tabelle), in der steht: „Welche MAC‑Adresse ist an welchem Port erreichbar?“.
- Lernphase: Bei jedem eingehenden Frame merkt sich der Switch die Source‑MAC und den Port und aktualisiert sie in der Tabelle.
- Weiterleitungsphase:
- Wenn die Destination‑MAC in der Tabelle steht → Frame nur an diesen Port senden (unicast forwarding).
- Wenn die Destination‑MAC unbekannt ist oder ein Broadcast/Multicast ist → Frame an alle Ports außer dem Eingangsport senden (Flooding).
VLAN
Theorie
- VLAN steht für „Virtual Local Area Network“ und bildet logische Teilnetze auf einem oder mehreren Switches, meist per 802.1Q‑Tagging in den Ethernet‑Frames.
- Hosts in einem VLAN sehen sich wie in einem eigenen LAN; Kommunikation zwischen VLANs erfordert Routing (Router oder Layer‑3‑Switch).
Wozu
- Trennung verschiedener Bereiche wie Mitarbeitende, Server, Gäste oder IoT, ohne für jedes Netz eine eigene physische Infrastruktur aufzubauen.
- Flexible Zuordnung: Geräte können durch reine Switch‑Konfiguration in andere VLANs verschoben werden, ohne Verkabelung zu ändern.
Vorteile
- Bessere Sicherheit durch Isolation: Broadcasts und viele Angriffe bleiben auf ihr VLAN beschränkt; zwischen VLANs kann gefiltert werden.
- Weniger Broadcast‑Traffic pro Segment und damit effizientere Nutzung der Bandbreite sowie klarere Strukturierung großer Netze.
Nachteile
- Höhere Komplexität: VLAN‑Planung, Trunk‑Konfiguration, Tagging und Inter‑VLAN‑Routing müssen durchdacht und dokumentiert sein.
- Fehleranfälligkeit: Falsch konfigurierte Ports/Trunks oder VLAN‑IDs führen schnell zu Connectivity‑Problemen, die schwer zu debuggen sind.
Untagged/Tagged
Untagged
- An einem Switch werden Ports einem VLAN fest zugeordnet (Access Ports)
- Bei mehr als einem Switch müssen Ports gleicher VLANs noch miteinander verbunden werden.
- wenn kein Trust das wählen
Tagged nach IEEE 802.1Q
- An einem Switch wird ein Port mehreren VLANs fest zugeordnet (Trunk Port). Mehrere VLANs werden über eine einzige Leitung verbunden, den Trunk .
- Jeder Frame erhält eine Kennzeichnung zu welchem VLAN er gehört, die VLAN-ID
Tag berechnung durch Umwandeln in Binär jeweils
| PCP (Priorität) | CFI | VLAN ID |
|---|---|---|
| 3 bits | 1 bit | 12 bits |
Statisch/Dynamisch
Statisch
Ein Switch-Port wird fest einem VLAN zugeordnet (Access Port). Es ist auch möglich, einen Port mehreren VLANs fest zuzuordnen (Trunk Port)
Dynamisch
VLAN-Zugehörigkeit wird anhand bestimmter Inhalte des Ethernet-Frames getroffen, z.B. MAC-Adresse, RADIUS Authentifizierung nach 802.1X
| VLAN-Tagging | Beschreibung | Beispiel / Einsatz | |
|---|---|---|---|
| Statisch | Ohne Tag | Fester Port, ein VLAN (Access Port) | Einfache Endgeräte - PC - Drucker |
| Statisch | Mit VLAN-Tag | Fester Port, mehrere VLANs (Trunk Port) | - Switch-zu-Switch Link - Server mit Zugriff aus festgelegten VLANs - Access Point mit festgelegter SSID pro VLAN. |
| Dynamisch | Ohne Tag | Automatische VLAN-Zuordnung (Access Port) | Geräte die öfter an andere Ports umziehen (z. B. Laptops) - Authentifizierung über RADIUS (IEEE 802.1X) - Zuweisung durch MAC-Adresse |
| Dynamisch | Mit VLAN-Tag | Automatische Tag-Zuweisung (Trunk-Port) | Mehrere VLANs nach Bedarf aufnehmen - Virtualisierte Server (wechselnde VMS in verschiedenen VLANs) - IP-Telefone mit Daten-PC am selben Port |
IPv4-Subnetting
Wozu / Idee
- Aufteilung eines Netzes in mehrere kleinere Netze, damit Broadcasts und Verkehr nur im jeweils relevanten Segment bleiben
- Effizientere Nutzung des vorhandenen IPv4-Adressraums, z. B. unterschiedliche Subnetze für Abteilungen, Standorte oder Server-Zonen
- Logische Strukturierung und Trennung von Bereichen (User, Server, Management, Gäste) für bessere Übersicht und Administration
Vorteile
- Weniger Broadcast- und Hintergrundtraffic pro Subnetz, dadurch bessere Performance und geringere Netzwerklast
- Mehr Sicherheit, weil Angriffe oder Fehlkonfigurationen oft auf ein Subnetz begrenzt bleiben und zwischen Netzen gefiltert werden können
- Bessere Adressplanung und Skalierbarkeit, da IP-Adressen gezielt nach Bedarf verteilt und einfacher verwaltet werden können
Nachteile
- Höhere Komplexität beim Design (Subnetzmasken, Routen, Planung), insbesondere in größeren Umgebungen
- Mehr Aufwand bei Betrieb und Fehlersuche, weil Routing zwischen Subnetzen und passende Firewall-Regeln nötig sind
- Falsch geplante Subnetze führen leicht zu verschwendeten Adressen oder zu wenig Hosts in einzelnen Netzen