March 28, 2026

9.1 Was ist ein Switch? Grundlagen und Funktionsweise verständlich erklärt

Ein Switch ist eines der zentralen Geräte in modernen Computernetzwerken. Er verbindet Endgeräte wie PCs, Server, Drucker, Access Points oder IP-Telefone innerhalb eines lokalen Netzwerks und sorgt dafür, dass Daten gezielt an den richtigen Empfänger weitergeleitet werden. Im Unterschied zu älteren Netzwerkkomponenten wie Hubs arbeitet ein Switch intelligent: Er erkennt Geräte anhand ihrer MAC-Adressen, segmentiert den Datenverkehr und erhöht dadurch sowohl die Leistung als auch die Sicherheit eines Netzwerks. Wer verstehen möchte, wie LANs in Unternehmen, Schulen oder Rechenzentren funktionieren, kommt am Thema Switch nicht vorbei.

Grundidee: Welche Aufgabe hat ein Switch im Netzwerk?

Ein Switch arbeitet in der Regel auf Schicht 2 des OSI-Modells, also auf der Sicherungsschicht. Seine Hauptaufgabe besteht darin, Ethernet-Frames zwischen Geräten in einem lokalen Netzwerk effizient weiterzuleiten. Jedes angeschlossene Gerät kommuniziert über einen physischen oder virtuellen Port des Switches.

Statt Daten einfach an alle Ports zu senden, analysiert ein Switch die Quell- und Ziel-MAC-Adresse eines Frames. Auf Basis dieser Informationen entscheidet er, an welchen Port der Frame weitergeleitet werden muss. Dadurch wird unnötiger Traffic vermieden und die verfügbare Bandbreite besser genutzt.

  • Verbindet mehrere Geräte in einem LAN
  • Leitet Daten gezielt anhand von MAC-Adressen weiter
  • Reduziert Kollisionen im Netzwerk
  • Verbessert Performance gegenüber einem Hub
  • Bildet die Grundlage für VLANs, Access Control und Segmentierung

Wie funktioniert ein Switch technisch?

Weiterleitung anhand von MAC-Adressen

Jede Netzwerkkarte besitzt eine eindeutige MAC-Adresse. Sobald ein Gerät Daten an ein anderes Gerät sendet, enthält der Ethernet-Frame sowohl die Quell-MAC-Adresse als auch die Ziel-MAC-Adresse. Der Switch liest diese Informationen aus und trifft darauf basierend seine Weiterleitungsentscheidung.

Wenn ein Frame an einem Port eingeht, passiert typischerweise Folgendes:

  • Der Switch lernt die Quell-MAC-Adresse und ordnet sie dem eingehenden Port zu.
  • Er prüft, ob die Ziel-MAC-Adresse bereits in seiner MAC-Adress-Tabelle vorhanden ist.
  • Ist die Zieladresse bekannt, leitet er den Frame nur an den passenden Port weiter.
  • Ist die Zieladresse unbekannt, floodet er den Frame an alle Ports desselben VLANs außer dem Eingangsport.

Dieses Verhalten wird als MAC Learning und Forwarding bezeichnet. Es ist die Grundlage dafür, dass ein Switch mit der Zeit „lernt“, welche Geräte wo angeschlossen sind.

Die MAC-Adress-Tabelle

Die sogenannte MAC Address Table, CAM Table oder Forwarding Table speichert die Zuordnung zwischen MAC-Adressen und Switch-Ports. Diese Tabelle wird dynamisch aufgebaut und regelmäßig aktualisiert. Einträge verfallen nach einer bestimmten Zeit, wenn kein Traffic mehr von der jeweiligen MAC-Adresse gesehen wird.

Ein Beispiel:

  • PC A mit MAC-Adresse AA:AA:AA:AA:AA:AA hängt an Port FastEthernet0/1
  • PC B mit MAC-Adresse BB:BB:BB:BB:BB:BB hängt an Port FastEthernet0/2
  • Der Switch speichert beide Zuordnungen in seiner MAC-Tabelle

Wenn PC A nun Daten an PC B sendet, kennt der Switch den Zielport und schickt den Frame direkt an FastEthernet0/2.

Flooding, Broadcast und Unknown Unicast

Nicht jeder Frame kann sofort gezielt weitergeleitet werden. In bestimmten Situationen sendet der Switch Daten an mehrere Ports:

  • Broadcast: Frames an die Broadcast-Adresse FF:FF:FF:FF:FF:FF werden an alle Ports im gleichen VLAN weitergeleitet.
  • Unknown Unicast: Ist die Ziel-MAC-Adresse unbekannt, wird der Frame ebenfalls geflutet.
  • Multicast: Je nach Switch und Konfiguration kann auch Multicast speziell behandelt werden.

Flooding ist normal, sollte aber kontrolliert bleiben. In großen Netzwerken helfen VLANs und saubere Segmentierung, unnötigen Broadcast-Verkehr zu begrenzen.

Switch im Vergleich zu Hub und Router

Unterschied zwischen Switch und Hub

Ein Hub ist eine sehr einfache Netzwerkkomponente. Er sendet eingehende Signale grundsätzlich an alle Ports weiter. Es gibt keine intelligente Analyse, keine MAC-Tabelle und keine gezielte Zustellung. Dadurch entstehen viele unnötige Übertragungen und potenzielle Kollisionen.

Ein Switch ist einem Hub in nahezu allen praktischen Szenarien überlegen:

  • Gezielte Weiterleitung statt Senden an alle Ports
  • Höhere Netzwerkeffizienz
  • Vollduplex-Kommunikation möglich
  • Bessere Skalierbarkeit
  • Unterstützung moderner Funktionen wie VLAN, QoS und Port Security

Unterschied zwischen Switch und Router

Ein Router arbeitet typischerweise auf Schicht 3 des OSI-Modells. Während ein Switch Geräte innerhalb desselben lokalen Netzwerks verbindet, verbindet ein Router unterschiedliche Netzwerke miteinander. Er trifft Entscheidungen anhand von IP-Adressen, nicht anhand von MAC-Adressen.

Vereinfacht gesagt:

  • Der Switch verteilt Daten innerhalb eines LANs.
  • Der Router verbindet mehrere LANs oder das LAN mit dem Internet.

In der Praxis arbeiten Switches und Router fast immer zusammen. In größeren Umgebungen übernehmen Layer-3-Switches teilweise auch Routing-Funktionen zwischen VLANs.

Auf welcher OSI-Schicht arbeitet ein Switch?

Der klassische Ethernet-Switch arbeitet auf Layer 2, also der Sicherungsschicht. Dort verarbeitet er Frames und nutzt MAC-Adressen zur Weiterleitung. Moderne Enterprise-Switches können jedoch deutlich mehr.

Layer-2-Switch

  • Leitet Ethernet-Frames anhand von MAC-Adressen weiter
  • Unterstützt VLANs, Trunks und STP
  • Wird typischerweise im Access-Layer eingesetzt

Layer-3-Switch

  • Kombiniert Switching mit Routing-Funktionen
  • Kann zwischen VLANs routen
  • Unterstützt statisches Routing und oft auch dynamische Routing-Protokolle

Für die Grundlagen ist wichtig: Wenn man allgemein von einem Switch spricht, ist meistens ein Layer-2-Switch gemeint.

Wie lernt ein Switch, wohin er Daten schicken muss?

Das Lernverhalten eines Switches ist ein Kernkonzept in der Netzwerktechnik. Ohne manuelle Konfiguration erkennt der Switch automatisch, welche MAC-Adresse an welchem Port erreichbar ist. Dieses Prinzip nennt man „Backward Learning“.

Ein typischer Ablauf sieht so aus:

  • Ein Gerät sendet einen Frame an den Switch.
  • Der Switch liest die Quell-MAC-Adresse aus.
  • Er speichert: Diese MAC-Adresse befindet sich an diesem Port.
  • Beim nächsten Frame an diese MAC-Adresse kennt er den Zielport bereits.

So entsteht mit der Zeit eine vollständige Übersicht über aktive Geräte im Netzwerksegment. Das funktioniert dynamisch und ist einer der Gründe, warum Switches in LANs so effizient arbeiten.

Wichtige Begriffe rund um Switches

Ports

Ein Switch besitzt physische oder virtuelle Ports, an denen Netzwerkgeräte angeschlossen werden. Jeder Port stellt eine eigene Verbindung dar. Moderne Switches bieten unterschiedliche Porttypen, etwa 1G, 10G oder SFP/SFP+ für Glasfaser-Uplinks.

Vollduplex

Im Vollduplex-Betrieb können Geräte gleichzeitig senden und empfangen. Das verhindert Kollisionen auf dem Link und verbessert die Übertragungsleistung. Bei heutigen Ethernet-Switches ist Vollduplex Standard.

Collision Domain

Jeder Switch-Port bildet eine eigene Collision Domain. Das ist ein wesentlicher Vorteil gegenüber Hubs, bei denen sich alle angeschlossenen Geräte eine gemeinsame Collision Domain teilen.

Broadcast Domain

Standardmäßig gehören alle Ports eines Switches ohne VLAN-Konfiguration zur gleichen Broadcast Domain. Broadcasts werden daher an alle Ports innerhalb dieser Domain verteilt. VLANs helfen dabei, Broadcast Domains logisch zu trennen.

Managed und Unmanaged Switch: Wo liegt der Unterschied?

Switches gibt es in zwei grundlegenden Varianten: unmanaged und managed.

Unmanaged Switch

Ein unmanaged Switch ist sofort einsatzbereit. Er benötigt keine Konfiguration und eignet sich für einfache Netzwerke mit wenigen Anforderungen.

  • Plug-and-Play
  • Keine VLAN-Konfiguration
  • Keine Überwachung oder Fernverwaltung
  • Typisch für kleine Büros oder Heimnetzwerke

Managed Switch

Ein managed Switch bietet umfangreiche Konfigurations- und Monitoring-Funktionen. Er wird in professionellen Umgebungen eingesetzt, in denen Sicherheit, Segmentierung, Redundanz und Performance eine wichtige Rolle spielen.

  • VLAN-Konfiguration
  • Spanning Tree Protocol
  • Port Security
  • Link Aggregation
  • Quality of Service
  • SNMP, Syslog und Remote-Management

In Unternehmensnetzwerken sind managed Switches der Standard, weil sie die notwendige Kontrolle über das Netzwerk ermöglichen.

Wichtige Funktionen moderner Switches

VLANs

Mit VLANs lassen sich logische Netzwerke auf einem physischen Switch trennen. Geräte in unterschiedlichen VLANs befinden sich in getrennten Broadcast Domains, auch wenn sie am selben Switch angeschlossen sind.

Typische Einsatzbereiche:

  • Trennung von Benutzer-, Server- und Voice-Netzen
  • Segmentierung von Abteilungen
  • Erhöhung von Sicherheit und Übersichtlichkeit

Spanning Tree Protocol

In redundanten Netzwerken können Layer-2-Schleifen entstehen. Diese führen zu Broadcast-Stürmen, instabilen MAC-Tabellen und massiven Störungen. Das Spanning Tree Protocol, kurz STP, verhindert solche Schleifen, indem es redundante Pfade logisch blockiert.

Port Security

Mit Port Security lässt sich festlegen, welche MAC-Adressen an einem Port erlaubt sind. Das erschwert unbefugtes Anschließen fremder Geräte und ist besonders in Access-Netzen nützlich.

Power over Ethernet

Viele Switches unterstützen PoE. Damit können Geräte wie IP-Telefone, WLAN-Access-Points oder Überwachungskameras direkt über das Netzwerkkabel mit Strom versorgt werden.

  • Weniger separate Netzteile nötig
  • Einfachere Installation
  • Zentrale Stromversorgung über den Switch

Praxisbeispiel: Datenverkehr zwischen zwei PCs über einen Switch

Angenommen, PC1 und PC2 sind an denselben Switch angeschlossen.

  • PC1 möchte Daten an PC2 senden.
  • PC1 kennt die IP-Adresse von PC2, benötigt für die Ethernet-Kommunikation aber die Ziel-MAC-Adresse.
  • Falls diese unbekannt ist, sendet PC1 zunächst eine ARP-Anfrage als Broadcast.
  • Der Switch verteilt diesen Broadcast an alle Ports im VLAN.
  • PC2 antwortet mit seiner MAC-Adresse.
  • Der Switch lernt dabei die beteiligten MAC-Adressen an den jeweiligen Ports.
  • Ab diesem Zeitpunkt kann der eigentliche Datenverkehr als Unicast gezielt zwischen den beiden Ports laufen.

Dieses Beispiel zeigt sehr gut, dass ein Switch auf Layer 2 arbeitet, aber in realen Netzwerken eng mit Layer-3-Prozessen wie ARP und IP-Kommunikation zusammenhängt.

Woran erkennt man Probleme an einem Switch?

In der Praxis treten an Switches häufig typische Fehlerbilder auf. Wer die Grundlagen kennt, kann viele Störungen schneller eingrenzen.

  • Ein Port ist administrativ deaktiviert
  • Falsche VLAN-Zuweisung
  • Speed- oder Duplex-Mismatch
  • Loop im Layer-2-Netz
  • MAC-Adresse wird ständig zwischen Ports umgelernt
  • Port Security blockiert ein Gerät
  • Uplink oder Trunk ist fehlerhaft konfiguriert

Gerade in Unternehmensumgebungen ist die Fehleranalyse auf Switch-Ebene ein wichtiger Teil des täglichen Betriebs.

Typische Cisco-CLI-Befehle für Switch-Grundlagen

In professionellen Netzwerken wird ein Switch oft per CLI verwaltet. Die folgenden Befehle gehören zu den Grundlagen, die ein Network Engineer oder CCNA-Kandidat kennen sollte.

MAC-Adress-Tabelle anzeigen

show mac address-table

Dieser Befehl zeigt, welche MAC-Adressen der Switch gelernt hat und an welchen Ports sie erreichbar sind.

Status der Interfaces prüfen

show interfaces status

Hiermit lässt sich schnell erkennen, welche Ports aktiv, deaktiviert oder fehlerhaft sind.

VLANs anzeigen

show vlan brief

Dieser Befehl zeigt die vorhandenen VLANs und die zugeordneten Access-Ports.

Konfiguration eines Interfaces aufrufen

show running-config interface GigabitEthernet1/0/1

Damit lässt sich die laufende Konfiguration eines bestimmten Ports kontrollieren.

Ein Interface als Access-Port konfigurieren

configure terminal
interface GigabitEthernet1/0/10
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
 no shutdown

Diese Konfiguration weist den Port einem Access-VLAN zu und aktiviert ihn für ein Endgerät.

Port Security einfach aktivieren

configure terminal
interface GigabitEthernet1/0/10
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security violation restrict
 switchport port-security mac-address sticky

Damit wird der Port auf eine MAC-Adresse begrenzt und gegen unbefugte Geräte abgesichert.

Wo werden Switches eingesetzt?

Switches sind praktisch in jedem kabelgebundenen Netzwerk vorhanden. Sie bilden die Verbindungsbasis zwischen Endgeräten, Servern und Infrastrukturkomponenten.

  • In Büronetzwerken zur Anbindung von Arbeitsplätzen
  • In Schulen und Universitäten für Computerräume und Access Points
  • In Rechenzentren für Server-, Storage- und Uplink-Verbindungen
  • In Industrieumgebungen für Steuerungs- und Automatisierungsnetze
  • In VoIP-Umgebungen für IP-Telefone mit PoE

Je nach Einsatzort unterscheiden sich Switches in Portdichte, Geschwindigkeit, Management-Funktionen, Redundanz und Ausfallsicherheit.

Warum ist ein Switch für Netzwerkleistung und Sicherheit so wichtig?

Ein Switch ist nicht nur ein Verteiler, sondern ein zentrales Steuerungselement im LAN. Durch gezielte Weiterleitung, Segmentierung und Kontrolle beeinflusst er direkt die Qualität und Stabilität des Netzwerks.

  • Er verhindert unnötigen Traffic durch intelligentes Forwarding.
  • Er verbessert die Performance durch dedizierte Ports und Vollduplex.
  • Er ermöglicht Netztrennung durch VLANs.
  • Er unterstützt Sicherheitsmechanismen auf Port-Ebene.
  • Er schafft die technische Grundlage für skalierbare Unternehmensnetzwerke.

Genau deshalb gehört das Verständnis von Switches zu den wichtigsten Grundlagen in der Netzwerktechnik. Wer MAC Learning, VLANs, Broadcast Domains und typische Switch-Funktionen beherrscht, versteht bereits einen großen Teil dessen, was in lokalen Netzwerken täglich passiert.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick