March 28, 2026

9.2 Wie ein Switch arbeitet: Einfach erklärt für Anfänger

Ein Switch ist eine der wichtigsten Komponenten in einem lokalen Netzwerk. Er sorgt dafür, dass Daten zwischen Computern, Druckern, Servern, Access Points oder IP-Telefonen an die richtigen Ziele gelangen. Für Anfänger wirkt ein Switch oft wie eine einfache „Verteilerbox“ mit vielen Netzwerkports. Tatsächlich arbeitet er jedoch deutlich intelligenter: Er analysiert Datenrahmen, lernt automatisch, welche Geräte an welchen Ports angeschlossen sind, und leitet Informationen gezielt weiter. Genau diese Arbeitsweise macht Switches schnell, effizient und unverzichtbar in modernen Ethernet-Netzwerken.

Was macht ein Switch überhaupt?

Ein Switch verbindet mehrere Geräte innerhalb eines LANs, also eines Local Area Networks. Jedes angeschlossene Gerät nutzt einen Port am Switch. Sobald ein Gerät Daten sendet, empfängt der Switch die Ethernet-Frames und entscheidet, wohin diese weitergeleitet werden müssen.

Das Besondere dabei: Ein Switch sendet Daten normalerweise nicht einfach an alle Ports. Stattdessen versucht er, den exakten Zielport zu finden. So bleibt der Datenverkehr im Netzwerk übersichtlich und effizient.

  • Er verbindet Endgeräte innerhalb eines lokalen Netzwerks.
  • Er verarbeitet Ethernet-Frames auf Layer 2.
  • Er erkennt Geräte über ihre MAC-Adressen.
  • Er sendet Daten möglichst nur an den benötigten Port.
  • Er reduziert unnötigen Traffic im Vergleich zu einem Hub.

Wie arbeitet ein Switch im Hintergrund?

Damit ein Switch richtig arbeitet, muss er wissen, welches Gerät an welchem Port erreichbar ist. Dazu nutzt er MAC-Adressen. Jede Netzwerkkarte besitzt eine eindeutige MAC-Adresse. Diese Adresse ist auf Layer 2 relevant und wird in Ethernet-Frames verwendet.

Wenn ein Frame an einem Switch-Port ankommt, liest der Switch zwei wichtige Informationen aus:

  • die Quell-MAC-Adresse
  • die Ziel-MAC-Adresse

Mit diesen Informationen kann der Switch zwei Dinge tun: Er lernt, wo sich die Quelle befindet, und er entscheidet, wohin das Paket gesendet werden muss.

Schritt 1: Der Switch lernt die Quelladresse

Jedes Mal, wenn ein Gerät einen Frame sendet, merkt sich der Switch die Quell-MAC-Adresse und den Port, an dem dieser Frame angekommen ist. Diese Information speichert er in seiner MAC-Adress-Tabelle.

Beispiel:

  • PC1 sendet einen Frame an den Switch.
  • Die Quell-MAC-Adresse von PC1 lautet zum Beispiel 00:11:22:33:44:55.
  • Der Frame kommt an Port GigabitEthernet1/0/1 an.
  • Der Switch speichert: 00:11:22:33:44:55 befindet sich an diesem Port.

So baut der Switch mit der Zeit eine interne Tabelle auf, in der er bekannte Geräte ihren Ports zuordnet.

Schritt 2: Der Switch prüft die Zieladresse

Nachdem der Switch die Quelle gelernt hat, schaut er sich die Ziel-MAC-Adresse an. Jetzt gibt es zwei Möglichkeiten:

  • Die Zieladresse ist bekannt: Der Switch leitet den Frame nur an den richtigen Port weiter.
  • Die Zieladresse ist unbekannt: Der Switch floodet den Frame an mehrere Ports.

Dieses Verhalten ist völlig normal. Ein Switch muss die Zieladresse zuerst kennenlernen, bevor er Daten dauerhaft gezielt zustellen kann.

Die MAC-Adress-Tabelle einfach erklärt

Die MAC-Adress-Tabelle ist das Herzstück eines Switches. Ohne sie könnte der Switch nicht intelligent arbeiten. In dieser Tabelle steht, welche MAC-Adresse über welchen Port erreichbar ist.

Typische Inhalte einer solchen Tabelle sind:

  • MAC-Adresse des Geräts
  • zugehöriger Switch-Port
  • VLAN-Zuordnung
  • Art des Eintrags, zum Beispiel dynamisch oder statisch

Dynamische Einträge entstehen automatisch, wenn Frames empfangen werden. Diese Einträge bleiben nicht für immer erhalten. Wenn ein Gerät längere Zeit keinen Traffic sendet, kann der Eintrag aus der Tabelle entfernt werden. So bleibt die Tabelle aktuell.

Warum ist diese Tabelle so wichtig?

  • Sie ermöglicht gezieltes Forwarding.
  • Sie reduziert unnötige Übertragungen.
  • Sie verbessert die Performance im LAN.
  • Sie hilft bei der Fehleranalyse.

Was passiert, wenn der Switch das Ziel noch nicht kennt?

Wenn der Switch die Ziel-MAC-Adresse noch nicht in seiner Tabelle hat, spricht man von einem Unknown Unicast. In diesem Fall weiß der Switch nicht, an welchem Port sich das Zielgerät befindet. Deshalb sendet er den Frame an alle Ports im gleichen VLAN, außer an den Eingangsport.

Dieses Verhalten nennt man Flooding.

Flooding ist nicht grundsätzlich schlecht. Es ist ein notwendiger Mechanismus, damit Kommunikation überhaupt starten kann. Sobald das Zielgerät antwortet, lernt der Switch dessen MAC-Adresse, und zukünftige Frames können gezielt weitergeleitet werden.

Wann floodet ein Switch?

  • Bei unbekannten Ziel-MAC-Adressen
  • Bei Broadcast-Frames
  • Teilweise bei bestimmten Multicast-Frames, abhängig von der Konfiguration

Broadcast, Unicast und Multicast verständlich erklärt

Ein Switch verarbeitet unterschiedliche Arten von Datenverkehr. Für Anfänger ist es wichtig, diese Begriffe klar auseinanderzuhalten.

Unicast

Unicast ist die direkte Kommunikation von einem Gerät zu genau einem anderen Gerät. Das ist der häufigste Fall im Netzwerkalltag. Wenn ein PC mit einem Server kommuniziert, handelt es sich meist um Unicast-Traffic.

Broadcast

Broadcast bedeutet: Ein Gerät sendet an alle Geräte innerhalb derselben Broadcast-Domain. Typisch ist zum Beispiel eine ARP-Anfrage, wenn ein Gerät die MAC-Adresse zu einer bekannten IP-Adresse finden möchte.

Broadcast-Frames erkennt der Switch an der Zieladresse FF:FF:FF:FF:FF:FF. Diese Frames werden an alle relevanten Ports im VLAN weitergeleitet.

Multicast

Multicast ist Datenverkehr an eine bestimmte Gruppe von Empfängern. Nicht jeder Host im Netzwerk soll die Daten erhalten, sondern nur Mitglieder einer definierten Gruppe. Ohne spezielle Optimierungen behandeln einfache Switches Multicast teilweise ähnlich wie Broadcast.

Ein einfaches Beispiel aus der Praxis

Stellen wir uns ein kleines Netzwerk mit drei Geräten vor:

  • PC-A an Port 1
  • PC-B an Port 2
  • Drucker an Port 3

Nun sendet PC-A Daten an PC-B.

  • Der Switch empfängt den Frame an Port 1.
  • Er lernt die MAC-Adresse von PC-A an Port 1.
  • Er prüft die Ziel-MAC-Adresse von PC-B.
  • Falls diese noch unbekannt ist, floodet er den Frame an Port 2 und Port 3.
  • PC-B empfängt den Frame und antwortet.
  • Der Switch lernt die MAC-Adresse von PC-B an Port 2.
  • Ab dem nächsten Frame kann die Kommunikation gezielt nur zwischen Port 1 und Port 2 laufen.

Dieses Beispiel zeigt sehr gut, warum Switches mit zunehmender Betriebsdauer „intelligenter“ wirken. Sie lernen das Netzwerk durch den laufenden Datenverkehr.

Warum ist ein Switch besser als ein Hub?

Früher wurden in kleinen Netzwerken oft Hubs verwendet. Ein Hub ist technisch deutlich einfacher als ein Switch. Er sendet jedes empfangene Signal an alle Ports weiter, unabhängig davon, welches Gerät der eigentliche Empfänger ist.

Ein Switch arbeitet wesentlich effizienter:

  • Er leitet Daten gezielt weiter.
  • Er reduziert Kollisionen.
  • Er ermöglicht höhere Leistung.
  • Er unterstützt moderne Funktionen wie VLANs und Port Security.

In der Praxis sind Hubs heute nahezu vollständig verschwunden. In modernen Netzwerken werden fast ausschließlich Switches eingesetzt.

Was bedeutet Vollduplex bei einem Switch?

Ein wichtiger Vorteil moderner Switches ist der Vollduplex-Betrieb. Dabei können Geräte gleichzeitig senden und empfangen. Im Gegensatz dazu konnte bei älteren Halbduplex-Verbindungen immer nur in eine Richtung gleichzeitig kommuniziert werden.

Vollduplex bringt mehrere Vorteile:

  • Keine klassischen Kollisionen auf Punkt-zu-Punkt-Verbindungen
  • Höhere nutzbare Bandbreite
  • Stabilere und schnellere Kommunikation

Da jeder Switch-Port in der Regel eine eigene dedizierte Verbindung zum Endgerät darstellt, ist Vollduplex heute Standard.

Wie trennt ein Switch den Netzwerkverkehr?

Ein Switch verbessert die Netzwerkleistung auch dadurch, dass jeder Port eine eigene Collision Domain bildet. Das bedeutet: Datenverkehr an einem Port beeinflusst die anderen Ports deutlich weniger als bei älteren Shared-Media-Technologien.

Wichtig ist aber auch zu verstehen: Ohne VLANs befinden sich alle Ports eines Switches standardmäßig in derselben Broadcast-Domain. Broadcasts werden also weiterhin an alle Ports im gleichen VLAN verteilt.

Collision Domain

  • Jeder Switch-Port ist eine eigene Collision Domain.
  • Das reduziert Konflikte bei der Übertragung.
  • Die Kommunikation wird effizienter.

Broadcast Domain

  • Ohne VLAN-Konfiguration teilen sich alle Ports oft dieselbe Broadcast-Domain.
  • Broadcast-Traffic erreicht dann alle Geräte in diesem Bereich.
  • VLANs können Broadcast-Domains logisch trennen.

Welche Rolle spielen VLANs bei der Arbeit eines Switches?

VLAN steht für Virtual Local Area Network. VLANs erlauben es, ein physisches Netzwerk logisch in mehrere Bereiche zu trennen. Der Switch behandelt Ports in unterschiedlichen VLANs so, als wären sie in getrennten Netzwerken.

Das ist in der Praxis sehr wichtig:

  • Abteilungen können logisch getrennt werden.
  • Voice- und Datennetz können getrennt laufen.
  • Broadcast-Traffic wird reduziert.
  • Sicherheitszonen lassen sich leichter umsetzen.

Ein Switch arbeitet also nicht nur als Verteiler, sondern auch als Segmentierungswerkzeug im Netzwerkdesign.

Wie sieht die Arbeit eines Switches in der Cisco-CLI aus?

Wer einen managed Switch administriert, arbeitet oft über die Kommandozeile. Einige grundlegende Befehle helfen dabei, die Arbeitsweise des Switches sichtbar zu machen.

Gelernte MAC-Adressen anzeigen

show mac address-table

Mit diesem Befehl sieht man, welche MAC-Adressen der Switch bereits gelernt hat und an welchen Ports sie erreichbar sind.

Status aller Ports prüfen

show interfaces status

Dieser Befehl zeigt, welche Interfaces aktiv sind, welche Geschwindigkeit genutzt wird und ob ein Port administrativ deaktiviert ist.

VLAN-Zuordnung anzeigen

show vlan brief

Damit lässt sich prüfen, welche Ports welchen VLANs zugeordnet sind.

Details zu einem bestimmten Interface prüfen

show interfaces GigabitEthernet1/0/1

So kann man Fehler wie Duplex-Probleme, Eingangsfehler oder ungewöhnliche Traffic-Muster erkennen.

Einen Port als Access-Port konfigurieren

configure terminal
interface GigabitEthernet1/0/5
 switchport mode access
 switchport access vlan 10
 no shutdown

Dieser Befehl konfiguriert einen Port für ein Endgerät im VLAN 10.

Was sind typische Anfängerfehler beim Verständnis eines Switches?

Gerade beim Einstieg in Netzwerktechnik entstehen oft Missverständnisse darüber, wie ein Switch wirklich arbeitet.

„Ein Switch sendet alles an alle Ports“

Das stimmt nur teilweise. Ein Switch floodet nur dann breit, wenn er das Ziel noch nicht kennt oder wenn es sich um Broadcast-Traffic handelt. Im Normalbetrieb leitet er Unicast-Daten gezielt weiter.

„Ein Switch arbeitet mit IP-Adressen“

Ein klassischer Layer-2-Switch trifft seine Weiterleitungsentscheidungen primär anhand von MAC-Adressen. IP-Adressen werden typischerweise von Geräten auf höheren Schichten oder von Routern ausgewertet.

„Ein Switch und ein Router machen das Gleiche“

Beide Geräte sind wichtig, übernehmen aber unterschiedliche Aufgaben. Der Switch verbindet Geräte innerhalb desselben Netzwerks. Der Router verbindet unterschiedliche Netzwerke miteinander.

Typische Probleme im Switch-Betrieb

Auch wenn ein Switch automatisch lernt und viele Prozesse selbstständig durchführt, können in der Praxis Probleme auftreten. Wer die Grundlagen versteht, erkennt Störungen deutlich schneller.

  • Ein Port ist deaktiviert oder nicht verbunden.
  • Ein Gerät befindet sich im falschen VLAN.
  • Es gibt einen Speed- oder Duplex-Mismatch.
  • Eine MAC-Adresse taucht unerwartet an mehreren Ports auf.
  • Broadcast-Traffic ist ungewöhnlich hoch.
  • Ein Loop verursacht instabiles Verhalten.

Gerade in größeren Netzwerken spielen daher Monitoring, saubere Dokumentation und eine strukturierte Konfiguration eine große Rolle.

Wie arbeitet ein Switch zusammen mit ARP und IP?

Auch wenn ein Switch auf Layer 2 arbeitet, begegnet er in der Praxis ständig Datenverkehr, der eng mit IP-Kommunikation verbunden ist. Ein typisches Beispiel ist ARP.

Wenn ein Gerät eine andere IP-Adresse im selben Netz erreichen will, benötigt es die dazugehörige MAC-Adresse. Falls diese noch nicht bekannt ist, sendet es eine ARP-Anfrage als Broadcast. Der Switch verteilt diese Anfrage an alle Ports im VLAN. Das Zielgerät antwortet mit seiner MAC-Adresse. Ab dann kann der eigentliche Unicast-Datenverkehr beginnen.

Dadurch wird deutlich:

  • IP-Kommunikation benötigt auf Ethernet-Ebene MAC-Adressen.
  • Der Switch transportiert diese Frames zuverlässig zwischen den Geräten.
  • ARP ist oft der erste Schritt, bevor normale Daten gezielt fließen.

Warum sind Switches für moderne Netzwerke unverzichtbar?

Ohne Switches wären heutige LANs kaum sinnvoll betreibbar. Sie sorgen für Ordnung, Struktur und Effizienz im Datenverkehr. Besonders in professionellen Netzwerken sind sie weit mehr als einfache Verbindungsgeräte.

  • Sie bilden die Grundlage für kabelgebundene Netzwerke.
  • Sie ermöglichen gezielte Kommunikation zwischen Endgeräten.
  • Sie unterstützen Segmentierung über VLANs.
  • Sie liefern Management- und Sicherheitsfunktionen.
  • Sie sind ein zentraler Baustein für stabile Unternehmensnetzwerke.

Wer versteht, wie ein Switch lernt, weiterleitet, floodet und segmentiert, versteht bereits einen großen Teil dessen, was im Alltag eines Ethernet-Netzwerks tatsächlich passiert. Genau deshalb gehört die Arbeitsweise eines Switches zu den wichtigsten Grundlagen für jeden, der Netzwerke aufbauen, betreiben oder analysieren möchte.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

15.6 Das Prinzip der geringsten Rechte im Zugriffsmanagement

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick