9.4 Forwarding, Flooding und Filtering im Switch einfach erklärt

Ein Switch ist nur dann wirklich verständlich, wenn man seine drei zentralen Verhaltensweisen kennt: Forwarding, Flooding und Filtering. Diese drei Prozesse bestimmen, wie Ethernet-Frames in einem lokalen Netzwerk behandelt werden. Sie entscheiden darüber, ob ein Frame gezielt an einen Port weitergeleitet, an mehrere Ports verteilt oder bewusst nicht weitergegeben wird. Genau diese Mechanismen machen einen Switch deutlich intelligenter als einen Hub. Wer verstehen möchte, wie ein Switch in der Praxis arbeitet, muss diese drei Begriffe sicher einordnen können.

Warum Forwarding, Flooding und Filtering so wichtig sind

Ein Switch verbindet Geräte innerhalb eines LANs und verarbeitet Ethernet-Frames auf Layer 2 des OSI-Modells. Dabei schaut er sich vor allem MAC-Adressen an. Sobald ein Frame an einem Port ankommt, trifft der Switch eine Entscheidung: Soll der Frame gezielt weitergeleitet werden, an mehrere Ports gesendet werden oder gar nicht auf bestimmte Ports gelangen?

Diese Entscheidung basiert auf mehreren Faktoren:

• Quell-MAC-Adresse des eingehenden Frames
• Ziel-MAC-Adresse des Frames
• MAC-Adresstabelle des Switches
• VLAN-Zugehörigkeit
• Port-Typ, etwa Access-Port oder Trunk
• eventuelle Sicherheits- oder Filterregeln

Forwarding, Flooding und Filtering sind deshalb keine Nebenthemen, sondern das Kernverhalten eines Ethernet-Switches.

Grundlagen: Wie ein Switch einen Frame verarbeitet

Bevor man die drei Begriffe im Detail versteht, ist ein kurzer Blick auf den Ablauf der Frame-Verarbeitung sinnvoll. Immer wenn ein Switch einen Frame empfängt, passiert grundsätzlich Folgendes:

• Der Switch nimmt den Frame an einem Port entgegen.
• Er liest die Quell-MAC-Adresse aus und lernt diese Adresse am Eingangsport.
• Er prüft die Ziel-MAC-Adresse.
• Er sucht die Zieladresse in seiner MAC-Adresstabelle.
• Er entscheidet anschließend über Forwarding, Flooding oder Filtering.

Diese Entscheidungen laufen in Millisekunden oder noch schneller ab. Für den Administrator sind sie aber zentral, weil fast jedes Switch-Verhalten auf genau diesen Mechanismen beruht.

Die Rolle der MAC-Adresstabelle

Die MAC-Adresstabelle ist die wichtigste Entscheidungsgrundlage des Switches. In ihr speichert der Switch, welche MAC-Adresse über welchen Port und in welchem VLAN erreichbar ist. Ohne diese Tabelle wäre nur sehr eingeschränkte oder ineffiziente Kommunikation möglich.

Ein typischer Eintrag enthält:

• MAC-Adresse
• zugeordneten Port
• VLAN
• Eintragstyp, etwa dynamisch oder statisch

Ob ein Frame gezielt weitergeleitet oder geflutet wird, hängt direkt davon ab, ob die Zieladresse in dieser Tabelle vorhanden ist.

Was bedeutet Forwarding beim Switch?

Forwarding bedeutet, dass der Switch einen empfangenen Frame gezielt an genau den Port weiterleitet, an dem sich das Zielgerät befindet. Das ist der normale und gewünschte Zustand in einem gut funktionierenden Ethernet-Netzwerk.

Forwarding passiert immer dann, wenn der Switch die Ziel-MAC-Adresse kennt und ihr einen bestimmten Port zuordnen kann.

Wie funktioniert Forwarding?

Angenommen, ein PC an Port 1 sendet Daten an einen Server an Port 10. Wenn der Switch bereits gelernt hat, dass die MAC-Adresse des Servers an Port 10 erreichbar ist, dann leitet er den Frame ausschließlich an Port 10 weiter.

Andere Ports bleiben davon unberührt. Genau dadurch wird das Netzwerk effizient.

• Der Frame wird nur dorthin gesendet, wo er gebraucht wird.
• Andere Geräte erhalten unnötigen Traffic nicht.
• Die Bandbreite im LAN wird besser genutzt.
• Die Last auf Endgeräten sinkt.

Praktisches Beispiel für Forwarding

Ein Switch hat vier Geräte angeschlossen:

• PC-A an GigabitEthernet1/0/1
• PC-B an GigabitEthernet1/0/2
• Drucker an GigabitEthernet1/0/3
• Server an GigabitEthernet1/0/10

Wenn PC-A Daten an den Server sendet und der Switch die Server-MAC bereits kennt, passiert Folgendes:

• Der Frame kommt an Port 1 an.
• Der Switch lernt oder aktualisiert die Quell-MAC von PC-A an Port 1.
• Er prüft die Ziel-MAC des Servers.
• Er findet die Zieladresse in seiner MAC-Tabelle an Port 10.
• Er forwardet den Frame nur an Port 10.

Das ist klassisches Unicast-Forwarding und der häufigste Fall im Netzwerkbetrieb.

Was bedeutet Flooding beim Switch?

Flooding bedeutet, dass der Switch einen Frame an alle relevanten Ports innerhalb desselben VLANs sendet, außer an den Port, an dem er den Frame empfangen hat. Flooding ist kein Fehler, sondern ein notwendiger Mechanismus, wenn der Switch das Ziel noch nicht kennt oder wenn ein Frame bewusst an viele Empfänger gerichtet ist.

Wann kommt es zu Flooding?

Flooding tritt typischerweise in folgenden Fällen auf:

• bei unbekannten Ziel-MAC-Adressen, also Unknown Unicast
• bei Broadcast-Frames
• teilweise bei bestimmten Multicast-Frames, wenn keine spezielle Optimierung aktiv ist

Viele Anfänger denken, Flooding sei immer problematisch. Tatsächlich ist es ein normaler Bestandteil der Layer-2-Kommunikation. Ohne Flooding könnte ein Switch viele erste Kommunikationsversuche gar nicht korrekt ermöglichen.

Unknown Unicast als typischer Flooding-Fall

Wenn ein Gerät einen Frame an eine Ziel-MAC-Adresse sendet, die der Switch noch nicht gelernt hat, kann er den richtigen Ausgangsport nicht bestimmen. In diesem Fall floodet er den Frame im VLAN an alle anderen Ports. Das Zielgerät antwortet anschließend, und der Switch lernt dadurch dessen Quell-MAC-Adresse.

Danach kann zukünftiger Traffic gezielt per Forwarding laufen.

Broadcast als geplanter Flooding-Fall

Ein Broadcast ist bewusst an alle Geräte in derselben Broadcast-Domain gerichtet. Die Broadcast-MAC-Adresse lautet:

FF:FF:FF:FF:FF:FF

Wenn ein Gerät zum Beispiel eine ARP-Anfrage sendet, verteilt der Switch diesen Frame an alle Ports im gleichen VLAN. Das ist technisch korrekt, denn jedes Gerät im VLAN muss die Chance haben, auf diesen Broadcast zu reagieren.

Praxisbeispiel für Flooding

Ein neuer PC wird an einen Switch angeschlossen und möchte einen anderen Host im gleichen VLAN erreichen. Der Switch kennt die Ziel-MAC noch nicht. Dann passiert Folgendes:

• Der Frame kommt am Access-Port des PCs an.
• Der Switch lernt die Quell-MAC des neuen PCs.
• Die Ziel-MAC ist noch unbekannt.
• Der Switch floodet den Frame an alle anderen Ports im VLAN.
• Das Zielgerät antwortet.
• Der Switch lernt jetzt auch die MAC des Zielgeräts.

Flooding ist also oft nur ein temporärer Zustand am Anfang einer Kommunikation.

Was bedeutet Filtering beim Switch?

Filtering bedeutet, dass ein Switch einen Frame bewusst nicht an bestimmte Ports weiterleitet. Das klingt zunächst einfach, ist aber technisch sehr wichtig. Filtering verhindert unnötige, falsche oder unerlaubte Weiterleitung im LAN.

Ein Switch filtert Frames aus verschiedenen Gründen:

• das Ziel befindet sich am selben Port wie die Quelle
• der Zielport gehört nicht zum relevanten VLAN
• eine Sicherheitsfunktion blockiert die Weiterleitung
• eine STP- oder Portzustandsregel verhindert die Übertragung
• eine MAC-basierte oder policy-basierte Einschränkung greift

Filtering bei gleichem Eingangs- und Zielport

Wenn der Switch erkennt, dass die Ziel-MAC-Adresse am gleichen Port erreichbar ist, an dem der Frame empfangen wurde, wird dieser Frame nicht wieder an denselben Port zurückgesendet. Das ist ein klassischer Fall von Filtering.

Der Switch weiß in diesem Fall: Ziel und Quelle liegen aus seiner Sicht auf demselben Segment, daher ist keine Weiterleitung über andere Ports nötig.

Filtering durch VLAN-Grenzen

Ein Frame wird immer nur innerhalb seines VLAN-Kontexts verarbeitet. Wenn ein Port nicht Mitglied des betreffenden VLANs ist, erhält er den Frame nicht. Auch das ist Filtering.

Dadurch wird verhindert, dass Datenverkehr VLAN-Grenzen auf Layer 2 einfach überschreitet.

• Broadcasts bleiben auf das jeweilige VLAN beschränkt.
• Unknown-Unicast-Flooding bleibt auf das VLAN beschränkt.
• Unicast-Forwarding erfolgt nur an Ports im passenden VLAN.

Filtering durch Sicherheitsmechanismen

Managed Switches können Frames auch aufgrund von Sicherheitsregeln verwerfen oder blockieren. Dazu zählen zum Beispiel:

• Port Security
• Storm Control
• Access Control Lists auf geeigneten Plattformen
• 802.1X-basierte Zugriffskontrolle
• DHCP Snooping oder Dynamic ARP Inspection in erweiterten Szenarien

In solchen Fällen ist Filtering nicht nur eine Verkehrsoptimierung, sondern ein aktiver Schutzmechanismus.

Der Unterschied zwischen Forwarding, Flooding und Filtering

Die drei Begriffe lassen sich am besten direkt gegenüberstellen:

• Forwarding: gezielte Weiterleitung an einen bestimmten Port
• Flooding: Verteilung an alle relevanten Ports im VLAN außer dem Eingangsport
• Filtering: bewusstes Nicht-Weiterleiten an bestimmte Ports

Ein Switch nutzt also nicht nur eine einzige Logik, sondern entscheidet je nach Situation unterschiedlich. Genau das macht ihn zu einer intelligenten Netzwerkkomponente.

Einfaches Merkschema

• Kennt der Switch das Ziel, nutzt er meist Forwarding.
• Kennt er das Ziel noch nicht oder ist es ein Broadcast, nutzt er Flooding.
• Darf oder muss ein Port den Frame nicht bekommen, greift Filtering.

Wie VLANs diese Prozesse beeinflussen

VLANs spielen bei Forwarding, Flooding und Filtering eine große Rolle. Ein Switch verarbeitet Frames immer VLAN-bezogen. Das bedeutet: Die Weiterleitungsentscheidung wird nicht global für den gesamten Switch getroffen, sondern innerhalb der jeweiligen Layer-2-Domäne.

Flooding nur innerhalb eines VLANs

Wenn eine Zieladresse unbekannt ist, floodet der Switch den Frame nicht an alle Ports des gesamten Geräts, sondern nur an die Ports desselben VLANs. Dadurch bleiben Broadcast-Domains sauber getrennt.

Filtering an VLAN-Grenzen

Ports, die nicht Mitglied des VLANs sind, werden automatisch ausgeschlossen. Auch Trunk-Ports geben Frames nur dann weiter, wenn das VLAN auf dem Trunk erlaubt ist. Das ist ebenfalls eine Form von Filtering.

Forwarding innerhalb des VLAN-Kontexts

Selbst wenn eine Ziel-MAC-Adresse bekannt ist, wird sie nur im zugehörigen VLAN betrachtet. Die MAC-Tabelle ist also VLAN-spezifisch. Derselbe Switch kann mehrere logisch getrennte Broadcast-Domains verwalten, ohne dass Frames falsch verteilt werden.

Praxisbeispiel: Ein kompletter Ablauf im Anfängerformat

Stellen wir uns ein kleines Büronetzwerk vor:

• PC-A an Port Gi1/0/1 in VLAN 10
• PC-B an Port Gi1/0/2 in VLAN 10
• Drucker an Port Gi1/0/3 in VLAN 10
• IP-Telefon an Port Gi1/0/4 in VLAN 20

PC-A möchte mit PC-B kommunizieren. Der Ablauf kann so aussehen:

• PC-A sendet einen Frame.
• Der Switch lernt die Quell-MAC von PC-A an Gi1/0/1 in VLAN 10.
• Die Ziel-MAC von PC-B ist noch unbekannt.
• Der Switch floodet den Frame an Gi1/0/2 und Gi1/0/3 innerhalb von VLAN 10.
• Port Gi1/0/4 in VLAN 20 bekommt den Frame nicht, weil Filtering durch VLAN-Trennung greift.
• PC-B antwortet.
• Der Switch lernt die MAC von PC-B an Gi1/0/2.
• Ab jetzt laufen weitere Frames per Forwarding direkt zwischen Gi1/0/1 und Gi1/0/2.

Dieses Beispiel zeigt sehr klar, wie alle drei Mechanismen zusammenspielen.

Welche Rolle spielt ARP bei Flooding und Forwarding?

ARP ist eines der besten Praxisbeispiele, um Flooding und anschließendes Forwarding zu verstehen. Wenn ein Host die MAC-Adresse zu einer bekannten IPv4-Adresse im selben Netz benötigt, sendet er eine ARP-Anfrage als Broadcast.

Der Switch verarbeitet diese Kommunikation so:

• Die ARP-Anfrage wird als Broadcast geflutet.
• Alle Geräte im VLAN erhalten den Frame.
• Nur das Zielgerät antwortet mit einer ARP-Reply.
• Diese Antwort ist in der Regel Unicast.
• Der Switch lernt dabei die MAC-Adresse des antwortenden Geräts.
• Folgender Datenverkehr kann per Forwarding laufen.

ARP zeigt hervorragend, dass Flooding oft nur der erste Schritt ist, bevor normale, effiziente Unicast-Kommunikation möglich wird.

Wann wird Flooding problematisch?

Flooding ist grundsätzlich normal, kann aber bei übermäßigem Auftreten problematisch werden. Besonders in großen oder schlecht segmentierten Netzwerken kann zu viel Flooding unnötige Last erzeugen.

Typische Ursachen für zu viel Flooding

• große Broadcast-Domains ohne VLAN-Segmentierung
• häufige Unknown-Unicast-Situationen
• instabile MAC-Tabellen
• Layer-2-Schleifen
• falsch konfigurierte Trunks

Folgen von übermäßigem Flooding

• mehr unnötiger Traffic auf vielen Ports
• höhere CPU-Last auf Endgeräten
• schlechtere Performance im LAN
• erschwerte Fehlersuche

Deshalb sind saubere VLAN-Planung, STP und korrekt arbeitende Switches so wichtig.

Welche CLI-Befehle helfen beim Verständnis und Troubleshooting?

Gerade bei Forwarding, Flooding und Filtering ist die Cisco-CLI ein wichtiges Werkzeug. Mit einigen Standardbefehlen lässt sich das Verhalten eines Switches sehr gut nachvollziehen.

MAC-Adresstabelle anzeigen

show mac address-table

Dieser Befehl zeigt, welche MAC-Adressen bereits gelernt wurden. Fehlt eine Zieladresse, ist Unknown-Unicast-Flooding wahrscheinlich.

VLAN-Zuordnung prüfen

show vlan brief

Damit lässt sich prüfen, ob Ports im richtigen VLAN sind. Falsche VLAN-Zuweisungen führen oft zu unerwartetem Filtering.

Trunk-Konfiguration prüfen

show interfaces trunk

Dieser Befehl zeigt, welche VLANs über Trunk-Ports erlaubt sind. Werden VLANs auf einem Trunk nicht transportiert, greift Filtering an der VLAN-Grenze.

Portstatus kontrollieren

show interfaces status

Ein deaktivierter oder fehlerhafter Port kann erklären, warum kein Forwarding stattfindet oder warum MAC-Adressen nicht gelernt werden.

Details zu einem Interface anzeigen

show interfaces GigabitEthernet1/0/1

Damit lassen sich Fehlerbilder wie Input Errors, Duplex-Probleme oder ungewöhnliche Traffic-Muster erkennen.

STP-Status prüfen

show spanning-tree

Wenn ein Port durch Spanning Tree blockiert wird, findet auf diesem Port gezielt Filtering statt, um Layer-2-Schleifen zu verhindern.

Typische Anfängerfehler beim Verständnis dieser drei Begriffe

„Flooding ist immer ein Fehler“

Nein. Flooding ist in vielen Situationen technisch notwendig, etwa bei Broadcasts oder unbekannten Ziel-MAC-Adressen. Problematisch wird es erst, wenn es übermäßig oder dauerhaft auftritt.

„Filtering bedeutet Paketverlust“

Nicht unbedingt. Filtering ist oft korrektes und gewünschtes Verhalten. Wenn ein Frame ein bestimmtes VLAN oder einen gesperrten Port nicht erreichen darf, schützt Filtering das Netzwerk vor Fehlverteilung.

„Forwarding passiert immer sofort und überall“

Auch das stimmt nicht. Forwarding funktioniert nur dann gezielt, wenn die Ziel-MAC-Adresse bekannt ist und keine Richtlinie oder VLAN-Grenze dagegen spricht.

Warum diese drei Begriffe für CCNA, Betrieb und Troubleshooting zentral sind

Forwarding, Flooding und Filtering gehören zu den wichtigsten Grundlagen in der Netzwerktechnik. Wer diese Konzepte sicher beherrscht, versteht einen großen Teil des realen Verhaltens von Switches im Alltag.

• Sie erklären, warum Frames an bestimmten Ports auftauchen oder nicht auftauchen.
• Sie helfen beim Verständnis von VLANs, Broadcast-Domains und MAC Learning.
• Sie sind essenziell für Troubleshooting auf Layer 2.
• Sie bilden die Grundlage für Themen wie STP, Port Security und Netzwerksegmentierung.

Gerade für Anfänger ist es wichtig, diese Mechanismen nicht auswendig zu lernen, sondern logisch zu verstehen. Ein Switch entscheidet nie zufällig. Hinter jeder Weiterleitung, jeder Verteilung und jedem Ausfiltern steckt ein klares technisches Prinzip.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.