ARP, MAC, Layer 2/3: Was der Cisco Router wirklich macht

Wenn IP-Pakete „irgendwie nicht ankommen“, liegt die Ursache oft nicht im Routing, sondern in der Übersetzung zwischen Layer 3 (IP) und Layer 2 (MAC). Genau hier greifen ARP, MAC-Adressen und das Verhalten des Cisco Routers: Er entscheidet auf Layer 3, verpackt aber jedes Paket für den nächsten Hop in ein Layer-2-Frame. Dieses Tutorial erklärt verständlich, was der Router wirklich macht – und wie du das mit Cisco IOS-Befehlen überprüfst.

Layer 2 vs. Layer 3: Wer entscheidet was?

Layer 2 (Ethernet) arbeitet mit MAC-Adressen im lokalen Segment. Layer 3 (IP) arbeitet mit IP-Adressen über Subnetzgrenzen hinweg. Ein Router trennt Broadcast-Domänen und leitet Pakete zwischen Netzen weiter.

• Layer 2: MAC, Frames, Broadcasts im gleichen VLAN/Subnetz
• Layer 3: IP, Routing zwischen Subnetzen, Next-Hop-Entscheidung
• Router: trifft L3-Entscheidung, sendet L2-Frame zum Next-Hop

Merksatz für die Praxis

Der Router routet nach IP, aber er sendet auf Ethernet immer an eine MAC – nämlich die MAC des nächsten Hops.

Was ist ARP und warum braucht der Router es?

ARP (Address Resolution Protocol) übersetzt im IPv4-Netz die Frage „Welche MAC gehört zu dieser IP?“ – aber nur innerhalb eines lokalen Layer-2-Segments. Ein Router braucht ARP, um den Next-Hop auf einem Ethernet-Interface als MAC-Adresse zu kennen.

• ARP gilt nur im lokalen Netz (Broadcast-Domäne)
• ARP ist notwendig für Ethernet-Next-Hops (nicht für jedes WAN-Encapsulation)
• Ohne ARP-Eintrag kann der Router kein Ethernet-Frame korrekt zustellen

ARP-Grundprinzip (IPv4)

Ein Gerät sendet einen Broadcast „Wer hat IP X?“ und der Besitzer antwortet mit seiner MAC. Der Eintrag wird im ARP-Cache gespeichert.

MAC-Adressen: Was der Router (nicht) tut

MAC-Adressen sind lokal. Ein Router „transportiert“ MAC-Adressen nicht durch das Netzwerk. Beim Weiterleiten eines IP-Pakets baut der Router einen neuen Ethernet-Frame: Quell-MAC ist die MAC seines Ausgangsinterfaces, Ziel-MAC ist die MAC des Next-Hops.

• MAC-Adressen ändern sich an jedem Router-Hop
• IP-Adressen bleiben im Normalfall gleich (ohne NAT)
• Router bildet neue L2-Header pro Ausgangsinterface

Hop-by-Hop Verhalten (vereinfachtes Bild)

$\text{IP bleibt gleich}, \text{MAC wird pro Hop neu gesetzt}$

Der Ablauf im Detail: Von IP-Route zu Ethernet-Frame

Wenn ein Paket am Router ankommt, passiert im Kern immer das gleiche Muster: Routing-Entscheidung, Next-Hop bestimmen, ARP/Neighbor prüfen, Frame senden.

• 1) Ziel-IP im Paket lesen
• 2) Routing-Tabelle (Longest Prefix Match) konsultieren
• 3) Next-Hop und Ausgangsinterface bestimmen
• 4) ARP-Cache prüfen oder ARP anstoßen
• 5) Neues Ethernet-Frame erstellen und senden

Routing-Entscheidung verifizieren

Router# show ip route 192.168.20.10
Router# show ip route
Router# show ip cef 192.168.20.10

ARP-Cache auf Cisco prüfen: show arp und show ip arp

Der ARP-Cache zeigt, welche IPs im lokalen Segment zu welchen MACs aufgelöst wurden. Wenn hier Einträge fehlen oder „incomplete“ sind, ist das ein starker Hinweis auf ein Layer-2/Link-Problem.

ARP-Tabelle anzeigen

Router# show arp
Router# show ip arp

Typische ARP-Fehlerbilder

• incomplete: ARP-Anfrage ohne Antwort (Gegenstelle nicht erreichbar/VLAN falsch)
• Kein Eintrag: noch kein Traffic oder ARP-Cache abgelaufen
• Falsche MAC: möglich bei Duplicate IP oder ARP-Spoofing

ARP gezielt neu auflösen (Cache leeren)

Zum Testen kannst du ARP-Einträge löschen. Danach zwingst du den Router per Ping, ARP erneut zu lernen.

Router# clear arp-cache
Router# ping 192.168.10.10

Der Unterschied: ARP zum Host vs. ARP zum Next-Hop

Ein Router ARPt nicht „bis zum Ziel“. Er ARPt nur für die IP, die er direkt erreichen muss: entweder den finalen Host im direkt angeschlossenen Netz oder den Next-Hop Router im Transitnetz.

• Ziel im gleichen Subnetz (connected): ARP für die Ziel-IP
• Ziel in anderem Subnetz: ARP für den Next-Hop

Praxisbeispiel

• Client 192.168.10.10 will zu 192.168.20.10 → sendet an Gateway-MAC
• Router routet zu 192.168.20.0/24 → sendet an Next-Hop-MAC im Transit
• Letzter Router im Zielnetz ARPt für 192.168.20.10

Broadcast-Domänen: Warum Router ARP-Broadcasts stoppen

ARP-Anfragen sind Broadcasts und bleiben im VLAN/Subnetz. Router forwarden Layer-2-Broadcasts nicht (Ausnahme: spezielle Relay/Proxy-Funktionen). Das ist ein Kernmerkmal von Routing.

• ARP-Broadcast bleibt im VLAN
• Router trennt VLANs/Subnetze (Broadcast-Domänen)
• Inter-VLAN-Kommunikation läuft über Gateway/Routing

Proxy ARP: Wenn der Router „für andere antwortet“

Proxy ARP ist ein Mechanismus, bei dem der Router ARP-Anfragen für IPs beantwortet, die nicht im lokalen Subnetz liegen, um Kommunikation ohne korrektes Gateway zu ermöglichen. In sauberen Designs wird Proxy ARP meist deaktiviert, um Fehlkonfigurationen nicht zu verdecken.

Proxy ARP prüfen und steuern (Interface)

Router# show running-config | section interface
Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# no ip proxy-arp
Router(config-if)# end

Layer-2/Layer-3 Troubleshooting: der praktische Prüfpfad

Wenn Traffic nicht läuft, prüfe in dieser Reihenfolge: Interface up, VLAN/Trunk korrekt, IP/Mask korrekt, Routing-Tabelle korrekt, ARP korrekt. ARP ist dabei oft der „Missing Link“ zwischen scheinbar korrekter IP-Konfiguration und realem Forwarding.

1) Interface- und IP-Status

Router# show ip interface brief
Router# show interfaces gigabitEthernet0/0

2) Routing-Entscheidung

Router# show ip route 192.168.20.10
Router# show ip cef 192.168.20.10

3) ARP-Auflösung

Router# show arp
Router# show ip arp
Router# ping 192.168.10.10

4) Gegenstelle/Segment prüfen (wenn möglich)

Router# show arp | include incomplete
Router# show logging

Typische Anfängerfehler rund um ARP und MAC

Viele Probleme sehen nach „Routing“ aus, sind aber eigentlich Layer-2/ARP. Wenn du diese Klassiker kennst, bist du deutlich schneller in der Analyse.

• Falsches VLAN/Trunking: ARP bleibt „incomplete“
• Falsche Subnetmask: Geräte ARPen „ins falsche Netz“
• Falsches Default Gateway am Client: Traffic geht nie zum Router
• Duplicate IP: ARP zeigt wechselnde MACs („flapping“)
• ACLs/NAT als „Ablenkung“: erst ARP/Link sauber prüfen

Quick-Reference: Die wichtigsten Befehle zu ARP, MAC und Forwarding

Mit diesen IOS-Kommandos bekommst du schnell Klarheit, ob die L2/L3-Kette vollständig ist: Routing-Eintrag vorhanden, Next-Hop bekannt, ARP aufgelöst, Interface fehlerfrei.

Router# show ip interface brief
Router# show interfaces
Router# show ip route
Router# show ip cef 192.168.20.10
Router# show arp
Router# clear arp-cache
Router# ping 192.168.10.10

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.