Die Network Layer (Schicht 3) im OSI-Modell ist die Schicht, die Kommunikation über Netzwerkgrenzen hinweg möglich macht. Während Schicht 2 vor allem innerhalb eines lokalen Segments arbeitet (MAC-Adressen, Switching, VLANs), sorgt Schicht 3 dafür, dass Datenpakete ihren Weg durch mehrere Netze finden – vom Heimnetz über Provider-Infrastruktur bis zum Zielserver im Internet. Genau hier kommen die zentralen Begriffe ins Spiel, die viele Einsteiger zunächst verwirren: IP-Adresse, Subnetz, Gateway, Routing und ICMP. Ohne ein grundlegendes Verständnis dieser Konzepte ist es schwer, typische Probleme wie „kein Internet“, „Server nicht erreichbar“ oder „VPN verbindet, aber nichts geht“ sauber einzuordnen. In diesem Leitfaden lernen Sie die Aufgaben und die Funktionsweise der Network Layer von Grund auf kennen, inklusive leicht verständlicher Beispiele aus dem Alltag. Sie erfahren, wie IP-Pakete aufgebaut sind, wie Router entscheiden, wohin ein Paket geschickt wird, warum Subnetze existieren und welche Rolle Diagnosewerkzeuge wie Ping und Traceroute spielen.
Was ist die Network Layer (Schicht 3) genau?
Die Network Layer wird im Deutschen häufig als Vermittlungsschicht bezeichnet. Ihre zentrale Aufgabe ist die logische Adressierung und das Weiterleiten (Routing) von Daten über mehrere Netzwerke hinweg. Schicht 3 beantwortet vereinfacht zwei Kernfragen:
- Wohin soll ein Paket (Zieladresse)?
- Über welchen Weg kommt es dorthin (Routingentscheidung)?
Das bekannteste Protokoll auf dieser Schicht ist IP (Internet Protocol) in Form von IPv4 und IPv6. Obwohl das OSI-Modell ein Referenzmodell ist, ist IP in der Praxis das wichtigste Beispiel, weil es die Basis des Internets bildet. Eine allgemein verständliche OSI-Einordnung bietet Cloudflare zum OSI-Modell, während technische Standards über den RFC Editor zugänglich sind.
Warum Schicht 3 so wichtig ist: Von „lokal“ zu „global“
Im lokalen Netzwerk (z. B. zu Hause oder im Büro) kann Schicht 2 Frames anhand von MAC-Adressen zustellen. Aber MAC-Adressen sind nicht dafür gedacht, über Router hinweg im Internet genutzt zu werden. Router trennen Broadcast-Domänen, und damit endet die reine Layer-2-Zustellung. Genau hier übernimmt Schicht 3:
- IP-Adressen sind routingfähig: Sie sind so strukturiert, dass Router damit Netze und Teilnetze unterscheiden können.
- Pakete können mehrere Hops passieren: Ein Paket wird von Router zu Router weitergegeben, bis es das Zielnetz erreicht.
- Skalierbarkeit: Das Internet funktioniert, weil Routing auf zusammenfassbaren Netzpräfixen basiert.
IP-Adresse, Subnetz, Präfix: Die Grundlagen verständlich erklärt
Eine IP-Adresse ist eine logische Adresse, die einem Gerät (oder Interface) zugewiesen wird. Bei IPv4 besteht sie aus 32 Bit, bei IPv6 aus 128 Bit. Entscheidend ist nicht nur die Adresse selbst, sondern auch das zugehörige Subnetz bzw. der Präfix. Damit wird festgelegt, welcher Teil der Adresse das Netzwerk beschreibt und welcher Teil für Hosts genutzt wird.
IPv4: Subnetzmaske und CIDR
Bei IPv4 begegnen Ihnen häufig Subnetzmasken (z. B. 255.255.255.0) oder CIDR-Schreibweisen (z. B. /24). Die CIDR-Zahl gibt an, wie viele Bits den Netzanteil bilden. Ein /24-Netz hat 24 Netzbits und 8 Hostbits (32 − 24 = 8). Daraus ergibt sich die Anzahl möglicher Hostadressen.
Für das Verständnis reicht oft die Grundformel: Anzahl Hostadressen = 2Hostbits (in vielen IPv4-Fällen abzüglich reservierter Adressen). Als MathML dargestellt:
H = 2 n
Hier ist n die Anzahl der Hostbits. Bei /24 gilt: n = 8, also H = 2^8 = 256 (praktisch nutzbar sind in klassischen Netzen meist weniger, weil Netzwerk- und Broadcast-Adresse reserviert sind).
IPv6: Präfixe statt klassischer Masken
IPv6 arbeitet ebenfalls mit Präfixlängen, z. B. /64 für viele lokale Netze. Der Unterschied ist vor allem die Größe des Adressraums und die übliche Praxis der Zuweisung. Für Einsteiger ist wichtig: IPv6 ist nicht „komplizierter“, sondern anders strukturiert und erheblich größer. Technische Details finden sich in RFC 8200 (IPv6).
Was ist ein IP-Paket?
Auf Schicht 3 werden Daten als Pakete (oder Datagramme) übertragen. Ein IP-Paket enthält typischerweise:
- Quell-IP-Adresse (Absender)
- Ziel-IP-Adresse (Empfänger)
- Weitere Header-Felder (z. B. TTL/Hop Limit, Protokolltyp)
- Nutzdaten (Payload), häufig ein Segment aus Schicht 4 (TCP/UDP)
Ein wichtiges Feld ist die Lebensdauer eines Pakets: Bei IPv4 heißt sie TTL (Time To Live), bei IPv6 Hop Limit. Sie wird bei jedem Router „dekrementiert“. Erreicht sie 0, wird das Paket verworfen. Das verhindert Endlosschleifen im Routing.
Router und Routing: Wie wird der Weg bestimmt?
Router sind die klassischen Geräte der Network Layer. Sie verbinden Netzwerke und entscheiden, wohin Pakete weitergeleitet werden. Diese Entscheidung basiert auf einer Routingtabelle, die Netzpräfixe und den jeweils nächsten Hop enthält.
Das Prinzip „Longest Prefix Match“
Wenn mehrere Routen passen, wird in der Regel die Route mit dem längsten passenden Präfix gewählt. Das ist ein Kernprinzip des IP-Routings: Eine spezifischere Route (z. B. /24) schlägt eine allgemeinere (z. B. /16), wenn beide das Ziel abdecken. Dadurch lassen sich Netze sauber strukturieren und Ausnahmen gezielt definieren.
Statische und dynamische Routen
Routing kann auf zwei Arten entstehen:
- Statisches Routing: Routen werden manuell eingetragen. Einfach und kontrollierbar, aber wartungsintensiv bei großen Netzen.
- Dynamisches Routing: Router tauschen Routen über Routingprotokolle aus (z. B. OSPF oder BGP). Skalierbar, aber konfigurations- und kontrollbedürftig.
Im Internet spielt insbesondere BGP eine zentrale Rolle, weil damit autonome Systeme Routen austauschen. Für Einsteiger genügt: „Dynamisches Routing ist die automatische Wegfindung zwischen Netzen.“
Default Gateway: Der wichtigste Begriff für Einsteiger
Das Default Gateway (Standardgateway) ist die Routeradresse, an die ein Gerät Pakete sendet, wenn das Ziel nicht im eigenen Subnetz liegt. Dieser Mechanismus erklärt viele häufige Fehlerbilder:
- Gateway fehlt oder ist falsch: Lokale Geräte sind erreichbar, aber Internet/andere Netze nicht.
- Gateway nicht erreichbar: IP-Konfiguration wirkt korrekt, aber der Weg nach außen bricht an der ersten Routerstufe ab.
- Falsches Subnetz: Das Gerät denkt, ein Ziel sei „lokal“ und versucht es direkt, obwohl es geroutet werden müsste.
ICMP: Diagnosewerkzeug der Network Layer
ICMP (Internet Control Message Protocol) ist eng mit IP verbunden und wird oft als Diagnose- und Kontrollprotokoll genutzt. Die bekanntesten Werkzeuge, die darauf aufbauen, sind Ping und Traceroute.
Ping: Erreichbarkeit prüfen
Ping sendet ICMP Echo Requests und erwartet Echo Replies. Damit lässt sich sehr schnell testen, ob ein Ziel grundsätzlich auf IP-Ebene erreichbar ist. Wichtig: Ein fehlender Ping bedeutet nicht automatisch, dass „das Netz kaputt“ ist – viele Systeme oder Firewalls blockieren ICMP absichtlich.
Traceroute: Den Weg sichtbar machen
Traceroute (oder tracert unter Windows) nutzt die TTL/Hop-Limit-Logik: Es sendet Pakete mit kleiner TTL und erhält ICMP-Antworten von Zwischenroutern. So kann man sehen, über welche Hops ein Paket typischerweise läuft. Das hilft bei der Eingrenzung von Routingproblemen und Engpässen.
Fragmentierung und MTU: Warum Paketgrößen eine Rolle spielen
Die MTU (Maximum Transmission Unit) beschreibt, wie groß ein Paket (bzw. Frame) maximal sein darf, ohne auf dem Weg zerlegt zu werden. In Ethernet-Standardumgebungen ist die MTU häufig 1500 Byte (ohne spezielle Jumbo-Frames). Wenn ein Paket größer ist als die erlaubte MTU einer Strecke, kann Fragmentierung oder ein Abbruch passieren – abhängig von Protokollen und Einstellungen.
- Typisches Symptom: „Manches geht, manches nicht“ – z. B. kleine Anfragen funktionieren, große Datenübertragungen brechen ab.
- Ursache: MTU-Mismatch, VPN-Overhead, fehlerhafte Pfad-MTU-Erkennung.
- Praxisnutzen: Wer Schicht 3 versteht, erkennt MTU-Probleme als Netzwerk- und nicht als Anwendungsfehler.
Network Layer vs. Data-Link-Layer: Die Abgrenzung, die wirklich zählt
Einsteiger verwechseln Schicht 2 und Schicht 3 häufig, weil beide „Adressierung“ kennen. Der Unterschied ist jedoch klar, wenn Sie sich die Reichweite merken:
- Schicht 2: lokal im Segment (MAC-Adressen, Frames, Switching, VLANs).
- Schicht 3: netzübergreifend (IP-Adressen, Pakete, Routing, Router).
Ein praktischer Merksatz: MAC bringt Sie zum nächsten Gerät im lokalen Netz, IP bringt Sie zum Zielnetz.
Praxisbeispiel: Eine Webseite aufrufen – Fokus auf Schicht 3
Wenn Sie eine Webseite öffnen, passiert vieles gleichzeitig. Schicht 3 ist dabei der Teil, der den Weg durchs Internet organisiert:
- Ihr Gerät ermittelt die Ziel-IP (z. B. über DNS, das auf Anwendungsebene liegt).
- Es prüft: Liegt die Ziel-IP im eigenen Subnetz? Wenn nein, geht das Paket ans Default Gateway.
- Router leiten das IP-Paket über mehrere Hops weiter, basierend auf Routingtabellen.
- Im Zielnetz wird das Paket an den richtigen Host zugestellt; erst dann spielen höhere Schichten (TCP/HTTP) ihre Rolle.
Wenn an dieser Stelle ein Routingproblem besteht, kann die Anwendung noch so korrekt sein: Ohne Schicht 3 kommt die Anfrage nicht an.
Typische Layer-3-Probleme und wie Sie sie schnell erkennen
Viele Störungen lassen sich anhand weniger Muster erkennen. Die folgenden Beispiele sind besonders häufig:
- Kein Internet, aber lokales Netz geht: Standardgateway falsch oder nicht erreichbar.
- Ein bestimmtes Netz ist nicht erreichbar: Route fehlt oder Routing-Policy blockiert.
- Verbindungen brechen scheinbar zufällig ab: Paketverlust oder MTU-Probleme auf einer Teilstrecke.
- VPN verbindet, aber Ressourcen fehlen: Split-Tunneling/Routing im VPN falsch, Rückroute fehlt.
- Ping geht, Anwendung nicht: Schicht 3 funktioniert, Problem liegt eher in Schicht 4–7 (Ports, TLS, DNS, Anwendung).
Schicht 3 und Security: Was wird auf IP-Ebene kontrolliert?
Auf Network-Layer-Ebene werden Sicherheitsregeln häufig über IP-basierte Filter umgesetzt. Beispiele sind Access Control Lists (ACLs) oder Routing-Policies. Typische Anwendungsfälle:
- Segmentierung: Bestimmte IP-Netze dürfen nicht miteinander sprechen.
- Ingress/Egress-Filter: Pakete mit gefälschten Quelladressen werden blockiert.
- Routing-Kontrolle: Bestimmte Routen werden nicht angenommen oder nicht angekündigt.
Für Einsteiger ist vor allem die Erkenntnis wichtig, dass Sicherheit nicht erst „oben“ beginnt: Schon auf Schicht 3 lassen sich Kommunikationswege effektiv einschränken.
Weiterführende Quellen: verlässlich und praxisnah
Wenn Sie Ihre Kenntnisse zur Network Layer vertiefen möchten, sind offizielle Standards eine robuste Grundlage. Besonders hilfreich sind:
- RFC 791 (IPv4) für das klassische IP-Protokoll
- RFC 8200 (IPv6) für IPv6-Grundlagen
- RFC 792 (ICMP) für Diagnose- und Kontrollmeldungen
Für einen einsteigerfreundlichen, aber fundierten Überblick zur Einordnung im OSI-Modell eignet sich außerdem die Übersicht zum OSI-Modell.
Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte
Cisco Networking • CCNA • Packet Tracer • Network Configuration
Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.
Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.
Leistungsumfang:
-
Netzwerkdesign & Topologie-Planung
-
Router- & Switch-Konfiguration (Cisco IOS)
-
VLAN, Inter-VLAN Routing
-
OSPF, RIP, EIGRP (Grundlagen & Implementierung)
-
NAT, ACL, DHCP, DNS-Konfiguration
-
Troubleshooting & Netzwerkoptimierung
-
Packet Tracer Projektentwicklung & Dokumentation
-
CCNA Lern- & Praxisunterstützung
Lieferumfang:
-
Konfigurationsdateien
-
Packet-Tracer-Dateien (.pkt)
-
Netzwerkdokumentation
-
Schritt-für-Schritt-Erklärungen (auf Wunsch)
Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert
CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.