Netzwerkdiagramme: Logical vs. Physical – was ist der Unterschied?

Wer Netzwerke plant, betreibt oder absichert, kommt an einer zentralen Fähigkeit nicht vorbei: Netzwerkdiagramme korrekt einzuordnen. Besonders häufig sorgt die Unterscheidung zwischen Logical vs. Physical für Missverständnisse. Viele Diagramme sehen auf den ersten Blick ähnlich aus – aber sie beantworten völlig unterschiedliche Fragen. Ein Physical Network Diagram zeigt die reale Hardware- und Verkabelungswelt: Geräte, Ports, Leitungen, Racks, Link-Geschwindigkeiten und redundante Kabelwege. Ein Logical Network Diagram beschreibt dagegen die logische Struktur: VLANs, Subnetze, IP-Adressräume, Routing, VRFs, Sicherheitszonen, Datenflüsse und Richtlinien. Wer beide Ebenen verwechselt, riskiert falsche Troubleshooting-Schritte, unsaubere Changes oder Sicherheitslücken. In diesem Artikel lernen Sie, was genau der Unterschied ist, wann welches Diagramm sinnvoll ist, welche Inhalte hineingehören, wie Sie beide Ebenen miteinander verknüpfen und welche typischen Fehler Unternehmen vermeiden sollten.

Grundprinzip: Was bedeutet „Physical“ und was bedeutet „Logical“?

Der Unterschied lässt sich einfach zusammenfassen: Physical beschreibt die Welt der Kabel und Geräte, Logical beschreibt die Welt der Netzsegmente und Regeln. In der Praxis sind beide Ebenen eng miteinander verbunden, aber sie sollten in Diagrammen getrennt bleiben, damit Informationen eindeutig bleiben.

• Physical Diagram: Welche Hardware ist wo verbaut und wie ist sie physisch verbunden?
• Logical Diagram: Welche Netze existieren, wie wird geroutet/segmentiert und welche Pfade darf Traffic nehmen?

Eine hilfreiche Orientierung bietet das OSI-Modell, das Netzwerke in Schichten strukturiert und damit auch erklärt, warum physische und logische Darstellungen unterschiedliche Aspekte abdecken. Einen kompakten Überblick liefert die Erklärung zum OSI-Modell bei Cloudflare.

Was ein Physical Network Diagram wirklich zeigt

Ein physisches Netzwerkdiagramm ist vor allem für Betrieb, Verkabelung, Kapazitätsplanung und Hardware-Fehlersuche relevant. Es beschreibt die reale Infrastruktur: Wo stehen die Geräte, welche Ports sind verbunden, welche Medien werden genutzt, wie ist Redundanz umgesetzt und welche Links sind kritisch. Ein gutes Physical Diagram hilft dabei, schnell zu prüfen, ob ein Link down ist, ob ein Port-Channel korrekt verkabelt ist oder ob ein Standort über zwei getrennte Uplinks verfügt.

Typische Inhalte eines physischen Diagramms

• Geräte: Switches, Router, Firewalls, Access Points, Server, CPEs, Modems
• Standorte/Räume: Rechenzentrum, Etage, Verteilerraum, Rack-Position (optional)
• Ports und Interfaces: Portnummern, Port-Channels, Stack-/MLAG-Verbindungen
• Verkabelung: Kupfer/Glasfaser, Patchfelder, Cross-Connects (je nach Detailgrad)
• Link-Eigenschaften: Geschwindigkeit (1G/10G/40G), Duplex, PoE-Last (wenn relevant)
• Redundanzpfade: doppelte Uplinks, getrennte Routen, aktive/aktive oder aktiv/passive Strukturen

Wann physische Diagramme besonders nützlich sind

• Fehlersuche bei Link-Problemen (Flaps, Down-Links, Transceiver, LACP/Port-Channel)
• Planung von Rack- und Verkabelungsarbeiten
• Hardware-Migrationen (Switch-Refresh, Firewall-Cluster-Tausch)
• Nachweis von Redundanz (z. B. zwei getrennte Uplinks)
• Kapazitäts- und Auslastungsplanung auf Link-Ebene

Was ein Logical Network Diagram wirklich zeigt

Ein logisches Netzwerkdiagramm ist der Schlüssel, um Kommunikation, Segmentierung und Sicherheitsgrenzen zu verstehen. Es zeigt, wie das Netzwerk funktional aufgebaut ist: welche Subnetze existieren, wie VLANs zugeordnet sind, wo Gateways liegen, welche Routing-Pfade gelten, wie VPNs oder Overlays funktionieren und wie Zonen voneinander getrennt sind. Diese Ebene ist für Security, Architekturentscheidungen und Troubleshooting auf IP-/Policy-Ebene entscheidend.

Typische Inhalte eines logischen Diagramms

• Netzsegmente: VLANs, Subnetze (IPv4/IPv6), VRFs, Mandantenstrukturen
• Gateways und Layer-3: SVIs, Router, L3-Switches, Default-Gateways
• Routing: OSPF/BGP (high-level), Route-Policy, Default-Routen, Transit-Netze
• Security-Zonen: intern, DMZ, Guest, Management, IoT/OT
• Datenflüsse: erlaubte Kommunikationsbeziehungen (z. B. App → DB) und Kontrollpunkte
• Overlays/Tunnel: VPN, SD-WAN Overlay, GRE/IPsec (als logische Verbindung)

Wann logische Diagramme besonders nützlich sind

• Fehlersuche bei Erreichbarkeitsproblemen (Routing, ACLs, NAT, DNS-Abhängigkeiten)
• Security-Reviews (Segmentierung, Zonenmodell, Least Privilege)
• Planung von neuen Anwendungen und deren Netzwerkfreigaben
• Cloud- und Hybrid-Designs (VPC/VNet, Peering, VPN/Direct Connect)
• Audit-Vorbereitung (Zonen, Übergabepunkte, Kontrollmechanismen)

Für Sicherheitszonen, Policy-Grenzen und Firewall-Konzepte ist der NIST-Leitfaden zu Firewalls und Firewall Policies eine hilfreiche Referenz, um logische Diagramme audit- und sicherheitsorientiert auszurichten.

Die häufigste Verwechslung: Gleiche Geräte, andere Aussage

Ein Switch kann in beiden Diagrammen auftauchen – aber mit anderer Bedeutung. Im physischen Diagramm steht er als Hardware mit Ports und Kabeln. Im logischen Diagramm kann er als „Layer-3-Gateway“, als Teil eines VRF-Konzepts oder als Segmentierungsbaustein dargestellt sein. Genau hier entstehen Missverständnisse, wenn Diagramme ohne klare Ebene erstellt werden.

• Physical: „Switch A ist mit Switch B über Port-Channel 12 verbunden (2x10G).“
• Logical: „VLAN 20 (Clients) routet über SVI auf Switch A und darf nur via Firewall in die DMZ.“

Welche Informationen gehören nicht in das jeweilige Diagramm?

Eine professionelle Dokumentation wird nicht dadurch gut, dass sie alles enthält, sondern dadurch, dass sie das Richtige enthält. Wenn physische und logische Informationen ungefiltert gemischt werden, entstehen überladene Grafiken, die keiner pflegt.

Das gehört typischerweise nicht ins Physical Diagram

• vollständige VLAN-Listen oder Subnetz-Tabellen (besser als Referenz/Anhang)
• komplexe Firewall-Regelwerke (besser als eigenes Security-Artefakt)
• applikationsspezifische Datenflüsse in Detailtiefe

Das gehört typischerweise nicht ins Logical Diagram

• jede einzelne Portnummer oder Patchfeld-Information
• Rack-Positionen, Transceiver-Typen, Kabelfarben
• vollständige physische Verkabelungswege (sofern nicht direkt relevant)

Wie beide Diagrammtypen zusammenarbeiten: Das „Mapping“ zwischen Logical und Physical

In der Praxis benötigen Sie beides – und zwar verknüpft. Das logische Diagramm erklärt, was kommuniziert und warum es so segmentiert ist. Das physische Diagramm erklärt, wo es läuft und wie es verkabelt ist. Best Practice ist eine eindeutige Zuordnung durch konsistente Identifikatoren: Hostnames, Interface-Descriptions, VLAN-Namen, Standortkürzel, VRF-Namen. So kann man aus einem logischen Pfad schnell in die physische Welt springen.

• Gleiche Gerätenamen: Hostname identisch in Monitoring, Inventar und Diagrammen
• Interface-Descriptions: Gegenstelle und Zweck (z. B. „to core-sw-01 Po12“)
• VLAN/VRF-Referenzen: logische Segmente zeigen, wo Gateways liegen
• Links zu Detailseiten: Diagramm → Geräteseite → Port- und Segmentdetails

Beispiele aus der Praxis: Welches Diagramm löst welches Problem?

Ein schneller Weg, den Unterschied zu verinnerlichen, ist die Frage: „Welche Art von Problem habe ich gerade?“ Je nach Problemtyp ist ein Diagramm deutlich hilfreicher als das andere.

Beispiel 1: „Der Uplink flapt seit heute“

• Primär relevant: Physical Diagram (Ports, Medien, Port-Channel, Gegenstelle)
• Ergänzend: Logical Diagram (welche Netze hängen daran, Impact-Abschätzung)

Beispiel 2: „Client-Netz kommt nicht mehr zur Datenbank“

• Primär relevant: Logical Diagram (Zonen, Routing, ACLs, Kontrollpunkte)
• Ergänzend: Physical Diagram (ob es einen physischen Ausfall auf dem Pfad gibt)

Beispiel 3: „Wir müssen einen Switch tauschen“

• Primär relevant: Physical Diagram (Verkabelung, Portbelegung, Redundanz)
• Ergänzend: Logical Diagram (VLANs/Trunks, Gateways, Abhängigkeiten, Change-Impact)

Beispiel 4: „Audit fragt nach Segmentierung und DMZ“

• Primär relevant: Logical/Security Diagram (Zonen, Flows, Kontrollpunkte)
• Ergänzend: Physical Diagram (Redundanz der Security-Komponenten, Übergabepunkte)

Typische Fehler bei Logical- und Physical-Diagrammen

Viele Netzwerkteams haben Diagramme – aber sie helfen nicht, weil sie typische Fehler enthalten. Wenn Sie Diagramme lesen oder erstellen, achten Sie gezielt auf diese Punkte. Sie entscheiden darüber, ob Diagramme im Incident wirklich nützen oder nur „schön aussehen“.

Fehler: Mischdiagramme ohne klare Ebene

Ein Diagramm enthält Ports, VLANs, IPs, Zonen, VPNs und Cloud-Services gleichzeitig. Das überfordert Leser und führt zu falschen Annahmen. Besser: getrennte Diagramme pro Ebene, plus Verlinkung.

Fehler: Fehlende Legende und uneindeutige Symbole

Eine Wolke kann Internet, Provider oder Cloud-Region bedeuten. Ein Switch kann Access oder Core sein. Ohne Legende ist Interpretation Glückssache. Nutzen Sie eine klare Symbolsprache und benennen Sie Rollen.

Fehler: Redundanz nur „optisch“

Zwei Linien bedeuten nicht automatisch zwei unabhängige Pfade. Wenn beide Uplinks am selben Provider, im selben Rack oder am selben Stromkreis hängen, ist das Risiko weiterhin hoch. Gute physische Diagramme zeigen Diversität (Carrier, PoP, Strom, Wege) explizit.

Fehler: Keine Versionierung, kein Owner

Diagramme ohne Datum/Version sind in Krisen gefährlich. Best Practice: Version, Erstellungsdatum, Owner und Review-Zyklus direkt im Diagramm sichtbar machen.

Fehler: Beschriftungen fehlen (Links und Gateways)

Ohne Link-Geschwindigkeit, Port-Channel-Nummern, Trunk-Hinweise oder Gateway-Standorte werden Diagramme unbrauchbar. Minimalbeschriftungen sind Pflicht, sonst bleibt die Aussage zu vage.

Best Practices: So erstellen Sie beide Diagrammtypen sauber und pflegbar

Damit Diagramme langfristig aktuell bleiben, brauchen sie Regeln. Das gilt besonders für Unternehmen, die wachsen, mehrere Standorte betreiben oder hybride Cloud-Architekturen nutzen.

• Pro Diagramm ein Zweck: WAN-Übersicht, LAN-Physik, LAN-Logik, Security-Zonen, WLAN.
• Konventionen: einheitliche Hostnames, VLAN-Namen, Standortkürzel, VRF-Bezeichnungen.
• Legende: Symbole, Linienstile, Abkürzungen, Farbkonzept (falls genutzt).
• Minimal-Beschriftung: Links (Speed/Po), Gateways, Zonenübergänge, Tunneltypen.
• Versionierung: Datum/Version/Owner sichtbar; Änderungen an Change-Prozess koppeln.

Für konsistente Symbolik und Diagrammkonventionen sind die Cisco Network Topology Icons eine praktische Referenz, auch wenn Sie herstellerneutral zeichnen.

Checkliste: Woran Sie Physical vs. Logical sofort erkennen

• Portnummern, Rack, Kabeltyp? → Physical
• VLANs, Subnetze, Gateways, VRFs? → Logical
• Security-Zonen, DMZ, erlaubte Flows? → Logical (Security-Ebene)
• Link-Speed, LACP/Port-Channel, Stack/MLAG? → Physical
• Routing-Protokolle, Default-Paths, Policies? → Logical
• Tunnel/Overlay (IPsec/SD-WAN)? → Logical (mit klarer Kennzeichnung)

Checkliste: Mindestinhalte für professionelle Diagramme

Mindestinhalte Physical Diagram

• Hostnames und Rollen (Core/Distribution/Access/Edge)
• kritische Links mit Geschwindigkeit und Port-Channel-Info
• Redundanzpfade und Abhängigkeiten (z. B. Provider-CPE)
• Version, Datum, Owner

Mindestinhalte Logical Diagram

• Segmente (VLAN/Subnetz/VRF) mit Gateways
• Routing-Pfade und Übergänge zwischen Zonen
• Kontrollpunkte (Firewall/VPN) und high-level Flows
• Version, Datum, Owner

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.