Was ist ein Netzwerk?What is a network?

Ein Netzwerk verbindet mehrere Geräte, damit sie Daten austauschen und Ressourcen gemeinsam nutzen können. Dieser Artikel klärt die Grundbegriffe und die wichtigsten Bauformen.A network connects multiple devices so they can exchange data and share resources. This article covers the core terms and the most important building blocks.

GrundbegriffeBasic terms

Ein Knoten (Host) ist jedes adressierbare Gerät im Netz, etwa ein PC, Server, Drucker oder Smartphone. Das Übertragungsmedium ist der physische oder drahtlose Pfad, über den Bits laufen. Ein Protokoll ist das vereinbarte Regelwerk, das Format, Reihenfolge und Bedeutung der Nachrichten festlegt.A node (host) is any addressable device on the network, such as a PC, server, printer or smartphone. The transmission medium is the physical or wireless path over which bits travel. A protocol is the agreed set of rules defining the format, order and meaning of messages.

Knoten/Host: Endgerät oder Vermittlungsgerät mit einer Adresse (z. B. 192.168.1.10).Node/host: end or intermediary device with an address (e.g. 192.168.1.10).
Medium: Kupfer (Twisted Pair), Glasfaser oder Funk (WLAN).Medium: copper (twisted pair), fiber or radio (Wi-Fi).
Protokoll: z. B. TCP, IP, HTTP, DNS.Protocol: e.g. TCP, IP, HTTP, DNS.

Netzgrößen: LAN, WAN, MANNetwork scopes: LAN, WAN, MAN

Netze werden nach ihrer räumlichen Ausdehnung unterschieden. Diese Einteilung beeinflusst Technik, Betreiber und typische Bandbreiten.Networks are classified by geographic reach. This classification affects the technology, the operator and typical bandwidths.

LAN (Local Area Network): Gebäude oder Campus, in Eigenregie betrieben.LAN (local area network): a building or campus, operated by the owner.
MAN (Metropolitan Area Network): stadtweit, verbindet mehrere Standorte.MAN (metropolitan area network): city-wide, links several sites.
WAN (Wide Area Network): überregional bis weltweit; das Internet ist das größte WAN.WAN (wide area network): regional to worldwide; the Internet is the largest WAN.

Client-Server vs. Peer-to-PeerClient-server vs. peer-to-peer

Im Client-Server-Modell stellt ein zentraler Server Dienste bereit, die viele Clients anfragen; das ist zentral verwaltbar und skaliert gut. Bei Peer-to-Peer sind alle Knoten gleichberechtigt und übernehmen abwechselnd beide Rollen; das spart einen zentralen Server, erschwert aber Verwaltung und Sicherheit.In the client-server model a central server provides services that many clients request; it is centrally manageable and scales well. In peer-to-peer all nodes are equal and take on both roles in turn; this avoids a central server but complicates management and security.

TopologienTopologies

Die Topologie beschreibt, wie Knoten physisch oder logisch verbunden sind. Sie bestimmt Ausfallsicherheit, Verkabelungsaufwand und Erweiterbarkeit.The topology describes how nodes are physically or logically connected. It determines resilience, cabling effort and extensibility.

TopologieTopology	AufbauStructure	VorteilAdvantage	NachteilDrawback
SternStar	Alle Knoten an einem zentralen Switch.All nodes attach to a central switch.	Ausfall eines Kabels betrifft nur einen Knoten.A single cable failure affects only one node.	Zentrale ist Single Point of Failure.The center is a single point of failure.
BusBus	Alle teilen ein gemeinsames Kabel.All share one common cable.	Wenig Kabel, einfacher Aufbau.Little cabling, simple to set up.	Kabelbruch legt das ganze Segment lahm; Kollisionen.A cable break kills the whole segment; collisions.
RingRing	Knoten in geschlossener Schleife verbunden.Nodes connected in a closed loop.	Definierter Zugriff, planbare Latenz.Defined access, predictable latency.	Unterbrechung stört den Ring (ohne Redundanz).A break disrupts the ring (without redundancy).
MeshMesh	Viele bis alle Knoten direkt vermascht.Many or all nodes directly interconnected.	Sehr ausfallsicher, mehrere Pfade.Highly resilient, multiple paths.	Hoher Verkabelungs- und Kostenaufwand.High cabling effort and cost.

Kennzahlen: Bandbreite, Durchsatz, LatenzMetrics: bandwidth, throughput, latency

Bandbreite ist die theoretische Kapazität einer Verbindung (z. B. 1 Gbit/s). Durchsatz ist die tatsächlich erreichte Nutzdatenrate, stets niedriger durch Overhead und Engpässe. Latenz ist die Verzögerung, bis ein Paket ankommt (Round-Trip oft in Millisekunden, per ping messbar).Bandwidth is the theoretical capacity of a link (e.g. 1 Gbit/s). Throughput is the actually achieved payload rate, always lower due to overhead and bottlenecks. Latency is the delay until a packet arrives (round-trip often in milliseconds, measurable via ping).

Merke: Hohe Bandbreite garantiert keinen hohen Durchsatz. Latenz, Paketverlust und Protokoll-Overhead können die nutzbare Rate stark senken.Note: High bandwidth does not guarantee high throughput. Latency, packet loss and protocol overhead can sharply reduce the usable rate.

Das OSI-ModellThe OSI model

Das OSI-Referenzmodell zerlegt Netzwerkkommunikation in sieben klar abgegrenzte Schichten. Es ist das gemeinsame Vokabular, mit dem Techniker Protokolle, Geräte und Fehler einordnen.The OSI reference model splits network communication into seven clearly separated layers. It is the shared vocabulary engineers use to classify protocols, devices and faults.

Warum ein Schichtenmodell?Why a layered model?

Ein Schichtenmodell teilt das komplexe Problem „Datenübertragung" in beherrschbare Teilaufgaben. Jede Schicht erbringt einen klar definierten Dienst für die Schicht darüber und nutzt den Dienst der Schicht darunter. So lassen sich Technologien austauschen, ohne den Rest zu ändern: Ob WLAN oder Kupfer auf Schicht 1 läuft, ist für HTTP auf Schicht 7 unsichtbar.A layered model breaks the complex problem of "data transfer" into manageable sub-tasks. Each layer provides a well-defined service to the layer above and uses the service of the layer below. This lets you swap technologies without touching the rest: whether Wi-Fi or copper runs at layer 1 is invisible to HTTP at layer 7.

Abstraktion: jede Schicht kapselt ihre Details.Abstraction: each layer hides its details.
Interoperabilität: Hersteller können standardisierte Schnittstellen umsetzen.Interoperability: vendors can implement standardized interfaces.
Fehlersuche: Probleme lassen sich einer Schicht zuordnen (Kabel = L1, IP = L3 …).Troubleshooting: problems can be pinned to a layer (cable = L1, IP = L3 …).

Die sieben Schichten im ÜberblickThe seven layers at a glance

Nr.No.	NameName	PDU	AufgabeFunction	BeispieleExamples
7	AnwendungApplication	DatenData	Schnittstelle zu Anwendungen und Diensten.Interface to applications and services.	HTTP, DNS, SMTP, FTP
6	DarstellungPresentation	DatenData	Kodierung, Kompression, Verschlüsselung.Encoding, compression, encryption.	TLS, ASCII, JPEG
5	SitzungSession	DatenData	Auf-/Abbau und Steuerung von Sitzungen.Setup, teardown and control of sessions.	RPC, NetBIOS
4	TransportTransport	Segment / DatagrammSegment / datagram	Ende-zu-Ende-Transport, Ports, Zuverlässigkeit.End-to-end transport, ports, reliability.	TCP, UDP
3	VermittlungNetwork	PaketPacket	Logische Adressierung und Routing über Netze.Logical addressing and routing across networks.	IP, ICMP, OSPF
2	SicherungData link	Frame (Rahmen)Frame	Knoten-zu-Knoten im Segment, MAC-Adressen.Node-to-node within a segment, MAC addresses.	Ethernet, PPP, ARP
1	BitübertragungPhysical	BitsBits	Übertragung roher Bits über das Medium.Transmission of raw bits over the medium.	Kupfer, Glasfaser, FunkCopper, fiber, radio

Bezug zur KapselungRelation to encapsulation

Beim Senden wandern die Nutzdaten von oben nach unten durch den Stapel. Jede Schicht ergänzt einen eigenen Header (und Schicht 2 zusätzlich einen Trailer) — das ist die Kapselung. Beim Empfänger läuft es umgekehrt: Jede Schicht entfernt ihren Header und reicht den Inhalt nach oben weiter (Entkapselung). Jede Schicht „spricht" dabei nur mit ihrer Gegenschicht (Peer-Layer).When sending, the payload travels top-down through the stack. Each layer adds its own header (and layer 2 also a trailer) — this is encapsulation. At the receiver the reverse happens: each layer strips its header and passes the content upward (decapsulation). Each layer only "talks" to its counterpart layer (peer layer).

EselsbrückeMnemonic

Von Schicht 7 nach 1 hilft im Deutschen: „Alle deutschen Studenten trinken verschiedene Biere" (Anwendung, Darstellung, Sitzung, Transport, Vermittlung, Sicherung, Bitübertragung).From layer 1 to 7 a common English aid is: "Please Do Not Throw Sausage Pizza Away" (Physical, Data link, Network, Transport, Session, Presentation, Application).

Typische Geräte je SchichtTypical devices per layer

Hub / Repeater arbeiten auf Schicht 1 — sie regenerieren nur Signale, ohne Adressen zu kennen.Hub / repeater operate at layer 1 — they merely regenerate signals without knowing addresses.
Switch / Bridge arbeiten auf Schicht 2 — sie schalten Frames anhand von MAC-Adressen.Switch / bridge operate at layer 2 — they forward frames based on MAC addresses.
Router arbeiten auf Schicht 3 — sie leiten Pakete anhand von IP-Adressen zwischen Netzen weiter.Router operate at layer 3 — they forward packets between networks based on IP addresses.

Wichtig: Das OSI-Modell ist ein Lehr- und Referenzmodell. In der realen Implementierung dominiert der TCP/IP-Stack, der mehrere OSI-Schichten zusammenfasst.Important: The OSI model is a teaching and reference model. Real-world implementation is dominated by the TCP/IP stack, which merges several OSI layers.

Das TCP/IP-ModellThe TCP/IP model

Das TCP/IP-Modell ist das praktisch eingesetzte Schichtenmodell des Internets. Es fasst die Kommunikation in vier Schichten zusammen und bildet die Grundlage jeder modernen Vernetzung.The TCP/IP model is the layered model actually used by the Internet. It groups communication into four layers and underpins all modern networking.

Die vier SchichtenThe four layers

Netzzugang (Link): physische Übertragung und lokale Adressierung im Segment (Ethernet, WLAN, MAC).Network access (link): physical transmission and local addressing within a segment (Ethernet, Wi-Fi, MAC).
Internet: logische Adressierung und Routing zwischen Netzen (IP).Internet: logical addressing and routing across networks (IP).
Transport: Ende-zu-Ende-Verbindungen, Ports, Zuverlässigkeit (TCP, UDP).Transport: end-to-end connections, ports, reliability (TCP, UDP).
Anwendung: Dienste und Protokolle für Programme (HTTP, DNS, SMTP).Application: services and protocols for programs (HTTP, DNS, SMTP).

Vergleich OSI ↔ TCP/IPComparison OSI ↔ TCP/IP

TCP/IP-SchichtTCP/IP layer	Entsprechende OSI-SchichtenCorresponding OSI layers	Beispiel-ProtokolleExample protocols
AnwendungApplication	7 – 5 (Anwendung, Darstellung, Sitzung)7 – 5 (application, presentation, session)	HTTP, DNS, SMTP, FTP, SSH
TransportTransport	4 (Transport)4 (transport)	TCP, UDP
InternetInternet	3 (Vermittlung)3 (network)	IP, ICMP, ARP
NetzzugangNetwork access	2 – 1 (Sicherung, Bitübertragung)2 – 1 (data link, physical)	Ethernet, WLAN, PPPEthernet, Wi-Fi, PPP

Warum es in der Praxis dominiertWhy it dominates in practice

TCP/IP wurde nicht am Reißbrett perfektioniert, sondern an laufenden Implementierungen erprobt („running code"). Es ist schlanker, herstellerunabhängig und wuchs mit dem Internet. Das OSI-Modell blieb vor allem ein Lehrmodell, während TCP/IP der reale Standard wurde.TCP/IP was not perfected on a drawing board but proven on running implementations ("running code"). It is leaner, vendor-neutral and grew with the Internet. The OSI model remained mainly a teaching model, while TCP/IP became the real standard.

Merke: Nutze OSI zum Erklären und Einordnen, TCP/IP zum tatsächlichen Arbeiten. Beide beschreiben dieselbe Realität in unterschiedlicher Granularität.Note: Use OSI to explain and classify, TCP/IP to actually work. Both describe the same reality at different granularity.

Kapselung & PDUsEncapsulation & PDUs

Kapselung beschreibt, wie Nutzdaten beim Durchlaufen der Schichten Schritt für Schritt mit Steuerinformationen verpackt werden. Das Ergebnis jeder Schicht heißt PDU (Protocol Data Unit).Encapsulation describes how payload data is wrapped step by step with control information as it passes through the layers. The output of each layer is called a PDU (protocol data unit).

Kapselung Schritt für SchrittEncapsulation step by step

Beim Sender wandern die Daten von der Anwendung nach unten. Jede Schicht fügt ihren Header hinzu und übergibt das Ganze als Nutzlast an die nächste Schicht:At the sender, data travels down from the application. Each layer adds its header and hands the whole thing as payload to the next layer:

Die Anwendung erzeugt Daten.The application produces data.
Transport ergänzt einen TCP-/UDP-Header → Segment bzw. Datagramm.Transport adds a TCP/UDP header → segment or datagram.
Die Internet-Schicht ergänzt den IP-Header → Paket.The Internet layer adds the IP header → packet.
Die Sicherungsschicht ergänzt Header und Trailer → Frame.The data link layer adds header and trailer → frame.
Die Bitübertragung sendet das Ganze als Bits über das Medium.The physical layer sends everything as bits over the medium.

EntkapselungDecapsulation

Beim Empfänger läuft der Vorgang umgekehrt: Jede Schicht liest und entfernt ihren eigenen Header, prüft ihn und reicht die verbleibende Nutzlast nach oben weiter — bis die Anwendung wieder die reinen Daten erhält.At the receiver the process is reversed: each layer reads and removes its own header, checks it and passes the remaining payload upward — until the application receives the plain data again.

PDU-Namen je SchichtPDU names per layer

Schicht (TCP/IP)Layer (TCP/IP)	PDU	Hinzugefügte InformationAdded information
AnwendungApplication	DatenData	Nutzdaten der Anwendung.Application payload.
TransportTransport	Segment / DatagrammSegment / datagram	Quell-/Ziel-Port, Sequenznummern.Source/destination port, sequence numbers.
InternetInternet	PaketPacket	Quell-/Ziel-IP, TTL.Source/destination IP, TTL.
NetzzugangNetwork access	Frame (Rahmen)Frame	Quell-/Ziel-MAC, Prüfsumme (FCS).Source/destination MAC, checksum (FCS).
PhysischPhysical	Bits	Signal auf dem Medium.Signal on the medium.

Header und TrailerHeader and trailer

Ein Header steht vor der Nutzlast und enthält Steuerinformationen der jeweiligen Schicht (Adressen, Ports, Flags). Ein Trailer steht dahinter; auf Schicht 2 trägt er typischerweise eine Prüfsumme (FCS), mit der der Empfänger Übertragungsfehler erkennt.A header precedes the payload and carries the layer's control information (addresses, ports, flags). A trailer follows it; at layer 2 it typically holds a checksum (FCS) with which the receiver detects transmission errors.

MTU & FragmentierungMTU & fragmentation

Die MTU (Maximum Transmission Unit) ist die größte Nutzlast, die ein Frame tragen kann — bei Ethernet üblich 1500 Byte. Ist ein Paket größer als die MTU des Pfades, muss es in kleinere Teile zerlegt werden (Fragmentierung). Bei IPv4 kann der Router fragmentieren; IPv6 verlangt stattdessen, dass der Sender die Pfad-MTU ermittelt (Path MTU Discovery).The MTU (maximum transmission unit) is the largest payload a frame can carry — commonly 1500 bytes on Ethernet. If a packet exceeds the path MTU, it must be split into smaller pieces (fragmentation). In IPv4 a router may fragment; IPv6 instead requires the sender to determine the path MTU (Path MTU Discovery).

Merke: Fragmentierung kostet Leistung und erhöht das Verlustrisiko — ein verlorenes Fragment macht das ganze Paket ungültig. Eine zur Pfad-MTU passende Paketgröße ist effizienter.Note: Fragmentation costs performance and raises the loss risk — one lost fragment invalidates the whole packet. A packet size matching the path MTU is more efficient.

Adressierung: MAC, IP, PortAddressing: MAC, IP, port

Damit Daten ihr Ziel finden, greifen drei Adresstypen auf verschiedenen Schichten ineinander: MAC lokal, IP über das ganze Netz, Port am richtigen Dienst.For data to reach its target, three address types on different layers work together: MAC locally, IP across the whole network, port at the right service.

Zusammenspiel über die SchichtenInterplay across the layers

Die IP-Adresse (Schicht 3) identifiziert den Endpunkt Ende-zu-Ende und bleibt auf dem ganzen Weg gleich. Die MAC-Adresse (Schicht 2) gilt nur im lokalen Segment und wird an jedem Router-Hop ausgetauscht. Der Port (Schicht 4) wählt auf dem Zielhost den richtigen Dienst aus. Erst die Kombination liefert Daten exakt an die richtige Anwendung.The IP address (layer 3) identifies the endpoint end-to-end and stays the same along the whole path. The MAC address (layer 2) is valid only within the local segment and is swapped at every router hop. The port (layer 4) selects the right service on the target host. Only the combination delivers data exactly to the correct application.

MAC: „Welches Gerät im selben Segment?"MAC: "Which device in the same segment?"
IP: „Welcher Host im Internet?"IP: "Which host on the Internet?"
Port: „Welcher Dienst auf diesem Host?"Port: "Which service on this host?"

MAC vs. IP vs. PortMAC vs. IP vs. port

MerkmalProperty	MAC	IP	Port
SchichtLayer	2	3	4
LängeLength	48 Bit48 bit	32 Bit (IPv4) / 128 Bit (IPv6)32 bit (IPv4) / 128 bit (IPv6)	16 Bit (0–65535)16 bit (0–65535)
BeispielExample	00:1A:2B:3C:4D:5E	192.168.1.10 / 2001:db8::1	443
ReichweiteScope	Lokales SegmentLocal segment	Ende-zu-Ende (netzübergreifend)End-to-end (across networks)	Innerhalb eines HostsWithin a host
Vergeben durchAssigned by	Hersteller (fest) / per SoftwareManufacturer (burned-in) / software	Admin / DHCPAdmin / DHCP	Dienst/AnwendungService/application

VerkehrsartenTraffic types

Unicast: ein Sender an genau einen Empfänger (1:1).Unicast: one sender to exactly one receiver (1:1).
Broadcast: an alle Knoten im Segment (1:alle); nur IPv4/Ethernet, nicht in IPv6.Broadcast: to all nodes in the segment (1:all); IPv4/Ethernet only, absent in IPv6.
Multicast: an eine definierte Gruppe interessierter Empfänger (1:viele).Multicast: to a defined group of interested receivers (1:many).
Anycast: an den topologisch nächsten von mehreren gleich adressierten Knoten (1:nächster).Anycast: to the topologically nearest of several identically addressed nodes (1:nearest).

Merke: Befehle wie ip addr, arp -a und ss -tulpn zeigen dir MAC, IP und offene Ports eines Systems — ideal, um das Zusammenspiel der Adressen praktisch nachzuvollziehen.Note: Commands like ip addr, arp -a and ss -tulpn reveal a system's MAC, IP and open ports — ideal for tracing how the addresses work together in practice.

Ethernet (IEEE 802.3)Ethernet (IEEE 802.3)

Ethernet ist die dominierende Technik für kabelgebundene lokale Netze (LAN) auf der Sicherungsschicht (Layer 2) und definiert Rahmenformat, Adressierung und Übertragung.Ethernet is the dominant wired LAN technology at the data link layer (Layer 2), defining frame format, addressing and transmission.

Standard und EinordnungStandard and classification

Ethernet wird in der Normenfamilie IEEE 802.3 beschrieben. Es arbeitet auf der Bitübertragungsschicht (Layer 1) und der Sicherungsschicht (Layer 2) des OSI-Modells. Die Sicherungsschicht teilt sich in die Teilschichten MAC (Medienzugriff) und LLC auf.Ethernet is specified by the IEEE 802.3 standards family. It operates at the physical layer (Layer 1) and the data link layer (Layer 2) of the OSI model. The data link layer is split into the MAC (media access) and LLC sublayers.

Aufbau eines Ethernet-FramesStructure of an Ethernet frame

Ein Ethernet-Frame besteht aus festen Feldern. Präambel und SFD dienen der Synchronisation und zählen nicht zum eigentlichen Frame; die Prüfsumme (FCS) sichert die Integrität.An Ethernet frame consists of fixed fields. The preamble and SFD are used for synchronization and do not count toward the frame proper; the checksum (FCS) protects integrity.

FeldField	GrößeSize	FunktionPurpose
Präambel + SFDPreamble + SFD	7 + 1 B	Taktsynchronisation, Rahmenbeginn (`10101011`)Clock sync, start-of-frame delimiter (`10101011`)
Ziel-MACDestination MAC	6 B	Empfänger-HardwareadresseReceiver hardware address
Quell-MACSource MAC	6 B	Absender-HardwareadresseSender hardware address
EtherType / LängeEtherType / Length	2 B	Protokolltyp (z. B. `0x0800` = IPv4) oder LängeProtocol type (e.g. `0x0800` = IPv4) or length
NutzdatenPayload	46–1500 B	Daten höherer Schichten (mit Padding bei < 46 B)Upper-layer data (padded if < 46 B)
FCSFCS	4 B	Prüfsumme (CRC-32) zur FehlererkennungChecksum (CRC-32) for error detection

GeschwindigkeitenSpeeds

10 Mbit/s – klassisches Ethernet (10BASE-T), heute obsolet.10 Mbit/s – classic Ethernet (10BASE-T), now obsolete.
100 Mbit/s – Fast Ethernet (100BASE-TX).100 Mbit/s – Fast Ethernet (100BASE-TX).
1 Gbit/s – Gigabit Ethernet (1000BASE-T), heutiger Standard im Zugangsbereich.1 Gbit/s – Gigabit Ethernet (1000BASE-T), today's access-layer standard.
10 Gbit/s – 10G Ethernet (10GBASE-T / SFP+), Server und Backbone.10 Gbit/s – 10G Ethernet (10GBASE-T / SFP+), servers and backbone.

Halb- und Vollduplex, CSMA/CDHalf/full duplex, CSMA/CD

Im Halbduplex kann nur abwechselnd gesendet oder empfangen werden; mehrere Stationen teilen sich das Medium. Zur Konfliktauflösung diente historisch CSMA/CD (Carrier Sense Multiple Access with Collision Detection): Stationen lauschen vor dem Senden und erkennen Kollisionen. Im modernen Vollduplex mit Switches gibt es keine Kollisionen mehr – CSMA/CD ist dort bedeutungslos.In half duplex a station can only send or receive alternately; multiple stations share the medium. CSMA/CD (Carrier Sense Multiple Access with Collision Detection) historically resolved conflicts: stations listen before sending and detect collisions. In modern full duplex with switches there are no collisions – CSMA/CD is irrelevant there.

Medien und KabelMedia and cabling

Cat5e – Twisted-Pair bis 1 Gbit/s, häufig im Bestand.Cat5e – twisted pair up to 1 Gbit/s, common in existing installs.
Cat6 / Cat6a – bis 10 Gbit/s (Cat6 auf kürzeren Strecken), bessere Schirmung.Cat6 / Cat6a – up to 10 Gbit/s (Cat6 over shorter runs), better shielding.
Glasfaser – Single-/Multimode für große Distanzen und hohe Bandbreiten, immun gegen elektromagnetische Störungen.Fiber optic – single/multimode for long distances and high bandwidth, immune to electromagnetic interference.

Merke: Die Standard-MTU von Ethernet beträgt 1500 Byte Nutzdaten. Pakete höherer Schichten dürfen diese Grenze nicht überschreiten, sonst ist Fragmentierung nötig.Note: Ethernet's standard MTU is 1500 bytes of payload. Upper-layer packets must not exceed this limit, otherwise fragmentation is required.

MAC-AdressenMAC addresses

Die MAC-Adresse ist die 48 Bit lange Hardwareadresse einer Netzwerkschnittstelle und identifiziert Geräte eindeutig innerhalb einer Layer-2-Domäne.The MAC address is the 48-bit hardware address of a network interface and uniquely identifies devices within a Layer 2 domain.

AufbauStructure

Eine MAC-Adresse umfasst 48 Bit (6 Byte) und teilt sich in zwei Hälften: die ersten 24 Bit bilden die OUI (Organizationally Unique Identifier), die von der IEEE an Hersteller vergeben wird. Die letzten 24 Bit sind der geräteindividuelle Teil, den der Hersteller frei vergibt.A MAC address comprises 48 bits (6 bytes) and splits into two halves: the first 24 bits form the OUI (Organizationally Unique Identifier) assigned by the IEEE to vendors. The last 24 bits are the device-specific part assigned freely by the vendor.

OUI (Hersteller): erste 3 Byte, z. B. 00:1A:2BOUI (vendor): first 3 bytes, e.g. 00:1A:2B
Geräteteil: letzte 3 Byte, z. B. 3C:4D:5EDevice part: last 3 bytes, e.g. 3C:4D:5E

SchreibweisenNotations

MAC-Adressen werden hexadezimal dargestellt. Gängige Trennzeichen sind Doppelpunkte, Bindestriche oder Punkte:MAC addresses are written in hexadecimal. Common separators are colons, hyphens or dots:

Doppelpunkt: 00:1A:2B:3C:4D:5EColon: 00:1A:2B:3C:4D:5E
Bindestrich: 00-1A-2B-3C-4D-5EHyphen: 00-1A-2B-3C-4D-5E
Cisco-Punktnotation: 001A.2B3C.4D5ECisco dotted notation: 001A.2B3C.4D5E

Sonderadressen und BitsSpecial addresses and bits

Die Broadcast-Adresse FF:FF:FF:FF:FF:FF erreicht alle Stationen im Segment. Zwei Bits im ersten Byte steuern die Bedeutung der Adresse:The broadcast address FF:FF:FF:FF:FF:FF reaches all stations in the segment. Two bits in the first byte control the address meaning:

I/G-Bit (niederwertigstes Bit des ersten Bytes): 0 = Unicast (ein Gerät), 1 = Multicast/Broadcast (Gruppe).I/G bit (least significant bit of the first byte): 0 = unicast (single device), 1 = multicast/broadcast (group).
U/L-Bit (zweitniedrigstes Bit): 0 = universell (herstellervergeben), 1 = lokal verwaltet (administrativ vergeben).U/L bit (second-lowest bit): 0 = universal (vendor-assigned), 1 = locally administered.

BeispieleExamples

MAC-AdresseMAC address	TypType	BedeutungMeaning
00:1A:2B:3C:4D:5E	Unicast, universellUnicast, universal	Reguläre GeräteadresseRegular device address
FF:FF:FF:FF:FF:FF	BroadcastBroadcast	Alle Stationen im SegmentAll stations in the segment
01:00:5E:00:00:FB	Multicast (I/G=1)Multicast (I/G=1)	IPv4-Multicast-BereichIPv4 multicast range
02:42:AC:11:00:02	Lokal verwaltet (U/L=1)Locally administered (U/L=1)	Z. B. virtuelle Schnittstelle (Container)E.g. virtual interface (container)

Merke: Eine ungerade erste Stelle des zweiten Hex-Zeichens (z. B. 01:…, 03:…) signalisiert ein gesetztes I/G-Bit – die Adresse ist dann Multicast, kein Unicast.Note: An odd value in the second hex digit (e.g. 01:…, 03:…) indicates a set I/G bit – the address is then multicast, not unicast.

SwitchingSwitching

Ein Switch verbindet Geräte im LAN auf Layer 2 und leitet Frames anhand der Ziel-MAC gezielt an den richtigen Port weiter – effizienter und sicherer als ein Hub.A switch connects LAN devices at Layer 2 and forwards frames to the correct port based on the destination MAC – more efficient and secure than a hub.

Switch vs. HubSwitch vs. hub

Ein Hub ist ein reiner Signalverstärker (Layer 1): Er sendet jedes Bit an alle Ports und bildet eine einzige große Kollisionsdomäne. Ein Switch arbeitet auf Layer 2, lernt MAC-Adressen und leitet Frames nur an den Zielport. Jeder Switch-Port ist eine eigene Kollisionsdomäne und ermöglicht Vollduplex.A hub is a pure signal repeater (Layer 1): it sends every bit to all ports and forms a single large collision domain. A switch works at Layer 2, learns MAC addresses and forwards frames only to the target port. Each switch port is its own collision domain and enables full duplex.

Die MAC-AdresstabelleThe MAC address table

Der Switch baut eine MAC-Adresstabelle (CAM-Tabelle) auf, indem er die Quell-MAC eingehender Frames mit dem Empfangsport verknüpft. Einträge altern nach einer einstellbaren Aging Time (häufig 300 s) und werden gelöscht, wenn keine Frames mehr von dieser MAC kommen.The switch builds a MAC address table (CAM table) by associating the source MAC of incoming frames with the ingress port. Entries age out after a configurable aging time (often 300 s) and are removed when no more frames arrive from that MAC.

MAC-AdresseMAC address	Port	VLAN
00:1A:2B:3C:4D:5E	Gi0/1	10
00:1A:2B:AA:BB:CC	Gi0/2	10
00:50:56:11:22:33	Gi0/3	20

Forwarding, Filtering, FloodingForwarding, filtering, flooding

Forwarding: Ist die Ziel-MAC bekannt, sendet der Switch nur an den zugehörigen Port.Forwarding: if the destination MAC is known, the switch sends only to the matching port.
Filtering: Liegen Quelle und Ziel am selben Port, wird der Frame verworfen (nicht weitergeleitet).Filtering: if source and destination are on the same port, the frame is discarded (not forwarded).
Flooding: Ist die Ziel-MAC unbekannt oder ein Broadcast/Multicast, geht der Frame an alle Ports des VLANs (außer dem Eingangsport).Flooding: if the destination MAC is unknown or a broadcast/multicast, the frame goes to all ports in the VLAN (except the ingress port).

Kollisions- vs. Broadcast-DomäneCollision vs. broadcast domain

Eine Kollisionsdomäne ist der Bereich, in dem sich Frames stören können – bei Switches je Port eine. Eine Broadcast-Domäne umfasst alle Geräte, die einen Broadcast empfangen; sie endet erst an einem Router (Layer 3) oder an VLAN-Grenzen. Ein Switch verkleinert also Kollisionsdomänen, nicht aber die Broadcast-Domäne.A collision domain is the area where frames can interfere – one per port on a switch. A broadcast domain covers all devices that receive a broadcast; it ends only at a router (Layer 3) or at VLAN boundaries. A switch thus shrinks collision domains but not the broadcast domain.

Store-and-Forward vs. Cut-ThroughStore-and-forward vs. cut-through

VerfahrenMethod	ArbeitsweiseOperation	EigenschaftProperty
Store-and-ForwardStore-and-forward	Frame komplett empfangen, FCS prüfen, dann sendenReceive the whole frame, check FCS, then send	Höhere Latenz, aber fehlerfreiHigher latency, but error-free
Cut-ThroughCut-through	Weiterleiten, sobald die Ziel-MAC gelesen istForward as soon as the destination MAC is read	Sehr geringe Latenz, leitet ggf. fehlerhafte Frames weiterVery low latency, may forward corrupt frames

Merke: Moderne Switches nutzen meist Store-and-Forward, da QoS-Funktionen den vollständigen Frame ohnehin benötigen und fehlerhafte Frames so nicht das Netz belasten.Note: Modern switches mostly use store-and-forward, since QoS features need the full frame anyway and corrupt frames are not propagated.

VLAN & TrunkingVLANs & trunking

VLANs trennen ein physisches Switch-Netz logisch in mehrere Broadcast-Domänen – für Segmentierung, Sicherheit und Übersicht ohne zusätzliche Hardware.VLANs logically split a physical switch network into multiple broadcast domains – for segmentation, security and clarity without extra hardware.

Das VLAN-KonzeptThe VLAN concept

Ein VLAN (Virtual LAN) fasst Ports zu einer eigenen Broadcast-Domäne zusammen. Geräte in unterschiedlichen VLANs können nicht direkt auf Layer 2 kommunizieren, selbst wenn sie am selben Switch hängen. So lassen sich z. B. Büro-, Server- und Gäste-Netze trennen.A VLAN (Virtual LAN) groups ports into a separate broadcast domain. Devices in different VLANs cannot communicate directly at Layer 2, even on the same switch. This separates e.g. office, server and guest networks.

802.1Q-Tag-Aufbau802.1Q tag structure

Damit ein Frame seine VLAN-Zugehörigkeit über Trunks trägt, wird nach der Quell-MAC ein 4 Byte langer 802.1Q-Tag eingefügt:So a frame carries its VLAN membership across trunks, a 4-byte 802.1Q tag is inserted after the source MAC:

FeldField	GrößeSize	FunktionPurpose
TPID	16 bit	Tag-Kennung, fest `0x8100`Tag identifier, fixed `0x8100`
PCP	3 bit	Priorität (QoS, 0–7)Priority (QoS, 0–7)
DEI	1 bit	Drop-Eligible-Kennung (verwerfbar bei Last)Drop-eligible indicator (discardable under load)
VID	12 bit	VLAN-ID: 0–4095, davon 4094 nutzbar (0 und 4095 reserviert)VLAN ID: 0–4095, of which 4094 usable (0 and 4095 reserved)

Access- vs. Trunk-PortAccess vs. trunk port

Access-Port: gehört zu genau einem VLAN, sendet/empfängt ungetaggte Frames – typisch für Endgeräte (PC, Drucker).Access port: belongs to exactly one VLAN, sends/receives untagged frames – typical for end devices (PC, printer).
Trunk-Port: transportiert mehrere VLANs gleichzeitig, getaggt nach 802.1Q – typisch zwischen Switches oder zum Router.Trunk port: carries multiple VLANs at once, tagged per 802.1Q – typical between switches or to the router.

Native VLANNative VLAN

Auf einem Trunk wird das Native VLAN ungetaggt übertragen. Standard ist VLAN 1. Aus Sicherheitsgründen sollte das Native VLAN auf beiden Seiten gleich und idealerweise ein ungenutztes VLAN sein, um VLAN-Hopping zu erschweren.On a trunk, the native VLAN is transmitted untagged. The default is VLAN 1. For security, the native VLAN should match on both sides and ideally be an unused VLAN to hinder VLAN hopping.

Inter-VLAN-RoutingInter-VLAN routing

Kommunikation zwischen VLANs erfordert Layer 3. Zwei klassische Ansätze:Communication between VLANs requires Layer 3. Two classic approaches:

Router-on-a-Stick: ein Router mit Subinterfaces über einen einzigen Trunk; einfach, aber bandbreitenbegrenzt.Router-on-a-stick: one router with subinterfaces over a single trunk; simple but bandwidth-limited.
Layer-3-Switch: routet zwischen VLANs intern in Hardware (SVIs) – schnell und skalierbar.Layer 3 switch: routes between VLANs internally in hardware (SVIs) – fast and scalable.

Wichtig: Ohne ein Layer-3-Gerät bleiben VLANs voneinander isoliert. Stimmt das Native VLAN an beiden Trunk-Enden nicht überein, kommt es zu Fehlkonfigurationen und potenziellen Sicherheitslücken.Important: Without a Layer 3 device, VLANs stay isolated. If the native VLAN does not match on both trunk ends, misconfiguration and potential security holes arise.

ARP – Address Resolution ProtocolARP – Address Resolution Protocol

ARP löst eine bekannte IPv4-Adresse in die zugehörige MAC-Adresse auf und verbindet damit Layer 3 mit Layer 2 im lokalen Netz.ARP resolves a known IPv4 address into its MAC address, bridging Layer 3 and Layer 2 in the local network.

ZweckPurpose

Um einen Ethernet-Frame zu adressieren, braucht ein Sender die Ziel-MAC, kennt aber oft nur die Ziel-IPv4. ARP ermittelt die fehlende MAC-Adresse innerhalb desselben Subnetzes. Liegt das Ziel außerhalb, wird stattdessen die MAC des Standard-Gateways aufgelöst.To address an Ethernet frame, a sender needs the destination MAC but often knows only the destination IPv4. ARP determines the missing MAC within the same subnet. If the target is outside, the MAC of the default gateway is resolved instead.

Ablauf: Request und ReplyProcess: request and reply

ARP-Request als Broadcast an FF:FF:FF:FF:FF:FF: „Wer hat 192.168.1.1? Sag es 192.168.1.50.“ARP request as a broadcast to FF:FF:FF:FF:FF:FF: "Who has 192.168.1.1? Tell 192.168.1.50."
ARP-Reply als Unicast direkt an den Anfrager: „192.168.1.1 liegt bei 00:1A:2B:3C:4D:5E.“ARP reply as a unicast straight to the requester: "192.168.1.1 is at 00:1A:2B:3C:4D:5E."

ARP-CacheARP cache

Aufgelöste Zuordnungen speichert das Betriebssystem im ARP-Cache, um wiederholte Anfragen zu vermeiden. Die Einträge altern nach kurzer Zeit aus. Anzeigen lässt sich der Cache mit arp -a bzw. ip neigh (Linux).The operating system stores resolved mappings in the ARP cache to avoid repeated requests. Entries age out after a short time. The cache can be shown with arp -a or ip neigh (Linux).

IPv4-AdresseIPv4 address	MAC-AdresseMAC address	TypType
192.168.1.1	00:1A:2B:3C:4D:5E	dynamic
192.168.1.20	00:50:56:AA:BB:CC	dynamic

Gratuitous ARPGratuitous ARP

Beim Gratuitous ARP sendet ein Gerät unaufgefordert eine ARP-Nachricht über seine eigene IP. Das dient der Erkennung von IP-Adresskonflikten und dem Aktualisieren der ARP-Caches anderer Stationen, etwa nach einem Failover (z. B. bei VRRP/HSRP).In gratuitous ARP a device sends an unsolicited ARP message about its own IP. This detects IP address conflicts and updates other stations' ARP caches, e.g. after a failover (such as VRRP/HSRP).

ARP und IPv6ARP and IPv6

ARP existiert nur für IPv4. In IPv6 übernimmt das NDP (Neighbor Discovery Protocol) diese Aufgabe über ICMPv6-Nachrichten und Multicast statt Broadcast.ARP exists only for IPv4. In IPv6 the NDP (Neighbor Discovery Protocol) handles this task via ICMPv6 messages and multicast instead of broadcast.

Warnung: ARP kennt keine Authentifizierung. Beim ARP-Spoofing/Poisoning sendet ein Angreifer gefälschte Replies und leitet so Verkehr über sich um (Man-in-the-Middle). Gegenmaßnahmen: Dynamic ARP Inspection, statische Einträge, Port-Security.Warning: ARP has no authentication. In ARP spoofing/poisoning an attacker sends forged replies to redirect traffic through itself (man-in-the-middle). Mitigations: Dynamic ARP Inspection, static entries, port security.

Spanning Tree (STP)Spanning Tree (STP)

STP verhindert Schleifen in redundant verkabelten Switch-Netzen, indem es automatisch einen schleifenfreien logischen Baum aufspannt.STP prevents loops in redundantly cabled switch networks by automatically building a loop-free logical tree.

Das Problem: Layer-2-SchleifenThe problem: Layer 2 loops

Ethernet-Frames haben kein TTL-Feld. Eine physische Schleife zwischen Switches führt deshalb dazu, dass Broadcasts endlos kreisen und sich vervielfachen – ein Broadcast-Sturm, der das Netz lahmlegt. Zusätzlich entstehen instabile MAC-Tabellen.Ethernet frames have no TTL field. A physical loop between switches therefore causes broadcasts to circle endlessly and multiply – a broadcast storm that paralyzes the network. It also produces unstable MAC tables.

STP (802.1D) – FunktionsweiseSTP (802.1D) – how it works

STP (IEEE 802.1D) wählt eine Root Bridge mit der niedrigsten Bridge-ID (Priorität + MAC-Adresse). Von dort wird der kürzeste, schleifenfreie Pfad berechnet; überflüssige Verbindungen werden blockiert, aber als Reserve gehalten. Die Switches tauschen dazu BPDUs (Bridge Protocol Data Units) aus.STP (IEEE 802.1D) elects a root bridge with the lowest bridge ID (priority + MAC address). From there the shortest loop-free path is computed; redundant links are blocked but kept as backup. The switches exchange BPDUs (Bridge Protocol Data Units) for this.

Port-RollenPort roles

Root Port: der Port jedes Switches mit dem günstigsten Pfad zur Root Bridge.Root port: each switch's port with the lowest-cost path to the root bridge.
Designated Port: der zuständige, weiterleitende Port pro Segment.Designated port: the responsible, forwarding port per segment.
Blocking Port: blockierter Port, der Schleifen verhindert und nur BPDUs lauscht.Blocking port: a blocked port that prevents loops and only listens for BPDUs.

Port-ZuständePort states

ZustandState	Leitet Daten?Forwards data?	Lernt MACs?Learns MACs?
Blocking	NeinNo	NeinNo
Listening	NeinNo	NeinNo
Learning	NeinNo	JaYes
Forwarding	JaYes	JaYes
Disabled	NeinNo	NeinNo

RSTP und PortFastRSTP and PortFast

RSTP (IEEE 802.1w) konvergiert deutlich schneller als das klassische STP (Sekunden statt bis zu 50 s) durch neue Port-Rollen und proaktive Handshakes. PortFast versetzt Endgeräte-Ports sofort in Forwarding und überspringt die Wartezustände – nur an Access-Ports zu Endgeräten einsetzen, niemals zu anderen Switches.RSTP (IEEE 802.1w) converges far faster than classic STP (seconds instead of up to 50 s) via new port roles and proactive handshakes. PortFast moves end-device ports straight to forwarding, skipping the wait states – use it only on access ports to end devices, never toward other switches.

Warnung: PortFast an einem Port zu einem anderen Switch kann Schleifen erzeugen. Schütze solche Ports mit BPDU Guard, der den Port bei eingehenden BPDUs sofort abschaltet.Warning: PortFast on a port toward another switch can create loops. Protect such ports with BPDU Guard, which shuts the port down immediately upon receiving BPDUs.

IPv4-AdressenIPv4 addresses

Eine IPv4-Adresse ist 32 Bit lang und identifiziert eine Netzwerkschnittstelle eindeutig innerhalb ihres Geltungsbereichs.An IPv4 address is 32 bits long and uniquely identifies a network interface within its scope.

Aufbau und NotationStructure and notation

Die 32 Bit werden in vier Oktette (je 8 Bit) aufgeteilt und in Dotted-Decimal-Schreibweise dargestellt, z. B. 192.168.0.1. Jedes Oktett kann Werte von 0 bis 255 annehmen, woraus rund 4,3 Milliarden mögliche Adressen resultieren.The 32 bits are split into four octets (8 bits each) and written in dotted-decimal notation, e.g. 192.168.0.1. Each octet ranges from 0 to 255, yielding about 4.3 billion possible addresses.

Jede Adresse besteht aus einem Netzanteil und einem Hostanteil. Der Netzanteil bestimmt das Subnetz, der Hostanteil das einzelne Gerät darin. Welche Bits zu welchem Teil gehören, legt die Subnetzmaske bzw. das CIDR-Präfix fest.Every address consists of a network part and a host part. The network part identifies the subnet, the host part the individual device within it. The subnet mask or CIDR prefix defines which bits belong to which part.

Adressklassen A–EAddress classes A–E

Historisch wurde der Adressraum in Klassen mit fester Standardmaske unterteilt. Heute ist das klassenbasierte Modell durch CIDR abgelöst, die Begriffe sind aber weiterhin gebräuchlich.Historically the address space was divided into classes with a fixed default mask. The classful model has been replaced by CIDR, but the terms are still commonly used.

KlasseClass	BereichRange	StandardmaskeDefault mask	VerwendungUse
A	0.0.0.0 – 127.255.255.255	/8 (255.0.0.0)	große Netzelarge networks
B	128.0.0.0 – 191.255.255.255	/16 (255.255.0.0)	mittlere Netzemedium networks
C	192.0.0.0 – 223.255.255.255	/24 (255.255.255.0)	kleine Netzesmall networks
D	224.0.0.0 – 239.255.255.255	——	MulticastMulticast
E	240.0.0.0 – 255.255.255.255	——	reserviert/experimentellreserved/experimental

Private Adressbereiche (RFC 1918)Private address ranges (RFC 1918)

Diese Bereiche sind nicht im Internet routbar und für interne Netze reserviert. Geräte mit privaten Adressen erreichen das Internet über NAT.These ranges are not routable on the public Internet and are reserved for internal networks. Devices with private addresses reach the Internet via NAT.

10.0.0.0/8 — ein großes Netz mit über 16 Millionen Adressen — a single large network with over 16 million addresses
172.16.0.0/12 — 16 zusammenhängende Klasse-B-Netze — 16 contiguous class-B networks
192.168.0.0/16 — typisch für Heim- und kleine Büronetze — typical for home and small office networks

SonderbereicheSpecial-purpose ranges

BereichRange	BezeichnungName	ZweckPurpose
127.0.0.0/8	LoopbackLoopback	lokaler Host, 127.0.0.1local host, 127.0.0.1
169.254.0.0/16	APIPA / Link-LocalAPIPA / link-local	Selbstzuweisung, wenn kein DHCP antwortetself-assigned when no DHCP server responds
100.64.0.0/10	CGNAT (RFC 6598)CGNAT (RFC 6598)	Carrier-Grade-NAT bei Providerncarrier-grade NAT at ISPs

Merke: In jedem Subnetz sind die erste Adresse (Netzadresse) und die letzte (Broadcast) reserviert und nicht an Hosts vergebbar.Note: In every subnet the first address (network address) and the last (broadcast) are reserved and cannot be assigned to hosts.

IPv6-GrundlagenIPv6 basics

IPv6 nutzt 128 Bit lange Adressen und löst damit die Adressknappheit von IPv4 mit einem praktisch unerschöpflichen Adressraum.IPv6 uses 128-bit addresses, solving IPv4's address exhaustion with a practically inexhaustible address space.

Notation und AufbauNotation and structure

Die 128 Bit werden in acht Gruppen zu je 16 Bit (vier Hexadezimalziffern) geschrieben, getrennt durch Doppelpunkte, z. B. 2001:0db8:0000:0000:0000:0000:0000:0001. Die ersten 64 Bit bilden üblicherweise das Netzpräfix, die letzten 64 Bit die Interface-ID.The 128 bits are written as eight groups of 16 bits (four hexadecimal digits) separated by colons, e.g. 2001:0db8:0000:0000:0000:0000:0000:0001. The first 64 bits usually form the network prefix, the last 64 bits the interface ID.

KompressionsregelnCompression rules

Führende Nullen in einer Gruppe dürfen entfallen: 0db8 → db8.Leading zeros in a group may be omitted: 0db8 → db8.
Eine oder mehrere zusammenhängende Nullgruppen werden zu :: verkürzt — aber nur einmal pro Adresse, sonst wäre sie mehrdeutig.One or more consecutive all-zero groups collapse to :: — but only once per address, otherwise it would be ambiguous.

Das obige Beispiel lautet komprimiert 2001:db8::1.The example above compressed reads 2001:db8::1.

AdresstypenAddress types

TypType	PräfixPrefix	BedeutungMeaning
Global UnicastGlobal unicast	2000::/3	weltweit routbar (öffentlich)globally routable (public)
Unique Local (ULA)Unique local (ULA)	fc00::/7	privat, nur intern routbarprivate, internal routing only
Link-LocalLink-local	fe80::/10	nur auf dem lokalen Segment gültigvalid only on the local link
MulticastMulticast	ff00::/8	an eine Gruppe von Empfängernto a group of receivers

Unterschiede zu IPv4Differences from IPv4

Kein Broadcast: Dessen Funktion übernehmen Multicast und Anycast.No broadcast: its role is taken over by multicast and anycast.
/64 als Standard-Subnetz: Fast jedes LAN-Segment nutzt ein /64, was eine riesige Zahl Hosts erlaubt./64 as standard subnet: almost every LAN segment uses a /64, allowing a vast number of hosts.

SLAAC – AutokonfigurationSLAAC – autoconfiguration

Bei SLAAC (Stateless Address Autoconfiguration) bildet ein Host seine Adresse selbst: Der Router sendet per Router Advertisement das /64-Präfix, der Host ergänzt eine Interface-ID — ganz ohne DHCP-Server.With SLAAC (Stateless Address Autoconfiguration) a host forms its own address: the router advertises the /64 prefix via a Router Advertisement, and the host appends an interface ID — entirely without a DHCP server.

Merke: Der Präfix 2001:db8::/32 ist offiziell für Dokumentation reserviert (RFC 3849) und sollte nie in Produktivnetzen verwendet werden.Note: The prefix 2001:db8::/32 is officially reserved for documentation (RFC 3849) and should never be used in production networks.

Subnetting & CIDRSubnetting & CIDR

Subnetting teilt einen Adressbereich in kleinere Netze auf; CIDR beschreibt die Grenze zwischen Netz- und Hostanteil flexibel über ein Präfix.Subnetting divides an address range into smaller networks; CIDR flexibly describes the boundary between network and host part via a prefix.

Subnetzmaske und CIDR-PräfixSubnet mask and CIDR prefix

Die Subnetzmaske trennt Netz- und Hostanteil: Alle auf 1 gesetzten Bits gehören zum Netz. Das CIDR-Präfix /n gibt einfach die Anzahl dieser Netz-Bits an. So entspricht 255.255.255.0 dem Präfix /24.The subnet mask separates network and host part: every bit set to 1 belongs to the network. The CIDR prefix /n simply states the number of these network bits. Thus 255.255.255.0 equals the prefix /24.

Nutzbare Hosts berechnenCalculating usable hosts

Die Zahl nutzbarer Hosts ist 2^Hostbits − 2: Netz- und Broadcast-Adresse fallen weg. Sonderfälle: /31 bietet genau zwei Adressen für Punkt-zu-Punkt-Links (RFC 3021, keine Subtraktion), /32 bezeichnet einen einzelnen Host.The number of usable hosts is 2^hostbits − 2: the network and broadcast addresses are excluded. Special cases: /31 provides exactly two addresses for point-to-point links (RFC 3021, no subtraction), /32 denotes a single host.

PräfixPrefix	MaskeMask	AdressenAddresses	nutzbare HostsUsable hosts
/24	255.255.255.0	256	254
/25	255.255.255.128	128	126
/26	255.255.255.192	64	62
/27	255.255.255.224	32	30
/28	255.255.255.240	16	14
/29	255.255.255.248	8	6
/30	255.255.255.252	4	2

Beispiel: /24 in vier /26Example: /24 into four /26

Das Netz 192.168.1.0/24 lässt sich in vier gleich große /26-Subnetze mit je 62 nutzbaren Hosts aufteilen:The network 192.168.1.0/24 can be split into four equally sized /26 subnets with 62 usable hosts each:

192.168.1.0/26 (Hosts .1–.62)(hosts .1–.62)
192.168.1.64/26 (Hosts .65–.126)(hosts .65–.126)
192.168.1.128/26 (Hosts .129–.190)(hosts .129–.190)
192.168.1.192/26 (Hosts .193–.254)(hosts .193–.254)

VLSMVLSM

VLSM (Variable Length Subnet Mask) erlaubt unterschiedlich große Subnetze innerhalb desselben Bereichs. So bekommt ein Punkt-zu-Punkt-Link nur ein /30, während ein Benutzer-LAN ein /24 erhält — der Adressraum wird bedarfsgerecht und sparsam genutzt.VLSM (Variable Length Subnet Mask) allows differently sized subnets within the same range. A point-to-point link gets only a /30 while a user LAN gets a /24 — address space is used efficiently and on demand.

Tipp: Subnetze, Masken und Hostbereiche musst du nicht im Kopf rechnen — nutze den interaktiven Rechner unter ip-calc.bastix1.de.Tip: You don't have to compute subnets, masks and host ranges by hand — use the interactive calculator at ip-calc.bastix1.de.

RoutingRouting

Routing ist die Entscheidung, über welchen Pfad ein IP-Paket sein Zielnetz erreicht — Grundlage jeder netzübergreifenden Kommunikation.Routing is the decision of which path an IP packet takes to reach its destination network — the basis of all inter-network communication.

Die Routing-TabelleThe routing table

Jeder Router (und Host) führt eine Routing-Tabelle mit Einträgen aus Zielnetz, Präfix, nächstem Hop und Ausgangsinterface. Für jedes Paket wird der passende Eintrag gesucht und das Paket entsprechend weitergeleitet.Every router (and host) maintains a routing table with entries of destination network, prefix, next hop and outgoing interface. For each packet the matching entry is looked up and the packet forwarded accordingly.

Default-Route und Longest-Prefix-MatchDefault route and longest-prefix match

Die Default-Route 0.0.0.0/0 zeigt auf das Default-Gateway und gilt, wenn kein spezifischerer Eintrag passt. Treffen mehrere Routen zu, gewinnt nach dem Longest-Prefix-Match die mit dem längsten (spezifischsten) Präfix: 10.1.2.0/24 schlägt 10.0.0.0/8.The default route 0.0.0.0/0 points to the default gateway and applies when no more specific entry matches. If several routes match, longest-prefix match selects the one with the longest (most specific) prefix: 10.1.2.0/24 beats 10.0.0.0/8.

Direkt verbunden vs. nächster HopDirectly connected vs. next hop

Liegt das Ziel in einem direkt am Router angeschlossenen Netz, wird es ohne Zwischenstation zugestellt. Andernfalls leitet der Router das Paket an die IP des nächsten Hops weiter — den nächsten Router auf dem Weg zum Ziel.If the destination lies in a network directly attached to the router, it is delivered without an intermediate hop. Otherwise the router forwards the packet to the next-hop IP — the next router on the path toward the destination.

Statisch vs. dynamischStatic vs. dynamic

Statische Routen trägt der Administrator manuell ein — einfach, aber pflegeintensiv. Dynamische Routing-Protokolle tauschen Routen automatisch aus und reagieren auf Ausfälle.Static routes are entered manually by the administrator — simple but maintenance-heavy. Dynamic routing protocols exchange routes automatically and react to failures.

ProtokollProtocol	TypType	KurzbeschreibungShort description
RIP	Distanzvektordistance vector	einfach, Metrik = Hop-Anzahl, max. 15 Hops.simple, metric = hop count, max. 15 hops.
OSPF	Link-Statelink state	schnell konvergierend, Metrik nach Bandbreite, für ein AS.fast-converging, metric based on bandwidth, within an AS.
BGP	Pfadvektorpath vector	routet zwischen autonomen Systemen — das Protokoll des Internets.routes between autonomous systems — the protocol of the Internet.

Metrik und administrative DistanzMetric and administrative distance

Innerhalb eines Protokolls bewertet die Metrik die Güte eines Pfades (kleiner = besser). Liefern mehrere Quellen eine Route zum selben Ziel, entscheidet die administrative Distanz über die Vertrauenswürdigkeit der Quelle — direkt verbundene Netze (0) vor statisch (1) vor OSPF vor RIP.Within a protocol the metric rates the quality of a path (lower = better). If multiple sources offer a route to the same destination, the administrative distance decides the trustworthiness of the source — directly connected (0) before static (1) before OSPF before RIP.

Merke: Zuerst entscheidet das längste Präfix, dann die administrative Distanz, erst danach die protokollinterne Metrik.Note: Longest prefix decides first, then administrative distance, and only then the protocol-internal metric.

ICMPICMP

Das Internet Control Message Protocol ist das Diagnose- und Fehlermeldeprotokoll von IP — es trägt keine Nutzdaten, sondern Statusinformationen.The Internet Control Message Protocol is IP's diagnostics and error-reporting protocol — it carries no user data, only status information.

ZweckPurpose

ICMP meldet Probleme bei der Zustellung von IP-Paketen zurück an den Absender und dient der Netzdiagnose. Es läuft direkt über IP (Protokollnummer 1) und kennt keine Ports.ICMP reports problems with IP packet delivery back to the sender and supports network diagnostics. It runs directly over IP (protocol number 1) and has no ports.

Echo Request/Reply – pingEcho request/reply – ping

ping sendet einen Echo Request (Typ 8); der erreichbare Host antwortet mit Echo Reply (Typ 0). Damit prüft man Erreichbarkeit und misst die Round-Trip-Zeit.ping sends an Echo Request (type 8); a reachable host answers with Echo Reply (type 0). This checks reachability and measures round-trip time.

Time Exceeded – tracerouteTime exceeded – traceroute

Jedes Paket hat eine TTL (Time To Live), die jeder Router um 1 verringert. Erreicht sie 0, verwirft der Router das Paket und sendet ein Time Exceeded (Typ 11) zurück. traceroute nutzt das gezielt: Es schickt Pakete mit steigender TTL und deckt so Hop für Hop den Pfad auf.Every packet carries a TTL (Time To Live) that each router decrements by 1. When it reaches 0 the router drops the packet and returns a Time Exceeded (type 11). traceroute exploits this: it sends packets with increasing TTL and thus reveals the path hop by hop.

Wichtige ICMP-TypenImportant ICMP types

TypType	NameName	BedeutungMeaning
0	Echo Reply	Antwort auf einen pingreply to a ping
3	Destination Unreachable	Ziel-Netz/Host/Port nicht erreichbardestination network/host/port unreachable
3/4	Fragmentation Needed	Paket zu groß, DF gesetzt — zentral für Path-MTU-Discoverypacket too big, DF set — central to path MTU discovery
8	Echo Request	vom ping ausgesendetsent by ping
11	Time Exceeded	TTL abgelaufen — Basis von tracerouteTTL expired — basis of traceroute

ICMPv6ICMPv6

In IPv6 ist ICMPv6 noch zentraler: Neben Diagnose übernimmt es per NDP (Neighbor Discovery) Aufgaben, die in IPv4 ARP und teils DHCP erledigten — etwa Adressauflösung, Router-Suche und die Autokonfiguration (SLAAC).In IPv6, ICMPv6 is even more central: besides diagnostics it handles, via NDP (Neighbor Discovery), tasks that ARP and partly DHCP did in IPv4 — such as address resolution, router discovery and autoconfiguration (SLAAC).

Warnung: ICMP komplett am Perimeter zu blockieren bricht Path-MTU-Discovery und führt zu schwer auffindbaren Verbindungsabbrüchen. Erlaube zumindest Typ 3 (Fragmentation Needed); ICMPv6 darf in IPv6-Netzen nie generell geblockt werden.Warning: Blocking ICMP entirely at the perimeter breaks path MTU discovery and causes hard-to-diagnose connection stalls. At least allow type 3 (Fragmentation Needed); ICMPv6 must never be blocked wholesale in IPv6 networks.

NAT & PATNAT & PAT

Network Address Translation übersetzt IP-Adressen beim Übergang zwischen Netzen — vor allem, um private Adressen über wenige öffentliche ins Internet zu bringen.Network Address Translation rewrites IP addresses at the boundary between networks — primarily to carry private addresses to the Internet over a few public ones.

ZweckPurpose

Wegen der Knappheit öffentlicher IPv4-Adressen nutzen interne Netze private RFC-1918-Adressen. NAT übersetzt diese am Router in eine (oder wenige) öffentliche Adressen, sodass viele Hosts geteilt nach außen kommunizieren.Because public IPv4 addresses are scarce, internal networks use private RFC 1918 addresses. NAT translates these at the router into one (or a few) public addresses, so many hosts share outbound connectivity.

SNAT, DNAT und PATSNAT, DNAT and PAT

SNAT (Source NAT): ersetzt die Quelladresse ausgehender Pakete — der klassische Fall „privat → öffentlich".SNAT (source NAT): rewrites the source address of outbound packets — the classic "private → public" case.
DNAT (Destination NAT): ersetzt die Zieladresse, z. B. um Anfragen von außen an einen internen Server zu lenken.DNAT (destination NAT): rewrites the destination address, e.g. to direct external requests to an internal server.
PAT / „NAT Overload": Viele interne Hosts teilen sich eine öffentliche IP; unterschieden werden sie über den Quell-Port. Genau das passiert in jedem Heimrouter.PAT / "NAT overload": many internal hosts share one public IP, distinguished by the source port. This is exactly what every home router does.

Beispiel-ÜbersetzungstabelleExample translation table

Der Router merkt sich jede Verbindung als Eintrag (intern ↔ öffentlich) und übersetzt Antwortpakete anhand des Ports wieder zurück:The router records each connection as an entry (internal ↔ public) and translates reply packets back based on the port:

Intern (Quelle)Internal (source)	Öffentlich (übersetzt)Public (translated)	ZielDestination
192.168.1.10:5000	203.0.113.5:40001	93.184.216.34:443
192.168.1.11:5000	203.0.113.5:40002	93.184.216.34:443
192.168.1.10:5100	203.0.113.5:40003	198.51.100.7:80

Port-ForwardingPort forwarding

Da nach außen keine Verbindungen zu internen Adressen bekannt sind, sind interne Dienste von sich aus nicht erreichbar. Per Port-Forwarding (statisches DNAT) leitet man einen öffentlichen Port gezielt auf 192.168.1.10:443 weiter, z. B. für einen Webserver.Since no inbound mappings to internal addresses exist by default, internal services are not reachable on their own. Port forwarding (static DNAT) maps a public port to 192.168.1.10:443, e.g. for a web server.

Grenzen und ProblemeLimits and problems

Bricht die Ende-zu-Ende-Erreichbarkeit; eingehende Verbindungen brauchen explizite Regeln.Breaks end-to-end reachability; inbound connections need explicit rules.
Protokolle mit eingebetteten IPs (FTP, SIP/VoIP) benötigen ALGs oder Workarounds.Protocols embedding IPs (FTP, SIP/VoIP) need ALGs or workarounds.
Verbindungsstatus muss gehalten werden; Logging/Forensik wird durch geteilte Adressen erschwert.Connection state must be tracked; shared addresses complicate logging and forensics.

Merke: NAT ist eine Folge der IPv4-Adressknappheit, kein Sicherheitsfeature. Bei IPv6 hat jeder Host meist eine global eindeutige Adresse — NAT ist dort i. d. R. unnötig; geschützt wird stattdessen über eine Firewall.Note: NAT is a consequence of IPv4 scarcity, not a security feature. With IPv6 each host usually has a globally unique address — NAT is generally unnecessary there; protection comes from a firewall instead.

DHCPDHCP

Das Dynamic Host Configuration Protocol weist Geräten automatisch IP-Adresse und Netzparameter zu — ohne manuelle Konfiguration an jedem Host.The Dynamic Host Configuration Protocol automatically assigns devices an IP address and network parameters — without manual configuration on each host.

Der DORA-AblaufThe DORA process

Eine Adressvergabe läuft in vier Schritten ab, abgekürzt DORA:An address assignment runs in four steps, abbreviated DORA:

SchrittStep	RichtungDirection	BedeutungMeaning
Discover	Client → Broadcastclient → broadcast	Client sucht einen DHCP-Serverclient looks for a DHCP server
Offer	Server → Clientserver → client	Server bietet eine Adresse anserver offers an address
Request	Client → Broadcastclient → broadcast	Client fordert das Angebot anclient requests the offer
Ack	Server → Clientserver → client	Server bestätigt und vergibt die Leaseserver confirms and grants the lease

Lease und Lease-TimeLease and lease time

Eine Adresse wird nur auf Zeit (Lease-Time) vergeben. Nach etwa der halben Laufzeit versucht der Client, die Lease zu verlängern (Renew). Läuft sie ab, ohne erneuert zu werden, fällt die Adresse zurück in den Pool.An address is granted only for a limited time (lease time). At roughly half the duration the client tries to renew the lease. If it expires without renewal, the address returns to the pool.

Scope und OptionenScope and options

Ein Scope definiert den Adresspool eines Subnetzes. Neben der Adresse liefert der Server Optionen mit, u. a.:A scope defines the address pool for a subnet. Besides the address the server supplies options, including:

Subnetzmaske (Option 1)subnet mask (option 1)
Default-Gateway / Router (Option 3)default gateway / router (option 3)
DNS-Server (Option 6)DNS server (option 6)

Relay und ReservierungenRelay and reservations

Da Discover-Nachrichten Broadcasts sind, überqueren sie keine Router. Ein DHCP-Relay (IP-Helper) im jeweiligen Subnetz nimmt sie an und leitet sie gezielt an den zentralen Server weiter. Per statischer Reservierung bindet man eine feste Adresse an eine MAC-Adresse, sodass ein Gerät stets dieselbe IP erhält.Since Discover messages are broadcasts, they do not cross routers. A DHCP relay (IP helper) in each subnet accepts them and forwards them to the central server. With a static reservation a fixed address is bound to a MAC address so a device always receives the same IP.

Ports und IPv6Ports and IPv6

DHCP arbeitet über UDP: Der Server lauscht auf Port 67, der Client auf Port 68. In IPv6 gibt es zwei Wege: SLAAC konfiguriert die Adresse zustandslos über Router Advertisements, während DHCPv6 zentral verwaltete Adressen und Optionen vergibt — beide werden oft kombiniert.DHCP runs over UDP: the server listens on port 67, the client on port 68. In IPv6 there are two paths: SLAAC configures the address statelessly via Router Advertisements, while DHCPv6 hands out centrally managed addresses and options — the two are often combined.

Warnung: Ein unautorisierter DHCP-Server (Rogue DHCP) im Netz kann Clients falsche Gateways oder DNS-Server unterschieben. Schütze Zugangs-Ports mit DHCP-Snooping auf den Switches.Warning: A rogue DHCP server on the network can hand clients bogus gateways or DNS servers. Protect access ports with DHCP snooping on the switches.

DNS – Das Domain Name SystemDNS – The Domain Name System

DNS übersetzt menschenlesbare Namen wie www.example.com in IP-Adressen und ist damit das Telefonbuch des Internets.DNS translates human-readable names such as www.example.com into IP addresses, acting as the phone book of the Internet.

Aufgabe und PrinzipPurpose and principle

Computer kommunizieren über IP-Adressen, Menschen merken sich lieber Namen. DNS bildet Namen auf Adressen ab – etwa example.com auf 93.184.216.34 oder 2606:2800:220:1:248:1893:25c8:1946. Die Abfrage erfolgt fast immer über Port 53 (UDP für normale Anfragen, TCP bei Antworten über 512 Byte und beim Zonentransfer).Computers communicate via IP addresses, while humans prefer names. DNS maps names to addresses – for example example.com to 93.184.216.34 or 2606:2800:220:1:248:1893:25c8:1946. Queries almost always use port 53 (UDP for normal lookups, TCP for responses above 512 bytes and for zone transfers).

HierarchieHierarchy

Der Namensraum ist ein umgekehrter Baum. Er wird von oben nach unten aufgelöst:The namespace is an inverted tree, resolved from top to bottom:

Root – die Wurzelzone (.), bedient von 13 Root-Server-Verbünden, verweist auf die TLDs.Root – the root zone (.), served by 13 root-server clusters, points to the TLDs.
TLD – Top-Level-Domains wie .com, .org oder .de, verweisen auf die zuständigen autoritativen Server.TLD – top-level domains like .com, .org or .de, pointing to the responsible authoritative servers.
Autoritativ – die Nameserver der Domain selbst, die die endgültigen Antworten halten.Authoritative – the domain's own name servers, holding the final answers.

Resolver und AbfrageartenResolvers and query types

Ein rekursiver Resolver (z. B. beim Provider oder 1.1.1.1) nimmt die Frage des Clients entgegen und arbeitet sie vollständig ab. Dazu stellt er iterative Abfragen an die Hierarchie: Root nennt den TLD-Server, dieser den autoritativen Server, dieser liefert die Antwort. Ein autoritativer Server beantwortet nur Fragen zu seinen eigenen Zonen.A recursive resolver (e.g. at your provider or 1.1.1.1) accepts the client's question and resolves it fully. To do so it issues iterative queries down the hierarchy: root names the TLD server, that one the authoritative server, which returns the answer. An authoritative server only answers for its own zones.

Caching und TTLCaching and TTL

Jede Antwort trägt eine TTL (Time To Live) in Sekunden. So lange darf der Resolver die Antwort zwischenspeichern und ohne erneute Abfrage ausliefern. Das entlastet die Server und beschleunigt Folgeanfragen, verzögert aber Änderungen entsprechend lange.Every answer carries a TTL (time to live) in seconds. For that duration the resolver may cache the answer and serve it without a new lookup. This relieves the servers and speeds up repeat queries, but delays propagation of changes accordingly.

Wichtige Record-TypenImportant record types

TypType	ZweckPurpose
A	Name → IPv4-AdresseName → IPv4 address
AAAA	Name → IPv6-AdresseName → IPv6 address
CNAME	Alias auf einen anderen Namen (kanonischer Name)Alias pointing to another (canonical) name
MX	Mailserver der Domain inkl. PrioritätMail server of the domain with priority
NS	Zuständiger Nameserver einer ZoneAuthoritative name server of a zone
PTR	Reverse-Lookup: IP → NameReverse lookup: IP → name
TXT	Freitext, u. a. SPF/DKIM/VerifizierungFree text, e.g. SPF/DKIM/verification
SOA	Start of Authority: Zonenparameter (Serial, TTLs)Start of Authority: zone parameters (serial, TTLs)

WerkzeugeTools

Mit dig example.com A oder nslookup example.com lassen sich Records gezielt abfragen. dig +trace zeigt den kompletten Weg von der Root bis zur autoritativen Antwort.Use dig example.com A or nslookup example.com to query specific records. dig +trace shows the full path from the root to the authoritative answer.

Merke: Ändert sich eine Adresse, plant man die TTL niedrig im Voraus – sonst liefern Resolver weltweit noch stundenlang den alten Wert aus.Note: Before changing an address, lower the TTL in advance – otherwise resolvers worldwide keep serving the old value for hours.

TCP, UDP und PortsTCP, UDP and ports

TCP und UDP sind die beiden zentralen Transportprotokolle; Ports adressieren die einzelnen Dienste auf einem Host.TCP and UDP are the two key transport protocols; ports address the individual services on a host.

TCP – verbindungsorientiert und zuverlässigTCP – connection-oriented and reliable

TCP baut vor der Datenübertragung eine Verbindung mit dem 3-Wege-Handshake auf: Der Client sendet SYN, der Server antwortet mit SYN-ACK, der Client bestätigt mit ACK. Über Sequenznummern werden Segmente nummeriert, fehlende erneut gesendet und Reihenfolge sowie Vollständigkeit garantiert. Die Flusskontrolle (Sliding Window) passt das Sendetempo an den Empfänger an, die Staukontrolle an das Netz.Before transferring data, TCP establishes a connection with the three-way handshake: the client sends SYN, the server replies with SYN-ACK, the client confirms with ACK. Sequence numbers number the segments so lost ones are retransmitted and order and completeness are guaranteed. Flow control (sliding window) adapts the sending rate to the receiver, congestion control to the network.

UDP – verbindungslos und schnellUDP – connectionless and fast

UDP sendet Datagramme ohne Handshake, ohne Bestätigung und ohne Reihenfolgegarantie. Das spart Overhead und Latenz und eignet sich für DNS, Streaming, Voice und Spiele, bei denen Tempo wichtiger ist als die Wiederholung einzelner Pakete.UDP sends datagrams without a handshake, acknowledgements or ordering guarantees. This saves overhead and latency and suits DNS, streaming, voice and gaming, where speed matters more than retransmitting individual packets.

Was ist ein Port?What is a port?

Ein Port ist eine 16-Bit-Nummer (0–65535), die zusammen mit der IP-Adresse einen Endpunkt bildet. So unterscheidet ein Host gleichzeitige Verbindungen verschiedener Dienste. Die Bereiche:A port is a 16-bit number (0–65535) that, together with the IP address, forms an endpoint. This lets a host distinguish simultaneous connections of different services. The ranges:

Well-known 0–1023 – feste Standarddienste, meist nur mit Root-Rechten belegbar.Well-known 0–1023 – fixed standard services, usually bindable only with root privileges.
Registered 1024–49151 – bei der IANA registrierte Anwendungen.Registered 1024–49151 – applications registered with IANA.
Dynamic/Ephemeral 49152–65535 – kurzlebige Quellports für ausgehende Verbindungen.Dynamic/ephemeral 49152–65535 – short-lived source ports for outbound connections.

Wichtige PortsImportant ports

PortPort	ProtokollProtocol	DienstService
20/21	TCP	FTP (Daten/Steuerung)FTP (data/control)
22	TCP	SSH – sicherer FernzugriffSSH – secure remote access
23	TCP	Telnet (unverschlüsselt, veraltet)Telnet (unencrypted, obsolete)
25	TCP	SMTP – MailversandSMTP – mail transfer
53	UDP/TCP	DNS – NamensauflösungDNS – name resolution
67/68	UDP	DHCP (Server/Client)DHCP (server/client)
80	TCP	HTTP – Web (unverschlüsselt)HTTP – web (unencrypted)
110	TCP	POP3 – MailabrufPOP3 – mail retrieval
143	TCP	IMAP – MailabrufIMAP – mail retrieval
443	TCP	HTTPS – Web über TLSHTTPS – web over TLS
3389	TCP	RDP – Windows-FernzugriffRDP – Windows remote desktop

Merke: TCP für Zuverlässigkeit (Web, Mail, SSH), UDP für Tempo (DNS, Streaming, VoIP). Ein offener Port allein bedeutet noch keinen erreichbaren Dienst – Firewall und Anwendung müssen mitspielen.Note: TCP for reliability (web, mail, SSH), UDP for speed (DNS, streaming, VoIP). An open port alone does not mean a reachable service – firewall and application must cooperate.

HTTP, HTTPS und TLSHTTP, HTTPS and TLS

HTTP überträgt Webinhalte, HTTPS verpackt es in TLS und sorgt für Verschlüsselung, Integrität und Authentizität.HTTP transfers web content, HTTPS wraps it in TLS and provides encryption, integrity and authenticity.

HTTP – zustandslosHTTP – stateless

HTTP ist ein zustandsloses Anfrage-Antwort-Protokoll: Jede Anfrage steht für sich, der Server merkt sich von allein nichts über vorherige (Sitzungen werden über Cookies oder Tokens nachgebildet). Standardport ist 80.HTTP is a stateless request-response protocol: each request stands on its own and the server remembers nothing about previous ones by itself (sessions are emulated via cookies or tokens). The default port is 80.

GET – Ressource abrufen (ohne Seiteneffekte)GET – retrieve a resource (without side effects)
POST – Daten senden/anlegenPOST – submit/create data
PUT – Ressource anlegen/ersetzenPUT – create/replace a resource
DELETE – Ressource löschenDELETE – remove a resource

Statuscode-KlassenStatus code classes

KlasseClass	BedeutungMeaning	BeispielExample
1xx	Information / ZwischenstatusInformational / interim	100 Continue
2xx	ErfolgSuccess	200 OK
3xx	UmleitungRedirection	301 Moved
4xx	Client-FehlerClient error	404 Not Found
5xx	Server-FehlerServer error	500 Internal

HTTPS = HTTP über TLSHTTPS = HTTP over TLS

HTTPS ist nichts anderes als HTTP, das durch eine TLS-Schicht läuft. Es schützt vor Mitlesen und Manipulation und bestätigt die Identität des Servers. Standardport ist 443.HTTPS is simply HTTP running through a TLS layer. It protects against eavesdropping and tampering and confirms the server's identity. The default port is 443.

Der TLS-HandshakeThe TLS handshake

Vor der eigentlichen Übertragung handeln Client und Server eine sichere Verbindung aus:Before the actual transfer, client and server negotiate a secure connection:

Aushandlung – TLS-Version und Cipher-Suite werden festgelegt.Negotiation – TLS version and cipher suite are agreed.
Zertifikat – der Server weist sich mit seinem Zertifikat aus, der Client prüft es.Certificate – the server presents its certificate, the client verifies it.
Schlüssel – per Schlüsselaustausch (z. B. ECDHE) wird ein gemeinsamer Sitzungsschlüssel erzeugt; danach ist alles symmetrisch verschlüsselt.Keys – a key exchange (e.g. ECDHE) produces a shared session key; everything afterwards is symmetrically encrypted.

Zertifikate und VertrauensketteCertificates and chain of trust

Ein Zertifikat bindet einen Domainnamen an einen öffentlichen Schlüssel und ist von einer CA (Certificate Authority) signiert. Der Browser vertraut der CA über eine Kette bis zu einem im System hinterlegten Root-Zertifikat. Let's Encrypt stellt solche Zertifikate kostenlos und automatisiert aus. HSTS erzwingt zusätzlich, dass eine Domain künftig nur noch über HTTPS aufgerufen wird.A certificate binds a domain name to a public key and is signed by a CA (certificate authority). The browser trusts the CA through a chain up to a root certificate stored in the system. Let's Encrypt issues such certificates for free and automatically. HSTS additionally forces a domain to be accessed only over HTTPS in future.

Wichtig: Ein abgelaufenes, selbst signiertes oder für die falsche Domain ausgestelltes Zertifikat löst eine Browser-Warnung aus – nicht wegklicken, sondern Ursache prüfen.Important: An expired, self-signed or wrong-domain certificate triggers a browser warning – do not click it away, investigate the cause.

FirewallFirewall

Eine Firewall kontrolliert den Netzwerkverkehr und erlaubt oder sperrt ihn anhand definierter Regeln.A firewall controls network traffic and permits or blocks it based on defined rules.

ZweckPurpose

Die Firewall ist die Grenzkontrolle zwischen Netzen unterschiedlicher Vertrauensstufe (z. B. Internet ↔ internes Netz). Sie filtert Pakete nach Merkmalen wie Quelle, Ziel, Port und Protokoll und setzt so die Sicherheitsrichtlinie technisch um.The firewall is the border control between networks of differing trust levels (e.g. Internet ↔ internal network). It filters packets by attributes such as source, destination, port and protocol, thereby enforcing the security policy in practice.

TypenTypes

Paketfilter (zustandslos) – betrachtet jedes Paket einzeln nach Adresse und Port, ohne Kontext. Schnell, aber grob.Packet filter (stateless) – examines each packet individually by address and port, without context. Fast but coarse.
Stateful Inspection – verfolgt den Verbindungszustand und lässt Antwortpakete bestehender Verbindungen automatisch durch. Heutiger Standard.Stateful inspection – tracks connection state and automatically allows reply packets of established connections. Today's standard.
Application-Layer / Proxy / NGFW – versteht Protokolle bis Schicht 7, kann Inhalte, Anwendungen und Nutzer erkennen (Deep Packet Inspection, IDS/IPS).Application layer / proxy / NGFW – understands protocols up to layer 7 and can recognise content, applications and users (deep packet inspection, IDS/IPS).

Regeln und Default-DenyRules and default deny

Eine Regel besteht typischerweise aus Quelle, Ziel, Port/Protokoll und Aktion (erlauben/verwerfen). Regeln werden von oben nach unten abgearbeitet, die erste passende greift. Sicheres Design folgt dem Default-Deny-Prinzip: Alles ist verboten, was nicht ausdrücklich erlaubt wird. Eine DMZ (entmilitarisierte Zone) trennt öffentlich erreichbare Server vom internen Netz, sodass ein kompromittierter Webserver nicht direkt ins LAN führt.A rule typically consists of source, destination, port/protocol and action (allow/drop). Rules are processed top to bottom and the first match wins. A secure design follows the default-deny principle: everything is forbidden unless explicitly allowed. A DMZ (demilitarised zone) separates publicly reachable servers from the internal network, so a compromised web server does not lead straight into the LAN.

BeispielregelnExample rules

QuelleSource	ZielDestination	PortPort	AktionAction
any	10.0.0.10	443	erlauben (Webserver)allow (web server)
10.0.0.0/24	any	53	erlauben (DNS)allow (DNS)
any	10.0.0.10	22	verwerfen (kein SSH von außen)drop (no SSH from outside)
any	any	any	verwerfen (Default-Deny)drop (default deny)

Kurzbeispiel LinuxLinux example

Mit nftables bzw. dem älteren iptables setzt man Regeln direkt im Kernel. Etwa: eingehenden SSH-Verkehr erlauben –With nftables or the older iptables you define rules directly in the kernel. For example, allow inbound SSH –

nft add rule inet filter input tcp dport 22 acceptnft add rule inet filter input tcp dport 22 accept
iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A INPUT -p tcp --dport 22 -j ACCEPT

Merke: Erst die Erlauben-Regeln, dann am Ende ein generelles Verwerfen – nie umgekehrt, sonst sperrt die Schlussregel die folgenden aus.Note: Place allow rules first and a final catch-all drop at the end – never the other way round, or the closing rule blocks everything after it.

VPN – Virtual Private NetworkVPN – Virtual Private Network

Ein VPN spannt einen verschlüsselten Tunnel über ein unsicheres Netz und verbindet entfernte Geräte oder Standorte so, als lägen sie im selben LAN.A VPN builds an encrypted tunnel across an untrusted network, connecting remote devices or sites as if they were on the same LAN.

PrinzipPrinciple

Die Nutzdaten werden verschlüsselt und in neue Pakete gekapselt (Tunneling). Selbst wenn jemand den Transportweg über das Internet mitliest, sieht er nur den verschlüsselten Tunnel, nicht den Inhalt. Das schützt Vertraulichkeit und Integrität.The payload is encrypted and encapsulated in new packets (tunneling). Even if someone intercepts the path across the Internet, they only see the encrypted tunnel, not its content. This protects confidentiality and integrity.

EinsatzartenDeployment types

Site-to-Site – verbindet zwei ganze Netze (z. B. zwei Firmenstandorte) dauerhaft über Gateways.Site-to-site – permanently connects two entire networks (e.g. two company sites) via gateways.
Remote-Access – einzelne Clients (Homeoffice, mobil) klinken sich ins Firmennetz ein.Remote access – individual clients (home office, mobile) dial into the corporate network.

Split- vs. Full-TunnelSplit vs. full tunnel

Beim Full-Tunnel läuft der gesamte Verkehr des Clients durch das VPN – sicher und zentral kontrollierbar, aber mehr Last am Gateway. Beim Split-Tunnel geht nur der Verkehr zum Firmennetz durch den Tunnel, der Rest direkt ins Internet – schneller, aber mit geringerer Kontrolle.With a full tunnel all client traffic flows through the VPN – secure and centrally controllable, but more load on the gateway. With a split tunnel only traffic to the corporate network uses the tunnel while the rest goes directly to the Internet – faster, but with less control.

Protokolle im VergleichProtocol comparison

ProtokollProtocol	Transport/PortTransport/port	EigenschaftenCharacteristics
IPsec	UDP 500/4500	Standard, OS-integriert, oft für Site-to-Site; komplexe KonfigurationStandard, OS-integrated, often used for site-to-site; complex configuration
OpenVPN	UDP/TCP 1194	TLS-basiert, sehr flexibel, firewallfreundlich über 443/TCP; etwas langsamerTLS-based, very flexible, firewall-friendly over 443/TCP; somewhat slower
WireGuard	UDP 51820	Modern, schlank, sehr schnell, einfache SchlüsselverwaltungModern, lean, very fast, simple key management

AuthentisierungAuthentication

Tunnel werden über einen PSK (Pre-Shared Key, gemeinsames Geheimnis) oder über Zertifikate bzw. Schlüsselpaare authentisiert. Zertifikate skalieren besser und lassen sich einzeln zurückziehen, ein PSK ist einfacher, aber für viele Nutzer unpraktisch.Tunnels are authenticated via a PSK (pre-shared key, a shared secret) or via certificates or key pairs. Certificates scale better and can be revoked individually, while a PSK is simpler but impractical for many users.

Merke: Ein VPN sichert nur den Transportweg. Endgeräte, Zugangsdaten und der Server selbst müssen weiterhin gehärtet werden.Note: A VPN only secures the transport path. Endpoints, credentials and the server itself still need to be hardened.

WLAN (IEEE 802.11)WLAN (IEEE 802.11)

Die Standardfamilie IEEE 802.11 beschreibt drahtlose lokale Netze – bekannt als Wi-Fi.The IEEE 802.11 standard family defines wireless local networks – known as Wi-Fi.

Standards im ÜberblickStandards overview

802.11	Wi-Fi-NameWi-Fi name	BandBand	Max. Brutto-RateMax. gross rate
b	––	2,4 GHz	11 Mbit/s
g	––	2,4 GHz	54 Mbit/s
n	Wi-Fi 4	2,4/5 GHz	600 Mbit/s
ac	Wi-Fi 5	5 GHz	~3,5 Gbit/s
ax	Wi-Fi 6	2,4/5 GHz	~9,6 Gbit/s

2,4 GHz vs. 5 GHz2.4 GHz vs. 5 GHz

Das 2,4-GHz-Band hat größere Reichweite und durchdringt Wände besser, ist aber langsamer und stark belegt. Das 5-GHz-Band bietet mehr Tempo und freie Kanäle, kommt aber weniger weit. Im 2,4-GHz-Band überlappen sich die Kanäle stark – nur 1, 6 und 11 sind in Europa überlappungsfrei und sollten für benachbarte Access Points gewählt werden.The 2.4 GHz band offers greater range and penetrates walls better but is slower and crowded. The 5 GHz band provides more speed and free channels but shorter range. In the 2.4 GHz band channels overlap heavily – only 1, 6 and 11 are non-overlapping and should be chosen for neighbouring access points.

SSID, BSSID und BetriebsartenSSID, BSSID and operating modes

SSID – der sichtbare Netzwerkname.SSID – the visible network name.
BSSID – die MAC-Adresse des Access Points (identifiziert die konkrete Funkzelle).BSSID – the MAC address of the access point (identifies the specific cell).
Infrastruktur-Modus – Clients verbinden sich über einen zentralen Access Point.Infrastructure mode – clients connect through a central access point.
Ad-hoc-Modus – Geräte verbinden sich direkt ohne Access Point.Ad-hoc mode – devices connect directly without an access point.

SicherheitSecurity

Die Verschlüsselung hat sich klar weiterentwickelt: WEP gilt als gebrochen und darf nicht mehr verwendet werden. WPA2 (AES/CCMP) ist breiter Standard, WPA3 verbessert Schlüsselaustausch und Schutz vor Offline-Angriffen. Bei der Anmeldung unterscheidet man PSK (ein gemeinsames Passwort, „Personal“) und Enterprise mit individueller Anmeldung pro Nutzer über 802.1X und einen RADIUS-Server.Encryption has clearly evolved: WEP is considered broken and must no longer be used. WPA2 (AES/CCMP) is the broad standard, WPA3 improves key exchange and protection against offline attacks. For login, distinguish PSK (one shared password, "Personal") and Enterprise, with per-user authentication via 802.1X and a RADIUS server.

Wichtig: WEP und das ältere WPA (TKIP) bieten keinen ausreichenden Schutz mehr. Mindestens WPA2-AES, besser WPA3, und ein langes, zufälliges Passwort verwenden.Important: WEP and the older WPA (TKIP) no longer provide adequate protection. Use at least WPA2-AES, better WPA3, and a long, random password.

Tools und Befehle zur NetzwerkdiagnoseTools and commands for network diagnostics

Eine Auswahl praktischer Kommandozeilen-Werkzeuge, mit denen sich Verbindungen, Routen und Dienste prüfen lassen.A selection of practical command-line tools to check connections, routes and services.

Die wichtigsten WerkzeugeThe most important tools

BefehlCommand	ZweckPurpose	BeispielExample
ping	Erreichbarkeit und Laufzeit prüfen (ICMP)Check reachability and latency (ICMP)	ping 8.8.8.8
traceroute / tracert	Weg (Hops) zum Ziel anzeigenShow the path (hops) to a target	traceroute example.com
dig	DNS-Records flexibel abfragenQuery DNS records flexibly	dig example.com AAAA
nslookup	Einfache DNS-Abfrage (auch Windows)Simple DNS lookup (also Windows)	nslookup example.com
ip a / ifconfig	Interfaces und IP-Adressen anzeigenShow interfaces and IP addresses	ip a
ip r / route	Routing-Tabelle anzeigenShow the routing table	ip r
ss / netstat	Offene Sockets und Verbindungen listenList open sockets and connections	ss -tulpn
arp	IP-zu-MAC-Zuordnungen im LAN anzeigenShow IP-to-MAC mappings on the LAN	arp -a
nmap	Hosts und offene Ports scannenScan hosts and open ports	nmap -sV 10.0.0.0/24
tcpdump	Pakete mitschneiden und analysierenCapture and analyse packets	tcpdump -i eth0 port 53
curl	HTTP(S)-Anfragen testen, Header prüfenTest HTTP(S) requests, inspect headers	curl -I https://example.com

Linux vs. WindowsLinux vs. Windows

traceroute (Linux/macOS) heißt unter Windows tracert.traceroute (Linux/macOS) is called tracert on Windows.
ip a und ip r (modernes Linux) entsprechen unter Windows ipconfig und route print; das ältere ifconfig wird abgelöst.ip a and ip r (modern Linux) correspond to ipconfig and route print on Windows; the older ifconfig is being replaced.
ss ersetzt das ältere netstat; unter Windows bleibt netstat üblich.ss replaces the older netstat; on Windows netstat remains common.
ping läuft unter Linux dauerhaft (Abbruch mit Strg+C), unter Windows sendet es standardmäßig nur vier Pakete.ping runs continuously on Linux (stop with Ctrl+C), while Windows sends only four packets by default.

Merke: Bei Problemen systematisch von unten nach oben vorgehen: zuerst ip a (Adresse da?), dann ping Gateway, dann ping/dig nach außen, dann curl zum Dienst. tcpdump und nmap nur mit den nötigen Rechten und Erlaubnis einsetzen.Note: Troubleshoot systematically bottom-up: first ip a (address present?), then ping the gateway, then ping/dig outbound, then curl to the service. Use tcpdump and nmap only with the necessary privileges and permission.

bWiki · Netzwerk-Referenz · Teil von bWiki · networking reference · part of bastix1.de