# MAC Addressing & Layer 2 Switching: Die Intelligenz im lokalen Netz
TL;DR / Management Summary Während das Routing auf Layer 3 (IP) basiert, erfolgt der physische Datentransport im LAN auf Layer 2 (Ethernet). Die MAC-Adresse (Media Access Control) ist die weltweit eindeutige Kennung jeder Netzwerkkarte. Ein moderner Switch ist kein “Dummes Hub”, sondern ein intelligentes Gerät, das via CAM-Tabelle (Content Addressable Memory) lernt, welcher Host an welchem Port hängt. Ein Senior Admin versteht diese Mechanismen, um Port-Security durchzusetzen und die Performance im Switching-Backbone zu optimieren.
# 1. Die Anatomie der MAC-Adresse
Die Hardware-DNA.
Eine MAC-Adresse besteht aus 48 Bits (6 Bytes), meist hexadezimal dargestellt (z.B. 00:50:56:C0:00:08).
- OUI (Organizationally Unique Identifier): Die ersten 3 Bytes. Identifizieren den Hersteller (z.B.
00:50:56= VMware,BC:24:11= Dell). - Device ID: Die letzten 3 Bytes. Eine fortlaufende Seriennummer des Herstellers.
- Universally Administered vs. Locally Administered: Das zweite Bit des ersten Bytes zeigt an, ob die Adresse vom Hersteller stammt oder manuell vergeben wurde (wie oft bei virtuellen MACs in Proxmox).
# 2. Wie ein Switch lernt (MAC Learning)
Von der Broadcast-Flut zum Unicast-Target.
Ein Switch hat beim Einschalten eine leere CAM-Tabelle.
- Incoming Frame: Ein Paket kommt an Port 1 an.
- Learning: Der Switch speichert die Source-MAC des Pakets und verknüpft sie mit Port 1.
- Forwarding: Der Switch prüft die Destination-MAC.
- Bekannt: Er schickt das Paket gezielt an den passenden Port (Unicast).
- Unbekannt: Er schickt das Paket an ALLE Ports (Flood).
- Aging: Einträge werden nach ca. 300 Sekunden gelöscht, wenn kein Traffic mehr fließt.
# 3. Deep Dive: Layer 2 Switching-Kapazität
Fabric und Backplane.
Ein Enterprise-Switch muss in der Lage sein, alle Ports gleichzeitig mit voller Geschwindigkeit zu bedienen (Non-Blocking).
- Switching Fabric: Die interne Bandbreite des Switches.
- Packets Per Second (PPS): Das Maß für die Leistungsfähigkeit der CPU beim Verarbeiten der Header.
- Senior Tipp: In iSCSI- oder Proxmox-Clustern (Artikel 663) ist eine hohe PPS-Rate wichtiger als die reine Gigabit-Angabe, da viele kleine Storage-Pakete die CPU des Switches belasten.
# 4. Day-2 Operations: Port Security
Die Haustür verriegeln.
Lassen Sie nicht zu, dass jeder sein privates Notebook in die Netzwerkdose steckt.
- Sticky MAC: Der Switch merkt sich die erste MAC-Adresse, die an einem Port erscheint, und sperrt den Port sofort, wenn ein anderes Gerät angeschlossen wird.
- Limitierung: Begrenzen Sie die Anzahl der MACs pro Port (verhindert das Anschließen von privaten Mini-Switchen).
# 5. Troubleshooting & “War Stories”
Wenn der Switch ‘verwirrt’ ist.
# Top 3 Fehlerbilder
-
Symptom: “MAC Flapping” Alarm im Log.
- Ursache: Ein Layer-2 Loop (Artikel 729) oder eine doppelte MAC-Adresse (Artikel 724).
- Lösung: STP prüfen oder doppelte VM-IDs suchen.
-
Symptom: Unbekannte Unicast-Fluten.
- Ursache: Die CAM-Tabelle ist voll (Overflow). Der Switch verhält sich wie ein Hub und schickt alles an alle.
- Lösung: Switch mit größerer CAM-Tabelle kaufen oder VLANs verkleinern.
-
Symptom: Gerät hat Link, aber keinen Ping.
- Fix: Prüfen, ob der Port im falschen VLAN (Artikel 680) ist.
# “War Story”: Der “Industrie-Scanner” Fehler
In einer Logistik-Halle fielen sporadisch alle Handscanner aus. Der Admin suchte den Fehler im WLAN.
Die Entdeckung: Ein defekter Industrie-PC schickte Ethernet-Frames mit der Source-MAC 00:00:00:00:00:00.
Das Ergebnis: Viele Switche verarbeiten Frames mit einer Null-MAC nicht korrekt oder fluten sie an alle Ports, was die Bandbreite für die kleinen WLAN-Pakete der Scanner blockierte.
Lehre: Layer 2 ist ein Vertrauensraum. Ein einziges “krankes” Gerät kann durch ungültige Frames das gesamte Segment stören. Nutzen Sie Storm Control am Switch!
# 6. Monitoring & Reporting
Die MAC-Tabelle im Blick.
# SNMP Abfragen
Überwachen Sie die Auslastung der CAM-Tabelle via SNMP.
- KPI:
dot1dTpLearnedEntryDiscards. Wenn dieser Wert > 0 ist, ist Ihre CAM-Tabelle voll.
# 7. Fazit & Empfehlung
Layer 2 ist die Basis der Effizienz im LAN.
- Empfehlung: Nutzen Sie Managed Switche bis zur letzten Meile (Access-Layer). Nur so haben Sie Sichtbarkeit in die MAC-Strukturen.
- Wichtig: Dokumentieren Sie die Hersteller Ihrer Hardware (OUIs), um bei einem Angriff sofort zu sehen, ob ein “fremdes” Gerät (z.B. ein Raspberry Pi) im Server-Netz steckt.
# Anhang: Cheatsheet (Switch CLI)
| Aufgabe | Cisco / Ubiquiti | HP / Aruba |
|---|---|---|
| MAC Tabelle zeigen | show mac address-table |
show mac-address |
| Spezifische MAC | show mac address-table address ... |
show mac-address <MAC> |
| Tabelle leeren | clear mac address-table dynamic |
clear mac-address |
| Interface Status | show interfaces status |
show interfaces brief |