×
ZUR STARTSEITE
Fachinformatiker Apps
Lern_Apps AP2_Lernplan FISI_Tools
Cherry Apps
Cherry_Apps Arcade_Tresor Magic_Apps
© 2026 by magicode
Tag 2: Netzwerkkomponenten & Protokolle

IHK-Vorbereitung · Fachinformatiker Systemintegration

Tag 2: Netzwerkkomponenten & Protokolle

OSI-Schichten abgedeckt

1 – 7

Von Physical bis Application – Geräte ordnen sich ein

Prüfungsrelevante Geräte

4 Typen

Switch · Router · Bridge · Firewall

OSI-Schicht 2 – Data Link Layer

Switch

🔀

Ein Switch verbindet Geräte innerhalb eines lokalen Netzwerks (LAN). Er lernt die MAC-Adressen der angeschlossenen Geräte und speichert sie in einer MAC-Adresstabelle (CAM-Table). Datenpakete (Frames) werden nur an den Port weitergeleitet, an dem das Zielgerät angeschlossen ist – im Gegensatz zum Hub, der an alle Ports sendet.

MAC-Adresse Frame-basiert CAM-Table Unicast / Broadcast Full-Duplex
💡 Prüfungstipp: Ein Switch reduziert Kollisionen, weil jedes Port-Paar ein eigenes Kollisionsdomäne bildet. Alle Ports teilen sich aber eine Broadcast-Domäne (außer bei VLANs).
OSI-Schicht 3 – Network Layer

Router

🌐

Ein Router verbindet verschiedene Netzwerke miteinander (z.B. LAN ↔ Internet). Er arbeitet auf Basis von IP-Adressen und entscheidet anhand seiner Routing-Tabelle, über welchen Weg ein Paket weitergeleitet wird. Er trennt Broadcast-Domänen.

IP-Adresse Routing-Tabelle NAT Default Gateway statisches / dynamisches Routing
  • Statisches Routing: Routen werden manuell konfiguriert – einfach, aber unflexibel.
  • Dynamisches Routing: Protokolle wie OSPF oder BGP berechnen Routen automatisch.
  • NAT (Network Address Translation): Übersetzt private IP-Adressen in öffentliche – ermöglicht vielen Geräten, eine öffentliche IP zu teilen.
OSI-Schicht 2 – Data Link Layer

Bridge

🌉

Eine Bridge verbindet zwei Netzwerksegmente auf Layer 2. Sie lernt ebenfalls MAC-Adressen und leitet Frames nur dann weiter, wenn das Ziel im anderen Segment liegt. Bridges sind heute weitgehend durch Switches abgelöst – ein moderner Switch ist im Prinzip eine Multi-Port-Bridge.

MAC-basiert 2 Ports (klassisch) Segmenttrennung Spanning Tree
💡 Merke: Bridge = Switch mit wenigen Ports. Prüfungsrelevant ist vor allem der konzeptionelle Unterschied zu Router (Layer 3) und Hub (kein Lernen).
OSI-Schicht 3–7 – Network bis Application

Firewall

🔥

Eine Firewall kontrolliert den Netzwerkdatenverkehr anhand von Regeln (Regelwerk / Ruleset). Sie entscheidet, ob Pakete passieren dürfen oder blockiert werden. Je nach Typ arbeitet sie auf unterschiedlichen OSI-Schichten.

  • Paketfilter-Firewall (Layer 3/4): Prüft IP-Adressen, Ports und Protokolle (TCP/UDP). Schnell, aber keine Inhaltsanalyse.
  • Stateful Inspection (Layer 3/4): Merkt sich Verbindungszustände (Connection Table) – erlaubt Antwortpakete zu bestehenden Verbindungen automatisch.
  • Application Layer Firewall / WAF (Layer 7): Analysiert den Inhalt (z.B. HTTP-Requests, SQL). Erkennt Angriffe wie SQL-Injection.
  • Next Generation Firewall (NGFW): Kombiniert alle oben genannten Features + IDS/IPS, Deep Packet Inspection.
Whitelist / Blacklist DMZ IDS/IPS Port-Filterung
IEEE 802.1Q

Was ist ein VLAN?

Ein Virtual Local Area Network (VLAN) ist ein logisch getrenntes Netzwerksegment innerhalb eines physischen Switches. Obwohl alle Geräte am selben Switch hängen, können sie in verschiedene Broadcast-Domänen aufgeteilt werden. Kommunikation zwischen VLANs ist nur über einen Router (oder Layer-3-Switch) möglich.

💡 VLANs erhöhen Sicherheit (Trennung von Abteilungen), reduzieren Broadcast-Traffic und vereinfachen die Netzwerkverwaltung.

VLAN-Typen: Access Port vs. Trunk Port

A

Access Port

Gehört genau einem VLAN. Endgeräte (PC, Drucker) werden hier angeschlossen. Das Gerät weiß nichts vom VLAN – der Switch ordnet Frames automatisch zu. Frames haben hier kein VLAN-Tag.

T

Trunk Port (Tagged Port)

Überträgt Frames mehrerer VLANs gleichzeitig. Wird zwischen Switches oder Switch und Router verwendet. Frames werden mit einem 802.1Q-Tag (VLAN-ID) versehen, damit der empfangende Switch weiß, zu welchem VLAN der Frame gehört.

802.1Q VLAN-Tag (12 Bit → max. 4094 VLANs) Native VLAN

Praxisbeispiel: VLAN-Segmentierung im Unternehmen

Typisches Format für Prüfungsaufgaben:

VLAN-ID Name Zugehörige Geräte IP-Netz (Beispiel)
10 Management Server, Switches, Router 192.168.10.0/24
20 Büro Arbeitsplätze, Drucker 192.168.20.0/24
30 Gäste WLAN-Hotspot, Gastzugang 192.168.30.0/24
40 VoIP IP-Telefone 192.168.40.0/24
💡 Für die Kommunikation zwischen VLAN 20 und VLAN 30 wird zwingend ein Router (oder Layer-3-Switch mit Inter-VLAN-Routing) benötigt.

Typische Prüfungsfragen zu VLAN

  • „Was ist der Unterschied zwischen Access Port und Trunk Port?" → Access = 1 VLAN, kein Tag; Trunk = mehrere VLANs, mit 802.1Q-Tag
  • „Warum kann VLAN 10 nicht direkt mit VLAN 20 kommunizieren?" → Getrennte Broadcast-Domänen; Layer-3-Routing nötig
  • „Welchen Vorteil bieten VLANs gegenüber physischer Trennung?" → Flexibler, kostengünstiger, zentral verwaltbar
  • „Was ist das Native VLAN?" → Das VLAN, das auf einem Trunk-Port ohne Tag übertragen wird (Standard: VLAN 1)
UDP Port 67/68 · OSI Layer 7

Dynamic Host Configuration Protocol (DHCP)

DHCP ermöglicht die automatische Zuweisung von IP-Konfigurationen an Clients in einem Netzwerk. Ohne DHCP müsste jedes Gerät manuell konfiguriert werden. Der DHCP-Server vergibt:

  • IP-Adresse (aus einem definierten Pool)
  • Subnetzmaske
  • Default Gateway (Router)
  • DNS-Server-Adresse(n)
  • Lease-Zeit (wie lange die Adresse gültig ist)

DHCP-Ablauf: DORA-Prinzip (4 Schritte)

D

DHCP Discover

Der Client kennt noch keine IP-Adresse und sendet einen Broadcast ins Netzwerk: „Gibt es hier einen DHCP-Server?" (Quell-IP: 0.0.0.0 → Ziel: 255.255.255.255)

O

DHCP Offer

Der DHCP-Server antwortet mit einem Angebot: Er bietet eine freie IP-Adresse, Subnetzmaske, Gateway und Leasedauer an.

R

DHCP Request

Der Client akzeptiert das Angebot und sendet eine Anfrage (wieder Broadcast, damit andere Server wissen, dass ihr Angebot abgelehnt wurde).

A

DHCP Acknowledge (ACK)

Der Server bestätigt die Zuweisung. Der Client konfiguriert seine Netzwerkschnittstelle mit den erhaltenen Daten. Die Leasedauer beginnt zu laufen.

Wichtige DHCP-Konzepte

BegriffErklärung
Lease-ZeitZeitspanne, für die eine IP-Adresse vergeben wird. Nach Ablauf muss der Client verlängern (Renew).
DHCP-Pool / ScopeDer Adressbereich, aus dem der Server IP-Adressen vergibt (z.B. 192.168.1.100–192.168.1.200).
ReservationFeste IP für ein bestimmtes Gerät anhand seiner MAC-Adresse – das Gerät bekommt immer dieselbe IP via DHCP.
DHCP Relay AgentLeitet DHCP-Broadcasts über Router hinweg weiter, damit ein zentraler DHCP-Server mehrere Netzsegmente bedienen kann.
Rogue DHCPUnautorisierter DHCP-Server im Netz – kann falsche Gateways/DNS verteilen (Angriff). Schutz: DHCP Snooping am Switch.
💡 Prüfungstipp: DORA auswendig kennen! Häufige Frage: „Warum sendet der Client beim Discover einen Broadcast?" → Weil er noch keine IP-Adresse hat und den Server nicht kennt.
UDP/TCP Port 53 · OSI Layer 7

Domain Name System (DNS)

DNS ist das „Telefonbuch des Internets". Es übersetzt Domainnamen (z.B. www.example.com) in IP-Adressen (z.B. 93.184.216.34) und umgekehrt. Ohne DNS müsste man alle IP-Adressen auswendig kennen.

DNS-Auflösung: Rekursive Anfrage (Schritt für Schritt)

1

Client fragt lokalen DNS-Resolver

Browser fragt den konfigurierten DNS-Server (meist vom Router oder DHCP). Prüft zuerst den lokalen Cache und die hosts-Datei.

2

Resolver fragt Root-Nameserver

13 Root-Nameserver weltweit kennen die zuständigen TLD-Nameserver für jede Top-Level-Domain (.com, .de, .org …).

3

Resolver fragt TLD-Nameserver

Der TLD-Server für .com kennt den autoritativen Nameserver für example.com.

4

Resolver fragt autoritativen Nameserver

Dieser kennt die tatsächliche IP-Adresse und antwortet mit dem DNS-Record.

5

Antwort an Client + Caching

Der Resolver leitet die IP-Adresse an den Client weiter. Das Ergebnis wird für die TTL (Time to Live) gecacht, um zukünftige Anfragen zu beschleunigen.

Wichtige DNS-Record-Typen

Record-TypFunktionBeispiel
ADomain → IPv4-Adresseexample.com → 93.184.216.34
AAAADomain → IPv6-Adresseexample.com → 2606:2800:…
CNAMEAlias auf einen anderen Hostnamenwww → example.com
MXMail-Server für die Domainexample.com → mail.example.com
PTRIP-Adresse → Domain (Reverse DNS)34.216.184.93 → example.com
NSAutoritativer Nameserver der Domainexample.com → ns1.example.com
TXTBeliebiger Text (z.B. SPF, DKIM)„v=spf1 include:…"

Typische Prüfungsfragen zu DNS

  • „Was ist der Unterschied zwischen A-Record und CNAME?" → A = direkte IP-Zuweisung; CNAME = Alias auf anderen Namen
  • „Wozu dient TTL?" → Gibt an, wie lange ein DNS-Eintrag gecacht werden darf (in Sekunden)
  • „Was ist ein Reverse-DNS-Lookup?" → Auflösung von IP → Domainname via PTR-Record
  • „Welchen Port nutzt DNS standardmäßig?" → UDP 53 (bei großen Antworten: TCP 53)
  • „Was ist DNS-Poisoning/Spoofing?" → Angreifer schleust gefälschte DNS-Einträge in den Cache ein → Umleitung auf Phishing-Seiten
🔐 Sicherheit: DNSSEC schützt vor DNS-Spoofing durch digitale Signaturen der DNS-Antworten. DNS over HTTPS (DoH) / DNS over TLS (DoT) verschlüsseln die DNS-Kommunikation.

Geräte im Vergleich: Auf einen Blick

Gerät OSI-Schicht Adressierung Broadcast-Domäne Typischer Einsatz
Hub 1 – Physical Keine Eine (alle Ports) Veraltet; sendet an alle Ports
Bridge 2 – Data Link MAC-Adresse Trennt Segmente Verbindet 2 LAN-Segmente
Switch 2 – Data Link MAC-Adresse Eine (ohne VLAN) LAN-Verbindung innerhalb Gebäude
Router 3 – Network IP-Adresse Jedes Interface eigene Verbindet Netzwerke, Internet-Zugang
Firewall 3–7 IP, Port, Inhalt Je nach Typ Sicherheitsgrenze zwischen Netzen

Protokolle im Vergleich

Protokoll Port Aufgabe Besonderheit
DHCP UDP 67/68 Automatische IP-Vergabe DORA-Ablauf; Broadcast-basiert
DNS UDP/TCP 53 Name-zu-IP-Auflösung Hierarchisch; TTL & Caching
Wichtige Well-Known Ports

Ports für die Prüfung

20/21TCPFTPDateiübertragung (21 = Steuerung, 20 = Daten)
22TCPSSHSichere verschlüsselte Verbindung / Remote-Zugriff
23TCPTelnetRemote-Zugriff unverschlüsselt (veraltet, unsicher)
25TCPSMTPE-Mail-Versand (Server zu Server)
53UDP/TCPDNSNamensauflösung; TCP bei großen Antworten
67/68UDPDHCP67 = Server, 68 = Client
80TCPHTTPWeb unverschlüsselt
110TCPPOP3E-Mail abrufen (löscht vom Server)
143TCPIMAPE-Mail abrufen (bleibt auf Server)
443TCPHTTPSWeb verschlüsselt (TLS)
3389TCPRDPWindows Remote Desktop

Typische Prüfungsaufgaben – Kurzantworten

  • „Auf welcher OSI-Schicht arbeitet ein Switch?" → Schicht 2 (Data Link)
  • „Was unterscheidet einen Switch von einem Hub?" → Switch lernt MAC-Adressen und sendet gezielt; Hub sendet an alle Ports
  • „Wozu dient NAT beim Router?" → Übersetzt private IP-Adressen in eine öffentliche – ermöglicht Internet-Zugang für viele Geräte
  • „Was ist der Unterschied zwischen Zugangskontrolle und Zugriffskontrolle?" → Zugang = Systemanmeldung (Login); Zugriff = Berechtigungen innerhalb des Systems
  • „Welche Geräte trennen Broadcast-Domänen?" → Router (und Layer-3-Switches / VLANs)
  • „Was passiert bei einem DHCP-Lease-Ablauf?" → Client versucht zu verlängern (Renew); bei Misserfolg neuer DORA-Ablauf
  • „Was ist der Unterschied zwischen rekursiver und iterativer DNS-Auflösung?" → Rekursiv: Resolver übernimmt alle Schritte für den Client; Iterativ: Client fragt selbst jeden Server nacheinander