MAC-Adresstabelle und Lernprozess

Ein Switch leitet Frames nicht blind an alle Ports weiter – er lernt, wer wo sitzt. Stell dir vor, du arbeitest in einem großen Büro und hast einen neuen Kollegen, der alle Briefe verteilt. Am ersten Tag kennt er noch niemanden: Er läuft mit jedem Brief durch alle Flure und fragt. Aber sobald jemand antwortet, merkt er sich: „Müller sitzt in Zimmer 12." Beim nächsten Brief an Müller geht er direkt dorthin. Genau so lernt ein Switch MAC-Adressen.

Das Verständnis der MAC-Adresstabelle ist die Grundlage für alles, was in diesem Kurs folgt – besonders für Spanning Tree Protocol und Port-Security. MAC-Adressen selbst sind in Schicht 2 – Sicherung erklärt. Wie ein Angreifer den Lernmechanismus ausnutzt, zeigt Netzwerk-Scanning mit Nmap.

1) Die MAC-Adresstabelle (CAM-Table)

Jeder Switch führt intern eine MAC-Adresstabelle (auch CAM-Table, Content Addressable Memory). Sie enthält Einträge der Form: Diese MAC-Adresse ist über diesen Port erreichbar. Die Tabelle ist zunächst leer – sie füllt sich automatisch durch Beobachtung des Netzwerkverkehrs.

Wichtig zu verstehen: Der Switch lernt immer aus dem eingehenden Datenverkehr. Er schaut auf die Quell-MAC eines ankommenden Frames und trägt ein: „Diese MAC kommt von Port X." Die Ziel-MAC wird dagegen nur nachgeschlagen – gelernt wird sie nicht aktiv, sondern erst wenn das Gerät selbst mal etwas sendet.

2) Der Lernprozess – animiert und erklärt

Die folgende Animation zeigt, wie ein Switch seine Tabelle aufbaut. Vier PCs sind angeschlossen. Klicke auf „Nächster Schritt" und beobachte, wie sich das Verhalten des Switches nach und nach von Flooding auf gezieltes Weiterleiten umstellt:

Switch-Lernprozess – Schritt für Schritt mit Erklärung

Frame PC A (Port 1) schickt einen Frame an PC D (Port 4). Quell-MAC: AA:AA:AA:AA · Ziel-MAC: DD:DD:DD:DD

Lernen Switch trägt ein: AA:AA:AA:AA → Port 1 (aus der Quell-MAC des Frames gelernt)

Lookup Suche DD:DD:DD:DD in der Tabelle → nicht gefunden! Switch weiß noch nicht, an welchem Port PC D hängt.

Flooding Frame wird geflutet – an alle Ports außer Port 1 gesendet. PC B, C und D empfangen den Frame. Nur PC D reagiert (es ist ja für ihn).

Antwort PC D antwortet. Dieser Frame kommt von DD:DD:DD:DD an Port 4.

Lernen Switch trägt ein: DD:DD:DD:DD → Port 4. Antworte geht direkt an Port 1 (AA:AA:AA:AA bekannt).

Forward PC A sendet erneut an PC D. Jetzt ist DD:DD:DD:DD bekannt → direkt an Port 4. PC B und C empfangen nichts.

✓ Fertig Tabelle gelernt. Switch arbeitet jetzt effizient – kein unnötiges Flooding mehr für diese Verbindung.

Drücke „Nächster Schritt" um den Ablauf zu starten.

CAM-Tabelle des Switches (wird live befüllt)

MAC-Adresse	Port	VLAN	Typ	Age
Tabelle leer – noch nichts gelernt

Der Switch lernt immer die Quell-MAC – nie die Ziel-MAC. Er sucht die Ziel-MAC nur nach. Findet er sie nicht, flutet er (sendet an alle außer Eingangsport). Das nennt sich Unknown Unicast Flooding und ist normales Verhalten – kein Fehler. Der Aging-Timer (Standard: 300 Sekunden) löscht Einträge, wenn ein Gerät lange nichts gesendet hat. Das verhindert veraltete Einträge wenn Geräte umgezogen werden.

3) Was passiert bei Broadcasts?

Broadcasts sind Frames, die an die MAC-Adresse FF:FF:FF:FF:FF:FF gerichtet sind. Sie bedeuten: „Dieser Frame ist für alle!" Der Switch leitet sie immer an alle Ports weiter – egal ob er die Adresse kennt oder nicht. Das ist kein Fehler, sondern beabsichtigtes Verhalten. Broadcasts werden für wichtige Protokolle gebraucht – zum Beispiel sendet ein PC beim Start einen DHCP-Broadcast, weil er noch keine IP-Adresse hat und nicht weiß, welcher Server antworten soll.

Das bedeutet aber auch: Hängen 200 Geräte an einem Switch und jedes sendet regelmäßig Broadcasts (ARP, DHCP, NetBIOS…), empfängt jedes der 200 Geräte jeden dieser Broadcasts. Das ist der Grund, warum große Netzwerke mit VLANs in kleinere Broadcast-Domänen aufgeteilt werden.

4) Forwarding-Entscheidungen auf einen Blick

Situation	Was der Switch macht	Warum
Ziel-MAC unbekannt	Flooding – Frame an alle Ports außer Eingang	Switch weiß nicht, wo das Gerät sitzt
Ziel-MAC bekannt	Gezieltes Forwarding an den gelernten Port	Eintrag in der CAM-Tabelle vorhanden
Ziel-MAC ist Broadcast (FF:FF…)	Flooding an alle Ports – immer	Broadcast bedeutet „für alle"
Ziel-MAC am gleichen Port wie Quell-MAC	Frame wird verworfen (Filtering)	Gerät sitzt auf demselben Segment, keine Weiterleitung nötig
Eintrag veraltet (>300 s kein Traffic)	Eintrag gelöscht, nächster Frame → Flooding	Gerät könnte umgezogen sein

5) Angriff: CAM-Table Overflow

Weil der Switch lernt, kann ein Angreifer diesen Mechanismus ausnutzen. Mit einem Tool wie macof lassen sich in Sekunden Frames mit Tausenden zufälliger Quell-MACs erzeugen. Die CAM-Tabelle ist endlich groß – läuft sie voll, kann der Switch keine neuen Einträge mehr anlegen. Ab diesem Punkt behandelt er unbekannte Ziel-MACs genauso wie ein Hub: Er flutet alles. Ein Angreifer am gleichen Switch kann jetzt den gesamten Traffic mithören. Die Gegenmaßnahme heißt Port-Security – sie begrenzt die erlaubten MACs pro Port.

Zusammenfassung

Der Switch lernt MAC-Adressen aus eingehenden Quell-MACs und baut seine CAM-Tabelle auf. Unbekannte Ziel-MAC → Flooding. Bekannte Ziel-MAC → gezieltes Forwarding. Broadcast → immer Flooding. Aging-Timer (Standard 300 s) hält die Tabelle aktuell. CAM Overflow ist ein realer Angriff – Schutz: Port-Security.

Verwandte Lektionen: Nächste Lektion: Spanning Tree Protocol (STP) · MAC-Adressen und Ethernet-Frame-Aufbau: Schicht 2 – Sicherung · Schutz des Switch-Ports vor MAC-Flooding: Port-Security · ARP als Ergänzung zu MAC-Lookup (Schicht 2/3): Schicht 3 – Vermittlung, IP und ARP · CAM-Overflow als Angriffstechnik: Netzwerk-Scanning mit Nmap · Broadcast-Domänen und DHCP: DHCP DORA-Prozess · Netzwerksegmentierung mit VLANs: VLAN-Grundlagen · Switch-Status mit Cisco IOS prüfen: Switch-Konfiguration (Cisco IOS)