Inhalt in Kürze
- Ein Switch ist das Rückgrat jedes Unternehmensnetzes — er entscheidet, welches Datenpaket an welchen Port geht, lernt die MAC-Adressen Ihrer Geräte und ersetzt damit den alten Hub mit einem riesigen Performance-Gewinn.
- Layer-2-Switches arbeiten mit MAC-Adressen, Layer-3-Switches können zusätzlich IP-Subnetze in Hardware routen — entscheidend ist nicht der Layer, sondern Anzahl VLANs, Standorte und gewünschtes Inter-VLAN-Routing.
- Managed Switches mit VLAN, PoE+ und 802.1X sind im Mittelstand 2026 Standard — nicht zuletzt wegen NIS-2 und dem BSI-Baustein NET.1.1, der Netzsegmentierung explizit fordert.
- Wir betreuen über 200 Unternehmen in Hamburg und Norddeutschland und sehen jede Woche das gleiche Muster: Wenn Switches älter als 7 Jahre, ohne VLAN und ohne Monitoring laufen, liegt der nächste Sicherheitsvorfall meist nur eine Phishing-Mail entfernt.
Was ist Switching wirklich?
Switching klingt nach “Schalter umlegen” — und genau das ist es im Kern. Ein Netzwerk-Switch nimmt ein Datenpaket auf einem Port entgegen, liest die Ziel-MAC-Adresse aus, schaut in seiner internen MAC-Tabelle nach, an welchem Port das Zielgerät hängt, und schickt das Paket genau dorthin. Punkt. Nichts anderes wird ausgesendet, nichts wird unnötig gebroadcastet.
Der Unterschied zum Hub aus den 90ern: Ein Hub schickte jedes Paket an alle Ports gleichzeitig — was die Leitung zumüllt, Kollisionen verursacht und ein Sicherheitsalbtraum ist (jeder hört alles mit). Ein Switch trennt jeden Port in eine eigene Collision Domain, lernt MAC-Adressen automatisch und schaltet die Pakete deterministisch durch.
In jedem Unternehmensnetz, das Sie heute betreten, sitzt mindestens ein Switch — meist mehrere, kaskadiert. Vom kleinen 8-Port-Switch hinter der Anmeldung bis zum 48-Port-Core-Switch im Serverschrank. Wer einen IT-Service in Hamburg sucht, bekommt von uns ein dokumentiertes Switching-Konzept dazu — keine zusammengewürfelten Kisten.
Layer-2 vs. Layer-3 — der wichtigste Begriff verstanden
Switches werden nach OSI-Schichten klassifiziert. In der Praxis sind nur zwei Layer relevant: Layer 2 und Layer 3.
Ein Layer-2-Switch (Data Link Layer) arbeitet ausschließlich mit MAC-Adressen. Er weiß nichts von IP, nichts von Subnetzen. Er kennt nur “MAC X hängt an Port 12, MAC Y an Port 34”. Frames innerhalb desselben Subnetzes werden in Hardware geswitcht — wire-speed, also ohne spürbare Verzögerung.
Ein Layer-3-Switch (Network Layer) kann zusätzlich IP-Adressen lesen und zwischen Subnetzen oder VLANs routen. Das passiert ebenfalls in Hardware (über ASICs), nicht in Software wie bei klassischen Routern. Deshalb kombinieren Layer-3-Switches die Geschwindigkeit von Layer-2 mit Routing-Funktionen — ideal als Core-Switch in mittelgroßen Netzen.
| Kriterium | Layer-2-Switch | Layer-3-Switch |
|---|---|---|
| Adressierung | MAC | MAC + IP |
| Routing zwischen VLANs | Nein (Firewall macht das) | Ja, in Hardware |
| Typischer Einsatz | Access-Layer, Edge | Core, Distribution |
| Preis (24-Port, mit PoE) | 600–1.000 € | 1.200–3.500 € |
| Komplexität | Niedrig | Mittel |
| Wann sinnvoll | KMU mit 1–5 VLANs | KMU mit 6+ VLANs oder mehreren Etagen/Standorten |
Praktisch heißt das: Ein KMU mit 30 Mitarbeitern, einem VLAN für Mitarbeiter, einem für Gäste, einem für VoIP und einem für IoT braucht meist keinen Layer-3-Switch. Die paar Routing-Entscheidungen erledigt die Firewall — die ohnehin als Gateway zwischen den VLANs hängt. Erst wenn das Inter-VLAN-Routing-Volumen die Firewall ausbremst (z.B. bei großen Datentransfers zwischen Server-VLAN und Mitarbeiter-VLAN), lohnt sich ein Layer-3-Core-Switch.
Eine Vertiefung zu modernen Architekturen liefert auch der Beitrag Cisco Meraki vs. traditionelle Netzwerkarchitektur. Ergänzend zu den Hardware-Grundlagen empfehlen wir den Überblick zu HPE Aruba Switches.
Switching vs Routing — wo ist der Unterschied? (Layer 2 vs Layer 3)
Die häufigste Verwechslung: Switching und Routing klingen ähnlich, arbeiten aber auf unterschiedlichen OSI-Schichten und lösen unterschiedliche Aufgaben.
Switching (Layer 2) läuft innerhalb eines Subnetzes. Der Switch liest die Ziel-MAC-Adresse aus jedem Ethernet-Frame, schaut in seiner MAC-Tabelle nach und schickt den Frame an exakt einen Port. Das passiert in Hardware (ASIC), in Microsekunden, ohne CPU-Last. Beispiel: Notebook (192.168.10.50) spricht mit Drucker (192.168.10.99) — beide im VLAN 10, der Switch leitet das durch, fertig.
Routing (Layer 3) läuft zwischen Subnetzen. Der Router (oder Layer-3-Switch) liest die Ziel-IP-Adresse, schaut in seiner Routing-Tabelle nach, welches Interface in dieses Subnetz führt, und leitet das Paket dorthin weiter. Beispiel: Notebook (VLAN 10, 192.168.10.50) spricht mit Server (VLAN 20, 192.168.20.10) — der Layer-3-Switch oder die Firewall routet zwischen den Subnetzen und prüft per ACL/Firewall-Regel, ob das überhaupt erlaubt ist.
| Aspekt | Switching (Layer 2) | Routing (Layer 3) |
|---|---|---|
| Adressierung | MAC-Adresse | IP-Adresse |
| Scope | Innerhalb eines Subnetzes/VLANs | Zwischen Subnetzen/VLANs |
| Hardware | Switch-ASIC | Router-CPU oder L3-Switch-ASIC |
| Geschwindigkeit | Wire-Speed (Microsekunden) | Wire-Speed bei L3-Switch, sonst CPU-limitiert |
| Typische Box | Cisco Catalyst 9300, Aruba CX 6300, UniFi USW Pro | Firewall (Sophos, Fortinet) oder L3-Core-Switch |
Praktisch heißt das: In einem typischen KMU-Netz switcht der Access-Switch alles innerhalb VLAN 10 (Mitarbeiter) intern. Sobald ein Mitarbeiter auf den Server (VLAN 20) zugreifen will, geht das Paket zur Firewall oder zum Layer-3-Core-Switch, der zwischen den VLANs routet — und dabei Firewall-Regeln oder ACLs anwendet. Erst dadurch entsteht Netzsegmentierung: VLAN trennt logisch, Routing+ACL kontrolliert den Übergang.
Managed, Smart, Unmanaged — was kaufen Sie wirklich?
Im Handel finden Sie drei Klassen von Switches, die sich im Funktionsumfang und Preis deutlich unterscheiden.
- Unmanaged Switch. Plug-and-Play, keine Konfiguration, keine VLANs, kein Monitoring. Sinnvoll nur für temporäre Erweiterungen oder kleine Werkbänke mit 4 bis 8 Endgeräten. In einem produktiven KMU-Netz hat ein Unmanaged Switch heute eigentlich nichts mehr zu suchen.
- Smart Switch / Web-Managed. Reduzierte Web-Oberfläche, VLAN, einfache PoE-Steuerung, Basis-QoS. Preislich attraktiv (24 Port ab ca. 250 Euro), aber kein vollwertiges CLI, oft kein 802.1X. Für kleine Büros bis ~30 Mitarbeiter eine Option, wenn der Hersteller Updates liefert.
- Managed Switch. Vollwertiges Layer-2/3-Funktionsspektrum: VLAN, Spanning Tree, Link Aggregation (LACP), Port-Security, 802.1X-Authentifizierung, SNMP-Monitoring, Logging, Cloud- oder On-Prem-Management. Standard für jedes Unternehmensnetz, das wir aufbauen oder übernehmen.
Wir empfehlen unseren Kunden zwischen 5 und 150 Mitarbeitern grundsätzlich Managed Switches — auch wenn ein Smart Switch reichen würde. Der Mehrpreis von 200–400 Euro pro Switch amortisiert sich beim ersten Audit, beim ersten Hardware-Wechsel oder spätestens dann, wenn jemand mit einer NIS-2-Anforderung kommt.
VLAN — die Geheimwaffe gegen flache Netze
VLANs (Virtual Local Area Networks) sind seit Jahren Stand der Technik — und trotzdem treffen wir bei der Hälfte der Neukunden noch flache Netze an, in denen Drucker, Server, Gäste-WLAN und Buchhaltung im selben Broadcast-Domain hängen. Das ist nicht nur Performance-Selbstmord, sondern auch ein Compliance-Risiko.
Ein VLAN trennt den physischen Switch logisch in mehrere unabhängige Netze. Die Trennung erfolgt per IEEE 802.1Q-Tag im Ethernet-Frame. Das BSI fordert solche Segmentierung im Baustein NET.1.1 Netzarchitektur und -design explizit als Basis-Anforderung.
Typische VLAN-Aufteilung in einem KMU mit 30 bis 80 Mitarbeitern, wie wir sie bei Hamburger Kunden umsetzen:
| VLAN | Zweck | Beispiel |
|---|---|---|
| 10 | Mitarbeiter-LAN | Kabelgebundene Arbeitsplätze, Notebook-Docks |
| 20 | Server | Domänencontroller, Fileserver, Hypervisor-Management |
| 30 | Gäste-WLAN | Besucher, externe Berater — kein Zugriff aufs Mitarbeiter-LAN |
| 40 | VoIP / Voice | IP-Telefone und Telefonanlage, eigenes QoS |
| 50 | IoT / Drucker | Drucker, Sensoren, Kameras, Türsprechanlagen |
| 60 | Management | Switch- und AP-Management, nur vom Admin-PC erreichbar |
Der Trick: Sobald die VLANs definiert sind, regelt eine Firewall (oder ein Layer-3-Switch mit ACLs), wer mit wem reden darf. Gäste-WLAN ans Internet, sonst nichts. IoT zur Cloud des Herstellers, aber nicht ins Server-VLAN. Das ist Mikrosegmentierung, light — aber für 99 % der Mittelständler völlig ausreichend.
Wer tiefer einsteigen will, findet in unserem Beitrag Was sind VLANs? die Grundlagen und Konfigurationsbeispiele. Eine Übersicht zur Gesamt-Infrastruktur liefert LAN: Local Area Network für IT-Entscheider.
Beim Aufbau neuer VLANs nicht alle Endgeräte auf einmal umziehen. Wir staffeln in drei Wellen: erst Server und Drucker (statisch, einfach), dann VoIP (per LLDP automatisch), zuletzt Mitarbeiter-Notebooks (per 802.1X). So bleibt der Betrieb stabil — und Sie können jeden Schritt abschalten, wenn ein Gerät zickt.
PoE — Strom aus dem Netzwerkkabel
Power over Ethernet (PoE) speist Geräte über das Datenkabel mit Strom. Sie sparen sich Steckdosen, externe Netzteile und Verkabelungschaos — vor allem an Decken (Access Points) und Wänden (Kameras, Türsprechanlagen).
Drei Stufen sind aktuell relevant (Cisco-Übersicht zu PoE-Standards):
| Standard | Bezeichnung | Leistung pro Port | Typische Verbraucher |
|---|---|---|---|
| IEEE 802.3af | PoE | 15,4 W (12,95 W nutzbar) | VoIP-Telefone, einfache APs, Sensoren |
| IEEE 802.3at | PoE+ | 30 W (25,5 W nutzbar) | Wi-Fi 6 APs, PTZ-Kameras |
| IEEE 802.3bt Typ 3 | PoE++ | 60 W | Wi-Fi 6E APs, Multi-Radio APs, Door-Controller |
| IEEE 802.3bt Typ 4 | PoE++ | 90 W (71,3 W nutzbar) | 4K-Kameras, kleine LED-Panels, Thin Clients |
Wer 2026 ein neues Netz plant, sollte direkt 802.3bt im Auge haben — Wi-Fi 6E und Wi-Fi 7 ziehen pro Access Point gerne 30–40 Watt. Ein 24-Port-PoE+-Switch mit 370 Watt Power-Budget ist schnell ausgelastet, wenn 12 Access Points dranhängen. Wir rechnen bei der Auslegung immer mit 60 % Reserve für die nächste Geräte-Generation.
Aus der Praxis — was wir bei Neukunden in Hamburg sehen
Wir betreuen Unternehmen mit 5 bis 150 Mitarbeitern in Hamburg, Bremen, Kiel und Lübeck — und das, was wir bei Erst-Audits sehen, wiederholt sich jede Woche.
Eine gute IT-Partnerschaft merken Sie daran, dass Sie nicht mehr über IT nachdenken müssen. Sie funktioniert einfach — und wenn doch mal was ist, sind wir sofort da.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Drei Muster, die bei fast jedem Switching-Audit auftauchen:
- Switches älter als 7 Jahre, kein Update mehr verfügbar. Sicherheitslücken bleiben offen, Spanning-Tree-Konvergenz dauert ewig, und beim ersten Tausch fehlt die Konfig-Doku.
- Flache Netze ohne VLAN. Drucker, Server, Mitarbeiter-Notebooks und Gäste-WLAN im selben Broadcast-Domain. Das ist 2026 schlicht nicht mehr akzeptabel.
- Kein Monitoring. Niemand merkt, wenn ein Port flappt, ein Trunk asymmetrisch läuft oder ein Switch CPU-seitig am Limit hängt — bis Mitarbeiter “Internet ist langsam” rufen.
Es ist alles so eher immer das Pflaster auf die Wunde geklebt, als dass wir so ein einheitliches Konzept haben.
Genau dieses Muster sehen wir, wenn Switches über Jahre einzeln nachgekauft werden — mal Cisco, mal TP-Link, mal Netgear, alle in unterschiedlichen Firmware-Ständen. Der Sanierungsweg ist immer derselbe: Konzept, Hersteller-Konsolidierung, VLAN-Plan, schrittweise Migration im laufenden Betrieb.
Der Markt — Cisco, HPE Aruba, Ubiquiti & Co
Im Enterprise-Campus-Switching dominieren laut Dell’Oro Group weiterhin Cisco und HPE Aruba, gefolgt von Ubiquiti, Arista und Juniper. Für KMU sind aus unserer Praxis drei Hersteller-Linien besonders relevant.
| Linie | Stärken | Wann wir sie einsetzen |
|---|---|---|
| Cisco Meraki | Cloud-Managed, hervorragendes Dashboard, Zero-Touch-Deployment, Premium-Support | Mehrstandort-Kunden, NIS-2-Compliance, hohe Betriebsstabilität gewünscht — Lizenzkosten einkalkuliert |
| HPE Aruba (Instant On + CX) | Lifetime-Garantie, sehr gutes Preis-Leistungs-Verhältnis, lokales Management ohne Cloud-Zwang | Klassische Single-Site-Kunden, knappes Budget, kein Cloud-Lock-in gewünscht |
| Ubiquiti UniFi | Ein zentrales Dashboard für Switch, AP, Gateway und Cameras; sehr preisstark; großer Community-Support | Kleinere Kunden, technikaffine IT-Leiter, einheitliches Ökosystem gewünscht |
Daneben sehen wir punktuell Cisco Catalyst (klassisch, On-Prem-Managed), Zyxel (gutes Preis-Leistungs-Verhältnis im Smart-Switch-Segment) und TP-Link Omada (Ubiquiti-Alternative, teils günstiger). Was wir nicht empfehlen: günstige Noname-Switches ohne Firmware-Updates oder ohne deutsche Support-Hotline.
Welcher Hersteller bei Ihnen passt, hängt nicht am Datenblatt — sondern an Ihrer Firewall, Ihrem Wartungsbudget, Ihren Standorten und der Frage, wer den Switch im Notfall nachts um 23 Uhr neu konfiguriert. Genau das klären wir im Vorgespräch.
Switching, Sicherheit und NIS-2
Das oft übersehene Thema bei Switching: Sicherheit. Ein Switch ist nicht nur Daten-Weichensteller, sondern eine Security-Komponente. Vier Funktionen sollten Sie im Mittelstand 2026 im Einsatz haben:
- Port-Security. Nur registrierte MAC-Adressen dürfen am Port aktiv werden. Ein angeschlossener Fremd-Laptop wird automatisch geblockt.
- 802.1X-Authentifizierung. Jedes Endgerät muss sich gegenüber dem Switch authentifizieren — z.B. via Computer-Zertifikat aus Active Directory. Das ist die Königsdisziplin gegen physische Eindringlinge.
- Storm Control. Begrenzt Broadcast- und Multicast-Pakete pro Port. Verhindert, dass eine kaputte Netzwerkkarte oder ein Loop das ganze LAN lahmlegt.
- SNMP-Monitoring + Syslog. Alle Switch-Logs zentral zusammenführen. So sehen Sie, wer wann welchen Port aktiviert hat — Pflicht für jedes Audit.
Mit der NIS-2-Richtlinie der EU-Kommission sind Netzsegmentierung und Zugangskontrolle keine Kür mehr, sondern Pflicht für rund 29.500 deutsche Unternehmen. Auch wer nicht direkt unter NIS-2 fällt, wird über Lieferkettenklauseln seiner Kunden nachziehen müssen. Mehr dazu in unserem Service NIS2 & Compliance und im umfassenden Bereich Cybersecurity für den Mittelstand.
Wann lohnt sich ein neuer Switch — Auswahlhilfe
Sie überlegen, ob ein Tausch oder Upgrade ansteht? Hier die fünf Auslöser, die wir bei Audits durchgängig finden:
- Switch ist älter als 7 Jahre. Hersteller-Support meist ausgelaufen, keine Sicherheitsupdates mehr, Lebensdauer-Risiko steigt überproportional.
- Sie führen Wi-Fi 6/6E oder VoIP ein. Alte 802.3af-Switches reichen nicht mehr, QoS und Voice-VLAN fehlen.
- NIS-2 oder ISO 27001 Audit steht an. Ohne Managed Switch, ohne 802.1X, ohne dokumentierte VLAN-Struktur fällt das Audit garantiert auf.
- Sie ziehen um oder erweitern. Beim [Büroumzug](/fallstudien/it-planung-fuer-den-bueroumzug-mit-unserer-netzwerk-analyse-gehen-sie-auf-nummer-sicher-fallstudie "Fallstudie — IT-Planung für den Büroumzug") ist das der ideale Moment, das Konzept neu zu denken.
- Niemand weiß mehr, was wo gepatcht ist. Klassiker — und die häufigste Begründung für ein Greenfield-Konzept.
Ein 1-zu-1-Tausch ohne Konzept ist verschenktes Geld. Wer einen alten 24-Port-Switch durch einen neuen 24-Port-Switch ersetzt, ohne VLAN, ohne Monitoring, ohne 802.1X, hat in 5 Jahren denselben Zustand — nur mit aktueller Firmware. Wir machen das anders: Audit, Ziel-Konzept, Migration, Doku.
Switching im Gesamtbild — Netzwerk, Firewall, WLAN
Switching steht nicht für sich allein. Im Mittelstand greifen vier Komponenten ineinander:
- Switch — verbindet alles im Haus, segmentiert per VLAN, liefert PoE.
- Firewall — Gateway zwischen den VLANs und ins Internet, regelt was darf wer. Siehe Managed Firewall.
- WLAN / Access Points — drahtloser Zugang, eigene SSIDs pro VLAN. Siehe Managed WiFi.
- Server / Hypervisor — gibt es im Server-VLAN, redundant angebunden via LACP an mindestens zwei Switch-Ports.
Wenn eine dieser Komponenten schlecht aufgesetzt ist, leiden alle anderen. Deshalb empfehlen wir, das ganze Stack-Konzept einmal sauber zu dokumentieren — und dann inkrementell zu modernisieren. Wer einen Komplett-Service sucht, findet das alles bei uns als Netzwerk & WLAN aus Hamburg gebündelt.
Eine ausführliche Markt-Übersicht zu Aruba-Switches finden Sie in unserem Artikel Netzwerksicherheit mit HPE Aruba Switches. Und für die Kostenseite hilft unser Beitrag Netzwerk aufbauen Kosten 2026.
Fazit — Switching als strategische Entscheidung
Switching wirkt unspektakulär — bis es ausfällt oder das nächste Audit ansteht. Wer 2026 noch ein flaches Netz mit Unmanaged Switches betreibt, hat nicht nur ein Performance-, sondern ein Compliance-Problem. Der Aufwand für die Modernisierung ist überschaubar: ein sauber dokumentiertes Konzept, drei bis fünf Hersteller-Switches, ein Wochenende Migration. Was bleibt, ist ein Netz, das Sie 7 Jahre nicht mehr anfassen müssen.
Unser Standardvorgehen für Neukunden in Hamburg, Bremen, Kiel und Lübeck:
- Audit. Wir kommen einen Tag ins Haus, dokumentieren Switches, VLANs, Patchpanels, Firewall-Regeln. Ergebnis: ein PDF, das Sie für jedes Audit nutzen können.
- Konzept. Ziel-Architektur, Hersteller-Empfehlung, Migrationspfad, Festpreis. Keine Stundenabrechnung.
- Migration. Schrittweise im laufenden Betrieb, fast immer ohne Downtime. Wir testen jedes VLAN bevor wir Endgeräte umziehen.
- Betrieb. Monitoring, Patchmanagement, Konfig-Backups — alles als Festpreis ab ca. 50 Euro pro Arbeitsplatz und Monat.
Switch-Konzept oder Audit gefragt? Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre IT-Situation — ehrlich bewertet.
Erstgespräch buchen →
