Firmen Netzwerk IP-Adressbereiche Subnetting Planung und Design
Hallo,
ich mache mir gerade Überlegungen, welchen Adressbereich ich am besten nutze sollte, um ein Firmen-Netzwerk zu strukturieren? Ich möchte es natürlich überschaubar halten und nicht überdimensionieren. Momentan wird 172.16.0.0/16 verwendet (also von 172.16.0.1 bis 172.16.254.254) soviel brauche ich natürlich nicht. Das Netzwerk besteht aus:
in der Zentrale ca. 400 Hosts momentan. Also ein Klasse-C reicht definitiv nicht aus. Es sollen aber auch Filialen per VPN-/Standleitungen angebunden werden, z.B. 3 Filialen mit jeweils 50 Rechnern. Diese Filialen sind momentan ein 192.168.0.0 /24 Class-C Netzwerk und über OpenVPN durch unsere Route/Firewall angebunden. Es könnte aber sein, dass in Zukunft extra Standleitungen hierfür verwenden werden.
Meine Grundüberlegung war, dass ich in der Zentrale bereits durch Subnetting ordentlich trenne, also z.B. nach EINKAUF, VERTRIEB, MARKETING, GL, PRODUKTION, usw.. einfach um ein schönes und übersichtliches Design zu bewahren. Das einzig sichere ist wohl, dass es ein Class-B Netz werden muss. Ich habe bei meiner Überlegung bewußt von 172.16.*.* auf 172.24.*.* gewechselt, damit eine saubere Trennung zwischen ALT und NEU erfolgen kann. Natürlich müssen alle Hosts darauf umgestellt werden, aber so würden automatisch die 'Leichen' entdeckt *lol*
Meine Idee bisher: ein 172.24.0.0/21 (also das Netz 172.24.0.1 bis 172.24.7.254 mit der Subnetmask 255.255.248.0). Das würde insgesamt 2046 Hosts erlauben, was mir wohl ausreichen sollte (grins). Ich könnte also 172.24.0.* für meine Serverlandschaft und die ganzen Systemgeräte verwenden. Den Bereich 172.24.1.* würde ich zum Beispiel für Geschäftsleitung und Controlling verwenden, 172.24.2.* für den Einkauf, 172.24.3.* für Vertrieb, usw...
Und für die Filialanbindungen würde ich im Falle von OpenVPN sowieso andre Netze verwenden können, oder nicht?
Welche wichtigen Punkte sollte ich bei dieser Planung berücksichtigen? Ich möchte keine Design-Fehler begehen, deswegen bitte um fachliche Meinungen, Tips und Empfehlungen. Recht herzlichen Dank an Alle.
ich mache mir gerade Überlegungen, welchen Adressbereich ich am besten nutze sollte, um ein Firmen-Netzwerk zu strukturieren? Ich möchte es natürlich überschaubar halten und nicht überdimensionieren. Momentan wird 172.16.0.0/16 verwendet (also von 172.16.0.1 bis 172.16.254.254) soviel brauche ich natürlich nicht. Das Netzwerk besteht aus:
in der Zentrale ca. 400 Hosts momentan. Also ein Klasse-C reicht definitiv nicht aus. Es sollen aber auch Filialen per VPN-/Standleitungen angebunden werden, z.B. 3 Filialen mit jeweils 50 Rechnern. Diese Filialen sind momentan ein 192.168.0.0 /24 Class-C Netzwerk und über OpenVPN durch unsere Route/Firewall angebunden. Es könnte aber sein, dass in Zukunft extra Standleitungen hierfür verwenden werden.
Meine Grundüberlegung war, dass ich in der Zentrale bereits durch Subnetting ordentlich trenne, also z.B. nach EINKAUF, VERTRIEB, MARKETING, GL, PRODUKTION, usw.. einfach um ein schönes und übersichtliches Design zu bewahren. Das einzig sichere ist wohl, dass es ein Class-B Netz werden muss. Ich habe bei meiner Überlegung bewußt von 172.16.*.* auf 172.24.*.* gewechselt, damit eine saubere Trennung zwischen ALT und NEU erfolgen kann. Natürlich müssen alle Hosts darauf umgestellt werden, aber so würden automatisch die 'Leichen' entdeckt *lol*
Meine Idee bisher: ein 172.24.0.0/21 (also das Netz 172.24.0.1 bis 172.24.7.254 mit der Subnetmask 255.255.248.0). Das würde insgesamt 2046 Hosts erlauben, was mir wohl ausreichen sollte (grins). Ich könnte also 172.24.0.* für meine Serverlandschaft und die ganzen Systemgeräte verwenden. Den Bereich 172.24.1.* würde ich zum Beispiel für Geschäftsleitung und Controlling verwenden, 172.24.2.* für den Einkauf, 172.24.3.* für Vertrieb, usw...
Und für die Filialanbindungen würde ich im Falle von OpenVPN sowieso andre Netze verwenden können, oder nicht?
Welche wichtigen Punkte sollte ich bei dieser Planung berücksichtigen? Ich möchte keine Design-Fehler begehen, deswegen bitte um fachliche Meinungen, Tips und Empfehlungen. Recht herzlichen Dank an Alle.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182724
Url: https://administrator.de/forum/firmen-netzwerk-ip-adressbereiche-subnetting-planung-und-design-182724.html
Ausgedruckt am: 03.04.2025 um 23:04 Uhr
20 Kommentare
Neuester Kommentar
Hallo
Also bei kleiner 1000 Stationen würd ich mir schon überlegen ob es Sinn macht das Netz zu segmentieren. Es wäre eventuell sinnvoll falls die Topologie damit abgebildet wird d.h. z.B. Entwicklung/Vertrieb/Verwaltung in getrennten Gebäuden oder ähnliches aber ansonsten würde ich eher folgendes machen:
- Ein flaches Netz für die Arbeitsstationen
- Ein zweites Netz für den Serverbackbone (Backup, Datenbanken, Servermanagement etc.)
- Eventuell noch ein zweites Serverbackbone für iSCSI oder ähnliches falls vorhanden
- Eine DMZ Struktur mit Zwischennetz
Ansonsten würde ich nur dann segmentieren wenn es besondere Anforderungen z.B. Hochsicherheitsbereich gibt.
Gruß
Andi
Also bei kleiner 1000 Stationen würd ich mir schon überlegen ob es Sinn macht das Netz zu segmentieren. Es wäre eventuell sinnvoll falls die Topologie damit abgebildet wird d.h. z.B. Entwicklung/Vertrieb/Verwaltung in getrennten Gebäuden oder ähnliches aber ansonsten würde ich eher folgendes machen:
- Ein flaches Netz für die Arbeitsstationen
- Ein zweites Netz für den Serverbackbone (Backup, Datenbanken, Servermanagement etc.)
- Eventuell noch ein zweites Serverbackbone für iSCSI oder ähnliches falls vorhanden
- Eine DMZ Struktur mit Zwischennetz
Ansonsten würde ich nur dann segmentieren wenn es besondere Anforderungen z.B. Hochsicherheitsbereich gibt.
Gruß
Andi
Hallo,
ich würde grundsätzlich keine Netzmit mehr als 254 Hosts verwenden, es sei den es gibt einen zwingenden Grund dafür!
Jede Abteilung bekommt ein Netz mit der erforderlichen Maske, d.h. bei 25 Mitarbeitern in einer Abteilung ein Netz mit 62 Teilnehmern.
(Immer genug Reserve
)
Zusätzlich Trennung in VLAN's.
Ist halt abhängig von deiner Netzwerk Hardware!
brammer
ich würde grundsätzlich keine Netzmit mehr als 254 Hosts verwenden, es sei den es gibt einen zwingenden Grund dafür!
Jede Abteilung bekommt ein Netz mit der erforderlichen Maske, d.h. bei 25 Mitarbeitern in einer Abteilung ein Netz mit 62 Teilnehmern.
(Immer genug Reserve
Zusätzlich Trennung in VLAN's.
Ist halt abhängig von deiner Netzwerk Hardware!
brammer
Moin,

Cheers,
jsysde
@jsysde: einfach nur Kosmetik, ein Blick auf die IP würde mir schon gleich verraten, um was es sich für eine Maschiene
handelt.
Das kannst du mit DHCP-Reservierung aber wesentlich einfacher erreichen. handelt.
Cheers,
jsysde
Das kommt doch auch immer auf die Anforderungen im Netz an. Haben die Abteilungen eigene Server? Welche Hardware ist vorhanden? Wieviel Traffic gibt es? Bedenke auch, das z.B. eine defekte Netzwerkkarte unter Umständen ein ganzes Layer2 Netz runterziehen kann oder auch die Fehlersuche deutlich erschwert. Oder ein Access Point den ein Mitarbeiter mal mitbringt und auch DHCP spielt. Oder ein Privatgerät, das zufällig den gleichen Namen hat wie ein Server. (Bitte nicht lachen, ich habe das alles schon erlebt.) Habt Ihr ausser VPN noch Zugriffe von aussen, z.B. HTTP? Wenn unterschiedliche Subnetze genutzt werden ist es z.B. auch nicht mehr so einfach allen möglichen Traffic zu sniffen. Wenn alle Geräte in einer Broadcast Domain sind, wird auch der Broadcast Traffic unter Umständen irgendwann unübersichtlich (was ich pers. nicht mag).
So wie Du das beschreibst (trennen mit "Subnetting" von 172.24.0.* 172.24.1.* usw mit einer Subnetzmaske von 255.255.248.0) wird gar nichts getrennt, da ja alle im gleichen Subnetz sind! Das macht unter Umständen nur die Rechner einfacher auffindbar, ist aber kein Design!
Ich bin selbst ein großer Freund von Segmentierung, da es die Sicherheit (sowohl die Betriebssicherheit als auch die Informationssicherheit) erhöht und man in einem Netz schneller Fehler findet, den Traffic regeln und übersehen kann.
Wenn Du z.B. igendwann VOIP einsetzen willst kommst Du vermutlich sowieso nicht mehr drum herum.
So wie Du das beschreibst (trennen mit "Subnetting" von 172.24.0.* 172.24.1.* usw mit einer Subnetzmaske von 255.255.248.0) wird gar nichts getrennt, da ja alle im gleichen Subnetz sind! Das macht unter Umständen nur die Rechner einfacher auffindbar, ist aber kein Design!
Ich bin selbst ein großer Freund von Segmentierung, da es die Sicherheit (sowohl die Betriebssicherheit als auch die Informationssicherheit) erhöht und man in einem Netz schneller Fehler findet, den Traffic regeln und übersehen kann.
Wenn Du z.B. igendwann VOIP einsetzen willst kommst Du vermutlich sowieso nicht mehr drum herum.
Zitat von @panguu:
Ok, ich habe also vermutlich den Begriff "Segmentierung" oder "Subnetting" mißinterpretiert. In meinem
vorgeschlagenen Beispiel würde also keine Segmentierung stattfinden, da alle Hosts in ein und derselben Broadcast-Domain
untergebracht sind. Also spricht man von Segmentierung, bzw. Subnetting dann, wenn die einzelnen Netze untereinander strikt
getrennt sind, z.B.
Netz1 = 172.16.0.0/24 (mask 255.255.255.0)
Netz2 = 172.16.1.0/24 (mask 255.255.255.0)
Das wäre also als Subnetting/Segmentierung, richtig?
Ja, das ich richtig so. Die Netze können dann über einen Router oder einen Layer3 Switch miteinander kommunizieren. Ob das in Deinem Fall so notwendig und sinnvoll wäre, ist mit den gegebenen Infos schwer zu sagen.Ok, ich habe also vermutlich den Begriff "Segmentierung" oder "Subnetting" mißinterpretiert. In meinem
vorgeschlagenen Beispiel würde also keine Segmentierung stattfinden, da alle Hosts in ein und derselben Broadcast-Domain
untergebracht sind. Also spricht man von Segmentierung, bzw. Subnetting dann, wenn die einzelnen Netze untereinander strikt
getrennt sind, z.B.
Netz1 = 172.16.0.0/24 (mask 255.255.255.0)
Netz2 = 172.16.1.0/24 (mask 255.255.255.0)
Das wäre also als Subnetting/Segmentierung, richtig?
Kurz gesagt alles in einer Broadcast Domain (in einem Subnetz) -> Layer2 -> Kommunikation innerhalb des Subnetzes erfolgt direkt
Verschiedene Subnetze -> Layer3 -> Kommunikation zwischen den Subnetzen erfolgt über Routing.
Zitat von @panguu:
Ok, danke. Das habe ich jetzt verstanden. Aber wie sollte ich denn nun meine Hosts zuordnen? Sagen wir beispielsweise ich hab 50
Server, alle in einem großen Serverraum. Dann gibts von mir aus 300 Arbeitsclients (Linux+Windows alles verschiedene Distris
und Versionen). Es gibt eine 'dicke' Internetleitung. Als Firewall wird IPFire eingesetzt, ein eigenständiger
Linux-Host mit mehreren Netzwerkkarten. Diese Maschine ist auch OpenVPN-Server. Der IPFire hängt in der DMZ (10.0.0.0/24). In
der DMZ gibts einen Webserver, und den Mailserver. Wenn sich jemand über OpenVPN einloggt, erhält er eine 10.58.20.*
Adresse. Nungut, die einzelnen Abteilungen muss ich ja nicht unbedingt irgendwie trennen. Gerne hätte ich aber meine
Serverlandschaft und wichtige Systemhosts getrennt, ebenso all die Drucker, und die Arbeitsstationen.
Das kommt eben darauf an, meiner Meinung nach hängt das auch von der Topologie und den gewachsenen Strukturen ab (mehrere Gebäude usw., WLAN Brücken usw.). Fällt mir schwer, dazu konkret etwas zu sagen.Ok, danke. Das habe ich jetzt verstanden. Aber wie sollte ich denn nun meine Hosts zuordnen? Sagen wir beispielsweise ich hab 50
Server, alle in einem großen Serverraum. Dann gibts von mir aus 300 Arbeitsclients (Linux+Windows alles verschiedene Distris
und Versionen). Es gibt eine 'dicke' Internetleitung. Als Firewall wird IPFire eingesetzt, ein eigenständiger
Linux-Host mit mehreren Netzwerkkarten. Diese Maschine ist auch OpenVPN-Server. Der IPFire hängt in der DMZ (10.0.0.0/24). In
der DMZ gibts einen Webserver, und den Mailserver. Wenn sich jemand über OpenVPN einloggt, erhält er eine 10.58.20.*
Adresse. Nungut, die einzelnen Abteilungen muss ich ja nicht unbedingt irgendwie trennen. Gerne hätte ich aber meine
Serverlandschaft und wichtige Systemhosts getrennt, ebenso all die Drucker, und die Arbeitsstationen.
Erklär mir bitte nähere, das mit dem Beispiel der defekten NIC und dass es das Layer2-Netz runterzieht. Auch dein
Beispiel mit dem AP und dem DHCP-Server ist ein guter Punkt, wie schützt man sich eigentlich effektiv gegen so etwas? Oder
dass eben jemand einen Server (BIND, DHCP, SAMBA) installiert und im Firmen-LAN in Betrieb nimmt? Das könnte ja wirklich
fatal werden, wenn so ein Host mal übernimmt *schwitz*
Ich hatte eine Netzwerkkarte, die erfolgreich jeglich Kommunikation mit dem Router verhindert hat für alle Rechner die an dem gleich Switch hingen. Einen defekten Billigswitch, der zwei Ports so durcheinander gebracht hat, das beide Rechner nicht korrekt miteinander kommunizieren konnten, aber mit anderen schon. Einen AP, der bei Überhitzung den HTTP Verkehr auf die Zugriffsseite von einem NAS umgeleitet hat usw. usf.. Fast alles Billighardware.Beispiel mit dem AP und dem DHCP-Server ist ein guter Punkt, wie schützt man sich eigentlich effektiv gegen so etwas? Oder
dass eben jemand einen Server (BIND, DHCP, SAMBA) installiert und im Firmen-LAN in Betrieb nimmt? Das könnte ja wirklich
fatal werden, wenn so ein Host mal übernimmt *schwitz*
Ein Azubi bei uns hat mal einen DHCP Server aufgesetzt (unter Linux zum testen) und nicht aus dem Netz genommen, daraufhin hat der SBS seinen DHCP Dienst abgestellt (Eigenart v. SBS). Und einen gleichnamigen Rechner wie einen wichtigen Server hatte ich auch schon... mir würden evtl. auch noch mehr Beispiele einfallen... Die meisten dieser Dinge sind schwieriger zu finden desto größer die Broadcast Domain ist...
Wie sollte ich also das neue Netz strukturieren eurer Meinung nach? Einerseits entnehmen ich euren Kommentaren, dass Segmentierung
gut ist, andrerseits wird das Gegenteil behauptet.
Sollte ich also keine Segmentierung verwenden, sondern nur ein einzelnes grosses Subnet (172.24.0.0/21) oder in einzelne Class-C
Subnetze trennen (172.24.0.0/24) und diese untereinander mit Layer3-Routern koppeln?
Eher mit Layer-3 Switchen, Router sind immer Layer-3. Layer-2 Switche übernehmen dann die Verteilung auf die Clients.gut ist, andrerseits wird das Gegenteil behauptet.
Sollte ich also keine Segmentierung verwenden, sondern nur ein einzelnes grosses Subnet (172.24.0.0/21) oder in einzelne Class-C
Subnetze trennen (172.24.0.0/24) und diese untereinander mit Layer3-Routern koppeln?
Hallo
also die Frage zur Segmentierung wurde soweit ich sehe schon beantwortet, bedeutet tatsächlich nicht getrennte Nummernblöcke sondern durch Router (Layer3) getrennt. Sorry für die Unklarheiten.
In deinem Fall würde ich die Gebäude per Router/Firewall trennen sodass ein Virus-Problem z.B. nicht ohne weiteres in das Produktionsnetz kommt. Eventuell könnte man noch die WLANs in ein Subnetz/Segment stopfen welches ebenfalls per Firewall/Router getrennt ist, hängt aber davon ab ob sich die Zugriffe schön reglementieren lassen. Was bei 50 Server auch sinnvoll wäre ist wie gesagt ein Server-Backbone, d.h. alle Server die nicht direkt von den Clients im Zugriff sein müssen in ein getrenntes Netz und die Server die darauf zugreifen müssen als Dual-Homed (zwei Netzwerkanschlüsse) ausführen. In diesem Netz kann dann auch z.b. der Backup Server oder ähnliches stehen der i.d.R. nur mit den Servern sprechen muss.
Das Gebäude 1 würde ich (bis auf den Serverraum) nicht segmentieren, ob du dort unterschiedliche IP-Bereiche verwendest ist Geschmackssache.
Weitere Unterteilung würde ich nur dann vornehmen wenn konkrete Sicherheitsbedenken bestehen z.b. Abschottung der Drucker oder des WLAN.
Kommt dann aber auf den Einzelfall an.
Gruß
Andi
also die Frage zur Segmentierung wurde soweit ich sehe schon beantwortet, bedeutet tatsächlich nicht getrennte Nummernblöcke sondern durch Router (Layer3) getrennt. Sorry für die Unklarheiten.
In deinem Fall würde ich die Gebäude per Router/Firewall trennen sodass ein Virus-Problem z.B. nicht ohne weiteres in das Produktionsnetz kommt. Eventuell könnte man noch die WLANs in ein Subnetz/Segment stopfen welches ebenfalls per Firewall/Router getrennt ist, hängt aber davon ab ob sich die Zugriffe schön reglementieren lassen. Was bei 50 Server auch sinnvoll wäre ist wie gesagt ein Server-Backbone, d.h. alle Server die nicht direkt von den Clients im Zugriff sein müssen in ein getrenntes Netz und die Server die darauf zugreifen müssen als Dual-Homed (zwei Netzwerkanschlüsse) ausführen. In diesem Netz kann dann auch z.b. der Backup Server oder ähnliches stehen der i.d.R. nur mit den Servern sprechen muss.
Das Gebäude 1 würde ich (bis auf den Serverraum) nicht segmentieren, ob du dort unterschiedliche IP-Bereiche verwendest ist Geschmackssache.
Weitere Unterteilung würde ich nur dann vornehmen wenn konkrete Sicherheitsbedenken bestehen z.b. Abschottung der Drucker oder des WLAN.
Kommt dann aber auf den Einzelfall an.
Gruß
Andi
Hallo
zu a.) Solange du deinen Router(?) nicht so einstellst das er DHCP Brücke spielt sollte es i.O. sein. Ist es allerdings ein Layer3 fähiger Switch musst du DHCP per VLAN einschränken. Ein Router arbeitet i.d.R. *nur* auf Layer 3, ein entsprechender Switch *kann* auch Layer 3.
zu b.) Geht erstmal nicht, da weder Client noch Server erstmal erkennen zu welchem Netz sie gehören.
Lässt sich umgehen indem man entweder die Stationen anhand der MAC Adresse in die passenden Netze zwängt (Fehleranfällig!!!) oder einen DHCP Server mit zwei Interfaces verwendet der in der Lage ist die Bereiche pro Interface zu verwalten
Zum Rest: Zumindest die Workstation/Clients werden eventuell etwas mehr als 255 Adressen brauchen...
Zu den vielen Segmenten: Jedes Segement will verwaltet werden, der Traffic über Segmentgrenzen geht i.d.R. über *einen* Router Port und Segmentübergreifende Dienste sind eher unschön zu machen --> KISS (Keep IT Small&Simple).
Gruß
Andi
zu a.) Solange du deinen Router(?) nicht so einstellst das er DHCP Brücke spielt sollte es i.O. sein. Ist es allerdings ein Layer3 fähiger Switch musst du DHCP per VLAN einschränken. Ein Router arbeitet i.d.R. *nur* auf Layer 3, ein entsprechender Switch *kann* auch Layer 3.
zu b.) Geht erstmal nicht, da weder Client noch Server erstmal erkennen zu welchem Netz sie gehören.
Lässt sich umgehen indem man entweder die Stationen anhand der MAC Adresse in die passenden Netze zwängt (Fehleranfällig!!!) oder einen DHCP Server mit zwei Interfaces verwendet der in der Lage ist die Bereiche pro Interface zu verwalten
Zum Rest: Zumindest die Workstation/Clients werden eventuell etwas mehr als 255 Adressen brauchen...
Zu den vielen Segmenten: Jedes Segement will verwaltet werden, der Traffic über Segmentgrenzen geht i.d.R. über *einen* Router Port und Segmentübergreifende Dienste sind eher unschön zu machen --> KISS (Keep IT Small&Simple).
Gruß
Andi
Hallo,
was du meinst ist "IP helper"
Eine suche nach "subnetting Tutorial" findet 178.000 Treffer, da sollte was passendes dabei sein.
Ein Schema oder Grundsätzliche Aussage dazu sind relativ schwierig da die Struktur entweder auf jede Firma mit den jeweiligen Ansprüchen zugeschnitten ist, oder, es sich um eine gewachsene, gelebte Struktur handelt.
Empfehlenswert ist hier wieder mal das BSI
Die common criteria sind trocken aber informativ.
brammer
was du meinst ist "IP helper"
Eine suche nach "subnetting Tutorial" findet 178.000 Treffer, da sollte was passendes dabei sein.
Ein Schema oder Grundsätzliche Aussage dazu sind relativ schwierig da die Struktur entweder auf jede Firma mit den jeweiligen Ansprüchen zugeschnitten ist, oder, es sich um eine gewachsene, gelebte Struktur handelt.
Empfehlenswert ist hier wieder mal das BSI
Die common criteria sind trocken aber informativ.
brammer