media0815
Goto Top

Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?

Hallo,
mal eine ketzerische Frage:
Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: Reicht es für kleine Firmennetzwerke (z.b. weniger als 200 Geräte) nicht völlig aus, immer die Subnetzmaske 255.255.255.0 (bzw. in anderer Schreibweise /24 ) zu verwenden und bei einer gewünschten Trennung einfach verschiedene Netzwerke zu verwenden?

Beispiel:
Nehmen wir an, ich möchte mein Netzwerk aus Sicherheitsgründen in ein PC-Netzwerk, ein Drucker-Netzwerk und ein Gast-Netzwerk unterteilen. In diesem Artikel hier werden dafür erst kompliziert Subnetzmasken berechnet und die dann den Netzwerkbereichen zugewiesen. Ok, kann man machen. Aber wieso so kompliziert?
Wieso sag ich nicht einfach:
Das PC-Netzwerk hat die IP 192.168.1.x
das Drucker-Netzwerk hat die IP 192.168.2.x
und das Gast Netzwerk die IP 192.168.3.x,
und alle drei verwenden die Subnetz-Maske 255.255.255.0.
Diese Standard-Subnetzmarke legt ja fest, dass die ersten drei Oktette meiner IP-Adresse das Netzwerk definieren und nur das letzte Oktett für die einzelnen Geräte zur Verfügung steht. Die Subnetzmaske sorgt in meinem Beispiel also dafür dass es sich einfach um drei getrennte Netzwerke handelt. Die Geräte können also (ohne Router) nicht miteinander kommunizieren, richtig? Damit habe ich ja mein Ziel erreicht, ganz ohne verschiedene Subnetzmasken! Und in jedem Netzwerk stehen mir 254 IP-Adressen zur Verfügung, was mehr als ausreicht. Und mit diesem Vorgehen könnte ich mir 254 getrennte Netze aufbauen, was ebenfalls mehr als ausreicht.

Warum also sollte ich mir über Subnetzmasken überhaupt Gedanken machen, und nicht einfach die Standardmaske /24 immer verwenden?

Hintergrund:
Ich administriere seit Jahren nebenbei ein paar kleinere Netzwerke (<15 Mitarbeiter) und würde sagen, dass ich in der Praxis bisher immer alles hinbekommen habe. Allerdings fehlen mir halt theoretische Grundlagen bzgl. dem Aufbau von IP Adressen und Subnetzmasken, weil mir das nie jemand erklärt hat. Darum hab ich mich da jetzt mal ein bisschen eingelesen. Die ganzen Berechnungen der Adressen im Binärsystem versteh ich nur so ungefähr, diese Hintergrundinfos sind mir aber ehrlich gesagt recht egal. Ich will eigentlich nur wissen, was für meine Praxis relevant ist, die Informatik dahinter interessiert mich nicht wirklich. Daher meine Fragestellung.

Content-ID: 584992

Url: https://administrator.de/contentid/584992

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

certifiedit.net
certifiedit.net 04.07.2020 um 12:26:45 Uhr
Goto Top
Guten Tag,

du kannst kein IP Netzwerk OHNE Subnetzmasken erstellen. Aber da du ins Detail gehst, klar kann das Sinn machen, auch in einem 15 Personen Subnetz gibt es u.U unterschiedliche Gefährungsstufen. Bspw Server, Drucker, PCs, GF-Daten, Entwicklung. Ab wann das Sinn macht entscheidet eure Empfindung von der Gefahr.

Generell diese Frage zu beantworten macht keinen Sinn. Wenn du dir darüber nicht sicher bist, solltest du dir ggf. jemanden an die Hand holen, der dich da leiten kann und du auch die Idee bekommst, wann was Sinn macht. Es gehört dann aber auch noch mehr dazu. Denn pures Netze trennen reicht nicht, wenn intern wieder alles offen ist.

Beste Grüße,

Christian
certifiedit.net
media0815
media0815 04.07.2020 aktualisiert um 12:59:26 Uhr
Goto Top
Danke für die Antwort.

du kannst kein IP Netzwerk OHNE Subnetzmasken erstellen.
Ja das ist mir klar. Meine Frage zielt darauf ab, warum ich verschiedene Subnetzmasken bzw. eine andere als /24 verwenden sollte?

Denn pures Netze trennen reicht nicht, wenn intern wieder alles offen ist.
Was meinst du mit "intern wieder alles offen"? Du meinst, wenn ich im Router erlaube, dass z.B. IP 192.168.1.x mit IP 192.168.2.x kommunizieren darf? Das müsste ich dann natürlich unterbinden, bzw. nach Bedarf nur für bestimmte Protokolle zulassen. Das geht doch in den Routereinstellungen, würde ich denken!?
Wenn das geht, sehe ich einfach den Vorteil verschiedener Subnetzmasken im Vergleich zu getrennten Netzen nicht (außer mir würden die IP Adressen ausgehen, aber das ist ja lange nicht der Fall).
117471
117471 04.07.2020 um 12:53:01 Uhr
Goto Top
Hallo,

"eigentlich schon". Ich sehe das kritisch; genau so, wie z.B. die ausufernde Bildung von VLANs.

Das Problem: Wenn es nicht komplex genug ist, verstehen es u.U. auch Andere und der allwissende Administrator verliert automatisch den Gottesstatus.

Ernsthaft - ich habe schon Hausinstallation > VLANs gesehen. Eines für die Drucker, eines für die NAS... - man muss nicht alles benutzen, was die Technik hergibt.

Gruß,
Jörg
aqui
Lösung aqui 04.07.2020 um 12:54:00 Uhr
Goto Top
Letztlich ist das völlig Wumpe welche Maske du verwendest. Der RFC 1918 Bereich ermöglich ja nicht immer nur die dümmlichen 192.168er IPs zu verwenden sondern man kann sich da frei austoben:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Wichtig ist lediglich das man in den L2 Broadcasts Domains nicht mehr als ca. 150 Endgeräte plus minus plaziert. Mehr sollte man aus Performancegründen nicht nehmen.
Kann man das einhalten und ist die Anzahl mehr oder minder statisch kann man immer mit 24er Prefixen arbeiten.
Du hast also recht wenn du sagst das das Segmentieren an sich sinnvoller ist als die Kosmetik der Subnetzmaske.

Die meisten Laien müssen dann nicht groß rechnen und können sich leicht merken das die ersten 3 Byte immer das Netzwerk sind und das 4te dann der Hostbereich.
Außerdem kann man dann auch wunderbar eine ggf. vorhandene VLAN ID in das 3te Byte der Netzadresse kodieren sofern man segmentiert.
Letztlich allso alles Kosmetik solange man mit der Anzahl auskommt und die L2 Collision Domains nicht zu groß werden.
certifiedit.net
certifiedit.net 04.07.2020 um 12:58:38 Uhr
Goto Top
Hallo Jörg,

da darf ich dir bisweilen technisch widersprechen. Es macht durchaus Sinn.

Bspw: Drucker dürfen von Intern angesprochen werden und nur über den Printserver (es gibt immer einen, der die Drucker direkt einbinden will -> Schaust du in den Printserver - kein Fehler - am PC dann doch), dabei dürfen die Drucker dann auch nicht ins Netz. Gleichzeitig kann es auch bei einer NAS Sinnvoll sein, bspw Sicherungs-NAS - Trennung von 0-20Uhr, offen von 20-0 für den Backupzeitraum, geregelt per Firewall. Nas hat nur unidirektionalen Zugriff.

Ansonsten kannst du auch sagen, lass den Bäckerazubi hin, der macht das schon irgendwie face-wink Nicht alles, was etwas Anforderungsreicher ist, ist dazu da, dass man irgendeinen Status erwirbt. Ich würde eher in die andere Richtung tendieren. Ansonsten müsste man wohl alle NC Fächer umdefinieren...

Aber in welchem Fall setzt du VLans ein?

Grüße,

Christian
media0815
media0815 04.07.2020 aktualisiert um 13:13:30 Uhr
Goto Top
bspw Sicherungs-NAS - Trennung von 0-20Uhr, offen von 20-0 für den Backupzeitraum, geregelt per Firewall.

Ja, das klingt ja nett, aber wofür um Gotteswillen brauch ich da unbedingt verschiedene Subnetz-Masken!? Wieso kann ich die NAS nicht einfach in ein anderes Netzwerk (mit identischer Subnetzmaske /24) legen und dann der Firewall sagen: von 20:000 bis 0:00 Uhr darfst du eine Verbindung zwischen den beiden Netzen routen - sonst nicht.
certifiedit.net
certifiedit.net 04.07.2020 um 13:41:26 Uhr
Goto Top
Zitat von @media0815:

bspw Sicherungs-NAS - Trennung von 0-20Uhr, offen von 20-0 für den Backupzeitraum, geregelt per Firewall.

Ja, das klingt ja nett, aber wofür um Gotteswillen brauch ich da unbedingt verschiedene Subnetz-Masken!? Wieso kann ich die NAS nicht einfach in ein anderes Netzwerk (mit identischer Subnetzmaske /24) legen und dann der Firewall sagen: von 20:000 bis 0:00 Uhr darfst du eine Verbindung zwischen den beiden Netzen routen - sonst nicht.

Weil du normalerweise bei einem Netz von 100 Geräten keine 100 Sicherungsnas hast. Ich befürchte, du hast das Konzept von Netzmasken noch nicht verstanden?
em-pie
em-pie 04.07.2020 um 14:05:07 Uhr
Goto Top
Moin,

nicht unbedingt bei dem Beispiel aber in einem anderen Kontext ist das durchaus sinnvoll, zu segmentieren.

Vor geraumer Zeit habe ich eine kleine Kita Netzwerkseitig ausgestattet:
4 VLANs:
  • Management
  • VoIP
  • Mitarbeiter
  • Gäste

In Summe sind nicht mehr wie 30 oder 4 IP-Adressen zusammengekommen (inkl. der Gäste), aber der SIcherheit wegen ist es etabliert worden.
Gäste und VoIP darf z.B. nicht ins Management-VLAN. Gäste ohnehin nur ins WWW und untereinander auch noch gekapselt, so dass Mama Lisa mit Ihrem Tatschfon nicht das Tablet von Papa Markus sehen kenn...

Gruß
em-pie
Lochkartenstanzer
Lochkartenstanzer 04.07.2020 um 14:39:11 Uhr
Goto Top
Moin,

Solange Dein Adressraum groß genug ist und z.B. ein /24 nicht in mehrere Subnetze aufspalten mußt, kannst Du durchaus mit /24-Masken arbeiten. Wichtig wird das, wenn Du z.B. ein /28 mit öffentlichen IP-Adresen vom Provider bekommst und das in Bereiche unterteilen mußt, weil Du DMZs mit verschiedenen Sicherheitsstufen brauchst.

Wichtig wird die veränderte Netzmaske auch, wenn Du z.B. Routingtabellen effizient verwalten willst und dort Subnetze zusammenfaßt, um nur einen Eintrag statt 4 oder 8 zu pflegen. Das kann z.B passieren, wenn Du zwei Standorte, die mehrere IP-Netze haben, per VPN verbinden willst.

lks
aqui
aqui 04.07.2020 um 15:29:47 Uhr
Goto Top
wenn Du z.B. Routingtabellen effizient verwalten willst und dort Subnetze zusammenfaßt,
Sehr guter und auch wichtiger Punkt ! Ist im Eifer des Gefechts oben fast untergegengen.
certifiedit.net
certifiedit.net 04.07.2020 um 15:34:43 Uhr
Goto Top
Zitat von @aqui:

wenn Du z.B. Routingtabellen effizient verwalten willst und dort Subnetze zusammenfaßt,
Sehr guter und auch wichtiger Punkt ! Ist im Eifer des Gefechts oben fast untergegengen.

Gibt noch weitere, Organisatorische und techn. Gründe.
Lochkartenstanzer
Lochkartenstanzer 04.07.2020 um 17:52:54 Uhr
Goto Top
Zitat von @certifiedit.net:

Zitat von @aqui:

wenn Du z.B. Routingtabellen effizient verwalten willst und dort Subnetze zusammenfaßt,
Sehr guter und auch wichtiger Punkt ! Ist im Eifer des Gefechts oben fast untergegengen.

Gibt noch weitere, Organisatorische und techn. Gründe.


War ja auch nur ein Beispiel von vielen.

lks
brammer
Lösung brammer 04.07.2020 um 21:11:14 Uhr
Goto Top
Hallo,

letztendlich kannst du als Maske immer eine /24 verwenden.
Andere Masken mach Sinn wenn man größere Mengen an Netzen verwendet.
oder wenn man mit tranfernetzen arbeitet.
In kleineren Netzwerken kann man durchgängig /24 verwenden. Man sollte halt bedenken das die Anzahl der Netze begrenzt ist.

brammer
BernhardMeierrose
BernhardMeierrose 05.07.2020 um 12:43:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Wichtig wird die veränderte Netzmaske auch, wenn Du z.B. Routingtabellen effizient verwalten willst und dort Subnetze zusammenfaßt, um nur einen Eintrag statt 4 oder 8 zu pflegen. Das kann z.B passieren, wenn Du zwei Standorte, die mehrere IP-Netze haben, per VPN verbinden willst.

Moin

Das wäre für mich schon eher ein Grund, lieber mit Standard /24ern zu arbeiten weil dann eben nicht pauschal alle Subnetze geroutet werden sondern der Admin eine bewusste Entscheidung treffen muss, ob denn z.B. die Drucker wirklich Internet-Zugriff brauchen (bzw. dort dedizierte Ziele für das Netz einstellen kann)
Und wenn man es effizient für alle Netze machen möchte, kann ich dann immer noch mit ner /22er oder /21er SN beim Routing arbeiten.

Gruß
Bernhard
aqui
aqui 05.07.2020 aktualisiert um 16:08:36 Uhr
Goto Top
mit Standard /24ern zu arbeiten
Was sind denn "Standard /24er" ???
Standards in dem Sinne gibts bei der Maskierung schon seit fast 30 Jahren nicht mehr !! face-wink
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
brammer
brammer 05.07.2020 um 17:18:17 Uhr
Goto Top
Hallo,

lieber mit Standard /24ern zu arbeiten weil dann
eben nicht pauschal alle Subnetze geroutet werden
sondern der Admin eine bewusste Entscheidung
treffen muss, 

Ob ein Netz geroutet wird hängt doch in keiner Weise mit der Netzwerkmaske zusammen. Oder verstehe ich die Abhängigkeit nur nicht?
Ob man ein Netz routet hängt von der Notwendigkeit und der Sicherheit ab.

brammer
erikro
Lösung erikro 05.07.2020 um 23:34:37 Uhr
Goto Top
Moin,

Zitat von @media0815:
mal eine ketzerische Frage:
Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: Reicht es für kleine Firmennetzwerke (z.b. weniger als 200 Geräte) nicht völlig aus, immer die Subnetzmaske 255.255.255.0 (bzw. in anderer Schreibweise /24 ) zu verwenden und bei einer gewünschten Trennung einfach verschiedene Netzwerke zu verwenden?

Ich glaube, die Einwände der Kollegen gehen am Kern der Frage vorbei. Du willst ja nicht wissen, ob das Segmentieren der lokalen Netze an sich sinnvoll ist, sondern ob man es so kompliziert machen muss, wie es in der Hausaufgabe, die Du angegeben hast, beschrieben ist. Bei den von Dir beschriebenen Dimensionen würde ich klar und deutlich sagen: Nein, das muss man nicht so kompliziert machen, sondern kann durchaus die ehemaligen Standardmasken benutzen. Ich würde aber nicht die 168er Netze nehmen, sondern aus dem 172er-Bereich eins nehmen und daraus die Subnetze bauen. Einfach deshalb, weil man damit die Wahrscheinlichkeit, dass man bei VPN einen Adresskonflikt hat ausgelöst durch ein Netz, auf das man keinen Einfluss hat (z. B. privates Netz des Mitarbeiters, Hotelnetz), deutlich senkt. Aber es spricht m. E. nichts dagegen, dann z. B. 172.20.1.0/24, 172.20.2.0/24, 172.20.3.0/24 usw. zu nehmen.

Liebe Grüße

Erik
aqui
aqui 06.07.2020 um 15:21:29 Uhr
Goto Top
sondern ob man es so kompliziert machen muss, wie es in der Hausaufgabe,
Zumindestens hier kam das auch so an. Deshalb ja auch die Antwort rein nur auf die eigentliche Kosmetik bezogen.
Der Rest absolut d'accord.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 07.07.2020 aktualisiert um 01:15:23 Uhr
Goto Top
ist immer eine klassische Kursfrage... dessen Auflösung meist jene ist daß man ein /8 Netz in /24er Subnetze unterteilt und da es keine öffentlichen IP Adreßräume mehr gibt, noch nicht mal mehr /24 kann man das nur noch mit privaten IP Addressen durchspielen.

Und ich war mal in einer Firma, wo der Netzwerkadmin gefeuert wurde, nachdem in dem von ihm geplanten Netz 254 von 254 IP Addressen verbraucht waren und auf die Frage, wie man denn nun die nächsten 10 Arbeitsplätze einbindet, keine Antwort hatte.

Und wenn der Kurs lang genug ist dann diskutiert man auch noch Subnetzmasken in denen Einsen und Nullen gemischt sind.

Also z.B. 255.255.170.0

Mein damaliger Dozent (ist schon 30 Jahre her) meinte das wäre eine gute Jobsicherung face-smile
erikro
erikro 07.07.2020 um 10:05:40 Uhr
Goto Top
Moin,

Zitat von @GrueneSosseMitSpeck:
Also z.B. 255.255.170.0

Mein damaliger Dozent (ist schon 30 Jahre her) meinte das wäre eine gute Jobsicherung face-smile

Aufgabe: wie lauten die Subnetzmaske, Netzadresse und Broadcastadresse, wenn alle ungeraden durch drei teilbare Oktette in einem Netz sind. face-wink
aqui
aqui 07.07.2020 um 10:46:38 Uhr
Goto Top
und auf die Frage, wie man denn nun die nächsten 10 Arbeitsplätze einbindet, keine Antwort hatte.
Das war dann auch kein Netzwerk Admin ! face-wink
Lochkartenstanzer
Lochkartenstanzer 07.07.2020 aktualisiert um 11:03:47 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:

Und ich war mal in einer Firma, wo der Netzwerkadmin gefeuert wurde, nachdem in dem von ihm geplanten Netz 254 von 254 IP Addressen verbraucht waren und auf die Frage, wie man denn nun die nächsten 10 Arbeitsplätze einbindet, keine Antwort hatte.

Das war ganz sicher kein Netzwerkadmin, sondern nur einer, der dazu ausgedeutet wurde, weil er der einzige war, der eine IP-Adresse eintippen konnte und wußte wie ein Patchkabel aussieht.

Und wenn der Kurs lang genug ist dann diskutiert man auch noch Subnetzmasken in denen Einsen und Nullen gemischt sind.

Also z.B. 255.255.170.0

So wie einen Netzwerkmaske funktioniert, könnte man prinzipiell auch mit Masken arbeiten, die "Löcher" haben. Dann wären die Adressen nur anders sortiert und nicht fortlaufend. Z.B. mit 255.255.255.1 oder 255.255.255.2 als Maske könnte man ein /24 in Subnetze mit nur geraden oder nur ungeraden IP-Adressen aufteilen.

Allerdings bringt das nur Nachteile, weil die Adressrechnung unnötig verkompliziert wird. Außerdem wird es so schwieriger, IP-Netze disjunkt zu halten, weil man nicht mehr auf den ersten Blick sieht, daß ein Netz Teil eines anderen ist.

Mein damaliger Dozent (ist schon 30 Jahre her) meinte das wäre eine gute Jobsicherung face-smile

Aber nur solange keiner drafuguckt, der sich mit sowas auskennt. Sobald das passiert, fliegt man wegen Inkompetenz.

lks
brammer
brammer 07.07.2020 um 11:14:06 Uhr
Goto Top
Zitat von @erikro:

Moin,

Aufgabe: wie lauten die Subnetzmaske, Netzadresse und Broadcastadresse, wenn alle ungeraden durch drei teilbare Oktette in einem Netz sind.
face-wink

@erikro
hier sind die Zahlen die du haben wolltest...
3 9 15 21 27
33 39 45 51 57
63 69 75 81 87
93 99 105 111 117
123 129 135 141 147
153 159 165 171 177
183 189 195 201 207
213 219 225 231 237
243 249 255

die Netze bastelst du dir dann bitte selber zusammen.

brammer
media0815
media0815 08.07.2020 aktualisiert um 12:52:25 Uhr
Goto Top
Danke für alle Antworten!

Ich fasse zusammen:
Es gibt viele gute Gründe ein Netz zu segmentieren.
Und es gibt mehrere Möglichkeiten dies zu tun, so dass die Geräte untereinander nicht (ohne Routing) kommunizieren können:
a) Unterschiedliche Netzwerkadressen mit selber Subnet-Maske, z.B. 192.168.1.0/24 , 192.168.2.0/24 , 192.168.3.0/24 ...
b) Unterschiedliche Subnetmasken verwenden.
c) Trennung über VLANs herstellen (sofern Router und Switches das unterstützen).
d) vielleicht gibt es noch weitere Möglichkeiten, die hier nicht angesprochen wurden, aber egal.

Für Anfänger-Admins und kleine Netzwerke im private IP- Bereich, für die man mehr als ausreichend Adressen zur Verfügung hat, reicht Möglichkeit a) vollkommen aus. Ich werde also weiterhin Möglichkeit a) zum Einsatz bringen und stets die /24er Maske (also 255.255.255.0) verwenden. Man muss es ja nicht komplizierter machen als notwendig.
brammer
brammer 08.07.2020 um 13:40:10 Uhr
Goto Top
Hallo,

Man muss es ja nicht komplizierter machen als notwendig.

wenn man das Prinzip der Netzwerksegmentierung verstanden hat, ist die Verwendung von unterschiedlichen Netzwerkmasken überhaupt nicht kompliziert. Basis ist natürlich, wie immer, ein sauberes Konzept und eine vollständige Dokumentation.

brammer