Wenige Dinge sind in der Infrastrukturverwaltung so grundlegend wie Subnetzmasken — und wenige werden so oberflächlich verstanden. Jeder, der schon einmal eine Netzwerkschnittstelle konfiguriert hat, hat 255.255.255.0 fast automatisch eingegeben. Aber wenn es darum geht, die Netzwerkarchitektur einer Produktionsumgebung zu entwerfen, den Datenverkehr zwischen VLANs zu segmentieren, Subnetze für ein Private-Cloud-Deployment zu dimensionieren oder herauszufinden, warum eine Firewall nicht durchlässt, was sie sollte, macht ein echtes Verständnis der Funktionsweise von Subnetzmasken den Unterschied zwischen einer durchdachten Infrastruktur und einer dauerhaften Quelle von Störungen.
Dieser Leitfaden behandelt das Konzept von den Grundlagen bis zu den praktischen Szenarien, die im täglichen Betrieb von Rechenzentren und Cloud-Umgebungen vorkommen — einschließlich Referenztabellen, Berechnungsbeispielen und der häufigsten Fehler.
Was ist eine Subnetzmaske und warum ist sie in der Infrastruktur wichtig
Eine Subnetzmaske ist ein 32-Bit-Wert, der eine IP-Adresse in zwei Teile trennt: den Teil, der das Netzwerk identifiziert, und den Teil, der den Host identifiziert (das konkrete Gerät innerhalb dieses Netzwerks). Sie ist im Wesentlichen das Werkzeug, das einem Betriebssystem, einem Switch oder einem Router mitteilt, ob ein Paket im lokalen Netzwerk bleiben oder über das Standard-Gateway weitergeleitet werden soll.
In binärer Darstellung ist eine Subnetzmaske immer eine Folge von zusammenhängenden Einsen gefolgt von zusammenhängenden Nullen. Die Einsen markieren die Netzwerk-Bits, die Nullen die Host-Bits. Ohne Ausnahme — obwohl es, wie wir später sehen werden, eine Zeit gab, in der es Ausnahmen gab.
Zwei Schreibweisen für dasselbe:
- Dezimale Punktnotation:
255.255.255.0 - CIDR-Notation:
/24
Beide stellen exakt dasselbe dar: Die ersten 24 Bits sind Netzwerk, die restlichen 8 sind Host.
So funktioniert es intern: die AND-Verknüpfung
Wenn ein Gerät feststellen muss, ob eine Ziel-IP-Adresse im eigenen Netzwerk liegt, vergleicht es die Adressen nicht „auf Sicht“. Es führt eine logische AND-Verknüpfung zwischen der eigenen IP-Adresse und der Maske durch und macht dasselbe mit der Ziel-IP. Stimmen die Ergebnisse überein, wird das Paket direkt gesendet. Andernfalls geht es über das Gateway.
Praktisches Beispiel mit der IP 192.168.1.45 und der Maske 255.255.255.0:
IP: 11000000.10101000.00000001.00101101 (192.168.1.45)
Maske: 11111111.11111111.11111111.00000000 (255.255.255.0)
────────────────────────────────────
AND: 11000000.10101000.00000001.00000000 → 192.168.1.0
Das Ergebnis — 192.168.1.0 — ist die Netzwerkadresse. Wenn ein anderes Gerät bei Anwendung seiner Maske dasselbe Ergebnis erhält, befinden sich beide im selben Subnetz.
Dieser scheinbar einfache Mechanismus ist es, der die gesamte IP-Kommunikation funktionieren lässt: vom einfachsten Heimnetzwerk bis zur Netzwerkarchitektur eines Rechenzentrums mit Hunderten von VLANs.
Vollständige Subnetzmasken-Tabelle: von /32 bis /0
Die folgende Tabelle ist eine Referenz, die man immer griffbereit haben sollte. Sie enthält die CIDR-Notation, die Maske in Dezimalschreibweise, die Gesamtanzahl der IPs, die nutzbaren Hosts (abzüglich Netzwerkadresse und Broadcast) sowie den häufigsten Einsatzzweck in realen Infrastrukturumgebungen.
| CIDR | Dezimale Maske | Gesamt-IPs | Nutzbare Hosts | Typischer Einsatz |
|---|---|---|---|---|
| /32 | 255.255.255.255 | 1 | 1 | Host-Route, Loopback, Firewall-Regeln |
| /31 | 255.255.255.254 | 2 | 2* | Punkt-zu-Punkt-Verbindungen (RFC 3021) |
| /30 | 255.255.255.252 | 4 | 2 | Router-zu-Router-Verbindungen |
| /29 | 255.255.255.248 | 8 | 6 | DMZ-Segment, kleiner öffentlicher IP-Block |
| /28 | 255.255.255.240 | 16 | 14 | Kleiner öffentlicher IP-Pool, Management |
| /27 | 255.255.255.224 | 32 | 30 | Management-Netzwerk, kleines Büro |
| /26 | 255.255.255.192 | 64 | 62 | Abteilungs-VLAN, Server-Segment |
| /25 | 255.255.255.128 | 128 | 126 | Mittleres Server-Subnetz |
| /24 | 255.255.255.0 | 256 | 254 | Standard-LAN, typisches VLAN |
| /23 | 255.255.254.0 | 512 | 510 | Großes LAN, Campus |
| /22 | 255.255.252.0 | 1.024 | 1.022 | Campus, Unternehmens-WLAN |
| /21 | 255.255.248.0 | 2.048 | 2.046 | Großer Campus |
| /20 | 255.255.240.0 | 4.096 | 4.094 | ISP, Cloud-Anbieter |
| /19 | 255.255.224.0 | 8.192 | 8.190 | ISP-Block |
| /18 | 255.255.192.0 | 16.384 | 16.382 | ISP-Block |
| /17 | 255.255.128.0 | 32.768 | 32.766 | ISP-Block |
| /16 | 255.255.0.0 | 65.536 | 65.534 | Großes Unternehmensnetzwerk |
| /12 | 255.240.0.0 | 1.048.576 | 1.048.574 | Privater Bereich Klasse B (172.16.0.0/12) |
| /8 | 255.0.0.0 | 16.777.216 | 16.777.214 | Privater Bereich Klasse A (10.0.0.0/8) |
| /0 | 0.0.0.0 | 4.294.967.296 | — | Standardroute (Default Route) |
* Die /31-Maske, definiert in RFC 3021, reserviert weder Netzwerkadresse noch Broadcast-Adresse. Sie wird von modernen Routern weitgehend unterstützt und spart gegenüber /30 eine Adresse pro Punkt-zu-Punkt-Verbindung — was sich summiert, wenn man Hunderte von Verbindungen in einem Rechenzentrum verwaltet.
Dezimal-Binär-Umrechnung: die Werte, die in jedem Oktett vorkommen
| Dezimal | Binär | Netzwerk-Bits |
|---|---|---|
| 0 | 00000000 | 0 |
| 128 | 10000000 | 1 |
| 192 | 11000000 | 2 |
| 224 | 11100000 | 3 |
| 240 | 11110000 | 4 |
| 248 | 11111000 | 5 |
| 252 | 11111100 | 6 |
| 254 | 11111110 | 7 |
| 255 | 11111111 | 8 |
Dies sind die einzig gültigen Werte, die in einem Oktett einer Subnetzmaske vorkommen können. Wenn jemand einen anderen Wert konfiguriert (z. B. 255.255.255.200), ist die Konfiguration fehlerhaft.
Die am häufigsten verwendeten Masken in professionellen Umgebungen
Nicht alle Masken werden gleich häufig eingesetzt. In der Praxis von Rechenzentren und Cloud-Infrastrukturen sind es die folgenden, die immer wieder vorkommen:
/24 — Die Standardmaske
Die gebräuchlichste in LANs und VLANs. Sie bietet 254 Hosts und eignet sich für die meisten Segmente eines Unternehmensnetzwerks: Arbeitsplatzrechner, Server in einem Rack, Management-Netzwerke oder Storage-VLANs.
Beispiel: 10.10.5.0/24 umfasst den Bereich von 10.10.5.1 bis 10.10.5.254, mit Broadcast bei 10.10.5.255.
/25 — Ein /24 in zwei Hälften teilen
Wenn ein /24 zu groß ist und zwei Umgebungen getrennt werden müssen (z. B. Produktion und Staging), teilt ein /25 den Block in zwei Subnetze mit je 126 Hosts.
| Subnetz | Bereich | Hosts |
|---|---|---|
| 10.10.5.0/25 | .1 – .126 | 126 |
| 10.10.5.128/25 | .129 – .254 | 126 |
/26 — Vier Segmente pro /24
Ideal, um VLANs innerhalb eines einzelnen Blocks zu trennen, wenn kleinere Segmente benötigt werden: Server-Netzwerk, Management-Netzwerk, Monitoring-Netzwerk und Benutzer-Netzwerk, jeweils mit bis zu 62 Hosts.
| Subnetz | Netzwerkadresse | Erster Host | Letzter Host | Broadcast |
|---|---|---|---|---|
| 1 | 10.10.5.0/26 | 10.10.5.1 | 10.10.5.62 | 10.10.5.63 |
| 2 | 10.10.5.64/26 | 10.10.5.65 | 10.10.5.126 | 10.10.5.127 |
| 3 | 10.10.5.128/26 | 10.10.5.129 | 10.10.5.190 | 10.10.5.191 |
| 4 | 10.10.5.192/26 | 10.10.5.193 | 10.10.5.254 | 10.10.5.255 |
/27 — Segmente mit 30 Hosts
Häufig eingesetzt für Management-Netzwerke (iDRAC/IPMI, Switches, intelligente PDUs), in denen nur wenige Dutzend Geräte vorhanden sind und eine reduzierte Broadcast-Domäne erwünscht ist.
/28 — Kleine öffentliche IP-Blöcke
Wenn ein Anbieter einem Kunden einen Block öffentlicher IPs zuweist, ist /28 (14 Hosts) eine der gebräuchlichsten Einheiten. Wird auch für DMZs mit wenigen exponierten Diensten verwendet.
/30 und /31 — Punkt-zu-Punkt-Verbindungen
In jedem Rechenzentrumsnetzwerk mit mehreren miteinander verbundenen Routern oder Firewalls verwenden die Verbindungen zwischen ihnen /30 (2 Hosts) oder /31 (2 Hosts ohne Verschwendung). In einer Infrastruktur mit 50 Verbindungen ergibt die Differenz zwischen /30 und /31 insgesamt 50 eingesparte IP-Adressen — ein Wert, der im großen Maßstab zählt.
/32 — Der einzelne Host
Kein „Subnetz“ im eigentlichen Sinne: Es identifiziert eine einzelne IP-Adresse. Verwendet in Host-Routen (statische Routen zu einem bestimmten Host), spezifischen Firewall-Regeln, Loopback-Interfaces von Routern und bei der IP-Zuweisung in Punkt-zu-Mehrpunkt-Netzwerken.
Netzwerkplanung mit VLSM: ein praxisnahes Beispiel
In einer Produktionsinfrastruktur benötigen selten alle Subnetze die gleiche Größe. Die Technik VLSM (Variable Length Subnet Mask — Subnetzmaske mit variabler Länge) ermöglicht es, jedem Segment genau die Maske zuzuweisen, die es benötigt, und so die Adressnutzung zu optimieren.
Szenario: Ein Unternehmen verfügt über den zugewiesenen Block 172.16.10.0/24 und benötigt:
- Produktionsserver: 100 Hosts
- Benutzernetzwerk: 50 Hosts
- Management-/IPMI-Netzwerk: 20 Hosts
- DMZ: 10 Hosts
- Zwei WAN-Verbindungen: je 2 Hosts
Die Zuweisung — immer mit dem größten Subnetz beginnend — wäre:
| Segment | Benötigte Hosts | CIDR | Maske | Verfügbare Hosts | Zugewiesenes Netzwerk |
|---|---|---|---|---|---|
| Produktion | 100 | /25 | 255.255.255.128 | 126 | 172.16.10.0/25 |
| Benutzer | 50 | /26 | 255.255.255.192 | 62 | 172.16.10.128/26 |
| Management | 20 | /27 | 255.255.255.224 | 30 | 172.16.10.192/27 |
| DMZ | 10 | /28 | 255.255.255.240 | 14 | 172.16.10.224/28 |
| WAN 1 | 2 | /30 | 255.255.255.252 | 2 | 172.16.10.240/30 |
| WAN 2 | 2 | /30 | 255.255.255.252 | 2 | 172.16.10.244/30 |
Von den 256 Adressen des ursprünglichen Blocks werden 238 mit minimalem Verlust genutzt. Ohne VLSM müsste man jedem Segment ein /24 zuweisen — also sechs /24-Blöcke statt eines einzigen.
Wildcard-Maske: die Kehrseite der Subnetzmaske
In ACL-Konfigurationen (Access Control Lists) auf Routern und Switches sowie in Protokollen wie OSPF wird nicht die Subnetzmaske direkt verwendet, sondern deren Invertierung: die Wildcard-Maske.
Die Berechnung ist einfach: 255.255.255.255 - Subnetzmaske = Wildcard.
| Subnetzmaske | Wildcard |
|---|---|
| 255.255.255.255 (/32) | 0.0.0.0 |
| 255.255.255.252 (/30) | 0.0.0.3 |
| 255.255.255.240 (/28) | 0.0.0.15 |
| 255.255.255.0 (/24) | 0.0.0.255 |
| 255.255.0.0 (/16) | 0.0.255.255 |
Cisco-ACL-Beispiel: Datenverkehr vom Server-Netzwerk 172.16.10.0/25 erlauben:
access-list 100 permit ip 172.16.10.0 0.0.0.127 any
OSPF-Beispiel: Das Management-Netzwerk 172.16.10.192/27 ankündigen:
router ospf 1
network 172.16.10.192 0.0.0.31 area 0
Schnelle Berechnungsformeln
Zwei Formeln, die man verinnerlichen sollte:
Nutzbare Hosts pro Subnetz:
2^(32 - CIDR-Präfix) - 2
Anzahl der Subnetze bei Aufteilung eines Blocks:
2^(neues_Präfix - ursprüngliches_Präfix)
Schnelle Beispiele:
- Wie viele Hosts passen in ein /27? → 2^(32-27) – 2 = 30
- In wie viele /28 kann ich ein /24 aufteilen? → 2^(28-24) = 16 Subnetze
- Ich benötige mindestens 500 Hosts: 2^n ≥ 502 → n = 9 → /23
Routenaggregation (Supernetting)
CIDR ermöglicht nicht nur die Aufteilung von Netzwerken in kleinere Subnetze, sondern auch die Zusammenfassung mehrerer Netzwerke in einer größeren Ankündigung. Dies ist entscheidend, um Routing-Tabellen handhabbar zu halten, insbesondere bei BGP.
Beispiel: Anstatt vier separate Routen anzukündigen:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
Kann eine einzige zusammengefasste Route angekündigt werden: 192.168.0.0/22, was die Last auf den benachbarten Routern reduziert. Dies funktioniert nur, wenn die Netzwerke zusammenhängend sind und an einer Zweierpotenz-Grenze ausgerichtet sind.
Private Adressen (RFC 1918) und CGNAT
Drei Adressblöcke sind für den internen Gebrauch reserviert und werden nicht im öffentlichen Internet geroutet:
| Block | CIDR | Hosts gesamt | Typischer Einsatz |
|---|---|---|---|
| 10.0.0.0 – 10.255.255.255 | 10.0.0.0/8 | 16.777.214 | Große Unternehmensnetzwerke, Private Cloud, Rechenzentren |
| 172.16.0.0 – 172.31.255.255 | 172.16.0.0/12 | 1.048.574 | Mittelgroße Netzwerke, Infrastruktur-Segmente |
| 192.168.0.0 – 192.168.255.255 | 192.168.0.0/16 | 65.534 | Heimnetzwerke, kleine Büros |
Darüber hinaus ist der Block 100.64.0.0/10 für CGNAT (Carrier-Grade NAT, RFC 6598) reserviert — eine Technik, die von ISPs genutzt wird, um öffentliche IPs unter mehreren Kunden aufzuteilen. Dieser Bereich sollte nicht in eigenen internen Netzwerken verwendet werden, um Konflikte zu vermeiden.
Kurze Geschichte: von flachen Netzwerken zu CIDR
IP-Adressierung hat nicht immer so funktioniert wie heute:
1970er Jahre: IP-Netzwerke waren flach. Es wurden stets 8 Bits für das Netzwerk und 24 für den Host angenommen. Im gesamten Internet waren lediglich 256 Netzwerke möglich.
1981 (RFC 791): Jon Postel führt die Klassen A, B und C ein. Die Maske wurde implizit aus der Klasse abgeleitet. Das Problem: Eine mittelgroße Organisation benötigte eine Klasse B (65.534 Hosts), weil Klasse C (254 Hosts) zu klein war — und verschwendete damit Tausende von Adressen.
1985 (RFC 950): Subnetzmasken werden formalisiert und ermöglichen die Aufteilung von Netzwerken in kleinere Subnetze.
1993 (RFC 1519): Geburt von CIDR (Classless Inter-Domain Routing), das den Klassenbegriff abschafft und VLSM einführt. Dies ist das heute gültige System — und dasjenige, das IPv4 deutlich länger überleben ließ als erwartet.
Ein interessantes historisches Detail: In den Anfangsjahren erforderten Masken keine zusammenhängenden Bits. Eine Maske wie 255.255.192.128 war vollkommen gültig. Diese Praxis wurde Anfang der 1990er Jahre aufgegeben, da sie ein effizientes Longest Prefix Match-Routing rechnerisch unpraktikabel machte.
Subnetzmasken in IPv6
In IPv6 gibt es keine dezimale Maskennotation. Es wird ausschließlich die Präfix-Notation verwendet, die CIDR entspricht:
2001:0db8:85a3::1/64
Das gebräuchlichste Präfix ist /64 für lokale Netzwerke (2^64 = 18,4 Trillionen Adressen pro Subnetz — mehr als genug für jedes Szenario). ISPs erhalten /32– oder /48-Blöcke von den regionalen Registrierungsstellen (RIPE, ARIN, LACNIC usw.).
In der Praxis ist die Subnetz-Planung in IPv6 einfacher als in IPv4: Der Überfluss an Adressen macht das feingliedrige Subnetting überflüssig, das die Beherrschung von VLSM in IPv4 unabdingbar macht.
Subnetzmaske prüfen: schnelle Befehle
Linux (die Maske erscheint in CIDR-Notation):
ip addr show
# Beispielausgabe: inet 10.10.5.45/24 brd 10.10.5.255 scope global eth0
Windows:
ipconfig
# Suchen nach: Subnetzmaske . . . . . . . . . . : 255.255.255.0
macOS:
ifconfig en0
# Suchen nach: netmask 0xffffff00 (Hexadezimalwert von 255.255.255.0)
Auf einem Cisco-Switch oder -Router:
show ip interface brief
show running-config interface Vlan10
Häufige Konfigurationsfehler
Dies sind die häufigsten Probleme, die bei Netzwerk-Audits festgestellt werden — sie zu kennen hilft, sie zu vermeiden:
Inkonsistente Masken im selben VLAN. Wenn ein Server ein /24 und ein anderer ein /25 im selben physischen Netzwerk hat, ist ein Teil des Adressbereichs für einen von beiden nicht erreichbar. Dies ist eine klassische Ursache für „funktioniert manchmal“-Probleme, die bekanntermaßen schwer zu diagnostizieren sind.
Überlappende Subnetze. Wenn Blöcke bei der manuellen Zuweisung mit VLSM ohne klaren Plan vergeben werden, können sich zwei Subnetze leicht überschneiden. Die Folge: Pakete, die am falschen Ziel ankommen, oder mehrdeutige Routen.
/24 als Standard verwenden, wenn es nicht nötig ist. Eine WAN-Verbindung zwischen zwei Routern benötigt keine 254 Adressen. Ein /30 oder /31 ist die richtige Wahl; die Verwendung von /24 verschwendet 252 IPs pro Verbindung.
Vergessen, bei der Host-Berechnung 2 abzuziehen. Die Netzwerkadresse (alle Host-Bits auf 0) und die Broadcast-Adresse (alle auf 1) sind nicht zuweisbar. Ein /24 bietet 254 Hosts, nicht 256. Ein /30 bietet 2, nicht 4.
Vergessen, Gateway und DNS zu aktualisieren. Bei einer Maskenänderung müssen Standard-Gateway und Firewall-Regeln das neue Schema widerspiegeln. Eine Maske zu ändern, ohne das Gateway zu prüfen, ist ein garantierter Ausfall.
Subnetzmasken im Kontext von Private Cloud
In Private-Cloud– und Bare-Metal-Umgebungen gehört das Subnetz-Design zu den ersten architektonischen Entscheidungen. Die Wahl der Masken beeinflusst direkt die Skalierbarkeit, die Verkehrsisolierung und die betriebliche Komplexität.
Ein typisches Rechenzentrumsdesign verwendet getrennte VLANs mit auf die jeweilige Funktion abgestimmten Masken:
| VLAN | Funktion | Typische Maske | Warum |
|---|---|---|---|
| VLAN 10 | Produktion | /24 oder /23 | Ausreichend Platz für Server und Wachstum |
| VLAN 20 | Management/IPMI | /27 oder /28 | Wenige Geräte, kritische Isolierung |
| VLAN 30 | Storage (iSCSI/NFS) | /24 | Dedizierter Datenverkehr, Jumbo-MTU, kein Gateway |
| VLAN 40 | Backup | /24 | Vom Produktions-Datenverkehr getrennt |
| VLAN 50 | DMZ | /28 oder /27 | Nur exponierte Dienste, strikte Firewall |
| VLAN 100 | Router-Verbindungen | /31 pro Verbindung | Maximale IP-Ausnutzung |
Dieses Design, kombiniert mit Inter-VLAN-Firewall-Regeln und einer sorgfältigen Dokumentation des Adressierungsplans, ist es, was eine professionelle Infrastruktur von einem improvisierten Deployment unterscheidet.
Bei Stackscale wird das Netzwerkmanagement so konzipiert, dass jeder Kunde über korrekt dimensionierte und isolierte Segmente verfügt — mit Redundanz auf Netzwerkebene und Anbindung an mehrere Carrier. Wenn Sie ein Deployment planen, das ein maßgeschneidertes Netzwerkdesign erfordert, kann unser Team Sie bei der Dimensionierung der Subnetze, VLANs und Segmentierungsregeln unterstützen, die am besten zu Ihrem Anwendungsfall passen.