Subnetting und VLANs - Netzwerke strukturieren

≈ 2 min
network

Subnetting ist einer dieser Inhalte die in der Ausbildung theoretisch gelehrt werden und praktisch bei jedem Netzwerk-Setup relevant sind. VLANs bauen darauf auf und lösen die Frage wie man physische Infrastruktur logisch trennt.

Subnetting

Ein IP-Netzwerk wird in kleinere Teilnetzwerke aufgeteilt.

  • Notation: 192.168.1.0/24
  • 192.168.1.0: Netzwerkadresse
  • /24: Subnetzmaske — 24 Bits für Netzwerk, 8 Bits für Hosts
  • Hosts: 2^8 - 2 = 254 (minus Netzwerk- und Broadcast-Adresse)

Subnetzmasken

| CIDR | Maske | Hosts |
|---|---|---|
| /24 | 255.255.255.0 | 254 |
| /25 | 255.255.255.128 | 126 |
| /26 | 255.255.255.192 | 62 |
| /27 | 255.255.255.224 | 30 |
| /28 | 255.255.255.240 | 14 |
| /30 | 255.255.255.252 | 2 |

/30 für Point-to-Point-Links zwischen zwei Routern — nur 2 Host-Adressen nötig.

Netzwerksegmentierung durch Subnetting

10.0.0.0/8  ← gesamtes Firmennetz

10.1.0.0/16  ← Standort Berlin
  10.1.1.0/24  ← Server-VLAN
  10.1.2.0/24  ← Workstations
  10.1.3.0/24  ← Management

10.2.0.0/16  ← Standort Hamburg
  10.2.1.0/24  ← Server-VLAN
  ...

Jedes Subnetz ist eine Broadcast-Domain. Geräte im selben Subnetz kommunizieren direkt, Geräte in verschiedenen Subnetzen müssen über einen Router.

VLANs (Virtual LANs)

VLANs trennen Netzwerke auf Layer 2 (Data Link) ohne physische Kabel-Trennung.

Auf einem physischen Switch können mehrere logische Netzwerke laufen:

VLAN 10: Server
VLAN 20: Workstations
VLAN 30: Gäste-WLAN
VLAN 99: Management

Pakete werden mit einem VLAN-Tag (802.1Q) markiert. Geräte in verschiedenen VLANs können ohne Router nicht kommunizieren — selbst wenn sie am selben Switch hängen.

Access Port vs. Trunk Port

Access Port: für Endgeräte, einem VLAN zugeordnet, kein Tag.
Trunk Port: für Verbindungen zwischen Switches oder Switch↔Router, trägt Tags mehrerer VLANs.

[PC] ─ Access (VLAN 20) ─ [Switch] ─ Trunk ─ [Router]
[Server] ─ Access (VLAN 10) ─ [Switch]

Auf Linux: VLANs konfigurieren

# VLAN-Interface anlegen
ip link add link eth0 name eth0.10 type vlan id 10
ip addr add 10.1.1.1/24 dev eth0.10
ip link set eth0.10 up

Persistent in /etc/network/interfaces oder Netplan.

Relevanz für Server-Setups

Auch auf einem einzelnen VPS ist Netzwerksegmentierung durch Firewall-Regeln sinnvoll: Datenbank nur auf localhost, Redis nicht öffentlich, Admin-Interface nur über VPN. Das simuliert VLAN-Trennung auf Software-Ebene.