IP-Adressen, Subnetze und Netzmasken

Es gibt immer wieder fragende Gesichter wenn man von IP-Adressen spricht. Was bedeuten diese Zahlen eigentlich? Bei jeder LAN-Party hat mindestens ein Teilnehmer Probleme mit IP-Adressen. Darum möchte ich hier einmal ein wenig Licht ins Dunkel bringen.

Fangen wir doch einfach mal mit einer IP-Adresse an.

    192.168.1.5

Was sagen uns nun diese Zahlen??

Wie man sieht, ist eine IP-Adresse aus einer Gruppe von vier Zahlen aufgebaut. Jede Zahl kann dabei zwischen 0 und 255 liegen. Im Binärsystem sind das 8 Bit. Das wird dann auch Oktett (octa = acht) genannt. Die Zahlen werden dabei mit einem Punkt getrennt. Daraus ergeben sich 4.294.967.295 Adressen ( in Worten 4 Milliarden, 294 Millionen, 967 Tausend, 2 Hundert und 95 - boah! ).

Aber mit so viel Adressen kann man nichts anfangen, wenn man sie nicht irgendwie unterteilen kann. Also hat man sich die Klassen ausgedacht. Class-A für große Netze, Class-B für mittlere und Class-C für kleine Netze.

Die Klassen hat man mit den ersten Bits des ersten Oktetts auseinandergehalten.

1.. ( 1.Oktett ) ..8	( 2.Oktett ) ..16	( 3.Oktett ) ..24	( 4.Oktett ) ..32	<= Bits
0..				Class-A
10..				Class-B
110..				Class-C

Netz-Anteil     Host-Anteil    

Man kann diese Aufteilung mit einer Telefonnummer vergleichen. Der Netz-Anteil ist die Vorwahl für den Ort und der Host-Anteil die Telefonnummer innerhalb des Ortsnetzes. Wie bei den Netzen, so gibt es auch bei den Orten große und kleine ( Bückeburg = 5722 , Minden = 571 , München = 89 ).

Nun aber zurück zu unserer IP-Adresse. Zu welcher Klasse gehört die denn jetzt?

Zerlegen wir sie doch einfach mal in eine Binärzahl ...

192	168	1	5	Dezimal
1100 0000	1010 1000	0000 0001	0000 0101	Binär

Es handelt sich hier um eine Class-C IP-Adresse. Die ersten drei Zahlen gehören also zum Netz- (Vorwahl) und die letzte Zahl zum Host-Anteil (Telefonnummer). Solange man also nur die letzte Zahl verändert, bleibt man in seinem eigenen Netz. Aber was paßiert, wenn man eine der ersten drei Zahlen verändert? An dieser Stelle kommt nun das Default Gateway ins Spiel. Das Default Gateway kann man in etwa mit einer Autobahnauffahrt vergleichen. Über dieses Gateway kommt man in andere Netze, so wie man über die Autobahnauffahrt in andere Orte kommt. Das Default Gateway liegt dabei immer im eigenen Netz!! Was nutzt einem eine Autobahnauffahrt in Hamburg, wenn man in Hannover auf die Autobahn will?

Nun stellen wir uns vor, dieses Gateway hat die IP-Adresse 192.168.1.1 . Die meißten Router, die man für den Internet-Zugang kaufen kann, haben diese IP-Adresse standardmäßig eingestellt. Das Default Gateway in unserem Netz ist also unser Router zum Internet.

Jetzt kommt der nächste Schritt. Die Netzmaske.
Bei den Adressklassen gibt es feste Netzmasken. Sie geben an, welcher Teil Netz- und welcher Host-Anteil ist. Darum jetzt eine kleine Tabelle:

Class A :	Netzadressbereich	:	1.0.0.0 - 126.0.0.0
	verwendete Netzmaske	:	/8   (255.0.0.0)
			126 Netze , 16.646.144 Hosts pro Netz
	Privater Adressbereich	:	10.0.0.0 - 10.255.255.255
			/8   (255.0.0.0)
	Localhost / Localnet	:	127.0.0.1 / 127.0.0.0   /8   (255.0.0.0)
			/8   (255.0.0.0)
Class B :	Netzadressbereich	:	128.1.0.0 - 191.254.0.0
	verwendete Netzmaske	:	/16   (255.255.0.0)
			16.256 Netze , 65.024 Hosts pro Netz
	Privater Adressbereich	:	172.16.0.0 - 172.31.255.255
			/12   (255.240.0.0)
Class C :	Netzadressbereich	:	192.0.1.0 - 223.255.254.0
	verwendete Netzmaske	:	/24   (255.255.255.0)
			2.080.768 Netze , 254 Hosts pro Netz
	Privater Adressbereich	:	192.168.0.0 - 192.168.255.255
			/16   (255.255.0.0)

Und hier eine Anwendung der Daten aus der Tabelle :

Wir suchen uns eine private Class-B Adresse aus ...

IP-Adresse 172.24.20.7 , Netzmaske 255.255.0.0 , Gateway 172.24.1.1

Die IP-Adresse des Gateways liegt innerhalb des Netzes der eigenen IP. Die ersten beiden Oktetts gehören zum Netz und die beiden letzten Oktetts zum Hostanteil.

In den eigenen Netzen sollte man immer Adressen aus dem privaten Adressbereich verwenden. Wenn man öffentliche IP-Adressen verwendet, wird man manche Server im Internet nicht erreichen können. Aber die Erklärung werde ich bis zum Schluß aufheben.

Es begab sich zu einer Zeit ... (grins) da wurden die IP-Adressen im Internet immer weniger ...
Es waren nicht mehr genug Adressen vorhanden, um einfach mal ein Class-C Netz für ein Netzwerk mit 2 oder 5 PCs zu vergeuden. Also mußte man sich etwas ausdenken. Das Ergebnis nannte sich Subnetz-Masken und Classless Interdomain Routing (CIDR - boah, was für ein Wort).

Es wurden einfach die Netzmasken von den starren Klassen getrennt. Man kann jetzt die Masken frei über die Bits der Adresse verschieben. Wenn man wegen der kleineren Schreibarbeit gerne 10er Adressen verwenden will, aber nur ein kleines Netz hat, so macht man die Netzmaske einfach entsprechend kleiner.

Beispiel:

IP.Adresse 10.0.0.3   Netzmaske 255.255.255.192   Default Gateway 10.0.0.1

Wenn man das nun in Binärzahlen auflößt, wird die Sache klarer ...

10	0	0	3	IP-Adresse Dezimal
0000 1010	0000 0000	0000 0000	0000 0011	IP-Adresse Binär
255	255	255	192	Netzmaske Dezimal
1111 1111	1111 1111	1111 1111	1100 0000	Netzmaske Binär
10	0	0	1	Default Gateway Dezimal
0000 1010	0000 0000	0000 0000	0000 0001	Default Gateway Binär

Die Netzmaske besteht also von vorne durchgehend aus Einsen und von hinten durchgehend aus Nullen. Wo sie sich treffen, da ist die Grenze zwischen Host- und Netzanteil. Hier sieht man auch sehr gut, das die IP-Adresse und das Default Gateway im Bereich der Einsen der Netzmaske absolut identisch sind. Das Gateway liegt ja auch im gleichen Netz wie die eigene IP-Adresse.

Zwei Adressen aus einem Netz haben eine besondere Bedeutung. Am Beispiel mit der 10.0.0.3 ist das sehr gut zu erkennen. Wenn man alle Bits im Host-Anteil auf 0 setzt, dan bekommt man die Netzwerk-Adresse (hier 10.0.0.0). Sie wird bei Routen als Ziel angegeben (Routing folgt in einem weiteren Beitrag). Wenn man alle Bits im Host-Anteil auf 1 setzt, dann bekommt man die Broadcast-Adresse für das Netz (Rundruf an alle - hier 10.0.0.63). Die Broadcast-Adresse wird zum Beispiel von Windows für die Suche nach anderen Windows-Rechnern benutzt. Wenn man also eine falsche Netzmaske eingibt, so wird man außer seinem eigenen PC keinen anderen sehen (mal abgesehen von der Ewigkeit, die Windows benötigt um überhaupt andere PCs zu finden ;-D ).

Noch ein Tip! Löst euch von der dezimalen Darstellung der IP-Adresse und denkt lieber in binärer Weise. Dann ist das alles etwas verständlicher. Als Beispiel noch einmal ein paar Netze ...

Wir benutzen 172.25.0.0 und erzeugen mit Hilfe der Netzmaske 4 Netze mit jeweils 64 Adressen :

	Netz-Adresse	brauchbare IPs	Broadcast-Adresse	Netzmaske
Netz 1 :	172.25.0.0	172.25.0.1 - 172.25.0.62	172.25.0.63	255.255.255.192   /26
Netz 2 :	172.25.0.64	172.25.0.65 - 172.25.0.126	172.25.0.127	255.255.255.192   /26
Netz 3 :	172.25.0.128	172.25.0.129 - 172.25.0.190	172.25.0.191	255.255.255.192   /26
Netz 4 :	172.25.0.192	172.25.0.193 - 172.25.0.254	172.25.0.255	255.255.255.192   /26

Alles klar ?? Gut !

Hier noch ein paar Netzmasken:

....10.00000000	255.255.254.0	/23	512 Adressen
....11.00000000	255.255.255.0	/24	256 Adressen
....11.10000000	255.255.255.128	/25	128 Adressen
....11.11000000	255.255.255.192	/26	64 Adressen
....11.11100000	255.255.255.224	/27	32 Adressen
....11.11110000	255.255.255.240	/28	16 Adressen
....11.11111000	255.255.255.248	/29	8 Adressen
....11.11111100	255.255.255.252	/30	4 Adressen (Transitnetze)
....11.11111111	255.255.255.255	/32	1 Adresse (Hostmaske)

Wenn jetzt noch die Frage aufkommt, was diese /8 /16 /24 /26 zu bedeuten haben - einfach mal die 1er-Bits der Netzmaske zählen und schon ist es klar. Auf diese Weise spart man sich Schreibarbeit. Man spricht also bei einer Netzmaske von 255.255.255.192 auch von einer 26er-Maske.



Nun nochmal zu den illegal verwendeten öffentlichen IP-Adressen:
Wenn man z.B. im eigenen Netz als Adressen den Bereich 217.45.26.1-254 Maske 255.255.255.0 benutzt, kann folgendes passieren. Wir geben im Browser als Beispiel mal www.firma-xyz.de ein. Der Computer bekommt vom DNS-Server aus dem Internet als IP-Adresse zu diesem Namen beispielsweise die Adresse 217.45.26.67 zurückgeliefert. Nun kann man sich den Rest der Tragödie schon mit der Netzmaske selber ausrechnen. Der PC vermutet die Zieladresse vom Server www.firma-xyz.de im eigenen Netz. Die Browseranfrage läft also ins Nirvana oder zu einem falschen Ziel.

Nun kommen bestimmt einige schlaue Leute und meinen mit einem Proxy das Problem zu lösen. Es gibt nun aber leider nicht für alle Internet-Protokolle (Protokolle sind sowas wie z.B. HTTP, FTP, SMTP, ...) Proxy-Server. Auch mit einem zweiten Router, der eine zweite Adressumsetzung (NAT - Network Address Translation) zuätzlich zu dem schon vorhandenen NAT im Router für den Internetzugang macht, handelt man sich mehr Frust als Problemlösung ein.

Und noch ein Tip: Die IP-Adressen von Servern und Routern bündelt man im oberen oder unteren Bereich eines Netzes. Also zum Beispiel 10.0.0.1-14 für Router und 10.0.0.240-254 für Server. Dazwischen liegen dann die normalen PC-Arbeitsplätze. Oder man legt die einzelnen Abteilungen schon so im Adressbereich an, das man nachher mit anderen Subnetzmasken und Routern die Abteilungen ohne die Umkonfiguration von 150-200 PCs (igitt - soviel Arbeit) trennen kann. Sortierte Netze sind einfach übersichtlicher bei der Administration und sparen Arbeitszeit.
Merke! Eine vernünftige Netzplanung behütet einen vor Frust und einem Re-Design eines vollgestopften und in Betrieb befindlichen Netzes (Sprich - Am Samstag ab 21 Uhr können sie das gerne mal für 4 Stunden außer Betrieb nehmen). Also lieber zwei Stunden mehr planen als zwei Tage mehr arbeiten.

Einen Tip habe ich jetzt noch: Die Klassen werden heute nicht mehr verwendet! Also nicht stur nach den Klassen die Planung der IP-Netze durchführen. Das geht schief. Wofür gibt es denn sonst Subnetze? Also zum Beispiel für ein Transit-Netz zwischen zwei Routern (es werden nur 2 IPs benötigt) eine 30er-Maske verwenden.

Weitere empfehlenswerte Links :

• www.IANA.org - Internet Assigned Numbers Authority