CIDR (Classless Inter-Domain Routing) und Subnetzmasken verständlich erklärt
In der Netzwerktechnik ist die Strukturierung und Aufteilung von IP-Adressbereichen eine fundamentale Aufgabe. Um IP-Netzwerke flexibel und effizient zu gestalten, wird das Verfahren CIDR (Classless Inter-Domain Routing) in Kombination mit Subnetzmasken eingesetzt.
Durch Subnetting lassen sich grosse Netzwerke in kleinere, isolierte Subnetze (Subnets) unterteilen. Dies erhöht nicht nur die Netzwerksicherheit (z. B. durch Trennung von Webservern und internen Büro-PCs), sondern optimiert auch den Datenverkehr, da Broadcast-Meldungen auf das jeweilige Subnetz begrenzt bleiben.
CIDR ist nicht nur Netzwerktheorie: Wer A-Records zuweist, Firewall-Regeln schreibt oder Reverse-DNS für ein ganzes Netz delegiert, arbeitet ständig mit Präfixen wie /24 oder /26.
Das Problem des alten Klassensystems (Classful Routing)
Vor der Einführung von CIDR im Jahr 1993 wurden IP-Netzwerke (IPv4) in feste Klassen unterteilt:
- Klasse A (/8): 16.7 Millionen IP-Adressen pro Netz (für riesige Organisationen).
- Klasse B (/16): 65’536 IP-Adressen pro Netz (für mittlere Unternehmen).
- Klasse C (/24): 254 nutzbare IP-Adressen pro Netz (für kleine Firmen).
Dieses System war extrem verschwenderisch. Benötigte ein Unternehmen beispielsweise 500 IP-Adressen, war ein Klasse-C-Netz zu klein. Die Zuweisung eines Klasse-B-Netzes führte jedoch dazu, dass über 65’000 Adressen ungenutzt verfielen. Dies beschleunigte die weltweite IPv4-Adressknappheit massiv.
Wie CIDR und Subnetzmasken funktionieren
CIDR schaffte die starre Klassentrennung ab. Mit CIDR kann die Grenze zwischen dem Netzwerk-Teil (der festlegt, in welchem Netz man sich befindet) und dem Host-Teil (der das einzelne Endgerät identifiziert) bitgenau an einer beliebigen Stelle der 32-Bit-IP-Adresse gezogen werden.
Die Subnetzmaske im Binärformat
Eine IPv4-Adresse besteht aus 32 Bit (aufgeteilt in 4 Oktette zu je 8 Bit). Die Subnetzmaske legt fest, welche Bits zum Netzwerk gehören (Wert 1) und welche für die Geräte frei sind (Wert 0).
Beispiel für die Subnetzmaske 255.255.255.0:
- Dezimal:
255.255.255.0 - Binär:
11111111.11111111.11111111.00000000 - CIDR-Schreibweise:
/24(da die Maske genau 24 Einsen enthält).
CIDR-Präfixe auf einen Blick
Diese Tabelle zeigt die wichtigsten Präfixe mit Maske und nutzbarer Host-Zahl:
| CIDR | Subnetzmaske | Adressen gesamt | nutzbare Hosts | typischer Einsatz |
|---|---|---|---|---|
/30 | 255.255.255.252 | 4 | 2 | Punkt-zu-Punkt-Link |
/29 | 255.255.255.248 | 8 | 6 | kleine Server-Gruppe |
/28 | 255.255.255.240 | 16 | 14 | kleines DMZ-Segment |
/26 | 255.255.255.192 | 64 | 62 | Abteilungsnetz |
/24 | 255.255.255.0 | 256 | 254 | klassisches LAN |
/16 | 255.255.0.0 | 65 536 | 65 534 | Cloud-VPC-Basis |
Faustformel: nutzbare Hosts = $2^{(32 - \text{Präfix})} - 2$. Die beiden abgezogenen Adressen sind stets Netz- und Broadcast-Adresse.
Die CIDR-Notation (Slash-Schreibweise)
Anstatt die IP-Adresse und die Subnetzmaske separat aufzuschreiben (z. B. IP: 192.168.1.100, Maske: 255.255.255.0), hängt CIDR die Anzahl der Netzwerkbits einfach mit einem Schrägstrich an die IP-Adresse an:
192.168.1.100/24
IP-Berechnung in der Praxis: Ein konkretes Beispiel
Wir nehmen das Subnetz 192.168.1.0/26.
Eine Suffix von /26 bedeutet: Die ersten 26 Bit sind für das Netzwerk reserviert. Es verbleiben 6 Bit für Hosts ($32 - 26 = 6$).
- Anzahl möglicher IP-Adressen: $2^6 = 64$ Adressen.
- Anzahl nutzbarer Host-IPs: $64 - 2 = 62$ IP-Adressen (da Netzadresse und Broadcast-Adresse reserviert sind).
- Subnetzmaske: 26 Einsen binär entspricht dezimal
255.255.255.192. - Netzwerk-Adresse:
192.168.1.0(die erste IP im Block). - Broadcast-Adresse:
192.168.1.63(die letzte IP im Block). - Nutzbarer Host-Bereich:
192.168.1.1bis192.168.1.62.
Praxisbeispiel: Ein Firmennetz aufteilen
Ein Unternehmen hat den Block 10.0.0.0/24 (254 nutzbare Hosts) und möchte drei isolierte Segmente bilden – ohne sie in einem flachen Netz zu vermischen:
- Problem (flaches Netz): Alle Server, Büro-PCs und Gäste-WLAN-Geräte liegen in
10.0.0.0/24. Ein kompromittiertes Gästegerät kann direkt die Server erreichen – Broadcast-Traffic belastet alle. - Lösung (Subnetting in /26): Der
/24-Block wird in vier/26-Subnetze zu je 62 Hosts geteilt:10.0.0.0/26– Server (62 Hosts)10.0.0.64/26– Büro-PCs (62 Hosts)10.0.0.128/26– Gäste-WLAN (62 Hosts)10.0.0.192/26– Reserve
- Ergebnis: Jedes Segment ist eine eigene Broadcast-Domäne. Die Firewall regelt gezielt, dass Gästegeräte nur ins Internet, aber nicht zu den Servern routen dürfen.
Die zugehörigen Firewall- und Routing-Regeln werden dann genau über diese CIDR-Notationen formuliert – etwa «erlaube 10.0.0.0/26 den Zugriff auf Port 443».
Häufig genutzte CIDR-Präfixe
In der Praxis begegnen Entwicklern und Systemadministratoren häufig wiederkehrende Präfixe:
/32(255.255.255.255): Repräsentiert eine einzelne IP-Adresse (Host-Route). Wird in Firewalls genutzt, um den Zugriff für exakt einen Rechner freizugeben./30(255.255.255.252): Bietet 2 nutzbare IP-Adressen. Ideal für direkte Point-to-Point-Verbindungen zwischen zwei Routern./24(255.255.255.0): Der Klassiker für lokale Heim- und Firmennetzwerke mit bis zu 254 Geräten./16(255.255.0.0): Bietet über 65’000 Adressen, häufig genutzt als Basis-Bereich für virtuelle private Netzwerke (VPC) in Cloud-Infrastrukturen wie AWS oder Azure.
[!TIP] Die binäre Umrechnung von IP-Adressen und Subnetzen im Kopf ist mühsam und fehleranfällig. Nutzen Sie den CIDR/Subnet Calculator auf balou.tools, um IP-Bereiche, Netzmasken, Wildcard-Masken und Broadcast-Adressen schnell und fehlerfrei berechnen zu lassen. Eine Übersicht über weitere praktische Werkzeuge finden Sie in den Developer Tools.
Häufig gestellte Fragen (FAQ)
Was bedeutet die Angabe /24 hinter einer IP-Adresse?
Die Angabe /24 ist die CIDR-Suffix-Schreibweise. Sie bedeutet, dass die ersten 24 Bit der 32-Bit-IP-Adresse als Netzwerk-Präfix reserviert sind. Dies entspricht der klassischen Subnetzmaske 255.255.255.0 und lässt 8 Bit für Client-Hosts frei (also 256 mögliche IP-Adressen, wovon 254 für Endgeräte nutzbar sind).
Warum können die erste und die letzte IP-Adresse eines Subnetzes nicht für Hosts verwendet werden?
Die erste IP-Adresse eines Subnetzes repräsentiert die Netzadresse (sie identifiziert das Netzwerk selbst). Die letzte IP-Adresse des Subnetzes ist die Broadcast-Adresse (sie dient zum Senden von Datenpaketen an alle Geräte im Subnetz). Beide Adressen sind für Hosts gesperrt.
Wie funktioniert CIDR bei IPv6?
Das Prinzip ist identisch, nur die Adresslänge unterscheidet sich: IPv6-Adressen sind 128 Bit lang statt 32 Bit. Eine übliche Zuweisung für Endkunden ist `/64` (das ergibt ein einzelnes Subnetz mit astronomisch vielen Adressen), während Provider oft `/48`-Blöcke vergeben. Broadcast-Adressen gibt es bei IPv6 nicht mehr.
Was ist eine Wildcard-Maske und wo wird sie verwendet?
Die Wildcard-Maske ist die bitweise Invertierung der Subnetzmaske (z. B. `0.0.0.255` statt `255.255.255.0`). Sie wird vor allem in den Access Control Lists (ACLs) von Cisco-Routern eingesetzt, um Adressbereiche zu definieren. Eine `0` bedeutet «muss exakt passen», eine `1` (255) bedeutet «beliebig».