Fast alle Geräte (Router, Firewalls usw.) kommen prä-konfiguriert mit Subnetz von /24. Was hat /24 Subnetz von Vorteilen? und warum /24 Subnetz?
Ich habe was gelesen über Vermeidung von "Broadcast" Fehlern oder bessere Geschwindigkeit für die Kommunikation zwischen den Geräten, QOS, usw. , aber kein richtiger Artikel spricht klar und deutlich darüber.
Lieber das Subnetz mit dem Zahl der Geräten anpassen? /24 als größtes Subnetz für LAN (falls neue Geräte später dazu kommen), und /28 oder /27 für Gastnetzwerk und DMZ?
Ich habe viele Konfigurationen in Internet gesehen, unabhängig vom Zahl der Geräte, haben immer /24 Subnetz dabei!
Was ist eure Meinung nach?
Gruß
Karl
Hallo karl047,
das hängt zuerst einmal davon ab wie viele Geräte in einem Bereich adressiert werden sollen.
Zum anderen ob es eine öffentliche iP oder eine private ist.
Es gibt ja Class A , B und C Netze. Hier mal ein Link zum Berechnen von Subnetzen
http://www.subnet-calculator.com/subnet.php?net_class=C
Das Routing spielt hier dann eine Rolle.
Bitte Bitte Bitte hört doch endlich auf noch Dinge über Netzklassen zu erzählen.
Netzklassen sind schon fast antik, archaisch. Und nebenbei haben Netzklassen nichts, rein gar nichts
mit Subnetzmasken zu tun. Netzklassen unterschied man früher anhand der ersten Bytes einer IP Adresse und sie stammen aus einer Zeit in der es noch gar keine Netzmasken gab. Daher ist auch die heute sehr verbreitete
Annahme falsch, dasa /24 Klasse C, /16 Klasse B und /8 Klasse A ist - oder so ähnlich.
Heute verwendet man das sogenannte CIDR - Classless Inter-Domain Routing
Und hier kommen jetzt die Netzmasken ins Spiel weil man mit CIDR viel besser
subnetten kann.
Das musste jetzt mal raus.
Hat das irgendwer erzählt?
Nope.
Es gibt trotzdem die Netzklassen und darüber entscheidet sich wie viele Geräte in einem Adressraum verfügbar sind.
Die Netzklassen haben trotzdem keine wirkliche Bedeutung mehr.
Auch 172.20.201.0/24 ist ein Privates Netzwerk welches man zu Hause nutzen kann mit 254 möglichen Hosts und arbeitet nicht anders als ein 192.168.0.0/24er Netz
Genau du kannst hier 254 Adressen ansprechen.
Natürlich haben die Netzklassen weiterhin Bedeutung. Es gibt private und öffentliche. Nach RFC.
Und wenn VOIP ins spiel kommt spielt das derweil schon eine Rolle. Sofern kein vernünftiges NAT läuft.
Wobei ja auch die frage im Raum steht wie handhabt das opnsense.
Da muss evtl. franco mal ein Statement zu abgeben.
OPNsense hat nur dann was mit classful networking zu tun, wenn ihr auf die Idee kommt, FRR zu installieren und RIPv1 zu benutzen. Ansonsten ist alles CIDR.
Warum also das /24? Die einfachste Antwort ist, dass es einfach ist. Man hat massenhaft Hosts zur Verfügung, und dennoch ist der Broadcast nicht so schlimm. Man ist kompatibel mit Systemen, die noch immer mit Klassen arbeiten (uralt Router, RIPv1 Netze, ...) und für den Benutzer hat es nunmal den Vorteil, dass man einfach nur das letzte Byte hochzählen kann, ohne gleich mit Binärrechnen anzufangen und Subnetze zu berechnen.
Leute!!! LIEBE bitte :P
Meine Frage geht nicht darum, was das Subnetz ist, usw. Ich habe gefragt warum /24 fast immer überall und kein /25 oder /26 wenn man wenig Geräte hat und nicht zu viele Hosts bedienen soll.
Ich rede vom Subnetz (Netzmaske) und keine Netze !
Quote from: nasq on August 15, 2018, 06:48:55 PM
Heute verwendet man das sogenannte CIDR - Classless Inter-Domain Routing
Und hier kommen jetzt die Netzmasken ins Spiel weil man mit CIDR viel besser
subnetten kann.
Genauso wie nasq geschrieben hat, heute verwendet man CIDR, aber was ist mit Broadcast, QOS und Link Speed? werden die drei Themen betroffen wenn ich ein /22 Subnetz nutze? ((Geräte zu Hause nach Etage und Zimmer sortieren und einfach sie finden nach einem bestimmten Struktur, oder das Subnetz mit dem Zahl der Geräte anpassen?)
Wie ich gelesen habe, empfohlen: ein Subnetz mit doppeltem IP Range als dem Zahl der Hosts (z.B. 30 Geräte: dann ein /26 Subnetz), und keine kleinere Subnetz als /23 verwenden, bringt das irgendwelche Vorteile? oder egal? auch ein DMZ Interface mit einem Gerät kann man konfigurieren mit /24 Subnetz, aber /30 Subnetz ist genug wenn nur ein Gerät da ist und kein Gerät mehr später dazu in dieses Interface kommt!
Ich hoffe dass ich meine Frage genug erklärt habe.
LIEBE Grüße
Karl
Ahoi,
> Ich habe gefragt warum /24 fast immer überall und kein /25 oder /26 wenn man wenig Geräte hat und nicht zu viele Hosts bedienen soll.
Weil es einfach ist und soweit ich mich erinnern kann auch einfach in Hardware abzubilden und berechnen ist, was gerade bei Routern (richtig großen Dingern) und großen Routing Tabellen mit Performance eine ziemliche Rolle spielt. Andere Boundaries, also kleinere und größere Netze sind oder waren entsprechend intern aufwändiger zu adressieren und speichern und haben mehr Leistung gekostet. Zudem gibt es auch - zumindest bei privaten Adressen - die stehende Empfehlung, der Einfachheit halber (Adressierbarkeit und einfache Grenzen, da sich nur die 4. Stelle ändert) bei RFC1918 Adressen ein /24 Netz zu nutzen. Warum? Weil es meistens genügend Adressen für die meisten Setups sind und sofern das nicht zutrifft man meist eh ein größeres Netz in Firmen vor sich hat und damit ganz andere Aufgabenstellungen. Dort hat man früher dann auch gern mal /23, /22 oder auch gleich mal /16 oder /8 genommen. Hat allerdings dazu geführt dass man Unmengen an Clients in der gleichen Broadcast Zone hat die alle miteinander reden und entsprechend Blödsinn machen können. Compartmentalizing - also abgrenzen in kleinere Bereiche war nötig, Auftritt VLAN Separation. Und da ist dann wieder der normale Weg, einfach pro VLAN ein /24 zu vergeben. Damit ist es dann einfach möglich, bspw. die VLANS via ID Adressierung in der privaten Adresse einfacher erreichbar und debugbar zu machen. VLAN 101 -> 172.16.101.0/24; VLAN 200 -> 172.16.200.0/24
Firewall dann bspw. klassisch auf die .1 oder .254, die Node IPs dann ggf. hochzählen. Nur ein Beispiel. Wir hatten früher bei den Netzwerkern gern den Merksatz: die ersten 10 IPs sind unser. Also .1 bis .9 oder .240 bis .254 (ja sind nicht genau 10) gehörten dem Netzwerk. Alles andere aufgeteilt in DHCP und statischen Space je nach Notwendigkeit.
Auftritt IPv6. Fast gleiche Geschichte. Immer wieder lese ich "aber das ist doch doof so viele Netze zu verbraten, dann sind die wieder wie bei v4 alle weg, warum nimmt man keine /112er oder /96er Netze". Auch hier (sogar noch mehr): weil sich /64er Prefix (halb-halb) einfach in Hardware und in Asics nachbauen und berechnen lässt, die Hardware Geld kostet und entsprechend Leistung bringen muss und große Router riesige Routingtabellen verwalten müssen, was alles Performance und RAM kostet. Daher auch hier RFC und RIPE Empfehlung, KEIN Netz kleiner als /64 zu vergeben zumal dann (bi v6 bspw.) Mechanismen wie SLAAC und andere Dinge nicht mehr funktionieren, da diese /64 mind. voraussetzen.
Bei DMZs sieht es wieder anders aus, da hängt es davon ab, ob du dort mit privaten Adressen arbeitest -> dann wieder recht oft mit /24 bei v4 - oder ob du mit einem Netz deines Upstream Providers geroutet gesegnet bist - dann musst du eh auflegen, was du bekommst (oder es noch anders segmentieren). Bekommt man es nicht geroutet, wird gern mit 1:1 NAT gearbeitet, dann macht man auch wieder der Übersicht halber gerne ein Matching von externem Subnetz auf internes (also wenn du /28 extern hast macht man da gern 1:1 NAT auf /28 privates internes Netz).
Nutzt du ein /22er Netz hast du potentiell an die 1000 Clients im gleichen Broadcast Segment, was man heute stark vermeiden möchte. Gerade weil es nicht so einfach möglich ist, Traffic innerhalb des Segments zu filtern. Bei 1000 Clients ist natürlich die Chance noch höher als bei 250, dass da ein faules Ei dabei ist, der Blödsinn im Netz macht. Daher (Stichwort compartmentalizing) segmentiert man heute eher kleiner als größer mit VLANs. Bei IPv6 geht das noch weiter, auch hier wird empfohlen - trotz 64bit adressierbarer Adressen - möglichst kleine Prefix Gruppen zu machen um die Broadcast Domain kleinzuhalten, da es hier noch mehr Möglichkeiten als bei v4 gibt um innerhalb des Netzbereichs Unfug zu treiben und den Betrieb zu stören.
Zu deinem Thema Sortierung: das würde heute niemand halbwegs professionell über die IP Adresse regeln, sondern über VLANs. Da würde man dann ggf. Etagenweise oder Zimmerweise - je nachdem wie viele Ports/Geräte mit VLANs agieren und damit dann den Vorteil haben, dass man pro Etage oder auch pro Zimmer (je nachdem) entsprechend filtern kann. Und hier können dann auch entsprechend Netze (siehe oben) genutzt werden.
Ein großes Netz empfiehlt sich heute kaum irgendjemand außer mit sehr sehr guten Gründen(!). Dafür gibt es VLANs, CIDR und entsprechende Adressierung.
Grüße
Quote from: JeGr on August 16, 2018, 03:38:06 PM
... Auch hier (sogar noch mehr): weil sich /64er Prefix (halb-halb) ...
Ist sicher auch ein Gedanke gewesen aber meines wissens Nach sollte hinten die MAC rein (Privacy Extensions aus) und die längsten haben 64 Bit (z. B. LWL).
@JeGr: Danke dir für die beste Erklärung. d.h. empfohlen: weit wie möglich kein Subnetz kleiner als /24 Subnetz zu nutzen (ich meine /23 oder /22) nur mit guten Gründen. Subnetze wie /24, /25 usw. bis /30 bleiben aber sicherer (Aufgrund Broadcast und die Kommunikation usw. wie du erklärt hast).
Ich hatte die Idee auch im Kopf, alles nach VLANs mit kleinen Subnetzen zu sortieren, das Problem war dass die Geräte miteinander über Broadcast-Adresse kommunizieren sollen (Bonjour Server usw.) was definitiv nicht klappen wird wenn die Geräte nicht auf dem gleichen Subnetz sind, deswegen war meine Idee: warum nicht /22 Subnetz?! (oder falsch?)
Quote from: karl047 on August 16, 2018, 05:54:54 PM
Ich hatte die Idee auch im Kopf, alles nach VLANs mit kleinen Subnetzen zu sortieren, das Problem war dass die Geräte miteinander über Broadcast-Adresse kommunizieren sollen (Bonjour Server usw.) was definitiv nicht klappen wird wenn die Geräte nicht auf dem gleichen Subnetz sind, deswegen war meine Idee: warum nicht /22 Subnetz?! (oder falsch?)
Sicher kann das klappen -> mdns-repeater Plugin ;)
Quote from: fabian on August 16, 2018, 07:10:51 PM
Sicher kann das klappen -> mdns-repeater Plugin ;)
RING RING RING... aber muss alles später durch Firewall-Regeln geregelt wird, welches Gerät von welchem Interface mit welchem Gerät auf welchem Interface kommunizieren darf, und das aktivierte mDNS-Repeater auf den beiden Interfaces macht den Rest der Arbeit, oder?
Ich meine, wenn ich richtig verstanden habe, wenn jemand auf dem Gastnetzwerk etwas drucken möchte, und der Drucker befindet sich auf LAN, und wenn mDNS-Repeater auf die beiden Interfaces "Gast & LAN" aktiviert ist, kann ich ein Regel auf Gast-Interface: " PASS IPv4 IP(Gast) IP(Drucker) " erstellen, und danach wird Bonjour Server auf dem Drucker von dem Device des Gastes anerkannt, und wird der Drucker angezeigt und das war's , oder denke ich falsch?
Du hast mich verrückt gemacht mit deinem Plugin :P
Das Plugin macht nix anderes als den Multicast vom einen Netz ins andere zu kopieren, damit die Geräte sich gegenseitig erkennen. Wie du richtig erkannt hast, musst du die TCP und UDP Ports natürlich noch freigeben, damit es funktioniert.
@fabian: dann wie ich dachte. Danke dir für die Info, ich werde in den nächsten Tagen dran arbeiten.