IP-Adressen sind 32 Bit (IPv4) oder 128 Bit (IPv6) lang. In IPv4 werden Adressen in vier Oktetten (z. B. 192.168.0.1) dargestellt, IPv6 in acht Gruppen hexadezimaler Ziffern (z. B. 2001:db8::1). Da der IPv4-Adressraum begrenzt ist, unterteilt man große Netzwerke in kleinere Subnetze (Subnetting), um Adressraum effizient zu verteilen und Broadcast-Domänen zu begrenzen.
1.2 CIDR-Notation und Subnetzmasken
Die CIDR-Notation (Classless Inter-Domain Routing) kombiniert die IP-Adresse und die Präfixlänge, z. B. 192.168.1.0/24. Das /24 gibt an, dass die ersten 24 Bit das Netzwerk kennzeichnen, verbleiben 8 Bit für Hosts. Eine Subnetzmaske in dezimaler Form (255.255.255.0) entspricht derselben Präfixlänge.
Formel zur Berechnung der Hostanzahl:
Anzahl Hosts = 2^(32 – Präfixlänge) – 2
➔ -2, weil jeweils Netzwerkadresse (alle Host-Bits 0) und Broadcast-Adresse (alle Host-Bits 1) nicht als Hosts nutzbar sind.
1.3 Subnetting-Beispiel: /24 in /26 aufteilen
Ausgangsnetz: 192.168.10.0/24 (256 Adressen, 254 nutzbar). Bei 4 Teilnetzen benötigt man 2 zusätzliche Bits (2^2 = 4), also Präfix /26.
Hierarchisches Design: Großes übergeordnetes Präfix (z. B. /16) aufteilen in /24, /25, /26, je nach Standort oder Abteilung.
Planung mit Reserven: Immer kleine Blöcke freihalten für zukünftiges Wachstum.
Dokumentation: IP-Adressplan zentral in Tabellen oder einem IPAM-Tool pflegen.
VLSM nutzen, um IP-Ressourcen effizient einzusetzen.
Klare Trennung von Arbeitsplätzen, Servernetzwerken, DMZ, IoT-Segmenten.
2. VLAN
2.1 VLAN-Grundlagen
VLAN (Virtual Local Area Network) segmentiert ein physisches LAN in mehrere logische Broadcast-Domänen. Jeder VLAN erhält eine ID (1–4094). Hosts in unterschiedlichen VLANs kommunizieren nur über einen Router oder Layer-3-Switch (Inter-VLAN-Routing).
Untagged-Port (Access-Port): Ordnet den gesamten Traffic einem einzigen VLAN zu. Endgeräte senden/empfangen Roh-Ethernet-Frames ohne VLAN-Tag.
Tagged-Port (Trunk-Port): Trägt Traffic mehrerer VLANs. Jeder Frame erhält ein 802.1Q-Tag, das die VLAN-ID enthält. Typisch Verbindung zwischen Switch und Switch oder Switch und Router.
➔ Native VLAN 99: Ungetaggt übertragendes VLAN. Frames aus VLAN 99 erhalten kein Tag.
➔ Erlaubte VLANs: 10, 20, 30. Andere VLANs werden auf diesem Trunk verworfen.
2.4 Erweiterte VLAN-Konzepte
2.4.1 VLAN-Trunking Protocol (VTP)
Bei Cisco-Switches erlaubt VTP die zentrale Verteilung von VLAN-Informationen. Ein VTP-Server-Switch propagiert VLAN-Konfigurationen an alle VTP-Clients im gleichen VTP-Domänennamen.
vtp mode server
vtp domain ITZentrale
vtp password MeinPasswort
Achtung: Unerfahrene Änderungen können in der gesamten Domäne VLAN-Löschungen verursachen.
2.4.2 Private VLANs (PVLAN)
PVLANs teilen ein VLAN in:
Primary VLAN: Gesamt-VPN
Secondary VLAN: Primäres VLAN wird unterteilt in:
Isolated VLAN: Hosts sehen nur den Promiscuous-Port (z. B. Gateway).
Community VLAN: Hosts innerhalb der gleichen Community können sich gegenseitig erreichen.
Nutzen: Zusätzliche Isolation, z. B. in Colocation-Umgebungen oder Rechenzentren.
2.4.3 VLAN & Sicherheit
Rogue DHCP-Server: Sperren unautorisierte DHCP-Server in VLANs (DHCP Snooping).
Dynamic ARP Inspection (DAI): Prüft ARP-Anfragen gegen DHCP-Bindings.
IP Source Guard: Blockiert IP-Spoofing, wenn IP und MAC nicht zusammenpassen.
2.4.4 Inter-VLAN-Routing
Um VLAN-übergreifend zu routen, benötigt man einen Layer-3-Switch oder Router:
Router-on-a-Stick
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
➔ Subinterfaces auf einem Router-Interface, die jeweils VLAN 10 bzw. VLAN 20 routen.
Layer-3-Switch (SVI – Switch Virtual Interface)
interface Vlan10
ip address 192.168.10.1 255.255.255.0
interface Vlan20
ip address 192.168.20.1 255.255.255.0
➔ Ein L3-Switch routet zwischen Vlan10 und Vlan20 intern, ohne externen Router.
3. Routing
3.1 Einführung ins Routing
Routing leitet Pakete vom Quell- zum Zielnetz weiter. Router analysieren IP-Ziele, vergleichen mit der Routing-Tabelle und leiten über das richtige Interface oder den nächsten Hop weiter. Kernbegriffe:
Default-Route:0.0.0.0/0 – wird genutzt, wenn keine spezifischere Route existiert.
ECMP: Verteilt Verkehr auf gleichwertige Pfade (OSPF, EIGRP, BGP).
4. Network Address Translation (NAT)
4.1 Warum NAT?
NAT ändert Quell- und/oder Ziel-IP-Adressen in Paketen. Hauptgründe:
IPv4-Adressknappheit: Private Adressen (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) im internen Netz, eine oder wenige öffentliche IPs nach außen.
Sicherheit: Maskiert interne Adressen, erschwert direkte Angriffe.
Flexibilität: Änderung interner Adresspläne ohne externe Anpassungen.
4.2 Typen von NAT
4.2.1 Static NAT (SNAT)
Feste Zuordnung einer privaten zu einer öffentlichen IP.
# Linux (iptables):
sudo iptables -t nat -A PREROUTING -d <öffentliche_IP> -j DNAT --to-destination 10.0.0.10
sudo iptables -t nat -A POSTROUTING -s 10.0.0.10 -j SNAT --to-source <öffentliche_IP>
4.2.2 Dynamic NAT
Pool öffentlicher IPs, interne Hosts erhalten bei Bedarf eine Adresse aus dem Pool.
# Cisco IOS:
ip nat pool POOL-1 203.0.113.10 203.0.113.20 netmask 255.255.255.0
ip nat inside source list 1 pool POOL-1
access-list 1 permit 10.0.0.0 0.0.0.255
4.2.3 PAT / Masquerading
Viele interne Hosts nutzen eine einzige öffentliche IP, Unterscheidung über Portnummer.
# Linux (iptables):
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Cisco IOS:
ip nat inside source list 1 interface FastEthernet0/0 overload
access-list 1 permit 10.0.0.0 0.0.0.255
4.2.4 NAT in IPv6
IPv6-Adressraum ist groß, NAT typisch nicht notwendig. Ausnahme:
NAT64 / DNS64: Ermöglicht IPv6-only Hosts, auf IPv4-Server zuzugreifen.
Protokollempfindlichkeit: Anwendungen, die IPs im Payload nutzen (FTP, SIP), benötigen ALGs.
Port-Exhaustion bei PAT: Viele interne Hosts können Ports erschöpfen.
Dokumentation aller NAT-Regeln, Portweiterleitungen.
IPv6-Umstieg langfristig zur Vermeidung von NAT anstreben.
5. OSI-Modell und Firewall/QoS/Traffic Shaping
Das OSI-Modell gliedert Netzwerkfunktionen in sieben Schichten. Relevante Schichten hier:
L2/L3: Data Link & Network – Switches, MAC-Filter, IP-Routing, grundlegende Firewall-Funktionalität.
L4: Transport – TCP/UDP-Ports, QoS-Klassifizierung, Firewall-Regeln basierend auf Ports, Traffic Shaping.
L7: Anwendung – DPI, Application-Aware Firewall, Traffic Shaping basierend auf Anwendungstyp (z. B. HTTP, BitTorrent).
5.1 Layer 2 (Data Link) & Layer 3 (Network)
5.1.1 Layer 2: Switches, MAC-Adressen & VLANs
Jedes Gerät hat eine 48-Bit MAC-Adresse (z. B. 00:1A:2B:3C:4D:5E). Switches lernen MACs über empfangene Frames und leiten zielgerichtet weiter. VLANs (802.1Q Tagging) unterteilen das LAN in logische Segmente.
5.1.2 Layer 3: IP-Routing & Firewall-Basics
Router leiten IP-Pakete anhand der Zieladresse weiter. Eine Layer-3-Firewall (z. B. iptables) filtert auf IP-Ebene:
# Beispiel: Blocke Traffic von 192.168.10.0/24 zu 10.0.0.0/24
sudo iptables -A FORWARD -s 192.168.10.0/24 -d 10.0.0.0/24 -j DROP
# Erlaube ICMP
sudo iptables -A INPUT -p icmp -j ACCEPT
Bridge-Firewalls (L2) arbeiten transparent zwischen zwei Interfaces und können MAC-, VLAN- oder begrenzt IP-Filterung durchführen (z. B. ebtables).
5.2 Layer 4 (Transport): QoS & Firewall-Regeln
5.2.1 Firewall auf L4 (iptables-Beispiele)
# Erlaube HTTP/HTTPS:
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# SSH nur vom internen Netz:
sudo iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 22 -j ACCEPT
# Blockiere alle UDP-Pakete zu Port 53 (DNS) von außen:
sudo iptables -A INPUT -p udp --dport 53 -j DROP
5.2.2 QoS-Klassifizierung anhand L4
DSCP-Markierung (Differentiated Services) zur Priorisierung:
In Kombination mit tc lässt sich Bandbreite priorisieren:
# Root-Qdisc mit HTB auf eth0
sudo tc qdisc add dev eth0 root handle 1: htb default 20
# Klassen für Normaltraffic (10 Mbit) und High-Priority (2 Mbit)
sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 10mbit ceil 10mbit
sudo tc class add dev eth0 parent 1: classid 1:2 htb rate 2mbit ceil 2mbit
# Filter: DSCP 0x2e in High-Priority-Klasse
sudo tc filter add dev eth0 protocol ip parent 1: prio 1 u32 \
match ip dsfield 0x2e 0xfc flowid 1:2
Dadurch erhalten z. B. VoIP-Pakete (DSCP EF) geringe Latenz.
5.2.3 Traffic Shaping & Rate Limiting
Begrenzung von FTP-Traffic (TCP 21) auf 1 Mbit/s:
# Root‐HTB auf eth0
sudo tc qdisc add dev eth0 root handle 1: htb default 30
# Klasse 1:10 mit 1 Mbit
sudo tc class add dev eth0 parent 1: classid 1:10 htb rate 1mbit ceil 1mbit
# Filter: FTP in Klasse 1:10
sudo tc filter add dev eth0 protocol ip parent 1: prio 1 u32 \
match ip protocol 6 0xff match ip dport 21 0xffff flowid 1:10
5.3 Layer 7 (Application): DPI & Traffic Shaping
Deep Packet Inspection (DPI) analysiert Payload, um Anwendungen (HTTP, BitTorrent, VoIP) zu erkennen und gezielt zu regeln.
5.3.1 L7-Firewall mit nDPI & iptables
# Installation unter Debian
sudo apt install libndpi-utils xtndpi-tools
# Modul laden
sudo modprobe xt_ndpi
# Erlaube HTTP/HTTPS, blockiere BitTorrent
sudo iptables -A FORWARD -m ndpi --ct_application http --ct_application https -j ACCEPT
sudo iptables -A FORWARD -m ndpi --ct_application bittorrent -j DROP
5.3.2 Traffic Shaping basierend auf Anwendung
Squid Proxy: Bandbreitenlimits pro Client/Domain (delay_pools). Beispiel:
# In squid.conf:
delay_pools 1
delay_class 1 2
delay_parameters 1 125000/125000 125000/125000
delay_access 1 allow all
Kommerzielle Firewalls (pfSense, Palo Alto, Fortinet): Bieten integrierte L7-Klassifizierung, QoS- und Traffic-Shaping-Regeln je nach Anwendung (z. B. YouTube, VoIP, P2P).
6. Praktische Anwendungsfälle & Best Practices
6.1 Netzwerksegmentierung & Sicherheitszonen
Typische Zonen in Unternehmensnetzwerken:
DMZ (Demilitarized Zone): Öffentliche Server (Web, Mail). Strikte Firewall-Regeln zwischen DMZ und internem Netz sowie DMZ und Internet.
Internes LAN: Arbeitsplätze, Desktops, Laptops. Zugriff auf interne Ressourcen.
Management-Netz: Nur für Administrationszugriff auf Netzwerkgeräte (Switches, Router, Firewalls).
Beispiel-Konfiguration (Cisco IOS + iptables):
# Router/Layer-3-Switch:
interface GigabitEthernet0/1
description Internes_LAN
ip address 192.168.10.1 255.255.255.0
ip nat inside
interface GigabitEthernet0/2
description DMZ
ip address 10.10.10.1 255.255.255.0
ip nat inside
interface GigabitEthernet0/3
description WAN
ip address 203.0.113.2 255.255.255.252
ip nat outside
ip nat inside source list 100 interface GigabitEthernet0/3 overload
access-list 100 permit 192.168.10.0 0.0.0.255
access-list 100 permit 10.10.10.0 0.0.0.255
# Firewall (iptables):
# Erlaube HTTP/HTTPS aus Internet in DMZ
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT
# Erlaube Rückverkehr aus DMZ ins Internet
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Blockiere SSH aus Internet ins interne LAN
iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 22 -j DROP
# Erlaube SSH aus internem LAN ins Internet
iptables -A FORWARD -i eth2 -o eth0 -p tcp --sport 22 -j ACCEPT
➔ GigabitEthernet0/1 = Internes LAN (192.168.10.0/24), NAT Inside.
➔ GigabitEthernet0/2 = DMZ (10.10.10.0/24), NAT Inside.
➔ GigabitEthernet0/3 = WAN (203.0.113.2), NAT Outside.
➔ Zugriffe nur selektiv erlauben, DMZ von internem Netz isolieren.
6.2 QoS in Unternehmensnetzwerken
Wichtige Traffic-Klassen:
VoIP & Videokonferenzen: Niedrige Latenz, markiert mit DSCP EF (46).
Geschäftskritische Applikationen: Mittlere Priorität, DSCP AF (z. B. AF21–AF23).
class-map match-any VOIP
match protocol rtp audio
match protocol rtp video
policy-map QOS-POLICY
class VOIP
priority percent 30
class class-default
fair-queue
interface GigabitEthernet0/1
service-policy output QOS-POLICY
➔ VoIP-Streams erhalten bis zu 30 % der Bandbreite (Low-Latency Queuing), restlicher Traffic wird fair verteilt.
Auf Linux mit tc analog priorisieren und klassifizieren (siehe Abschnitt 5.2).
6.3 NAT & DMZ-Szenarien
Interner Webserver (10.10.10.10) soll unter 203.0.113.100 von außen erreichbar sein:
# Edge-Router/Firewall (iptables):
# DNAT: Externe IP → intern
iptables -t nat -A PREROUTING -d 203.0.113.100 -p tcp --dport 80 -j DNAT --to-destination 10.10.10.10:80
iptables -t nat -A PREROUTING -d 203.0.113.100 -p tcp --dport 443 -j DNAT --to-destination 10.10.10.10:443
# Masquerade für internes Netz
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
# Firewall-Regeln:
# Erlaube HTTP/HTTPS aus Internet an Webserver
iptables -A FORWARD -p tcp -d 10.10.10.10 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 10.10.10.10 --dport 443 -j ACCEPT
# Erlaube Rückverkehr
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Erlaube internes Netz ins Internet
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
➔ DNAT leitet HTTP/HTTPS-Anfragen an den internen Webserver weiter. Masquerade erlaubt internem Netz Internet-Zugriff über öffentliche IP.
Mehrschichtige Verteidigung (“Defense in Depth”) ist essenziell: Ein Angreifer, der eine Schicht umgeht, trifft auf höhere Schichten mit weiteren Kontrollen.
6.5 Virtualisierung & Container-Netzwerke
In Virtualisierungsumgebungen (KVM, VMware, Proxmox) und Containern (Docker, Kubernetes) gelten dieselben Netzwerkkonzepte:
Bridge-Netzwerke: Virtuelle Maschinen/Container hängen an einer Linux-Bridge (br0).
VLAN-Tagging: Virtuelle Interfaces (eth0.10) transportieren VLAN-Traffic. Hypervisor-Host muss VLAN konfiguriert haben.
Overlay-Netzwerke: Kubernetes CNI-Plugins (Flannel, Calico) nutzen VXLAN oder IP-in-IP, um Container-Cluster über Hosts hinweg zu verbinden.
Firewall-Regeln (iptables, nftables) und QoS müssen sowohl auf Host-Ebene als auch innerhalb der virtuellen Netzwerke angewendet werden. In Kubernetes regelt man Pod-to-Pod Traffic mit Network Policies (Layer 3/4).
6.6 Troubleshooting & Monitoring
Ping & Traceroute: Grundlegende Konnektivitäts- und Pfadanalyse.
tcpdump & Wireshark: Paketmitschnitt auf Layer 2–4, Protokollanalyse.
netstat & ss: Aktive Verbindungen und Listening-Ports anzeigen.
iftop, nload, vnstat: Echtzeit-Bandbreitenüberwachung auf Interfaces.
iperf, iperf3: Bandbreitentests zwischen zwei Endpunkten.
tc qdisc show: QoS- und Traffic-Shaping-Konfigurationen anzeigen.
iptables -L -v -n: Firewall-Regeln und Paket-/Byte-Zähler prüfen.
ip rule show, ip route show table all: Spezielle Routing-Tabellen (VRF, Policy Routing).
Monitoring mit Prometheus/Grafana, Zabbix oder Nagios ermöglicht Alerting bei Bandbreitenengpässen, Paketverlusten, instabilen Routen oder ungewöhnlichen Traffic-Spitzen.
7. Zusammenfassung & Ausblick
Diese strukturierte Seite hat die fundamentalen Netzwerkthemen wie Subnetting, VLAN, Routing, NAT und OSI-Modell behandelt. Wichtige Erkenntnisse:
Subnetting: Effiziente Adressvergabe mit CIDR und VLSM, Unterstützung durch Subnetzrechner.
NAT: Static NAT, Dynamic NAT, PAT, IPv6-NAT-Konzepte (NAT64), Vor- und Nachteile, Dokumentationspflicht.
OSI-Modell: L2/L3-Firewall-Grundschutz, L4-QoS und L7-DPI, Application-Aware-Firewalls, Traffic-Shaping-Mechanismen.
Best Practices: Segmentierung in Sicherheitszonen, konsequente Dokumentation, End-to-End-QoS, mehrschichtige Sicherheitsarchitektur (“Defense in Depth”).
Emerging Trends:
SDN (Software-Defined Networking): Zentrale Steuerung von Routing und Switching (OpenFlow, OVSDB).
NFV (Network Function Virtualization): Virtuelle Firewalls, Load Balancer, Router als VMs/Container.
Zero Trust Architecture: Mikrosegmentierung, strikte Authentifizierung auf allen Schichten.
Cloud-Native Networking: Kubernetes CNI, Service Mesh (Istio), Overlay-Technologien.
Mit diesem Wissen sind Sie bestens gerüstet, um moderne Netzwerke sicher, performant und skalierbar aufzubauen und zu betreiben. Bleiben Sie neugierig und verfolgen Sie kontinuierlich neue Entwicklungen im Bereich Netzwerkarchitektur und -sicherheit!