hagel IT-Services
Festpreis-Angebot
14 Min.

Subnetting erklärt: IP-Adressen, Subnetzmaske & CIDR für IT-Entscheider (2026)

KI
Karl Isler in IT-Insights

Subnetting in 50 Wörtern

Subnetting unterteilt ein IP-Netzwerk in kleinere logische Subnetze. Eine IPv4-Adresse besteht aus 32 Bit (4 Oktette à 8 Bit). Die Subnetz-Maske (CIDR-Notation /24, /26, /28) bestimmt, wie viele Bits für Netzwerk vs Host verwendet werden. Beispiel: 192.168.1.0/24 = 256 IP-Adressen, /26 = 64 Adressen, /28 = 16 Adressen pro Subnetz.

Subnetting Grundlagen — CIDR-Tabelle und Praxis

CIDRAdressen gesamtNutzbare HostsTypischer Einsatz
/24256254Standard-Bürosegment
/25128126Großes Büro / VoIP
/266462Mittleres Abteilungsnetz
/273230Kleines Abteilungsnetz
/281614Management-Netz
/2986Kleines Server-Segment

Diese Übersicht zeigt nur die Grundlagen — wer tiefer in den Business-Nutzen, Segmentierungs-Strategien und konkrete Migrationspfade einsteigen will, findet das im Vertiefungs-Artikel Subnetting — warum es in modernen Netzwerken unverzichtbar ist. Für die Planung der gesamten Netzwerk-Infrastruktur in Hamburg siehe Netzwerk & WLAN Hamburg.

Inhalt in Kürze

  • Subnetting zerlegt ein großes IP-Netz in mehrere kleinere Teilnetze — mehr Ordnung, bessere Performance, klare Sicherheitsgrenzen.
  • Subnetzmaske + CIDR bestimmen, wie viele Geräte in ein Subnetz passen: /24 = 254 Hosts, /26 = 62, /29 = 6.
  • Die drei RFC-1918-Bereiche (10.x / 172.16-31.x / 192.168.x) sind für interne Firmennetze reserviert — am flexibelsten ist 10.0.0.0/8.
  • VLAN + Subnetting gehören zusammen: VLAN trennt Datenverkehr auf Switch-Ebene, Subnetting auf IP-Ebene. Nur die Kombination ergibt saubere Segmentierung.
  • Wachstumsreserve einplanen: Puffer 2x — wer heute 30 Geräte hat, plant 60. Sonst stehen Sie in drei Jahren wieder am Reißbrett.

Was ist Subnetting?

Subnetting ist das Aufteilen eines großen IP-Adressraums in mehrere kleinere Teilnetze — sogenannte Subnetze. Jedes Subnetz bildet eine logische Einheit, in der Geräte direkt miteinander kommunizieren. Zwischen Subnetzen vermittelt ein Router, eine Firewall oder ein Layer-3-Switch.

Warum macht man das? Drei Gründe. Erstens Ordnung: Wenn Sie 200 Geräte in einem einzigen Netz haben, wird jede Fehlersuche zur Plackerei. Zweitens Performance: Broadcast-Traffic (ARP, DHCP-Discover, NetBIOS) bleibt im Subnetz und erreicht nicht das ganze Haus. Und drittens Sicherheit: Ein sauberer Subnetz-Schnitt ist die Voraussetzung dafür, dass Ihre Firewall-Regeln — etwa im Rahmen einer Managed Firewall — überhaupt etwas wert sind. Als IT-Systemhaus Hamburg begleiten wir diese Planung seit 18 Jahren.

Tipp für Geschäftsführer:

Sie müssen keine Binär-Rechnerei beherrschen, um die richtigen Fragen zu stellen. Prüfen Sie: Haben wir einen dokumentierten Netzplan? Ist unser Gäste-WLAN wirklich vom Produktivnetz getrennt? Wer kommt von wo auf den Server? Drei Fragen, die zeigen, ob Ihr IT-Team oder -Dienstleister sauber arbeitet.

Die Grundlagen: IP-Adresse + Subnetzmaske + CIDR

Eine IPv4-Adresse besteht aus 32 Bit, geschrieben als vier Oktette (z.B. 192.168.10.42). Davon gehört ein Teil zum Netzwerk-Präfix, der Rest identifiziert das einzelne Host-Gerät. Wo die Grenze liegt, legt die Subnetzmaske fest. Wer die Basics von IP, OSI-Modell und Paket-Flow auffrischen will: unser Cluster-Artikel TCP/IP, OSI & Subnetting einfach erklärt liefert die Grundlagen kompakt.

Klassisches Beispiel: 192.168.10.42 mit Subnetzmaske 255.255.255.0 → die ersten drei Oktette (192.168.10) sind Netz, das letzte (42) ist Host. In CIDR-Notation schreibt man das als 192.168.10.0/24 — die 24 steht für die Bits, die zum Netz-Präfix gehören (3 × 8 = 24).

Die wichtigsten CIDR-Größen im Überblick

CIDRSubnetzmaskeHostsTypischer Einsatz
/30255.255.255.2522Router-zu-Router-Links
/29255.255.255.2486Kleines Server-Segment, DMZ
/28255.255.255.24014Management-Netz für Switches
/27255.255.255.22430Kleines Abteilungsnetz
/26255.255.255.19262Mittleres Büro (~40 Arbeitsplätze)
/25255.255.255.128126Großes Büro / VoIP-VLAN
/24255.255.255.0254Standard-Segment
/23255.255.254.0510Großes WLAN-Netz / Campus
/22255.255.252.01.022Ganzer Standort

Faustformel: Verfügbare Hosts = 2^(32 − Präfix) − 2. Warum minus 2? Die erste Adresse im Subnetz ist die Netzadresse, die letzte die Broadcast-Adresse. Beide sind für Geräte tabu.

Die drei privaten IP-Bereiche (RFC 1918)

Für interne Firmennetze sind laut RFC 1918 der IETF drei Bereiche reserviert, die nie ins öffentliche Internet geroutet werden:

  • 10.0.0.0/8 — ca. 16,7 Millionen Adressen, beliebt in KMU und Enterprise
  • 172.16.0.0/12 — 172.16.x.x bis 172.31.x.x, häufig in Docker/Cloud-Setups
  • 192.168.0.0/16 — der Klassiker für Heim- und Kleinbüronetze

Praxistipp: Wenn Sie in Zukunft Site-to-Site-VPN zu Partnern, Kunden oder einem zweiten Standort planen, vermeiden Sie 192.168.1.0/24 und 192.168.0.0/24 — diese Bereiche sind so verbreitet, dass Adresskollisionen fast garantiert sind. Besser ist ein sauberer 10.x.y.0/24-Plan pro Standort.

Subnetting-Rechenbeispiele

Theorie ist schön. Jetzt die praxisnahen Fälle, die uns bei Hamburger Mittelstandskunden zwischen 20 und 150 Mitarbeitern täglich begegnen.

Beispiel 1: Werbeagentur, 8 Mitarbeiter, ein Standort

Ausgangslage: Alles hängt am Router-WLAN, ein großes 192.168.0.0/24. Noch funktional, aber keine Trennung zwischen Gäste-WLAN, Produktivnetz und dem einen NAS im Keller.

Saubere Aufteilung:

  • 10.10.10.0/24 — Büro (254 Hosts, Puffer für Wachstum)
  • 10.10.20.0/27 — Server/NAS (30 Hosts, reicht lange)
  • 10.10.30.0/24 — Gäste-WLAN (isoliert, kein Zugriff auf LAN)
  • 10.10.99.0/29 — Management (Switches, AP-Controller, Firewall-Backup-Port)

Beispiel 2: Steuerkanzlei, 35 Mitarbeiter

Typisches Setup mit DATEV-Server, VoIP-Anlage und eigenem Drucker-Netz. Hier zahlt sich saubere Segmentierung sofort aus — jedes Subnetz bekommt sein eigenes VLAN, die Firewall kontrolliert den Verkehr. Details zu den Compliance-Anforderungen in dieser Branche: IT für Steuerkanzleien.

  • 10.20.10.0/24 — Arbeitsplätze (254 Hosts)
  • 10.20.20.0/27 — DATEV-Server + File-Server
  • 10.20.30.0/26 — VoIP-Telefone (62 Geräte, eigenes VLAN mit QoS)
  • 10.20.40.0/28 — Drucker (14 Hosts — mehr braucht keine Kanzlei)
  • 10.20.50.0/24 — Gäste-WLAN

Beispiel 3: Bauunternehmen, 150 Mitarbeiter, 3 Standorte

Hier kommt VLSM (Variable Length Subnet Masking) voll zur Geltung. Jeder Standort bekommt einen eigenen /22-Block, innerhalb dessen feiner segmentiert wird. Das ermöglicht sauberes Routing über Site-to-Site-VPN ohne Überschneidungen.

  • Hamburg: 10.30.0.0/22 (1.022 Hosts, intern in /24-Segmente geteilt)
  • Bremen: 10.31.0.0/22
  • Kiel: 10.32.0.0/22

Der Clou: Beim Firewall-Regelwerk können Sie ganze Standorte mit einer einzigen Regel adressieren (10.30.0.0/22 → 10.31.0.0/22 allow SMB), statt hundert Einzelregeln zu pflegen.

Die meisten Netzwerkprobleme, die wir bei Neukunden finden, sind keine Technikfehler — es sind Planungsfehler aus den Anfangstagen. Irgendwann hat jemand schnell ein /24 eingerichtet, und jetzt hängen 15 Jahre später 180 Geräte drin, inklusive Gäste-Handys und der Kaffeemaschine. Wir räumen das dann auf, und plötzlich läuft das Netz wieder. Nicht selten spart das am Ende einen kompletten Hardware-Tausch.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH
Subnetting in der Praxis: Server-Rack mit mehreren VLANs und Subnetzen im Hamburger Rechenzentrum
Sauberes Subnetting endet nicht am Switch — es muss bis ins Server-Segment konsistent durchgezogen sein.

VLSM und CIDR im Business-Netzwerk

VLSM (Variable Length Subnet Masking) heißt: Sie dürfen innerhalb eines größeren Blocks verschieden große Subnetze bilden. Das war nicht immer so — bis Anfang der 90er galten die starren Klassen A/B/C (mit festen Subnetzmasken), und wer mehr als 254 Hosts brauchte, bekam gleich ein ganzes Class-B-Netz mit 65.000 Adressen zugeteilt. Diese Verschwendung hat das IPv4-Adressproblem überhaupt erst ausgelöst.

CIDR wurde 1993 in RFC 1519 eingeführt und hat die Klassen abgeschafft. Heute ist jede Präfixlänge zwischen /8 und /30 frei wählbar. Das macht saubere Planung möglich — Sie vergeben genau so viele Adressen wie gebraucht, plus Puffer.

Planungslogik für Ihr Unternehmen

  1. Standorte zählen. Jeder Standort bekommt einen eigenen großen Block (z.B. /22 oder /21), damit Routing zwischen den Standorten sauber funktioniert.
  2. Funktionen definieren. Büro, Server, VoIP, Drucker, Gäste, Management, IoT/Produktion, VPN-Clients — jede Funktion wird ein eigenes Subnetz.
  3. Größe schätzen + Puffer 2x. Wie viele Geräte heute? Mal zwei für die nächsten 3-5 Jahre. Dann die passende CIDR-Größe wählen.
  4. Nummerierung systematisch. Sprechende Muster wie 10.{Standort}.{Funktion}.0/24 — das erleichtert Troubleshooting enorm.
  5. Dokumentieren. Tabelle mit Subnetz, Zweck, VLAN-ID, Gateway, DHCP-Range. Ohne Doku ist jede Segmentierung wertlos.

VLAN + Subnetting = echte Segmentierung

Ein sauberer IP-Plan auf Papier bringt Ihnen gar nichts, wenn alle Geräte physisch am selben Switch-Port-Pool hängen. Deshalb gehört VLAN (Virtual LAN, IEEE 802.1Q) immer mit dazu. VLANs trennen den Datenverkehr auf der Ethernet-Ebene — zwei Geräte im gleichen VLAN sehen sich, zwei Geräte in unterschiedlichen VLANs nicht, selbst wenn sie am gleichen Switch hängen.

Die eiserne Regel: 1 VLAN = 1 IP-Subnetz. Punkt. Alles andere wird zum Albtraum, sobald jemand das Netz auseinanderbauen muss.

Typisches Segmentierungsmodell für KMU

VLAN-IDSubnetzZweckWer darf wohin?
1010.10.10.0/24Büro-Arbeitsplätze→ Internet, Server, Drucker
2010.10.20.0/27Server← nur aus Büro + Admin
3010.10.30.0/26VoIP→ nur Telefon-Gateway
4010.10.40.0/28Drucker← nur aus Büro
5010.10.50.0/24Gäste-WLAN→ nur Internet, NIX sonst
9910.10.99.0/29Managementnur Admin-Zugriff

Der spannende Teil ist die rechte Spalte — das sind die Firewall-Regeln zwischen den Segmenten. Ohne saubere Subnetz-Grenzen können Sie diese Regeln gar nicht erst schreiben.

Klassischer Fehler:

Gäste-WLAN liegt im selben Subnetz wie Büro-Arbeitsplätze. Ein Besucher verbindet sich mit dem WLAN und ist plötzlich auf dem Datei-Server sichtbar. Das passiert häufiger, als Sie denken — vor allem bei Setups, die vor 2018 aufgesetzt wurden. Wir sehen das bei jedem zweiten Audit — ein klassisches Thema für Cybersecurity-Beratung im Mittelstand.

Netzwerk-Check gefällig?

15 Minuten. Kostenlos. Ehrlich: Ist Ihr aktuelles Setup sauber segmentiert oder reif für einen Refresh?

Erstgespräch buchen →
Netzwerk-Administrator prüft Patch-Panel und dokumentiert Subnetting-Plan im Hamburger Firmenrechenzentrum
Ohne saubere Dokumentation der Subnetze wird jede Netzwerk-Erweiterung zur Archäologie.

Ich habe neun IT-Häuser angeschrieben. Nur drei haben ein Angebot geschickt, das ich als Nicht-ITler verstanden habe. hagel IT war eins davon.

Andreas Weber · Finanzleitung, Bauunternehmen, 150 Mitarbeiter

Subnetting-Planung für ein wachsendes Unternehmen

Wenn Sie heute 30 Mitarbeiter sind und in drei Jahren vielleicht 60 — dann planen Sie das Netz von Anfang an für 60. Oder noch besser: für 100. Hier ist die Denkweise, die sich bei unseren Kunden bewährt.

Die 2x-Puffer-Regel

Zählen Sie alle Endgeräte heute: Arbeitsplätze, Laptops, Telefone, Drucker, WLAN-Geräte, IoT-Sensoren, Kassenterminals, Zutrittskontrolle. Verdoppeln Sie die Zahl. Das ist Ihre Mindest-Kapazität. Runden Sie dann auf die nächstgrößere CIDR-Grenze auf.

30 MA
heutige Größe
~90
Endgeräte inkl. Handys/Drucker
180
Puffer 2x für 2029
/24
passende Subnetz-Größe

Die 5-Jahres-Frage

Bevor Sie die erste IP-Adresse vergeben, klären Sie mit der Geschäftsführung:

  • Planen wir weitere Standorte? → Reservieren Sie jetzt schon Bereiche wie 10.20.0.0/16, 10.30.0.0/16.
  • Kommt VoIP dazu? → Eigenes VLAN mit eigenem Subnetz einplanen.
  • Produktions-/IoT-Netz? → Pflicht-Trennung vom Büronetz (auch DSGVO-relevant).
  • Home-Office via VPN? → Eigener Subnetz-Bereich für VPN-Clients, damit Firewall-Regeln greifen.

Viele dieser Antworten haben direkte Auswirkungen auf die Netzwerk-Planung. Siehe auch unseren Artikel Netzwerk einrichten im Unternehmen mit konkreter Kostenschätzung.

Die 7 häufigsten Fehler beim Subnetting

  • Alles in ein /24 gepackt. Der Klassiker. Ein flaches Netz für alles — kein VLAN, keine Firewall dazwischen. Skaliert bis ~50 Geräte, dann wird es zäh.
  • 192.168.1.0/24 verwendet. Kollidiert garantiert mit einem Partner-/Home-Office-VPN. Nehmen Sie 10.x.y.0/24 mit sprechender Nummerierung.
  • VLAN ohne Subnetz-Trennung. VLAN 10 und 20 auf demselben IP-Bereich — funktioniert scheinbar, wird aber zur Fehlerquelle, sobald Routing dazu kommt.
  • Kein Management-Netz. Switches, Access Points und Server-IPMI-Ports liegen im normalen Büronetz — ein erfolgreicher Phishing-Angriff gibt dem Angreifer direkten Admin-Zugriff.
  • DHCP-Range = gesamtes Subnetz. Keine Reserve für statische Server-IPs. Beim ersten Server-Ausfall fällt auf, dass die IP schon vom DHCP an einen Drucker vergeben wurde.
  • Keine Doku. Der IT-Mitarbeiter, der das Netz aufgesetzt hat, ist nicht mehr da. Niemand weiß, welches VLAN für was ist. Jeder Umbau dauert doppelt so lang.
  • Gäste-WLAN nicht isoliert. Nur ein eigenes SSID, aber das gleiche Subnetz wie das Büro. Ein Besucher sieht den Datei-Server.

Checkliste: Ihr Subnetting-Plan in 10 Schritten

  1. Bestandsaufnahme: Alle aktuellen IP-Bereiche, VLANs und DHCP-Ranges auflisten.
  2. Endgeräte zählen: Heute × 2 = Mindest-Kapazität.
  3. Funktionen definieren: Büro, Server, VoIP, Drucker, Gäste, IoT, Management, VPN-Clients.
  4. Privaten Bereich wählen: 10.0.0.0/8 für Unternehmen mit Wachstumsabsicht; 172.16/12 okay; 192.168/16 nur für ganz kleine Setups.
  5. Standort-Blöcke reservieren: Pro Standort einen /22 oder /21 vorhalten — auch wenn es heute nur einen Standort gibt.
  6. CIDR pro Funktion ableiten: Passende Subnetzgröße aus der Tabelle oben wählen.
  7. VLAN-IDs vergeben: Konsistentes Schema — z.B. VLAN-ID spiegelt das dritte Oktett.
  8. Firewall-Regelwerk skizzieren: Wer darf wohin? Default: Deny. Explizit freigeben, was erlaubt ist.
  9. Dokumentieren: Tabelle mit Subnetz, VLAN, Zweck, Gateway, DHCP-Range, DNS.
  10. Review durch erfahrenen Netzwerker. Vier Augen finden drei Fehler, die Sie selbst nie gesehen hätten.
Das Wichtigste: Subnetting ist kein Selbstzweck — es ist die Grundlage dafür, dass Firewall-Regeln, VLAN-Trennung und Zugriffssteuerung überhaupt etwas wert sind. Ein sauber segmentiertes Netz ist der Unterschied zwischen „Phishing-Opfer verliert einen Laptop" und „Phishing-Opfer verliert die ganze Firma".

Was Sie heute tun können — ohne IT-Studium

Auch als Geschäftsführer ohne Technik-Hintergrund können Sie den Status Ihres Netzwerks in wenigen Minuten einschätzen. Fragen Sie Ihren IT-Dienstleister — oder Ihren internen Admin — diese fünf Dinge:

  1. Gibt es einen aktuellen Netzplan? (Tabelle reicht, kein schickes Visio.) Wenn nein: Problem.
  2. Wie viele VLANs haben wir? Weniger als 3 bei mehr als 20 Mitarbeitern → zu wenig.
  3. Ist das Gäste-WLAN vom Produktivnetz getrennt? Direkte Frage, direkte Antwort.
  4. Wo liegen unsere Server im Subnetz-Plan? Gleiche Range wie Arbeitsplätze = Risiko.
  5. Haben wir IPs reserviert für künftige Standorte / Home-Office-VPN? Wenn „schauen wir dann” → Planungslücke.

Wer bei einer dieser Fragen ins Stocken gerät, sollte sich in den nächsten 12 Monaten einen Netzwerk-Audit leisten. Details dazu finden Sie in unserer Übersicht Netzwerk & WLAN Hamburg und ergänzend in der IP-Adresse, DNS & Gateway Basics. Wer einen ganzheitlichen Betrieb plant, findet die Leistungsbeschreibung unter Managed IT Services.

Fazit

Subnetting ist mehr als eine Rechenaufgabe aus dem zweiten Semester Informatik — es ist die stille Grundlage jedes funktionierenden Unternehmensnetzwerks. Ein flaches /24 mit 200 Geräten ist wie ein Großraumbüro ohne Trennwände: Es funktioniert, bis der erste Kollege beginnt, laut zu telefonieren. Und die erste wirklich böse Überraschung gibt es, wenn ein Angreifer im Netz ist und sich ungehindert ausbreiten kann.

Die gute Nachricht: Subnetting richtig zu planen ist einmalig Aufwand — und dann für 10+ Jahre Fundament. Wer einmal sauber getrennte Subnetze mit konsistenten VLANs hat, profitiert bei jeder Firewall-Regel, jedem Umzug, jeder Zertifizierung, jedem Sicherheitsvorfall. Unsere Kunden in Hamburg und Norddeutschland merken das spätestens dann, wenn das erste Mal ein Mitarbeiter auf einen Phishing-Link klickt — und der Schaden auf genau ein Subnetz begrenzt bleibt.

Wenn Ihr Netzwerk heute mehr gewachsen als geplant wirkt: Das ist normal. Fast jedes KMU war mal an diesem Punkt. Ein strukturierter Refresh — idealerweise bei einem anstehenden Umzug, Firewall-Wechsel oder VoIP-Rollout — ist die Gelegenheit, den Kram einmal richtig aufzuräumen. Wir begleiten das regelmäßig bei Kunden zwischen 20 und 150 Mitarbeitern.

Ihr nächster Schritt: Wenn Sie diesen Artikel bis hierhin gelesen haben, stehen Sie vor einer konkreten Frage zu Ihrem eigenen Netzwerk. Schreiben Sie sie auf. Und dann rufen Sie uns an — oder buchen Sie ein 15-Minuten-Erstgespräch. Wir sagen Ihnen ehrlich, ob ein Refresh überfällig ist oder nicht.

Netzwerk-Planung vom Hamburger IT-Partner.

Von der ersten Analyse bis zum sauberen Subnetting-Plan — persönlich, pragmatisch, mit Festpreis.

Jetzt Erstgespräch buchen →

Weiterführende Quellen

Karl Isler
Karl Isler
IT-Experte & Autor, hagel IT-Services GmbH

Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Gesundheit
Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Subnetting unterteilt ein IP-Netzwerk in kleinere logische Subnetze. Eine IPv4-Adresse besteht aus 32 Bit (4 Oktette à 8 Bit). Die Subnetz-Maske (CIDR-Notation /24, /26, /28) bestimmt, wie viele Bits für Netzwerk vs Host verwendet werden. Beispiel: 192.168.1.0/24 = 256 IP-Adressen, /26 = 64 Adressen, /28 = 16 Adressen pro Subnetz.

Die Faustformel lautet 2^(32 − Präfix) für die Gesamt-IP-Anzahl, davon minus 2 für nutzbare Hosts (Netz- und Broadcast-Adresse). Beispiele: /24 = 256 (254 Hosts), /25 = 128 (126), /26 = 64 (62), /27 = 32 (30), /28 = 16 (14), /29 = 8 (6). Je größer die Präfix-Zahl, desto kleiner das Subnetz.

Spätestens ab ~30 Geräten oder sobald Sie Gäste-WLAN, VoIP, Server und Drucker im Netz haben. Mehrere Subnetze sind Pflicht für saubere Firewall-Regeln, DSGVO-konforme Trennung von Produktion und Büro sowie zur Eindämmung von Schadsoftware. Faustregel: Pro Funktion (Büro, Server, VoIP, Gäste, Drucker, Management) ein eigenes Subnetz plus passendes VLAN.

Subnetting ist das Aufteilen eines großen IP-Netzwerks in mehrere kleinere Teilnetze (Subnetze). Statt alle 254 möglichen Geräte eines /24-Netzes in einem gemeinsamen Pool zu halten, zerlegen Sie das Netz z.B. in vier /26-Subnetze mit je 62 nutzbaren Adressen — getrennt für Büro, Server, WLAN-Gäste und Drucker. Das Ergebnis: mehr Ordnung, bessere Performance, saubere Sicherheitsgrenzen.

Die Subnetzmaske 255.255.255.0 (CIDR /24) bedeutet: Die ersten drei Oktette der IP-Adresse gehören zum Netzwerk-Anteil, das letzte Oktett identifiziert das Gerät. In einem /24 stehen 254 nutzbare Host-Adressen zur Verfügung (256 minus Netzadresse und Broadcast). Das ist die Standardgröße für viele kleine Firmennetze, wird bei mehr als 50 Geräten aber schnell unübersichtlich.

CIDR (Classless Inter-Domain Routing) ist eine kompakte Schreibweise für IP-Netze. Statt '192.168.10.0 mit Subnetzmaske 255.255.255.0' schreibt man einfach '192.168.10.0/24'. Die Zahl nach dem Schrägstrich gibt an, wie viele Bits zum Netzwerk-Präfix gehören. CIDR erlaubt beliebige Netzgrößen — z.B. /25 (128 Adressen), /26 (64) oder /30 (4) — und hat die alten Netzklassen A/B/C abgelöst.

Die Faustformel lautet: 2^(32-präfix) minus 2 (für Netz- und Broadcast-Adresse). Konkret: /24 = 254 Hosts, /25 = 126 Hosts, /26 = 62 Hosts, /27 = 30 Hosts, /28 = 14 Hosts, /29 = 6 Hosts, /30 = 2 Hosts. Ein /30 wird typischerweise für Point-to-Point-Links zwischen Routern genutzt, ein /29 für kleine Server-Segmente.

Für 30 Endgeräte reicht formal ein /27 (30 Hosts), praktisch ist das aber zu knapp — Drucker, WLAN-Clients, Telefone und Wachstumsreserve kommen dazu. Besser: ein /26 mit 62 nutzbaren Adressen. Als Daumenregel gilt 'Puffer 2x': Planen Sie mindestens das Doppelte der heutigen Geräteanzahl ein, damit Sie in 3 Jahren nicht neu segmentieren müssen.

VLANs trennen Datenverkehr auf Layer 2 (Ethernet-Ebene) — Geräte in unterschiedlichen VLANs sehen sich gar nicht erst, auch wenn sie am selben Switch hängen. Subnetting trennt auf Layer 3 (IP-Ebene). In der Praxis gehören beide zusammen: Jedes VLAN bekommt genau ein IP-Subnetz. Der Router (oder Layer-3-Switch/Firewall) entscheidet dann, welche VLANs miteinander kommunizieren dürfen — genau dort greift Ihre Segmentierungspolitik.

Die konkrete Rechenarbeit macht Ihr IT-Team oder Dienstleister. Als Entscheider sollten Sie aber die Größenordnung verstehen: Wie ist unser Netzwerk heute aufgeteilt? Sind Gäste-WLAN, Büro und Server getrennt? Gibt es einen Netzplan? Wer im Ernstfall auf diese Fragen keine Antwort hat, zahlt später doppelt — bei jedem Umzug, jeder Zertifizierung, jedem Sicherheitsvorfall.

RFC 1918 definiert drei private IP-Bereiche für interne Netze: 10.0.0.0/8 (10.x.x.x, ca. 16,7 Mio. Adressen), 172.16.0.0/12 (172.16.x.x bis 172.31.x.x) und 192.168.0.0/16 (192.168.x.x, 65.536 Adressen). Für KMU hat sich 10.x.x.x etabliert, weil er flexibel in viele Subnetze teilbar ist. 192.168.x.x ist der klassische Consumer-/Kleinbüro-Bereich — bei Site-to-Site-VPNs kollidiert er aber oft mit Partner-Netzen.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU