Subnetz-Rechner Leitfaden — CIDR, Subnetzmasken & IP-Adressbereiche erklärt

Wer hat beim Anblick einer Subnetzmaske noch nie innerlich gestöhnt? Das Gefühl ist verbreitet. IP-Adressierung und Subnetting sind theoretisch komplex — aber in Netzwerkbetrieb, DevOps und Cloud-Infrastruktur kommt man schlicht nicht daran vorbei.

Dieser Leitfaden räumt mit dem Wirrwarr auf. Nach dem Lesen verstehen Sie, was CIDR-Notation wirklich bedeutet, wie Sie die Ausgabe eines Subnetz-Rechners sicher interpretieren und welche praktischen Szenarien in der täglichen Arbeit am häufigsten vorkommen. Den schnellen Weg bietet unser kostenloser Subnetz-Rechner — aber wer die Logik dahinter versteht, findet Fehler im Netzwerk deutlich schneller.

Was ist CIDR-Notation?

CIDR steht für Classless Inter-Domain Routing. Vor den 1990er-Jahren war die IP-Adressvergabe in starre Klassen — A, B und C — unterteilt, was zu enormer Adressverschwendung führte. CIDR ersetzte dieses System durch ein flexibles Präfix-Modell.

Bei 192.168.1.0/24 ist die Zahl hinter dem Schrägstrich die Präfixlänge. Sie gibt an, wie viele der 32 Bits einer IPv4-Adresse für das Netzwerk reserviert sind. Die übrigen Bits stehen den Hosts zur Verfügung.

• /24 — 24 Netzwerkbits, 8 Hostbits
• /16 — 16 Netzwerkbits, 16 Hostbits
• /8 — 8 Netzwerkbits, 24 Hostbits

Je kleiner die Präfixzahl, desto größer das Netzwerk. Ein /8 ist riesig (über 16 Millionen Hosts), ein /30 winzig (nur 2 nutzbare Hosts — ideal für Punkt-zu-Punkt-Verbindungen).

Subnetzmasken: Dieselbe Information, anderes Format

Eine Subnetzmaske ist CIDR-Notation in ausgeschriebener Punkt-Dezimal-Schreibweise. Beide Formate tragen identische Informationen:

CIDR	Subnetzmaske
/8	255.0.0.0
/16	255.255.0.0
/24	255.255.255.0
/25	255.255.255.128
/30	255.255.255.252

Die Maske wird bitweise mit der IP-Adresse verknüpft. Jede Bitposition mit einer 1 in der Maske gehört zum Netzwerk; jede mit einer 0 steht Hosts zur Verfügung. Daher bedeutet 255.255.255.0: die ersten drei Oktette sind fest, das letzte ist frei — 256 mögliche Werte (0–255).

Die Ausgabe des Subnetz-Rechners verstehen

Wenn Sie eine Adresse in den Rechner eingeben, erhalten Sie mehrere wichtige Werte. Was bedeutet jeder davon?

Netzwerkadresse Die erste Adresse im Subnetz — sie identifiziert das Netzwerk selbst und wird keinem Host zugewiesen. Für 192.168.1.50/24 ist das 192.168.1.0.

Broadcast-Adresse Die letzte Adresse im Subnetz, über die gleichzeitig alle Geräte im Netz erreicht werden. Für 192.168.1.0/24 ist das 192.168.1.255 — ebenfalls kein Host.

Nutzbarer Host-Bereich Alle Adressen zwischen Netzwerk- und Broadcast-Adresse. Bei /24 sind das 192.168.1.1 bis 192.168.1.254 — 254 Hosts.

Anzahl der Hosts Die Gesamtzahl der zuweisbaren IP-Adressen. Die Formel lautet: 2 hoch (32 minus Präfix) minus 2. Das Minus 2 steht für Netzwerk- und Broadcast-Adresse.

Wildcard-Maske Das bitweise Komplement der Subnetzmaske — dazu gleich mehr.

Private vs. öffentliche IP-Bereiche

Nicht alle IP-Adressen sind gleichwertig. RFC 1918 definiert drei Adressblöcke ausschließlich für private Netze — diese werden im öffentlichen Internet nicht geroutet:

• 10.0.0.0/8 — der größte private Bereich, üblich in Großunternehmen und Cloud-VPCs
• 172.16.0.0/12 — umfasst 172.16.0.0 bis 172.31.255.255
• 192.168.0.0/16 — aus Heimroutern jedem vertraut

Interne Netze sollten stets einen dieser Bereiche nutzen. Öffentliche IP-Blöcke intern zu verwenden ist ein typischer Anfängerfehler: Sobald Traffic den eigentlichen Eigentümer dieses Blocks erreichen will, entstehen Routing-Probleme.

Erwähnenswert noch: 127.0.0.0/8 ist der Loopback-Bereich. 127.0.0.1 (localhost) liegt hier. Pakete an Adressen in diesem Block verlassen das Gerät nie.

Praxisbeispiele

Drei typische Szenarien mit den häufigsten Präfixlängen:

Kleines Büronetzwerk — /24

Ein klassisches /24 wie 192.168.1.0/24 ist aus gutem Grund der Standard in Heim- und Kleinstbüronetzen: Es ist einfach und bietet genug Kapazität.

• Netzwerkadresse: 192.168.1.0
• Broadcast: 192.168.1.255
• Nutzbare Hosts: 192.168.1.1 bis 192.168.1.254 (254 Hosts)
• Subnetzmaske: 255.255.255.0

254 Geräte reichen in den meisten kleinen Büros locker aus. Typisch ist, einen Block am unteren Ende (z.B. .1 bis .10) für Infrastruktur zu reservieren — Router, Switches, Access Points, Server — und den Rest per DHCP dynamisch zu vergeben.

Rechenzentrum-Subnetz — /22

Wer mehr Hosts braucht, erweitert das Präfix. Ein /22 bietet viermal so viel Platz wie ein /24.

• Netzwerkadresse: 10.0.0.0
• Broadcast: 10.0.3.255
• Nutzbare Hosts: 10.0.0.1 bis 10.0.3.254 (1.022 Hosts)
• Subnetzmaske: 255.255.252.0

Das Netzwerk erstreckt sich über das, was wie vier /24-Subnetze aussieht (10.0.0.x bis 10.0.3.x). Das liegt daran, dass das Präfix 22 statt 24 Bits hat — im dritten Oktett sind 2 Bits zusätzlich frei (2 hoch 2 = 4 Blöcke).

Diese Größe ist in Cloud-Umgebungen beliebt, wenn ein Subnetz für ein Team oder eine Anwendungsebene innerhalb eines VPC benötigt wird.

Punkt-zu-Punkt-Verbindung — /30

Ein /30 ist die klassische Wahl für die direkte Verbindung zweier Router. Es gibt nur zwei Endpunkte, also werden nur zwei nutzbare Adressen gebraucht.

• Netzwerkadresse: 10.1.0.0
• Broadcast: 10.1.0.3
• Nutzbare Hosts: 10.1.0.1 und 10.1.0.2 (genau 2)
• Subnetzmaske: 255.255.255.252

ISP-Uplinks, BGP-Peerings, WAN-Verbindungen zwischen Routern — hier ist das die richtige Wahl. Ein /24 würde 252 Adressen sinnlos verschwenden.

Binärdarstellung: Warum sie wirklich wichtig ist

Die meisten Subnetz-Rechner (auch unserer) zeigen die Binärdarstellung von Subnetzmaske und Host-Bereich. Es ist verlockend, diese zu überspringen — aber in Binär wird Subnetting wirklich greifbar.

255.255.255.0 in Binär:

11111111.11111111.11111111.00000000

Die ersten 24 Einsen sind Netzwerkbits, die 8 Nullen Hostbits. Jetzt wird sofort klar, warum man 256 Adressen bekommt (2 hoch 8) und warum die Subnetz-Grenze bei einem Präfix, das ein Vielfaches von 8 ist, immer auf ein Vielfaches von 256 fällt.

Und /25?

11111111.11111111.11111111.10000000

Ein zusätzliches Netzwerkbit halbiert das /24. Es entstehen zwei /25-Subnetze:

• 192.168.1.0/25 (Hosts .1–.126, Broadcast .127)
• 192.168.1.128/25 (Hosts .129–.254, Broadcast .255)

Die Kernkompetenz beim Subnetting ist zu verstehen, wie sich Änderungen der Präfixlänge auf Netzwerk- und Hostanzahl auswirken. Binär macht das sichtbar.

Wildcard-Maske — Cisco und OSPF

Wer mit Cisco-Routern arbeitet oder OSPF/BGP konfiguriert, begegnet Wildcard-Masken. Eine Wildcard-Maske ist schlicht das bitweise Komplement der Subnetzmaske.

Subnetzmaske	Wildcard-Maske
255.255.255.0	0.0.0.255
255.255.255.252	0.0.0.3
255.255.0.0	0.0.255.255

In einer Cisco-ACL teilt die Wildcard-Maske dem Router mit, welche Bits übereinstimmen müssen. Ein 0-Bit bedeutet: "Dieses Bit muss exakt passen." Ein 1-Bit bedeutet: "Dieses Bit ist egal."

permit ip 192.168.1.0 0.0.0.255 bedeutet also: Erlaube alle IP-Adressen, bei denen die ersten drei Oktette 192.168.1 sind — was dem Zulassen des gesamten 192.168.1.0/24-Netzes entspricht.

Unser Subnetz-Rechner gibt die Wildcard-Maske zusammen mit der Subnetzmaske aus, sodass Sie sie direkt in die Router-Konfiguration kopieren können, ohne selbst invertieren zu müssen.

Typische Sonderfälle und Fehler

/32 — Ein einzelner Host

Ein /32 ist technisch ein Subnetz mit genau einer Adresse. Es gibt keine Hostbits, also keinen Bereich — Netzwerkadresse, Hostadresse und Broadcast-Adresse sind dasselbe.

/32-Routen werden genutzt, um in Routing-Tabellen eine "Host-Route" auf eine bestimmte einzelne IP zu setzen. BGP nutzt sie häufig, um einzelne Server-IPs anzukündigen. Firewall-Regeln verwenden sie, um eine einzige Adresse präzise zu treffen.

/31 — Der Sonderfall

Nach traditionellen Regeln schien /31 nutzlos: 2 Adressen minus Netzwerk und Broadcast ergibt null nutzbare Hosts. RFC 3021 änderte das für Punkt-zu-Punkt-Links: Beide Endpunkte gelten als Host-Adressen, auf eine Broadcast-Adresse wird verzichtet.

Moderne Cisco- und Juniper-Geräte unterstützen /31-Links. Sie sind minimal effizienter als /30, weil eine Adresse weniger verschwendet wird. In großen ISP-Netzen mit Tausenden von Punkt-zu-Punkt-Verbindungen summiert sich das.

Nicht ausgerichtete Netzwerkadressen

Ein häufiger Fehler: eine Host-Adresse dort einzugeben, wo eine Netzwerkadresse erwartet wird. Für das Subnetz 192.168.1.0/24 muss die Netzwerkadresse auf .0 enden — nicht auf .50 oder .100. Manche Tools korrigieren das stillschweigend (sie maskieren die Adresse mit der Subnetzmaske), andere geben einen Fehler aus. Unser Rechner zeigt sowohl die eingegebene als auch die korrigierte Netzwerkadresse an.

Überlappende Subnetze

Beim Aufbau eines Netzwerkplans mit mehreren Subnetzen entstehen leicht versehentliche Überlappungen. 192.168.1.0/24 und 192.168.0.0/22 überlappen sich beispielsweise, weil das /22 das gesamte /24 bereits enthält. Router verhalten sich unvorhersehbar, wenn überlappende Routen existieren — also vor dem Einsatz immer prüfen.

Fazit

Subnetting ist eine Technik, die sich plötzlich erschließt, nachdem sie lange undurchsichtig wirkte. Der zentrale Gedanke: Ein Subnetz ist ein zusammenhängender Block von IP-Adressen, definiert durch das Festlegen einer bestimmten Anzahl führender Bits. Die Präfixlänge sagt, wie viele Bits fest sind. Binär macht das anschaulich.

Egal ob VPC in AWS, Rechenzentrumsplanung oder Heimlabor: Starten Sie mit den größten Subnetzen und arbeiten Sie sich nach unten. Ermitteln Sie den Hostbedarf jedes Segments, planen Sie Wachstumsreserven ein (grober Richtwert: Schätzung verdoppeln) und wählen Sie das kleinste Präfix, das ausreicht. So bleibt der IP-Adressraum geordnet und das Routing übersichtlich.

Für schnelle Berechnungen steht der Subnetz-Rechner auf ToolBox Hub bereit. Geben Sie eine IP-Adresse und eine Präfixlänge ein — und erhalten Sie sofort Netzwerkadresse, Broadcast-Adresse, Host-Bereich, Hostanzahl, Subnetzmaske und Wildcard-Maske. Inklusive Binärdarstellung, die beim Lernen und beim Debuggen unerwarteter Routing-Probleme echten Mehrwert bietet.