Inhalt in Kürze
- Subnetting teilt ein großes IP-Netz in mehrere kleinere, logisch getrennte Bereiche auf — die Grundlage jeder professionellen Netzwerkstruktur 2026.
- CIDR-Notation (/24, /26, /30) ersetzt seit über 25 Jahren die alten Adressklassen und erlaubt millimetergenaue Subnetz-Größen.
- Im modernen Netz kommt Subnetting nie allein, sondern immer zusammen mit VLANs, Firewall-Regeln und — bei höheren Anforderungen — Microsegmentation.
- NIS-2 und der BSI-Grundschutz-Baustein NET.1.1 verlangen explizit Netzsegmentierung. Wer 2026 noch ein flaches Netz fährt, hat im Audit ein echtes Problem.
- Wir betreuen rund 200 Unternehmen in Hamburg und Norddeutschland und sehen jede Woche, was passiert, wenn Subnetting fehlt: Broadcast-Stürme, ungeschützte Server-VLANs, kompromittierte Endpoints, die das ganze Netz mitreißen.
Subnetting unterteilt ein IP-Netzwerk in kleinere logische Teilnetze (Subnetze), um Routing zu strukturieren, Broadcast-Domänen zu trennen und die Sicherheit zu erhöhen. Eine typische CIDR-Notation: 192.168.1.0/24 (256 IP-Adressen) lässt sich in vier /26-Subnetze (je 64 IPs) aufteilen. Im KMU-Netz 2026 üblich: Management-VLAN, User-VLAN, Gäste-WLAN-VLAN, IoT-VLAN — jedes mit eigenem Subnetz.
Subnetting in der Praxis — CIDR + Subnetz-Maske 2026
Wer ein Firmennetz plant, kommt an drei Größen nicht vorbei: der CIDR-Notation, der Subnetz-Maske und der nutzbaren Host-Anzahl pro Subnetz. Die wichtigsten Werte für Hamburger KMU im Schnellüberblick:
- /24 (255.255.255.0) — 256 IPs, 254 nutzbar — Standard-Mitarbeiter-VLAN bis ~150 Geräte
- /26 (255.255.255.192) — 64 IPs, 62 nutzbar — mittlere Abteilung, 30–50 Arbeitsplätze
- /28 (255.255.255.240) — 16 IPs, 14 nutzbar — Server-Gruppe, DMZ, Management-VLAN
- /29 (255.255.255.248) — 8 IPs, 6 nutzbar — Mini-Subnetz, IoT-Insel, Out-of-Band-Management
Konkretes Beispiel aus einem Hamburger Architekturbüro: 192.168.1.0/24 (das alte flache Heimnetz) zerlegen wir in vier /26-Subnetze — 192.168.1.0/26 (Mitarbeiter), 192.168.1.64/26 (Server/CAD-Workstations), 192.168.1.128/26 (Gäste-WLAN), 192.168.1.192/26 (IoT/Drucker). Jedes Subnetz bekommt ein eigenes VLAN, eigene Firewall-Regeln und eigene DHCP-Range. Ergebnis: NIS-2-konform, audit-fest und gegen Lateral-Movement geschützt.
Wer das Konzept für sein Unternehmen umsetzen will, findet bei uns einen IT-Dienstleister für Netzwerk-Einrichtung in Hamburg — inklusive IP-Plan, VLAN-Konzept und dokumentierter Firewall-Policy.
Was ist Subnetting wirklich?
Subnetting bedeutet, ein zusammenhängendes IP-Netz wie 10.10.0.0/16 in mehrere kleinere Subnetze zu zerlegen — etwa 10.10.10.0/24, 10.10.20.0/24, 10.10.30.0/24. Jedes dieser Subnetze ist ein eigener Broadcast-Bereich mit eigener Netz-ID, eigenem Gateway und eigenem Adressraum. Geroutet wird zwischen den Subnetzen über die Firewall oder einen Layer-3-Switch — und genau an dieser Stelle entscheiden Sie, welcher Traffic erlaubt ist und welcher nicht.
Der entscheidende Unterschied zum flachen Netz: In einem /24 mit 200 aktiven Geräten redet jedes Gerät über Broadcasts (ARP, DHCP, mDNS, SSDP, NetBIOS) potenziell mit jedem anderen. Das ist laut, ineffizient und ein Sicherheitsalbtraum. Mit Subnetting plus VLAN trennen Sie diese Welten sauber: Mitarbeiter-Notebooks sehen die Server-VLANs nicht, Gäste-Smartphones sehen den Drucker nicht, IoT-Sensoren sehen das Buchhaltungssystem nicht.
Wer einen IT-Service in Hamburg sucht, bekommt von uns ein Subnetz-Konzept als Pflichtbestandteil. Kein modernes Firmennetz darf 2026 noch ohne sauberes IP-Plan dokumentiert werden.
Die CIDR-Notation: Was /24, /26 und /30 wirklich bedeuten
Seit 1993 ist die klassenbasierte Aufteilung (Class A, B, C) Geschichte. Heute zählt CIDR — Classless Inter-Domain Routing. Die Schreibweise 192.168.10.0/24 heißt: Die ersten 24 Bit der 32-Bit-IP-Adresse sind die Netz-ID, die restlichen 8 Bit identifizieren das einzelne Gerät. Das ergibt 2^8 = 256 Adressen, davon sind 254 nutzbar (eine für die Netz-ID selbst, eine für die Broadcast-Adresse).
Die folgende Tabelle zeigt die in der Praxis wichtigsten Subnetz-Größen für KMU-Netze:
| CIDR | Subnetzmaske | Hosts (nutzbar) | Typische Anwendung |
|---|---|---|---|
| /30 | 255.255.255.252 | 2 | Punkt-zu-Punkt-Links, Router-Verbindungen |
| /29 | 255.255.255.248 | 6 | Mini-Subnetze, Management-Netz |
| /28 | 255.255.255.240 | 14 | Kleine Server-Gruppen, DMZ |
| /27 | 255.255.255.224 | 30 | Server-VLAN, Drucker, IoT, VoIP |
| /26 | 255.255.255.192 | 62 | Mittlere Abteilung, 30 bis 50 Arbeitsplätze |
| /25 | 255.255.255.128 | 126 | Größere Abteilung, Etage |
| /24 | 255.255.255.0 | 254 | Standard-Subnetz, eine Lokation |
| /23 | 255.255.254.0 | 510 | Großes Mitarbeiter-VLAN, Gäste-WLAN |
| /22 | 255.255.252.0 | 1.022 | Standortübergreifend, Hotel-/Konferenz-WLAN |
Der Trick beim sauberen IP-Plan: Größenreserve einbauen. Wer 40 Mitarbeiter hat und ein /26 mit 62 Hosts vergibt, sitzt nach drei Jahren mit Notebook, Smartphone, Tablet und VoIP-Telefon pro Person bei 160 belegten IPs. Wir planen für KMU grundsätzlich mit Faktor 3 bis 4: 40 Mitarbeiter heißt mindestens /25 (126 Hosts) oder gleich /24.
Subnetting trifft VLAN: Das eigentliche Setup im Mittelstand
Wer im KMU 2026 von “Netzsegmentierung” spricht, meint fast immer die Kombination aus VLAN und Subnet. Ein VLAN trennt das Netz logisch auf Layer 2 (am Switch), ein Subnetz trennt es auf Layer 3 (auf IP-Ebene). Beides zusammen ist die Grundlage jeder modernen Unternehmens-IT — Details dazu in unserem Artikel Was sind VLANs?. Klassisches Mapping in einem 80-Mitarbeiter-Unternehmen:
| VLAN-ID | Zweck | Subnetz | Größe |
|---|---|---|---|
| 10 | Mitarbeiter-LAN | 10.10.10.0/24 | 254 Hosts |
| 20 | Server | 10.10.20.0/27 | 30 Hosts |
| 30 | Gäste-WLAN | 10.10.30.0/23 | 510 Hosts |
| 40 | VoIP / Telefonie | 10.10.40.0/25 | 126 Hosts |
| 50 | Drucker / MFP | 10.10.50.0/27 | 30 Hosts |
| 60 | IoT / Gebäudetechnik | 10.10.60.0/26 | 62 Hosts |
| 70 | Management / OOB | 10.10.70.0/28 | 14 Hosts |
| 99 | DMZ / Public Services | 10.10.99.0/28 | 14 Hosts |
Was diese Aufteilung bringt, sehen Sie spätestens beim ersten Sicherheitsvorfall: Eine Phishing-Mail kompromittiert ein Notebook im VLAN 10. Die Firewall-Regel “VLAN 10 -> VLAN 20 nur auf TCP 445/3389/1433 mit MFA” verhindert, dass die Ransomware den Fileserver verschlüsselt. Ohne diese Trennung wäre der ganze Bestand verloren — wir haben mehr als ein KMU genau aus dieser Situation rausgeholt.
Reservieren Sie zwischen den vergebenen VLANs immer Lücken. Statt VLANs 10, 11, 12, 13 zu vergeben, nehmen Sie 10, 20, 30, 40. So können Sie später bei Bedarf VLAN 11 für ein neues Subnetz einfügen, ohne die ganze IP-Plan-Dokumentation umzubauen. Wir nutzen das Schema bei jedem Neubau-Netz seit Jahren — und sind nie an Grenzen gestoßen.
Stats: Was Sie 2026 wissen müssen
Die letzten freien öffentlichen IPv4-Blöcke wurden bereits 2019 von der RIPE NCC vergeben — laut RIPE NCC gibt es seitdem nur noch IPv4-Adressen aus dem Recycling-Pool. Subnetting ist damit nicht nur intern, sondern auch global eine Frage der Effizienz: Jede ungenutzte Adresse ist eine, die ein anderes Unternehmen brauchen könnte.
Microsegmentation: Wenn klassisches Subnetting nicht mehr reicht
Bei Kunden mit besonders sensiblen Daten — Kanzleien, Steuerberater, Architekten mit BIM-Daten, Gesundheitsbereich — gehen wir einen Schritt weiter: Microsegmentation. Statt nur Zonen pro Abteilung zu bilden, kontrollieren wir den Traffic zwischen einzelnen Servern oder sogar Anwendungen. Beispiel: Der Buchhaltungs-Server darf nur den Datev-Server und das DMS-Backend erreichen — nichts anderes, auch nicht die anderen Server im selben VLAN.
Klassische Plattformen für Microsegmentation 2026:
- VMware NSX — Marktführer im Enterprise-Bereich, läuft auf VMware vSphere
- Cisco ACI — passt zu Cisco-Switching-Infrastrukturen
- Illumio Core — agentenbasiert, agnostisch, gut für Hybrid-Cloud
- Microsoft Defender für Cloud (Network Security Groups + Azure Firewall) — wenn Workloads in Azure liegen
- Zero-Trust-Plattformen wie Zscaler oder Cloudflare One — für komplett SaaS-zentrierte Umgebungen
Für die meisten KMU mit 20 bis 150 Mitarbeitern ist Microsegmentation oversized. Saubere VLAN-Segmentierung plus durchdachte Firewall-Regeln plus Cybersecurity-Konzept reichen aus. Wer aber Patientendaten, Mandantendaten oder Konstruktionsdaten verarbeitet, sollte das Thema offen prüfen.
Wir starten jede Zusammenarbeit mit einer Cyber-Risikoanalyse gemeinsam mit der Geschäftsführung. Nicht um Angst zu machen, sondern um ehrlich zu sehen, wo Sie stehen — und was als Erstes passieren muss.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
NIS-2 und Subnetting: Die regulatorische Pflicht
Seit 2024 gilt die EU-Richtlinie NIS-2 — und sie ist konkreter, als viele Geschäftsführer erwarten. Wer in der Lieferkette eines wesentlichen oder wichtigen Unternehmens hängt, muss nachweisbare Netzsegmentierung vorweisen. Der BSI-Grundschutz-Baustein NET.1.1 listet das wörtlich auf:
- Zonen-Konzept mit dokumentierten Segmenten
- Trennung von Produktions-, Verwaltungs- und Gäste-Bereichen
- Kontrolle des Traffics zwischen Zonen (Firewall, ACL)
- Dokumentation der IP-Adress- und VLAN-Plan
- Regelmäßige Überprüfung der Segmentierung
Im Audit reicht es nicht, zu sagen “wir haben da was getrennt”. Sie brauchen einen IP-Plan, ein VLAN-Konzept, dokumentierte Firewall-Regeln und idealerweise ein Netzwerk-Monitoring, das Anomalien meldet. Ohne sauberes Subnetting fehlt die Grundlage. Ob NIS-2 für Ihr Unternehmen überhaupt gilt, klären Sie schnell mit unserem NIS2-Betroffenheits-Check.
Subnetz-Plan in 7 Schritten — die Praxis
Wenn wir bei einem Neukunden ein Netz neu strukturieren, läuft das in einer festen Reihenfolge ab. Diese sieben Schritte haben wir in über 200 Projekten verfeinert:
- Bestandsaufnahme: Welche Geräte gibt es? Wie viele Mitarbeiter, Server, Drucker, IoT-Geräte, VoIP-Telefone, IP-Kameras, Türsensoren? Mit Wachstumsfaktor 3 hochrechnen.
- Zonen-Konzept: Mitarbeiter, Server, Gäste, IoT, VoIP, Drucker, Management, DMZ — welche dieser Zonen brauchen Sie? Plus eventuell Sonder-Zonen für Buchhaltung oder OT-Anlagen.
- VLAN-IDs vergeben: Mit Lücken, immer in 10er-Schritten. VLAN 1 nicht nutzen (Default-VLAN ist Sicherheitsrisiko).
- Subnetz-Größen festlegen: Anhand der CIDR-Tabelle oben. Reserve einbauen.
- IP-Adressen aus 10.0.0.0/8 oder 172.16.0.0/12 wählen: Nicht 192.168.x.x — das verwenden Heimrouter, kollidiert oft mit VPN-Verbindungen.
- Firewall- und Routing-Regeln definieren: Default Deny, dann erlauben Sie gezielt, was nötig ist. Logging einschalten.
- Dokumentation: IP-Plan, VLAN-Tabelle, Routing-Regeln, Firewall-Policies. Versioniert, mit Änderungsdatum. Wer das nicht macht, hat in 2 Jahren Chaos.
Häufige Fehler beim Subnetting (und wie wir sie vermeiden)
In den letzten Jahren haben wir bei Übernahmen aus anderen Systemhäusern immer dieselben Probleme gesehen. Die Top 5:
- Flaches /16-Netz ohne Segmentierung: "Ist ja Privatnetz, da kann nichts passieren." Ist falsch. Lateral Movement nach Phishing ist Standard.
- Überlappende Subnetze zwischen Standorten: Hamburg nutzt 192.168.1.0/24, Bremen auch — Site-to-Site-VPN funktioniert nie sauber. Lösung: Pro Standort eigenen 10.x.x.0/16-Block.
- Zu kleine Subnetze ohne Reserve: /27 für Mitarbeiter, weil "wir sind ja nur 20". Drei Jahre später: 32 Notebooks, 32 Smartphones, 25 Tablets — Netz voll.
- Default-VLAN 1 für Produktiv-Traffic: Bekannte Sicherheitslücke. Native-VLAN sollte immer ein leeres, ungenutztes VLAN sein.
- Keine Dokumentation: Vor zwei Wochen erst übernommen: 14 VLANs, niemand weiß mehr, was Vlan 117 macht. Wir haben einen Tag gebraucht, das auseinanderzudröseln.
Wer Netzwerk-Probleme systematisch löst, kommt um sauberes Subnetting nicht herum. Auch beim Netzwerk aufbauen für KMU ist der IP-Plan der erste Schritt — vor jeder Hardware-Bestellung.
IPv4 vs. IPv6 — Subnetting bleibt Pflicht
Mit IPv6 wäre die Adressknappheit theoretisch erledigt: 2^128 Adressen reichen für jedes Sandkorn auf der Erde. Trotzdem bleibt Subnetting auch in IPv6 unverzichtbar — aus zwei Gründen:
Erstens: Die Standard-Empfehlung der IETF (RFC 4291) ist /64 pro LAN-Segment. Auch wenn das technisch riesig wirkt, ist es die kleinste sinnvolle Einheit für IPv6-SLAAC-Adressen. Pro Standort werden dann typisch /56 oder /48 zugewiesen — innerhalb derer Sie weiter aufteilen.
Zweitens: Sicherheit und Strukturierung sind genauso relevant wie in IPv4. Sie wollen weiterhin Mitarbeiter-, Server-, Gäste- und IoT-Bereiche trennen — auch wenn Sie pro Segment 18 Trillionen Adressen haben. Die Trennung erfolgt über die Subnet-Bits zwischen Site-Prefix und Interface-ID.
Reine IPv6-Netze sind im deutschen KMU-Mittelstand 2026 noch die Ausnahme. Üblich ist Dual-Stack: IPv4 plus IPv6 parallel — was den Subnetting-Aufwand verdoppelt, aber für viele Cloud-Services (Microsoft 365, Azure) heute schon Standard ist. Praktischer Einstieg in die Adress-Logik in unserem Artikel IP-Adresse, DNS und Gateway erklärt.
Wie passt Subnetting zu Routing und Switching?
Subnetting ist die Basis, Routing und Switching sind die beiden Mechanismen, die das Konstrukt zum Leben bringen:
- Switching bewegt Pakete innerhalb eines Subnetzes (Layer 2, MAC-Adressen). Mehr dazu in unserem Artikel Was ist Switching?
- Routing bewegt Pakete zwischen Subnetzen (Layer 3, IP-Adressen). Details dazu in Was ist Routing?
- Subnetting legt fest, wie groß die Subnetze sind und welche Adressbereiche ihnen gehören.
Ohne Subnetting wüsste der Router nicht, was er routen soll. Ohne Switching käme das Paket innerhalb eines Subnetzes nirgends an. Die drei sind Geschwister — und gehören in jeder Netzwerk-Architektur zusammen geplant.
Wer einen Switch durch einen identischen Switch ersetzt, ohne den Subnetz-Plan zu prüfen, hat Geld verbrannt. Hardware-Tausch ohne Architektur-Review bringt keinen Sicherheits- oder Performance-Gewinn. Wir starten jedes Switch- oder Firewall-Projekt mit einem Audit der bestehenden Subnetz-Struktur — sonst bauen Sie auf Sand.
Subnetting bei hagel IT — wie wir das umsetzen
Bei jedem neuen Kunden in Hamburg oder Norddeutschland läuft das Netzwerk-Design nach demselben Schema: Zuerst ein eintägiger Architektur-Workshop mit der Geschäftsführung und IT-Verantwortlichen. Dort erfassen wir Mitarbeiterzahl, Standorte, geplantes Wachstum, Compliance-Anforderungen (NIS-2, DSGVO, branchenspezifisch). Daraus entsteht der IP- und VLAN-Plan — auf Papier, in einer Tabelle, dokumentiert.
Dann folgt die technische Umsetzung: Firewall-Konfiguration, Switch-Programmierung, VLAN-Tagging, Routing-Regeln, Monitoring-Integration. Wir staffeln den Rollout in drei Wellen: erst Server und Drucker (statisch, unkritisch), dann VoIP (über LLDP automatisch), zuletzt die Mitarbeiter-Notebooks (per 802.1X). So bleibt der Betrieb stabil — auch wenn ein Gerät zickt.
Ergebnis nach 4 bis 6 Wochen: Ein dokumentiertes, segmentiertes, NIS-2-konformes Netzwerk. Mit IP-Plan, VLAN-Tabelle, Firewall-Policies, Monitoring-Dashboards und Notfallkonzept. Genau das, was Sie als Geschäftsführer brauchen, wenn der Auditor klingelt — oder wenn nachts der Alarm losgeht.
Subnetz-Konzept oder Netzwerk-Audit gefragt? Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre Netzwerk-Situation — ehrlich bewertet.
Erstgespräch buchen →Fazit: Subnetting ist 2026 keine Kür mehr
Wer heute ein Firmennetz aufbaut oder modernisiert, kommt am sauberen Subnetz-Plan nicht vorbei. NIS-2, BSI-Grundschutz, der reale Schutz vor Ransomware-Lateral-Movement und schlicht die Lebensdauer Ihrer IT-Infrastruktur hängen daran. Ein gut geplanter IP- und VLAN-Plan ist nichts, was Sie nachträglich draufsetzen — er entsteht am Anfang oder gar nicht.
Die gute Nachricht: Mit der CIDR-Tabelle, einem klaren Zonen-Konzept und der Bereitschaft, Reserven einzubauen, ist das Thema beherrschbar. Mit der falschen Nachricht: Wer es nicht macht, zahlt später doppelt — einmal beim ersten Sicherheitsvorfall, einmal beim Re-Design des kompletten Netzes.
Wir bauen Netze in Hamburg und Norddeutschland seit über 15 Jahren genau so: dokumentiert, segmentiert, audit-fest. Wenn Sie sich unsicher sind, wo Sie stehen, vereinbaren Sie ein Erstgespräch — wir schauen mit Ihnen gemeinsam auf den IP-Plan und sagen ehrlich, ob alles passt oder wo nachgesteuert werden sollte.
