So richten Sie Subnetze in Cloud-Netwerken ein

Grundlegende Subnetting-Prinzipien

Unter Subnetting versteht man die Unterteilung eines Adressraums in zwei oder mehr kleinere Adressräume. Um die Feinheiten des Subnetting zu verstehen, muss man die Grundprinzipien von IP-Adressen und Subnetzmasken kennen.

IP-Adressformat

Eine IP-Adresse ist die eindeutige Kennung, mit der sich Geräte in einem Netzwerk unterscheiden lassen. Diese Kennungen ermöglichen es den Geräten, sich zu verbinden und miteinander zu kommunizieren. Die Struktur einer IP-Adresse unterscheidet sich bei IPv4- und IPv6-Adressen.

Eine IPv4-Adresse ist eine 32-Bit-Zahl, die aus vier Zahlen besteht. Diese Zahlen werden als Oktette bezeichnet, da jede Zahl acht Bit lang ist. Jede Zahl innerhalb einer IP-Adresse kann theoretisch zwischen 0 und 255 liegen, allerdings verbieten Regeln, dass IP-Adressen bestimmte Zahlen verwenden.

Jede IP-Adresse ist in zwei Teile unterteilt, die zusammen die IP-Adresse bilden: die Netzwerkadresse und die Host-Adresse. Die Netzwerkadresse vermittelt die Identität des Netzwerks, in dem sich der Host befindet, und die Host-Adresse identifiziert den Rechner in diesem Netzwerk eindeutig.

Eine IPv6-Adresse ist eine 128-Bit-Zahl, die aus acht Gruppen von 16-Bit-Segmenten besteht. Jedes Segment steht für vier hexadezimale Zahlen.

Format der Subnetzmaske

Eine Subnetzmaske legt fest, wo die Netzwerkadresse endet und wo die Host-Adresse beginnt. Es handelt sich um eine 32-Bit-Zahl, die die Netzwerk- und Host-Anteile einer IPv4-Adresse identifiziert. Jede Subnetzmaske besteht aus vier Zahlen, die jeweils zwischen 0 und 255 liegen.

Wenn einer Position innerhalb der Subnetzmaske die Zahl 255 zugewiesen wird, dann ist die entsprechende Position innerhalb der IP-Adresse Teil der Netzwerkadresse. Wird einer Position innerhalb der Subnetzadresse der Wert 0 zugewiesen, so gehört die entsprechende Position innerhalb der IP-Adresse zur Host-Adresse.

Zum Beispiel bedeutet ein Gerät mit der IP-Adresse 192.168.0.1 und einer Subnetzmaske von 255.255.255.0, dass die Netzwerkadresse 192.168.0 und die Host-Adresse 1 ist. Es ist auch möglich, Subnetze zu erstellen, die andere Zahlen als 255 und 0 innerhalb der Subnetzmaske verwenden.

IPv6-Adressen verwenden anstelle von Subnetzmasken die Präfixlänge, um den Netzwerk- und Host-Teil einer Adresse zu identifizieren, die in der CIDR-Notation (Classless Inter-Domain Routing) formatiert ist.

Wie unterscheidet sich die Subnetzbildung in Cloud-Netzwerken?

Der Prozess des Erstellens und Verwaltens von Subnetzen in Cloud-Netzwerken ähnelt dem des Erstellens von Subnetzen in lokalen Netzwerken. Bei beiden Methoden müssen Administratoren unter anderem Router konfigurieren, IP-Bereiche definieren und Sicherheit implementieren. Allerdings vereinfachen CSPs den Subnetting-Prozess mit automatisierten Tools, während Netzwerke vor Ort weitgehend manuell konfiguriert werden müssen.

Der Prozess für das Einrichten von Subnetzen in lokalen Netzwerken läuft wie folgt ab:

1. Bestimmen der Host-Anzahl und Subnetze: Ermitteln Sie die Anforderungen an das Netzwerk, um die Anzahl der für die Netzwerkkonfiguration benötigten Hosts und Subnetze zu verstehen.
2. Berechnen und Zuweisen der Subnetzmaske oder des Präfixes: Bestimmen Sie die Subnetzmaske oder Präfixnummer, die diese Anforderungen erfüllt, und weisen Sie sie dem Netzwerk zu.
3. Konfigurieren der Router: Konfigurieren Sie Router für das Routing des Datenverkehrs zwischen Subnetzen und externen Netzwerken.
4. Geräte konfigurieren und den IP-Bereich festlegen: Weisen Sie jedem Gerät im Subnetz IP-Adressen innerhalb des Adressbereichs des Subnetzes zu.
5. Sicherheit gewährleisten: Implementieren Sie die erforderlichen Sicherheitsmaßnahmen, wie Firewalls und Zugriffskontrolllisten (Access Control List, ACL), um das Subnetz zu sichern.

In Cloud Netzwerken bieten CSPs die Plattform und die Tools für Netzwerkadministratoren, um ihre Netzwerke in einer virtualisierten Umgebung zu subnetzieren. Diese Virtualisierung ermöglicht es den Administratoren, mehrere virtuelle Netzwerke nebeneinander zu betreiben. Sie vereinfacht auch den Prozess der Subnetzerstellung.

Die Konfiguration von Subnetzen in Cloud-Umgebungen ist einfacher, denn sie erfordert nur wenige Klicks oder Befehle in der Plattform des CSP. Der Prozess ist jedoch bei jedem CSP ein wenig anders.

AWS zum Beispiel implementiert virtuelle Netzwerke als virtuelle private Clouds (VPC). Administratoren können so viele VPCs erstellen, wie sie möchten, und jedes funktioniert als unabhängiges virtuelles Netzwerk. Wenn sie dasselbe Subnetz in zwei verschiedenen VPCs erstellen möchten, kommen sich diese Subnetze nicht in die Quere, da die VPCs als Isolationsgrenze fungieren. Azure verwendet einen ähnlichen Prozess, aber Microsoft bezeichnet seine virtuellen Netzwerke als VNETs.

Der Prozess zum Anlegen von Cloud-Subnetzen unterscheidet sich je nach Anbieter geringfügig, verläuft aber in der Regel nach den folgenden Schritten:

1. Einstellungen für das Netzwerkmanagement finden: Greifen Sie auf die Netzwerkeinstellungen in der Konsole des CSP zu.
2. Netzwerk auswählen: Wählen Sie das Cloud Netzwerk, in dem Sie ein neues Subnetz erstellen möchten.
3. Subnetz hinzufügen: Klicken Sie auf Subnetz erstellen, um ein Subnetz hinzuzufügen.
4. IP-Bereich definieren: Legen Sie den CIDR-Block oder den IP-Adressbereich fest, um den Umfang der Adressen anzugeben, die das Subnetz verwenden kann.
5. Subnetz speichern: Klicken Sie auf Subnetz speichern, um das Subnetz zu speichern oder anzuwenden.

Einige Cloud-Anbieter bieten beim Erstellen von Subnetzen weitere erweiterte Optionen an, zum Beispiel die Verknüpfung von Routing-Tabellen, Sicherheitsgruppen und Verfügbarkeitszonen.

Überlegungen zur Gestaltung und Platzierung von Subnetzen

Wenn Sie Cloud-Subnetze erstellen, überlegen Sie, was Sie damit erreichen wollen. Jedes Subnetz sollte einem bestimmten Zweck dienen. Netzwerkadministratoren haben verschiedene Gründe für die Einrichtung von Subnetzen in lokalen Netzwerken, und auch für Cloud-Subnetze gibt es verschiedene Anwendungsfälle.

Zum Beispiel möchten Netzwerkadministratoren Subnetze in der Cloud anlegen, um eine Isolationsgrenze zu bilden. Angenommen, Sie erstellen mehrere virtuelle Server innerhalb der Cloud, die miteinander kommunizieren müssen. Sie könnten ein virtuelles Backbone-Netzwerksegment zwischen all diesen Servern einrichten. So ist es möglich, das Segment mit einem eigenen dedizierten Subnetz zu konfigurieren, um zu verhindern, dass der Server-Backbone-Datenverkehr das Backbone-Segment verlässt und das allgemeine Netzwerk durchquert. Ebenso müssen Sie sich nicht darum kümmern, dass der allgemeine Netzwerk-Traffic das Backbone-Segment erreicht.

Unternehmen verwenden in der Regel ähnliche Ansätze für das Netzwerkmanagement, da sie häufig bestimmte Subnetze zur Verwaltung des Datenverkehrs nutzen. Obwohl IT-Profis Server über das allgemeine Netzwerk verwalten können, erhöht die Nutzung eines dedizierten Subnetzes die Sicherheit, da der Management-Traffic nicht über das allgemeine Netzwerk läuft, wo er für das Ausspähen anfällig sein könnte.

Wenn Administratoren den Management-Traffic auf ein dediziertes Subnetz beschränken, können sie für das Managementnetzwerk andere Firewall-Regeln anwenden als für das allgemeine Netzwerk. Zum Beispiel könnten sie beschließen, RDP-Verkehr (Remote Desktop Protocol) im Managementsubnetz zuzulassen, im allgemeinen Netzwerk jedoch nicht.

Netzwerkadministratoren erstellen manchmal Subnetze innerhalb der Cloud, um die Netzwerkleistung zu verbessern oder den Datenverkehr zu kontrollieren. Zum Beispiel möchte ein Unternehmen sein Netzwerk nach Funktionen unterteilen. Dies könnte bedeuten, dass ein Subnetz für Webserver, ein anderes für Anwendungsserver und so weiter eingerichtet wird. Auch Load Balancer werden in der Regel in einem eigenen Subnetz untergebracht, um den eingehenden Datenverkehr effektiv zu verwalten.

Schließlich möchten Netzwerkadministratoren Subnetze eventuell speziell für die Integration mit Cloud-Diensten anlegen. Zum Beispiel können Administratoren in Azure Service-Endpunkte verwenden, um ein Subnetz direkt mit einem Azure-Dienst zu verbinden.