Hoe zit dat nu eigenlijk met die subnetmasks? - Netwerken

zaterdag 18 mei 2013 21:47

Acties:

0 Henk 'm!

Topicstarter

Zoals in een vorige post aangegeven, mijn achilleshiel (als Oracle DBA) is mijn zeer beperkte netwerkkennis. Die wil ik bijspijkeren. Iemand raadde mij Cisco boeken aan en dus heb ik ondertussen een uitstekend CCNA boek verworven. Vele zaken staan er glashelder in en heb in twee dagen tijd al veel bijgeleerd.

Echter, mijn oude aartsvijand duikt weer op, subnetting. Nu heb ik dat hoofdstuk 25 keer gelezen, heel grondig, maar ik kom er gewoon niet uit. Ongetwijfeld een heel rare vraag, maar wat is het nut ervan? Ik snap dat er 3 "vrije" ranges zijn (de 10.0.0.0, 172.16.0.0 en 192.168.0.0 en zo) voor privé-netwerken, die niet over het Internet gerouted worden.

Snap ik allemaal. Maar dan komt het stuk over die subnets en ik raak er maar niet uit waar die dingen nu eigenlijk goed voor zijn. Als ik vroeger eenvoudige thuisnetwerkjes opzette dan was dat altijd in de 192 range, en vulde ik 255.255.255.0 in omdat iemand me ooit gezegd had dat dat moest, maar waarom?

Kan iemand me eens verwijzen naar ergens op het Internet waar dat kristalhelder uitgelegd staat voor ab-so-lu-te subnetting leken?? Dank!

There are only two rules in life. #1. There always is a loser. #2. Don't be the loser.

zaterdag 18 mei 2013 21:50

Acties:

0 Henk 'm!

Anoniem: 325463

http://www.aelius.com/njh/subnet_sheet.html
Subnet geeft de grootte van blok aan, 255.255.255.0 = /24, een blok van 256 IP's

zaterdag 18 mei 2013 22:04

Acties:

0 Henk 'm!

Eagle Creek

Breathing security

Alle pc's in een subnet kunnen met elkaar kletsen. Dat is leuk en aardig maar onwenselijk als je bijvoorbeeld (publieke) ip's uit wilt delen aan bedrijven. Die hebben graag hun eigen stukje netwerk waar alleen de eigen pc's met elkaar kunnen kletsen.

Subnetten is het verdelen van één groot netwerk in meerdere kleine netwerken (= het subnetwerk).

Deze subnetwerken worden gezien als volledig eigen netwerken en kunnen dus aan verschillende bedrijven worden verkocht. Binnen bedrijven zelf wil je misschien ook je netwerk opdelen omdat je wilt voorkomen dat alle pc's binnen het netwerk onvoorwaardelijk met elkaar kunnen praten. Je kunt dan subnets maken voor servers, printers, afdelingen, etc.

Dat is de praktische kant. De meer technische kant is dat je maar een bepaalde (vooraf bepaalde) indeling kunt maken van een netwerk, in verschillende subnetwerken. Hierbij moet je zien dat hoe meer subnetwerken je maakt, hoe kleiner deze worden en hoe minder subnetwerken je maakt, hoe groter deze worden (kleiner/groter betekent het aantal pc's dat deel kan nemen in één subnet). Een netwerk opdelen in subnets van elk 10 pc's, betekent dat je het /24-netwerk effectief aan iets meer dan 20 klanten kunt verkopen (je komt niet helemaal uit omdat bij elk netwerk 2 IP's niet bruikbaar zijn voor nodes)

A 10.0.0.0 --- 10.255.255.255 --- 255.0.0.0
B 172.16.0.0 --- 172.31.255.255 --- 255.255.0.0
C 192.168.0.0 --- 192.168.255.255 --- 255.255.255.0

Daar waar in het IP-adres de waarde 0 staat is in het subnetmasker de waarde 255. Dat heeft te maken met de technische onderverdeling die ik hierboven heb genoemd.

Nu werk je thuis met herbruikbare lokale IP ranges, waarbij het NUT voor subnetten vrijwel altijd volledig komt te vervallen. Je mag thuis netwerken opzetten in alle 3 de classes en bij elke klasse hoort een default subnet (zie hierboven de A/B/C-netwerken). Je MAG dan wel het subnetmasker veranderen maar daarmee ga je dus zelf subnetten. Als alle pc's binnen dat subnet dezelfde instellingen hanteren, werkt het netwerk probleemloos. Alleen zal een provider nooit van de standaardconfiguratie afwijken om zaken niet te compliceren. De meeste routers die ik ken worden geleverd met een 192-configuratie, waarbij je dus maximaal 256 apparaten kunt opnemen in je netwerk. Voor thuisgebruik meer dan genoeg (en de behoefte aan scheiding heb je ook niet).

[ Voor 24% gewijzigd door Eagle Creek op 18-05-2013 22:30 ]

~ Information security professional & enthousiast ~ EC Twitter ~

zaterdag 18 mei 2013 22:25

Acties:

0 Henk 'm!

demichel

Topicstarter

Aha, dank Lemming en Eagle Creek. Dat maakt het al een stukje duidelijker.

Mijn probleem is eigenlijk dat ik geen enkel praktische ervaring met die zaken heb en het inderdaad allemaal nogal theoretisch is. Als ik straks VM-gewijs wat ga experimenteren, wordt het wellicht nog duidelijker.

Als ik het allemaal zo'n beetje goed begrijp, dan speelt dit hele verhaal voor mij op kantoor eigenlijk niet. Zo lang ik binnen die klasse B 172.16.0.0 range blijf (256 IP's zou een beetje krap worden op kantoor), mijn servers een vast IP geef en een DHCP netjes unieke IP's laat uitdelen aan de clients, hoef ik me daar dus helemaal niet druk over te maken, als ik het goed begrijp?

Voor alle duidelijkheid: deze zaken zijn natuurlijk wel reeds aanwezig op kantoor, maar deze zijn indertijd opgezet door een detacheerder. Binnenkort komt er een grote upgrade aan en ik wil snappen waar het over gaat.

[ Voor 53% gewijzigd door demichel op 18-05-2013 22:42 ]

There are only two rules in life. #1. There always is a loser. #2. Don't be the loser.

zaterdag 18 mei 2013 22:43

Acties:

0 Henk 'm!

Freeaqingme

demichel schreef op zaterdag 18 mei 2013 @ 22:25:
Als ik het allemaal zo'n beetje goed begrijp, dan speelt dit hele verhaal voor mij op kantoor eigenlijk niet. Zo lang ik binnen die klasse B 172.16.0.0 range blijf (256 IP's zou een beetje krap worden op kantoor), mijn servers een vast IP geef en een DHCP netjes unieke IP's laat uitdelen aan de clients, hoef ik me daar dus helemaal niet druk over te maken, als ik het goed begrijp?

Correct. Als jij overal een netmask van /24 (255.255.255.0) opgeeft, dan is het van belang dat alle devices binnen het netwerk beginnen met dezelfde 24 bits). Dus bijv. 192.168.0.X .

Ik weet niet hoe oud de CCNA boeken zijn die je hebt, maar het hele idee van classes zou ik laten varen. Vroeger was alles uitgedeeld in classes (A = /8, B = /16, C = /24) door organisaties als de RIPE. Echter, tegenwoordig worden ook veel andere subnetten uitgedeeld en gerouteerd. Zo gebruiken wij op kantoor een /23 subnet voor 1 afdeling, en deelt RIPE ook steeds vaker blokken uit die bijvoorbeeld een bitmask hebben van /25.

Met IPv6 wordt het helemaal leuk, dan heb je 128 bits. Dan eindigt het dus niet bij /32 (bij ipv4 1 ip-adres), maar bij /128.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

zaterdag 18 mei 2013 22:48

Acties:

0 Henk 'm!

demichel

Topicstarter

Freeaqingme schreef op zaterdag 18 mei 2013 @ 22:43:
[...]
Ik weet niet hoe oud de CCNA boeken zijn die je hebt, maar het hele idee van classes zou ik laten varen.

Heb er hier ééntje van 2008. Redelijk oud (in IT termen dan) dus maar de basisbegrippen zullen toch wel hetzelfde gebleven zijn dacht ik? Niet dus blijkbaar.

Dank voor je hulp!

Freeaqingme schreef op zaterdag 18 mei 2013 @ 22:43:
[...]
Vroeger was alles uitgedeeld in classes (A = /8, B = /16, C = /24) door organisaties als de RIPE. Echter, tegenwoordig worden ook veel andere subnetten uitgedeeld en gerouteerd. Zo gebruiken wij op kantoor een /23 subnet voor 1 afdeling, en deelt RIPE ook steeds vaker blokken uit die bijvoorbeeld een bitmask hebben van /25.

Als ik dat goed begrijp dan "bezitten" die bedrijven als RIPE een groot aantal aaneensluitende IP adressen en "verdelen ze die in blokjes" door dat subnetting en verkopen ze zie blokjes

vb RIPE bezit ip_1 tot ip_100
ip_1 - ip_10 met subnet /25 gaat naar bedrijf X
ip_11 - ip_20 met subnet /25 gaat naar bedrijf Y
ip_21 - ip30 ... enz enz

Hmm, maar als je een /25 netwerk bijvoorbeeld kunt opdelen in 10 aparte subnetwerkjes van 16 IP's (ik zeg maar iets) hoe bereik je dan die isolatie die je nodig hebt als je die aan verschillende bedrijven wil verkopen (maw zorgen dat bedrijf X niet zomaar met IP's van bedrijf Y kan connecten)?

Hmm, ben er nog niet uit geloof ik.

[ Voor 61% gewijzigd door demichel op 18-05-2013 23:08 ]

There are only two rules in life. #1. There always is a loser. #2. Don't be the loser.

zaterdag 18 mei 2013 23:48

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Routing tables

Die houden bij welk IP-reeks waar zit.

Maar stop eens met decimaal denken en ga binair rekenen, dan wordt het allemaal een stuk makkelijker. Een /25 geeft je 2^7 oftewel 128 IP-adressen. Je gaat daarvan dus nooit 10 subnetwerken van 16 IP's kunnen maken, hooguit 8 subnetwerken van 16 IP's, want 8x16=128 (of makkelijker: 2^3 x 2^4 = 2^7 - machten van hetzelfde getal vermenigvuldigen is zo eenvoudig als het exponent optellen)

Verder is juist de bedoeling van het internet dat alle publieke IP-adressen publiek benaderbaar zijn. Het is juist wenselijk dat bedrijf X met servers van bedrijf Y kan connecten, anders had hij ze geen publiek IP-adres geven

Wil je iets onbereikbaar houden, dan geef je het geen publiek routeerbaar IP-adres, dus eentje uit de private ranges.

Het kan trouwens bij jullie eenvoudige netwerk handig zijn om verschillende subnetten te definieren, bijvoorbeeld als je VLANs wilt aanmaken met verschillende policies - dan kun je bijv alle publieke servers in eentje zetten, alle interne servers in een tweede, alle vaste werkplekken in een derde en evt een vierde voor BYOD oid. Dat is met een /16 private reeks makkelijk te doen, die kun je opdelen in vier /20 reeksen - of als dat nergens voor nodig is gewoon vier stuks /24 erin definieren, dan kun je later altijd uitbreiden (want je kunt 256 /24 subnetten definieren in een /16 - immers 2^24 - 2^16 = 2^8, en dat is 256)

Oslik blyat! Oslik!

zaterdag 18 mei 2013 23:57

Acties:

0 Henk 'm!

Freeaqingme

Als ik dat goed begrijp dan "bezitten" die bedrijven als RIPE een groot aantal aaneensluitende IP adressen en "verdelen ze die in blokjes" door dat subnetting en verkopen ze zie blokjes.

Vroeger, lang geleden, werden deze ranges inderdaad verkocht. Tegenwoordig betaal je een membership fee, en krijg je ze in bruikleen. Nu ipv4 adressen schaars beginnen te raken zie je dat de RIPE ook steeds vaker dreigt met het terugvorderen van die dingen.

Hmm, maar als je een /25 netwerk bijvoorbeeld kunt opdelen in 10 aparte subnetwerkjes van 16 IP's (ik zeg maar iets) hoe bereik je dan die isolatie die je nodig hebt als je die aan verschillende bedrijven wil verkopen (maw zorgen dat bedrijf X niet zomaar met IP's van bedrijf Y kan connecten)?

Tussen twee compleet verschillende netwerken zal normaal gesproken altijd 1 centraal toegangspunt zitten, router/gateway/firewall. Die kan natuurlijk prima bepalen wie waar bij mag als het van buitenaf komt. Jij kan ook prima het ip-adres 213.239.154.20 (ip van tweakers) aan je router toekennen, maar dan gaat nog niet iedereen die tweakers wil openen bij jou uitkomen. Het ip-adres van tweakers.net zit in z'n eigen subnet (213.239.152.0/21), dus wordt apart gerouteerd. Hier wordt bijvoorbeeld BGP voor gebruikt. Met BGP wordt dan bepaald dat het ip-adres van tweakers bij true staat, en niet in jouw meterkast. (don't ask hoe BGP beveiligd is - dat is het niet

).

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

zondag 19 mei 2013 05:00

Acties:

0 Henk 'm!

Keypunchie

Vooraf: Een IP-adres bestaat uit 4 octetten. Bijvoorbeeld 192.168.0.1. De "octetten" zijn de stukken tussen de puntjes.

Waarom heten ze octetten? Omdat ze uit 8bits bestaan (acht is octo in Latijn). Een beetje binair kunnen rekenen, helpt, maar ik doe het alvast voor je. In binair schrijf je 192.168.0.1:

code:

1	11000000 . 10101000 . 00000000 . 00000001

Een IP-adres heeft (zoals je waarschijnlijk al weet) een netwerkgedeelte en een hostgedeelte. Totdat subnetting om de hoek kwam kijken, was het redelijk simpel. Voor een groot gedeelte van de adressen was het eerste octet al het netwerkadres (bijvoorbeeld bij Apple, die alle IP-adressen heeft die met 17 begint).

Het nadeel is dat je daardoor maar heel weinig netwerken kunt maken (als je alleen het eerste octet zou gebruiken, slechts 255). De truc die men bedacht is om in plaats van naar hele octetten te kijken, men ook naar gedeelte van octetten kon kijken. Het is een manier om te bepalen wat de netwerknaam is en welk gedeelte de hostname.

Maar ja, hoe bepaal je waar je dan moet stoppen? Als je geen afspraak hebt in de categorie "eerste octet is de netwerknaam", moet je iets nieuws verzinnen. En de slimme truc was subnetmasks.

Een subnetmask bestaat ook uit octetten. Maar het kan niet elke combinatie zijn. Let maar op de structuur: Het eerste octet heeft ALTIJD een gelijke of hogere waarde dan de opvolgende octetten. (Dus het 4e octet is nooit groter dan het eerste octet). Hier is een goeie reden voor:

Voor mij was de eyeopener om te zien waarom het een masker heet. Laten we het meeste bekende nemen: /24. Oftewel 255.255.255.0 zoals je dat altijd intikte. In binair is dat:

code:

1	11111111 . 11111111 . 11111111 . 00000000

Waarom heet het /24? Omdat het in binair 3x8 = 24 1tjes bevat (tel maar na). Zet je het adres en het masker onder elkaar:

code:

1 2	11000000 . 10101000 . 00000000 . 00000001 11111111 . 11111111 . 11111111 . 00000000

Dan zie je direct welk gedeelte het netwerkadres is: de eerste 3 octetten (het gedeelte boven de eentjes) en welk gedeelte het hostadres (dat boven de nulletjes). En zo kun je dan ook bijvoorbeeld makkelijk een /16 maken. (16 eentjes achter elkaar)

code:

1 2	11000000 . 10101000 . 00000000 . 00000001 11111111 . 11111111 . 00000000 . 00000000

Je kunt het aantal 1tjes aan de voorkant verkleinen en verschuiven naar willekeur en je kunt daardoor onderscheid maken tussen 192.168 (netwerknaam) en 0.1 (hostadres) en 192.168.0 (netwerknaam) en .1 (hostadres). Maar grappig genoeg, dus ook alles daartussen in, bijvoorbeeld /22 (22 eentjes). Dan gebruik je alleen de eerste 22 bits voor het bepalen van het netwerkadres en zijn de laatste 10 bits voor het bepalen van de host.

Tada, subnetten is een makkelijke manier om meer netwerknamen te maken. Je geeft met het masker aan welke bits relevant zijn voor de netwerknaam en welke voor de hostname. (Verklaart ook meteen waarom het laatste octet altijd kleiner is dan het eerste bij een subnetmasker. Het eerste gedeelte bestaat uit 1tjes, het laatste gedeelte uit nulletjes).

Hopelijk helpt het je begrijpen, kan me voorstellen dat het nog wat abacadabra lijkt, maar ga voor de grap zelf maar eens wat ip-adressen en subnetmasks naar binair omzetten. (Ik heb zelf deze converter gebruikt: http://acc6.its.brooklyn....rwitz/core5/nav2tool.html)

[ Voor 8% gewijzigd door Keypunchie op 19-05-2013 05:49 ]

maandag 20 mei 2013 11:11

Acties:

0 Henk 'm!

Techneut

Ik begrijp het hele verhaal en werk hier al jaren mee. Hoewel "er mee werken", ik heb DHCP ingeschakeld en alle PC-netwerkpoorten op automatisch toedelen van adressen staan. In mijn geval verweg het gemakkelijkst.

Maar dit topic leidt mij wel naar iets wat ik me al eens eerder heb afgevraagd, nl. stel dat ik toch een keer alles (slechts twee computers op een router) toch handmatig ga instellen. Het subnetmasker (lokale ip-range is 192.168.1.X) zou dan zijn 255.255.255.0 of eventueel 255.255.0.0 als de moden b.v. in de range zit van 192.168.100.X, helemaal duidelijk (denk ik

)..
Maar wat zou in mijn geval de consequentie zijn als ik zou kiezen voor simpel 0.0.0.0, of desnoods 255.0.0.0 om toch die 192 van het lokale adres af te dekken van publieke ranges? Maak ik toch ergens een denkfout als ik zeg dat het in mijn situatie geen enkel verschil maakt? Zeker, kwestie van uitproberen, maar niettemin ......
In mijn optiek past deze vraag zelfs wel een beetje bij de topicvraag.

[ Voor 7% gewijzigd door Techneut op 20-05-2013 12:22 ]

maandag 20 mei 2013 13:01

Acties:

0 Henk 'm!

hans_lenze

Techneut schreef op maandag 20 mei 2013 @ 11:11:

Maar wat zou in mijn geval de consequentie zijn als ik zou kiezen voor simpel 0.0.0.0, of desnoods 255.0.0.0 om toch die 192 van het lokale adres af te dekken van publieke ranges? Maak ik toch ergens een denkfout als ik zeg dat het in mijn situatie geen enkel verschil maakt? Zeker, kwestie van uitproberen, maar niettemin ......

Als je 192.x.x.x instelt met een subnetmask van 255.0.0.0 geef jij aan dat de laatste drie octetten volledig bij jou eigen netwerk horen. IP adressen in je eigen netwerk zijn standaard te bereiken in je eigen subnet en IP adressen buiten je eigen netwerk alleen via de gateway (in jou thuissituatie je routertje).

Stel dat jij een website wilt bezoeken die als publiek IP adres 192.1.1.1 heeft. Dit IP adres hoort volgens je subnetmasker bij jou eigen prive netwerk en zal dus niet via de gateway worden bezocht oftewel: je kunt de pagina niet openen en niet communiceren met de webserver.

while (! ( succeed = try ()));

maandag 20 mei 2013 13:21

Acties:

0 Henk 'm!

Techneut

Ik begrijp wat je bedoelt. Maar een adres 192.x.x.x is nooit een publiek adres, maar altijd lokaal. Dat houdt in dat elk adres in die range miljoenen keren op de wereld kan voorkomen.
Het zijn overigens geen octetten, maar bytes, d.w.z. 0 tot 255, een octet is maar 0 tot 7.

En volgens jouw redenatie zou bij correct 255.255.255.0 elk publiek adres dat niet eindigt op een nul via gateway c.q. router niet bereikbaar zijn. Wat ik altijd heb begrepen is dat het subnetmasker letterlijk alleen geldt voor het subnet, m.a.w. het lokale netwerk en dus niets van doen heeft met openbare adressen. Met alles wat daarbuiten valt gaat hij naar de gateway (is router). Met die 3 keer 255 wordt alles behalve het 4e byte gemaskeerd.
Dus wederom de vraag, wat gebeurt er als ik 0.0.0.0 kies. Loop ik dan risico's, maar werkt alles gewoon? Nogmaals, gewoon uitproberen, maar ik probeer deze vraag voor een wat breder aantal belangstellenden te stellen.

[ Voor 55% gewijzigd door Techneut op 20-05-2013 14:24 ]

maandag 20 mei 2013 14:34

Acties:

0 Henk 'm!

CyBeR

💩

Techneut schreef op maandag 20 mei 2013 @ 13:21:
Ik begrijp wat je bedoelt. Maar een adres 192.x.x.x is nooit een publiek adres, maar altijd lokaal. Dat houdt in dat elk adres in die range miljoenen keren op de wereld kan voorkomen.

Nee, 192.168.0.0/16 is altijd lokaal. 192.1.1.1 is gewoon publiek.

Het zijn overigens geen octetten, maar bytes, d.w.z. 0 tot 255, een octet is maar 0 tot 7.

Nee, dat geldt voor octal notatie. Een octet is gewoon een ander woord voor byte.

En volgens jouw redenatie zou bij correct 255.255.255.0 elk publiek adres dat niet eindigt op een nul via gateway c.q. router niet bereikbaar zijn. Wat ik altijd heb begrepen is dat het subnetmasker letterlijk alleen geldt voor het subnet, m.a.w. het lokale netwerk en dus niets van doen heeft met openbare adressen. Met alles wat daarbuiten valt gaat hij naar de gateway (is router). Met die 3 keer 255 wordt alles behalve het 4e byte gemaskeerd.

Dat klopt. Jouw idee van zijn redenering niet overigens.

Dus wederom de vraag, wat gebeurt er als ik 0.0.0.0 kies. Loop ik dan risico's, maar werkt alles gewoon? Nogmaals, gewoon uitproberen, maar ik probeer deze vraag voor een wat breder aantal belangstellenden te stellen.

Je loopt geen risico maar 't werkt niet aangezien je dan zegt dat het hele internet bij jouw netwerk hoort en dus zonder router te bereiken is. Dat kun je alleen met truukerij laten werken.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 20 mei 2013 18:44

Acties:

0 Henk 'm!

Techneut

Weer wat geleerd. Ik was in de veronderstelling dat de hele range 192 lokaal was. Zelfde geldt voor het woord octet waarbij ik dacht aan octaal (achttallig stelsel). De enige verwantschap, toch met het getal 8 in mijn achterhoofd, die ik met het synoniem voor byte kan bedenken is achttal van bitjes. Een groepje van acht zangers heet dubbelkwartet, maar ook wel octet. Ik begrijp het ontstaan van het woord. Bedankt voor de correctie.

En hans_lenze, sorry dat ik je op een paar punten meende je te moeten corrigeren, je had gewoon gelijk, ik zat even op een verkeerd spoor. Gelukkig dat het niet tot een botsing leidde

.
Ik wist voor 80 % wat subnetmask betekende, ik weet het nu helemaal.

[ Voor 23% gewijzigd door Techneut op 20-05-2013 19:01 ]

dinsdag 21 mei 2013 14:35

Acties:

0 Henk 'm!

Obscurax

carpe noctem

kijk hier even:
http://subnettingmadeeasy...ing-made-easy-lesson.html

Ik had er ook moeite mee, maar hier is het allemaal duidelijk mee geworden.