Situationsaufgabe: Netzwerkplanung

Situationsaufgabe: Netzwerkplanung – AP Teil 2 FISI

Netzwerkplanung ist das häufigste Thema in FISI-Situationsaufgaben – laut IHK-Prüfungsstatistik taucht es in ca. 60–70 % der AP-Teil-2-Prüfungen auf. Kein Wunder: es verbindet fast alle FISI-Kernkompetenzen auf einmal – Subnetting, VLAN-Konzepte, Routing, Firewall-Regeln, Netzwerk-Dokumentation. Diese Lektion stellt dir eine vollständige Situationsaufgabe zum Thema Netzwerkplanung vor: zuerst das Szenario (so wie du es in der Prüfung lesen würdest), dann jede Teilaufgabe mit Musterlösung und Erläuterung, warum die Antwort Punkte bringt. Ziel ist nicht das Auswendiglernen der Lösung, sondern das Erkennen des Lösungswegs – damit du in der echten Prüfung auch mit anderem Szenario sicher antworten kannst.

1) Das Szenario

Lies das Szenario vollständig, bevor du die Teilaufgaben anschaust. Markiere gedanklich: IP-Adressen, Gerätenames, Anforderungen, Schwachstellen.

📋 Prüfungsszenario – Netzwerkplanung

Betrieb: Die Handwerks GmbH ist ein mittelständisches Unternehmen (80 Mitarbeitende, zwei Standorte: Hauptsitz Hamburg, Filiale Bremen) im Bereich Haustechnik-Installation. Der IT-Betrieb wird von dir als einziger FISI betreut. Der Geschäftsführer hat beschlossen, das Netzwerk am Hauptsitz grundlegend zu überarbeiten und dabei ein VLAN-Konzept einzuführen.

Ist-Zustand: Alle Geräte hängen im selben flachen Netzwerk (192.168.1.0/24). Es existiert kein VLAN-Konzept. Der Internetzugang läuft über einen Consumer-Router (FritzBox 7590). Die Firewall ist eine einfache ACL am Router.

Anforderungen des Geschäftsführers:

Trennung von Büro-PCs, WLAN-Gäste, Drucker/IoT und Server in separate Netzsegmente
Gastnetz darf keinen Zugriff auf interne Ressourcen haben
Drucker-Netz nur von Büro-PCs erreichbar
Server-Netz nur von Büro-PCs und Admins erreichbar
Zukünftig: VPN-Zugang von der Filiale Bremen
Basis-Adressraum: 10.10.0.0/16 – du vergibst die Subnetze

Hardware: Ein neuer managed Layer-3-Switch (48-Port) und eine Firewall-Appliance (pfSense, 4 Netzwerkkarten) wurden bereits beschafft.

2) Teilaufgaben mit Musterlösungen

Klick die Teilaufgaben an. Versuche zuerst selbst eine Antwort zu formulieren, bevor du die Musterlösung aufklappst.

Situationsaufgabe – Netzwerkplanung (Gesamtpunkte: 80)

a) Subnetting

b) VLAN-Konzept

c) Firewall-Regeln

d) Dokumentation

Tipp: Schreibe in der echten Prüfung zuerst alle Teilaufgaben durch, dann kontrolliere. Punkte-Hinweise stehen immer direkt bei der Aufgabe – richte deine Zeit daran aus.

3) Subnetting-Schnellreferenz

Die wichtigsten Subnetzmasken für CIDR-Notationen – in Prüfungsaufgaben am häufigsten gefragt:

CIDR-Referenz – Hosts, Netzmaske, Broadcast-Abstand

CIDR/24

Hosts nutzbar254

Subnetzmaske255.255.255.0

Typisch fürmittlere Segmente

CIDR/25

Hosts nutzbar126

Subnetzmaske255.255.255.128

Typisch fürgrößere Abteilungen

CIDR/26

Hosts nutzbar62

Subnetzmaske255.255.255.192

Typisch fürAbteilungen, VLANs

CIDR/27

Hosts nutzbar30

Subnetzmaske255.255.255.224

Typisch fürDrucker, IoT, Server

CIDR/28

Hosts nutzbar14

Subnetzmaske255.255.255.240

Typisch fürManagement, kleine Segmente

CIDR/30

Hosts nutzbar2

Subnetzmaske255.255.255.252

Typisch fürPoint-to-Point-Links

4) Typische Bewertungsfallen in Netzwerk-Aufgaben

Fehler	Warum Punktabzug	Lösung
Netzwerk- oder Broadcast-Adresse als Host vergeben	Technisch ungültig – erste und letzte Adresse nicht nutzbar	Bei /24: .0 = Netz, .255 = Broadcast → Hosts .1 bis .254
Überlappende Subnetze	Routing-Konflikt, Netzwerk funktioniert nicht	Subnetze immer von klein nach groß durchplanen, auf Überschneidungen prüfen
VLAN ohne Trunk-Port erwähnen	VLANs ohne Trunk zwischen Switch und Router/Firewall sind nicht routingfähig	Immer erwähnen: Trunk-Port am Switch, 802.1Q-Tagging
Firewall-Regeln nur in eine Richtung	Stateless-Denkweise – bei Stateful Firewall ist Return-Traffic zwar automatisch erlaubt, aber beim Explizit-Beschreiben trotzdem beide Richtungen erwähnen	Regeln als Tupel: Quelle / Ziel / Port / Aktion
Default-Route vergessen	Clients ohne Default Gateway kommen nicht ins Internet	Jedes Subnetz braucht einen Default Gateway (normalerweise die Firewall-IP im Segment)

5) Was sonst noch in Netzwerk-Situationsaufgaben vorkommt

Spanning Tree Protocol (STP/RSTP) – bei redundanten Switch-Verbindungen. IHK fragt manchmal nach Root Bridge und Schleifenvermeidung.
DHCP-Konfiguration – welches Gerät verteilt DHCP in welchem VLAN? DHCP-Relay bei zentralem Server.
DNS-Auflösung im VLAN-Kontext – Clients müssen DNS-Server erreichen können (Firewall-Regel nicht vergessen).
NAT/PAT – beim Übergang ins Internet. Inside/Outside-Interface, Masquerading.
QoS-Anforderungen – z. B. VoIP-Traffic priorisieren. DSCP-Markierung, Traffic Shaping.
Redundanz / High Availability – VRRP/HSRP für Gateway-Redundanz, Link Aggregation (LACP/802.3ad).

Zusammenfassung

Netzwerk-Situationsaufgaben im AP Teil 2 FISI testen immer die gleiche Kernkompetenz: ein unsicheres oder schlecht strukturiertes Netz analysieren, ein sauberes VLAN-Konzept mit korrekten Subnetzen entwerfen und Firewall-Regeln ableiten. Der Lösungsweg ist immer: (1) Anforderungen lesen und Segmente ableiten, (2) Subnetze dimensionieren und IP-Adressen vergeben, (3) VLANs mit Nummern und Zweck definieren, (4) Firewall-Regeln als Tupel (Quelle/Ziel/Port/Aktion) formulieren, (5) Dokumentation beschreiben. Typische Fallen: überlappende Subnetze, fehlende Trunk-Ports, vergessene Default-Routen.

Verwandte Lektionen: Format AP Teil 2 FISI · Situationsaufgabe VPN · Situationsaufgabe IT-Sicherheit · und mehrWeitere relevante LektionenVLAN-Grundlagen Subnetting Firewall-Regeln Routing-Grundlagen Prüfungssimulation FISI