Что такое маска подсети? Почему это важно для вашей сети

Любому устройству в сети необходимо знать, куда отправлять информацию. Без чётких правил данные будут перемещаться вслепую, что будет приводить к конфликтам и снижению производительности. Маска подсети — это один из инструментов для обеспечения правильной работы сети, который помогает организовать подключение и корректно распределять движение трафика.

В этом гайде вы узнаете, почему маска подсети важна как для производительности, так и для безопасности, как узнать свою маску подсети на любом устройстве и на что действительно влияет значение маски подсети. Мы также расскажем о продвинутых концепциях, таких как ротация с бесклассовой адресацией (Classless Inter-Domain Routing — CIDR) и выделение подсетей IPv6, чтобы вам было проще понять принцип организации современных сетей.

Что такое маска подсети?

Маска подсети — это набор чисел, который определяет, какая часть IP-адреса относится к сети, а какая — к устройству (хосту).

При полном соответствии IP-адресу, маска подсети помогает устройствам понимать, какие адреса являются "локальными" (в одной подсети), а к каким необходимо обращаться через роутер.

В случае с IPv4, маска подсети имеет 32-битное значение, обычно с десятичным представлением адреса с точкой. В IPv6 используются 128-битная система адреса, поэтому на сегодняшний день, IPv4 остаётся самым широко используемым форматом, при этом его легче понять, и в данном гайде мы будем ориентироваться на примеры с IPv4.

Подробнее об этой теме можно узнать в нашем гайде IPv4 и IPv6.

Базовая структура маски подсети

Маска подсети в IPv4 — это 32-битное число, составленное из непрерывной последовательности единиц (1) и нулей (0), при этом единицы указывают на биты сети, а нули — на биты хоста.

Например, маска 255.255.255.0 соответствует двоичному значению 11111111.11111111.11111111.00000000. В этом примере мы видим 24 единицы и 8 нулей, то есть первые 24 бита определяют сеть, а последние 8 бит — хостов.

Чтобы маска подсети была верной, все единицы должны быть строго вначале, а нули — в конце, без перемешивания значений. Такая последовательность создаёт строгую границу между частями сети и хоста одного IP-адреса.

Подобный постоянный формат позволяет записывать маску подсети как в двоичном, так и в десятичном представлении с точками, и позволяет устройствам быстро различать адреса сети и адреса хоста.

Двоичное и десятичное представление с точками

Маску подсети можно записать в двух разных форматах: в двоичном и десятичном с точками. Компьютеры обрабатывают маску подсети в двоичном формате, однако такое представление слишком длинное, и человеку сложнее его прочитать. Для упрощения, 32-битный двоичный код группируется в четыре блока по восемь бит и показывается в виде десятичного числа с разделением точками.

У каждого бита в октете есть свой вес: 128, 64, 32, 16, 8, 4, 2 и 1. Чтобы превратить двоичное значение в десятичное с точками, необходимо добавить значения позиций, отмеченных 1. Например, двоичная строка 11111111.11111111.11111111.00000000 станет 255.255.255.0 в десятичном отображении с точками. В обоих форматах показано одно значение; просто десятичная система с точками — это более понятный для человека способ записи системных данных.

Подсеть и маска подсети

Маска подсети и подсеть связаны, но это не одно и то же. Маска подсети — это числовое значение, которое показывает устройству правильное разделение IP-адреса на части сети и хоста. Это инструкция, которая управляет разделением.

Подсеть — это небольшая логическая часть более крупной сети, которая определяется путём применения маски подсети к IP-адресу. Например, с IP-адресом 192.168.123.132 и маской подсети 255.255.255.0, первые 24 бита (192.168.123) определяют часть сети, а последние 8 бит (.132) определяют хоста в этой подсети. Это значит, что адрес принадлежит к подсети 192.168.123.0, а .132 является уникальным хостом.

Проще говоря, маска подсети определяет границы, а подсеть — это сеть, которая существует в этих границах.

Для чего нужна маска подсети?

Задача маски подсети — показать устройствам, какая часть IP-адреса принадлежит к сети, а какая — определяет конкретное устройство (хост). Это помогает устройствам выбрать подходящий способ взаимодействия — через локальную сеть (в рамках одной подсети) или через шлюз.

При использовании маски подсети, сети можно разделять на меньшие сегменты или подсети, что повышает эффективность маршрутизации, облегчает трафик и упрощает управление сетью. Маски подсети уменьшают объёмы ненужного трафика, помогают изолировать сегменты для обеспечения безопасности и определяют путь прохождения данных до точки назначения.

Как выделение подсетей повышает эффективность работы сети

Выделение подсетей обеспечивает более быструю работу сетей и упрощает управление за счёт снижения объёмов ненужного трафика. При разделении большой сети на небольшие подсети, устройства в каждой подсети общаются друг с другом напрямую, используя локальную передачу трафика, без его отправки через всю сеть.

В подсетях также можно использовать суммирование маршрутов — это значит, что роутеры могут использовать один общий маршрут вместо нескольких отдельных. Это снижает количество записей, необходимых каждому роутеру для хранения и проверки, что уменьшает размер таблиц маршрутизации и ускоряет обработку. В результате, поиска значений требует меньше времени, и сеть становится более масштабируемой. Комбинация небольших широковещательных доменов и упрощённая маршрутизация обеспечивают более эффективную работу сети.

Преимущества разделения сети на сегменты

Разделение сети на небольшие сегменты не просто позволяет организовать сеть — оно напрямую влияет на скорость, управляемость и соответствие установленным требованиям. Разделение на подсети позволяет оставлять локальный трафик в нужной сети, снижает излишнюю нагрузку на сеть и предоставляет администраторам более широкий контроль над потоками данных.

Среди основных преимуществ можно отметить:

• Снижение нагрузки и повышение эффективности работы: локальный трафик остаётся в пределах подсети, что исключает ненужную передачу данных, способную замедлять работу всей сети.
• Повышенная безопасность и изоляция: каждая подсеть ограничивает внутренний доступ и позволяет удерживать потенциальные угрозы в своих границах. Подобная концепция соответствует принципу нулевого доверия, который основан на проверке каждого подключения вместо предположения о надёжности участников сети.
• Прозрачность и контроль доступа: администраторы могут внедрять специальные правила для каждой подсети и более точно отслеживать активность по сравнению с крупными сетями.
• Регуляторные и юридические преимущества: Чувствительные системы можно выделять в отдельные сегменты, чтобы меньше устройств проходили проверку на соответствие строгим требованиям аудита.

Выделение подсетей и снижение рисков

Выделение подсетей добавляет дополнительный уровень защиты за счёт разделения большой сети на меньшие закрытые участки. В случае компрометации одной части сети, ущерб ограничивается данной подсетью и не распространяется на всю систему. Подобная закрытость упрощает реакцию на атаки злоумышленников и ограничивает их эффект.

Также это позволяет уменьшить пространство для атаки. Трафик должен проходить через чёткие границы, поэтому при выделении подсетей угрозам сложнее распространяться на соседние подсети. Это приводит к созданию дополнительных препятствий для злоумышленников и усилению контроля со стороны специалистов по безопасности за перемещением трафика между различными сегментами сети.

Не допускайте эти типичные ошибки

Выделение подсетей может повысить скорость работы и безопасность сети, но только в случае их правильной настройки. Даже маленькая ошибка в конфигурации может привести к серьёзным проблемам подключения и эффективности работы. Далее мы расскажем о типичных ошибках, которых следует избегать:

• Использование неверной маски подсети: Если установленная на устройстве маска подсети не соответствует сети, у вас могут возникнуть проблемы с подключением.
• Маска подсети не соответствует сети или использует значение по умолчанию: если маска подсети не соответствует настройкам сети, это может привести к проблемам во взаимодействии и маршрутизации.
• Слишком большая подсеть: чем больше хостов используют подсеть, тем больше проходит через неё трафика, и это снижает производительность.
• Совпадение адресов подсетей: при совпадении диапазонов адресов в двух разных подсетях, на устройствах могут возникать проблемы с подключением, поскольку многие платформы блокируют подключение при обнаружении совпадений.
• Использование зарезервированных адресов: Хостам нельзя выдавать первый (идентификатор сети) и последний (широковещательный) адрес в каждой сети. Это может привести к проблемам с подключением.
• Плохое планирование и документирование: отсутствие чёткого плана создания подсетей усложняет масштабирование и устранение проблем, а также повышает вероятность неправильной настройки.

Выделение подсети и VPN: в чём разница?

Как подсети, так и виртуальные частные сети (VPN) определяют правила передачи трафика по сети, но они используются для разных задач. Выделение подсетей работает в пределах одной сети: оно позволяет разделить большую сеть на маленькие, ограничивает перемещение локального трафика и упрощает управление безопасностью и эффективностью работы сети.

С другой стороны, VPN защищает трафик при его передаче через сеть. Он шифрует данные и переадресует его через защищённый туннель, что обеспечивает защиту от перехвата и взлома на пути к точке назначения.

Вместе они позволяют создать многоуровневую защиту: подсети для внутренней организации и VPN для защиты внешних подключений. При соблюдении рекомендаций по сетевой безопасности, подобный подход помогает защитить как внутренний, так и внешний трафик во всей организации.

Как узнать свою маску подсети?

Обычно настройка маски подсети выполняется автоматически, но любому пользователю будет полезно знать, где её найти, поскольку это помогает решать базовые проблемы с сетью, в том числе выполнять диагностику при медленном соединении, устранять конфликты IP-адресов и самостоятельно настраивать домашнюю сеть.

Чтобы узнать свою маску подсети, откройте сетевые настройки вашего устройства или используйте простые системные команды.

Инструкция для Windows

1. Откройте Командную строку (нажмите на клавишу Windows, введите Командная строка и нажмите на неё).
   
2. Введите ipconfig /all и нажмите Enter (ввод).
   
3. Найдите Subnet Mask (Маска подсети) под активным сетевым адаптером.
   

Если вы хотите вручную изменить маску подсети, это можно сделать через Центр управления сетями и общим доступом. Выберите Change adapter settings (Изменить параметры адаптера), нажмите правой кнопкой на подключение и выберите Properties (Свойства). Затем выберите Internet Protocol Version 4 (TCP/IPv4) (IP версии 4 (TCP/IPv4)), и вручную введите корректную маску подсети.

Инструкции для macOS

1. Откройте System Settings (Системные настройки) в меню Apple.
   
2. Выберите Network (Сеть) из бокового меню, а затем выберите Wi-Fi.
   
3. Нажмите на Details (Подробнее).
   
4. Откройте вкладку TCP/IP, и вы увидите маску подсети под своим IP-адресом.
   

Чтобы изменить её, откройте выпадающее меню Configure IPv4 (Настроить IPv4), выберите Manually (вручную) и введите корректную маску подсети.

Инструкции для iOS

1. Откройте Settings (Настройки) на своём iPhone или iPad и нажмите на Wi-Fi.
   
2. Выберите текущую сеть.
   
3. Пролистайте вниз, и вы увидите маску подсети под IP-адресом.
   

Чтобы изменить её, нажмите на Configure IP (Настроить IP) > Manual (Вручную), затем вручную введите маску подсети.

Инструкции для Android

1. Зайдите в Settings (Настройки), перейдите в Network & Internet (Сеть и интернет) и нажмите на Internet (Интернет).
   
2. Выберите сеть, к которой вы подключены, и нажмите на шестерёнку (или на Advanced (Продвинутые) на более старых версиях Android), чтобы увидеть информацию о подключении.
   
3. Здесь вы увидите свою маску подсети и IP-адрес.
   

Чтобы изменить её, нажмите на карандаш, откройте IP settings (Настройки IP), переключитесь с DHCP на Static (Статический), и вручную введите правильную маску подсети или длину префикса.

Стандартные значения маски подсети и их смысл

Не все маски подсети используются одинаково. Некоторые предназначены для небольших локальных сетей, а другие позволяют объединять в группы тысячи устройств.

Сейчас маски подсети обычно записываются при помощи бесклассовой адресации (Classless Inter-Domain Routing — CIDR), которая показывает, сколько бит IP-адреса используется в данной сети. Например, /24 означает, что первые 24 бита используются для сети, т.е. это равнозначно маске подсети 255.255.255.0.

CIDR и традиционные маски подсети описывают одно и то же; разница лишь в том, что CIDR использует более современный и компактный способ представления данных.

Объяснение маски подсети /24 (255.255.255.0)

Маска подсети /24, записанная как 255.255.255.0, предоставляет всего 256 адресов, из которых, за вычетом адреса сети и широковещательного адреса, 254 адреса могут быть присвоены устройствам. Это одна из самых популярных масок подсети для локальных сетей, поскольку она предоставляет достаточно адресов для десятков и даже сотен устройств.

Прочие стандартные маски подсети

/24 — не единственный возможный вариант маски подсети. Маска /16 (255.255.0.0) предоставляет более 65 тысяч адресов в одной подсети, поэтому она используется в случаях, когда необходимо объединить тысячи устройств в одну сеть.

С другой стороны, маска /30 (255.255.255.252) предоставляет всего четыре адреса и позволяет использовать всего два устройства. Такая маска обычно использовалась для прямого соединения, когда необходимо обеспечить взаимодействие всего двух устройств (например роутеров). Позже была представлена подсеть /31 (255.255.255.254), которая оптимизировала использование адресов для прямых соединений, позволяя использовать оба IP-адреса и устраняя необходимость создания отдельной сети и трансляции адресов, что необходимо в некоторых случаях.

Другие подсети небольшого размера, например /25 или /26, разделяют сеть /24 на небольшие сегменты, что снижает количество доступных адресов для хостов, повышает контроль и снижает объём локального трафика.

В прошлом, маска /8 (255.0.0.0) являлась маской по умолчанию для сетей Класса А и предоставляла более 16 миллионов адресов в одном сегменте. Такое большое количество адресов было типичным для ранней эпохи интернета, но этот подход оказался неэффективным. Современные сети используют CIDR для более эффективного распределения диапазонов IP-адресов; это обеспечивает гибкое выделение подсетей, что снижает количество неиспользуемых адресов и упрощает маршрутизацию. В наше время, это стандартный способ отображения маски подсети как для IPv4, так и для IPv6.

Ниже представлены стандартные маски подсети:

Продвинутые концепции выделения подсетей

Обычно базового понимания значений маски подсети, например /24 или /16, достаточно для понимания принципа разделения сетей, однако существуют и более продвинутые концепции, которые позволяют сетям масштабироваться и при этом оставаться эффективными.

Классы IP (A-E) и маски подсети

Прежде, чем CIDR стало общепринятым стандартом, IP-адреса группировались по фиксированным классам IP-адресов. Каждый класс определялся по первым нескольким битам IP-адреса и использовал стандартную маску подсети и определённый диапазон возможных адресов.

Раньше эти классы были жёстко запрограммированы в сетевое оборудование, поэтому размер сети определялся автоматически по IP-адресу. Часто это приводило к бесполезному расходованию IP-пространства; например, сети компании могли присвоить класс В с более чем 65 тысячами адресов, при этом потребность компании составляла всего несколько сотен адресов. А ещё это лишало систему гибкости, поскольку администраторы не могли изменять размер сети в соответствии с потребностями.

CIDR решило эту проблему, разрешив устанавливать любой размер подсети при помощи длины префикса (например /16), независимо от начального значения IP-адреса. Традиционные классы масок соответствуют обычным блокам CIDR (например, Класс A = /8, B = /16, C = /24), однако CIDR не ограничен правилами этой классификации.

В наше время, разделение по классам в большей степени устарело, при этом классы позволяют понять принцип работы устаревших систем и помогают изучать старую документацию.

Маски подсети IPv6

IPv6 — это более новая версия интернет-протокола, которая разрабатывалась в качестве замены IPv4 и для расширения доступного количества адресов. IPv6 использует 128-битные адреса, что значительно увеличивает возможности IPv4, который предоставляет около 4 миллиардов адресов, и позволяет расширять границы интернета по мере роста количества устройств с выходом в сеть.

IPv6 не использует маску подсети — он полагается на маску префикса, которая указывает, сколько адресов определяют сеть. Например, 2001:db8::/32 означает, что первые 32 бита указывают на сеть, а остальные биты можно использовать для создания подсетей и присвоения адресов устройствам.

Это значительно упрощает разделение и объединение сетей. Вместо расчёта маски подсети, широковещательных адресов и диапазонов рабочих хостов, для разделения или объединения сетей вам нужно просто изменить длину префикса. Помимо этого, у IPv6 нет отдельных широковещательных адресов; эта функция заменена многоадресной передачей, что ещё больше упрощает управление сетью.

На практике, /64 является стандартным размером подсети IPv6 и минимумом, необходимый для поддержки автоматической настройки адресов без сохранения состояния (Stateless Address Autoconfiguration — SLAAC), которая позволяет устройствам автоматически генерировать собственные IP-адреса. Большинство интернет-провайдеров выдают как минимум /64, а иногда и более крупные блоки, например /48, которые можно разделить на 65 536 отдельных подсетей /64, каждой из которых достаточно для разделения на сегменты локальной сети (LAN), гостевой сети, VPN или интернета вещей (IoT).

Выделение подсетей в домашней сети с VPN-роутером

В домашних условиях, разделение на подсети помогает организовать устройства в небольшие группы вместо использования одной большой сети. Это упрощает разделение рабочих и домашних устройств, смарт ТВ, или устройств умного дома на отдельные сегменты, при этом все они будут подключены к одному роутеру.

При создании подсетей помните, что не все адреса подсети можно использовать. Первый и последний адрес каждой подсети зарезервированы, поэтому их нельзя выдавать устройствам. Это простое правило применимо как в домашних сетях, так и в больших корпоративных сетях.

Некоторые продвинутые домашние роутеры, например роутер ExpressVPN Aircove, поддерживают VPN-подключения на уровне роутера. Это позволяет защитить устройства, у которых нет прямой поддержки VPN-приложений, например игровые приставки и смарт ТВ. В этом случае, выделение подсетей помогает разделить сеть на рабочую, гостевую или интернет вещей, при этом весь трафик будет проходить через зашифрованный туннель.