podsieć

Logiczny podział większej sieci na mniejsze fragmenty, co poprawia organizację, wydajność i bezpieczeństwo ruchu.

Podsieć (ang. subnet) to logiczny wycinek większej sieci IP, wydzielony tak, by zbiór adresów dzielił wspólny prefiks. Mówiąc po ludzku: bierzesz jedną dużą pulę adresów i kroisz ją na mniejsze kawałki, z których każdy żyje własnym życiem. Robisz to po to, żeby uporządkować ruch, ograniczyć domeny rozgłoszeniowe (broadcast) i łatwiej pilnować, kto z kim może gadać.

Granicę między „numerem sieci” a „numerem hosta” wyznacza maska podsieci. W zapisie CIDR widzisz ją jako /24, /26 czy /30 — liczba mówi, ile początkowych bitów adresu należy do części sieciowej. Im większa liczba po ukośniku, tym mniej hostów się zmieści. Klasyczne 192.168.1.0/24 to 256 adresów, z czego 254 użyteczne dla urządzeń (jeden adres to adres sieci, jeden to broadcast).

Po co dzielisz sieć

Płaska sieć, w której wszystko siedzi w jednej puli, to proszenie się o kłopoty: każdy broadcast leci do wszystkich, a złośliwy lub zawirusowany host widzi całą resztę bez żadnej bariery. Podsieci pozwalają oddzielić serwery od stacji roboczych, gości od pracowników, a kamery IP od reszty świata. Ruch między podsieciami przechodzi przez router lub L3-switch, więc masz naturalne miejsce na reguły firewalla i ACL.

Przykład z praktyki

Masz biuro z pulą 10.0.0.0/24 i chcesz wydzielić osobny segment dla drukarek. Dzielisz na dwie podsieci /25: 10.0.0.0/25 (adresy .1–.126) dla ludzi i 10.0.0.128/25 dla sprzętu. Maskę i zakresy szybko policzysz narzędziem ipcalc:

ipcalc 10.0.0.0/25

Wypluje Ci adres sieci, broadcast, maskę 255.255.255.128 i liczbę hostów. Na sprawdzenie, w której podsieci siedzi dany adres, świetnie nadaje się też ip route w Linuksie.

Częste pułapki

  • Zapominanie o adresie sieci i broadcastu — w /24 nie masz 256 użytecznych adresów, tylko 254.
  • Nakładające się zakresy — dwie podsieci z częścią wspólną adresów rozłożą routing i będziesz długo zgadywać, czemu „pingi czasem chodzą”.
  • Mylenie maski z bezpieczeństwem — sama podsieć niczego nie blokuje. Bez firewalla czy VLAN-ów to tylko organizacja, nie ochrona.
  • Branie /30 tam, gdzie urośnie — łącza punkt-punkt to /30 lub /31, ale nie pakuj tam segmentu, który ma się rozrastać.

Pojęcia powiązane

Warto kojarzyć: maska podsieci, notacja CIDR, VLSM (zmienna długość maski), supernetting, brama domyślna (default gateway), VLAN oraz broadcast domain. Razem składają się na to, jak naprawdę projektuje się adresację w sieci.