Подсеть — логическое разделение IP-адресного пространства на меньшие сегменты. Маска подсети определяет, какая часть IP-адреса — «сетевая» (общая для всех хостов подсети), а какая — «хостовая» (уникальная внутри подсети). Подсети изолируют широковещательный трафик (broadcast), упрощают маршрутизацию и обеспечивают сегментацию безопасности.
Как работает подсеть
CIDR-нотация (Classless Inter-Domain Routing): адрес и длина маски записываются через слэш: 192.168.1.0/24. Число после / — количество фиксированных (сетевых) битов. /24 означает маску 255.255.255.0: первые 24 бита — сеть, последние 8 — хосты (2⁸−2 = 254 хоста).
/24— 254 хоста (256 − 2: один адрес сети, один broadcast)/25— 126 хостов/26— 62 хоста/30— 2 хоста (point-to-point соединения)/32— 1 адрес (маршрут хоста, loopback, failover IP)
VLSM и CIDR
VLSM (Variable Length Subnet Mask) — использование разных масок для разных подсетей в одной сети. Позволяет экономно расходовать IP-адреса: для серверного сегмента — /28 (14 хостов), для управляющей сети — /30 (2 хоста), для пользовательского сегмента — /22 (1022 хоста). CIDR заменил классовую адресацию (Class A/B/C) в 1993 году (RFC 1519), позволив гибко распределять адресное пространство.
Подсети в хостинге
Провайдеры VPS обычно предоставляют один IP из /24-подсети. При аренде выделенного сервера можно запросить подсеть /29 (6 адресов) или /28 (14 адресов) для размещения нескольких сервисов на разных IP. Для корпоративного хостинга и колокейшн провайдеры выдают подсети /24 (256 адресов) и более. IPv6: провайдеры обычно выдают /48 (281 триллион адресов), из которых клиент нарезает /64-подсети для каждого VLAN.
Сегментация и безопасность
В дата-центре подсети используются для сегментации: DMZ (серверы, смотрящие в интернет), внутренняя сеть (базы данных, бэкапы), management-сеть (IPMI). Правила iptables или межсетевого экрана фильтруют трафик между подсетями. Например: серверы БД в сети 10.0.2.0/24 не имеют прямого доступа из интернета, только из серверной сети 10.0.1.0/24.
История
Классовая адресация (Class A/B/C) появилась в RFC 791 (1981). К 1990-м годам стало ясно, что негибкая классовая система ведёт к быстрому исчерпанию адресов. CIDR/VLSM стандартизированы в RFC 1519 (1993, Yakov Rekhter и Ephriam Haskin). Бесклассовая маршрутизация позволила интернет-провайдерам агрегировать маршруты и значительно замедлила рост таблиц BGP.
Подсети и VLAN в дата-центрах
В дата-центровой инфраструктуре подсети используются совместно с VLAN: каждая логическая сеть — отдельный VLAN с отдельной IP-подсетью. Типичная схема: VLAN 10 — управление (10.0.10.0/24), VLAN 20 — серверы production (10.0.20.0/24), VLAN 30 — базы данных (10.0.30.0/24, без маршрута из интернета), VLAN 40 — backup-трафик (10.0.40.0/24). Маршрутизация между VLAN — на L3-коммутаторе или маршрутизаторе с ACL (Access Control Lists) для ограничения доступа: backup-сервер видит серверы production, но не управление. Это базовая сегментация безопасности.
Supernet и агрегация маршрутов
Supernet — объединение нескольких подсетей в один маршрут: вместо 4 записей /24 в таблицу маршрутизации добавляется одна /22. Агрегация маршрутов уменьшает размер таблиц BGP и ускоряет их обработку. В хостинге: провайдер анонсирует блок /24 или /22 в BGP, а внутри делит на /29 и /30 для клиентов. Таблица глобальных маршрутов BGP в 2024 году содержит ~950 000 записей IPv4 и ~180 000 IPv6 — каждый маршрутизатор в интернете хранит эту таблицу в TCAM-памяти.
Маска /24 — разговорный синоним «класса C» (устаревшая терминология). На практике: /24 подсеть умещает один сервер-дата, /29 выдаётся клиентам для блока IP, /30 — point-to-point между маршрутизаторами. При аренде блока IP у провайдера первый и последний адреса не используются (network address и broadcast).