Введение
Подсеть (Subnet, субсеть) – логически выделенная часть более крупной IP-сети, в которой все узлы имеют одинаковый сетевой префикс. Узлы одной подсети могут взаимодействовать напрямую, без участия маршрутизатора. Трафик между подсетями проходит через маршрутизатор (роутер) или Layer 3 коммутатор.
Разделение сети на подсети – фундаментальная практика сетевого проектирования, позволяющая изолировать трафик, ограничить области вещания (broadcast domains), повысить безопасность и упростить управление.
История и контекст
Концепция подсети была формализована в RFC 950 (1985), когда стало ясно, что классовая адресация (A/B/C) крайне неэффективна. RFC 950 ввёл маску подсети и возможность разбивать сети класса A/B/C на более мелкие части.
С появлением CIDR (RFC 1519, 1993) подсети перестали быть привязаны к классам и могли иметь любую длину префикса. Современные облачные платформы (AWS VPC, Azure VNet, Yandex Cloud) целиком строятся на концепции подсетей с CIDR-нотацией.
Как это работает
Подсеть определяется двумя параметрами: сетевым адресом (network address) и маской (subnet mask). Например, подсеть 192.168.10.0/24:
- Сетевой адрес:
192.168.10.0 - Широковещательный адрес:
192.168.10.255 - Диапазон хостов:
192.168.10.1–192.168.10.254(254 адреса)
Устройство определяет, находится ли адрес назначения в его подсети, выполнив побитовый AND своего IP и IP назначения с маской. Если сетевые части совпадают – хост в той же подсети, пакет отправляется напрямую. Если нет – через шлюз по умолчанию (default gateway).
На практике подсети часто совмещаются с технологией VLAN (Virtual LAN) на уровне коммутаторов: каждой VLAN назначается своя IP-подсеть, изоляция на канальном уровне дополняет изоляцию на сетевом.
Где применяется
- Корпоративные сети: отдельные подсети для серверов, пользователей, Wi-Fi гостей, управления инфраструктурой, DMZ.
- ЦОД и виртуализация: VMware NSX, Microsoft Hyper-V создают программно-определяемые подсети для виртуальных машин.
- Облачные VPC: в AWS каждая AZ (availability zone) имеет отдельные публичные и приватные подсети.
- Безопасность: межсетевые экраны применяют политики на основе подсетей – разрешают/запрещают трафик между сегментами.
- IoT: устройства интернета вещей изолируются в отдельной подсети, чтобы скомпрометированный датчик не получил доступ к корпоративным системам.
Преимущества и ограничения
Преимущества: снижение объёма широковещательного трафика; изоляция сегментов для безопасности; упрощение управления и применения политик; оптимизация маршрутизации через агрегацию маршрутов.
Ограничения: чрезмерная фрагментация сети усложняет управление; неверное планирование адресного пространства приводит к его исчерпанию; необходимость настройки маршрутизации между подсетями добавляет операционную нагрузку.
Связь с другими понятиями
Подсеть неразрывно связана с маской подсети (subnet mask), определяющей её границы. Протокол TCP/IP использует подсети для маршрутизации пакетов. На канальном уровне подсети соответствуют VLAN. Для мониторинга и управления подсетями применяются инструменты network management. В контексте облачных сред подсети реализуются через виртуальные сети провайдеров.
