Подсеть
Что такое Подсеть?
ПодсетьНепрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
Подсеть (subnetwork) объединяет в одну сеть уровня 3 IP-адреса, у которых совпадают старшие биты адреса. Разбиение на подсети было формализовано в RFC 950 (1985), который разделил жёсткую схему классов A/B/C на сетевую и хостовую части, задаваемые маской подсети; RFC 4632 позднее обобщил это до бесклассового CIDR с произвольной длиной префикса, например /24 или /27, а RFC 1918 зарезервировал 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16 для частного использования. Хосты одной подсети взаимодействуют напрямую через ARP или Neighbor Discovery в IPv6; трафик в другие подсети передаётся через маршрутизатор. Маска подсети переменной длины (VLSM) позволяет нарезать один префикс на блоки нужного размера, экономя адреса.
В архитектуре безопасности подсеть — естественная граница для VLAN, ACL, правил межсетевого экрана и микросегментации, и она ограничивает радиус поражения атак уровня 2, таких как ARP-спуфинг, которые не способны пересечь маршрутизируемую границу. Плоские, чрезмерно большие подсети — повторяющаяся первопричина в отчётах об инцидентах: стоит атакующему закрепиться на одном хосте, как несегментированный /16 позволяет ему свободно сканировать и продвигаться. Взлом Target в 2013 году — хрестоматийный пример: атакующие добрались до платёжных систем, поскольку в сети отсутствовала сегментация между зонами, обращёнными к поставщикам, и зонами обработки карт. Пересекающиеся или ошибочно маршрутизируемые подсети, связывающие доверенные зоны, — столь же распространённый риск латерального продвижения.
flowchart TB R[Router / Layer-3 firewall] R --> A[10.1.10.0/24<br/>Production servers] R --> B[10.1.20.0/24<br/>User workstations] R --> C[10.1.30.0/24<br/>Build agents] A -.ACL denies.- C B -.ACL denies.- A
● Примеры
- 01
Подсеть /24 10.1.20.0/24 содержит 256 адресов, 10.1.20.255 зарезервирован под broadcast.
- 02
Production-серверы размещены в 10.1.10.0/24, а build-агенты изолированы в 10.1.30.0/24.
● Частые вопросы
Что такое Подсеть?
Непрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Подсеть?
Непрерывный диапазон IP-адресов с общим префиксом, образующий единый широковещательный домен и границу маршрутизации в сети.
Как защититься от Подсеть?
Защита от Подсеть обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Подсеть?
Распространённые альтернативные названия: Подсеть, IP-подсеть.