子网
子网 是什么?
子网共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
子网是将共享高位前缀的 IP 地址归入同一三层网络的一种划分。网络位与主机位的边界由子网掩码或 CIDR 前缀长度(如 /24)给出。同一子网内的主机通过 ARP(IPv4)或邻居发现(IPv6)直接通信,跨子网的流量必须经由路由器转发。子网化有助于高效分配地址、隔离广播流量,是网络分段的基础。在安全架构中,子网是 VLAN、ACL、防火墙规则和微分段的边界。子网配置错误——过大、重叠或跨信任域路由——常常成为横向移动风险的来源。
● 示例
- 01
10.1.20.0/24 是一个 /24 子网,共 256 个地址,其中 10.1.20.255 保留为广播地址。
- 02
生产服务器位于 10.1.10.0/24,构建代理则隔离在 10.1.30.0/24。
● 常见问题
子网 是什么?
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。 它属于网络安全的 网络安全 分类。
子网 是什么意思?
共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
子网 是如何工作的?
子网是将共享高位前缀的 IP 地址归入同一三层网络的一种划分。网络位与主机位的边界由子网掩码或 CIDR 前缀长度(如 /24)给出。同一子网内的主机通过 ARP(IPv4)或邻居发现(IPv6)直接通信,跨子网的流量必须经由路由器转发。子网化有助于高效分配地址、隔离广播流量,是网络分段的基础。在安全架构中,子网是 VLAN、ACL、防火墙规则和微分段的边界。子网配置错误——过大、重叠或跨信任域路由——常常成为横向移动风险的来源。
如何防御 子网?
针对 子网 的防御通常结合技术控制与运营实践,详见上方完整定义。
子网 还有哪些其他名称?
常见的别称包括: 子网络, IP 子网。
● 相关术语
- network-security№ 168
CIDR 表示法
无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。
- network-security№ 553
IP 地址
分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- network-security№ 1206
VLAN
虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
- network-security№ 723
网络分段
将网络划分为多个区域并对区域间流量进行受控管理的实践,用以遏制入侵并落实最小权限。
- network-security№ 1136
TCP/IP
由四层组成的互联网协议族,规定了如何在互联的网络中对数据包进行寻址、路由、分片并可靠交付。
- network-security№ 061
ARP
RFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便交换机能够投递帧。