Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1236

子网

审核人Cybersecurity entrepreneur & security researcher

子网 是什么?

子网共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。


子网(subnetwork)将共享地址最高有效位的一组 IP 地址归入同一个三层网络。子网划分在 RFC 950(1985)中得到正式定义,它把僵化的 A/B/C 类方案拆分为由子网掩码确定的网络部分和主机部分;RFC 4632 随后将其推广为无类别的 CIDR,允许使用 /24 或 /27 等任意前缀长度,而 RFC 1918 则保留了 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16 供私有使用。同一子网内的主机通过 ARP 或 IPv6 邻居发现(Neighbor Discovery)直接通信;发往其他子网的流量由路由器转发。可变长度子网掩码(VLSM)能将一个前缀切分成大小合适的地址块,以节省地址。

在安全架构中,子网是 VLAN、ACL、防火墙规则和微分段的天然边界,并能限制 ARP 欺骗等二层攻击的影响范围,因为这类攻击无法跨越路由边界。扁平、过大的子网在数据泄露报告中是反复出现的根因:一旦攻击者立足于某台主机,未分段的 /16 便能让其自由扫描和横向跳转。2013 年的 Target 数据泄露事件就是教科书式的案例——由于网络在面向供应商的区域与刷卡处理区域之间缺乏分段,攻击者得以触及支付系统。跨越信任域、相互重叠或错误路由的子网,同样是常见的横向移动风险。

flowchart TB
  R[Router / Layer-3 firewall]
  R --> A[10.1.10.0/24<br/>Production servers]
  R --> B[10.1.20.0/24<br/>User workstations]
  R --> C[10.1.30.0/24<br/>Build agents]
  A -.ACL denies.- C
  B -.ACL denies.- A

示例

  1. 01

    10.1.20.0/24 是一个 /24 子网,共 256 个地址,其中 10.1.20.255 保留为广播地址。

  2. 02

    生产服务器位于 10.1.10.0/24,构建代理则隔离在 10.1.30.0/24。

常见问题

子网 是什么?

共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。 它属于网络安全的 网络安全 分类。

子网 是什么意思?

共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。

如何防御 子网?

针对 子网 的防御通常结合技术控制与运营实践,详见上方完整定义。

子网 还有哪些其他名称?

常见的别称包括: 子网络, IP 子网。

相关术语

另见