Adresace v IP sítích, masky sítě

Masky sítě zajišťují mechanismus jak jednu síť rozdělit do logických podsítí.

Masky zajišťují mechanismus (popsaný v RFC 950) jak jednu síť rozdělit do logických podsítí. Vezměme si třídu A – je připravena pro 126 sítí, každá s 16.777.214 uzly. Co by si asi některý z těch prvních šťastných na něž se Áčko dostalo bez maskování počal? Bez maskování má k dispozici jednu ohromnou broadcastovou doménu. S použitím masek si může síť rozdělit do mnoha podsítí. Část sítě přidaná maskou se nazývá subnet.

Princip masek vychází z předpokladu, že tam, kde je v binárním vyjádření masky jednička, tam je síť. Tam kde je nula, je uzel. Podívejme se nejprve na přirozené masky jednotlivých rozsahů:

přirozená maska            binární vyjádření masky

třída A            255.0.0.0           11111111.00000000. 00000000. 00000000

(má rozsah sítí dán prvním oktetem)

třída B            255.255.0.0       11111111. 11111111. 00000000. 00000000

(má rozsah dán prvními dvěmi oktety)

třída C            255.255.255.0    11111111. 11111111. 11111111. 00000000

(má rozsah dán prvními třemi oktety)

Každý bit masky má hodnotu, která se podle počtu bitů načítá (ještě jednou upozorňuji na kontinuitu zleva!):

bit                 7        6        5        4        3        2        1        0

hodnota       128      64      32      16       8        4        2        1

maska         128     192    224    240    248    252     254     255

Pomocí masek jsme schopni se oblast sítě roztáhnout na úkor oblasti uzlů. Viz. další příklad:

dekadické vyjádření                  binární vyjádření

adresa       10.1.1.1                 00001010.00000001.00000001.00000001

maska       255.255.0.0          11111111.11111111.00000000.00000000

Jedná se o nejjednodušší typ maskování, tedy maskování vyšší třídy přirozenou maskou nižší třídy. V tomto případě Áčko Béčkem. Adresa sítě je v tomto případě 10.1, adresa uzlu je 1.1.

Vedle přirozených masek existují masky nepřirozené. To jsou ty které nemají v oktetu samé jedničky, ale jsou zprava doplněny nulami. Jedničky musí být v masce zleva bez přerušení!

Základní pravidla pro použití masek jsou:

a) jedničky musí být v masce zleva bez přerušení;

b) subnet čísla složená ze samých nul nejsou doporučena (ale lze je použít – pozor u některých prostředků se musí povolit!);

c) subnet čísla složená ze samých jedniček nejsou povolena;

d) síťové adresy složené ze samých jedniček nebo samých nul nejsou povoleny;

e) adresy uzlů složené ze samých jedniček nebo samých nul nejsou povoleny.

Vždy je potřeba zvážit zda je přirozené maskování dostatečné nebo zda je lepší se pustit do poměrně náročných vod „nekontinuálního“ maskování.

Adresace v IP sítích, masky sítě - pokračování

Při použití masek dochází nejen ke ztrátám použitelných adres jak pro uzly tak pro sítě a tím i k možným komplikacím neznalých administrátorů.

Zopakujme si základní pravidla pro použití masek:

a) jedničky musí být v masce zleva bez přerušení;

b) subnet čísla složená ze samých nul nejsou doporučena (ale lze je použít – pozor u některých prostředků se musí povolit!);

c) subnet čísla složená ze samých jedniček nejsou povolena;

d) síťové adresy složené ze samých jedniček nebo samých nul nejsou povoleny;

e) adresy uzlů složené ze samých jedniček nebo samých nul nejsou povoleny.

Při použití masek dochází nejen ke ztrátám použitelných adres jak pro uzly tak pro sítě a tím i k možným komplikacím neznalých administrátorů.

Vezměme si příklad masky, která má v sekci subnetu pouze jeden bit. Tato maska může mít toto vyjádření:

255.255.255.128     11111111. 11111111. 11111111. 10000000

Nebudu to protahovat. Aplikujeme-li na tuto masku pravidla b a c, zjistíme, že tato maska je vlastně nepoužitelná – teoreticky nám vyjdou dva subnety:

0

a

1

z nichž první je nedoporučený a druhý nepřípustný!

Takže minimální možná maska musí mít dva bity. Tj. např :

255.255.255.192     11111111. 11111111. 11111111. 11000000

Vyjdou nám tyto adresní prostory:

00

01

10

11

Analogicky platí i zde a bude platit i pro další masky, že první subnet je nedoporučený a poslední nepřípustný. Dvoubitová maska tedy umožňuje dva až tři subnety. Potřebujeme-li 4 subnety, musíme použít masku tříbitovou. Se zvětšováním počtu subnetů se snižuje počet adres použitelných pro uzly!

Použijeme-li předešlé subnety, dojdeme k následujícímu poznání:

·         pro subnet 00 jsou limitní prostory 00000000 až 0011111111, což jsou dekadicky čísla 0 až 63. Aplikací pravidla d eliminujeme okrajové hodnoty a dojdeme k možným adresám 1 až 62;

analogicky pro další subnety:

·         pro subnet 01 jsou limitní prostory 01000000 až 0111111111, což jsou dekadicky čísla 64 až 127. Aplikací pravidla d eliminujeme okrajové hodnoty a dojdeme k možným adresám 65 až 126;

·         pro subnet 10 jsou limitní prostory 10000000 až 1011111111, což jsou dekadicky čísla 128 až 191. Aplikací pravidla d eliminujeme okrajové hodnoty a dojdeme k možným adresám 129 až 190.

Vidíme, že kromě celého posledního subnetu jsou nepoužitelné adresy 0 (logicky – ta není použitelná ani mimo subnet), 63, 64, 127, 128 a 191.

Další rozsahy subnetů vynecháme a budeme se věnovat těm posledním.

Čistě jedničkový subnet, tj. dekadicky 255 a binárně 11111111 je použitelný logicky pouze mimo poslední oktet. Předposlední teoreticky použitelný oktet, který má na posledním místě 0 vypadá následovně:

255.255.255.254     11111111. 11111111. 11111111. 11111110

V subnetech není problém, ale zato je v číslech uzlů – zbývají nám vždy pouze 0 a 1. Aplikací pravidla e je vyloučíme a vidíme, že tato maska je nepoužitelná.

Největší použitelná maska je tedy :

255.255.255.252     11111111. 11111111. 11111111. 11111100

Dojdeme k pravidlu, že počet sítí a uzlů se dá vypočítat podle vzorce

2n – 2

Tj. pro subnety  představuje n počet jedniček a pro uzly představuje n počet nul.

Abychom se nedrželi striktně masek přesahujících třídu C, podíváme se na masku přesahující třídu B:

255.255.252.0         11111111. 11111111. 11111100. 00000000

Ta umožňuje pomocí subnetingu dodatečnou segmentaci na 26 – 2 = 62 sítí se 210 – 2 = 1024 uzly.

V následující tabulce jsou uvedeny masky a z nich vyplývající počty uzlů a adres použitelné pro třídu C. Použitelné jsou pouze ty tučně vyznačené.

maskovací bit

7

6

5

4

3

2

1

číslo bitu

128

64

32

16

8

4

2

maska

128

192

224

240

248

252

254

počet sítí

0

2

6

14

30

62

126

počet uzlů v každé síti

126

62

30

14

6

2

0

No a kdyby vám to nestačilo a chtěli jste si usnadnit život nástrojem pro výpočet, je dostupný program IP subnet kalkulátor .

Adresace v IP sítích, privátní adresní rozsahy

Síť připojená k Internetu nemusí nutně být přímo adresovatelná z Internetu. Ve většině případů je to dokonce nežádoucí.

Síť připojená k Internetu nemusí nutně být přímo adresovatelná z Internetu. Ve většině případů je to dokonce nežádoucí neboť přímá adresovatelnost znamená i možnost přímé dosažitelnosti. Řešením je tedy to, že vnitřní síť (intranet) používá určitý rozsah, který je skrytý pomocí Proxy nebo NAT služby.

V březnu 1994 vytvořen dokument RFC 1597 (který byl nahrazen dokumenty RFC 1627 a posléze RFC 1918) upravující privátní adresní prostory. V každé třídě (A, B i C) je pro tyto účely vyhrazena část adres. Zmíněný dokument dělí sítě podle požadovaných komunikací do tří kategorií, které dále dělí na privátní (private) a veřejné (public). Základním rozdílem je možnost přímé komunikace ven ze sítě a naopak (tj. z venku do sítě).

Tyto rozsahy jsou:

třída                       rozsah                            množství adresních prostorů

C                192.168.0.x až 192.168.254.x                 254

B                172.16.x.x až 172.31.x.x                          16

A                10.x.x.x                                                    1

Rizika vyplývající z použití registrovaných adres přidělených někomu jinému jsou v podstatě dvě :

1. duplicitní adresace - síť již má někdo zaregistrovanou, tomto případě je (nejen) na ISP (Internet Service Provider – tj. organizace poskytující připojení) aby statickými cestami zamezil šíření adres (případně směrovacími filtry odstínil síť a zamezil problémům vznikajícím duplicitou adres na Internetu). Každý uživatel Internetu musí mít přidělenu minimálně jednu unikátní IP adresu z registrovaného prostoru. Tyto veřejné adresy jsou pak používány pro komunikaci vnitřní sítě. Možnost používat pouze omezený počet adres podstatně větší množstvím adres z vnitřní sítě řeší prostředky závisející na požadovaném směru komunikací  - např. kombinace Proxy nebo NAT a veřejných serverů umístěných v tzv. demilitarizované zóně – ftp, www, …; nebo filtrační FireWall s překladem adres. Tato záležitost je tedy řešitelná, ale neodstraňuje druhý problém – adresní stín.

2. adresní stín – uživatelé vnitřní sítě používající náhodně zvolené public adresy např. 192.1.1.x až 192.1.9.x jsou od Internetu filtrováni např. MS Proxy nebo Checkpoint Firewall-1 s překladem adres, tím mají zajištěn bezproblémový přístup do téměř celého Internetu. Pokud chtějí komunikovat s WWW (nebo jiným typem) serverem na adrese 192.1.4.45, mají smůlu – tato adresa bude vyhledávána ve vnitřní části sítě. V uvedeném příkladu tak uživatelé přichází o možnost komunikovat s Internetovými zařízeními na sítích 192.1.1.x až 192.1.9.x. Adresní stín lze řešit pouze použitím přidělených registrovaných adres (kterých může být a pravděpodobně bude nedostatek) nebo lépe jejich kombinací s adresami rezervovanými pro privátní sítě.