Приветствую, коллеги! Меня зовут @ProstoKirReal Мне бы хотелось с вами обсудить как работает интернет от кабелей на витой паре, соединяющие простые локальные сети до подводных коммуникационных кабелей соединяющие между собой континенты и основные операторские сети.

В предыдущей статье я рассказывал о коммутаторах, маршрутизаторах, их основных различиях и назначении, а также разбирал работу простых сетей на примере сетей с сетевым концентратором (хабом) и коммутаторами.

Рекомендую, перед прочтением, ознакомится с предыдущей статьей: Сложно о простом. Как работает интернет. Часть 1. Что такое коммутатор, маршрутизатор и примеры работы простых сетей

В этом цикле статей я не стану учить вас настраивать оборудование и проектировать сети. Я расскажу об основных (и не только) принципах построения сети, а также о функционировании сети и сетевых протоколов в стеке TCP/IP.

Я буду часто ссылаться к предыдущим статьям, где уже описывал сетевые протоколы. Это позволит мне сократить объемный текст. 

❯ Зачем нужна эта статья?

Данная статья нужна нам для того, чтобы разобраться в базовых знаниях и разобрать:

• что такое сеть, подсеть, маска подсети;

• что такое сегментация сети с помощью маски, VLAN;

• примеры работы сети с разделением на сегменты.

❯ Что такое сеть, подсеть и маска подсети?

Сеть — это группа устройств, соединенных между собой для обмена данными. Примером может служить домашняя Wi-Fi-сеть, где ваш смартфон, ноутбук и умная колонка подключены к одному маршрутизатору.

Подсеть (subnet) — это часть более крупной сети. Она позволяет логически разделять сеть на меньшие сегменты, чтобы уменьшить трафик и повысить безопасность. Например, в офисе можно создать подсети для отделов: бухгалтерия, ИТ, ИБ, HR.

Маска подсети — это параметр, определяющий, какая часть IP-адреса относится к сети, а какая — к хосту.

Пример:

• IP-адрес: 192.168.1.10;

• маска подсети: 255.255.255.0.

Маска подсети указывает, что первые три октета (192.168.1) — это адрес сети, а последний (10) — идентификатор устройства.

IP-адрес можно представить как почтовый адрес: первая часть (адрес сети) — это как название улицы, общая для всех домов на этой улице, а вторая часть (адрес узла) — как номер дома или квартиры, уникальный для каждого дома на одной улице.

Если смотреть на IP-адрес слева направо, то сначала идет адрес сети до определенного символа, а затем адрес хоста. Граница перехода является плавающей и настраивается с помощью маски.

Одинаковые с виду IP-адреса могут оказаться адресами разных компьютеров в разных сетях.

Для того чтобы не было путаницы, придумали маску подсети. Маска подсети представляет собой набор единиц и нулей, в котором слева направо единицы идут подряд до какого-то символа, а потом до конца идут только нули.

При наложении IP-адреса на маску единицы указывают на то, что в адресе данные биты не будут меняться, а нули показывают, что данные биты будут уникальными и будут изменяться в зависимости от количества хостов.

Если перевести маску 11111111.11111111.11111111.00000000 в десятичную систему, то получится число 255.255.255.0, которое мы указываем в настройках сетевой карточки. Иногда мы говорим, что это 24-я маска, или в некоторых настройках IP-адреса вводим префикс /24. Это, простыми словами, означает количество единиц в маске: сначала идут 24 единицы, а затем 8 нулей.

❯ Почему IP-адреса так выглядят?

IP-адреса, которые мы видим, например, 192.168.1.1, — это их десятичное представление, удобное для человека. Но компьютеры работают с адресами в двоичном формате, где каждое число заменяется последовательностью из нулей и единиц.

Пример перевода в двоичный формат:

• число 0 → 00000000;

• число 1 → 00000001;

• число 2 → 00000010;

• число 3 → 00000011;

  ...

• число 255 → 11111111.

Каждый IP-адрес состоит из четырех частей, называемых октетами. Октет — это 8 бит, или 8 нулей и единиц.

Логика изменения чисел:

• при увеличении значения на 1, изменяется младший бит;

• если младший бит уже равен 1, изменяется следующий более старший бит.

Например:

• число 3: 00000011;

• число 4: 00000100.

Всего в одном октете может быть 256 значений: от 0 до 255.

❯ Как связаны IP-адрес и маска подсети?

Чтобы понять, какая часть IP-адреса относится к сети, а какая — к хосту, IP-адрес и маска подсети переводятся в двоичный вид.

Пример для 192.168.1.0/24:

• IP-адрес: 11000000.10101000.00000001.00000000

• маска:11111111.11111111.11111111.00000000

Первые три октета (24 бита, что соответствует маске /24) обозначают сеть. Последний октет используется для идентификации устройства.

❯ Сегментация сети: зачем она нужна и как работает

Сегментация сети — это процесс разделения сети на логические или физические части. Основные причины сегментации:

1.     Уменьшение трафика. В сегментированной сети пакеты данных отправляются только в нужный сегмент, а не ко всем устройствам;

2.     Сокращение широковещательного трафика. Повышаем производительность всей сети, путем сокращения широковещательных пакетов (ARP, DHCP) в сегментах сети;

3.     Повышение безопасности. Чувствительные данные можно изолировать в отдельном сегменте (Wi-Fiгостевой сети отделить от всей остальной сети);

4.     Упрощение управления. Легче управлять небольшими подсетями, чем одной большой сетью;

5.     Построение независимой логической сети. Логическая структура сети не зависит от физической структуры;

6.     Повышение эффективности общей сети. В совокупности всех факторов, повышается эффективность всей сети.

Пример

В компании используются две подсети:

• 192.168.1.0/24 — для отдела разработки;

• 192.168.2.0/24 — для отдела продаж.

Каждая подсеть изолирована, и данные между ними не пересекаются, если это не настроено вручную через маршрутизатор.

❯ Как разделить сеть на подсети?

Предположим, что нам выделили одну сеть — 192.168.1.0/24, но её необходимо разделить на несколько независимых подсетей.

Для этого нужно изменить префикс маски. Маска подсети определяет, как делится диапазон адресов на части.
Сеть можно представить как круг, который мы делим на части с помощью маски подсети.

Например, в сети 192.168.1.0/24 есть 256 адресов (от 0 до 255).

Если требуется разделить эту сеть на 4 независимые подсети, каждая из которых содержит по 60 адресов, нужно разделить 256 адресов на 4 равные части.

Результат:

• первая подсеть: от 0 до 63;

• вторая подсеть: от 64 до 127;

• третья подсеть: от 128 до 191;

• четвертая подсеть: от 192 до 255.

Каждая подсеть состоит из 64 адресов. Теперь нужно определить префикс маски для этих диапазонов.

❯ Определение маски подсети

Адреса подсетей в двоичном виде:

От 0 до 63 это:

• число 0 →   00|000000;

• число 1 →   00|000001;

  ...

• число 63 → 00|111111.

От 64 до 127 это:

• число 64 →   01|000000;

• число 65 →   01|000001;

  ...

• число 127 → 01|111111.

От 128 до 191 это:

• число 128 → 10|000000;

• число 129 → 10|000001;

  ...

• число 191 → 10|111111.

От 192 до 255 это:

• число 192 → 11|000000;

• число 193 → 11|000001;

  ...

• число 255 → 11|111111.

Из двоичного представления видно, что первые 2 старших бита определяют номер подсети, а оставшиеся 6 бит — уникальные адреса в ней.

Маска подсети:

• два старших бита фиксируются для определения подсети, а 6 младших бит используются для адресов внутри подсети;

• это соответствует маске /26, где 26 бит — часть сети, а оставшиеся 6 бит — для хостов.

Для определения маски лучше воспользоваться таблицей масок подсети, ее легко можно найти в интернете.

Правила деления сети

В сети 192.168.1.0/24 можно разделить адреса следующим образом:

• на 2 части (/25) — по 128 адресов в каждой подсети;

• на 4 части (/26) — по 64 адреса;

• на 8 частей (/27) — по 32 адреса;

• на 16 частей (/28) — по 16 адресов;

• на 32 части (/29) — по 8 адресов;

• на 64 части (/30) — по 4 адреса.

Дальнейшее деление невозможно, так как маска /31 оставляет только 2 адреса: один для сети и один для широковещательной рассылки. Уникальных адресов для устройств не остается.

❯ Формула расчета адресов

Количество доступных адресов в подсети можно рассчитать по формуле:
2^n - 2, где n — количество бит, оставшихся для хостов.

Пример:

• для маски 255.255.255.192 (или /26) остается 6 бит на адреса;

• всего: 26=6426=64 адреса;

• из них:
  

  • один адрес используется для обозначения подсети (192.168.1.0);

  • один адрес зарезервирован для широковещательной рассылки (192.168.1.63).

Таким образом, доступно 62 адреса для хостов.

❯ Разберем пример работы на коммутаторах

Я уже рассказывал в предыдущей статье, как работает сеть при подключении нескольких устройств к одному или нескольким коммутаторам.

В нашей сети есть несколько компьютеров:

• 192.168.0.1/26 — из сети 192.168.0.0;

• 192.168.0.2/26 — из сети 192.168.0.0;

• 192.168.0.65/26 — из сети 192.168.0.64;

• 192.168.0.66/26 — из сети 192.168.0.64.

Поведение коммутатора:

• коммутатор на уровне 2 (канальный уровень) не анализирует IP-адреса или маски. Он работает с MAC-адресами и будет передавать трафик между портами, основываясь на своей таблице MAC-адресов;

• при широковещательном ARP-запросе, он будет передаваться каждому компьютеру в общей сети.

Если компьютер 192.168.0.1/26 захочет обменяться пакетами с хостом 192.168.0.2/26, то между ними произойдет ARP и ICMP обмен без проблем, так как эти устройства находятся в одной подсети.

Но если компьютер 192.168.0.1/26 захочет обменяться пакетами с хостом 192.168.0.66/26, то ARP-запрос поступит на этот узел, но ARP-ответа не будет, так как 192.168.0.66/26 находится в другой подсети.

Для того чтобы устройства из разных подсетей могли обмениваться информацией между собой, необходимо настраивать маршрутизацию пакетов через шлюз. Об маршрутизации расскажу в следующей статье.

❯ А что, если в нашей сети будут IP-адреса из разных подсетей?

В нашей сети есть несколько компьютеров:

• 192.168.0.1/24 — из сети 192.168.0.0;

• 192.168.0.2/24 — из сети 192.168.0.0;

• 192.168.0.65/26 — из сети 192.168.0.64;

• 192.168.0.66/26 — из сети 192.168.0.64.

Обзор ситуации:

• компьютеры с маской /24 (255.255.255.0) считают, что вся сеть 192.168.1.0 - 192.168.1.255 является одной подсетью;

• компьютеры с маской /26 (255.255.255.192) интерпретируют ту же сеть как четыре отдельных подсети:
  

  • 192.168.1.0 - 192.168.1.63;

  • 192.168.1.64 - 192.168.1.127;

  • 192.168.1.128 - 192.168.1.191;

  • 192.168.1.192 - 192.168.1.255.

Из-за этого компьютеры с разными масками «видят» разные границы сети и могут по-разному интерпретировать, куда направлять трафик.

Поведение сети

Обмен данными между устройствами с одинаковыми масками:

• компьютеры с маской /24 смогут общаться между собой без проблем, так как они считают, что находятся в одной и той же подсети;

• то же самое относится к компьютерам с маской /26, если они находятся в одном и том же диапазоне подсети (например, оба находятся в диапазоне 192.168.1.0 - 192.168.1.63).

Обмен данными между устройствами с разными масками:

• если компьютер 192.168.0.1/24 пытается отправить данные устройству 192.168.0.65/26, он будет считать это устройство частью своей подсети и отправит пакет напрямую (через ARP-запрос);

• однако компьютер с маской 192.168.0.65/26, интерпретируя свою подсеть, может считать, что отправитель находится в другой подсети. В этом случае он будет ожидать маршрут через шлюз. Если шлюз не настроен или отсутствует, связь не состоится.

Поведение коммутатора:

• коммутатор на уровне 2 (канальный уровень) не анализирует IP-адреса или маски. Он работает с MAC-адресами и будет передавать трафик между портами, основываясь на своей таблице MAC-адресов;

• коммутатор не сможет предотвратить конфликтов из-за разной интерпретации подсетей на устройствах.

❯ Возможные проблемы

1. Проблемы с доступностью узлов. Устройства с разными масками могут не видеть друг друга или неправильно направлять пакеты.

2. ARP-конфликты:
   

   • устройства с маской /24 могут отправлять ARP-запросы на весь диапазон адресов 192.168.1.0 - 192.168.1.255, что приведет к ненужному трафику;

   • устройства с маской /26 будут игнорировать запросы, если считают отправителя из другой подсети.

3. Отсутствие маршрутизации. Если не настроен шлюз, устройства с разными масками не смогут обмениваться данными, даже если физически находятся в одной сети.

4. Сложности диагностики. Администратору будет сложно понять, почему некоторые устройства не видят друг друга.

Если не предпринять никаких действий, сеть будет работать нестабильно, и часть устройств не сможет взаимодействовать. Чтобы исправить это, нужно либо унифицировать маски, либо грамотно настроить маршрутизацию и VLAN.

❯ Что такое VLAN

VLAN (Virtual Local Area Network) — это технология, которая позволяет разделять устройства на разные логические сегменты внутри одной физической сети. Основное назначение VLAN — повышение безопасности, улучшение управляемости и оптимизация трафика в локальных сетях.

Пример использования VLAN

На коммутаторе можно создать VLAN для бухгалтерии, присвоив ему ID 10, и VLAN для IT с ID 20. Устройства в разных VLAN не видят друг друга, даже если они физически подключены к одному коммутатору. Это позволяет изолировать данные и уменьшить количество широковещательного трафика.

Основные преимущества VLAN

1.     Изоляция трафика. Устройства в разных VLAN не могут обмениваться данными без маршрутизации через Layer 3 устройства (маршрутизаторы или L3-коммутаторы).

2.     Безопасность. VLAN предотвращают случайный или намеренный доступ устройств из других сегментов сети.

3.     Оптимизация. Разделение на VLAN уменьшает нагрузку на сеть, так как широковещательные запросы остаются внутри VLAN.

4.     Гибкость. Устройства можно объединять в одну VLAN, даже если они подключены к разным физическим коммутаторам (при наличии транковых  соединений).

Технология 802.1Q

IEEE 802.1Q — это стандарт для тегирования кадров Ethernet, используемый для идентификации VLAN. Когда кадр проходит через коммутатор с поддержкой VLAN, в его заголовок добавляется специальный тег 802.1Q. Подробнее о структуре такого пакета я говорил в этой статье.

Взаимодействие VLAN через магистральные (транковые) порты

Для передачи трафика нескольких VLAN между коммутаторами используются магистральные порты. Магистральный порт помечает каждый кадр тегом 802.1Q, чтобы принимающая сторона знала, к какой VLAN он принадлежит. Это позволяет устройствам из одной VLAN, находящимся на разных коммутаторах, общаться друг с другом.

Пример: если два коммутатора соединены магистральным портом, и у обоих настроены VLAN с ID 10 и 20, то устройства VLAN 10 на первом коммутаторе смогут взаимодействовать с устройствами VLAN 10 на втором.

Внедрение и настройка VLAN

Процесс настройки VLAN обычно включает следующие шаги:

• создание VLAN на коммутаторе и присвоение ей уникального идентификатора (ID);

• назначение портов VLAN, в том числе выбор типа порта — access или trunk;

• настройка транковых портов для взаимодействия VLAN между коммутаторами;

• конфигурирование маршрутизации между VLAN (если требуется обмен данными между сегментами).

Примеры использования VLAN

1.     Сегментация сети по отделам. Бухгалтерия, ИТ, HR — каждое подразделение получает свой VLAN.

2.     Гостевой доступ. Создание изолированного VLAN для подключения гостей без доступа к основной корпоративной сети.

3.     Поддержка IP-телефонии. Выделение отдельного VLAN для VoIP-трафика для обеспечения качества связи.

4.     Сетевая безопасность. Разделение трафика для минимизации риска несанкционированного доступа.

❯ Примеры работы VLAN на коммутаторах

Для наглядности разберем работу VLAN в сети с несколькими устройствами и двумя коммутаторами.

Устройства в сети:

• компьютер №1: 192.168.0.1, VLAN ID № 2;

• компьютер №2: 192.168.0.2, VLAN ID № 2;

• компьютер №3: 192.168.1.1, VLAN ID № 3;

• коммутатор №1 и №2: MAC-таблица изначально пуста.

Шаг 1: ARP-запрос

Когда компьютер №1 отправляет «ping» на компьютер №2, он сначала формирует ARP-запрос для определения MAC-адреса получателя.

На стороне компьютера: ARP-запрос изначально не содержит VLAN ID и не имеет тега в заголовке.

На коммутаторе №1: Запрос поступает на access-порт, где ему присваивается VLAN ID 2 (так как этот VLAN настроен на порту).

Действия коммутатора №1:

• в MAC-таблицу добавляется информация о MAC-адресе Компьютера №1;

• поскольку MAC-адрес Компьютера №2 еще неизвестен, запрос отправляется на trunk-порт с добавленным VLAN ID 2.

Действия коммутатора №2:

• после получения пакета на trunk-порту, коммутатор добавляет MAC-адрес Компьютера №1 в свою MAC-таблицу;

• затем VLAN тег снимается, и запрос рассылается во все активные access-порты с VLAN ID 2.

Ответ от Компьютера №2:

• компьютер №2 отвечает на ARP-запрос, формируя ответный пакет. Этот пакет изначально не содержит VLAN тега.

Действия коммутаторов:

• на access-порту коммутатора №2 пакету снова присваивается VLAN ID 2;

• пакет передается через trunk-порт коммутатору №1, который снимает VLAN тег и направляет его на порт, соответствующий MAC-адресу Компьютера №1.

После завершения ARP-обмена начинается ICMP-обмен между Компьютером №1 и Компьютером №2

ICMP-запрос от Компьютера №1:

• формируется без VLAN тега;

• коммутатор №1 присваивает пакету VLAN ID 2 и отправляет его через trunk-порт;

• коммутатор №2 снимает VLAN тег и передает пакет Компьютеру №2.

ICMP-ответ от Компьютера №2:

• проходит тот же путь, но в обратном направлении.

Добавление нового устройства

Теперь добавим в сеть Компьютер №4 с IP-адресом 192.168.1.2 и VLAN ID 3. Он подключен к access-портукоммутатора №2.

Если Компьютер №3 отправляет «ping» на Компьютер №4, происходит следующий процесс:

1. ARP-запрос от Компьютера №3:
   

   • запрос не имеет VLAN тега;

   • коммутатор №1 присваивает пакету VLAN ID 3 и передает его через trunk-порт коммутатору №2;

   • Коммутатор №2 снимает VLAN тег и направляет запрос Компьютеру №4.

2. ARP-ответ от Компьютера №4. Ответ возвращается аналогичным образом, с добавлением и снятием VLAN тега на каждом коммутаторе;

3. ICMP-обмен.После ARP-обмена происходит ICMP-обмен между Компьютером №3 и Компьютером №4, используя тот же путь.

❯ Анализ MAC-таблиц

После завершения обмена ARP и ICMP, в MAC-таблицах коммутаторов можно заметить, что:

• У trunk-порта на каждом коммутаторе будут указаны несколько MAC-адресов, каждый из которых привязан к своему VLAN ID.

Важно: Trunk-порт должен быть правильно настроен для передачи трафика с несколькими VLAN ID. Ошибки в настройке могут привести к потере пакетов и некорректной работе сети.

❯ Заключение

В этой статье мы разобрали ключевые понятия: сеть, подсеть, маска подсети, сегментация сети с помощью маски и VLAN.

В следующей статье разберем как работает маршрутизация в сети.

Эти знания помогут вам лучше понимать, как проектировать и администрировать сети. Если у вас остались вопросы, пишите в комментариях, и я постараюсь на них ответить!

Немного важной информации

Коллеги, добрый день! Я создал Telegram-канал от сетевика для сетевиков.
Если ты сетевой инженер, системный администратор, разработчик, студент или просто увлекаешься сетями — тебе сюда.

Что тебя ждет?

• Разборы глобальных сбоев и неожиданных сетевых проблем.

• Мини-статьи с полезными фишками и объяснением сложных тем простым языком.

• Истории из жизни сетевиков — в том числе от подписчиков.

Ссылка на канал: https://t.me/ProstoKirReal

---

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩

? Читайте также:

• ➤ Сложно о простом. Самые популярные протоколы и принципы их работы. HTTP, HTTPS, SSL и TLS

• ➤ Как увеличить скорость python-скриптов: C-расширения и Python/C API

• ➤ Полезные паровозики: введение в железнодорожный моделизм

• ➤ Работа с Terraform: эмпирические правила

• ➤ От соревновательной игры до мобильной легенды. История Змейки