Приветствую, коллеги! Меня зовут @ProstoKirReal Мне бы хотелось с вами обсудить как работает интернет от кабелей на витой паре, соединяющие простые локальные сети до подводных коммуникационных кабелей соединяющие между собой континенты и основные операторские сети.
В предыдущей статье я рассказывал о коммутаторах, маршрутизаторах, их основных различиях и назначении, а также разбирал работу простых сетей на примере сетей с сетевым концентратором (хабом) и коммутаторами.
В этом цикле статей я не стану учить вас настраивать оборудование и проектировать сети. Я расскажу об основных (и не только) принципах построения сети, а также о функционировании сети и сетевых протоколов в стеке TCP/IP.
Я буду часто ссылаться к предыдущим статьям, где уже описывал сетевые протоколы. Это позволит мне сократить объемный текст.
❯ Зачем нужна эта статья?
Данная статья нужна нам для того, чтобы разобраться в базовых знаниях и разобрать:
что такое сеть, подсеть, маска подсети;
что такое сегментация сети с помощью маски, VLAN;
примеры работы сети с разделением на сегменты.
❯ Что такое сеть, подсеть и маска подсети?
Сеть — это группа устройств, соединенных между собой для обмена данными. Примером может служить домашняя Wi-Fi-сеть, где ваш смартфон, ноутбук и умная колонка подключены к одному маршрутизатору.
Подсеть (subnet) — это часть более крупной сети. Она позволяет логически разделять сеть на меньшие сегменты, чтобы уменьшить трафик и повысить безопасность. Например, в офисе можно создать подсети для отделов: бухгалтерия, ИТ, ИБ, HR.
Маска подсети — это параметр, определяющий, какая часть IP-адреса относится к сети, а какая — к хосту.
Маска подсети указывает, что первые три октета (192.168.1) — это адрес сети, а последний (10) — идентификатор устройства.
IP-адрес можно представить как почтовый адрес: первая часть (адрес сети) — это как название улицы, общая для всех домов на этой улице, а вторая часть (адрес узла) — как номер дома или квартиры, уникальный для каждого дома на одной улице.
Если смотреть на IP-адрес слева направо, то сначала идет адрес сети до определенного символа, а затем адрес хоста. Граница перехода является плавающей и настраивается с помощью маски.
Одинаковые с виду IP-адреса могут оказаться адресами разных компьютеров в разных сетях.
Для того чтобы не было путаницы, придумали маску подсети. Маска подсети представляет собой набор единиц и нулей, в котором слева направо единицы идут подряд до какого-то символа, а потом до конца идут только нули.
При наложении IP-адреса на маску единицы указывают на то, что в адресе данные биты не будут меняться, а нули показывают, что данные биты будут уникальными и будут изменяться в зависимости от количества хостов.
Если перевести маску 11111111.11111111.11111111.00000000 в десятичную систему, то получится число 255.255.255.0, которое мы указываем в настройках сетевой карточки. Иногда мы говорим, что это 24-я маска, или в некоторых настройках IP-адреса вводим префикс /24. Это, простыми словами, означает количество единиц в маске: сначала идут 24 единицы, а затем 8 нулей.
❯ Почему IP-адреса так выглядят?
IP-адреса, которые мы видим, например, 192.168.1.1, — это их десятичное представление, удобное для человека. Но компьютеры работают с адресами в двоичном формате, где каждое число заменяется последовательностью из нулей и единиц.
Пример перевода в двоичный формат:
число 0 → 00000000;
число 1 → 00000001;
число 2 → 00000010;
число 3 → 00000011;
...
число 255 → 11111111.
Каждый IP-адрес состоит из четырех частей, называемых октетами. Октет — это 8 бит, или 8 нулей и единиц.
при увеличении значения на 1, изменяется младший бит;
если младший бит уже равен 1, изменяется следующий более старший бит.
число 3: 00000011;
число 4: 00000100.
Всего в одном октете может быть 256 значений: от 0 до 255.
❯ Как связаны IP-адрес и маска подсети?
Чтобы понять, какая часть IP-адреса относится к сети, а какая — к хосту, IP-адрес и маска подсети переводятся в двоичный вид.
Пример для 192.168.1.0/24:
Первые три октета (24 бита, что соответствует маске /24) обозначают сеть. Последний октет используется для идентификации устройства.
❯ Сегментация сети: зачем она нужна и как работает
Сегментация сети — это процесс разделения сети на логические или физические части. Основные причины сегментации:
1. Уменьшение трафика. В сегментированной сети пакеты данных отправляются только в нужный сегмент, а не ко всем устройствам;
2. Сокращение широковещательного трафика. Повышаем производительность всей сети, путем сокращения широковещательных пакетов (ARP, DHCP) в сегментах сети;
3. Повышение безопасности. Чувствительные данные можно изолировать в отдельном сегменте (Wi-Fiгостевой сети отделить от всей остальной сети);
4. Упрощение управления. Легче управлять небольшими подсетями, чем одной большой сетью;
5. Построение независимой логической сети. Логическая структура сети не зависит от физической структуры;
6. Повышение эффективности общей сети. В совокупности всех факторов, повышается эффективность всей сети.
В компании используются две подсети:
Каждая подсеть изолирована, и данные между ними не пересекаются, если это не настроено вручную через маршрутизатор.
❯ Как разделить сеть на подсети?
Предположим, что нам выделили одну сеть — 192.168.1.0/24, но её необходимо разделить на несколько независимых подсетей.
Для этого нужно изменить префикс маски. Маска подсети определяет, как делится диапазон адресов на части.
Сеть можно представить как круг, который мы делим на части с помощью маски подсети.
Например, в сети 192.168.1.0/24 есть 256 адресов (от 0 до 255).
Если требуется разделить эту сеть на 4 независимые подсети, каждая из которых содержит по 60 адресов, нужно разделить 256 адресов на 4 равные части.
первая подсеть: от 0 до 63;
вторая подсеть: от 64 до 127;
третья подсеть: от 128 до 191;
четвертая подсеть: от 192 до 255.
Каждая подсеть состоит из 64 адресов. Теперь нужно определить префикс маски для этих диапазонов.
Диапазон адресов при маске подсети /26
❯ Определение маски подсети
Адреса подсетей в двоичном виде:
число 0 → 00|000000;
число 1 → 00|000001;
...
число 63 → 00|111111.
число 64 → 01|000000;
число 65 → 01|000001;
...
число 127 → 01|111111.
число 128 → 10|000000;
число 129 → 10|000001;
...
число 191 → 10|111111.
число 192 → 11|000000;
число 193 → 11|000001;
...
число 255 → 11|111111.
Из двоичного представления видно, что первые 2 старших бита определяют номер подсети, а оставшиеся 6 бит — уникальные адреса в ней.
два старших бита фиксируются для определения подсети, а 6 младших бит используются для адресов внутри подсети;
это соответствует маске /26, где 26 бит — часть сети, а оставшиеся 6 бит — для хостов.
Для определения маски лучше воспользоваться таблицей масок подсети, ее легко можно найти в интернете.
В сети 192.168.1.0/24 можно разделить адреса следующим образом:
на 2 части (/25) — по 128 адресов в каждой подсети;
на 4 части (/26) — по 64 адреса;
на 8 частей (/27) — по 32 адреса;
на 16 частей (/28) — по 16 адресов;
на 32 части (/29) — по 8 адресов;
на 64 части (/30) — по 4 адреса.
Дальнейшее деление невозможно, так как маска /31 оставляет только 2 адреса: один для сети и один для широковещательной рассылки. Уникальных адресов для устройств не остается.
❯ Формула расчета адресов
Количество доступных адресов в подсети можно рассчитать по формуле:
2^n - 2, где n — количество бит, оставшихся для хостов.
Таким образом, доступно 62 адреса для хостов.
❯ Разберем пример работы на коммутаторах
Я уже рассказывал в предыдущей статье, как работает сеть при подключении нескольких устройств к одному или нескольким коммутаторам.
В нашей сети есть несколько компьютеров:
192.168.0.1/26 — из сети 192.168.0.0;
192.168.0.2/26 — из сети 192.168.0.0;
192.168.0.65/26 — из сети 192.168.0.64;
192.168.0.66/26 — из сети 192.168.0.64.
коммутатор на уровне 2 (канальный уровень) не анализирует IP-адреса или маски. Он работает с MAC-адресами и будет передавать трафик между портами, основываясь на своей таблице MAC-адресов;
при широковещательном ARP-запросе, он будет передаваться каждому компьютеру в общей сети.
Если компьютер 192.168.0.1/26 захочет обменяться пакетами с хостом (конечным устройством) 192.168.0.2/26, то между ними произойдет ARP и ICMP обмен без проблем, так как эти устройства находятся в одной подсети.
Передача запрос/ответа в одной подсети
Но если компьютер 192.168.0.1/26 захочет обменяться пакетами с хостом 192.168.0.66/26, то ARP-запрос поступит на этот узел, но ARP-ответа не будет, так как 192.168.0.66/26 находится в другой подсети.
Передача ARP-запроса из разных подсетей невозможна
Для того чтобы устройства из разных подсетей могли обмениваться информацией между собой, необходимо настраивать маршрутизацию пакетов через шлюз. Об маршрутизации расскажу в следующей статье.
❯ А что, если в нашей сети будут IP-адреса из разных подсетей?
В нашей сети есть несколько компьютеров:
192.168.0.1/24 — из сети 192.168.0.0;
192.168.0.2/24 — из сети 192.168.0.0;
192.168.0.65/26 — из сети 192.168.0.64;
192.168.0.66/26 — из сети 192.168.0.64.
компьютеры с маской /24 (255.255.255.0) считают, что вся сеть 192.168.1.0 - 192.168.1.255 является одной подсетью;
компьютеры с маской /26 (255.255.255.192) интерпретируют ту же сеть как четыре отдельных подсети:
192.168.1.0 - 192.168.1.63;
192.168.1.64 - 192.168.1.127;
192.168.1.128 - 192.168.1.191;
192.168.1.192 - 192.168.1.255.
Из-за этого компьютеры с разными масками «видят» разные границы сети и могут по-разному интерпретировать, куда направлять трафик.
Обмен данными между устройствами с одинаковыми масками:
компьютеры с маской /24 смогут общаться между собой без проблем, так как они считают, что находятся в одной и той же подсети;
то же самое относится к компьютерам с маской /26, если они находятся в одном и том же диапазоне подсети (например, оба находятся в диапазоне 192.168.1.0 - 192.168.1.63).
Обмен данными между устройствами с разными масками:
если компьютер 192.168.0.1/24 пытается отправить данные устройству 192.168.0.65/26, он будет считать это устройство частью своей подсети и отправит пакет напрямую (через ARP-запрос);
однако компьютер с маской 192.168.0.65/26, интерпретируя свою подсеть, может считать, что отправитель находится в другой подсети. В этом случае он будет ожидать маршрут через шлюз. Если шлюз не настроен или отсутствует, связь не состоится.
коммутатор на уровне 2 (канальный уровень) не анализирует IP-адреса или маски. Он работает с MAC-адресами и будет передавать трафик между портами, основываясь на своей таблице MAC-адресов;
коммутатор не сможет предотвратить конфликтов из-за разной интерпретации подсетей на устройствах.
Проблемы с доступностью узлов. Устройства с разными масками могут не видеть друг друга или неправильно направлять пакеты.
ARP-конфликты:
устройства с маской /24 могут отправлять ARP-запросы на весь диапазон адресов 192.168.1.0 - 192.168.1.255, что приведет к ненужному трафику;
устройства с маской /26 будут игнорировать запросы, если считают отправителя из другой подсети.
Отсутствие маршрутизации. Если не настроен шлюз, устройства с разными масками не смогут обмениваться данными, даже если физически находятся в одной сети.
Сложности диагностики. Администратору будет сложно понять, почему некоторые устройства не видят друг друга.
Если не предпринять никаких действий, сеть будет работать нестабильно, и часть устройств не сможет взаимодействовать. Чтобы исправить это, нужно либо унифицировать маски, либо грамотно настроить маршрутизацию и VLAN.
❯ Что такое VLAN
VLAN (Virtual Local Area Network) — это технология, которая позволяет разделять устройства на разные логические сегменты внутри одной физической сети. Основное назначение VLAN — повышение безопасности, улучшение управляемости и оптимизация трафика в локальных сетях.
Пример использования VLAN
На коммутаторе можно создать VLAN для бухгалтерии, присвоив ему ID 10, и VLAN для IT с ID 20. Устройства в разных VLAN не видят друг друга, даже если они физически подключены к одному коммутатору. Это позволяет изолировать данные и уменьшить количество широковещательного трафика.
Основные преимущества VLAN
1. Изоляция трафика. Устройства в разных VLAN не могут обмениваться данными без маршрутизации через Layer 3 устройства (маршрутизаторы или L3-коммутаторы).
2. Безопасность. VLAN предотвращают случайный или намеренный доступ устройств из других сегментов сети.
3. Оптимизация. Разделение на VLAN уменьшает нагрузку на сеть, так как широковещательные запросы остаются внутри VLAN.
4. Гибкость. Устройства можно объединять в одну VLAN, даже если они подключены к разным физическим коммутаторам (при наличии транковых соединений).
IEEE 802.1Q — это стандарт для тегирования кадров Ethernet, используемый для идентификации VLAN. Когда кадр проходит через коммутатор с поддержкой VLAN, в его заголовок добавляется специальный тег 802.1Q. Подробнее о структуре такого пакета я говорил в этой статье.
Взаимодействие VLAN через магистральные (транковые) порты
Для передачи трафика нескольких VLAN между коммутаторами используются магистральные порты. Магистральный порт помечает каждый кадр тегом 802.1Q, чтобы принимающая сторона знала, к какой VLAN он принадлежит. Это позволяет устройствам из одной VLAN, находящимся на разных коммутаторах, общаться друг с другом.
Пример: если два коммутатора соединены магистральным портом, и у обоих настроены VLAN с ID 10 и 20, то устройства VLAN 10 на первом коммутаторе смогут взаимодействовать с устройствами VLAN 10 на втором.
Внедрение и настройка VLAN
Процесс настройки VLAN обычно включает следующие шаги:
создание VLAN на коммутаторе и присвоение ей уникального идентификатора (ID);
назначение портов VLAN, в том числе выбор типа порта — access или trunk;
настройка транковых портов для взаимодействия VLAN между коммутаторами;
конфигурирование маршрутизации между VLAN (если требуется обмен данными между сегментами).
Примеры использования VLAN
1. Сегментация сети по отделам. Бухгалтерия, ИТ, HR — каждое подразделение получает свой VLAN.
2. Гостевой доступ. Создание изолированного VLAN для подключения гостей без доступа к основной корпоративной сети.
3. Поддержка IP-телефонии. Выделение отдельного VLAN для VoIP-трафика для обеспечения качества связи.
4. Сетевая безопасность. Разделение трафика для минимизации риска несанкционированного доступа.
❯ Примеры работы VLAN на коммутаторах
Для наглядности разберем работу VLAN в сети с несколькими устройствами и двумя коммутаторами.
компьютер №1: 192.168.0.1, VLAN ID № 2;
компьютер №2: 192.168.0.2, VLAN ID № 2;
компьютер №3: 192.168.1.1, VLAN ID № 3;
коммутатор №1 и №2: MAC-таблица изначально пуста.
Когда компьютер №1 отправляет «ping» на компьютер №2, он сначала формирует ARP-запрос для определения MAC-адреса получателя.
На стороне компьютера: ARP-запрос изначально не содержит VLAN ID и не имеет тега в заголовке.
ARP-запрос от компьютера №1
На коммутаторе №1: Запрос поступает на access-порт, где ему присваивается VLAN ID 2 (так как этот VLAN настроен на порту).
ARP-запросу присваивается VLAN тег
в MAC-таблицу добавляется информация о MAC-адресе Компьютера №1;
поскольку MAC-адрес Компьютера №2 еще неизвестен, запрос отправляется на trunk-порт с добавленным VLAN ID 2.
Передача ARP-запроса по trunk-порту
после получения пакета на trunk-порту, коммутатор добавляет MAC-адрес Компьютера №1 в свою MAC-таблицу;
затем VLAN тег снимается, и запрос рассылается во все активные access-порты с VLAN ID 2.
Снятие VLAN тэга с ARP-запроса
ARP-ответ от компьютера №2
на access-порту коммутатора №2 пакету снова присваивается VLAN ID 2;
пакет передается через trunk-порт коммутатору №1, который снимает VLAN тег и направляет его на порт, соответствующий MAC-адресу Компьютера №1.
Передача ARP-ответа по сети
После завершения ARP-обмена начинается ICMP-обмен между Компьютером №1 и Компьютером №2
ICMP-запрос от Компьютера №1:
формируется без VLAN тега;
коммутатор №1 присваивает пакету VLAN ID 2 и отправляет его через trunk-порт;
коммутатор №2 снимает VLAN тег и передает пакет Компьютеру №2.
ICMP-ответ от Компьютера №2:
Прохождение ICMP-запрос/ответа по сети
Добавление нового устройства
Теперь добавим в сеть Компьютер №4 с IP-адресом 192.168.1.2 и VLAN ID 3. Он подключен к access-портукоммутатора №2.
Если Компьютер №3 отправляет «ping» на Компьютер №4, происходит следующий процесс:
ARP-запрос от Компьютера №3:
запрос не имеет VLAN тега;
коммутатор №1 присваивает пакету VLAN ID 3 и передает его через trunk-порт коммутатору №2;
Коммутатор №2 снимает VLAN тег и направляет запрос Компьютеру №4.
ARP-ответ от Компьютера №4. Ответ возвращается аналогичным образом, с добавлением и снятием VLAN тега на каждом коммутаторе;
ICMP-обмен.После ARP-обмена происходит ICMP-обмен между Компьютером №3 и Компьютером №4, используя тот же путь.
Передача пакетов в VLAN №3
После завершения обмена ARP и ICMP, в MAC-таблицах коммутаторов можно заметить, что:
Важно: Trunk-порт должен быть правильно настроен для передачи трафика с несколькими VLAN ID. Ошибки в настройке могут привести к потере пакетов и некорректной работе сети.
❯ Заключение
В этой статье мы разобрали ключевые понятия: сеть, подсеть, маска подсети, сегментация сети с помощью маски и VLAN.
В следующей статье разберем как работает маршрутизация в сети.
Эти знания помогут вам лучше понимать, как проектировать и администрировать сети. Если у вас остались вопросы, пишите в комментариях, и я постараюсь на них ответить!
Немного важной информации
Коллеги, добрый день! Я создал Telegram-канал от сетевика для сетевиков.
Если ты сетевой инженер, системный администратор, разработчик, студент или просто увлекаешься сетями — тебе сюда.
Разборы глобальных сбоев и неожиданных сетевых проблем.
Мини-статьи с полезными фишками и объяснением сложных тем простым языком.
Истории из жизни сетевиков — в том числе от подписчиков.
Написано специально для Timeweb Cloud и читателей Пикабу. Больше интересных статей и новостей в нашем блоге на Хабре и телеграм-канале.
Хочешь стать автором (или уже состоявшийся автор) и есть, чем интересным поделиться в рамках наших блогов — пиши сюда.
Облачные сервисы Timeweb Cloud — это реферальная ссылка, которая может помочь поддержать авторские проекты.
