Calculateur de sous-réseau IP, gratuit

Brève histoire de CIDR et du sous-réseautage IPv4

Lorsque la RFC 791 a normalisé le protocole Internet en septembre 1981, les adresses IPv4 étaient découpées en classes rigides. Les allocations de classe A donnaient 16 777 214 hôtes, la classe B 65 534, la classe C 254, et il n'existait rien entre les deux. Toute organisation ayant besoin de plus de 254 hôtes demandait une classe B, même si elle ne comptait que 1 000 employés, et des dizaines de milliers d'adresses étaient gaspillées par allocation. À la fin des années 1980, les classes B disparaissaient rapidement, la table de routage mondiale dépassait la mémoire des routeurs principaux, et l'espace IPv4 de 32 bits était consommé plus vite que ses concepteurs ne l'avaient jamais prévu. La RFC 1518 et la RFC 1519 (septembre 1993) ont introduit le Classless Inter-Domain Routing, prononcé «cider», qui permet à la frontière réseau/hôte de tomber à n'importe quelle position de bit et permet à seize /24 contigus d'être annoncés comme un seul /20. L'allocation correspondait enfin au besoin, la table BGP a cessé de s'effondrer sous son propre poids, et l'épuisement d'IPv4 a été repoussé d'environ dix-sept ans et demi dans le futur. La RFC 4632 a réémis et rendu obsolète la RFC 1519 en août 2006 et reste l'autorité actuelle. Trois plages privées ont été découpées par la RFC 1918 en février 1996 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), donnant à chaque routeur domestique NAT et pare-feu d'entreprise une réserve d'adresses utilisables que l'internet public ne routerait jamais. La RFC 3021 (décembre 2000) a créé l'exception /31 pour les liens point-à-point, économisant environ deux adresses IPv4 par circuit routeur-à-routeur. Le pool libre de premier niveau de l'IANA a finalement été épuisé le 31 janvier 2011 ; APNIC a suivi en avril 2011, LACNIC en 2014, ARIN en 2015, AfriNIC en 2017, et RIPE NCC en novembre 2019. CIDR est la raison pour laquelle l'une de ces dates se situe dans cette décennie plutôt que dans les années 1990.

L'anatomie d'un calcul de sous-réseau

• L'adresse IPv4 sur 32 bits. Chaque adresse IPv4 fait 32 bits, conventionnellement écrite sous forme de quatre octets de 8 bits en notation décimale pointée : 192.168.1.0 correspond en binaire à 11000000.10101000.00000001.00000000. L'espace IPv4 total est de 2³², environ 4,3 milliards d'adresses, ce qui semblait infini en 1981 et s'est épuisé en 2011 (IANA), 2015 (ARIN) et 2019 (RIPE NCC). Toute l'arithmétique de sous-réseau opère bit à bit sur cette valeur de 32 bits.
• La longueur du préfixe CIDR. Le nombre après la barre oblique dans 192.168.1.0/24 compte les bits 1 de tête consécutifs dans le masque de sous-réseau, autrement dit le nombre de bits identifiant le réseau. Ce qui reste identifie l'hôte au sein de ce réseau. Un /24 réserve 24 bits pour le réseau et 8 bits pour les hôtes ; un /30 réserve 30 et 2 ; un /16 réserve 16 et 16. Le préfixe peut tomber à n'importe quelle position de bit, de /0 (l'ensemble d'internet) à /32 (un seul hôte).
• Le masque de sous-réseau. Le jumeau en notation décimale pointée du préfixe CIDR. /24 est 255.255.255.0, soit 24 uns binaires suivis de 8 zéros binaires. /27 est 255.255.255.224 (le dernier octet est 11100000). Les routeurs et systèmes d'exploitation acceptent indifféremment les deux notations. Le complément du masque, le masque générique, est ce qu'utilisent les listes de contrôle d'accès Cisco : une correspondance ACL /24 s'écrit 0.0.0.255, pas 255.255.255.0.
• L'adresse réseau. Calculée comme IP AND masque_sous-réseau bit à bit : le ET met à zéro chaque bit d'hôte et laisse intacte la portion réseau. Pour 192.168.1.27/24, le masque est 255.255.255.0 et l'adresse réseau est 192.168.1.0. L'adresse réseau identifie le sous-réseau lui-même et ne peut être attribuée à un hôte, à la seule exception du /31 (RFC 3021).
• L'adresse de diffusion. Calculée comme adresse_réseau OR (NOT masque_sous-réseau) bit à bit : tous les bits d'hôte sont mis à 1. Pour 192.168.1.0/24 la diffusion est 192.168.1.255 ; pour 192.168.1.0/27 elle est 192.168.1.31. Le trafic vers l'adresse de diffusion est livré à chaque hôte du sous-réseau simultanément, donc l'adresse est réservée et non attribuable. Le /31 est encore l'exception, car un lien point-à-point n'a que deux extrémités et n'a pas besoin de diffusion.
• Adresses totales et hôtes utilisables. Adresses totales dans le sous-réseau = 2^{(32 − préfixe)}. Un /24 en contient 256, un /27 en contient 32, un /30 en contient 4. Hôtes utilisables = total − 2, en soustrayant les adresses réseau et de diffusion, donc un /24 fournit 254 hôtes attribuables et un /27 en fournit 30. Deux exceptions : /31 selon la RFC 3021 fournit 2 hôtes utilisables (les deux adresses attribuables sur un lien point-à-point), et /32 représente une route à un seul hôte. Les sous-réseaux AWS sont une troisième exception en pratique, car AWS réserve 5 adresses par sous-réseau, pas 2, donc un /24 AWS fournit 251 hôtes utilisables.

Tailles de sous-réseau courantes et leurs usages

• Réseaux locaux domestiques et de petit bureau (/24). Presque tous les routeurs grand public du marché (Linksys, Netgear, Asus, TP-Link, eero, Google Nest Wifi) sont livrés avec un /24 par défaut dans la plage RFC 1918 192.168.0.0/16, généralement 192.168.0.0/24 ou 192.168.1.0/24. 254 hôtes utilisables par LAN, le routeur lui-même prend habituellement .1, l'adresse réseau se termine par .0 et la diffusion par .255. Les paramètres par défaut chevauchent tout, raison pour laquelle les utilisateurs de VPN renumérotent régulièrement vers quelque chose de moins courant comme 192.168.42.0/24 ou 10.42.0.0/24.
• Réseaux d'entreprise de taille moyenne à grande (hiérarchies 10.0.0.0/8). Les grandes entreprises et les boutiques cloud-natives découpent tout à partir de 10.0.0.0/8, le plus grand bloc RFC 1918 à 16,7 millions d'adresses. /16 par site, /20 par région, /22 par département, /24 par VLAN ; la hiérarchie reflète l'organigramme et s'agrège proprement vers le cœur du réseau. Les entreprises de taille moyenne choisissent souvent 172.16.0.0/12 à la place, car c'est la plage RFC 1918 la moins utilisée et la moins susceptible de chevaucher les routeurs grand public aléatoires que leurs employés utilisent à la maison.
• Sous-réseaux cloud (AWS VPC, Azure VNet, GCP VPC). La convention AWS VPC est un super-réseau /16 issu d'une plage RFC 1918, sous-divisé en sous-réseaux /20 ou /24 par zone de disponibilité, séparés en niveaux public, privé et base de données. AWS réserve 5 adresses par sous-réseau, pas 2 (l'adresse réseau, la diffusion, plus le routeur VPC, le DNS, et une mise en réserve), donc un /24 AWS dispose de 251 adresses utilisables au lieu de 254. Règle critique : les VPC qui ont besoin de s'appairer ou de partager une passerelle de transit ne doivent pas avoir de plages CIDR qui se chevauchent, donc un déploiement multi-compte ou multi-région a besoin d'un plan d'allocation maître dès le premier jour.
• Liens point-à-point (/30 et /31). Les circuits routeur-à-routeur, tunnels GRE, tunnels IPsec et liens série ne portent que deux extrémités. Le /30 classique donne 4 adresses dont 2 utilisables et 2 gaspillées (réseau et diffusion). L'équipement moderne prend en charge le /31 selon la RFC 3021, qui donne 2 adresses, toutes deux utilisables, divisant par deux la consommation IPv4. Une dorsale avec 500 circuits point-à-point économise environ 1 000 adresses IPv4 en passant des /30 aux /31 ; sur une dorsale d'internet public où chaque adresse IPv4 a une valeur monétaire, c'est de l'argent réel.
• DMZ, VLAN serveur et petits segments (/27 à /29). Un segment de zone démilitarisée pour quelques serveurs exposés à Internet, un VLAN de gestion pour les bouclages de commutateur, une petite ferme de serveurs, un minuscule segment IoT, un réseau d'administration hors bande : ceux-ci fonctionnent généralement en /27 (30 hôtes), /28 (14 hôtes) ou /29 (6 hôtes). Des segments dimensionnés au plus juste limitent le bruit des domaines de diffusion et réduisent le rayon d'impact lorsque quelque chose est mal configuré ou compromis. Presque toutes les questions de scénarios de certification se situent quelque part dans cette plage de préfixes, car le calcul binaire n'est pas trivial sans papier.
• Préparation aux certifications (CompTIA Network+, Cisco CCNA / CCNP, JNCIA). Le calcul de sous-réseau est un incontournable de tout examen réseau de niveau débutant, et la pression du temps est brutale : les candidats disposent régulièrement de moins de 30 secondes par question d'adresse et préfixe. Les astuces d'étude classiques sont la méthode du nombre magique (256 moins l'octet de masque concerné donne le pas du sous-réseau) et l'exercice binaire de sous-réseautage en sept secondes popularisé par Professor Messer. Un calculateur comme celui-ci est plus rapide que chacune de ces méthodes sur le vrai travail d'ingénierie réseau ; les deux méthodes existent pour la salle d'examen où les calculatrices ne sont pas autorisées.

RFC clés et jalons historiques

• RFC 791 (septembre 1981). La spécification originale du protocole Internet de Jon Postel. Définissait IPv4, l'adresse 32 bits, la notation décimale pointée et le schéma d'allocation par classes original (classes A, B, C, D, E). La conception par classes a duré douze ans avant que l'échelle ne force son remplacement et reste la raison historique pour laquelle les préfixes /8, /16 et /24 semblent encore «naturels» aujourd'hui.
• RFC 1518 et RFC 1519 (septembre 1993). Le couple de RFC qui a introduit le routage interdomaine sans classes (CIDR). La RFC 1518 (Rekhter et Li) a posé l'architecture ; la RFC 1519 (Fuller, Li, Yu, Varadhan) a défini la stratégie d'attribution et d'agrégation d'adresses. Ensemble, elles ont remplacé le système rigide A/B/C par la notation de préfixe de longueur variable que tous les routeurs sur terre parlent aujourd'hui. La RFC 1519 a été rendue obsolète par la RFC 4632 en 2006.
• RFC 1918 (février 1996), BCP 5. Yakov Rekhter, Robert Moskowitz, Daniel Karrenberg, Geert Jan de Groot et Eliot Lear ont rédigé le document qui a découpé les trois plages IPv4 privées (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) et les a déclarées non routables sur l'internet public. Chaque réseau domestique NAT, LAN d'entreprise et VPC cloud depuis 1996 a choisi ses adresses dans l'un de ces trois blocs.
• RFC 3021 (décembre 2000). Retana, White, Fuller et McPherson ont créé l'exception /31. Sur un lien point-à-point avec exactement deux extrémités, il n'y a pas besoin d'adresse de diffusion, donc les deux adresses d'un /31 peuvent être attribuées comme adresses d'hôte. Le changement a économisé des dizaines de milliers d'adresses IPv4 sur les dorsales FAI mondiales au cours des deux décennies suivantes.
• RFC 4632 (août 2006), BCP 122. Vince Fuller et Tony Li ont réémis la spécification CIDR, rendant obsolète la RFC 1519 treize ans après l'original. La RFC 4632 est l'autorité actuelle pour l'attribution et l'agrégation d'adresses IPv4 et reste le document qu'un ingénieur réseau cite lorsqu'on lui demande «où vit CIDR dans les normes ?»
• RFC 6598 (avril 2012). Réservait 100.64.0.0/10 pour le Carrier-Grade NAT, la deuxième couche de NAT que les FAI placent entre les routeurs abonnés et l'internet public une fois leurs propres allocations IPv4 épuisées. Notoirement confondu avec l'espace privé RFC 1918, mais distinct : un réseau d'utilisateur final ne doit pas choisir dans ce bloc, car le FAI l'utilise déjà de l'autre côté du routeur domestique.
• RFC 6890 (avril 2013), BCP 153, mise à jour par la RFC 8190 (juin 2017). A consolidé chaque réservation à usage spécial IPv4 (et IPv6) dans un registre d'adresses à usage spécial unique de l'IANA. Boucle locale (127.0.0.0/8), lien local (169.254.0.0/16), plages de documentation (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24), le /4 multicast et le /10 CGN sont tous énumérés sous un registre canonique unique plutôt que dispersés dans une demi-douzaine de RFC plus anciennes.
• Épuisement IPv4 (31 janvier 2011 et après). Le pool libre de premier niveau de l'IANA a été vidé le 31 janvier 2011, soit dix-sept ans et demi après la publication de CIDR. APNIC a suivi le 15 avril 2011, LACNIC le 10 juin 2014, ARIN le 24 septembre 2015, AfriNIC le 21 avril 2017, et RIPE NCC le 25 novembre 2019. La transition vers IPv6 est en cours depuis deux décennies et reste incomplète ; CIDR plus NAT plus RFC 1918 est la raison pour laquelle IPv4 tient encore debout.

Plus de questions fréquentes

Quelle est la différence entre un masque de sous-réseau et un préfixe CIDR ?

Ils expriment la même information dans deux notations. /24 en CIDR est 255.255.255.0 en masque de sous-réseau décimal pointé : 24 uns suivis de 8 zéros en binaire. CIDR est la notation compacte moderne, le masque de sous-réseau est la forme plus ancienne que la plupart des systèmes d'exploitation réseau affichent encore. Routeurs et calculateurs acceptent les deux. Astuce de conversion utile : chaque octet du masque est soit 0, 128, 192, 224, 240, 248, 252, 254 ou 255 (les seuls motifs binaires de 1 de tête contigus), donc 255.255.240.0 se lit immédiatement comme 8+8+4+0 = 20 bits de masque, soit /20.

Pourquoi ne puis-je pas utiliser l'adresse réseau ou de diffusion ?

L'adresse réseau (tous les bits d'hôte à zéro) est réservée comme identifiant du sous-réseau lui-même. L'adresse de diffusion (tous les bits d'hôte à un) est réservée pour «envoyer à chaque hôte du sous-réseau». Routeurs et systèmes d'exploitation traitent le trafic vers ces deux adresses de manière spéciale, elles ne peuvent donc être attribuées à un seul hôte. La seule exception normalisée est /31 : selon la RFC 3021, les deux adresses d'un /31 sont utilisables, car elles sont destinées à des liens point-à-point sans diffusion. AWS va plus loin et réserve 5 adresses par sous-réseau, donc le compte d'hôtes utilisables sur les sous-réseaux cloud est total moins 5, pas total moins 2.

Et IPv6 ?

IPv6 utilise la même idée de notation de préfixe (/64, /48, etc.) mais avec des adresses de 128 bits. La taille de sous-réseau standard pour utilisateur final est /64, qui contient 2⁶⁴ = environ 18,4 quintillions d'adresses, ce qui est suffisant pour que les réseaux IPv6 pratiques se préoccupent rarement du sous-réseautage au niveau du compte d'hôtes. La RFC 7421 (2015) analyse pourquoi /64 est la frontière. IPv6 n'a pas d'adresse de diffusion du tout (le multicast la remplace), donc la règle «soustraire 2» ne s'applique pas. Ce calculateur est uniquement IPv4 ; les mathématiques fonctionnent de la même manière pour IPv6, mais les nombres sont plus grands d'une vingtaine d'ordres de grandeur.

Quelque chose est-il envoyé à un serveur ?

Non. Le calculateur fonctionne entièrement dans votre navigateur. Les adresses saisies sont calculées bit à bit par rapport aux masques en JavaScript et les résultats sont rendus localement. Rien sur la conception de votre réseau, les plages d'IP ou les sous-réseaux planifiés n'est transmis, journalisé ou stocké. Les adresses que les gens entrent dans les calculateurs de sous-réseau sont très souvent des plages internes d'entreprise, des conceptions VPN ou des plans de topologie cloud, et la garantie de confidentialité ici est qu'aucune de ces informations ne quitte votre machine.

Quel est le plus petit sous-réseau pratique ?

/30 pour un lien point-à-point typique (4 adresses, 2 hôtes utilisables) ou /31 pour le même cas avec les deux adresses utilisables selon la RFC 3021. /32 est une route à un seul hôte utilisée pour des choses comme les alias de bouclage, les adresses de pairs BGP, les règles de pare-feu d'hôte ou les routes nulles, pas pour les segments LAN normaux. Sur un LAN Ethernet ordinaire où ARP, DHCP et la diffusion doivent fonctionner, /29 (6 hôtes utilisables) est le plancher pratique ; quoi que ce soit de plus petit prive le segment de marge de croissance.

Comment choisir une plage privée pour mon réseau domestique ou de bureau ?

Commencez par lister chaque réseau que vous devrez atteindre : plages VPN d'entreprise, VPC AWS que vous pourriez appairer, VPN de partenaires commerciaux, réseaux domestiques d'amis si vous vous connectez à distance. Choisissez une plage privée qui ne chevauche aucun d'eux. 192.168.0.0/24 et 192.168.1.0/24 sont les valeurs par défaut de chaque routeur domestique et se chevauchent constamment ; 10.42.0.0/24 ou 172.20.10.0/24 sont bien moins susceptibles d'entrer en collision avec quoi que ce soit où vous devrez vous connecter par VPN. Si vous prévoyez un jour de fusionner deux réseaux via VPN ou transit, décidez de l'allocation du super-réseau parent dès le départ et taillez-y des /24 disjoints dès le début, car renuméroter un réseau actif plus tard est un projet de plusieurs soirées dans les meilleures conditions.