Máy Tính Mạng Con IP

Lịch sử ngắn về CIDR và phân mạng con IPv4

Khi RFC 791 chuẩn hoá Giao thức Internet vào tháng 9 năm 1981, các địa chỉ IPv4 được khắc thành những lớp cứng nhắc. Phân bổ Lớp A cho 16.777.214 host, Lớp B cho 65.534, Lớp C cho 254, và không có gì ở giữa. Bất kỳ tổ chức nào cần hơn 254 host đều xin một Lớp B, ngay cả khi chỉ có 1.000 nhân viên, và mỗi lần phân bổ lãng phí hàng chục nghìn địa chỉ. Đến cuối thập niên 1980, Lớp B biến mất nhanh chóng, bảng định tuyến toàn cầu vượt quá bộ nhớ của bộ định tuyến xương sống, và không gian IPv4 32 bit bị tiêu thụ nhanh hơn nhiều so với những gì các nhà thiết kế từng kỳ vọng. RFC 1518 và RFC 1519 (tháng 9 năm 1993) giới thiệu Định tuyến Liên miền Không Lớp, đọc là «cider», cho phép ranh giới mạng/host rơi vào bất kỳ vị trí bit nào và cho phép mười sáu /24 liên tiếp được công bố như một /20 duy nhất. Phân bổ cuối cùng cũng phù hợp với nhu cầu, bảng BGP ngừng sụp đổ dưới sức nặng của chính nó, và sự cạn kiệt IPv4 bị đẩy lùi khoảng mười bảy năm rưỡi vào tương lai. RFC 4632 tái phát hành và làm lỗi thời RFC 1519 vào tháng 8 năm 2006 và vẫn là cơ quan tham chiếu hiện tại. Ba dải địa chỉ riêng được khắc bởi RFC 1918 vào tháng 2 năm 1996 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), trao cho mỗi bộ định tuyến gia đình có NAT và tường lửa doanh nghiệp một bể địa chỉ có thể sử dụng nhưng internet công cộng sẽ không bao giờ định tuyến. RFC 3021 (tháng 12 năm 2000) khắc ra ngoại lệ /31 cho các liên kết điểm-điểm, tiết kiệm khoảng hai địa chỉ IPv4 mỗi mạch router-router. Bể tự do cấp cao nhất của IANA cuối cùng cạn kiệt vào ngày 31 tháng 1 năm 2011; APNIC theo sau vào tháng 4 năm 2011, LACNIC năm 2014, ARIN năm 2015, AfriNIC năm 2017, và RIPE NCC vào tháng 11 năm 2019. CIDR là lý do tại sao bất kỳ ngày nào trong số đó nằm ở thập kỷ này thay vì những năm 1990.

Cấu trúc của một phép tính mạng con

• Địa chỉ IPv4 32 bit. Mọi địa chỉ IPv4 đều dài 32 bit, theo quy ước được viết dưới dạng bốn octet 8 bit ở dạng thập phân có dấu chấm: 192.168.1.0 ở dạng nhị phân là 11000000.10101000.00000001.00000000. Tổng không gian IPv4 là 2³², khoảng 4,3 tỷ địa chỉ, nghe như vô hạn vào năm 1981 và đã cạn vào năm 2011 (IANA), 2015 (ARIN), và 2019 (RIPE NCC). Toàn bộ phép toán mạng con hoạt động từng bit trên giá trị 32 bit này.
• Độ dài tiền tố CIDR. Con số sau dấu gạch chéo trong 192.168.1.0/24 đếm các bit 1 dẫn đầu liên tiếp trong subnet mask, tương đương với số bit xác định mạng. Phần còn lại xác định host trong mạng đó. /24 dành 24 bit cho mạng và 8 bit cho host; /30 dành 30 và 2; /16 dành 16 và 16. Tiền tố có thể rơi vào bất kỳ vị trí bit nào, từ /0 (toàn bộ internet) đến /32 (một host duy nhất).
• Subnet mask. Anh em sinh đôi dạng thập phân có dấu chấm của tiền tố CIDR. /24 là 255.255.255.0, tức 24 số 1 nhị phân theo sau bởi 8 số 0 nhị phân. /27 là 255.255.255.224 (octet cuối là 11100000). Bộ định tuyến và hệ điều hành chấp nhận cả hai ký pháp thay thế cho nhau. Phần bù của mask, wildcard mask, là thứ mà danh sách điều khiển truy cập của Cisco sử dụng: khớp ACL /24 viết là 0.0.0.255, không phải 255.255.255.0.
• Địa chỉ mạng. Tính theo phép IP AND subnet_mask theo bit: AND đưa mỗi bit host về 0 và giữ phần mạng nguyên vẹn. Với 192.168.1.27/24, mask là 255.255.255.0 và địa chỉ mạng là 192.168.1.0. Địa chỉ mạng xác định chính mạng con và không thể gán cho host, với ngoại lệ duy nhất là /31 (RFC 3021).
• Địa chỉ broadcast. Tính theo phép địa_chỉ_mạng OR (NOT subnet_mask) theo bit: đặt mỗi bit host bằng 1. Với 192.168.1.0/24 broadcast là 192.168.1.255; với 192.168.1.0/27 là 192.168.1.31. Lưu lượng đến địa chỉ broadcast được phát đến mọi host trong mạng con cùng lúc, nên địa chỉ này được dành riêng và không thể gán. /31 lại là ngoại lệ, vì liên kết điểm-điểm chỉ có hai đầu và không cần broadcast.
• Tổng địa chỉ và host khả dụng. Tổng địa chỉ trong mạng con = 2^{(32 − tiền tố)}. /24 chứa 256, /27 chứa 32, /30 chứa 4. Host khả dụng = tổng − 2, trừ địa chỉ mạng và broadcast, nên /24 cho 254 host có thể gán và /27 cho 30. Hai ngoại lệ: theo RFC 3021, /31 cho 2 host khả dụng (cả hai địa chỉ đều có thể gán trên liên kết điểm-điểm), và /32 đại diện cho tuyến đến một host duy nhất. Mạng con AWS là ngoại lệ thứ ba trong thực tế vì AWS dành riêng 5 địa chỉ mỗi mạng con, không phải 2, nên /24 của AWS cho 251 host khả dụng.

Kích cỡ mạng con thường gặp và nơi chúng xuất hiện

• LAN gia đình và văn phòng nhỏ (/24). Hầu như mọi bộ định tuyến gia đình trên thị trường (Linksys, Netgear, Asus, TP-Link, eero, Google Nest Wifi) đều xuất xưởng với mặc định /24 nằm trong dải RFC 1918 192.168.0.0/16, thường là 192.168.0.0/24 hoặc 192.168.1.0/24. 254 host khả dụng mỗi LAN, bản thân bộ định tuyến thường lấy .1, địa chỉ mạng kết thúc bằng .0 và broadcast kết thúc bằng .255. Các giá trị mặc định trùng lặp với mọi thứ, đó là lý do tại sao người dùng VPN thường xuyên đánh số lại sang thứ ít phổ biến hơn như 192.168.42.0/24 hoặc 10.42.0.0/24.
• Mạng doanh nghiệp vừa đến lớn (phân cấp 10.0.0.0/8). Doanh nghiệp lớn và các công ty cloud-native khắc mọi thứ từ 10.0.0.0/8, khối RFC 1918 lớn nhất với 16,7 triệu địa chỉ. Trụ sở /16, vùng /20, phòng ban /22, VLAN /24; phân cấp phản ánh sơ đồ tổ chức và gộp tuyến sạch sẽ về phía lõi. Doanh nghiệp tầm trung thường chọn 172.16.0.0/12 vì đây là dải RFC 1918 ít được dùng nhất và ít có khả năng trùng lặp với các bộ định tuyến gia đình ngẫu nhiên mà nhân viên dùng ở nhà.
• Mạng con đám mây (AWS VPC, Azure VNet, GCP VPC). Quy ước AWS VPC là một supernet /16 từ một trong các dải RFC 1918, chia nhỏ thành các mạng con /20 hoặc /24 mỗi vùng khả dụng, tách thành lớp công khai, riêng tư và cơ sở dữ liệu. AWS dành 5 địa chỉ mỗi mạng con, không phải 2 (địa chỉ mạng, broadcast, cộng với bộ định tuyến VPC, DNS, và một dự trữ), nên /24 của AWS có 251 địa chỉ khả dụng thay vì 254. Quy tắc quan trọng: các VPC cần peer hoặc chia sẻ transit gateway không được có dải CIDR chồng lấp, nên triển khai đa tài khoản hoặc đa khu vực cần một kế hoạch phân bổ chủ ngay từ ngày đầu.
• Liên kết điểm-điểm (/30 và /31). Mạch router-router, đường hầm GRE, đường hầm IPsec, và liên kết nối tiếp chỉ mang đúng hai đầu. /30 cổ điển cho 4 địa chỉ với 2 host khả dụng và 2 bị lãng phí (mạng và broadcast). Thiết bị hiện đại hỗ trợ /31 theo RFC 3021, cho 2 địa chỉ và cả hai đều có thể sử dụng, giảm một nửa lượng tiêu thụ IPv4. Một xương sống với 500 mạch điểm-điểm tiết kiệm khoảng 1.000 địa chỉ IPv4 khi chuyển từ /30 sang /31; trên một xương sống internet công cộng nơi mỗi địa chỉ IPv4 đều có giá trị tiền tệ, đó là tiền thật.
• DMZ, VLAN máy chủ và phân đoạn nhỏ (/27 đến /29). Một phân đoạn vùng phi quân sự cho một số máy chủ hướng internet, một VLAN quản trị cho loopback của switch, một trang trại máy chủ nhỏ, một phân đoạn IoT bé, một mạng quản trị ngoài băng tần: các phân đoạn này thường chạy ở /27 (30 host), /28 (14 host), hoặc /29 (6 host). Phân đoạn vừa khít hạn chế tiếng ồn của miền broadcast và giảm bán kính ảnh hưởng khi có sự cố cấu hình hoặc bị xâm nhập. Hầu như mọi câu hỏi tình huống chứng chỉ rơi đâu đó trong dải tiền tố này vì phép toán bit không tầm thường khi không có giấy.
• Học chứng chỉ (CompTIA Network+, Cisco CCNA / CCNP, JNCIA). Tính toán mạng con là một phần cố định của mọi kỳ thi mạng cấp nhập môn, và áp lực thời gian thật khắc nghiệt: thí sinh thường có dưới 30 giây mỗi câu hỏi địa chỉ và tiền tố. Mẹo học cổ điển là phương pháp số ma thuật (256 trừ đi octet mask liên quan cho ra bước nhảy mạng con) và bài tập nhị phân subnetting bảy giây do Professor Messer phổ biến. Một máy tính như thế này nhanh hơn cả hai phương pháp trong công việc kỹ thuật mạng thực tế; cả hai phương pháp tồn tại cho phòng thi nơi không cho phép dùng máy tính.

RFC quan trọng và các cột mốc lịch sử

• RFC 791 (tháng 9 năm 1981). Đặc tả Giao thức Internet gốc của Jon Postel. Định nghĩa IPv4, địa chỉ 32 bit, ký pháp thập phân có dấu chấm, và sơ đồ phân bổ theo lớp ban đầu (Lớp A, B, C, D, E). Thiết kế theo lớp tồn tại mười hai năm trước khi quy mô buộc nó bị thay thế và vẫn là lý do lịch sử khiến các tiền tố /8, /16, và /24 vẫn cảm thấy «tự nhiên» ngày nay.
• RFC 1518 và RFC 1519 (tháng 9 năm 1993). Cặp RFC giới thiệu Định tuyến Liên miền Không Lớp (CIDR). RFC 1518 (Rekhter và Li) thiết lập kiến trúc; RFC 1519 (Fuller, Li, Yu, Varadhan) định nghĩa chiến lược cấp phát và gộp địa chỉ. Cùng nhau, chúng thay thế hệ thống cứng nhắc Lớp A/B/C bằng ký pháp tiền tố độ dài thay đổi mà giờ đây mọi bộ định tuyến trên trái đất đều nói. RFC 1519 bị RFC 4632 làm lỗi thời vào năm 2006.
• RFC 1918 (tháng 2 năm 1996), BCP 5. Yakov Rekhter, Robert Moskowitz, Daniel Karrenberg, Geert Jan de Groot, và Eliot Lear soạn tài liệu khắc ra ba dải IPv4 riêng (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) và tuyên bố chúng không thể định tuyến trên internet công cộng. Mỗi mạng gia đình có NAT, LAN doanh nghiệp, và VPC đám mây kể từ năm 1996 đã chọn địa chỉ của mình từ một trong ba khối này.
• RFC 3021 (tháng 12 năm 2000). Retana, White, Fuller, và McPherson khắc ngoại lệ /31. Trên một liên kết điểm-điểm chỉ có đúng hai đầu, không cần địa chỉ broadcast, nên cả hai địa chỉ trên /31 có thể được gán làm địa chỉ host. Sự thay đổi này tiết kiệm hàng chục nghìn địa chỉ IPv4 trên các xương sống ISP toàn cầu trong hai thập kỷ tiếp theo.
• RFC 4632 (tháng 8 năm 2006), BCP 122. Vince Fuller và Tony Li tái phát hành đặc tả CIDR, làm RFC 1519 lỗi thời mười ba năm sau bản gốc. RFC 4632 là cơ quan hiện hành cho việc cấp phát và gộp địa chỉ IPv4 và vẫn là tài liệu một kỹ sư mạng trích dẫn khi được hỏi «CIDR sống ở đâu trong các tiêu chuẩn?»
• RFC 6598 (tháng 4 năm 2012). Dành riêng 100.64.0.0/10 cho Carrier-Grade NAT, lớp NAT thứ hai mà các ISP đặt giữa bộ định tuyến thuê bao và internet công cộng sau khi họ đã cạn phần phân bổ IPv4 của mình. Khét tiếng vì hay bị nhầm với không gian riêng RFC 1918, nhưng khác biệt: một mạng người dùng cuối không được chọn từ khối này, vì ISP đã đang dùng nó ở phía bên kia của bộ định tuyến gia đình.
• RFC 6890 (tháng 4 năm 2013), BCP 153, được RFC 8190 (tháng 6 năm 2017) cập nhật. Hợp nhất mọi dự trữ mục đích đặc biệt của IPv4 (và IPv6) vào một IANA Special-Purpose Address Registry duy nhất. Loopback (127.0.0.0/8), link-local (169.254.0.0/16), dải tài liệu (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24), /4 multicast, và /10 CGN đều được liệt kê dưới một sổ đăng ký quy chuẩn duy nhất thay vì rải rác trong nửa tá RFC cũ hơn.
• Cạn kiệt IPv4 (31 tháng 1 năm 2011 và sau đó). Bể tự do cấp cao nhất của IANA được làm rỗng vào ngày 31 tháng 1 năm 2011, mười bảy năm rưỡi sau khi CIDR được công bố. APNIC theo sau vào ngày 15 tháng 4 năm 2011, LACNIC ngày 10 tháng 6 năm 2014, ARIN ngày 24 tháng 9 năm 2015, AfriNIC ngày 21 tháng 4 năm 2017, và RIPE NCC ngày 25 tháng 11 năm 2019. Quá trình chuyển sang IPv6 đã diễn ra suốt hai thập kỷ và vẫn chưa hoàn thành; CIDR cộng NAT cộng RFC 1918 là lý do IPv4 vẫn còn trụ vững.

Thêm các câu hỏi thường gặp

Sự khác biệt giữa subnet mask và tiền tố CIDR là gì?

Cả hai diễn tả cùng một thông tin bằng hai ký pháp. /24 trong CIDR là 255.255.255.0 ở dạng subnet mask thập phân có dấu chấm: 24 số 1 theo sau bởi 8 số 0 ở dạng nhị phân. CIDR là ký pháp gọn hiện đại, subnet mask là dạng cũ hơn mà phần lớn hệ điều hành mạng vẫn hiển thị. Bộ định tuyến và máy tính chấp nhận cả hai. Một lối tắt chuyển đổi hữu ích: mỗi octet của mask là 0, 128, 192, 224, 240, 248, 252, 254, hoặc 255 (các mẫu nhị phân duy nhất gồm số 1 dẫn đầu liên tiếp), nên 255.255.240.0 ngay lập tức đọc được là 8+8+4+0 = 20 bit mask, hay /20.

Tại sao tôi không thể dùng địa chỉ mạng hoặc broadcast?

Địa chỉ mạng (tất cả bit host bằng 0) được dành làm định danh cho chính mạng con. Địa chỉ broadcast (tất cả bit host bằng 1) được dành để «gửi đến mọi host trong mạng con». Bộ định tuyến và hệ điều hành xử lý lưu lượng đến hai địa chỉ này theo cách đặc biệt, nên chúng không thể gán cho một host. Ngoại lệ chuẩn hoá duy nhất là /31: theo RFC 3021, cả hai địa chỉ trên /31 đều khả dụng vì chúng được dành cho liên kết điểm-điểm không có broadcast. AWS đi xa hơn và dành 5 địa chỉ mỗi mạng con, nên số host khả dụng trên mạng con đám mây là tổng trừ 5, không phải tổng trừ 2.

Còn IPv6 thì sao?

IPv6 sử dụng cùng ý tưởng ký pháp tiền tố (/64, /48, v.v.) nhưng với địa chỉ 128 bit. Kích thước mạng con tiêu chuẩn cho người dùng cuối là /64, chứa 2⁶⁴ = khoảng 18,4 triệu tỷ địa chỉ, đủ để các mạng IPv6 thực tế hiếm khi lo về subnetting ở mức đếm host. RFC 7421 (2015) phân tích lý do /64 là ranh giới. IPv6 hoàn toàn không có địa chỉ broadcast (multicast thay thế nó), nên quy tắc «trừ 2» không áp dụng. Máy tính này chỉ dành cho IPv4; toán học hoạt động tương tự cho IPv6 nhưng các con số lớn hơn khoảng hai mươi mấy bậc độ lớn.

Có gì được gửi đến máy chủ không?

Không. Máy tính chạy hoàn toàn trong trình duyệt của bạn. Các địa chỉ đầu vào được tính toán theo bit với các mask bằng JavaScript và kết quả được kết xuất cục bộ. Không có gì về thiết kế mạng, dải IP, hoặc các mạng con dự kiến của bạn được truyền đi, ghi log, hoặc lưu trữ. Các địa chỉ mà mọi người nhập vào máy tính subnet thường là dải nội bộ doanh nghiệp, thiết kế VPN, hoặc bản thiết kế topology đám mây, và đảm bảo riêng tư ở đây là không có thông tin nào trong số đó rời khỏi máy của bạn.

Mạng con thực dụng nhỏ nhất là gì?

/30 cho một liên kết điểm-điểm tiêu biểu (4 địa chỉ, 2 host khả dụng) hoặc /31 cho cùng trường hợp với cả hai địa chỉ khả dụng theo RFC 3021. /32 là tuyến tới một host được dùng cho những thứ như alias loopback, địa chỉ peer BGP, quy tắc tường lửa host, hoặc null route, không dùng cho phân đoạn LAN bình thường. Trên một LAN Ethernet thông thường nơi ARP, DHCP, và broadcast cần hoạt động, /29 (6 host khả dụng) là giới hạn dưới thực tế; nhỏ hơn nữa sẽ khiến phân đoạn không có chỗ để mở rộng.

Làm sao chọn một dải riêng cho mạng gia đình hoặc văn phòng của tôi?

Hãy bắt đầu bằng việc liệt kê mọi mạng bạn cần với tới: dải VPN doanh nghiệp, AWS VPC bạn có thể peer, VPN đối tác kinh doanh, mạng gia đình của bạn bè nếu bạn từng kết nối từ xa. Chọn một dải riêng không trùng với bất kỳ dải nào trong số đó. 192.168.0.0/24 và 192.168.1.0/24 là mặc định của mọi bộ định tuyến gia đình và liên tục trùng lặp; 10.42.0.0/24 hoặc 172.20.10.0/24 ít có khả năng va chạm với bất kỳ thứ gì bạn cần VPN vào hơn nhiều. Nếu có lúc nào đó bạn dự định gộp hai mạng qua VPN hoặc transit, hãy quyết định phân bổ supernet cha ngay từ đầu và khắc các /24 không giao nhau ngay từ đầu, vì đánh số lại một mạng đang hoạt động sau này là một dự án nhiều buổi tối ngay cả trong điều kiện tốt nhất.