Nätverksuppdelning

Nätverksuppdelning, även känd som subnetting på engelska, är en metod som används för att dela upp ett IP-nätverk i mindre delnät. Syftet med nätverksuppdelning är att optimera nätverksresurser, förbättra nätverksprestanda och effektivisera hanteringen av IP-adressallokeringen.

Bild 1: Nätverksuppdelning – geografiskt

Nätverksuppdelning kan göras baserat på följande faktorer:

  • Geografiskt läge: Nätverksenheter kan anslutas i olika delnät baserat på geografiska platser. Till exempel kan ett nätverk delas upp i tre delnät: norra, västra och östra, där enheter i varje delnät är geografiskt närvarande i respektive område.
  • Syfte: Nätverksenheter kan grupperas i olika delnät baserat på syfte för att optimera datatrafiken. Genom att placera nätverksresurser nära enheterna kan man minska belastningen på nätverket. Beroende på kraven för datatrafiken kan vissa delnät få högre överföringshastighet än andra. När det gäller nätverkssäkerhet kan olika delnät skyddas på olika sätt baserat på åtkomst till nätverksresurser.
  • Ägande: Om ett företag har flera ägare kan det finnas behov av att kombinera flera nätverk till ett enda nätverk. Detta kan göras genom att slå samman nätverken och skapa en sammanhängande struktur för nätverkskommunikation.
  • Delegering: Administrationen av delnät kan delegeras för att tilldela lämpliga behörigheter till varje enskilt delnät. På så sätt kan man ha olika administrativa kontroller och åtkomstnivåer för olika delnät.
  • Prestanda: Genom att dela upp nätverket i mindre delnät kan man minska belastningen orsakad av broadcast-meddelanden. Detta kan förbättra prestandan genom att begränsa spridningen av broadcast-trafik och minska överbelastning i nätverket.

Nätverksuppdelning baserat på dessa faktorer möjliggör bättre organisering och hantering av nätverk, vilket leder till effektivare resursanvändning och förbättrad prestanda.

Prestandaförsämring

Bild 2: Switchar kan också broadcast

Bild 2 visar ett nätverk där klientdatorer och servrar är anslutna via switchar. Switchar kopplar ihop nätverksenheter när de kommunicerar med varandra och skickar data direkt mellan dem baserat på deras MAC-adresser. När switchen inte har MAC-adressen för en destination i sin tabell, vet den inte vilken port den ska skicka datapaketet till. I detta fall använder switchen en mekanism som kallas ”flooding” eller ”broadcasting” för att skicka paketet till alla anslutna portar, utom den port som paketet kom från.

För att begränsa spridningen av broadcast-signaler kan en lämplig nätverksuppdelning tillämpas och en router användas istället för en switch, eftersom routrar inte vidarebefordrar broadcast-trafik. Det är dock viktigt att notera att broadcast-kommunikation används av flera nätverkstjänster, och med specifik konfiguration kan broadcast-trafik tillåtas att passera genom routern. I Bild 3 visas hur nätverket har segmenterats och hur broadcast-trafiken begränsas av routern inom varje delnät.

Bild 3: Routrar stoppar broadcast

Säkerhet

När ett nätverk segmenteras kan olika delnät konfigureras med olika säkerhetsnivåer och tillgänglighet för det publika nätverket, Internet. Genom att tillämpa olika säkerhetsmekanismer och åtkomstkontroller kan man skapa säkrade delnät som är avsedda för interna och känsliga resurser, samtidigt som man kan ha gömda delnät som inte är synliga för det publika nätverket.

För att skapa säkrade delnät kan man använda tekniker som brandväggar (firewalls), som reglerar trafikflödet och filtrerar ut oönskad trafik. Man kan också implementera virtuella privata nätverk (VPN) för att säkra kommunikationen mellan olika delnät eller geografiskt åtskilda platser.

Bild 4: Nätverksuppdelning – säkerhet

Det är viktigt att noggrant planera och implementera säkerhetsmekanismer och åtkomstkontroller för att uppnå önskad säkerhetsnivå och synlighet i nätverket. Genom att segmentera nätverket och använda olika säkerhetsnivåer kan man skydda känsliga resurser och begränsa exponeringen för potentiella hot utifrån.

Adresshantering

Internet består av miljontals datorer, var och en med sina unika adresser. För att undvika att varje dator behöver känna till adressen för varje annan dator, används routrar. Routrar kopplar samman lokala nätverk (LAN) istället för enskilda datorer. Varje LAN har en router (default gateway) som är ansluten till externa nätverk, vilket skapar större nätverk kända som Wide Area Networks (WAN).

När routrar ansluter LAN behöver de utbyta routing-information med varandra för att kunna vidarebefordra datapaket till sina destinationer. För att dirigera datatrafiken använder routrar främst nätverksadresser. Trots det stora antalet nätverksadresser som behöver hanteras kan flera nätverk slås samman till ett stort nätverk, vilket kallas Autonomous System Network (ASN). Inom ASN används emellertid ett annat adresseringssystem som kallas AS-nummer.

Bild 5: Gateway – väg ut och in

Nätverksuppdelning i praktik

Den logiska 32-bitars IPv4-adress är hierarkisk och består av två delar. Den första delen identifierar nätverket och de andra delen identifierar datorn på det nätverket. Båda delarna är avsedda för en komplett IP-adress.

Bild 6: IP adress struktur

När man delar upp ett nätverk i mindre delnät innebär det att dess huvudadresser också delas upp till delnät-adresser. Det görs genom att använda bitar från host adressen vilket medför en reducering av antal hostbitar.

Hur många bitar används för nätverksdelen och hur många för hostdelen?

I en IPv4-adress bestäms antalet bitar för nätverksdelen och hostdelen baserat på behovet av antal delnät och host-adresser per delnät. För att illustrera detta kan vi använda exemplet med ett nätverk som ska delas upp i 4 delnät, vilket skulle kräva 2 bitar för att representera de 4 möjliga nätverken (22 = 4). Dessa bitar tas från hostdelen av IP-adressen.

Låt oss ta IP-adressen 192.168.18.0/24 som exempel. Här indikerar ”/24” att de första 24 bitarna tillhör nätverksdelen och de återstående 8 bitarna tillhör hostdelen. Genom att ta bort 2 bitar från hostdelen för att använda dem för nätverksdelen, skulle nätverksdelen ha 26 bitar och hostdelen skulle ha 6 bitar.

Det är viktigt att notera att i detta fall skulle varje delnät ha upp till 62 host-adresser (2^6 – 2 = 62) eftersom hostdelen består av 6 bitar.

Detta är bara ett exempel, och antalet bitar som används för nätverksdelen och hostdelen kan variera beroende på specifika krav och uppdelning i det aktuella nätverket.

Metoden

Att dela upp ett nätverk kan göras i flera steg. Till exempel, om vi tar nätverksadressen 192.168.1.0/24 och vill dela upp i  4 delnätadresser, kan vi använda följande metod:

  1. Uppställning:
    • 2x ≥ 4; här är x antalet hostbitar att använda.
    • 22 = 4; 2 host-bitar ger oss 4 delnätadresser.
  2. Den nya nätverksprefixen blir nu /26 eftersom vi har lagt till 2 hostbitar (/24 + 2 = /26).
    • Den nya nätverksprefixen kan skrivas i decimalform som 255.255.255.192
    • 11111111.11111111.11111111.11000000
  3. Nu behöver vi bestämma segmenteringssteget. Det kan göras på två olika sätt:
    • a) Dra av 192 från 256: 256 – 192 = 64
    • b) Skriv om 192 till binär och identifiera det sista ettans decimalvärdet:
    • 1111 1111.1111 1111.1111 1111.1100 0000 vilket är 64.
  4. Dela upp nätverksadressen i 64 steg, fyra gånger:
    • 192.168.1.0 /26
    • 192.168.1.64/26
    • 192.168.1.128/26
    • 192.168.1.192/26
  5. Definiera hostadressintervallet för varje delnät:
    • Första delnät: 192.168.1.1 -192.168.1.62 och broadcast-adress 192.168.1.63
    • Andra delnät: 192.168.1.65 – 192.168.1.126 och broadcast-adress 192.168.1.127
    • Tredje delnät: 192.168.1.129 – 192.168.1.190 och broadcast-adress 192.168.1.191
    • Fjärde delnät: 192.168.1.193 – 192.168.1.254 och broadcast-adress 192.168.1.255

Obs! Kom ihåg att routrar endast behöver nätverksadressen för att dirigera paketen till destinationsnätverk.