Subnet Mask Là Gì? Cách Tính & Chia Mạng Con Nhanh

Cấu hình sai địa chỉ mạng khiến các máy chủ nội bộ mất kết nối hoặc vô tình làm lộ cơ sở dữ liệu quan trọng ra môi trường internet công cộng là lỗi bảo mật kinh điển của nhiều quản trị viên. Việc hiểu rõ bản chất của subnet mask giúp bạn phân ranh giới phân mảnh mạng hợp lý, ngăn chặn rủi ro xung đột IP và tối ưu hóa luồng dữ liệu truyền tải. Để triển khai một kiến trúc mạng ảo hóa an toàn, kết hợp hạ tầng máy chủ hiệu năng cao của InterData sẽ giúp hệ thống của bạn vận hành ổn định mà không lo ngại các sự cố nghẽn mạng vật lý hay bảo mật cục bộ.

1. Subnet Mask Là Gì?

Subnet mask là một dãy số 32 bit dùng để xác định phần nào trong địa chỉ IP thuộc về định danh mạng (Network ID) và phần nào thuộc về định danh thiết bị (Host ID). Việc phân chia này giúp các thiết bị định tuyến trong hệ thống mạng biết được gói tin cần chuyển hướng nội bộ hay phải gửi ra ngoài Internet thông qua cổng kết nối mặc định (Default Gateway).

Để hiểu đơn giản hơn, hãy tưởng tượng một địa chỉ IP giống như một địa chỉ nhà đầy đủ, bao gồm tên đường và số nhà cụ thể. Subnet mask đóng vai trò như một bộ lọc giúp bóc tách phần tên đường ra khỏi số nhà. Nó giúp các thiết bị switch, router phân biệt được những máy chủ nào đang nằm chung một phân khu mạng để có thể giao tiếp trực tiếp với nhau mà không cần đi qua bộ định tuyến trung gian.

Một địa chỉ IPv4 bao gồm 32 bit, được chia thành 4 nhóm (gọi là các octet), mỗi octet gồm 8 bit và ngăn cách nhau bằng dấu chấm. Subnet mask cũng có cấu trúc tương tự. Khi biểu diễn dưới dạng nhị phân, subnet mask luôn bắt đầu bằng một chuỗi các bit 1 liên tục và kết thúc bằng một chuỗi các bit 0 liên tục. Các bit 1 đại diện cho Network ID, còn các bit 0 đại diện cho Host ID.

• Định danh mạng (Network ID): Được xác định bởi các bit 1 trong subnet mask. Các thiết bị nằm trong cùng một mạng LAN bắt buộc phải có cùng giá trị Network ID để nhận diện nhau.
• Định danh thiết bị (Host ID): Được xác định bởi các bit 0 trong subnet mask. Đây là địa chỉ duy nhất gán cho từng máy chủ, máy trạm hoặc thiết bị ngoại vi trong phân vùng mạng đó.

2. Các Lớp Địa Chỉ IP Và Default Subnet Mask

Địa chỉ IPv4 ban đầu được phân loại thành 5 lớp mạng từ A đến E dựa trên quy định của tổ chức quản lý Internet. Trong đó, các lớp A, B, và C được sử dụng phổ biến cho các thiết bị thương mại và dân dụng trên toàn thế giới. Mỗi lớp mạng này đi kèm với một cấu hình mặt nạ mạng mặc định (Default Subnet Mask) khác nhau nhằm cân đối giữa số lượng phân mạng và số lượng máy chủ trên mỗi phân mạng đó.

Hệ thống phân lớp mạng truyền thống này giúp router định tuyến nhanh hơn mà không cần xử lý quá nhiều thông tin phụ trợ. Dưới đây là bảng thông số tiêu chuẩn của ba lớp mạng chính mà bạn thường gặp khi thiết kế mạng LAN hoặc cấu hình server:

Ngày nay, cơ chế phân lớp mạng tĩnh này đã bộc lộ điểm yếu lớn về mặt lãng phí tài nguyên IP. Ví dụ, nếu một doanh nghiệp lớn cần kết nối khoảng 1,000 máy chủ, họ buộc phải xin cấp dải IP Lớp B có sức chứa lên đến hơn 65,000 địa chỉ, bỏ phí hơn 64,000 IP còn lại. Để khắc phục triệt để vấn đề này, phương pháp định tuyến không phân lớp (CIDR – Classless Inter-Domain Routing) đã ra đời, cho phép linh hoạt tùy biến số lượng bit mạng để tạo ra những dải IP có quy mô cực kỳ sát với nhu cầu thực tế.

3. Cách Tính Subnet Mask Chi Tiết Từ Nhị Phân Sang Thập Phân

Hiểu sâu cách chuyển đổi nhị phân là chìa khóa để làm chủ việc chia mạng con mà không phụ thuộc vào các công cụ tự động trực tuyến. Hãy nhớ rằng một octet trong địa chỉ IP có độ dài đúng 8 bit. Giá trị của từng bit tương ứng với lũy thừa của 2 từ phải sang trái, cụ thể từ bit có trọng số nhỏ nhất đến lớn nhất là: 1, 2, 4, 8, 16, 32, 64, 128.

Khi chúng ta mượn thêm các bit từ phần Host để gán cho phần Network, giá trị thập phân của octet đó sẽ thay đổi tương ứng bằng tổng giá trị các vị trí bit 1 hoạt động. Ví dụ cụ thể dưới đây sẽ mô tả giá trị thập phân thu được khi chuyển đổi một octet từ nhị phân sang thập phân:

• Mượn 1 bit: 10000000 tương đương 128 trong hệ thập phân.
• Mượn 2 bit: 11000000 tương đương 128 + 64 = 192 trong hệ thập phân.
• Mượn 3 bit: 11100000 tương đương 128 + 64 + 32 = 224 trong hệ thập phân.
• Mượn 4 bit: 11110000 tương đương 128 + 64 + 32 + 16 = 240 trong hệ thập phân.
• Mượn 5 bit: 11111000 tương đương 128 + 64 + 32 + 16 + 8 = 248 trong hệ thập phân.

Giả sử bạn cần chia mạng con cho một dải mạng dạng CIDR ký hiệu là 192.168.1.0/26. Ký hiệu /26 chỉ ra rằng subnet mask này chứa chính xác 26 bit 1 liên tục từ trái sang. Chúng ta sẽ biểu diễn cấu trúc này dưới dạng nhị phân đầy đủ gồm 4 octet như sau:

Nhị phân: 11111111.11111111.11111111.11000000
Thập phân: 255.255.255.192

Nhìn vào cấu trúc nhị phân ở octet thứ tư, chúng ta thấy có 2 bit được mượn làm Network ID (giá trị nhị phân là 11) và còn lại 6 bit dành cho Host ID (giá trị nhị phân là 000000). Từ đó, chúng ta có thể suy ra các thông số cụ thể của dải mạng này:

• Số lượng mạng con được tạo ra là: 2^2 = 4 mạng con riêng biệt.
• Tổng số địa chỉ IP trong mỗi mạng con là: 2^6 = 64 địa chỉ.
• Số lượng máy chủ khả dụng (usable host) thực tế trong mỗi mạng con là: 64 – 2 = 62 máy (do phải loại bỏ địa chỉ đường mạng đầu tiên và địa chỉ quảng bá broadcast cuối cùng).

4. Quy Tắc Tính Nhanh Subnet Mask (Phương Pháp Magic Number)

Trong thực tế vận hành mạng hay khi làm bài thi chứng chỉ CCNA, việc vẽ nhị phân ra giấy rất mất thời gian. Các kỹ sư hệ thống thường sử dụng một mẹo tính nhẩm nhanh cực kỳ hiệu quả gọi là phương pháp Magic Number (Con Số Kỳ Diệu). Phương pháp này giúp bạn xác định kích thước dải mạng và ranh giới các mạng con trong vòng chưa đầy 10 giây.

Quy trình áp dụng phương pháp Magic Number gồm các bước đơn giản sau:

• Bước 1: Xác định octet chứa ranh giới phân chia mạng. Đối với các dải mạng có tiền tố CIDR từ /24 đến /32, octet bị ảnh hưởng luôn là octet thứ tư.
• Bước 2: Lấy tiền tố CIDR trừ đi mốc lớp mạng gần nhất để tìm số bit đã mượn. Ví dụ với /28, ta lấy 28 – 24 = 4 bit mượn.
• Bước 3: Tính giá trị của octet đó bằng cách cộng dồn các bit mượn. 4 bit mượn tương ứng với 128 + 64 + 32 + 16 = 240. Mặt nạ mạng thu được là 255.255.255.240.
• Bước 4: Tính Magic Number bằng công thức lấy hằng số cố định là 256 trừ đi giá trị của octet biến đổi đó. Ta có: 256 – 240 = 16.

Con số 16 vừa tính được chính là kích thước bước nhảy (block size) của mỗi mạng con. Từ đây, bạn có thể nhanh chóng liệt kê ra danh sách các mạng con bắt đầu từ giá trị 0 tăng dần theo cấp số cộng của Magic Number:

Phương pháp Magic Number này loại bỏ hoàn toàn các bước vẽ nhị phân dài dòng, giảm thiểu tối đa các lỗi tính toán sai lệch ranh giới mạng, đặc biệt hữu ích khi thiết kế các sơ đồ mạng phức tạp gồm nhiều VLAN khác nhau trong hệ thống máy chủ doanh nghiệp.

5. Ứng Dụng Thực Tế: Cấu Hình Subnet Mask Trên Hệ Điều Hành & Docker

Khi bạn thuê máy chủ hoặc cài đặt ảo hóa, việc gán thông số mạng là bước bắt buộc đầu tiên. Tùy thuộc vào môi trường là Linux, Windows hay các container chạy trong Docker, cú pháp và cách thức áp dụng cấu hình mặt nạ mạng sẽ có sự khác biệt.

A. Thiết lập mạng tĩnh trên Linux (Ubuntu Server dùng Netplan)

Từ phiên bản Ubuntu 18.04 trở đi, hệ thống sử dụng công cụ Netplan để quản lý cấu hình mạng qua các file YAML. File cấu hình thường nằm trong thư mục /etc/netplan/. Dưới đây là ví dụ cấu hình gán một IP tĩnh đi kèm dải mạng /24:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
      addresses:
        - 192.168.1.15/24
      nameservers:
        addresses: [8.8.8.8, 1.1.1.1]
      routes:
        - to: default
          via: 192.168.1.1

Sau khi chỉnh sửa cấu hình xong, bạn cần chạy lệnh sau để kiểm tra lỗi cú pháp và áp dụng thiết lập mới vào hệ thống card mạng thực tế:

sudo netplan apply

B. Cấu hình nhanh qua giao diện dòng lệnh Windows Server

Đối với hệ điều hành Windows Server, ngoài việc click chuột trong giao diện cấu hình Card mạng truyền thống, bạn có thể thực thi nhanh chóng thông qua cửa sổ PowerShell hoặc CMD bằng công cụ Netsh:

netsh interface ipv4 set address name="Ethernet" static 192.168.1.15 255.255.255.0 192.168.1.1

C. Phân vùng mạng độc lập trong môi trường Docker Container

Mặc định, Docker tạo ra các bridge network tự động để các container giao tiếp nội bộ. Tuy nhiên, nếu muốn phân vùng các ứng dụng cơ sở dữ liệu nhạy cảm nằm tách biệt hoàn toàn với API web, bạn nên tự định nghĩa một dải mạng con tùy chỉnh bằng dòng lệnh sau:

docker network create --driver bridge --subnet 172.20.0.0/24 internal_secure_net

Cấu hình này đảm bảo rằng các container kết nối vào phân mạng internal_secure_net sẽ tự động nhận các IP nằm trong dải từ 172.20.0.1 đến 172.20.0.254, cách ly hoàn toàn khỏi lưu lượng rác từ các cụm container công cộng khác.

6. Các Lỗi Thường Gặp Khi Chia Mạng Con Và Cách Khắc Phục

Trong quá trình vận hành hạ tầng máy chủ nội bộ hoặc xây dựng mạng ảo hóa nội hạt, các lỗi liên quan đến định cấu hình sai dải mạng IP xảy ra khá phổ biến. Dưới đây là bảng phân tích chi tiết các tình huống lỗi thực tế, nguyên nhân tiềm ẩn và giải pháp xử lý triệt để:

7. Câu Hỏi Thường Gặp (FAQs) Về Mạng Con

Nhằm giúp bạn đọc củng cố thêm các kiến thức thực tế trong quá trình làm việc với hệ thống định tuyến, dưới đây là những giải đáp ngắn gọn cho các thắc mắc thường thấy nhất:

• Câu hỏi 1: Hai thiết bị có thể kết nối với nhau nếu khác subnet mask không?

  Nếu hai máy chủ kết nối trực tiếp vào cùng một thiết bị switch mà không có cấu hình định tuyến (routing) ở Layer 3, chúng sẽ không thể giao tiếp trực tiếp với nhau khi cấu hình khác subnet mask. Lý do là vì gói tin ARP quảng bá yêu cầu tìm địa chỉ MAC sẽ bị chặn lại do router hoặc card mạng nhận diện chúng thuộc hai phân vùng mạng độc lập.

• Câu hỏi 2: Tại sao luôn phải trừ đi 2 địa chỉ IP khi tính số máy chủ khả dụng?

  Trong bất kỳ mạng con nào, địa chỉ IP đầu tiên (tất cả các bit của Host ID bằng 0) luôn được dành riêng để đại diện cho Network ID. Địa chỉ IP cuối cùng (tất cả các bit của Host ID bằng 1) được dùng làm Broadcast ID để gửi dữ liệu đồng loạt cho tất cả thiết bị trong phân mạng đó. Do đó, hai địa chỉ này không được phép gán cho các thiết bị thực tế.

• Câu hỏi 3: Ký hiệu tiền tố CIDR là gì và nó khác gì so với subnet mask thông thường?

  CIDR là cách viết rút gọn biểu diễn số lượng bit mạng bằng một dấu gạch chéo đi kèm một con số cụ thể, ví dụ như /24 thay vì phải viết đầy đủ là 255.255.255.0. Phương pháp này giúp ghi chép cấu hình tường lửa, thiết bị định tuyến trở nên ngắn gọn và trực quan hơn rất nhiều.

• Câu hỏi 4: Khi nào tôi nên sử dụng mặt nạ mạng /30 cho hệ thống?

  Dải mạng /30 chỉ cung cấp đúng 2 IP khả dụng cho máy chủ. Định dạng này cực kỳ hữu ích cho các kết nối điểm-điểm (Point-to-Point) kết nối trực tiếp giữa hai cổng của hai router khác nhau, giúp tiết kiệm tối đa không gian địa chỉ IP công cộng (Public IP) đắt đỏ.

• Câu hỏi 5: Cấu hình subnet mask sai trên thiết bị thì có gây rủi ro mất an toàn thông tin không?

  Có. Cấu hình mặt nạ mạng quá rộng sẽ làm tăng rủi ro hứng chịu các đợt quét IP độc hại từ các thiết bị khác trong cùng mạng LAN vật lý, đồng thời làm bùng nổ các gói tin rác (Broadcast Storm) gây suy giảm nghiêm trọng băng thông khả dụng của hệ thống máy chủ nội bộ.

Lưu ý: Mọi thông tin hướng dẫn kỹ thuật trong bài viết này chỉ mang tính chất tham khảo chung. Các câu lệnh cấu hình và cách gán địa chỉ IP thực tế có thể thay đổi tùy thuộc vào hệ điều hành, phiên bản hạt nhân phần mềm cũng như kiến trúc mạng vật lý của bạn. Người dùng nên thực hiện kiểm thử trên các môi trường thử nghiệm và tiến hành sao lưu toàn bộ dữ liệu cấu hình trước khi tiến hành thay đổi trên hệ thống vận hành chính thức.