Le découpage en sous-réseaux (subnetting) est l'une des compétences réseau les plus fondamentales pour un administrateur système. Ce guide reprend les bases : CIDR, masques, adresse réseau, broadcast, classes historiques, adresses privées, et comment découper un réseau avec VLSM.
Le subnetting consiste à diviser un réseau IP en plusieurs sous-réseaux plus petits. Plutôt que de mettre toutes les machines d'une organisation dans un seul grand réseau plat, on le découpe en segments logiques distincts — par exemple un sous-réseau par service, par bâtiment, ou par usage (postes utilisateurs, serveurs, équipements réseau, invités).
Les bénéfices concrets sont nombreux :
Une adresse IPv4 est un nombre de 32 bits, généralement représenté sous forme de 4 groupes de 8 bits (octets) séparés par des points, chaque octet valant entre 0 et 255 — par exemple 192.168.1.10.
Une adresse IP seule ne suffit pas à savoir quelle partie identifie le réseau et quelle partie identifie l'hôte (la machine) à l'intérieur de ce réseau. C'est le rôle du masque de sous-réseau.
Le masque de sous-réseau est lui aussi un nombre de 32 bits, qui indique quelle portion de l'adresse IP correspond au réseau (bits à 1) et quelle portion correspond à l'hôte (bits à 0).
| Élément | Exemple |
|---|---|
| Adresse IP | 192.168.1.10 |
| Masque | 255.255.255.0 |
| Partie réseau | 192.168.1 (24 premiers bits) |
| Partie hôte | 10 (8 derniers bits) |
Plus il y a de bits à 1 dans le masque, plus le sous-réseau est petit (peu d'hôtes possibles) mais plus on peut créer de sous-réseaux distincts à partir d'un même réseau de base.
Écrire un masque complet comme 255.255.255.0 est verbeux. La notation CIDR (Classless Inter-Domain Routing) simplifie cela en indiquant juste le nombre de bits à 1 du masque après un slash : 192.168.1.10/24 signifie "masque de 24 bits", soit 255.255.255.0.
| CIDR | Masque | Adresses totales | Hôtes utilisables |
|---|---|---|---|
| /24 | 255.255.255.0 | 256 | 254 |
| /25 | 255.255.255.128 | 128 | 126 |
| /26 | 255.255.255.192 | 64 | 62 |
| /27 | 255.255.255.224 | 32 | 30 |
| /28 | 255.255.255.240 | 16 | 14 |
| /30 | 255.255.255.252 | 4 | 2 |
Le CIDR a remplacé le système de classes historique (A/B/C) car il permet de découper un réseau à n'importe quelle granularité, sans être limité aux frontières fixes des classes.
Dans chaque sous-réseau, deux adresses sont réservées et ne peuvent pas être attribuées à un hôte :
C'est pourquoi le nombre d'hôtes utilisables est toujours égal au nombre total d'adresses moins 2 (sauf pour les cas particuliers /31 et /32, utilisés respectivement pour les liaisons point-à-point et les hôtes uniques, où cette réservation ne s'applique pas).
Avant l'adoption du CIDR en 1993, les réseaux IPv4 étaient répartis en classes fixes selon le premier octet de l'adresse :
| Classe | Premier octet | Masque par défaut | Usage typique |
|---|---|---|---|
| A | 1–127 | /8 | Très grands réseaux |
| B | 128–191 | /16 | Réseaux moyens/grands |
| C | 192–223 | /24 | Petits réseaux |
| D | 224–239 | — | Multicast |
| E | 240–255 | — | Réservée / expérimentale |
Ce système est obsolète en pratique (remplacé par le CIDR), mais la terminologie reste utilisée comme repère rapide, notamment pour les plages d'adresses privées.
Certaines plages d'adresses IPv4 sont réservées par la RFC 1918 pour un usage privé (réseaux locaux) et ne sont jamais routées sur internet public :
| Plage privée | Classe historique | Nombre d'adresses |
|---|---|---|
| 10.0.0.0 – 10.255.255.255 | A | 16 777 216 |
| 172.16.0.0 – 172.31.255.255 | B | 1 048 576 |
| 192.168.0.0 – 192.168.255.255 | C | 65 536 |
D'autres plages spéciales existent : 127.0.0.0/8 (loopback, ex. 127.0.0.1 = la machine elle-même), 169.254.0.0/16 (APIPA, auto-attribuée quand le DHCP échoue), et 224.0.0.0 – 239.255.255.255 (multicast).
Le VLSM (Variable Length Subnet Masking) consiste à découper un réseau en plusieurs sous-réseaux, potentiellement de tailles différentes selon le besoin réel de chaque segment, plutôt que d'utiliser un découpage uniforme qui gaspille de l'espace d'adressage.
Deux approches courantes pour déterminer le nouveau préfixe :
ceil(log2(n)) bits supplémentaires au masque.ceil(log2(h + 2)) bits pour la partie hôte (le +2 couvrant l'adresse réseau et le broadcast).En pratique, dimensionnez toujours un peu au-dessus du besoin actuel : un sous-réseau trop juste oblige à tout redécouper dès la première extension du parc de machines.
Prenons le réseau 192.168.1.0/24 (254 hôtes utilisables) à diviser en 4 sous-réseaux égaux pour 4 services différents.
4 sous-réseaux nécessitent ceil(log2(4)) = 2 bits supplémentaires, donc un nouveau préfixe /26 :
| Sous-réseau | Plage | Hôtes utilisables | Broadcast |
|---|---|---|---|
| 192.168.1.0/26 | 192.168.1.1 – 192.168.1.62 | 62 | 192.168.1.63 |
| 192.168.1.64/26 | 192.168.1.65 – 192.168.1.126 | 62 | 192.168.1.127 |
| 192.168.1.128/26 | 192.168.1.129 – 192.168.1.190 | 62 | 192.168.1.191 |
| 192.168.1.192/26 | 192.168.1.193 – 192.168.1.254 | 62 | 192.168.1.255 |
Le calculateur génère automatiquement ce type de tableau pour n'importe quel réseau de base et n'importe quel besoin de découpage.
Utiliser le calculateur de sous-réseaux →Aucune différence fonctionnelle — le CIDR (ex: /24) est juste une notation plus courte du même masque (ex: 255.255.255.0). Les deux désignent exactement la même séparation entre partie réseau et partie hôte.
Un /32 désigne une seule adresse (un hôte unique, sans notion de réseau). Un /31 (RFC 3021) est utilisé pour les liaisons point-à-point entre deux routeurs, où réserver une adresse réseau et un broadcast serait un gaspillage — les deux adresses disponibles servent directement aux deux extrémités de la liaison.
Oui, c'est justement l'intérêt du VLSM par rapport à un découpage uniforme : chaque sous-réseau peut avoir son propre préfixe, adapté à son besoin réel, à condition que les plages ne se chevauchent pas.
Oui, le principe général (séparer une partie réseau et une partie hôte) reste le même, mais avec des conventions différentes : adresses sur 128 bits, préfixes généralement alignés sur /64 pour un sous-réseau standard, pas de notion de broadcast (remplacée par le multicast), et un espace d'adressage si vaste que le dimensionnement se raisonne en nombre de sous-réseaux plutôt qu'en nombre d'hôtes. Le calculateur de ce site gère les deux protocoles, avec un mode dédié à chacun.