Calcul de masque de sous reseau
Calculez instantanément le masque IPv4, l’adresse reseau, l’adresse de broadcast, la plage d’hotes utilisables et la capacite d’un sous reseau à partir d’une adresse IP et d’un prefixe CIDR.
Astuce: utilisez /31 pour les liaisons point à point modernes et /32 pour une route host unique.
Visualisation du sous reseau
Le graphique compare les bits reseau et les bits hotes pour le prefixe choisi.
Guide expert du calcul de masque de sous reseau
Le calcul de masque de sous reseau est une competence fondamentale pour toute personne qui conçoit, exploite ou securise un reseau IP. Que vous soyez administrateur systeme, technicien support, etudiant en reseaux ou responsable infrastructure, comprendre la logique du masque permet de segmenter proprement l’espace d’adressage, d’eviter les chevauchements, d’ameliorer les performances de diffusion et de mieux appliquer les politiques de securite. En pratique, un masque de sous reseau precise quelle partie d’une adresse IPv4 represente le reseau et quelle partie represente les hotes. Cette information est egalement exprimee en notation CIDR, par exemple /24, qui signifie que 24 bits sont reserves à la partie reseau.
Dans un environnement professionnel, le sous reseautage ne sert pas uniquement à “faire rentrer” des machines dans une plage. Il structure l’architecture. Chaque segment peut correspondre à une equipe, un site, une DMZ, un reseau serveurs, un reseau telephonie, un Wi-Fi invite ou un lien point à point. Plus la segmentation est rigoureuse, plus il devient simple d’appliquer des ACL, de surveiller le trafic et de limiter l’impact d’une panne ou d’un incident de securite.
Definition rapide : un masque de sous reseau indique quels bits de l’adresse IP appartiennent au reseau. Avec 255.255.255.0, soit /24, les 24 premiers bits identifient le reseau et les 8 derniers les hotes.
Pourquoi le calcul de sous reseau est indispensable
La maitrise du calcul de masque est utile pour plusieurs raisons. D’abord, elle permet de dimensionner correctement le nombre d’adresses disponibles. Ensuite, elle aide à reduire les domaines de broadcast. Enfin, elle contribue à la clarte des plans d’adressage, ce qui facilite l’exploitation quotidienne et les audits. Une mauvaise planification cree souvent des problemes concrets : plages trop petites, segments surdimensionnes, difficulte à resumer les routes, ou encore erreurs de routage entre sites.
- Optimisation du nombre d’adresses disponibles par segment.
- Reduction des broadcasts inutiles.
- Simplification du routage et de la summarisation.
- Isolation plus fine des zones metiers et des zones sensibles.
- Facilitation du depannage et de la documentation reseau.
Rappel rapide sur IPv4, binaire et CIDR
Une adresse IPv4 contient 32 bits. Elle est generalement representee en decimal pointé, par exemple 192.168.1.34. Chaque octet correspond à 8 bits, donc 4 octets composent l’adresse complete. Le masque de sous reseau suit exactement la meme structure. Plus le prefixe CIDR est grand, plus la partie reseau est longue et plus le nombre d’hotes disponibles diminue. Par exemple :
- /24 reserve 24 bits au reseau et 8 bits aux hotes.
- /26 reserve 26 bits au reseau et 6 bits aux hotes.
- /30 reserve 30 bits au reseau et 2 bits aux hotes.
- /31 est souvent utilise pour une liaison point à point.
- /32 represente une seule adresse hote.
Le nombre total d’adresses d’un sous reseau se calcule avec la formule 2^(32 – prefixe). Dans beaucoup de cas IPv4 traditionnels, on retire 2 adresses, une pour l’adresse reseau et une pour l’adresse de broadcast. Cela donne le nombre d’hotes utilisables. Toutefois, les cas /31 et /32 sont particuliers. En /31, l’usage moderne sur lien point à point permet d’utiliser les deux adresses selon les equipements et politiques adoptees. En /32, il n’y a qu’une seule adresse.
Comment calculer un masque de sous reseau pas à pas
Prenons un exemple simple avec l’adresse 192.168.1.34/24. Le prefixe /24 signifie que les 24 premiers bits sont fixes pour le reseau. Le masque decimal vaut donc 255.255.255.0. L’adresse reseau est obtenue en appliquant un ET logique entre l’adresse IP et le masque. Le resultat est 192.168.1.0. L’adresse de broadcast est la derniere adresse du segment, ici 192.168.1.255. Les hotes utilisables vont donc de 192.168.1.1 à 192.168.1.254.
Avec un autre exemple, 10.10.4.77/26, le masque decimal devient 255.255.255.192. Chaque bloc contient 64 adresses. Les sous reseaux du dernier octet sont donc 0, 64, 128 et 192. Comme 77 est compris entre 64 et 127, l’adresse reseau est 10.10.4.64, le broadcast 10.10.4.127, et la plage d’hotes utilisables va de 10.10.4.65 à 10.10.4.126.
Tableau comparatif des prefixes IPv4 les plus courants
| Prefixe CIDR | Masque decimal | Bits hotes | Adresses totales | Hotes utilisables | Usage courant |
|---|---|---|---|---|---|
| /24 | 255.255.255.0 | 8 | 256 | 254 | Petit LAN, VLAN utilisateur |
| /25 | 255.255.255.128 | 7 | 128 | 126 | Segmentation d’un /24 en 2 sous reseaux |
| /26 | 255.255.255.192 | 6 | 64 | 62 | Petits services, Wi-Fi, laboratoires |
| /27 | 255.255.255.224 | 5 | 32 | 30 | Petites equipes, DMZ restreinte |
| /28 | 255.255.255.240 | 4 | 16 | 14 | Infra d’administration, appliances |
| /29 | 255.255.255.248 | 3 | 8 | 6 | Tres petits segments |
| /30 | 255.255.255.252 | 2 | 4 | 2 | Liens point à point traditionnels |
| /31 | 255.255.255.254 | 1 | 2 | 2 selon usage point à point | Liens routeur à routeur |
| /32 | 255.255.255.255 | 0 | 1 | 1 | Hote unique, loopback, route specifique |
Les plages privees IPv4 les plus utilisees
Dans les reseaux internes, on travaille le plus souvent avec les plages privees definies par les RFC : 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16. Le choix entre ces plages depend de la taille de l’organisation, du besoin de summarisation et des standards internes. La plage 10.0.0.0/8 offre un immense espace d’adressage, tandis que 192.168.0.0/16 est tres frequente dans les petits environnements et les equipements grand public.
| Plage privee | Prefixe | Adresses totales | Usage typique | Observation pratique |
|---|---|---|---|---|
| 10.0.0.0 – 10.255.255.255 | /8 | 16 777 216 | Grandes entreprises, multi-sites, data centers | Excellente flexibilite pour creer de nombreux VLAN |
| 172.16.0.0 – 172.31.255.255 | /12 | 1 048 576 | Entreprises moyennes, segmentation intermediaire | Souvent moins sujette aux conflits avec les box domestiques |
| 192.168.0.0 – 192.168.255.255 | /16 | 65 536 | PME, petits sites, laboratoires, environnements SOHO | Tres commune, donc risque plus eleve de chevauchement VPN |
Methodes mentales rapides pour calculer sans outil
Avec un peu d’entrainement, il devient facile de calculer de tete. La technique la plus utile consiste à memoriser la taille des blocs pour les prefixes courants. Sur le dernier octet, les pas sont de 128 pour /25, 64 pour /26, 32 pour /27, 16 pour /28, 8 pour /29, 4 pour /30 et 2 pour /31. Si vous avez l’adresse 192.168.50.141/27, vous savez qu’un /27 cree des blocs de 32. Les bornes sont donc 0, 32, 64, 96, 128, 160, 192 et 224. Comme 141 se situe entre 128 et 159, le reseau est 192.168.50.128 et le broadcast 192.168.50.159.
Une seconde technique consiste à raisonner en binaire uniquement sur l’octet “coupe”. Par exemple, pour un /26, le dernier octet du masque est 192, soit 11000000 en binaire. Les 2 premiers bits de l’octet appartiennent au reseau, les 6 derniers aux hotes. Cette vision est très utile lorsque vous devez valider des ACL, des routes resumees ou des calculs sur papier pendant un examen ou une intervention.
Erreurs frequentes en calcul de masque de sous reseau
- Confondre nombre total d’adresses et nombre d’hotes utilisables.
- Oublier que /31 et /32 sont des cas particuliers.
- Placer l’adresse de broadcast comme adresse d’un hote.
- Choisir un sous reseau trop petit sans marge de croissance.
- Utiliser des plages privees trop communes qui causent des conflits en VPN.
- Ne pas documenter le plan d’adressage et les reservations.
Bonnes pratiques de design reseau
Un bon plan d’adressage vise la lisibilite autant que l’efficacite. Il est judicieux d’adopter une logique repetitive, par exemple un schema où chaque site se voit attribuer un bloc resume et où chaque fonction de reseau a un prefixe standard. Vous pouvez reserver un /24 par VLAN sur de petits sites, ou bien dimensionner plus finement avec des /26, /27 et /28 sur des environnements plus contraints. L’important est de conserver des plages libres pour l’expansion future, les tests et les migrations.
- Prevoir une marge de croissance de 20 % à 30 % par segment critique.
- Eviter les plages trop populaires si des VPN tiers sont frequents.
- Uniformiser les tailles de sous reseaux quand cela simplifie l’exploitation.
- Reserver des blocs pour les futurs services, l’IoT et la supervision.
- Documenter l’adresse reseau, le masque, la passerelle et les DNS par VLAN.
Subnetting, securite et exploitation
Le sous reseautage est aussi un levier de securite. En limitant la taille des segments, on reduit la surface de diffusion de certains protocoles et on cloisonne mieux les environnements. Une DMZ ne devrait pas partager le meme segment que les postes utilisateurs. Les equipements d’administration hors bande, les hyperviseurs, les sauvegardes et les systemes industriels meritent souvent des sous reseaux distincts. Ce cloisonnement facilite l’application des principes de moindre privilege et l’analyse des journaux en cas d’incident.
Pour aller plus loin sur les bonnes pratiques reseau et de securite, il est utile de consulter des organismes de reference comme le NIST, l’agence americaine CISA, ainsi que des ressources universitaires telles que celles de Cornell University. Ces sources n’expliquent pas toujours le calcul elementaire de chaque masque, mais elles donnent un cadre solide pour la conception reseau, la resilence et la securisation des architectures IP.
Quand preferer VLSM
Le VLSM, ou Variable Length Subnet Mask, consiste à utiliser des tailles de sous reseaux differentes à l’interieur d’un meme espace d’adressage. C’est une approche tres efficace lorsque les besoins varient fortement selon les segments. Par exemple, un reseau utilisateurs peut demander 200 adresses, une DMZ 30, un reseau d’imprimantes 20 et plusieurs liens point à point seulement 2 adresses. Au lieu d’attribuer la meme taille partout, on choisit le prefixe le plus adapte à chaque besoin. Cela permet d’economiser des adresses, de simplifier certains resumes de routes et d’eviter un gaspillage inutile.
Exemple pratique de planification
Supposons que vous disposiez du bloc 10.20.0.0/24 pour un petit site. Vous devez y loger quatre besoins : un VLAN utilisateurs de 100 hôtes, un VLAN Wi-Fi de 50 hôtes, une DMZ de 20 hôtes et un lien point à point. Une repartition rationnelle pourrait etre :
- Utilisateurs : 10.20.0.0/25, soit 126 hotes utilisables.
- Wi-Fi : 10.20.0.128/26, soit 62 hotes utilisables.
- DMZ : 10.20.0.192/27, soit 30 hotes utilisables.
- Lien point à point : 10.20.0.224/30, soit 2 hotes utilisables.
Il reste encore de l’espace à la fin du /24 pour des extensions futures. Cet exemple illustre bien l’interet du VLSM : on adapte chaque segment au besoin reel au lieu de multiplier des /24 partout. Dans des contextes plus vastes, cette discipline se traduit par une gestion plus propre des routes statiques et dynamiques, des ACL et des services de supervision.
Comment utiliser ce calculateur efficacement
Le calculateur ci-dessus accepte une adresse IPv4 et un prefixe CIDR. Après clic sur le bouton, il affiche l’adresse reseau, le masque decimal, l’adresse de broadcast, la wildcard mask, le nombre d’adresses totales, les hotes utilisables et la plage hote. Le graphique montre visuellement la repartition entre bits reseau et bits hotes. Pour apprendre plus vite, modifiez seulement le prefixe d’une meme IP et observez comment la plage change. Passez d’un /24 à un /25, puis à un /26, et notez le doublement ou la division par deux du nombre d’adresses disponibles.
Conclusion
Le calcul de masque de sous reseau n’est pas une simple operation mathematique. C’est une brique centrale de l’architecture IP, du routage et de la securite. Savoir lire et concevoir un sous reseau permet de creer des plans d’adressage durables, de mieux segmenter les environnements et de reduire les erreurs de configuration. En maitrisant les prefixes courants, les tailles de blocs et les cas particuliers comme /31 ou /32, vous gagnez en rapidite et en fiabilite. Utilisez le calculateur comme outil de verification, mais gardez aussi une methode mentale solide : c’est ce qui fait la difference sur le terrain.