ネットワークの基礎 | IPアドレスとサブネットマスクの徹底ガイド

IPアドレスのサブネットの理解は、ネットワーク管理者やITインフラエンジニアにとって基本的かつ重要な概念です。

サブネットはネットワークの効率を高め、セキュリティを強化するために不可欠です。

しかし、初めて学ぶ人にとっては、少し難解に感じることもあるでしょう。

このブログ記事では、IPアドレスのサブネットについてわかりやすく解説し、実際に役立つ知識を提供します。

この記事を通じて、ネットワークの基礎をしっかりと理解し、自信を持ってサブネットの設計や管理に取り組めるようになりましょう。

サブネットとは何か

サブネット（サブネットワーク）は、IPネットワークをより小さな論理的なネットワークに分割する技術です。このプロセスにより、ネットワークの効率性とセキュリティが向上します。

サブネットは、企業や組織の内部ネットワークを分割するために使用され、各サブネットは独立して動作し、特定の部門や用途に割り当てられます。

サブネットを理解するために

サブネットを理解するためには、IPアドレスとサブネットマスクの基本的な仕組みを知る必要があります。

IPアドレスは、ネットワーク上のデバイスを一意に識別するための32ビットの数値で、通常は「192.168.1.1」のような形式で表されます。

一方、サブネットマスクは、IPアドレスのうち、ネットワーク部分とホスト部分を区別するための数値です。たとえば、「255.255.255.0」というサブネットマスクは、IPアドレスの最初の24ビットをネットワーク部分として指定します。

サブネット化の主な利点は次のとおりです：

1. 効率的なアドレス利用：サブネットにより、IPアドレス空間を無駄なく効果的に利用できます。
2. ネットワークの分割：大規模なネットワークを小さな部分に分割することで、トラフィックの管理が容易になり、ネットワークの全体的なパフォーマンスが向上します。
3. セキュリティの向上：異なるサブネット間でのアクセス制御を設定することで、ネットワークのセキュリティが強化されます。

サブネットは、ネットワーク設計と管理において不可欠な技術であり、効率的なネットワーク運用を実現するための基本的な要素です。

サブネットマスクの基本

3. サブネットマスクの基本

サブネットマスクは、IPアドレスをネットワーク部分とホスト部分に分割するための重要なツールです。サブネットマスクを理解することで、ネットワークの構造やサブネット化の仕組みをより深く理解することができます。ここでは、サブネットマスクの基本について詳しく説明します。

1. サブネットマスクとは

サブネットマスクは、IPアドレスと組み合わせて使用される32ビットの数値で、ネットワーク内の特定のアドレスがどのサブネットに属しているかを決定します。サブネットマスクは、IPアドレスのネットワーク部分とホスト部分を区別するためのもので、通常、デシマル形式で表されます。例えば、「255.255.255.0」という形式です。

2. サブネットマスクの構造

サブネットマスクは、ビット単位で構成され、ネットワーク部分を示すビットがすべて1、ホスト部分を示すビットがすべて0となっています。たとえば、サブネットマスク「255.255.255.0」は、次のようにビット表記されます：

11111111.11111111.11111111.00000000

このサブネットマスクでは、最初の24ビット（黄色部分）がネットワーク部分を示し、残りの8ビット（水色）がホスト部分を示します。

3. クラスフルとクラスレスのサブネットマスク

従来のIPアドレス分類では、Aクラス、Bクラス、Cクラスといったクラスフル（クラスベース）のサブネットマスクが使用されていました。各クラスにはデフォルトのサブネットマスクが割り当てられています：

• Aクラス: 255.0.0.0
• Bクラス: 255.255.0.0
• Cクラス: 255.255.255.0

一方、クラスレスドメイン間ルーティング（CIDR）が導入されたことで、より柔軟なサブネットマスクの使用が可能になりました。CIDRでは、サブネットマスクのビット長をスラッシュ表記で示し、たとえば「/24」は「255.255.255.0」と同義です。

「24」という数字は、上のネットワーク部分（黄色部分）の1の数に該当します。

11111111.11111111.11111111.00000000
↑黄色部分が「255.255.255」に相当し、"1"が24個ある

4. サブネットマスクの役割

サブネットマスクの主な役割は、IPアドレスをネットワーク部分とホスト部分に分割し、どのサブネットに属するかを決定することです。これにより、ネットワーク内のデバイスが互いに通信できる範囲を定義し、効率的なネットワーク設計と管理が可能となります。

言い換えると、異なるサブネット間では直接通信が行えず、ルーティング処理が必要となります。

例：192.168.0.0/24のサブネットの場合は、192.168.0.1～192.168.0.254が同じサブネット範囲のIPアドレスとなり、

同じサブネット内のIPアドレスとは直接通信ができる
異なるサブネット内のIPアドレスとは直接通信ができず、ルーティングが必要

5. サブネットマスクの計算方法

サブネットマスクを使って、特定のサブネット内のIPアドレス範囲を計算する方法を理解することは、ネットワーク管理において非常に重要です。

例えば、サブネットマスク「255.255.255.0」（/24）の場合、ネットワーク内に割り当て可能なホストアドレス数は 2^8（2の8乗） – 2 = 254 となります。

サブネットの内、全ビット、最初と最後のビットは予約されています。（ここでは”1″と”255″）

サブネットの計算法

サブネットの計算法は、ネットワークを小さな部分に分割するために必要な知識です。ここでは、高校生でもわかるように、サブネットの計算法をわかりやすく説明します。

サブネットマスクとは

サブネットマスクは、IPアドレスをネットワーク部分とホスト部分に分けるためのものです。IPアドレスは、「192.168.1.1」のような数字で表されますが、これだけではどの部分がネットワークでどの部分がホストなのかわかりません。そこで、サブネットマスクを使って、IPアドレスのどこまでがネットワーク部分かを決めます。

サブネット計算のステップ

サブネット計算は、いくつかの簡単なステップで行うことができます。ここでは、例として「192.168.1.0/24」というネットワーク範囲の中で考えます。「/24」はサブネットマスクのことを指していて、これは「255.255.255.0」と同じ意味です。

1. サブネットの分割数を決める

まず、「192.168.1.0/24」の範囲の中でネットワークをいくつに分割したいかを決めます。たとえば、ネットワークを4つに分割したいとします。

2. 必要なビット数を計算する

サブネットの数を2の乗数で表します。4つのサブネットに分割するためには、4÷2ビット=2なので、2ビット分が必要です。

3. 新しいサブネットマスクを計算する

元のサブネットマスクは「/24」でした。ここにネットワークアドレスに2ビット分を追加します。

11111111.11111111.11111111.11000000
↑ネットワークアドレス（黄色部分）に2ビット追加して、ホスト部分（水色）はビット分減らします。

新しいサブネットマスクは「/26」になります。これを10進数で表すと「255.255.255.192」となります。
ホスト部分（水色部分）の数は”6″なので、2の6乗=64です。この64が分割後に同サブネット内のホストの数となります。次の

4. サブネットの範囲を計算する

新しいサブネットマスク「/26」を使って、各サブネットの範囲を計算します。

• サブネット1: 192.168.1.0 – 192.168.1.63
• サブネット2: 192.168.1.64 – 192.168.1.127
• サブネット3: 192.168.1.128 – 192.168.1.191
• サブネット4: 192.168.1.192 – 192.168.1.255

各サブネットの範囲は、ホスト部分（水色）で定めた64個のアドレス（2^6）を持ちます。最初のアドレスはネットワークアドレス、最後のアドレスはブロードキャストアドレスとして予約されるので、実際に使えるアドレスはそれぞれ62個です。

5. サブネットの使用

これで、ネットワークを4つのサブネットに分割できました。各サブネットは独立して動作し、それぞれの範囲内でIPアドレスを割り当てることができます。

【おさらい】
サブネット1: 192.168.1.0 – 192.168.1.63　同士であればサブネット内であるため直接通信が可能です。
サブネット1とサブネット2との通信を行うためにはルーティング処理が必要となります。

まとめ

サブネット計算は、ネットワークを効率的に管理するための重要なスキルです。このステップを覚えることで、簡単にサブネットを計算し、ネットワークを分割できるようになります。最初は難しく感じるかもしれませんが、練習すればすぐに慣れるでしょう。

サブネット設計のベストプラクティス

サブネット設計は、ネットワークの効率性とセキュリティを向上させるために重要なプロセスです。以下に、効果的なサブネット設計のためのベストプラクティスを紹介します。

1. ネットワークの要件を理解する

サブネット設計の第一歩は、ネットワークの要件を明確に理解することです。これは、ネットワークに接続するデバイスの数、トラフィックのパターン、セキュリティ要件などを把握することを意味します。これにより、必要なサブネットの数とサイズを正確に計画できます。

2. 適切なサブネットサイズを選ぶ

サブネットサイズは、サブネットに含まれるデバイスの数に基づいて決定します。過剰なアドレス空間を割り当てると資源の無駄になりますが、アドレスが不足するとネットワークの拡張が困難になります。

現在のニーズに基づいて適切なサイズを選び、将来の成長を見越して余裕を持たせることが重要です。

3. 一貫したアドレス割り当てポリシーを使用する

一貫したアドレス割り当てポリシーを使用することで、ネットワーク管理が容易になります。

たとえば、特定の部門や用途ごとにサブネットを割り当てることで、管理しやすくなります。また、各サブネットのドキュメントを詳細に記録しておくことも重要です。

4. サブネット境界でのセキュリティ対策

サブネットごとに異なるセキュリティポリシーを適用することで、ネットワーク全体のセキュリティを強化できます。ファイアウォールやアクセス制御リスト（ACL）を使用して、サブネット間のトラフィックを制限し、重要なデータやシステムへの不正アクセスを防止します。

5. トラフィックの効率化を考慮する

サブネット設計では、トラフィックの効率化も重要です。サブネットが適切に設計されていないと、トラフィックが不要にルーターを通過することになり、遅延が発生する可能性があります。ローカルトラフィックをローカルで処理し、重要なトラフィックのみがルーターを通過するように設計します。

6. サブネットの冗長性を確保する

ネットワークの信頼性を高めるために、冗長性を確保します。サブネット間のリンクが故障した場合でも、ネットワークが正常に機能し続けるように設計します。これは、冗長なルートや複数のリンクを設定することで実現できます。

7. 継続的な監視とメンテナンス

サブネット設計は一度行えば終わりではなく、継続的な監視とメンテナンスが必要です。ネットワークの使用状況を定期的にチェックし、必要に応じてサブネットを再設計します。また、セキュリティポリシーの見直しやトラフィックパターンの変化に対応することも重要です。

まとめ

サブネット設計のベストプラクティスを遵守することで、効率的で安全なネットワークを構築できます。ネットワークの要件を理解し、適切なサブネットサイズを選び、一貫したポリシーとセキュリティ対策を適用することが重要です。これにより、ネットワークの管理が容易になり、将来の拡張にも対応できる柔軟なインフラを構築できます。

実際のサブネット設計例

実際のサブネット設計を通じて、サブネット化のプロセスとその利点を具体的に理解しましょう。ここでは、ある中小企業のネットワークを例に、サブネット設計の手順を解説します。

会社のネットワーク要件

この企業には以下の要件があります：

1. 社員の数：50人（各社員に1つのデバイスが割り当てられます）
2. 部門の数：3つ（管理部、営業部、技術部）
3. サーバー：5台（データベースサーバー、ウェブサーバーなど）
4. 将来の拡張：20%の余裕を見込む

サブネット設計の手順

1. ネットワークの全体像を把握する

企業全体で必要なIPアドレスの数を算出します。社員50人に加えてサーバー5台を考慮すると、最低でも55個のIPアドレスが必要です。将来の拡張を見込んで、20%の余裕を加えます：

55 × 1.2 ≈ 66

66個のIPアドレスが最低要件です。

2. サブネットの分割

各部門とサーバーセグメントの単位で分割するため4つのサブネットを作成します。それぞれの部門に対して独自のサブネットを割り当て、サーバー用にも独立したサブネットを用意します。

3. 適切なサブネットマスクを選ぶ

企業には少なくとも66個のIPアドレスが必要なので、クラスCのネットワーク「192.168.1.0/24」を使用し、それを分割します。各サブネットの最低数を以下のように定義します：

1. 管理部: 20個のIPアドレス（管理部の社員数は15人）
2. 営業部: 20個のIPアドレス（営業部の社員数は15人）
3. 技術部: 20個のIPアドレス（技術部の社員数は15人）
4. サーバーセグメント: 20個のIPアドレス（サーバー5台＋予備）

ここであれ？、と思う方もいるかもしれません。「さっき62個って言ってましたよね？」と。
はい。サブネットマスクは”2のX乗”で増やしていくので、単純に割り切れないことに留意する必要があります。

そのため、どの単位で分割するのかを事前に決めておくことが非常に重要になるのです。

事前にどの単位で分割するかを決めることが重要

4. サブネットアドレスとマスクの設定

1つのサブネットで20IPが必要な場合、2のX乗で計算すると、2の4乗では足らないので、2の5乗＝32の「/27」のサブネットマスク（255.255.255.224）を使用します。それぞれのサブネット範囲は以下のようになります：

• 管理部: 192.168.1.0 – 192.168.1.31 （192.168.1.0/27）
• 営業部: 192.168.1.32 – 192.168.1.63　（192.168.1.32/27）
• 技術部: 192.168.1.64 – 192.168.1.95　（192.168.1.64/27）
• サーバーセグメント: 192.168.1.96 – 192.168.1.127　（192.168.1.96/27）

今後部署が増えたときのことも考えて、サーバーセグメントはもっと後ろのサブネットを割り当てることも考えられます。

とくにネットワーク機器の設定変更は、平日日中帯での変更は業務影響の可能性を考えると行わないのが普通。だいたいは休日に実施することが多いので、作業費用に跳ね返ってきます。
予算を抑えるためにも余裕をもって設計することが大事です。

今後、部署が増えることも予想して割り当てる。

5. IPアドレスの割り当て

各デバイスやサーバーに対して、サブネット内で一意のIPアドレスを割り当てます。

たとえば、管理部のIPアドレス範囲は「192.168.1.0 – 192.168.1.31」となります。

ここで思い出してください。

なので実際に使える範囲は、「192.168.1.1 – 192.168.1.30」の30個となります。

6. サブネット間のセキュリティポリシー

ファイアウォールやルーターで、サブネット間のアクセス制御を設定します。

たとえば、営業部から技術部へのアクセスを制限し、サーバーセグメントは各部門からアクセス可能にします。

部署ごとにサブネットを分割しているから、部署ごとにアクセス制御が可能になります。

※もちろんファイアーウォールポリシーでパソコン1台ずつの通信制御も可能ですが、設定数がとんでもない数になるので現実的ではありません。

まとめ

このサブネット設計例では、企業の要件に基づいてネットワークを効率的に分割し、適切なサブネットマスクを選びました。これにより、ネットワーク管理が容易になり、セキュリティが強化され、将来の拡張にも対応できるようになりました。

サブネット化のプロセスを理解し、実際の設計に応用することで、より効果的なネットワーク管理が可能になります。

サブネットに関するネットワークトラブルシューティングのコツ

ネットワークの管理において、サブネットの問題は避けて通れません。サブネットトラブルシューティングの基本的なコツを知っておくことで、問題を迅速に特定し、解決することができます。

以下に、サブネットトラブルシューティングのための有効なコツを紹介します。

1. 基本的なネットワーク情報を確認する

IPアドレスとサブネットマスクの確認

ネットワークデバイスのIPアドレスとサブネットマスクが正しく設定されているか確認します。誤った設定は、サブネット内外の通信に問題を引き起こします。

デバイスのネットワーク設定を確認し、正しいIPアドレス範囲が使用されているか確認します。

デフォルトゲートウェイの確認

各デバイスが正しいデフォルトゲートウェイを使用しているか確認します。デフォルトゲートウェイが正しく設定されていないと、サブネット外の通信ができなくなります。

デフォルトゲートウェイのIPアドレスがサブネット内にあることを確認します。

2. 基本的なネットワーク診断ツールを使用する

pingコマンド

最も基本的なネットワーク診断ツールはpingコマンドです。pingコマンドを使用して、サブネット内外のデバイスにパケットを送信し、応答があるか確認します。

応答がない場合は、ネットワーク接続に問題がある可能性があります。

ping 192.168.1.1

tracert（traceroute）コマンド

tracert（Windows）またはtraceroute（Linux/Unix）コマンドを使用して、パケットがネットワークを通過するルートを確認します。これにより、どのポイントでパケットが失われているかを特定できます。

tracert 8.8.8.8

3. ネットワークデバイスの状態を確認する

スイッチとルーターの設定

スイッチとルーターの設定が正しく行われているか確認します。

特に、VLAN設定やルーティングテーブルが正しいかどうかを確認します。また、設定の誤りがないか、必要な更新が行われているかをチェックします。

ネットワークケーブルとポートの確認

物理的な接続も重要です。ネットワークケーブルが正しく接続されているか、ポートに障害がないかを確認します。

ケーブルが破損していたり、ポートが故障していたりする場合は、接続が正常に行われません。

4. ログとエラーメッセージの確認

ルーターやスイッチ、ファイアウォールなどのネットワークデバイスのログを確認します。

ログには、接続の問題やエラーに関する情報が記録されていることがあります。エラーメッセージを解析し、問題の原因を特定します。

システムログの確認

サーバーやクライアントデバイスのシステムログも確認します。

ネットワーク接続に関連するエラーメッセージが記録されている場合があります。これにより、問題の範囲を絞り込むことができます。

5. サブネット間のルーティングを確認する

ルーティングテーブルの確認

ルーターのルーティングテーブルを確認し、サブネット間のルートが正しく設定されているかを確認します。

ルートが誤って設定されている場合、パケットが正しく転送されません。

ACLとファイアウォールの設定確認

アクセス制御リスト（ACL）やファイアウォールの設定が、必要なトラフィックをブロックしていないか確認します。

セキュリティポリシーが厳しすぎる場合、正常な通信が妨げられることがあります。

まとめ

サブネットトラブルシューティングは、ネットワーク管理者にとって重要なスキルです。

基本的な情報の確認、デバイスの状態確認、ログの解析、ルーティングの確認、場合によってはネットワーク診断ツールの使用など、これらのコツを実践することで、ネットワークの問題を迅速かつ効果的に解決できます。

問題が発生した際には、冷静にこれらのステップを踏むことで、適切な解決策を見つけることができるでしょう。

サブネットのセキュリティ設計

サブネット設計において、セキュリティを強化するためには、ネットワークの分割とアクセス制御を巧みに組み合わせることが重要です。

以下に、サブネット設計でしかできないセキュリティ対策を具体的に紹介します。

1. セキュリティゾーンの設定と分離

内部ネットワークの分離

サブネット化により、異なる部門や用途ごとにネットワークを分離します。

たとえば、管理部、営業部、技術部をそれぞれ独立したサブネットに配置します。これにより、一つの部門が攻撃された場合でも、他の部門への影響を最小限に抑えることができます。

サブネットを分割することがセキュリティ対策の第一歩にもつながる

DMZ（非武装地帯）の設定

公開サーバー（ウェブサーバー、メールサーバーなど）をDMZゾーンに配置し、内部ネットワークと分離します。

DMZは、外部からのアクセスを許可する一方で、内部ネットワークへの直接的なアクセスを防ぐ役割を果たします。これにより、外部からの攻撃が内部ネットワークに直接影響を与えないようにします。

DMZと内部ネットワークとは、まったく異なったサブネットにすることも有効です。

2. VLANによるトラフィック分離

VLAN（仮想LAN）の活用

VLANを利用して、同じ物理ネットワーク上で複数の仮想ネットワークを作成します。これにより、物理的なネットワーク機器を追加せずに、論理的にネットワークを分離できます。

たとえば、部門ごとにVLANを設定することで、各部門間のトラフィックを完全に分離し、セキュリティを強化します。

VLAN設計と設定方法については以下の記事で詳しく解説しています。

VLAN間ルーティングの制御

VLAN間のトラフィックを制御するために、ルータやレイヤー3スイッチを使用します。これにより、特定のVLAN間のみトラフィックを許可し、他のVLAN間の通信を制限できます。

たとえば、管理部から技術部へのアクセスは許可し、逆は許可しないなどのポリシーを実装します。

3. サブネット間のアクセス制御

サブネット間のACL（アクセス制御リスト）

各サブネット間にACLを設定し、許可されたトラフィックのみが通過できるようにします。

たとえば、営業部のサブネットから技術部のサブネットへのアクセスを制限することで、重要な技術データへの不正アクセスを防ぎます。

ファイアウォールによるトラフィックフィルタリング

サブネット間の境界にファイアウォールを配置し、トラフィックをフィルタリングします。

ファイアウォールルールを設定して、特定のプロトコルやポートのみを許可し、不要なトラフィックをブロックします。これにより、内部ネットワークの各サブネット間のセキュリティを強化できます。

4. サブネットのセキュリティ監視

ネットワーク監視とログ管理

各サブネット内のトラフィックを監視し、不審なアクティビティを検出します。ネットワーク監視ツールを使用して、リアルタイムでトラフィックパターンを監視し、異常を検知した場合にアラートを発生させます。

また、各サブネットのログを定期的に分析し、潜在的な脅威を早期に発見します。

IDS/IPSの配置

各サブネットに侵入検知システム（IDS）や侵入防止システム（IPS）を配置することも有効です。

IDS/IPSは、不正なトラフィックや攻撃パターンをリアルタイムで検出し、対策を講じることで、ネットワークのセキュリティを強化します。

まとめ

いかがでしたでしょうか。IPアドレスとサブネット設計について詳しく解説してきました。

IPアドレスのサブネットは、ネットワークの効率化とセキュリティ強化に不可欠な技術です。

この記事で解説した基本的な概念や計算方法、設計のベストプラクティスを理解することで、ネットワークの管理やセキュリティ設計がよりスムーズになります。

サブネットの知識をしっかりと身につけ、実際の業務に活かしていきましょう。ネットワーク管理の世界での成功を祈っています。