Weinig zaken zijn zo fundamenteel in infrastructuurbeheer als subnetmaskers — en weinig worden zo oppervlakkig begrepen. Iedereen die ooit een netwerkinterface heeft geconfigureerd, heeft 255.255.255.0 bijna op de automatische piloot ingetypt. Maar wanneer het moment aanbreekt om de netwerkarchitectuur van een productieomgeving te ontwerpen, verkeer tussen VLAN’s te segmenteren, subnetten te dimensioneren voor een private-cloud-deployment of uit te zoeken waarom een firewall niet doorlaat wat zou moeten, maakt een echt begrip van subnetmaskers het verschil tussen een doordachte infrastructuur en een permanente bron van incidenten.
Deze gids behandelt het concept van de basis tot de praktijkscenario’s die dagelijks voorkomen in datacenter- en cloudomgevingen — inclusief referentietabellen, rekenvoorbeelden en de meest voorkomende fouten.
Wat is een subnetmasker en waarom is het belangrijk in infrastructuur
Een subnetmasker is een 32-bits waarde die, toegepast op een IP-adres, twee zaken scheidt: het deel dat het netwerk identificeert en het deel dat de host identificeert (het specifieke apparaat binnen dat netwerk). Het is in essentie het instrument dat een besturingssysteem, switch of router vertelt of een pakket op het lokale netwerk moet blijven of via de standaardgateway moet worden doorgestuurd.
In binaire notatie is een subnetmasker altijd een reeks aaneengesloten enen gevolgd door aaneengesloten nullen. De enen markeren de netwerkbits; de nullen de hostbits. Zonder uitzondering — hoewel er, zoals we verderop zullen zien, een tijd was dat dit anders was.
Twee manieren om hetzelfde uit te drukken:
- Decimale puntnotatie:
255.255.255.0 - CIDR-notatie:
/24
Beide representeren exact hetzelfde: de eerste 24 bits zijn netwerk, de overige 8 zijn host.
Hoe het intern werkt: de AND-bewerking
Wanneer een apparaat moet bepalen of een bestemmings-IP-adres zich in het eigen netwerk bevindt, vergelijkt het de adressen niet op het oog. Het voert een logische AND-bewerking uit tussen het eigen IP-adres en het masker, en doet hetzelfde met het bestemmings-IP. Als de resultaten overeenkomen, wordt het pakket rechtstreeks verzonden. Zo niet, dan gaat het via de gateway.
Praktisch voorbeeld met IP 192.168.1.45 en masker 255.255.255.0:
IP: 11000000.10101000.00000001.00101101 (192.168.1.45)
Masker: 11111111.11111111.11111111.00000000 (255.255.255.0)
────────────────────────────────────
AND: 11000000.10101000.00000001.00000000 → 192.168.1.0
Het resultaat — 192.168.1.0 — is het netwerkadres. Als een ander apparaat bij toepassing van zijn masker hetzelfde resultaat oplevert, bevinden beide zich in hetzelfde subnet.
Dit ogenschijnlijk eenvoudige mechanisme is wat alle IP-communicatie laat werken: van het eenvoudigste thuisnetwerk tot de netwerkarchitectuur van een datacenter met honderden VLAN’s.
Volledige subnetmaskertabel: van /32 tot /0
De volgende tabel is een referentie die altijd binnen handbereik moet liggen. Ze bevat de CIDR-notatie, het masker in decimaal, het totale aantal IP’s, de bruikbare hosts (na aftrek van netwerkadres en broadcast) en het meest voorkomende gebruik in echte infrastructuuromgevingen.
| CIDR | Decimaal masker | Totaal IP’s | Bruikbare hosts | Typisch gebruik |
|---|---|---|---|---|
| /32 | 255.255.255.255 | 1 | 1 | Hostroute, loopback, firewallregels |
| /31 | 255.255.255.254 | 2 | 2* | Punt-naar-puntverbindingen (RFC 3021) |
| /30 | 255.255.255.252 | 4 | 2 | Router-naar-routerverbindingen |
| /29 | 255.255.255.248 | 8 | 6 | DMZ-segment, klein publiek IP-blok |
| /28 | 255.255.255.240 | 16 | 14 | Kleine publieke IP-pool, beheer |
| /27 | 255.255.255.224 | 32 | 30 | Beheernetwerk, klein kantoor |
| /26 | 255.255.255.192 | 64 | 62 | Afdelings-VLAN, serversegment |
| /25 | 255.255.255.128 | 128 | 126 | Middelgroot serversubnet |
| /24 | 255.255.255.0 | 256 | 254 | Standaard-LAN, typisch VLAN |
| /23 | 255.255.254.0 | 512 | 510 | Groot LAN, campus |
| /22 | 255.255.252.0 | 1.024 | 1.022 | Campus, zakelijk wifi |
| /21 | 255.255.248.0 | 2.048 | 2.046 | Grote campus |
| /20 | 255.255.240.0 | 4.096 | 4.094 | ISP, cloudprovider |
| /19 | 255.255.224.0 | 8.192 | 8.190 | ISP-blok |
| /18 | 255.255.192.0 | 16.384 | 16.382 | ISP-blok |
| /17 | 255.255.128.0 | 32.768 | 32.766 | ISP-blok |
| /16 | 255.255.0.0 | 65.536 | 65.534 | Groot bedrijfsnetwerk |
| /12 | 255.240.0.0 | 1.048.576 | 1.048.574 | Privébereik Klasse B (172.16.0.0/12) |
| /8 | 255.0.0.0 | 16.777.216 | 16.777.214 | Privébereik Klasse A (10.0.0.0/8) |
| /0 | 0.0.0.0 | 4.294.967.296 | — | Standaardroute (default route) |
* Het /31-masker, gedefinieerd in RFC 3021, reserveert geen netwerkadres en geen broadcastadres. Het wordt breed ondersteund op moderne routers en bespaart één adres ten opzichte van /30 per punt-naar-puntverbinding — iets wat telt wanneer je honderden verbindingen in een datacenter beheert.
Decimaal-naar-binair-conversie: de waarden die in elk octet voorkomen
| Decimaal | Binair | Netwerkbits |
|---|---|---|
| 0 | 00000000 | 0 |
| 128 | 10000000 | 1 |
| 192 | 11000000 | 2 |
| 224 | 11100000 | 3 |
| 240 | 11110000 | 4 |
| 248 | 11111000 | 5 |
| 252 | 11111100 | 6 |
| 254 | 11111110 | 7 |
| 255 | 11111111 | 8 |
Dit zijn de enige geldige waarden die in een octet van een subnetmasker kunnen voorkomen. Als iemand een andere waarde configureert (bijvoorbeeld 255.255.255.200), is de configuratie onjuist.
De meest gebruikte maskers in professionele omgevingen
Niet alle maskers worden even vaak gebruikt. In de praktijk van datacenters en cloudinfrastructuur zijn het de volgende die steeds terugkomen:
/24 — Het standaardmasker
Het meest gangbaar in LAN’s en VLAN’s. Het biedt 254 hosts en is geschikt voor de meeste segmenten van een bedrijfsnetwerk: werkstations, servers in een rack, beheernetwerken of opslag-VLAN’s.
Voorbeeld: 10.10.5.0/24 bestrijkt het bereik van 10.10.5.1 tot 10.10.5.254, met broadcast op 10.10.5.255.
/25 — Een /24 in tweeën splitsen
Wanneer een /24 te groot is en twee omgevingen gescheiden moeten worden (bijvoorbeeld productie en staging), verdeelt een /25 het blok in twee subnetten van elk 126 hosts.
| Subnet | Bereik | Hosts |
|---|---|---|
| 10.10.5.0/25 | .1 – .126 | 126 |
| 10.10.5.128/25 | .129 – .254 | 126 |
/26 — Vier segmenten per /24
Ideaal om VLAN’s binnen één blok te scheiden wanneer kleinere segmenten nodig zijn: servernetwerk, beheernetwerk, monitoringnetwerk en gebruikersnetwerk, elk met maximaal 62 hosts.
| Subnet | Netwerkadres | Eerste host | Laatste host | Broadcast |
|---|---|---|---|---|
| 1 | 10.10.5.0/26 | 10.10.5.1 | 10.10.5.62 | 10.10.5.63 |
| 2 | 10.10.5.64/26 | 10.10.5.65 | 10.10.5.126 | 10.10.5.127 |
| 3 | 10.10.5.128/26 | 10.10.5.129 | 10.10.5.190 | 10.10.5.191 |
| 4 | 10.10.5.192/26 | 10.10.5.193 | 10.10.5.254 | 10.10.5.255 |
/27 — Segmenten van 30 hosts
Veel gebruikt voor beheernetwerken (iDRAC/IPMI, switches, slimme PDU’s) waar slechts enkele tientallen apparaten aanwezig zijn en een beperkt broadcastdomein wenselijk is.
/28 — Kleine publieke IP-blokken
Wanneer een provider een blok publieke IP’s aan een klant toekent, is /28 (14 hosts) een van de meest gebruikelijke eenheden. Wordt ook gebruikt voor DMZ’s met weinig blootgestelde diensten.
/30 en /31 — Punt-naar-puntverbindingen
In elk datacenternetwerk met meerdere onderling verbonden routers of firewalls gebruiken de verbindingen daartussen /30 (2 hosts) of /31 (2 hosts zonder verspilling). In een infrastructuur met 50 verbindingen levert het verschil tussen /30 en /31 in totaal 50 bespaarde IP-adressen op — een getal dat op schaal meetelt.
/32 — De individuele host
Geen “subnet” in strikte zin: het identificeert één enkel IP-adres. Wordt gebruikt in hostroutes (statische routes naar een specifieke host), specifieke firewallregels, loopback-interfaces van routers en IP-toewijzing in punt-naar-multipuntnetwerken.
Netwerkontwerp met VLSM: een praktijkvoorbeeld
In een productie-infrastructuur hebben zelden alle subnetten dezelfde grootte nodig. De techniek VLSM (Variable Length Subnet Mask — subnetmasker met variabele lengte) maakt het mogelijk om elk segment precies het masker toe te kennen dat het nodig heeft, waardoor het adresgebruik wordt geoptimaliseerd.
Scenario: Een bedrijf beschikt over het toegewezen blok 172.16.10.0/24 en heeft nodig:
- Productieservers: 100 hosts
- Gebruikersnetwerk: 50 hosts
- Beheer-/IPMI-netwerk: 20 hosts
- DMZ: 10 hosts
- Twee WAN-verbindingen: elk 2 hosts
De toewijzing — altijd beginnend met het grootste subnet — zou zijn:
| Segment | Benodigde hosts | CIDR | Masker | Beschikbare hosts | Toegewezen netwerk |
|---|---|---|---|---|---|
| Productie | 100 | /25 | 255.255.255.128 | 126 | 172.16.10.0/25 |
| Gebruikers | 50 | /26 | 255.255.255.192 | 62 | 172.16.10.128/26 |
| Beheer | 20 | /27 | 255.255.255.224 | 30 | 172.16.10.192/27 |
| DMZ | 10 | /28 | 255.255.255.240 | 14 | 172.16.10.224/28 |
| WAN 1 | 2 | /30 | 255.255.255.252 | 2 | 172.16.10.240/30 |
| WAN 2 | 2 | /30 | 255.255.255.252 | 2 | 172.16.10.244/30 |
Van de 256 adressen in het oorspronkelijke blok worden er 238 gebruikt met minimale verspilling. Zonder VLSM zou je aan elk segment een /24 moeten toewijzen — dus zes /24-blokken in plaats van één.
Wildcardmasker: de keerzijde van het subnetmasker
In ACL-configuraties (access control lists) op routers en switches, en in protocollen zoals OSPF, wordt niet het subnetmasker zelf gebruikt maar de invertie ervan: het wildcardmasker.
De berekening is eenvoudig: 255.255.255.255 - subnetmasker = wildcard.
| Subnetmasker | Wildcard |
|---|---|
| 255.255.255.255 (/32) | 0.0.0.0 |
| 255.255.255.252 (/30) | 0.0.0.3 |
| 255.255.255.240 (/28) | 0.0.0.15 |
| 255.255.255.0 (/24) | 0.0.0.255 |
| 255.255.0.0 (/16) | 0.0.255.255 |
Cisco ACL-voorbeeld: Verkeer toestaan van het servernetwerk 172.16.10.0/25:
access-list 100 permit ip 172.16.10.0 0.0.0.127 any
OSPF-voorbeeld: Het beheernetwerk 172.16.10.192/27 adverteren:
router ospf 1
network 172.16.10.192 0.0.0.31 area 0
Snelle rekenformules
Twee formules die het waard zijn om te onthouden:
Bruikbare hosts per subnet:
2^(32 - CIDR-prefix) - 2
Aantal subnetten bij het opsplitsen van een blok:
2^(nieuw_prefix - oorspronkelijk_prefix)
Snelle voorbeelden:
- Hoeveel hosts passen in een /27? → 2^(32-27) – 2 = 30
- In hoeveel /28’s kan ik een /24 opsplitsen? → 2^(28-24) = 16 subnetten
- Ik heb minstens 500 hosts nodig: 2^n ≥ 502 → n = 9 → /23
Route-aggregatie (supernetting)
CIDR maakt het niet alleen mogelijk om netwerken in kleinere subnetten op te splitsen — het maakt ook het samenvoegen van meerdere netwerken in één grotere aankondiging mogelijk. Dit is essentieel om routeringstabellen beheerbaar te houden, met name bij BGP.
Voorbeeld: In plaats van vier afzonderlijke routes te adverteren:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
Kan één samengevatte route worden geadverteerd: 192.168.0.0/22, waardoor de belasting op naburige routers afneemt. Dit werkt alleen als de netwerken aaneengesloten zijn en uitgelijnd op een macht-van-2-grens.
Privéadressen (RFC 1918) en CGNAT
Drie adresblokken zijn gereserveerd voor intern gebruik en worden niet gerouteerd op het publieke internet:
| Blok | CIDR | Totaal hosts | Typisch gebruik |
|---|---|---|---|
| 10.0.0.0 – 10.255.255.255 | 10.0.0.0/8 | 16.777.214 | Grote bedrijfsnetwerken, private cloud, datacenters |
| 172.16.0.0 – 172.31.255.255 | 172.16.0.0/12 | 1.048.574 | Middelgrote netwerken, infrastructuursegmenten |
| 192.168.0.0 – 192.168.255.255 | 192.168.0.0/16 | 65.534 | Thuisnetwerken, kleine kantoren |
Daarnaast is het blok 100.64.0.0/10 gereserveerd voor CGNAT (Carrier-Grade NAT, RFC 6598), een techniek die door ISP’s wordt gebruikt om publieke IP’s te delen tussen meerdere klanten. Het is belangrijk om dit bereik niet in eigen interne netwerken te gebruiken om conflicten te voorkomen.
Korte geschiedenis: van vlakke netwerken naar CIDR
IP-adressering heeft niet altijd zo gewerkt als vandaag:
Jaren 70: IP-netwerken waren vlak. Er werd altijd uitgegaan van 8 bits voor het netwerk en 24 voor de host. Op het gehele internet waren slechts 256 netwerken mogelijk.
1981 (RFC 791): Jon Postel introduceert de klassen A, B en C. Het masker werd impliciet afgeleid uit de klasse. Het probleem: een middelgrote organisatie had een Klasse B nodig (65.534 hosts) omdat Klasse C (254 hosts) te klein was — en verspilde daarmee duizenden adressen.
1985 (RFC 950): Subnetmaskers worden geformaliseerd, waardoor netwerken in kleinere subnetten kunnen worden opgedeeld.
1993 (RFC 1519): Geboorte van CIDR (Classless Inter-Domain Routing), dat het klassenbegrip afschaft en VLSM introduceert. Dit is het systeem dat vandaag de dag wordt gebruikt — en dat ervoor heeft gezorgd dat IPv4 veel langer overleefde dan verwacht.
Een interessant historisch detail: in de beginjaren hoefden maskers geen aaneengesloten bits te hebben. Een masker als 255.255.192.128 was volkomen geldig. Deze praktijk werd begin jaren 90 verlaten omdat het efficiënte longest prefix match-routering rekenkundig onpraktisch maakte.
Subnetmaskers in IPv6
In IPv6 bestaat er geen decimale maskernotatie. Er wordt uitsluitend de prefixnotatie gebruikt, equivalent aan CIDR:
2001:0db8:85a3::1/64
Het meest gangbare prefix is /64 voor lokale netwerken (2^64 = 18,4 triljoen adressen per subnet — ruim voldoende voor elk scenario). ISP’s ontvangen /32– of /48-blokken van de regionale registers (RIPE, ARIN, LACNIC, enz.).
In de praktijk is subnetplanning in IPv6 eenvoudiger dan in IPv4: de overvloed aan adressen maakt het fijnmazige subnetting overbodig dat beheersing van VLSM in IPv4 onmisbaar maakt.
Subnetmasker controleren: snelle commando’s
Linux (het masker verschijnt in CIDR-notatie):
ip addr show
# Voorbeelduitvoer: inet 10.10.5.45/24 brd 10.10.5.255 scope global eth0
Windows:
ipconfig
# Zoek naar: Subnetmasker . . . . . . . . . . . : 255.255.255.0
macOS:
ifconfig en0
# Zoek naar: netmask 0xffffff00 (hexadecimale waarde van 255.255.255.0)
Op een Cisco-switch of -router:
show ip interface brief
show running-config interface Vlan10
Veelgemaakte configuratiefouten
Dit zijn de meest voorkomende problemen die bij netwerkaudits worden aangetroffen — ze kennen helpt om ze te voorkomen:
Inconsistente maskers in hetzelfde VLAN. Als de ene server een /24 heeft en de andere een /25 in hetzelfde fysieke netwerk, is een deel van het bereik voor één van beide onbereikbaar. Dit is een klassieke bron van “het werkt soms”-problemen die notoir lastig te diagnosticeren zijn.
Overlappende subnetten. Bij het handmatig toewijzen van blokken met VLSM zonder duidelijk plan kunnen twee subnetten gemakkelijk overlappen. Het gevolg: pakketten die op de verkeerde bestemming aankomen of ambigue routes.
/24 als standaard gebruiken wanneer het niet nodig is. Een WAN-verbinding tussen twee routers heeft geen 254 adressen nodig. Een /30 of /31 is de juiste keuze; het gebruik van /24 verspilt 252 IP’s per verbinding.
Vergeten om 2 af te trekken bij de hostberekening. Het netwerkadres (alle hostbits op 0) en het broadcastadres (alle op 1) zijn niet toewijsbaar. Een /24 biedt 254 hosts, niet 256. Een /30 biedt er 2, niet 4.
Vergeten om gateway en DNS bij te werken. Bij een maskerwijziging moeten de standaardgateway en firewallregels het nieuwe schema weerspiegelen. Een masker wijzigen zonder de gateway te controleren is een gegarandeerde storing.
Subnetmaskers in de context van private cloud
In private cloud– en bare metal-omgevingen is het subnetontwerp een van de eerste architectuurbeslissingen. De keuze van maskers heeft direct invloed op de schaalbaarheid, de verkeersisolatie en de operationele complexiteit.
Een typisch datacenterontwerp maakt gebruik van afzonderlijke VLAN’s met maskers die zijn afgestemd op elke functie:
| VLAN | Functie | Typisch masker | Waarom |
|---|---|---|---|
| VLAN 10 | Productie | /24 of /23 | Voldoende ruimte voor servers en groei |
| VLAN 20 | Beheer/IPMI | /27 of /28 | Weinig apparaten, kritieke isolatie |
| VLAN 30 | Opslag (iSCSI/NFS) | /24 | Dedicated verkeer, jumbo-MTU, geen gateway |
| VLAN 40 | Back-up | /24 | Gescheiden van productieverkeer |
| VLAN 50 | DMZ | /28 of /27 | Alleen blootgestelde diensten, strikte firewall |
| VLAN 100 | Routerverbindingen | /31 per verbinding | Maximale IP-benutting |
Dit type ontwerp, gecombineerd met inter-VLAN-firewallregels en zorgvuldige documentatie van het adresseringsplan, is wat een professionele infrastructuur onderscheidt van een geïmproviseerde uitrol.
Bij Stackscale is het netwerkbeheer zo ontworpen dat elke klant beschikt over correct gedimensioneerde en geïsoleerde segmenten, met redundantie op netwerkniveau en connectiviteit naar meerdere carriers. Als u een deployment plant dat een op maat gemaakt netwerkontwerp vereist, kan ons team u helpen bij het dimensioneren van de subnetten, VLAN’s en segmentatieregels die het beste bij uw situatie passen.