Subnet Mask là gì? Toàn tập cách chia Subnet và bảng tra cứu

Bạn đang quản lý một hệ thống mạng chập chờn vì xung đột IP hay lãng phí tài nguyên một cách vô lý? Sự cạn kiệt của địa chỉ IPv4 đang buộc các kỹ sư mạng phải tính toán chi li từng địa chỉ một, nhưng nhiều người vẫn mơ hồ giữa Network ID và Host ID.

Nếu không hiểu rõ và cấu hình sai subnet mask, điều đó dẫn đến bạn đang tự tay tạo ra những cơn “bão quảng bá” (Broadcast storm) làm tê liệt toàn bộ đường truyền, chưa kể đến việc mở toang cửa cho các lỗ hổng bảo mật nghiêm trọng. Đừng để sự thiếu hiểu biết của mình về kiến thức nền tảng này phá hủy hạ tầng mạng của doanh nghiệp bạn.

 

Bài viết này chính là tài liệu tham chiếu kỹ thuật (Technical Reference) đầy đủ và chi tiết nhất về mặt nạ mạng. Từ nguyên lý nhị phân, đại số Boole cho đến kỹ thuật chia mạng con (Subnetting) thực chiến, Thiết bị mạng việt nam sẽ cùng bạn mổ xẻ vấn đề này.

Những điểm chính

• Định nghĩa chuẩn xác: Hiểu rõ bản chất 32-bit của mask trong chồng giao thức TCP/IP.
• Cơ chế hoạt động: Ứng dụng phép toán AND và đại số Boole để định tuyến.
• Kỹ thuật hiện đại: Làm chủ CIDR và VLSM thay vì các lớp mạng cổ điển.
• Thực hành: Quy trình 5 bước chia Subnet không thể sai sót.
• Tra cứu nhanh: Bảng tính toán sẵn cho mọi trường hợp.

Bản chất cốt lõi: Subnet Mask là gì trong hạ tầng mạng?

Subnet Mask là chuỗi 32-bit đi kèm địa chỉ IP, hoạt động như một bộ lọc để phân tách Network ID (địa chỉ mạng) và Host ID (địa chỉ máy trạm), giúp Router định tuyến gói tin chính xác.

Định nghĩa kỹ thuật

Trong chồng giao thức TCP/IP, một địa chỉ IP đơn thuần không có ý nghĩa định tuyến nếu thiếu đi thành phần đi kèm này. Theo định nghĩa của tổ chức IETF (Internet Engineering Task Force), subnet mask hoạt động như một “bộ lọc”. Nó che (mask) đi phần Host ID để lộ ra Network ID, giúp các thiết bị định tuyến (Router) biết chính xác gói tin cần được chuyển đến phân đoạn mạng nào.

Hãy tưởng tượng IP Address là địa chỉ nhà cụ thể, còn mask chính là mã bưu chính (Zip Code) định danh khu vực. Nếu không có mã vùng, bưu điện (Router) sẽ không biết phải phân loại thư từ (gói tin) đi đâu. Bạn có thấy sự tương đồng này thú vị không?

Tại sao Subnet Mask là thành phần bắt buộc?

Không chỉ đơn thuần là phân chia địa chỉ, nó đóng vai trò sống còn trong kiến trúc mạng hiện đại. Tại sao lại như vậy?

1. Kiểm soát Broadcast Domain (Vùng quảng bá): Đây là yếu tố quan trọng nhất. Nếu không chia subnet, một gói tin quảng bá (broadcast packet) sẽ được gửi đến tất cả thiết bị trong mạng lớn (ví dụ Class A có hơn 16 triệu host). Điều này gây tắc nghẽn đường truyền khủng khiếp. Chia nhỏ subnet giúp giới hạn phạm vi này lại, tối ưu hiệu suất (Performance).
2. Bảo mật (Security): Bằng cách chia tách các phòng ban (Kế toán, Nhân sự, IT) vào các subnet khác nhau, bạn có thể áp dụng các chính sách tường lửa (Firewall policies) hoặc ACL (Access Control List) để cô lập rủi ro. Bạn đâu muốn nhân viên Sales truy cập vào máy chủ lương của Kế toán, đúng không?
3. Quản lý địa chỉ (Address Management): Trong bối cảnh IPv4 đã cạn kiệt, việc dùng một dải /8 hoặc /16 cho một văn phòng 50 người là sự lãng phí tài nguyên không thể chấp nhận. Subnetting giúp tận dụng tối đa không gian địa chỉ.

Để hệ thống mạng vận hành trơn tru, việc nắm vững cấu trúc của subnet mask là điều kiện tiên quyết đối với bất kỳ kỹ sư hệ thống nào.

Cấu trúc giải phẫu và Cơ chế hoạt động của Subnet Mask

Cơ chế hoạt động của mask dựa trên nền tảng toán học nhị phân và đại số Boole, cụ thể là phép tính “Bitwise AND” để xác định Network ID từ một địa chỉ IP bất kỳ.

Cấu trúc Octet và Hệ nhị phân 

Một địa chỉ subnet mask tiêu chuẩn IPv4 có độ dài 32 bit, được chia làm 4 phần gọi là Octet (mỗi Octet 8 bit). Các bit này chỉ có thể là 0 hoặc 1. Quy tắc bất di bất dịch: Các bit 1 luôn nằm liên tiếp nhau từ trái sang phải (đại diện cho Network), theo sau là các bit 0 (đại diện cho Host).

Ví dụ: Mask phổ biến 255.255.255.0 khi chuyển sang nhị phân sẽ là: 11111111.11111111.11111111.00000000

Dưới đây là bảng quy đổi nhanh các giá trị bát phân thường gặp mà bạn cần thuộc lòng:

Decimal (Thập phân)	Binary (Nhị phân)	CIDR (Prefix)
128	10000000	/25
192	11000000	/26
224	11100000	/27
240	11110000	/28
248	11111000	/29
252	11111100	/30
254	11111110	/31
255	11111111	/32

Phép toán AND (Bitwise AND) – Trái tim của định tuyến

Làm thế nào Router biết một gói tin có IP 192.168.1.55 thuộc mạng nào? Nó sử dụng Boolean Algebra (Đại số Boole) với phép tính AND logic.

Quy tắc AND rất đơn giản:

• 1 AND 1 = 1
• 1 AND 0 = 0
• 0 AND 0 = 0
• (Chỉ khi cả hai bit đều là 1 thì kết quả mới là 1, còn lại là 0).

Ví dụ minh họa thực tế: Giả sử ta có IP: 192.168.1.150 và Mask: 255.255.255.0.

1. IP (Decimal): 192.168.1.150 IP (Binary): 11000000.10101000.00000001.10010110
2. Mask (Decimal): 255.255.255.0 Mask (Binary): 11111111.11111111.11111111.00000000
3. Phép tính AND: 11000000.10101000.00000001.00000000
4. Kết quả (Network ID): 192.168.1.0

Chính nhờ phép tính cơ bản này mà hàng tỷ gói tin trên Internet được định tuyến chính xác mỗi giây. Qua đó, bạn có thấy sức mạnh của toán học trong subnet mask chưa?

Các lớp địa chỉ IP (Classes) và Subnet Mask mặc định

Hệ thống phân lớp truyền thống (Classful) chia không gian IP thành 5 lớp (A, B, C, D, E) với các mask mặc định cố định, tuy nhiên phương pháp này hiện đã lỗi thời và gây lãng phí.

Phân loại Classful (A, B, C, D, E)

Trước khi CIDR ra đời, các kỹ sư mạng phải làm việc với các lớp địa chỉ cứng nhắc. Việc nắm vững kiến thức này giúp bạn hiểu rõ lịch sử và lý do tại sao chúng ta cần thay đổi.

Lớp (Class)	Dải IP (Octet đầu)	Subnet Mask mặc định	CIDR mặc định	Số lượng Host tối đa
Class A	1 – 126	255.0.0.0	/8	16,777,214
Class B	128 – 191	255.255.0.0	/16	65,534
Class C	192 – 223	255.255.255.0	/24	254
Class D	224 – 239	N/A	N/A	Multicast (Không dùng cho host)
Class E	240 – 255	N/A	N/A	Dự phòng / Nghiên cứu

Lưu ý cho bạn: Dải 127.x.x.x được dành riêng cho Loopback (localhost) nên không thuộc Class A. Ngoài ra, cần chú ý các dải IP Private (RFC 1918) như 10.0.0.0/8, 172.16.0.0/12 và 192.168.0.0/16 thường dùng trong mạng LAN và được biên dịch qua NAT để ra Internet.

Tại sao định tuyến phân lớp (Classful Routing) đã lỗi thời?

Vấn đề nằm ở sự cứng nhắc. Nếu một công ty cần 300 địa chỉ IP:

• Class C (254 host) -> Không đủ.
• Class B (65,534 host) -> Quá thừa.

Nếu cấp Class B, công ty đó sẽ lãng phí hơn 65.000 địa chỉ IP. Sự lãng phí khủng khiếp này chính là động lực để IETF giới thiệu CIDR. Khi cấu hình subnet mask theo kiểu cũ, bạn đang tự bắn vào chân mình trong việc quy hoạch tài nguyên. Thế giới thay đổi từng ngày và cách chúng ta chia mạng cũng vậy.

CIDR và VLSM: Cuộc cách mạng thay thế Subnet Mask cổ điển

CIDR và VLSM là hai kỹ thuật định tuyến hiện đại cho phép tùy biến độ dài mask linh hoạt, phá vỡ rào cản phân lớp để tối ưu hóa triệt để không gian địa chỉ IPv4.

Ký hiệu CIDR (Classless Inter-Domain Routing)

Thiết bị mạng việt nam sẽ bàn sâu về CIDR trong bài hướng dẫn sắp tới, nhưng về cơ bản, CIDR thay thế cách viết dài dòng 255.255.255.0 bằng ký hiệu Prefix Length /24. Con số sau dấu gạch chéo biểu thị số lượng bit 1 trong subnet mask.

Ví dụ:

• 255.255.255.192 = 26 bit 1 = /26
• 255.255.255.252 = 30 bit 1 = /30

Lợi ích lớn nhất của CIDR là khả năng Route Summarization (tóm tắt tuyến đường), giúp giảm đáng kể kích thước bảng định tuyến trên các Router trục (Backbone), tăng tốc độ xử lý gói tin toàn cầu.

Kỹ thuật VLSM (Variable Length Subnet Mask)

VLSM là kỹ thuật “chia mạng con trong mạng con”. Thay vì dùng một mask duy nhất cho toàn bộ hệ thống (ví dụ toàn bộ dùng /24), bạn có thể dùng các mask có độ dài khác nhau tùy theo nhu cầu từng phòng ban. Đây là cách các chuyên gia thực thụ làm việc.

• Mạng LAN văn phòng (50 máy): Dùng /26.
• Mạng Wifi khách (100 máy): Dùng /25.
• Kết nối Point-to-Point giữa 2 Router: Dùng /30 (chỉ cần 2 IP).

Đây là đỉnh cao của nghệ thuật tối ưu hóa IP mà mọi chuyên gia Thiết bị mạng việt nam đều áp dụng. Việc sử dụng linh hoạt subnet mask giúp bạn tiết kiệm từng địa chỉ IP quý giá.

Hướng dẫn kỹ thuật chia Subnet Mask (Subnetting) chi tiết

Chia Subnet là quá trình mượn các bit từ phần Host ID để chuyển sang phần Network ID, được tính toán dựa trên công thức lũy thừa cơ số 2 để xác định số mạng con và số host.

Đây là phần quan trọng nhất. Hãy tập trung cao độ vì một sai sót nhỏ ở đây sẽ dẫn đến xung đột IP toàn hệ thống. Chúng tôi sẽ có bài viết chuyên sâu về Subnetting, nhưng dưới đây là quy trình cốt lõi.

Các công thức toán học bắt buộc phải nhớ

Để làm chủ subnet mask, bạn phải thuộc lòng 2 công thức:

1. Số lượng Subnet tạo ra: 2^n (với n là số bit mượn).
2. Số lượng Host khả dụng: 2^h – 2 (với h là số bit còn lại cho host).
   • Tại sao trừ 2? Vì địa chỉ đầu tiên là Network Address và địa chỉ cuối cùng là Broadcast Address (không thể gán cho thiết bị).

Quy trình 5 bước chia Subnet

1. Xác định nhu cầu: Đầu tiên bạn cần bao nhiêu mạng con? Hoặc mỗi mạng cần bao nhiêu IP?
2. Tính số bit cần mượn (n):Tính số bit cần mượn (n): Dựa vào công thức 2ⁿ ≥ nhu cầu.
3. Tính Subnet Mask mới: Cộng số bit mượn vào mask mặc định.
4. Xác định bước nhảy (Magic Number): Lấy 256 trừ đi giá trị thập phân của octet bị chia.
5. Lập bảng phân bổ IP: Xác định dải mạng, IP đầu, IP cuối và Broadcast.

Ví dụ thực hành

Bài toán: Công ty bạn có dải mạng 192.168.1.0/24. Bạn cần chia cho 4 phòng ban.

Giải:

1. Nhu cầu: 4 mạng con.
2. Tính bit mượn: 2ⁿ ≥ 4 ⇒ n = 2 bit.
3. Mask mới: /24 + 2 bit = /26.
   • Nhị phân: 11111111.11111111.11111111.11000000
   • Thập phân: 255.255.255.192.
4. Bước nhảy: 256 – 192 = 64.
5. Bảng phân bổ:

Subnet	Network ID	Host đầu tiên	Host cuối cùng	Broadcast ID
Subnet 1	192.168.1.0	192.168.1.1	192.168.1.62	192.168.1.63
Subnet 2	192.168.1.64	192.168.1.65	192.168.1.126	192.168.1.127
Subnet 3	192.168.1.128	192.168.1.129	192.168.1.190	192.168.1.191
Subnet 4	192.168.1.192	192.168.1.193	192.168.1.254	192.168.1.255

Bạn đã thấy sự tuyệt vời chưa! Chỉ với vài bước tính toán, bạn đã có thể chia tách hoàn toàn 4 phòng ban, đảm bảo không có gói tin quảng bá nào từ phòng này “đi lạc” sang phòng kia. Bạn thấy đấy, tính toán subnet mask không hề khó như bạn nghĩ, phải không?

Bảng tra cứu nhanh Subnet Mask

Bảng tra cứu dưới đây cung cấp thông số chi tiết từ /1 đến /32, bao gồm giá trị Decimal, số lượng Host khả dụng và số lượng Subnet tương ứng để kỹ sư tham khảo nhanh.

Thay vì ngồi tính toán mỗi lần cấu hình, bạn hãy Bookmark lại bảng này. Đây là “bảo bối” của mọi dân kỹ thuật.

CIDR (/x)	Subnet Mask (Decimal)	Số lượng Host khả dụng	Số lượng IP tổng
/8	255.0.0.0	16,777,214	16,777,216
…	…	…	…
/16	255.255.0.0	65,534	65,536
…	…	…	…
/24	255.255.255.0	254	256
/25	255.255.255.128	126	128
/26	255.255.255.192	62	64
/27	255.255.255.224	30	32
/28	255.255.255.240	14	16
/29	255.255.255.248	6	8
/30	255.255.255.252	2	4
/31	255.255.255.254	2 (Point-to-Point links)	2
/32	255.255.255.255	1 (Host Route)	1

Lưu ý cho bạn: Việc sử dụng subnet mask /31 thường được hỗ trợ trên các thiết bị Cisco/Juniper đời mới (theo RFC 3021) cho các liên kết đấu nối trực tiếp để tiết kiệm IP tối đa.

Kinh nghiệm thực chiến: Xử lý sự cố VPN do trùng Subnet Mask

Đây là một tình huống thực tế mà rất nhiều doanh nghiệp gặp phải khi thiết lập VPN Site-to-Site, dẫn đến việc kết nối thông suốt nhưng không thể truy cập dữ liệu.

Thách thức: “VPN đã Up nhưng không Ping được Server”

Vào một ngày đẹp trời, NETTEK nhận được cuộc gọi cầu cứu từ một khách hàng. Họ vừa thiết lập đường hầm VPN (IPsec VPN) giữa trụ sở chính tại Hà Nội và chi nhánh ở TP.HCM.

• Trạng thái: Trên Firewall báo “Phase 2 UP” (kết nối thành công).
• Vấn đề: Nhân viên tại HCM không thể ping thấy máy chủ File Server tại Hà Nội.

Sau khi remote vào kiểm tra, tôi phát hiện ra một lỗi sơ đẳng nhưng cực kỳ nghiêm trọng liên quan đến subnet mask.

• Trụ sở Hà Nội: Đang dùng dải mạng 192.168.1.0/24.
• Chi nhánh HCM: Do thói quen, nhân viên IT tại đây cũng đặt dải mạng LAN là 192.168.1.0/24.

Nguyên nhân: Xung đột Subnet (Overlapping Subnets)

Khi nhân viên ở HCM (IP: 192.168.1.10) gửi lệnh ping đến Server Hà Nội (IP: 192.168.1.100), Router tại HCM sẽ kiểm tra bảng định tuyến. Vì mạng đích 192.168.1.0/24 trùng khớp với mạng LAN nội bộ (Directly Connected), Router sẽ nghĩ rằng: “À, máy chủ này nằm ngay trong phòng bên cạnh”. Thế là nó giữ gói tin lại mạng LAN thay vì đẩy qua đường hầm VPN. Đây là lỗi “Routing Confusion” điển hình.

Giải pháp và Kết quả

Giải pháp duy nhất và triệt để là quy hoạch lại subnet mask và địa chỉ IP.

1. Tôi yêu cầu chi nhánh HCM đổi toàn bộ mạng LAN sang dải 192.168.2.0/24.
2. Cập nhật lại cấu hình Phase 2 trên cả 2 Firewall.
3. Kết quả: Ngay lập tức, gói tin được định tuyến chính xác qua VPN Tunnel. Hệ thống hoạt động trơn tru.

Bài học xương máu: Đừng bao giờ dùng các dải mạng mặc định phổ biến (như 192.168.1.x hay 192.168.0.x) cho môi trường doanh nghiệp có nhiều chi nhánh. Hãy quy hoạch mỗi site một dải riêng biệt ngay từ đầu!

Kinh nghiệm triển khai Subnet Mask thực tế cho doanh nghiệp

Trong môi trường doanh nghiệp, việc quy hoạch mask phải gắn liền với thiết kế VLAN trên Layer 3 Switch và tối ưu hóa kết nối WAN để đảm bảo hiệu năng và bảo mật.

Quy hoạch IP cho mô hình mạng nhiều lớp (VLAN)

Một sai lầm phổ biến của người mới là đặt mask không khớp với VLAN.

• Best Practice: Mỗi VLAN nên tương ứng với một Subnet riêng biệt.
• Mẹo vàng: Hãy đặt Octet thứ 3 trùng với VLAN ID.
  • Ví dụ: VLAN 10 (Kế toán) -> Dùng 192.168.**10**.0/24.
  • VLAN 20 (Sales) -> Dùng 192.168.**20**.0/24.

Việc này giúp việc quản trị và troubleshooting dễ dàng hơn gấp 10 lần. Khi nhìn thấy IP 192.168.20.55, bạn biết ngay nó thuộc phòng Sales mà không cần tra cứu tài liệu. Thật tiện lợi phải không?

• Default Gateway: Luôn quy ước dùng IP đầu tiên (.1) hoặc cuối cùng (.254) của dải mạng làm Gateway trên Layer 3 Switch hoặc Router. Đừng đặt lung tung kiểu .10 hay .100 gây khó khăn cho người quản trị sau này.

Tối ưu hóa cho kết nối WAN và VPN

Đối với các kết nối Site-to-Site VPN hoặc đường truyền WAN nối giữa các chi nhánh:

• Tuyệt đối không dùng các dải mạng quá lớn như /24 cho kết nối Point-to-Point. Hãy dùng /30 (4 IP, 2 khả dụng) hoặc /31 (nếu thiết bị hỗ trợ).
• Tránh xung đột dải mạng: Như dự án thực tế ở trên đã chứng minh, việc quy hoạch subnet mask cẩn thận sẽ cứu bạn khỏi những giờ phút “debug” căng thẳng.

Các công cụ tính toán Subnet Mask mà thiết bị mạng việt nam hay sử dụng

Để đảm bảo độ chính xác tuyệt đối và tiết kiệm thời gian, kỹ sư mạng nên sử dụng các công cụ IP Calculator chuyên dụng hoặc lệnh CLI thay vì tính nhẩm thủ công.

Con người chúng ta có thể sai sót, nhưng máy tính thì không. Trong các dự án lớn, thiết bị mạng việt nam luôn khuyên các bạn sử dụng tool:

1. Online Tools: Các trang web như SolarWinds Subnet Calculator hoặc Visual Subnet Calculator cực kỳ hữu ích để hình dung dải mạng.
2. Command Line (CLI):
   • Trên Windows: Gõ ipconfig /all để xem IP và Mask hiện tại.
   • Trên Linux/MacOS: Gõ ifconfig hoặc ip addr show.
   • Trên Cisco IOS: Gõ show ip interface brief hoặc show run interface [tên cổng].

Đừng ngần ngại sử dụng công cụ. Một kỹ sư giỏi là người biết tận dụng công cụ để làm việc hiệu quả, chứ không phải là người ngồi tính nhẩm từng bit nhị phân của subnet mask mỗi ngày.

Câu hỏi thường gặp về Subnet Mask (FAQ)

Phần này giải đáp nhanh các thắc mắc về Wildcard Mask, Loopback Interface (/32) và kỹ thuật Supernetting thường gặp trong quá trình cấu hình và vận hành mạng.

Wildcard Mask là gì? Khác gì với Subnet Mask?

Wildcard Mask là “đảo ngược” của subnet mask. Trong khi Subnet dùng bit 1 để đại diện cho phần mạng, Wildcard dùng bit 0. Nó thường được dùng trong cấu hình ACL (Access Control List) hoặc giao thức định tuyến OSPF trên thiết bị Cisco.

• Subnet: 255.255.255.0
• Wildcard: 0.0.0.255

Tại sao Subnet Mask 255.255.255.255 (/32) lại tồn tại?

Mask /32 (Host Route) dùng để chỉ đích danh một địa chỉ IP duy nhất. Nó thường được dùng cho các Loopback Interface trên Router (để quản lý thiết bị ổn định) hoặc khi gán IP tĩnh cho một thiết bị cụ thể trong Firewall.

Làm sao để gộp các Subnet lại?

Đây là kỹ thuật Supernetting (hay Route Summarization). Ví dụ gộp 4 dải /24 thành một dải /22. Điều này giúp bảng định tuyến gọn nhẹ hơn. Tuy nhiên, các dải mạng con phải nằm liên tiếp nhau và có cùng luỹ thừa của 2.

Kết luận

Trong kỷ nguyên của Cloud Computing và SDN (Software Defined Networking), nhiều người lầm tưởng kiến thức về TCP/IP nền tảng không còn quan trọng. Đó là một sai lầm chết người. Dù công nghệ có thay đổi thế nào, các gói tin vẫn phải di chuyển dựa trên địa chỉ IP và subnet mask.

Nắm vững cách chia mạng con không chỉ giúp bạn thiết kế hệ thống mạng tối ưu, bảo mật mà còn là bước đệm vững chắc để tiến tới các chứng chỉ cao cấp như CCNA, CCNP hay CCIE. Đừng để những con số 0 và 1 làm khó bạn.

Nếu bạn đang cần tư vấn giải pháp hạ tầng mạng chuyên sâu hoặc tìm kiếm các thiết bị Router/Switch chính hãng hỗ trợ định tuyến nâng cao, hãy liên hệ ngay với Thiết bị mạng việt nam qua số 0979.300.098. Chúng tôi luôn sẵn sàng đồng hành cùng bạn.