מסכות רשת — הסבר מפורט

כל מנה שהמכשיר שלך שולח שואלת את אותה שאלה: האם אני יכול לתקשר איתם ישירות, או שאני צריך לעבור דרך נתב?

מסכת הרשת מספקת את התשובה תוך מיקרושניות.

ההחלטה שנעשית בשבריר שנייה

מסכת רשת היא מספר בן 32 סיביות המחלק כל כתובת IPv4 לשני חלקים:

• חלק הרשת: לאיזו רשת שייך המכשיר הזה?
• חלק המארח: איזה מכשיר ספציפי הוא ברשת הזו?

המחשב שלך מחיל את המסכה הזו על כל מנה יוצאת. אותה רשת? שלח ישירות. רשת שונה? העבר לנתב. החלטה זו מתרחשת אלפי פעמים בשנייה, וחייבת להיות מיידית.

כיצד המסכה פועלת

בבינארי, מסכת רשת מורכבת מרצף של 1-ים ולאחריהם רצף של 0-ים. ה-1-ים מסמנים את חלק הרשת, ה-0-ים מסמנים את חלק המארח.

מסכת הרשת הנפוצה ביותר, 255.255.255.0, נראית כך:

עשרוני:  255       255       255       0
בינארי:  11111111  11111111  11111111  00000000
         |--- רשת (24 סיביות) ---| |- מארח -|

24 הסיביות הראשונות מזהות את הרשת, ו-8 האחרונות מזהות מארחים בודדים.

פעולת AND הסיבית

כאשר המכשיר שלך משווה שתי כתובות IP, הוא מבצע AND סיבי — משווה כל מיקום סיבית:

כתובת ה-IP שלך:    192.168.1.100
מסכת רשת:         255.255.255.0
יעד א':            192.168.1.50
יעד ב':            192.168.2.50

הפעולה על האוקטט השלישי, שם זה משנה:

IP שלך (אוקטט שלישי):  00000001  (1)
מסכת רשת:              11111111  (255)
תוצאה:                 00000001  → רשת 192.168.1.x

יעד א' (אוקטט שלישי):  00000001  (1)
תוצאה:                 00000001  → רשת 192.168.1.x  ✓ זהה

יעד ב' (אוקטט שלישי):  00000010  (2)
תוצאה:                 00000010  → רשת 192.168.2.x  ✗ שונה

לאחר החלת המסכה:

הרשת שלך:   192.168.1.0
יעד א':     192.168.1.0   → שלח ישירות
יעד ב':     192.168.2.0   → נתב דרך שער ברירת מחדל

פעולת ה-AND מסתירה את סיביות המארח ומגלה רק את חלק הרשת. אותה תוצאה? מקומי. תוצאה שונה? מרוחק.

מסכות רשת נפוצות

מסכות שונות יוצרות רשתות בגדלים שונים:

יותר סיביות רשת פירושן יותר רשתות אפשריות, אבל פחות מארחים לכל רשת. יותר סיביות מארח — ההיפך.

מדוע מארחים שמישים ≠ סך הכתובות

לרשת /24 יש 8 סיביות מארח, המעניקות 256 כתובות סה"כ (2^8). אבל רק 254 שמישות. שתי כתובות בכל תת-רשת שמורות:

• כתובת הרשת: כל סיביות המארח שוות 0 (למשל, 192.168.1.0) — מזהה את תת-הרשת עצמה
• כתובת השידור: כל סיביות המארח שוות 1 (למשל, 192.168.1.255) — שולחת לכל המכשירים בתת-הרשת

סך הכתובות פחות שתיים. תמיד.

סימון CIDR

כתיבת 255.255.255.0 שוב ושוב היא מייגעת. סימון CIDR פשוט סופר את ה-1-ים:

255.255.255.0 = 11111111.11111111.11111111.00000000
                |------ 24 אחדות סה"כ ------|         → /24

כך 192.168.1.100 עם מסכת רשת 255.255.255.0 הופכת ל-192.168.1.100/24.

המספר אחרי הלוכסן מציין כמה סיביות מוקדשות לחלק הרשת. סימון זה נמצא בכל מקום — תצורות נתב, תשתיות ענן, תרשימי רשת.

חישוב מ-CIDR

נוסחה מהירה: 2^(32 - CIDR) = סך כתובות

/24: 2^(32-24) = 2^8  = 256 כתובות (254 שמישות)
/27: 2^(32-27) = 2^5  = 32 כתובות  (30 שמישות)
/30: 2^(32-30) = 2^2  = 4 כתובות   (2 שמישות)

דוגמאות מהעולם האמיתי

רשת ביתית

נתב:          192.168.1.1/24
רשת:          192.168.1.0/24
טווח שמיש:   192.168.1.1 - 192.168.1.254

254 מכשירים אפשריים. מספיק לסמארטפונים, מחשבים ניידים, טלוויזיות, וכל מכשיר IoT שתחבר אי פעם.

משרד קטן

כתובת IP:     10.0.10.65/27
רשת:          10.0.10.64/27
טווח שמיש:   10.0.10.65 - 10.0.10.94

30 כתובות לצוות קטן. גודל מדויק, ללא בזבוז.

קישור בין נתבים

נתב א':       10.0.0.1/30
נתב ב':       10.0.0.2/30
רשת:          10.0.0.0/30
סה"כ:         4 כתובות (2 שמישות + רשת + שידור)

תת-הרשת הקטנה ביותר שמעשית. שני נתבים שמתקשרים זה עם זה צריכים בדיוק שתי כתובות — לשיחה יש שני משתתפים.

מדוע זה חשוב

החלטות ניתוב מיידיות. ללא מסכות רשת, מכשירים היו שואלים נתב לגבי כל יעד. העומס היה משתק. מסכות רשת הופכות את ההחלטה למקומית, מיידית ואוטומטית.

פילוח רשת. 10.0.1.0/24 למכירות, 10.0.2.0/24 להנדסה, 10.0.3.0/24 לרשת Wi-Fi לאורחים. לכל תת-רשת יכולות להיות מדיניות אבטחה שונות, הגבלות רוחב פס ובקרות גישה.

גבולות אבטחה. "רשת האורחים אינה יכולה לגשת לרשת ההנדסה" — זהו חוק חומת אש אחד בלבד כשמשתמשים בתת-רשתות. בלעדיהן, היית צריך חוק לכל כתובת IP.

צמצום רעש שידור. הודעות שידור מגיעות רק למכשירים באותה תת-רשת. רשת /16 אחת עם 1,000 מכשירים רואה כל שידור מכל 1,000. עשר רשתות /24 עם 100 מכשירים כל אחת? כל רשת רואה רק 100.

מלכודות נפוצות

תת-רשתות חופפות:

❌ תת-רשת א': 10.0.0.0/24   (10.0.0.0   - 10.0.0.255)
   תת-רשת ב': 10.0.0.128/25 (10.0.0.128 - 10.0.0.255)  ← חפיפה

✅ תת-רשת א': 10.0.0.0/25   (10.0.0.0   - 10.0.0.127)
   תת-רשת ב': 10.0.0.128/25 (10.0.0.128 - 10.0.0.255)

שכחת כתובות שמורות: תמיד הפחת 2 מהסך. /30 נותנת 4 כתובות, אבל רק 2 מארחים שמישים.

מסכות לא מתאימות: כל מכשיר באותה רשת פיזית חייב להשתמש באותה מסכת רשת. הנתב מוגדר עם /24 והמחשב הנייד עם /16? הניתוב נשבר בדרכים מוזרות וקשות לאיתור תקלות.

מסכות רשת כיום

השאלה הבסיסית לא השתנתה מאז יצירת IPv4: "האם היעד הזה מקומי או מרוחק?"

• IPv6 משתמשת במושגים דומים עם תת-רשתות /64 סטנדרטיות
• רשתות מוגדרות-תוכנה (SDN) מאפשרות התאמה דינמית של תת-רשתות
• תשתית ענן עושה שימוש נרחב בתת-רשתות לבידוד מכונות וירטואליות וקבוצות אבטחה

בין שאתה מאתר תקלה ברשת ביתית ובין שאתה מתכנן תשתית ענן, מסכות רשת נשארות יסודיות. השאלה שהן עונות עליה — "האם אני יכול להגיע לזה ישירות?" — חיונית לא פחות בשנת 2025 כפי שהייתה בשנת 1985.

הטכנולוגיה משתנה. השאלה לא.

שאלות נפוצות על מסכות רשת

מה קורה אם שני מכשירים באותה רשת משתמשים במסכות רשת שונות?

הניתוב נשבר בצורה בלתי צפויה. מכשיר אחד עשוי לחשוב שיעד מסוים מקומי, בעוד השני חושב שהוא מרוחק. מנות נשלחות למקום הלא נכון — חיבורים מסוימים עובדים, אחרים נכשלים בצורה מסתורית. תמיד וודא שכל מכשיר באותה רשת פיזית משתמש במסכת רשת זהה.

איך אדע איזו מסכת רשת להשתמש?

ספור את המכשירים שלך, הוסף מרחב לצמיחה, ואז בחר את תת-הרשת הקטנה ביותר שמתאימה. צריך 50 מכשירים? /26 נותנת 62 כתובות שמישות. צריך 200? /24 נותנת 254. גדול מדי — מבזבז כתובות; קטן מדי — מחייב מספור מחדש כואב בהמשך.

האם אפשר לשנות מסכת רשת כשהרשת פעילה?

כן, אבל השינוי משפיע על כל מכשיר. יהיה עליך לעדכן את המסכה בכל המכשירים, ייתכן שתצטרך להקצות מחדש כתובות IP, ולהתאים חוקי חומת אש ותצורות ניתוב. תכנן בקפידה — זהו שינוי מפריע.

מה ההבדל בין מסכת רשת לשער ברירת מחדל?

מסכת הרשת קובעת אם יעד הוא מקומי או מרוחק. שער ברירת המחדל הוא לאן מנות הולכות כאשר היעד מרוחק. המסכה עונה על "מקומי או לא?" השער עונה על "אם לא מקומי — שלח לכאן."

מקורות

• TCP/IP addressing and subnetting | Microsoft Learn