Если выделяем другую сеть, мы теряем возможность привязки к пользователю его личной, неизменной, сети в одну строчку с более короткой маской /28, где половинки /29 характеризуют его как безденежного и денежного. На одном L3 интерфейсе находится множество пользователей и применение способа комментарием выше позволяет определить сразу всех разрешённых или запрещённых пользователей, сохраняя при этом свойство описанное в первом предложении.
Но вообще конечно вы правы, насчёт прямоты архитектуры, вот только чтобы мигрировать плавно и безболезненно иногда приходится придумывать странные решения.

Очень много поправили и сделали лучше в IPv6, там более последовательное определение, на ошибках учатся. Такая непоследовательность ведь во многих отраслях присутствует…
… про обратную маску для IPv6, пока ничего не знаю — не приходилось.

Инверсная маска это всего лишь способ записи реализованный в реальных и конкретных устройствах, с помощью которого были составлены примеры. Про другой способ очень хочется узнать, возможно мой действительно громоздкий и мозголомный.

Например, реальный используемый сценарий: абоненту выделяется сеть на 8 адресов (чтобы он мог использовать дома не роутер, а простой коммутатор и подключать несколько устройств, соответственно). Если баланс в плюсе, то выделяется сеть с 1 по 7, если не в плюсе то 9 до 15. То есть подсети с 3 битом равным 1, должны иметь доступ только к сайту статистике, и возможно каким-то внутренним ресурсам.
Сеть 192.168.0.0/16 бьём на 2-е части следующим образом: 192.168.0.8/0.0.255.247 — 11110111 в последнем октете.

Описанные маски точно работают на маршрутизаторах и L3 коммутаторах Cisco и Brocade(Foundry), конкретно про soft-router не могу сказать потому что ни разу не работал с ними в продакшн.