Subnet (sub-rede) e uma divisao logica de uma rede IP maior em segmentos menores. Cada subnet tem seu proprio range de enderecos e dominio de broadcast, definidos pela mascara de rede conforme RFC 950.

O que e mascara de sub-rede?

A mascara de sub-rede e um numero de 32 bits que, aplicado em AND logico com o IP, revela a parte de rede do endereco. A mascara 255.255.255.0 (equivalente a /24 em CIDR) indica que os primeiros 24 bits sao de rede e os 8 ultimos sao de host.

Qual a diferenca entre subnet e VLAN?

Subnet e uma divisao logica de enderecamento IP (camada 3). VLAN e uma segmentacao logica de rede local (camada 2). Em redes modernas, uma VLAN geralmente tem exatamente uma subnet associada, mas o conceito de cada um pertence a camadas diferentes do modelo OSI.

VLSM (Variable Length Subnet Masking) e a tecnica de usar mascaras de comprimento variavel dentro do mesmo espaco de enderecamento. Permite criar subnets de tamanhos diferentes conforme a necessidade real de cada segmento, evitando desperdicio de IPs.

Como calcular o numero de hosts em uma subnet?

A formula e 2^(32-N) - 2, onde N e o prefixo CIDR. Para /24: 2^8 - 2 = 254 hosts. Para /26: 2^6 - 2 = 62 hosts. O -2 desconta o endereco de rede (primeiro) e o broadcast (ultimo), que nao sao atribuiveis a hosts.

O que e subnet

O que e subnet: sub-rede IP, mascara de rede, VLSM, RFC 950, isolamento de dominios de broadcast e exemplos praticos de divisao de rede corporativa.

Subnet (sub-rede) é a divisão de um bloco de endereços IP maior em segmentos menores, cada um com seu próprio intervalo de endereços e fronteira de broadcast isolada. A RFC 950 (1985) formalizou o mecanismo: em vez de uma empresa com um endereço Classe B usar os 65.534 hosts em um único segmento de rede, ela passa a dividir esse espaço em dezenas de sub-redes menores, cada uma isolada das outras. Essa divisão é o que torna possível ter laboratórios, escritórios e servidores na mesma organização sem que um broadcast de ARP de uma filial alcance todos os computadores de todas as outras. Use a Calculadora CIDR para planejar qualquer divisão de sub-rede sem erro de cálculo.

Neste artigo

Definição formal: RFC 950 e máscara de sub-rede
Por que dividir em sub-redes
Como sub-redes funcionam na prática
A operação AND e o cálculo da rede
VLSM: tamanhos variáveis por necessidade
Sub-redes em IPv6
VLAN vs subnet
Erros comuns de planejamento
Subnets no contexto brasileiro
Perguntas frequentes

Definição formal: RFC 950 e máscara de sub-rede

A RFC 950 (J. Mogul e J. Postel, agosto de 1985, "Internet Standard Subnetting Procedure") foi o primeiro documento a padronizar o conceito de subnetting para IPv4. Ela define que qualquer parte dos bits de host de um endereço classful pode ser "emprestada" para criar bits de sub-rede adicionais, aumentando o número de segmentos sem precisar de um novo bloco de endereços.

A máscara de sub-rede é um número de 32 bits onde os bits de rede (e sub-rede) valem 1 e os bits de host valem 0. A operação AND lógico entre o endereço IP do host e a máscara revela o endereço de rede. Exemplo: 192.168.5.45 AND 255.255.255.0 = 192.168.5.0. Esse resultado identifica a qual sub-rede o endereço pertence.

O CIDR, definido posteriormente pela RFC 4632, generalizou esse conceito eliminando a noção de classes e tornando a máscara completamente variável. Hoje "subnet mask" e "prefixo CIDR" são expressões equivalentes: 255.255.255.0 é igual a /24, 255.255.255.192 é igual a /26.

Por que dividir em sub-redes

Antes do subnetting, uma organização com um endereço Classe B (por exemplo, 172.16.0.0) tinha um único domínio de broadcast com até 65.534 hosts. Broadcasts de ARP chegavam a todos os dispositivos da rede inteira. Em links de longa distância, isso congestionava links lentos. Um único storm de ARP podia derrubar a comunicação entre escritórios.

A RFC 950 resolveu isso permitindo dividir o espaço Classe B em centenas de redes menores com máscaras estendidas. Uma empresa com dez escritórios em cidades diferentes poderia alocar um /24 para cada, mantendo broadcasts locais dentro de cada segmento. O roteador entre as sub-redes filtra os broadcasts e só passa o tráfego endereçado a outro segmento.

Três razões concretas para subnetting hoje:

Isolamento de broadcasts. Cada sub-rede tem seu próprio domínio de broadcast. Nenhum ARP, DHCP Discover ou pacote de broadcast de um segmento chega aos outros. Isso aumenta o desempenho e reduz o tráfego desnecessário.
Segurança por segmentação. Firewalls e ACLs aplicados no roteador entre sub-redes controlam quem pode falar com quem. Servidores num /26 separado ficam inacessíveis para a rede Wi-Fi de visitantes em outro /26, mesmo dentro do mesmo prédio.
Eficiência de endereçamento. Com VLSM, cada segmento recebe exatamente o tamanho que precisa. Um link ponto a ponto entre dois roteadores usa /30 (2 hosts usáveis), não um /24 inteiro desperdiçando 252 endereços.

Como sub-redes funcionam na prática

Quando um host em 192.168.1.10/24 tenta se comunicar com 192.168.2.10/24, o sistema operacional aplica a máscara /24 aos dois endereços e compara o resultado. O AND de 192.168.1.10 com /24 resulta em 192.168.1.0. O AND de 192.168.2.10 com /24 resulta em 192.168.2.0. São diferentes: o destino está em outra sub-rede. O pacote vai para o gateway padrão (roteador), que consulta a tabela de roteamento e decide o próximo salto.

Dentro de uma mesma sub-rede, hosts se comunicam diretamente via ARP, sem passar pelo roteador. Isso é o "domínio de broadcast": qualquer frame de broadcast é recebido por todos os hosts do segmento. Uma sub-rede menor reduz esse domínio, o que diminui colisões de broadcast e a superfície de ataque de protocolos que usam broadcast para descoberta (SAMBA/NetBIOS, mDNS, DHCP).

O tráfego entre sub-redes sempre passa por um roteador (ou por uma interface de roteamento em switch L3). Isso cria um ponto de controle natural onde firewalls e ACLs operam. Uma política comum: segmento de servidores em /26 com ACL que só aceita conexões da sub-rede de gerência em outro /27. O restante da rede não alcança os servidores diretamente.

Comportamento de tráfego dentro e entre sub-redes
Cenário	Caminho	Mecanismo	Broadcast chega?
Dois hosts na mesma subnet	Direto (L2)	ARP + Ethernet	Sim, ao broadcast da subnet
Hosts em subnets diferentes	Via gateway/roteador	IP routing (L3)	Não (o roteador filtra)
Host acessa internet	Gateway do ISP	NAT + routing global	Não (broadcast local)
Multicast entre subnets	Via roteador com PIM	IGMP + PIM	Somente assinantes do grupo

A operação AND e o cálculo da rede

A lógica de subnetting se resume a uma operação binária simples. Para descobrir o endereço de rede de um host, aplique AND bit a bit entre o endereço IP e a máscara.

Exemplo com 192.168.10.100/26:

Endereço: 192.168.10.100 = 11000000.10101000.00001010.01100100
Máscara /26: 11111111.11111111.11111111.11000000
AND resultante: 11000000.10101000.00001010.01000000 = 192.168.10.64

O endereço de rede dessa sub-rede é 192.168.10.64. O broadcast é o último endereço do bloco: 192.168.10.127. Hosts usáveis: de .65 a .126 (62 endereços).

Esse cálculo é feito automaticamente pelo kernel de qualquer sistema operacional cada vez que um pacote é enviado. Para testes manuais, o comando ipcalc 192.168.10.100/26 no Linux retorna todos os valores. No Windows, Get-NetIPAddress via PowerShell lista os prefixos ativos.

VLSM: tamanhos variáveis por necessidade

VLSM (Variable Length Subnet Masking) é a técnica de usar máscaras de comprimentos diferentes dentro do mesmo espaço de endereçamento. Antes do VLSM, as sub-redes de uma organização precisavam ter todas o mesmo tamanho. Com VLSM, você dimensiona cada segmento pelo número real de hosts que ele vai conter.

Exemplo de planejamento VLSM para rede corporativa com o bloco 10.100.0.0/22
Segmento	Hosts necessários	Prefixo escolhido	Hosts usáveis	Desperdício
Servidores	50	`10.100.0.0/26`	62	12
Desktops corporativos	200	`10.100.1.0/24`	254	54
Wi-Fi visitantes	100	`10.100.2.0/25`	126	26
Gerência de rede	10	`10.100.0.64/28`	14	4
Link ponto a ponto	2	`10.100.0.80/30`	2	0

A regra prática de VLSM: comece alocando os blocos maiores primeiro, depois os menores. Isso garante alinhamento binário e facilita a sumarização futura. Um /26 precisa começar em endereço que seja múltiplo de 64 (0, 64, 128, 192 no último octeto). Um /27 precisa começar em múltiplo de 32. Furar esse alinhamento cria blocos que não podem ser sumarizados e geram entradas extras na tabela de roteamento.

Sub-redes em IPv6

O conceito de sub-rede em IPv6 funciona da mesma forma que em IPv4: a máscara divide o endereço em parte de rede e parte de host. Mas a prática é diferente. No IPv6, o tamanho de sub-rede padrão para LANs é /64, ponto pacífico na comunidade de rede porque o SLAAC (Stateless Address Autoconfiguration) foi projetado especificamente para funcionar com /64. Sub-redes menores que /64 quebram o SLAAC.

Um /64 em IPv6 tem 2 elevado a 64 endereços possíveis de host: cerca de 18 quintilhões. Qualquer rede local, por maior que seja, cabe num /64 com sobra astronômica. O planejamento de IPv6 não questiona "quantos hosts por segmento" mas "quantas sub-redes o site vai precisar". Um /48 alocado para uma empresa oferece 65.536 sub-redes /64, suficiente para qualquer campus universitário ou datacenter.

No Brasil, o prefixo 2804::/12 é o espaço LACNIC para IPv6. ISPs brasileiros recebem sub-blocos desse espaço (tipicamente /32) e distribuem /48 ou /56 para clientes corporativos e /64 para residenciais.

VLAN vs subnet: conceitos complementares

VLAN (Virtual LAN) e subnet são frequentemente confundidos porque costumam ser configurados juntos, mas pertencem a camadas diferentes do modelo OSI.

Diferença entre VLAN e subnet
Aspecto	VLAN	Subnet
Camada OSI	Camada 2 (Enlace)	Camada 3 (Rede)
Definido por	Tag 802.1Q no switch	Máscara de sub-rede no roteador/host
Separação de tráfego	Isola frames Ethernet por ID de VLAN	Isola pacotes IP por prefixo de rede
Comunicação entre segmentos	Precisa de roteamento (router-on-a-stick ou switch L3)	Precisa de roteamento
Tipicamente associado	Uma VLAN = uma subnet	Pode existir sem VLAN (rede física plana)

Em redes modernas, é comum que cada VLAN tenha exatamente uma subnet associada. O switch L3 ou o roteador faz o inter-VLAN routing: recebe o pacote da VLAN 10, verifica se o destino está na VLAN 20, e encaminha pelo trunk. Esse padrão simplifica a operação porque separa os dois conceitos de forma previsível.

Erros comuns de planejamento de subnets

Subnetting parece simples, mas projetos mal planejados geram retrabalho caro. Os erros mais frequentes em redes brasileiras de pequeno e médio porte:

Usar um único /24 para toda a rede. Com tudo num segmento, um único host comprometido pode sniffar todo o broadcast da empresa. A separação mínima recomendada é um segmento para servidores, outro para workstations, outro para impressoras e IoT.
Sobredimensionar sub-redes por "segurança". Alocar /21 para um segmento que vai ter 20 hosts desperdiça 2.027 endereços que poderiam servir outros segmentos. Use VLSM.
Não reservar espaço para crescimento. Dimensionar para 100% de ocupação imediata força reendereçamento quando a rede cresce. O padrão prático é não passar de 70-80% de ocupação.
Sobreposição de blocos em VPN site a site. Dois escritórios com 192.168.1.0/24 não conseguem se comunicar via VPN sem configuração adicional complexa (NAT duplo ou reendereçamento).
Misturar comprimentos de máscara na mesma VLAN. Se o gateway usa /24 e um host usa /27, o host pode enviar pacotes diretamente para endereços que o gateway já entende como outra sub-rede.

Subnets no contexto brasileiro

Provedores de acesso residencial brasileiros atribuem endereços via DHCP dentro de blocos alocados pelo LACNIC. Cada DSLAM, CMTS ou OLT (equipamento de acesso) gerencia uma sub-rede para os clientes conectados àquele concentrador. Em redes GPON, uma OLT pode gerenciar dezenas de sub-redes /28 ou /27 para grupos de usuários.

A maioria dos usuários residenciais brasileiros está em CGNAT (Carrier-Grade NAT, RFC 6598). Nesse cenário existem três camadas de endereçamento: o dispositivo vê a sub-rede privada 192.168.0.0/24 na LAN doméstica; o roteador tem IP na faixa 100.64.0.0/10 (espaço CGNAT do provedor); e o roteador do provedor tem o IP público real compartilhado entre dezenas de assinantes.

Empresas brasileiras que passaram por transformação digital nos últimos dez anos tipicamente usam o espaço 10.0.0.0/8 (RFC 1918) internamente, dividido em /24 por site ou departamento. O CGI.br recomenda em suas publicações técnicas o uso de VLSM para projetos de expansão de rede, evitando o modelo classful herdado dos anos 1990 que ainda aparece em redes de pequenas empresas.

Universidades brasileiras conectadas à RNP (Rede Nacional de Ensino e Pesquisa) recebem blocos /20 ou /19 da própria RNP e subdividem internamente por campus e laboratório usando VLSM. O CAIS/RNP monitora tráfego anormal por sub-rede para detectar DDoS e scans de porta em tempo real.

Data centers brasileiros como Equinix SP e Digital Realty São Paulo oferecem alocação de sub-redes públicas em blocos /29 ou menores para clientes de colocation, suficiente para servidores em rack com endereçamento público direto.

Perguntas frequentes sobre subnets

O que é subnet?

Subnet (sub-rede) é uma divisão lógica de uma rede IP maior em segmentos menores. Cada subnet tem seu próprio intervalo de endereços e domínio de broadcast, definidos pela máscara de rede conforme RFC 950 (1985). Hosts na mesma subnet se comunicam diretamente via ARP na camada 2. Hosts em subnets diferentes precisam passar pelo roteador (camada 3).

O que é máscara de sub-rede?

A máscara de sub-rede é um número de 32 bits onde os bits de rede valem 1 e os bits de host valem 0. Aplicada em AND lógico com o endereço IP, revela o endereço de rede do segmento. A máscara 255.255.255.0 (equivalente a /24 em CIDR) indica que os primeiros 24 bits são de rede e os 8 últimos são de host, suportando 254 hosts usáveis no segmento.

Qual a diferença entre subnet e VLAN?

Subnet é uma divisão lógica de endereçamento IP na camada 3 (rede). VLAN é uma segmentação lógica de rede local na camada 2 (enlace), definida por tags 802.1Q nos switches. Em redes modernas, cada VLAN tem exatamente uma subnet associada, mas os conceitos pertencem a camadas diferentes do modelo OSI e podem existir de forma independente.

Como calcular o número de hosts em uma subnet?

A fórmula é 2 elevado a (32 menos N), menos 2, onde N é o prefixo CIDR. Para /24: 2 elevado a 8, menos 2 = 254 hosts. Para /26: 2 elevado a 6, menos 2 = 62 hosts. Para /27: 2 elevado a 5, menos 2 = 30 hosts. O menos 2 desconta o endereço de rede (o primeiro) e o broadcast (o último), que não são atribuíveis a hosts.

O que é VLSM?

VLSM (Variable Length Subnet Masking) é a técnica de usar máscaras de comprimento variável dentro do mesmo espaço de endereçamento. Permite criar subnets de tamanhos diferentes conforme a necessidade real de cada segmento: um /26 para servidores (62 hosts), um /30 para link ponto a ponto (2 hosts), um /24 para desktops (254 hosts), tudo dentro do mesmo bloco maior. Evita desperdício de endereços que ocorreria se todas as subnets tivessem o mesmo tamanho.

Quantas subnets cabem em um /24?

A fórmula é 2 elevado a S, onde S é o número de bits emprestados dos bits de host. Dividir um /24 em /26 empresta 2 bits: 4 subnets de 62 hosts cada. Dividir em /27 empresta 3 bits: 8 subnets de 30 hosts. Dividir em /28 empresta 4 bits: 16 subnets de 14 hosts. A Calculadora CIDR do SaberMeuIP gera automaticamente todas as subnets de qualquer divisão.

Por que sub-redes diferentes precisam de roteador para se comunicar?

Porque o switch opera na camada 2 e encaminha frames Ethernet pelo MAC address, sem conhecer endereços IP. Frames destinados a um MAC em outra subnet não saberiam qual porta usar sem o ARP, que não cruza fronteiras de subnet. O roteador opera na camada 3 e mantém rotas para cada subnet conectada. Quando um host precisa alcançar outro em subnet diferente, envia o pacote para o gateway (roteador), que consulta a tabela de rotas e encaminha para a subnet de destino.

O que é o endereço de broadcast da subnet?

O endereço de broadcast é o último endereço de qualquer subnet. Para 192.168.1.0/24, o broadcast é 192.168.1.255. Para 10.0.0.0/26, o broadcast é 10.0.0.63. Qualquer pacote enviado para o broadcast chega a todos os hosts do segmento. O endereço de broadcast não pode ser atribuído a nenhum host. Em IPv6, não existe broadcast: o NDP usa multicast para os mesmos propósitos.

Entender o que é subnet é o ponto de partida para projetar redes com isolamento de broadcast, aplicar políticas de segurança por segmento e interpretar traceroutes que cruzam múltiplos domínios. O padrão formal está na RFC 950; o complemento moderno com prefixos de comprimento variável está na RFC 4632 (CIDR). Use a Calculadora CIDR para planejar qualquer divisão de sub-rede e o artigo O que é CIDR para entender a notação de prefixo em profundidade.

Autor: Equipe SaberMeuIP.com.br. Última atualização: 2026-05-12.

FERRAMENTA

Calculadora de Sub-rede

Calcular sub-redes IPv4 na pratica

Leituras Relacionadas

O que é CIDR? — CIDR (Classless Inter-Domain Routing) é o padrão que substituiu as classes A, B e C para representar redes IP. Entenda notação, cálculo de prefixo e erros comuns.
Calcular Sub-rede IPv4 — Aprenda a calcular network ID, broadcast e faixa de hosts de qualquer sub-rede IPv4 usando apenas o prefixo CIDR. Método do bloco, VLSM e exemplos verificáveis.
IPv4 vs IPv6 — IPv4 tem 4,3 bilhões de endereços (32 bits) e o IPv6 opera em escala massiva (128 bits). Compare formato, NAT, autoconfiguração, segurança e adoção global.