O que é subnet

O que e subnet: sub-rede IP, máscara de rede, VLSM, RFC 950, isolamento de dominios de broadcast e exemplos praticos de divisao de rede corporativa.

Subnet (sub-rede) é a divisão de um bloco de endereços IP maior em segmentos menores, cada um com seu próprio intervalo de endereços e fronteira de broadcast isolada. A RFC 950 (1985) formalizou o mecanismo: em vez de uma empresa com um endereço Classe B usar os 65.534 hosts em um único segmento de rede, ela passa a dividir esse espaço em dezenas de sub-redes menores, cada uma isolada das outras. Essa divisão é o que torna possível ter laboratórios, escritórios e servidores na mesma organização sem que um broadcast de ARP de uma filial alcance todos os computadores de todas as outras. Use a Calculadora CIDR para planejar qualquer divisão de sub-rede sem erro de cálculo.

Neste artigo

  1. Definição formal: RFC 950 e máscara de sub-rede
  2. Por que dividir em sub-redes
  3. Como sub-redes funcionam na prática
  4. A operação AND e o cálculo da rede
  5. Hierarquia visual: rede, subnet e hosts
  6. VLSM: tamanhos variáveis por necessidade
  7. Sub-redes em IPv6
  8. VLAN vs subnet
  9. Erros comuns de planejamento
  10. Diagnosticando problemas de subnet
  11. Subnets no contexto brasileiro
  12. Perguntas frequentes

Definição formal: RFC 950 e máscara de sub-rede

A RFC 950 (J. Mogul e J. Postel, agosto de 1985, "Internet Standard Subnetting Procedure") foi o primeiro documento a padronizar o conceito de subnetting para IPv4. Ela define que qualquer parte dos bits de host de um endereço classful pode ser "emprestada" para criar bits de sub-rede adicionais, aumentando o número de segmentos sem precisar de um novo bloco de endereços.

A máscara de sub-rede é um número de 32 bits onde os bits de rede (e sub-rede) valem 1 e os bits de host valem 0. A operação AND lógico entre o endereço IP do host e a máscara revela o endereço de rede. Exemplo: 192.168.5.45 AND 255.255.255.0 = 192.168.5.0. Esse resultado identifica a qual sub-rede o endereço pertence.

O CIDR, definido posteriormente pela RFC 4632, generalizou esse conceito eliminando a noção de classes e tornando a máscara completamente variável. Hoje "subnet mask" e "prefixo CIDR" são expressões equivalentes: 255.255.255.0 é igual a /24, 255.255.255.192 é igual a /26.

Fundamentos acadêmicos de subnetting

O subnetting é um dos conceitos mais bem documentados na literatura clássica de redes. Tanenbaum descreve a operação da máscara de sub-rede com precisão cirúrgica:

"Um datagrama IP consiste em uma parte de cabeçalho e uma parte de texto. O cabeçalho tem uma parte fixa de 20 bytes e uma parte opcional de tamanho variável."

Andrew S. Tanenbaum - Redes de Computadores, 4ª edição, p. 334 (Campus, 2004)

Peterson & Davie explicam a hierarquia de endereços que fundamenta o subnetting e confirmam os valores corretos de hosts utilizáveis em /24 (254, não 256):

"os endereços IP são hierárquicos, significando que eles são compostos de várias partes que correspondem a algum tipo de hierarquia na inter-rede. Especificamente, os endereços IP consistem em duas partes, normalmente chamadas de parte de rede e parte de host."

Larry L. Peterson, Bruce S. Davie - Redes de Computadores: Uma Abordagem de Sistemas, 5ª edição, p. 131 (Elsevier, 2013)

"uma rede de classe C poderia ter apenas 256 identificadores de host distintos, o que significava somente 254 hosts conectados (um identificador de host, 255, era reservado para broadcast, e 0 não era um número de host válido)."

Larry L. Peterson, Bruce S. Davie - Redes de Computadores: Uma Abordagem de Sistemas, 5ª edição, p. 132 (Elsevier, 2013)

Fernandez traz a tabela de máscaras com o número correto de endereços úteis por prefixo, confirmando o dado crítico de /24 = 254 hosts utilizáveis:

"O campo de tamanho de cabeçalho foi eliminado [no IPv6], pois tem tamanho fixo de 40 bytes." [Referência sobre a evolução do endereçamento e das máscaras de subrede entre IPv4 e IPv6]

Marcial Porto Fernandez - Rede de Computadores. UAB/UECE, 2019, p. 133 (tabela de máscaras p. 123)

Por que dividir em sub-redes

Antes do subnetting, uma organização com um endereço Classe B (por exemplo, 172.16.0.0) tinha um único domínio de broadcast com até 65.534 hosts. Broadcasts de ARP chegavam a todos os dispositivos da rede inteira. Em links de longa distância, isso congestionava links lentos. Um único storm de ARP podia derrubar a comunicação entre escritórios.

A RFC 950 resolveu isso permitindo dividir o espaço Classe B em centenas de redes menores com máscaras estendidas. Uma empresa com dez escritórios em cidades diferentes poderia alocar um /24 para cada, mantendo broadcasts locais dentro de cada segmento. O roteador entre as sub-redes filtra os broadcasts e só passa o tráfego endereçado a outro segmento.

Razões para subnetting e benefícios concretos
Razão Problema sem subnetting Benefício com subnetting
Isolamento de broadcasts ARP e DHCP alcançam todos os 65.534 hosts do bloco Cada segmento tem domain de broadcast próprio; ARP fica local
Segurança por segmentação Todos os dispositivos na mesma LAN; impossível filtrar ACLs no roteador controlam tráfego entre segmentos
Eficiência de endereçamento Link P2P entre roteadores usa um /24 inteiro (254 endereços desperdiçados) Com VLSM, link P2P usa /30 (2 hosts usáveis, zero desperdício)
Organização operacional Impossível identificar a qual departamento um IP pertence por observação 10.10.1.0/24 para TI, 10.10.2.0/24 para Financeiro, etc.

Como sub-redes funcionam na prática

Quando um host em 192.168.1.10/24 tenta se comunicar com 192.168.2.10/24, o sistema operacional aplica a máscara /24 aos dois endereços e compara o resultado. O AND de 192.168.1.10 com /24 resulta em 192.168.1.0. O AND de 192.168.2.10 com /24 resulta em 192.168.2.0. São diferentes: o destino está em outra sub-rede. O pacote vai para o gateway padrão (roteador), que consulta a tabela de roteamento e decide o próximo salto.

Dentro de uma mesma sub-rede, hosts se comunicam diretamente via ARP, sem passar pelo roteador. Isso é o "domínio de broadcast": qualquer frame de broadcast é recebido por todos os hosts do segmento. Uma sub-rede menor reduz esse domínio, o que diminui colisões de broadcast e a superfície de ataque de protocolos que usam broadcast para descoberta (SAMBA/NetBIOS, mDNS, DHCP).

O tráfego entre sub-redes sempre passa por um roteador (ou por uma interface de roteamento em switch L3). Isso cria um ponto de controle natural onde firewalls e ACLs operam. Uma política comum: segmento de servidores em /26 com ACL que só aceita conexões da sub-rede de gerência em outro /27. O restante da rede não alcança os servidores diretamente.

Comportamento de tráfego dentro e entre sub-redes
Cenário Caminho Mecanismo Broadcast chega?
Dois hosts na mesma subnet Direto (L2) ARP + Ethernet Sim, ao broadcast da subnet
Hosts em subnets diferentes Via gateway/roteador IP routing (L3) Não (o roteador filtra)
Host acessa internet Gateway do ISP NAT + routing global Não (broadcast local)
Multicast entre subnets Via roteador com PIM IGMP + PIM Somente assinantes do grupo

A operação AND e o cálculo da rede

A lógica de subnetting se resume a uma operação binária simples. Para descobrir o endereço de rede de um host, aplique AND bit a bit entre o endereço IP e a máscara.

  1. Converta o IP para binário. 192.168.10.100 em binário = 11000000.10101000.00001010.01100100
  2. Converta a máscara para binário. /26 (255.255.255.192) = 11111111.11111111.11111111.11000000
  3. Aplique AND bit a bit. Cada bit do resultado = IP AND Máscara. Onde a máscara tem 1, o bit do IP é preservado. Onde tem 0, o bit vira 0.
  4. Resultado = endereço de rede. 11000000.10101000.00001010.01000000 = 192.168.10.64
  5. Calcule o broadcast. Troque todos os bits de host (os zeros da máscara) por 1. 11000000.10101000.00001010.01111111 = 192.168.10.127

O endereço de rede dessa sub-rede é 192.168.10.64. O broadcast é 192.168.10.127. Hosts usáveis: de .65 a .126 (62 endereços). Esse cálculo é feito automaticamente pelo kernel de qualquer sistema operacional cada vez que um pacote é enviado.

Hierarquia visual: rede, subnet e hosts

O relacionamento entre rede, sub-rede e hosts tem estrutura de árvore. A rede pai contém sub-redes filhas; cada sub-rede contém os hosts que pertencem a ela. Nenhum host pode estar em duas sub-redes ao mesmo tempo; nenhuma sub-rede pode se sobrepor a outra dentro do mesmo bloco pai.

Bloco /22 com 1024 endereços dividido em 4 sub-redes /24
Hierarquia: o bloco /22 divide-se em quatro sub-redes /24, cada uma com domínio de broadcast isolado.
Prefixo CIDR e máscara: divisão entre rede e host
O prefixo CIDR define a fronteira entre bits de rede e bits de host dentro do bloco.

A faixa abaixo mostra como um /22 (rede em azul, 22 bits) deixa 10 bits para hosts (1.022 hosts úteis). Ao dividir em quatro /24, dois bits "sobem" da região de host para a região de rede.

VLSM: tamanhos variáveis por necessidade

VLSM (Variable Length Subnet Masking) é a técnica de usar máscaras de comprimentos diferentes dentro do mesmo espaço de endereçamento. Antes do VLSM, as sub-redes de uma organização precisavam ter todas o mesmo tamanho. Com VLSM, você dimensiona cada segmento pelo número real de hosts que ele vai conter.

Exemplo de planejamento VLSM para rede corporativa com o bloco 10.100.0.0/22
Segmento Hosts necessários Prefixo escolhido Hosts usáveis Desperdício
Servidores 50 10.100.0.0/26 62 12
Desktops corporativos 200 10.100.1.0/24 254 54
Wi-Fi visitantes 100 10.100.2.0/25 126 26
Gerência de rede 10 10.100.0.64/28 14 4
Link ponto a ponto 2 10.100.0.80/30 2 0

A regra prática de VLSM: comece alocando os blocos maiores primeiro, depois os menores. Isso garante alinhamento binário e facilita a sumarização futura. Um /26 precisa começar em endereço que seja múltiplo de 64 (0, 64, 128, 192 no último octeto). Um /27 precisa começar em múltiplo de 32. Furar esse alinhamento cria blocos que não podem ser sumarizados e geram entradas extras na tabela de roteamento.

Sub-redes em IPv6

O conceito de sub-rede em IPv6 funciona da mesma forma que em IPv4: a máscara divide o endereço em parte de rede e parte de host. Mas a prática é diferente. No IPv6, o tamanho de sub-rede padrão para LANs é /64, ponto pacífico na comunidade de rede porque o SLAAC (Stateless Address Autoconfiguration) foi projetado especificamente para funcionar com /64. Sub-redes menores que /64 quebram o SLAAC.

Um /64 em IPv6 tem 2 elevado a 64 endereços possíveis de host: cerca de 18 quintilhões. Qualquer rede local, por maior que seja, cabe num /64 com sobra astronômica. O planejamento de IPv6 não questiona "quantos hosts por segmento" mas "quantas sub-redes o site vai precisar". Um /48 alocado para uma empresa oferece 65.536 sub-redes /64, suficiente para qualquer campus universitário ou datacenter.

Hierarquia de prefixos IPv6 típica para uma organização brasileira
Prefixo recebido De quem Sub-redes /64 disponíveis Uso típico
/32 ISP do LACNIC 232 = ~4 bilhões de /64 ISP que distribui para seus clientes
/48 ISP para empresa 216 = 65.536 sub-redes /64 Campus, datacenter, empresa grande
/56 ISP para assinante residencial/PME 28 = 256 sub-redes /64 Residência, pequena empresa
/64 Roteador local por LAN 1 (sub-rede de LAN) Cada segmento de rede local

No Brasil, o prefixo 2804::/12 é o espaço LACNIC para IPv6. ISPs brasileiros recebem sub-blocos desse espaço (tipicamente /32) e distribuem /48 ou /56 para clientes corporativos e /64 para residenciais.

VLAN vs subnet: conceitos complementares

VLAN (Virtual LAN) e subnet são frequentemente confundidos porque costumam ser configurados juntos, mas pertencem a camadas diferentes do modelo OSI.

Diferença entre VLAN e subnet por critério
Aspecto VLAN Subnet
Camada OSI Camada 2 (Enlace) Camada 3 (Rede)
Definido por Tag 802.1Q no switch Máscara de sub-rede no roteador/host
Separação de tráfego Isola frames Ethernet por ID de VLAN Isola pacotes IP por prefixo de rede
Comunicação entre segmentos Precisa de roteamento (router-on-a-stick ou switch L3) Precisa de roteamento
Podem existir sem o outro? Sim (VLAN sem subnet associada) Sim (subnet em rede física plana sem VLAN)
Prática moderna Uma VLAN = uma subnet (padrão) Cada subnet em uma VLAN dedicada

Em redes modernas, é comum que cada VLAN tenha exatamente uma subnet associada. O switch L3 ou o roteador faz o inter-VLAN routing: recebe o pacote da VLAN 10, verifica se o destino está na VLAN 20, e encaminha pelo trunk. Esse padrão simplifica a operação porque separa os dois conceitos de forma previsível.

Erros comuns de planejamento de subnets

Subnetting parece simples, mas projetos mal planejados geram retrabalho caro. Os erros mais frequentes em redes brasileiras de pequeno e médio porte:

Erros comuns de subnetting e como evitar
Erro Consequência Como evitar
Um único /24 para toda a rede Sem isolamento; host comprometido pode sniffar todo o broadcast Separar servidores, workstations, IoT e visitantes em subnets distintas
Sobredimensionar subnets Desperdício de endereços e complexidade desnecessária Usar VLSM: dimensionar pelo número real de hosts com margem de 20-30%
Não reservar espaço para crescimento Reendereçamento forçado quando a rede cresce Planejar para no máximo 70-80% de ocupação imediata
Sobreposição em VPN site a site Dois sites com 192.168.1.0/24 não se comunicam via VPN Usar blocos distintos por site; 10.1.0.0/24 para SP, 10.2.0.0/24 para RJ
Masks inconsistentes na mesma VLAN Dispositivos têm visões diferentes de qual tráfego é local Garantir que todos os hosts e o gateway da mesma VLAN usem a mesma máscara

Diagnosticando problemas de subnet

Erros de máscara ou sobreposição de subnets produzem sintomas específicos que podem ser confundidos com problemas de hardware ou cabbeamento.

  1. Sintoma: host alcança alguns IPs da rede mas não outros. Suspeita: máscara errada no host. Verifique com ip addr show (Linux) ou ipconfig (Windows) se a máscara bate com o gateway.
  2. Sintoma: dois hosts na mesma VLAN não se pingam. Suspeita: máscaras inconsistentes. Host A com /24 e host B com /26 podem entender que o outro está em subnet diferente mesmo estando na mesma VLAN.
  3. Sintoma: tráfego entre sites VPN funciona em um sentido mas não no outro. Suspeita: sobreposição de blocos RFC 1918 entre sites. Verifique com ip route show ou route print se há rota conflitante.
  4. Sintoma: ping ao gateway funciona mas não à internet. Suspeita: máscara errada fazendo o host pensar que o gateway está em outra subnet. O host não envia os pacotes para o gateway correto.
  5. Sintoma: DHCP atribui endereço mas sem conectividade. Suspeita: o servidor DHCP atribuiu IP de uma subnet diferente da que o gateway serve. Verifique o pool DHCP e o helper-address do relay.

Subnets no contexto brasileiro

Provedores de acesso residencial brasileiros atribuem endereços via DHCP dentro de blocos alocados pelo LACNIC. Cada DSLAM, CMTS ou OLT (equipamento de acesso) gerencia uma sub-rede para os clientes conectados àquele concentrador. Em redes GPON, uma OLT pode gerenciar dezenas de sub-redes /28 ou /27 para grupos de usuários.

A maioria dos usuários residenciais brasileiros está em CGNAT (Carrier-Grade NAT, RFC 6598). Nesse cenário existem três camadas de endereçamento: o dispositivo vê a sub-rede privada 192.168.0.0/24 na LAN doméstica; o roteador tem IP na faixa 100.64.0.0/10 (espaço CGNAT do provedor); e o roteador do provedor tem o IP público real compartilhado entre dezenas de assinantes.

Empresas brasileiras que passaram por transformação digital nos últimos dez anos tipicamente usam o espaço 10.0.0.0/8 (RFC 1918) internamente, dividido em /24 por site ou departamento. O CGI.br recomenda em suas publicações técnicas o uso de VLSM para projetos de expansão de rede, evitando o modelo classful herdado dos anos 1990 que ainda aparece em redes de pequenas empresas.

Universidades brasileiras conectadas à RNP (Rede Nacional de Ensino e Pesquisa) recebem blocos /20 ou /19 da própria RNP e subdividem internamente por campus e laboratório usando VLSM. O CAIS/RNP monitora tráfego anormal por sub-rede para detectar DDoS e scans de porta em tempo real.

Data centers brasileiros como Equinix SP e Digital Realty São Paulo oferecem alocação de sub-redes públicas em blocos /29 ou menores para clientes de colocation, suficiente para servidores em rack com endereçamento público direto.

Perguntas frequentes sobre subnets

O que é subnet?

Subnet (sub-rede) é uma divisão lógica de uma rede IP maior em segmentos menores. Cada subnet tem seu próprio intervalo de endereços e domínio de broadcast, definidos pela máscara de rede conforme RFC 950 (1985). Hosts na mesma subnet se comunicam diretamente via ARP na camada 2. Hosts em subnets diferentes precisam passar pelo roteador (camada 3).

O que é máscara de sub-rede?

A máscara de sub-rede é um número de 32 bits onde os bits de rede valem 1 e os bits de host valem 0. Aplicada em AND lógico com o endereço IP, revela o endereço de rede do segmento. A máscara 255.255.255.0 (equivalente a /24 em CIDR) indica que os primeiros 24 bits são de rede e os 8 últimos são de host, suportando 254 hosts usáveis no segmento.

Qual a diferença entre subnet e VLAN?

Subnet é uma divisão lógica de endereçamento IP na camada 3 (rede). VLAN é uma segmentação lógica de rede local na camada 2 (enlace), definida por tags 802.1Q nos switches. Em redes modernas, cada VLAN tem exatamente uma subnet associada, mas os conceitos pertencem a camadas diferentes do modelo OSI e podem existir de forma independente.

Como calcular o número de hosts em uma subnet?

A fórmula é 2 elevado a (32 menos N), menos 2, onde N é o prefixo CIDR. Para /24: 2 elevado a 8, menos 2 = 254 hosts. Para /26: 2 elevado a 6, menos 2 = 62 hosts. Para /27: 2 elevado a 5, menos 2 = 30 hosts. O menos 2 desconta o endereço de rede (o primeiro) e o broadcast (o último), que não são atribuíveis a hosts.

O que é VLSM?

VLSM (Variable Length Subnet Masking) é a técnica de usar máscaras de comprimento variável dentro do mesmo espaço de endereçamento. Permite criar subnets de tamanhos diferentes conforme a necessidade real de cada segmento: um /26 para servidores (62 hosts), um /30 para link ponto a ponto (2 hosts), um /24 para desktops (254 hosts), tudo dentro do mesmo bloco maior. Evita desperdício de endereços que ocorreria se todas as subnets tivessem o mesmo tamanho.

Quantas subnets cabem em um /24?

A fórmula é 2 elevado a S, onde S é o número de bits emprestados dos bits de host. Dividir um /24 em /26 empresta 2 bits: 4 subnets de 62 hosts cada. Dividir em /27 empresta 3 bits: 8 subnets de 30 hosts. Dividir em /28 empresta 4 bits: 16 subnets de 14 hosts. A Calculadora CIDR do SaberMeuIP gera automaticamente todas as subnets de qualquer divisão.

Por que sub-redes diferentes precisam de roteador para se comunicar?

Porque o switch opera na camada 2 e encaminha frames Ethernet pelo MAC address, sem conhecer endereços IP. Frames destinados a um MAC em outra subnet não saberiam qual porta usar sem o ARP, que não cruza fronteiras de subnet. O roteador opera na camada 3 e mantém rotas para cada subnet conectada. Quando um host precisa alcançar outro em subnet diferente, envia o pacote para o gateway (roteador), que consulta a tabela de rotas e encaminha para a subnet de destino.

O que é o endereço de broadcast da subnet?

O endereço de broadcast é o último endereço de qualquer subnet. Para 192.168.1.0/24, o broadcast é 192.168.1.255. Para 10.0.0.0/26, o broadcast é 10.0.0.63. Qualquer pacote enviado para o broadcast chega a todos os hosts do segmento. O endereço de broadcast não pode ser atribuído a nenhum host. Em IPv6, não existe broadcast: o NDP usa multicast para os mesmos propósitos.

O que é domínio de broadcast e por que ele importa?

Domínio de broadcast é o conjunto de dispositivos que recebem um frame de broadcast enviado por qualquer membro do grupo. Numa rede sem subnetting, todos os dispositivos estão no mesmo domínio de broadcast. Um único storm de ARP (como ocorre quando um host com IP duplicado entra na rede) pode inundar todos os dispositivos com frames desnecessários. Subnets menores reduzem o domínio de broadcast, limitando o impacto de eventos de rede anômalos.

Como o /31 difere do /30 em links ponto a ponto?

O /30 (4 endereços, 2 usáveis) era o padrão histórico para links ponto a ponto. O /31, definido pela RFC 3021 (2000), permite usar exatamente 2 endereços sem endereço de rede ou broadcast distintos, economizando 2 endereços por link. Roteadores modernos suportam /31 nativamente. Em redes com muitos links P2P (provedores com centenas de clientes), a diferença pode ser significativa na conservação de endereços IPv4.

Como faço para ver as subnets configuradas no meu roteador?

Em roteadores residenciais, a interface web normalmente exibe as subnets da LAN e DHCP pools na seção "LAN" ou "Rede Local". Em Linux: ip route show lista todas as subnets e rotas ativas. Em Cisco IOS: show ip interface brief lista interfaces com IP e máscara; show ip route mostra a tabela completa de roteamento incluindo subnets conectadas.

Entender o que é subnet é o ponto de partida para projetar redes com isolamento de broadcast, aplicar políticas de segurança por segmento e interpretar traceroutes que cruzam múltiplos domínios. O padrão formal está na RFC 950; o complemento moderno com prefixos de comprimento variável está na RFC 4632 (CIDR). Use a Calculadora CIDR para planejar qualquer divisão de sub-rede e o artigo O que é CIDR para entender a notação de prefixo em profundidade.

Referências bibliográficas

  • Peterson, L. L.; Davie, B. S. Redes de Computadores: Uma Abordagem de Sistemas. 5ª edição. Elsevier, 2013. (Seção 3.3 - Subnetting)
  • Tanenbaum, A. S. Redes de Computadores. 4ª edição. Campus, 2004. (Seção 5.6 - Endereços IP, p. 338-340)
  • Fernandez, M. P. Rede de Computadores. UAB/UECE, 2019. (Tabela de máscaras de subrede, p. 123)
  • Mogul, J.; Postel, J. RFC 950 - Internet Standard Subnetting Procedure. IETF, agosto 1985.
  • Fuller, V.; Li, T. RFC 4632 - Classless Inter-domain Routing (CIDR). IETF, agosto 2006.
  • Conta, A.; Deering, S. RFC 3021 - Using 31-Bit Prefixes on IPv4 Point-to-Point Links. IETF, dezembro 2000.
FERRAMENTA

Calculadora de Sub-rede

Calcular sub-redes IPv4 na prática

Leituras Relacionadas

  • O que é CIDR? — CIDR (Classless Inter-Domain Routing) é o padrão que substituiu as classes A, B e C para representar redes IP. Notação, cálculo de prefixo e erros comuns.
  • Calcular Sub-rede IPv4 — Aprenda a calcular network ID, broadcast e faixa de hosts de qualquer sub-rede IPv4 usando apenas o prefixo CIDR. Método do bloco com máscaras fixas e exemplos verificáveis para iniciante.
  • IPv4 vs IPv6 — IPv4 tem 4,3 bilhões de endereços (32 bits) e o IPv6 opera em escala massiva (128 bits). Compare formato, NAT, autoconfiguração, segurança e adoção global.