Calculadora de subred IP

Breve historia de CIDR y la subred de IPv4

Cuando la RFC 791 estandarizó el Protocolo de Internet en septiembre de 1981, las direcciones IPv4 estaban talladas en clases rígidas. Las asignaciones de Clase A daban 16 777 214 hosts, Clase B daba 65 534, Clase C daba 254, y no había nada entre medias. Cualquier organización que necesitara más de 254 hosts pedía una Clase B, aunque solo tuviera 1000 empleados, y se desperdiciaban decenas de miles de direcciones por asignación. A finales de los años 80 las Clase B desaparecían rápidamente, la tabla de enrutamiento global superaba la memoria de los enrutadores de núcleo, y el espacio IPv4 de 32 bits se consumía más rápido de lo que sus diseñadores nunca esperaron. La RFC 1518 y la RFC 1519 (septiembre de 1993) introdujeron el enrutamiento entre dominios sin clases, pronunciado «cider», que permite que la frontera red/host caiga en cualquier posición de bit y deja que dieciséis /24 contiguos se anuncien como un único /20. La asignación por fin se ajustó a la necesidad, la tabla BGP dejó de colapsar bajo su propio peso, y el agotamiento de IPv4 se aplazó unos diecisiete años y medio hacia el futuro. La RFC 4632 reemitió y dejó obsoleta la RFC 1519 en agosto de 2006 y sigue siendo la autoridad actual. Tres rangos privados fueron tallados por la RFC 1918 en febrero de 1996 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), dándole a cada enrutador doméstico con NAT y cortafuegos corporativo una reserva de direcciones utilizables que la internet pública nunca enrutaría. La RFC 3021 (diciembre de 2000) abrió la excepción /31 para enlaces punto a punto, ahorrando aproximadamente dos direcciones IPv4 por circuito enrutador a enrutador. El fondo libre de nivel superior de IANA se agotó finalmente el 31 de enero de 2011; APNIC siguió en abril de 2011, LACNIC en 2014, ARIN en 2015, AfriNIC en 2017 y RIPE NCC en noviembre de 2019. CIDR es la razón por la que cualquiera de esas fechas está en esta década y no en los años 90.

La anatomía de un cálculo de subred

• La dirección IPv4 de 32 bits. Cada dirección IPv4 tiene 32 bits, escrita convencionalmente como cuatro octetos de 8 bits en decimal con puntos: 192.168.1.0 es en binario 11000000.10101000.00000001.00000000. El espacio IPv4 total es 2³², unos 4300 millones de direcciones, que en 1981 parecía infinito y se agotó en 2011 (IANA), 2015 (ARIN) y 2019 (RIPE NCC). Toda la aritmética de subred opera bit a bit sobre este valor de 32 bits.
• La longitud del prefijo CIDR. El número tras la barra en 192.168.1.0/24 cuenta los bits 1 iniciales consecutivos en la máscara de subred, equivalentemente el número de bits que identifican la red. Lo que queda identifica al host dentro de esa red. Un /24 reserva 24 bits para la red y 8 bits para hosts; un /30 reserva 30 y 2; un /16 reserva 16 y 16. El prefijo puede caer en cualquier posición de bit, desde /0 (toda la internet) hasta /32 (un solo host).
• La máscara de subred. La gemela en decimal con puntos del prefijo CIDR. /24 es 255.255.255.0, que son 24 unos binarios seguidos de 8 ceros binarios. /27 es 255.255.255.224 (el último octeto es 11100000). Enrutadores y sistemas operativos aceptan indistintamente ambas notaciones. El complemento de la máscara, la máscara comodín, es lo que usan las listas de control de acceso de Cisco: una coincidencia ACL /24 se escribe 0.0.0.255, no 255.255.255.0.
• La dirección de red. Calculada como IP AND máscara_subred bit a bit: el AND pone a cero cada bit de host y deja intacta la porción de red. Para 192.168.1.27/24 la máscara es 255.255.255.0 y la dirección de red es 192.168.1.0. La dirección de red identifica la subred en sí y no puede asignarse a un host, con la única excepción de /31 (RFC 3021).
• La dirección de difusión. Calculada como dirección_red OR (NOT máscara_subred) bit a bit: poner cada bit de host a 1. Para 192.168.1.0/24 la difusión es 192.168.1.255; para 192.168.1.0/27 es 192.168.1.31. El tráfico hacia la dirección de difusión se entrega a cada host de la subred a la vez, así que la dirección está reservada y no es asignable. /31 es de nuevo la excepción, porque un enlace punto a punto solo tiene dos extremos y no necesita difusión.
• Direcciones totales y hosts utilizables. Direcciones totales en la subred = 2^{(32 − prefijo)}. Un /24 contiene 256, un /27 contiene 32, un /30 contiene 4. Hosts utilizables = total − 2, restando las direcciones de red y de difusión, así que un /24 produce 254 hosts asignables y un /27 produce 30. Dos excepciones: /31 según la RFC 3021 produce 2 hosts utilizables (ambas direcciones asignables en un enlace punto a punto), y /32 representa una ruta a un único host. Las subredes de AWS son una tercera excepción en la práctica porque AWS reserva 5 direcciones por subred, no 2, así que un /24 en AWS produce 251 hosts utilizables.

Tamaños de subred comunes y dónde aparecen

• LANs domésticas y de pequeña oficina (/24). Casi todos los enrutadores domésticos del mercado (Linksys, Netgear, Asus, TP-Link, eero, Google Nest Wifi) vienen con un /24 por defecto dentro del rango RFC 1918 192.168.0.0/16, normalmente 192.168.0.0/24 o 192.168.1.0/24. 254 hosts utilizables por LAN, el propio enrutador suele coger .1, y la dirección de red termina en .0 mientras la difusión acaba en .255. Los valores por defecto se solapan con todo, razón por la que los usuarios de VPN suelen renumerar a algo menos común como 192.168.42.0/24 o 10.42.0.0/24.
• Redes empresariales medianas a grandes (jerarquías 10.0.0.0/8). Las grandes empresas y las tiendas cloud-native tallan todo a partir de 10.0.0.0/8, el mayor bloque RFC 1918 con 16,7 millones de direcciones. /16 por sede, /20 por región, /22 por departamento, /24 por VLAN; la jerarquía refleja el organigrama y se agrega ruteo limpiamente hacia el núcleo. Las empresas medianas suelen elegir 172.16.0.0/12 en su lugar porque es el rango RFC 1918 menos usado y menos propenso a solaparse con los enrutadores domésticos aleatorios que sus empleados usan en casa.
• Subredes en la nube (AWS VPC, Azure VNet, GCP VPC). La convención de AWS VPC es una supernet /16 de uno de los rangos RFC 1918, subdividida en subredes /20 o /24 por zona de disponibilidad, separadas por niveles público, privado y de base de datos. AWS reserva 5 direcciones por subred, no 2 (la red, la difusión, más el enrutador VPC, DNS y una en reserva), por lo que un /24 de AWS tiene 251 direcciones utilizables en vez de 254. Regla crítica: las VPC que necesiten emparejarse o compartir una pasarela de tránsito no deben tener rangos CIDR solapados, así que un despliegue multicuenta o multirregión necesita un plan maestro de asignación desde el primer día.
• Enlaces punto a punto (/30 y /31). Circuitos enrutador a enrutador, túneles GRE, túneles IPsec y enlaces serie llevan exactamente dos extremos. El /30 clásico da 4 direcciones con 2 hosts utilizables y 2 desperdiciados (red y difusión). El equipo moderno admite /31 según la RFC 3021, que da 2 direcciones con las dos utilizables, reduciendo el consumo de IPv4 a la mitad. Un backbone con 500 circuitos punto a punto ahorra unas 1000 direcciones IPv4 al cambiar de /30 a /31; en un backbone de internet pública donde cada dirección IPv4 tiene valor monetario, eso es dinero real.
• DMZ, VLANs de servidores y segmentos pequeños (/27 a /29). Un segmento de zona desmilitarizada para un puñado de servidores expuestos a internet, una VLAN de gestión para loopbacks de switches, una granja de servidores pequeña, un segmento IoT diminuto, una red de administración fuera de banda: estos suelen ejecutarse en /27 (30 hosts), /28 (14 hosts) o /29 (6 hosts). Los segmentos dimensionados ajustadamente limitan el ruido del dominio de difusión y reducen el radio de impacto cuando algo está mal configurado o comprometido. Casi todas las preguntas de escenario de certificación caen en este rango de prefijos porque la aritmética binaria no es trivial sin papel.
• Preparación de certificaciones (CompTIA Network+, Cisco CCNA / CCNP, JNCIA). El cálculo de subred es un fijo de todo examen de redes de nivel inicial, y la presión del tiempo es brutal: los candidatos disponen rutinariamente de menos de 30 segundos por pregunta de dirección y prefijo. Los trucos clásicos son el método del número mágico (256 menos el octeto de máscara relevante da el paso de la subred) y el ejercicio binario de subnetting en siete segundos popularizado por Professor Messer. Un calculador como este es más rápido que cualquiera de los dos métodos en el trabajo real de ingeniería de red; ambos métodos existen para la sala de examen donde no se permiten calculadoras.

RFC clave e hitos históricos

• RFC 791 (septiembre de 1981). La especificación original del Protocolo de Internet de Jon Postel. Definió IPv4, la dirección de 32 bits, la notación decimal con puntos y el esquema de asignación por clases original (Clases A, B, C, D, E). El diseño por clases duró doce años antes de que la escala forzara su sustitución y sigue siendo la razón histórica por la que los prefijos /8, /16 y /24 hoy parecen «naturales».
• RFC 1518 y RFC 1519 (septiembre de 1993). El par de RFC que introdujo el enrutamiento entre dominios sin clases (CIDR). La RFC 1518 (Rekhter y Li) fijó la arquitectura; la RFC 1519 (Fuller, Li, Yu, Varadhan) definió la estrategia de asignación y agregación de direcciones. Juntas reemplazaron el sistema rígido de Clases A/B/C por la notación de prefijo de longitud variable que todos los enrutadores del planeta ahora hablan. La RFC 1519 fue declarada obsoleta por la RFC 4632 en 2006.
• RFC 1918 (febrero de 1996), BCP 5. Yakov Rekhter, Robert Moskowitz, Daniel Karrenberg, Geert Jan de Groot y Eliot Lear redactaron el documento que talló los tres rangos privados de IPv4 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) y los declaró no enrutables en la internet pública. Cada red doméstica con NAT, LAN corporativa y VPC en la nube desde 1996 ha elegido sus direcciones de uno de estos tres bloques.
• RFC 3021 (diciembre de 2000). Retana, White, Fuller y McPherson tallaron la excepción /31. En un enlace punto a punto con exactamente dos extremos, no hace falta dirección de difusión, así que las dos direcciones de un /31 pueden asignarse como direcciones de host. El cambio ahorró decenas de miles de direcciones IPv4 en los backbones globales de ISP durante las dos décadas siguientes.
• RFC 4632 (agosto de 2006), BCP 122. Vince Fuller y Tony Li reemitieron la especificación CIDR, dejando obsoleta la RFC 1519 trece años después de la original. La RFC 4632 es la autoridad actual para la asignación y agregación de direcciones IPv4 y sigue siendo el documento que cita un ingeniero de red cuando le preguntan «¿dónde vive CIDR en los estándares?»
• RFC 6598 (abril de 2012). Reservó 100.64.0.0/10 para el NAT a nivel de operador, la segunda capa de NAT que los ISP colocan entre los enrutadores de los abonados y la internet pública una vez que agotaron sus propias asignaciones IPv4. Famosamente confundido con el espacio privado de la RFC 1918, pero distinto: una red de usuario final no debe elegir de este bloque, porque el ISP ya lo está usando al otro lado del enrutador doméstico.
• RFC 6890 (abril de 2013), BCP 153, actualizado por la RFC 8190 (junio de 2017). Consolidó cada reserva de propósito especial IPv4 (e IPv6) en un único Registro de Direcciones de Propósito Especial de IANA. Loopback (127.0.0.0/8), enlace local (169.254.0.0/16), rangos de documentación (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24), el /4 de multidifusión y el /10 de CGN están todos enumerados bajo un único registro canónico en vez de dispersos por media docena de RFC más antiguas.
• Agotamiento de IPv4 (31 de enero de 2011 y posterior). El fondo libre de nivel superior de IANA se vació el 31 de enero de 2011, diecisiete años y medio después de publicarse CIDR. APNIC siguió el 15 de abril de 2011, LACNIC el 10 de junio de 2014, ARIN el 24 de septiembre de 2015, AfriNIC el 21 de abril de 2017 y RIPE NCC el 25 de noviembre de 2019. La transición a IPv6 lleva dos décadas en marcha y sigue incompleta; CIDR más NAT más RFC 1918 es la razón por la que IPv4 sigue en pie.

Más preguntas frecuentes

¿Cuál es la diferencia entre una máscara de subred y un prefijo CIDR?

Expresan la misma información en dos notaciones. /24 en CIDR es 255.255.255.0 como máscara de subred en decimal con puntos: 24 unos seguidos de 8 ceros en binario. CIDR es la notación moderna compacta, la máscara de subred es la forma más antigua que la mayoría de los sistemas operativos de red todavía muestran. Enrutadores y calculadores aceptan cualquiera. Un atajo útil de conversión: cada octeto de la máscara es 0, 128, 192, 224, 240, 248, 252, 254 o 255 (los únicos patrones binarios de unos iniciales contiguos), así que 255.255.240.0 se lee inmediatamente como 8+8+4+0 = 20 bits de máscara, o /20.

¿Por qué no puedo usar la dirección de red o de difusión?

La dirección de red (todos los bits de host a cero) está reservada como identificador de la subred en sí. La dirección de difusión (todos los bits de host a uno) está reservada para «enviar a cada host de la subred». Enrutadores y sistemas operativos tratan el tráfico hacia esas dos direcciones de forma especial, así que no se pueden asignar a un único host. La única excepción estandarizada es /31: según la RFC 3021, ambas direcciones de un /31 son utilizables porque están destinadas a enlaces punto a punto donde no hay difusión. AWS va más allá y reserva 5 direcciones por subred, así que el conteo de hosts utilizables en subredes en la nube es total menos 5, no total menos 2.

¿Y qué pasa con IPv6?

IPv6 usa la misma idea de notación de prefijo (/64, /48, etc.) pero con direcciones de 128 bits. El tamaño estándar de subred para usuario final es /64, que contiene 2⁶⁴ = aproximadamente 18,4 trillones de direcciones, suficiente para que las redes IPv6 prácticas raramente se preocupen del subnetting a nivel de conteo de hosts. La RFC 7421 (2015) analiza por qué /64 es la frontera. IPv6 no tiene dirección de difusión alguna (la multidifusión la reemplaza), así que la regla de «restar 2» no se aplica. Este calculador es solo IPv4; las matemáticas funcionan igual para IPv6 pero los números son mayores en una veintena de órdenes de magnitud.

¿Se envía algo a un servidor?

No. El calculador funciona enteramente en su navegador. Las entradas de dirección se computan bit a bit contra máscaras en JavaScript y los resultados se renderizan localmente. Nada sobre el diseño de su red, los rangos IP o las subredes planificadas se transmite, registra ni almacena. Las direcciones que la gente mete en los calculadores de subred son a menudo rangos internos corporativos, diseños de VPN o planos de topología en la nube, y la garantía de privacidad aquí es que ninguna de esa información sale de su máquina.

¿Cuál es la subred práctica más pequeña?

/30 para un enlace punto a punto típico (4 direcciones, 2 hosts utilizables) o /31 para el mismo caso con las dos direcciones utilizables según la RFC 3021. /32 es una ruta a un único host usada para cosas como alias de loopback, direcciones de pares BGP, reglas de cortafuegos de host o rutas nulas, no para segmentos LAN normales. En una LAN Ethernet normal donde ARP, DHCP y la difusión deben funcionar, /29 (6 hosts utilizables) es el piso práctico; cualquier cosa más pequeña deja al segmento sin margen para crecer.

¿Cómo elijo un rango privado para mi red doméstica o de oficina?

Empiece por listar cada red que necesitará alcanzar: rangos de VPN corporativa, VPC de AWS con los que pueda emparejarse, VPN de socios comerciales, redes domésticas de amigos si alguna vez se conecta remotamente. Elija un rango privado que no se solape con ninguno de ellos. 192.168.0.0/24 y 192.168.1.0/24 son el valor por defecto de todos los enrutadores domésticos y se solapan constantemente; 10.42.0.0/24 o 172.20.10.0/24 son mucho menos propensos a chocar con algo a lo que necesite conectarse por VPN. Si en algún momento planea fusionar dos redes vía VPN o tránsito, decida la asignación del supernet padre desde el principio y talle /24 disjuntos desde el inicio, porque renumerar una red activa después es un proyecto de varias tardes en las mejores condiciones.