Calcolatore sottorete IP

Breve storia di CIDR e del subnetting IPv4

Quando la RFC 791 standardizzò l'Internet Protocol nel settembre 1981, gli indirizzi IPv4 erano scolpiti in classi rigide. Le allocazioni di Classe A davano 16.777.214 host, Classe B dava 65.534, Classe C dava 254, e in mezzo non c'era nulla. Qualsiasi organizzazione che avesse bisogno di più di 254 host chiedeva una Classe B, anche se aveva solo 1.000 dipendenti, e per ogni assegnazione si sprecavano decine di migliaia di indirizzi. Alla fine degli anni '80 le Classe B sparivano in fretta, la tabella di routing globale superava la memoria dei router di dorsale, e lo spazio IPv4 a 32 bit veniva consumato più rapidamente di quanto i progettisti si fossero mai aspettati. La RFC 1518 e la RFC 1519 (settembre 1993) introdussero il Classless Inter-Domain Routing, pronunciato «cider», che permette al confine rete/host di cadere in qualsiasi posizione di bit e permette a sedici /24 contigui di essere annunciati come un singolo /20. L'allocazione finalmente corrispondeva alla necessità, la tabella BGP smise di collassare sotto il proprio peso, e l'esaurimento di IPv4 fu rinviato di circa diciassette anni e mezzo nel futuro. La RFC 4632 ha ripubblicato e reso obsoleta la RFC 1519 nell'agosto 2006 e rimane l'autorità attuale. Tre intervalli privati furono ritagliati dalla RFC 1918 nel febbraio 1996 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), dando a ogni router domestico NAT e firewall aziendale un pool di indirizzi utilizzabili che la rete pubblica non avrebbe mai instradato. La RFC 3021 (dicembre 2000) ha ritagliato l'eccezione /31 per i collegamenti punto-punto, risparmiando circa due indirizzi IPv4 per ogni circuito router-router. Il pool libero di primo livello IANA è stato infine esaurito il 31 gennaio 2011; APNIC ha seguito nell'aprile 2011, LACNIC nel 2014, ARIN nel 2015, AfriNIC nel 2017 e RIPE NCC nel novembre 2019. CIDR è il motivo per cui una qualunque di queste date cade in questo decennio anziché negli anni '90.

L'anatomia di un calcolo di sottorete

• L'indirizzo IPv4 a 32 bit. Ogni indirizzo IPv4 è di 32 bit, scritto convenzionalmente come quattro ottetti da 8 bit in notazione decimale puntata: 192.168.1.0 in binario è 11000000.10101000.00000001.00000000. Lo spazio IPv4 totale è 2³², circa 4,3 miliardi di indirizzi, che nel 1981 sembrava infinito e si è esaurito nel 2011 (IANA), 2015 (ARIN) e 2019 (RIPE NCC). Tutta la matematica di sottorete opera bit a bit su questo valore a 32 bit.
• La lunghezza del prefisso CIDR. Il numero dopo la barra in 192.168.1.0/24 conta i bit 1 iniziali consecutivi nella maschera di sottorete, equivalentemente il numero di bit che identificano la rete. Quel che resta identifica l'host all'interno di quella rete. Un /24 riserva 24 bit per la rete e 8 bit per gli host; un /30 ne riserva 30 e 2; un /16 ne riserva 16 e 16. Il prefisso può cadere in qualsiasi posizione di bit, da /0 (l'intera internet) a /32 (un singolo host).
• La maschera di sottorete. La gemella in decimale puntato del prefisso CIDR. /24 è 255.255.255.0, cioè 24 1 binari seguiti da 8 0 binari. /27 è 255.255.255.224 (l'ultimo ottetto è 11100000). Router e sistemi operativi accettano entrambe le notazioni in modo intercambiabile. Il complemento della maschera, la maschera wildcard, è ciò che usano le liste di controllo accessi Cisco: una corrispondenza ACL /24 si scrive 0.0.0.255, non 255.255.255.0.
• L'indirizzo di rete. Calcolato come IP AND maschera_sottorete bit a bit: l'AND azzera ogni bit di host e lascia intatta la porzione di rete. Per 192.168.1.27/24 la maschera è 255.255.255.0 e l'indirizzo di rete è 192.168.1.0. L'indirizzo di rete identifica la sottorete stessa e non può essere assegnato a un host, con l'unica eccezione del /31 (RFC 3021).
• L'indirizzo di broadcast. Calcolato come indirizzo_rete OR (NOT maschera_sottorete) bit a bit: porre ogni bit di host a 1. Per 192.168.1.0/24 il broadcast è 192.168.1.255; per 192.168.1.0/27 è 192.168.1.31. Il traffico verso l'indirizzo di broadcast viene consegnato contemporaneamente a ogni host della sottorete, quindi l'indirizzo è riservato e non assegnabile. Il /31 è ancora l'eccezione, perché un collegamento punto-punto ha solo due estremità e non necessita di broadcast.
• Indirizzi totali e host utilizzabili. Indirizzi totali nella sottorete = 2^{(32 − prefisso)}. Un /24 ne contiene 256, un /27 ne contiene 32, un /30 ne contiene 4. Host utilizzabili = totale − 2, sottraendo gli indirizzi di rete e broadcast, quindi un /24 dà 254 host assegnabili e un /27 ne dà 30. Due eccezioni: /31 per la RFC 3021 dà 2 host utilizzabili (entrambi gli indirizzi assegnabili su un collegamento punto-punto) e /32 rappresenta una rotta a host singolo. Le sottoreti AWS sono una terza eccezione in pratica perché AWS riserva 5 indirizzi per sottorete, non 2, quindi un /24 di AWS dà 251 host utilizzabili.

Dimensioni di sottorete comuni e dove compaiono

• LAN domestiche e da piccolo ufficio (/24). Quasi ogni router consumer in commercio (Linksys, Netgear, Asus, TP-Link, eero, Google Nest Wifi) viene fornito con un /24 di default all'interno dell'intervallo RFC 1918 192.168.0.0/16, tipicamente 192.168.0.0/24 o 192.168.1.0/24. 254 host utilizzabili per LAN, il router stesso prende di solito .1, l'indirizzo di rete finisce in .0 e il broadcast finisce in .255. I valori di default si sovrappongono con tutto, ed è il motivo per cui gli utenti VPN rinumerano di routine verso qualcosa di meno comune come 192.168.42.0/24 o 10.42.0.0/24.
• Reti aziendali medio-grandi (gerarchie 10.0.0.0/8). Le grandi aziende e le realtà cloud-native ritagliano tutto da 10.0.0.0/8, il blocco RFC 1918 più grande con 16,7 milioni di indirizzi. /16 per sede, /20 per regione, /22 per dipartimento, /24 per VLAN; la gerarchia rispecchia l'organigramma e si aggrega in routing pulito verso il nucleo. Le aziende di medie dimensioni scelgono spesso 172.16.0.0/12 perché è l'intervallo RFC 1918 meno usato e meno incline a sovrapporsi con i router consumer casuali che i dipendenti usano a casa.
• Sottoreti cloud (AWS VPC, Azure VNet, GCP VPC). La convenzione AWS VPC è una supernet /16 da uno degli intervalli RFC 1918, suddivisa in sottoreti /20 o /24 per zona di disponibilità, separate in livelli pubblico, privato e database. AWS riserva 5 indirizzi per sottorete, non 2 (l'indirizzo di rete, il broadcast, più il router VPC, il DNS e uno tenuto in riserva), quindi un /24 di AWS ha 251 indirizzi utilizzabili anziché 254. Regola critica: i VPC che devono fare peering o condividere un transit gateway non possono avere intervalli CIDR sovrapposti, quindi un deployment multi-account o multi-region richiede un piano di allocazione master dal primo giorno.
• Collegamenti punto-punto (/30 e /31). Circuiti router-router, tunnel GRE, tunnel IPsec e collegamenti seriali trasportano esattamente due estremità. Il classico /30 dà 4 indirizzi con 2 host utilizzabili e 2 sprecati (rete e broadcast). L'equipaggiamento moderno supporta il /31 secondo la RFC 3021, che dà 2 indirizzi entrambi utilizzabili, dimezzando il consumo di IPv4. Una dorsale con 500 circuiti punto-punto risparmia circa 1.000 indirizzi IPv4 passando da /30 a /31; su una dorsale di internet pubblica dove ogni indirizzo IPv4 ha valore monetario, sono soldi veri.
• DMZ, VLAN di server e piccoli segmenti (/27 a /29). Un segmento di zona demilitarizzata per una manciata di server esposti su internet, una VLAN di gestione per i loopback degli switch, una piccola server farm, un minuscolo segmento IoT, una rete di amministrazione out-of-band: questi tipicamente girano su /27 (30 host), /28 (14 host) o /29 (6 host). Segmenti dimensionati su misura limitano il rumore del dominio di broadcast e riducono il raggio d'impatto quando qualcosa è mal configurato o compromesso. Quasi ogni domanda di scenario di certificazione cade da qualche parte in questo intervallo di prefisso perché la matematica binaria non è banale senza carta.
• Preparazione a certificazioni (CompTIA Network+, Cisco CCNA / CCNP, JNCIA). Il calcolo di sottorete è un classico di ogni esame di rete entry-level, e la pressione del tempo è brutale: i candidati hanno regolarmente meno di 30 secondi per domanda di indirizzo-e-prefisso. I trucchi classici di studio sono il metodo del numero magico (256 meno l'ottetto di maschera rilevante dà il passo di sottorete) e l'esercizio binario subnetting in sette secondi reso popolare da Professor Messer. Un calcolatore come questo è più veloce di entrambi i metodi nel vero lavoro di network engineering; entrambi i metodi esistono per la sala d'esame dove le calcolatrici non sono ammesse.

RFC chiave e pietre miliari storiche

• RFC 791 (settembre 1981). La specifica originale dell'Internet Protocol di Jon Postel. Definì IPv4, l'indirizzo a 32 bit, la notazione decimale puntata e lo schema di allocazione per classi originale (Classi A, B, C, D, E). Il design per classi durò dodici anni prima che la scala forzasse la sua sostituzione e rimane il motivo storico per cui i prefissi /8, /16 e /24 sembrano ancora oggi «naturali».
• RFC 1518 e RFC 1519 (settembre 1993). La coppia di RFC che introdusse il Classless Inter-Domain Routing (CIDR). La RFC 1518 (Rekhter e Li) stabilì l'architettura; la RFC 1519 (Fuller, Li, Yu, Varadhan) definì la strategia di assegnazione e aggregazione degli indirizzi. Insieme hanno sostituito il sistema rigido a Classi A/B/C con la notazione a prefisso di lunghezza variabile che ora parla ogni router sulla terra. La RFC 1519 è stata resa obsoleta dalla RFC 4632 nel 2006.
• RFC 1918 (febbraio 1996), BCP 5. Yakov Rekhter, Robert Moskowitz, Daniel Karrenberg, Geert Jan de Groot ed Eliot Lear hanno redatto il documento che ha ritagliato i tre intervalli IPv4 privati (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e li ha dichiarati non instradabili sulla rete pubblica. Ogni rete domestica NAT, LAN aziendale e VPC cloud dal 1996 ha scelto i propri indirizzi da uno di questi tre blocchi.
• RFC 3021 (dicembre 2000). Retana, White, Fuller e McPherson hanno ritagliato l'eccezione /31. Su un collegamento punto-punto con esattamente due estremità non serve un indirizzo di broadcast, quindi entrambi gli indirizzi su un /31 possono essere assegnati come indirizzi di host. Il cambiamento ha risparmiato decine di migliaia di indirizzi IPv4 nelle dorsali ISP globali nei due decenni successivi.
• RFC 4632 (agosto 2006), BCP 122. Vince Fuller e Tony Li hanno ripubblicato la specifica CIDR, rendendo obsoleta la RFC 1519 tredici anni dopo l'originale. La RFC 4632 è l'autorità attuale per l'assegnazione e l'aggregazione di indirizzi IPv4 e rimane il documento che un ingegnere di rete cita quando gli si chiede «dove vive il CIDR negli standard?»
• RFC 6598 (aprile 2012). Ha riservato 100.64.0.0/10 per il Carrier-Grade NAT, il secondo strato di NAT che gli ISP mettono tra i router dei sottoscrittori e la rete pubblica una volta esaurite le loro stesse allocazioni IPv4. Notoriamente confuso con lo spazio privato RFC 1918, ma distinto: una rete di utente finale non deve scegliere da questo blocco, perché l'ISP lo sta già utilizzando dall'altro lato del router domestico.
• RFC 6890 (aprile 2013), BCP 153, aggiornata dalla RFC 8190 (giugno 2017). Ha consolidato ogni riserva per scopi speciali IPv4 (e IPv6) in un unico registro Special-Purpose Address di IANA. Loopback (127.0.0.0/8), link-local (169.254.0.0/16), intervalli di documentazione (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24), il /4 multicast e il /10 CGN sono tutti elencati sotto un unico registro canonico anziché sparsi in mezza dozzina di RFC più vecchie.
• Esaurimento IPv4 (31 gennaio 2011 e successivi). Il pool libero di primo livello IANA è stato svuotato il 31 gennaio 2011, diciassette anni e mezzo dopo la pubblicazione di CIDR. APNIC ha seguito il 15 aprile 2011, LACNIC il 10 giugno 2014, ARIN il 24 settembre 2015, AfriNIC il 21 aprile 2017 e RIPE NCC il 25 novembre 2019. La transizione a IPv6 è in corso da due decenni e rimane incompleta; CIDR più NAT più RFC 1918 è il motivo per cui IPv4 è ancora in piedi.

Altre domande frequenti

Qual è la differenza tra una maschera di sottorete e un prefisso CIDR?

Esprimono la stessa informazione in due notazioni. /24 in CIDR è 255.255.255.0 come maschera di sottorete in decimale puntato: 24 1 seguiti da 8 0 in binario. CIDR è la notazione moderna compatta, la maschera di sottorete è la forma più vecchia che la maggior parte dei sistemi operativi di rete mostra ancora. Router e calcolatori accettano l'una o l'altra. Una scorciatoia di conversione utile: ogni ottetto della maschera è 0, 128, 192, 224, 240, 248, 252, 254 o 255 (gli unici pattern binari di 1 iniziali contigui), quindi 255.255.240.0 si legge subito come 8+8+4+0 = 20 bit di maschera, ovvero /20.

Perché non posso usare l'indirizzo di rete o di broadcast?

L'indirizzo di rete (tutti i bit di host a zero) è riservato come identificatore della sottorete stessa. L'indirizzo di broadcast (tutti i bit di host a uno) è riservato per «inviare a ogni host della sottorete». Router e sistemi operativi trattano il traffico verso questi due indirizzi in modo speciale, quindi non possono essere assegnati a un singolo host. L'unica eccezione standardizzata è /31: per la RFC 3021, entrambi gli indirizzi su un /31 sono utilizzabili perché sono destinati a collegamenti punto-punto senza broadcast. AWS va oltre e riserva 5 indirizzi per sottorete, quindi il conteggio di host utilizzabili nelle sottoreti cloud è totale meno 5, non totale meno 2.

E IPv6?

IPv6 usa la stessa idea di notazione a prefisso (/64, /48, ecc.) ma con indirizzi a 128 bit. La dimensione standard di sottorete per utente finale è /64, che contiene 2⁶⁴ = circa 18,4 quintilioni di indirizzi, abbastanza perché le reti IPv6 pratiche raramente si preoccupino di subnetting a livello di conteggio host. La RFC 7421 (2015) analizza perché /64 sia il confine. IPv6 non ha alcun indirizzo di broadcast (il multicast lo sostituisce), quindi la regola del «meno 2» non si applica. Questo calcolatore è solo IPv4; la matematica funziona allo stesso modo per IPv6 ma i numeri sono più grandi di una ventina di ordini di grandezza.

Qualcosa viene inviato a un server?

No. Il calcolatore funziona interamente nel tuo browser. Gli indirizzi inseriti vengono calcolati bit a bit contro le maschere in JavaScript e i risultati vengono renderizzati localmente. Nulla del tuo design di rete, intervalli IP o sottoreti pianificate viene trasmesso, registrato o memorizzato. Gli indirizzi che la gente immette nei calcolatori di sottorete sono molto spesso intervalli aziendali interni, design VPN o blueprint di topologia cloud, e la garanzia di privacy qui è che nessuna di queste informazioni lascia la tua macchina.

Qual è la sottorete pratica più piccola?

/30 per un tipico collegamento punto-punto (4 indirizzi, 2 host utilizzabili) o /31 per lo stesso caso con entrambi gli indirizzi utilizzabili per la RFC 3021. /32 è una rotta a host singolo usata per cose come alias di loopback, indirizzi di peer BGP, regole di firewall host o rotte nulle, non per segmenti LAN normali. Su una LAN Ethernet normale dove ARP, DHCP e broadcast devono funzionare, /29 (6 host utilizzabili) è il limite pratico inferiore; qualsiasi cosa più piccola priva il segmento di spazio per crescere.

Come scelgo un intervallo privato per la mia rete domestica o di ufficio?

Inizia elencando ogni rete che dovrai raggiungere: intervalli VPN aziendali, VPC AWS con cui potresti fare peering, VPN di partner commerciali, reti domestiche di amici se ti connetti mai da remoto. Scegli un intervallo privato che non si sovrapponga a nessuno di essi. 192.168.0.0/24 e 192.168.1.0/24 sono i default di ogni router domestico e si sovrappongono di continuo; 10.42.0.0/24 o 172.20.10.0/24 hanno molta meno probabilità di collidere con qualcosa in cui dovrai entrare via VPN. Se mai prevedi di unire due reti tramite VPN o transit, decidi sin dall'inizio l'allocazione della supernet genitrice e ritaglia /24 disgiunti da subito, perché rinumerare una rete attiva in seguito è un progetto di più sere anche nelle migliori condizioni.