Calculadora de sub-rede IP

Breve história do CIDR e da sub-rede IPv4

Quando a RFC 791 padronizou o Protocolo de Internet em setembro de 1981, os endereços IPv4 eram divididos em classes rígidas. Alocações de Classe A davam 16.777.214 hosts, Classe B dava 65.534, Classe C dava 254, e não havia nada entre eles. Qualquer organização que precisasse de mais de 254 hosts pedia uma Classe B, mesmo que só tivesse 1.000 funcionários, e dezenas de milhares de endereços eram desperdiçados por alocação. No fim dos anos 80, as Classe B desapareciam rapidamente, a tabela de roteamento global ultrapassava a memória dos roteadores de núcleo, e o espaço IPv4 de 32 bits era consumido mais rápido do que seus projetistas jamais esperaram. A RFC 1518 e a RFC 1519 (setembro de 1993) introduziram o Roteamento Inter-Domínios Sem Classes, pronunciado «cider», que permite à fronteira rede/host cair em qualquer posição de bit e permite que dezesseis /24 contíguos sejam anunciados como um único /20. A alocação finalmente correspondeu à necessidade, a tabela BGP deixou de colapsar sob o próprio peso, e o esgotamento do IPv4 foi adiado em cerca de dezessete anos e meio para o futuro. A RFC 4632 reeditou e tornou obsoleta a RFC 1519 em agosto de 2006 e continua sendo a autoridade atual. Três faixas privadas foram talhadas pela RFC 1918 em fevereiro de 1996 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), dando a cada roteador doméstico com NAT e firewall corporativo um pool de endereços utilizáveis que a internet pública nunca rotearia. A RFC 3021 (dezembro de 2000) abriu a exceção /31 para enlaces ponto a ponto, economizando cerca de dois endereços IPv4 por circuito roteador a roteador. O pool livre de topo da IANA foi finalmente esgotado em 31 de janeiro de 2011; a APNIC seguiu em abril de 2011, a LACNIC em 2014, a ARIN em 2015, a AfriNIC em 2017 e a RIPE NCC em novembro de 2019. O CIDR é a razão pela qual qualquer dessas datas está nesta década e não nos anos 1990.

A anatomia de um cálculo de sub-rede

• O endereço IPv4 de 32 bits. Todo endereço IPv4 tem 32 bits, convencionalmente escrito como quatro octetos de 8 bits em decimal pontuado: 192.168.1.0 em binário é 11000000.10101000.00000001.00000000. O espaço IPv4 total é 2³², cerca de 4,3 bilhões de endereços, o que em 1981 parecia infinito e se esgotou em 2011 (IANA), 2015 (ARIN) e 2019 (RIPE NCC). Toda a aritmética de sub-rede opera bit a bit sobre esse valor de 32 bits.
• O comprimento do prefixo CIDR. O número após a barra em 192.168.1.0/24 conta os bits 1 iniciais consecutivos na máscara de sub-rede, equivalentemente o número de bits que identificam a rede. O que sobra identifica o host dentro daquela rede. Um /24 reserva 24 bits para a rede e 8 bits para hosts; um /30 reserva 30 e 2; um /16 reserva 16 e 16. O prefixo pode cair em qualquer posição de bit, de /0 (toda a internet) a /32 (um único host).
• A máscara de sub-rede. A gêmea em decimal pontuado do prefixo CIDR. /24 é 255.255.255.0, ou seja, 24 uns binários seguidos de 8 zeros binários. /27 é 255.255.255.224 (o último octeto é 11100000). Roteadores e sistemas operacionais aceitam qualquer notação de forma intercambiável. O complemento da máscara, a máscara curinga, é o que as listas de controle de acesso da Cisco usam: uma correspondência ACL /24 é escrita 0.0.0.255, não 255.255.255.0.
• O endereço de rede. Calculado como IP AND máscara_sub-rede bit a bit: o AND zera cada bit de host e deixa a porção de rede intacta. Para 192.168.1.27/24 a máscara é 255.255.255.0 e o endereço de rede é 192.168.1.0. O endereço de rede identifica a própria sub-rede e não pode ser atribuído a um host, com a única exceção do /31 (RFC 3021).
• O endereço de broadcast. Calculado como endereço_rede OR (NOT máscara_sub-rede) bit a bit: definir cada bit de host como 1. Para 192.168.1.0/24 o broadcast é 192.168.1.255; para 192.168.1.0/27 é 192.168.1.31. O tráfego para o endereço de broadcast é entregue a todo host da sub-rede ao mesmo tempo, portanto o endereço é reservado e não atribuível. O /31 é novamente a exceção, porque um enlace ponto a ponto tem só dois extremos e não precisa de broadcast.
• Endereços totais e hosts utilizáveis. Endereços totais na sub-rede = 2^{(32 − prefixo)}. Um /24 contém 256, um /27 contém 32, um /30 contém 4. Hosts utilizáveis = total − 2, subtraindo os endereços de rede e broadcast, então um /24 dá 254 hosts atribuíveis e um /27 dá 30. Duas exceções: /31 conforme a RFC 3021 dá 2 hosts utilizáveis (ambos endereços atribuíveis em um enlace ponto a ponto), e /32 representa uma rota de host único. Sub-redes AWS são uma terceira exceção na prática porque a AWS reserva 5 endereços por sub-rede, não 2, então um /24 da AWS dá 251 hosts utilizáveis.

Tamanhos de sub-rede comuns e onde aparecem

• LANs domésticas e de pequeno escritório (/24). Quase todo roteador de consumo no mercado (Linksys, Netgear, Asus, TP-Link, eero, Google Nest Wifi) vem com um /24 padrão dentro da faixa RFC 1918 192.168.0.0/16, geralmente 192.168.0.0/24 ou 192.168.1.0/24. 254 hosts utilizáveis por LAN, o próprio roteador costuma pegar .1, o endereço de rede termina em .0 e o broadcast termina em .255. Os padrões se sobrepõem a tudo, razão pela qual usuários de VPN frequentemente renumeram para algo menos comum, como 192.168.42.0/24 ou 10.42.0.0/24.
• Redes empresariais de médio a grande porte (hierarquias 10.0.0.0/8). Grandes empresas e lojas cloud-native talham tudo a partir de 10.0.0.0/8, o maior bloco da RFC 1918 com 16,7 milhões de endereços. /16 por site, /20 por região, /22 por departamento, /24 por VLAN; a hierarquia espelha o organograma e agrega rota limpamente em direção ao núcleo. Empresas de porte médio costumam escolher 172.16.0.0/12 porque é a faixa RFC 1918 menos usada e menos propensa a se sobrepor aos roteadores de consumo aleatórios que seus funcionários usam em casa.
• Sub-redes em nuvem (AWS VPC, Azure VNet, GCP VPC). A convenção AWS VPC é uma supernet /16 de uma das faixas RFC 1918, subdividida em sub-redes /20 ou /24 por zona de disponibilidade, separadas em camadas pública, privada e de banco de dados. A AWS reserva 5 endereços por sub-rede, não 2 (o endereço de rede, o broadcast, mais o roteador da VPC, DNS e um em reserva), então um /24 da AWS tem 251 endereços utilizáveis em vez de 254. Regra crítica: VPCs que precisam fazer peering ou compartilhar um transit gateway não podem ter faixas CIDR sobrepostas, então uma implantação multi-conta ou multi-região precisa de um plano mestre de alocação desde o primeiro dia.
• Enlaces ponto a ponto (/30 e /31). Circuitos roteador a roteador, túneis GRE, túneis IPsec e enlaces seriais carregam exatamente dois extremos. O /30 clássico dá 4 endereços com 2 hosts utilizáveis e 2 desperdiçados (rede e broadcast). Equipamentos modernos suportam /31 conforme a RFC 3021, que dá 2 endereços com ambos utilizáveis, reduzindo pela metade o consumo de IPv4. Um backbone com 500 circuitos ponto a ponto economiza cerca de 1.000 endereços IPv4 ao trocar /30 por /31; em um backbone de internet pública onde cada endereço IPv4 tem valor monetário, isso é dinheiro de verdade.
• DMZs, VLANs de servidor e segmentos pequenos (/27 a /29). Um segmento de zona desmilitarizada para alguns servidores expostos à internet, uma VLAN de gerência para loopbacks de switches, uma pequena fazenda de servidores, um pequeno segmento IoT, uma rede de administração fora de banda: estes geralmente rodam em /27 (30 hosts), /28 (14 hosts) ou /29 (6 hosts). Segmentos dimensionados sob medida limitam o ruído de domínio de broadcast e reduzem o raio de impacto quando algo é mal configurado ou comprometido. Quase toda questão de cenário de certificação cai em algum lugar nessa faixa de prefixo porque a aritmética binária não é trivial sem papel.
• Preparação para certificações (CompTIA Network+, Cisco CCNA / CCNP, JNCIA). O cálculo de sub-rede é item fixo de todo exame de redes de nível inicial, e a pressão de tempo é brutal: candidatos costumam ter menos de 30 segundos por questão de endereço e prefixo. As dicas clássicas de estudo são o método do número mágico (256 menos o octeto de máscara relevante dá o passo da sub-rede) e o exercício binário de subnetting em sete segundos popularizado pelo Professor Messer. Uma calculadora como essa é mais rápida do que qualquer um dos dois métodos no trabalho real de engenharia de rede; os dois métodos existem para a sala de prova onde calculadoras não são permitidas.

RFCs-chave e marcos históricos

• RFC 791 (setembro de 1981). A especificação original do Protocolo de Internet de Jon Postel. Definiu o IPv4, o endereço de 32 bits, a notação decimal pontuada e o esquema de alocação com classes original (Classes A, B, C, D, E). O projeto com classes durou doze anos antes que a escala forçasse sua substituição e continua sendo a razão histórica de os prefixos /8, /16 e /24 ainda parecerem «naturais» hoje.
• RFC 1518 e RFC 1519 (setembro de 1993). O par de RFCs que introduziu o Roteamento Inter-Domínios Sem Classes (CIDR). A RFC 1518 (Rekhter e Li) estabeleceu a arquitetura; a RFC 1519 (Fuller, Li, Yu, Varadhan) definiu a estratégia de atribuição e agregação de endereços. Juntas, substituíram o sistema rígido de Classes A/B/C pela notação de prefixo de comprimento variável que cada roteador da Terra agora fala. A RFC 1519 foi tornada obsoleta pela RFC 4632 em 2006.
• RFC 1918 (fevereiro de 1996), BCP 5. Yakov Rekhter, Robert Moskowitz, Daniel Karrenberg, Geert Jan de Groot e Eliot Lear redigiram o documento que talhou as três faixas privadas de IPv4 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e as declarou não roteáveis na internet pública. Toda rede doméstica com NAT, LAN corporativa e VPC em nuvem desde 1996 escolheu seus endereços de um desses três blocos.
• RFC 3021 (dezembro de 2000). Retana, White, Fuller e McPherson talharam a exceção /31. Em um enlace ponto a ponto com exatamente dois extremos, não há necessidade de um endereço de broadcast, então os dois endereços em um /31 podem ser atribuídos como endereços de host. A mudança economizou dezenas de milhares de endereços IPv4 nos backbones globais de ISPs nas duas décadas seguintes.
• RFC 4632 (agosto de 2006), BCP 122. Vince Fuller e Tony Li reeditaram a especificação CIDR, tornando obsoleta a RFC 1519 treze anos após a original. A RFC 4632 é a autoridade atual para atribuição e agregação de endereços IPv4 e continua sendo o documento que um engenheiro de rede cita quando perguntado «onde o CIDR vive nos padrões?»
• RFC 6598 (abril de 2012). Reservou 100.64.0.0/10 para Carrier-Grade NAT, a segunda camada de NAT que os ISPs colocam entre os roteadores dos assinantes e a internet pública depois que esgotam suas próprias alocações IPv4. Notoriamente confundida com o espaço privado da RFC 1918, mas distinta: uma rede de usuário final não deve escolher desse bloco, porque o ISP já o está usando do outro lado do roteador doméstico.
• RFC 6890 (abril de 2013), BCP 153, atualizada pela RFC 8190 (junho de 2017). Consolidou cada reserva de propósito especial IPv4 (e IPv6) em um único Registro de Endereços de Propósito Especial da IANA. Loopback (127.0.0.0/8), link local (169.254.0.0/16), faixas de documentação (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24), o /4 de multicast e o /10 de CGN estão todos enumerados sob um único registro canônico em vez de espalhados por meia dúzia de RFCs mais antigas.
• Esgotamento do IPv4 (31 de janeiro de 2011 e depois). O pool livre de topo da IANA foi esvaziado em 31 de janeiro de 2011, dezessete anos e meio após a publicação do CIDR. A APNIC seguiu em 15 de abril de 2011, LACNIC em 10 de junho de 2014, ARIN em 24 de setembro de 2015, AfriNIC em 21 de abril de 2017 e RIPE NCC em 25 de novembro de 2019. A transição para o IPv6 está em andamento há duas décadas e segue incompleta; CIDR mais NAT mais RFC 1918 é a razão de o IPv4 ainda estar de pé.

Mais perguntas frequentes

Qual é a diferença entre uma máscara de sub-rede e um prefixo CIDR?

Expressam a mesma informação em duas notações. /24 em CIDR é 255.255.255.0 como máscara de sub-rede em decimal pontuado: 24 uns seguidos de 8 zeros em binário. CIDR é a notação compacta moderna, a máscara de sub-rede é a forma mais antiga que a maioria dos sistemas operacionais de rede ainda exibe. Roteadores e calculadoras aceitam qualquer das duas. Um atalho útil de conversão: cada octeto da máscara é 0, 128, 192, 224, 240, 248, 252, 254 ou 255 (os únicos padrões binários de uns iniciais contíguos), então 255.255.240.0 se lê imediatamente como 8+8+4+0 = 20 bits de máscara, ou /20.

Por que não posso usar o endereço de rede ou de broadcast?

O endereço de rede (todos os bits de host zero) é reservado como o identificador da própria sub-rede. O endereço de broadcast (todos os bits de host um) é reservado para «enviar a todo host da sub-rede». Roteadores e sistemas operacionais tratam o tráfego para esses dois endereços de forma especial, portanto não podem ser atribuídos a um único host. A única exceção padronizada é /31: conforme a RFC 3021, ambos os endereços em um /31 são utilizáveis porque se destinam a enlaces ponto a ponto sem broadcast. A AWS vai além e reserva 5 endereços por sub-rede, então a contagem de hosts utilizáveis em sub-redes na nuvem é total menos 5, não total menos 2.

E o IPv6?

O IPv6 usa a mesma ideia de notação de prefixo (/64, /48, etc.), mas com endereços de 128 bits. O tamanho padrão de sub-rede para usuário final é /64, que contém 2⁶⁴ = cerca de 18,4 quintilhões de endereços, o suficiente para que redes IPv6 práticas raramente se preocupem com subnetting no nível de contagem de hosts. A RFC 7421 (2015) analisa por que /64 é a fronteira. O IPv6 não tem endereço de broadcast (multicast o substitui), então a regra de «subtrair 2» não se aplica. Esta calculadora é só IPv4; a matemática funciona da mesma forma para IPv6, mas os números são maiores em umas vinte ordens de grandeza.

Algo é enviado para um servidor?

Não. A calculadora roda inteiramente no seu navegador. Os endereços inseridos são computados bit a bit contra máscaras em JavaScript e os resultados são renderizados localmente. Nada sobre o design da sua rede, faixas de IP ou sub-redes planejadas é transmitido, registrado ou armazenado. Os endereços que as pessoas digitam em calculadoras de sub-rede são muitas vezes faixas internas corporativas, designs de VPN ou plantas de topologia em nuvem, e a garantia de privacidade aqui é que nenhuma dessas informações sai da sua máquina.

Qual é a menor sub-rede prática?

/30 para um enlace ponto a ponto típico (4 endereços, 2 hosts utilizáveis) ou /31 para o mesmo caso com ambos endereços utilizáveis conforme a RFC 3021. /32 é uma rota de host único usada para coisas como aliases de loopback, endereços de pares BGP, regras de firewall de host ou rotas nulas, não para segmentos LAN normais. Em uma LAN Ethernet regular onde ARP, DHCP e broadcast precisam funcionar, /29 (6 hosts utilizáveis) é o piso prático; algo menor deixa o segmento sem espaço para crescer.

Como escolho uma faixa privada para minha rede doméstica ou de escritório?

Comece listando cada rede que você precisará alcançar: faixas de VPN corporativa, VPCs AWS com as quais possa fazer peering, VPNs de parceiros de negócios, redes domésticas de amigos se você se conectar remotamente. Escolha uma faixa privada que não se sobreponha a nenhuma delas. 192.168.0.0/24 e 192.168.1.0/24 são o padrão de todo roteador doméstico e se sobrepõem constantemente; 10.42.0.0/24 ou 172.20.10.0/24 são muito menos propensos a colidir com qualquer coisa em que você precise entrar via VPN. Se algum dia planejar fundir duas redes via VPN ou trânsito, decida a alocação do supernet pai desde o início e talhe /24 disjuntos a partir do começo, porque renumerar uma rede ativa depois é um projeto de várias noites mesmo nas melhores condições.