La máscara de subred ayuda al dispositivo a entender qué parte de la dirección IPv4 pertenece a la red y qué parte queda para el dispositivo concreto. Sin máscara, una dirección como 192.168.1.25 dice poco sobre los límites de la red local. Con la máscara 255.255.255.0 esa misma dirección se interpreta mejor: red 192.168.1.0, dispositivo dentro de la red – 25.
En la práctica la máscara suele anotarse de dos maneras. La primera se parece a una dirección IPv4 normal, por ejemplo 255.255.255.0. La segunda se conoce como prefijo CIDR: /24, /26, /30. El número después de la barra indica cuántos bits iniciales de la dirección están ocupados por la parte de red. Este enfoque se adoptó después de que la direccionamiento por clases fuera reemplazado por CIDR, descrito en RFC 4632. En la documentación de Cloudflare la máscara también se describe como una guía interna para enrutadores: los paquetes en Internet llevan la dirección de destino y los enrutadores la comparan con prefijos de red conocidos.
Qué es la máscara de subred en IPv4 y para qué sirve
Una dirección IPv4 consta de 32 bits. Para mayor comodidad la gente la escribe con cuatro números entre 0 y 255, separados por puntos. La máscara de subred también tiene 32 bits. Los unos en la máscara señalan la parte de red; los ceros indican la parte destinada a los hosts, es decir, ordenadores, teléfonos, cámaras, servidores y otros dispositivos.
Por ejemplo, la máscara 255.255.255.0 en binario es: 11111111.11111111.11111111.00000000. Los primeros 24 bits son unos, por eso esa máscara se anota como /24. La dirección 192.168.1.25/24 significa que los tres primeros octetos forman la red 192.168.1.0 y el último octeto se reserva para los dispositivos.
La máscara no sirve solo para registrar direcciones de forma ordenada. Un dispositivo compara su dirección IP y la dirección de destino con la máscara para decidir si enviar el paquete directamente a la red local o reenviarlo al gateway. Si la dirección de destino cae en la misma subred, el dispositivo intenta encontrar al receptor dentro del segmento local. Si la dirección está fuera de la subred, el paquete se envía al enrutador.
Por eso un error en la máscara suele romper la conectividad de forma extraña. Dos equipos pueden tener direcciones IP correctas y el mismo gateway, pero uno de ellos considerará al vecino «externo» o, al contrario, intentará buscar una dirección remota dentro de la red local. En una red pequeña estos errores suelen manifestarse como una impresora, cámara o servidor inaccesible, aunque «Internet parece funcionar».
La máscara de subred no cifra el tráfico ni protege la red por sí sola. Solo define los límites del espacio de direcciones. Para proteger la red hacen falta reglas de firewall, segmentación, control de acceso y una ruta configurada correctamente.
Cómo calcular la máscara de subred, la red y el rango de direcciones
El método más claro parte del prefijo CIDR. Tomemos la dirección 192.168.10.34/27. El prefijo /27 significa que 27 bits están ocupados por la red y quedan 5 bits para las direcciones dentro de la subred. El número total de direcciones se calcula con la fórmula: 2 elevado a la cantidad de bits de host. En el ejemplo resulta 2^5 = 32 direcciones.
Para una subred IPv4 clásica normalmente se restan dos direcciones. La primera dirección del rango identifica la propia red y la última se usa como dirección de broadcast. Por tanto, /27 ofrece 30 direcciones útiles para dispositivos. Hay excepciones, por ejemplo en enlaces punto a punto y escenarios especiales, pero para una red local típica la regla de «menos dos» funciona.
Después hay que encontrar el tamaño del bloque de subred. Con /27 la máscara es 255.255.255.224. El último octeto significativo es 224. El cálculo del salto es: 256 – 224 = 32. Por tanto, las subredes avanzan en bloques de 32 direcciones: 192.168.10.0, 192.168.10.32, 192.168.10.64, 192.168.10.96 y así sucesivamente.
La dirección 192.168.10.34 está en el bloque de 192.168.10.32 a 192.168.10.63. Por eso la dirección de red será 192.168.10.32, la de broadcast – 192.168.10.63, y el rango útil para dispositivos – de 192.168.10.33 a 192.168.10.62.
| Prefijo | Máscara | Total de direcciones | Normalmente disponibles para hosts | Dónde se usa con frecuencia |
|---|---|---|---|---|
| /24 | 255.255.255.0 | 256 | 254 | Redes domésticas y de oficina |
| /25 | 255.255.255.128 | 128 | 126 | División de una /24 en dos mitades |
| /26 | 255.255.255.192 | 64 | 62 | Departamentos pequeños o VLAN |
| /27 | 255.255.255.224 | 32 | 30 | Segmentos pequeños |
| /28 | 255.255.255.240 | 16 | 14 | Subredes de servidores o de servicio |
| /30 | 255.255.255.252 | 4 | 2 | Enlaces punto a punto clásicos |
| /32 | 255.255.255.255 | 1 | 1 en escenarios especiales | Dirección de un solo host o loopback |
El cálculo inverso también es sencillo. Si hay que elegir una máscara para una cantidad de dispositivos, primero se toma el número de dispositivos, se añade margen y las dos direcciones reservadas, y luego se busca la potencia de dos inmediata superior. Por ejemplo, para 50 dispositivos hacen falta al menos 52 direcciones. La potencia de dos superior es 64. Para hosts hacen falta 6 bits, porque 2^6 = 64. Una dirección IPv4 tiene 32 bits, por tanto el prefijo será 32 – 6 = /26. La máscara para esa red es 255.255.255.192.
Para 100 dispositivos sirve /25: 128 direcciones en total y 126 para hosts. Para 200 dispositivos sirve /24: 256 direcciones en total y 254 para hosts. Para 500 dispositivos una sola /24 ya es insuficiente. Se necesita al menos un bloque de 512 direcciones, es decir /23, donde normalmente hay disponibles 510 direcciones para dispositivos.
Errores típicos al calcular la máscara de subred
El primer error se debe a la confusión entre la dirección IP del dispositivo, la dirección de red y la dirección de broadcast. En la red 192.168.1.0/24 la dirección 192.168.1.0 no se puede asignar a un equipo como dirección de host y 192.168.1.255 normalmente se usa para enviar mensajes dentro de la subred. El rango operativo comienza en 192.168.1.1 y termina en 192.168.1.254.
El segundo error surge al elegir la máscara «a ojo». Las máscaras no pueden ser números arbitrarios como 255.255.255.200. En una máscara válida los unos van contiguos de izquierda a derecha y después solo vienen ceros. Por eso son aceptables los valores de octeto: 0, 128, 192, 224, 240, 248, 252, 254 y 255. RFC 4632 describe explícitamente la máscara CIDR como una secuencia de unos más significativos seguida por ceros menos significativos.
El tercer error se relaciona con dejar poco margen de direcciones. Una red con 30 hosts disponibles puede parecer suficiente para 28 dispositivos, pero al cabo de un mes llegan teléfonos, impresoras, cámaras, puntos de acceso, máquinas virtuales y una red de invitados. Entonces el administrador se ve obligado a cambiar la esquema de direccionamiento con urgencia. En redes de trabajo es mejor prever crecimiento y dividir el espacio de direcciones en segmentos claros.
El cuarto error aparece al mezclar IPv4 e IPv6. La máscara 255.255.255.0 corresponde a IPv4. En IPv6 se usa notación con prefijo, por ejemplo /64, pero la mecánica de direccionamiento y las direcciones de broadcast habituales funcionan de forma distinta. No se deben trasladar reglas de IPv4 a IPv6 sin verificar.
¿Qué significa la máscara 255.255.255.0?
La máscara 255.255.255.0 equivale al prefijo /24. Los primeros 24 bits de la dirección indican la red y los últimos 8 bits quedan para los dispositivos. En esa subred hay 256 direcciones en total, de las cuales en un esquema típico están disponibles 254 para hosts.
¿En qué se diferencia la máscara del gateway?
La máscara define los límites de la subred y el gateway reenvía el tráfico a otras redes. Si un dispositivo detecta que la dirección de destino no pertenece a la subred local, el paquete se envía al gateway.
¿Cómo entender rápidamente cuántos hosts ofrece un prefijo?
Hay que restar el prefijo de 32 y calcular 2 elevado a la potencia resultante. Para /26 quedan 6 bits, por tanto hay 64 direcciones en total. En una subred IPv4 típica quedan 62 direcciones para hosts.
¿Se pueden usar /31 y /32?
Se pueden usar, pero no como subredes de usuario habituales. /32 designa una sola dirección y a menudo se usa para loopback o rutas específicas. /31 se aplica en ciertos enlaces punto a punto, si el equipo y el diseño de la red soportan ese modo.
¿Hace falta calcular la máscara manualmente cada vez?
Para aprendizaje y diagnóstico el cálculo manual es útil. En el trabajo real es más práctico comprobar los resultados con una calculadora CIDR, pero el administrador debe entender por qué la herramienta devolvió un rango concreto.
