Ir para o conteúdo

O Urbanista da Nuvem: Um Guia Prático sobre Sub-redes e CIDR

No último guia, definimos a nossa VPC como um grande "terreno privado" na nuvem, com um esquema de CEPs próprio (o bloco CIDR, ex: 10.0.0.0/16).

Mas uma cidade não é apenas um terreno gigante com 65.000 casas espalhadas. Ela é organizada em bairros, cada um com sua finalidade e nível de segurança. No mundo das redes, esses bairros são as Sub-redes.

Subnetting (ou "criar sub-redes") é a arte de pegar seu grande terreno e dividi-lo em bairros planejados e funcionais.

Por que Dividir? O Propósito da Sub-rede

A Dor que a Sub-rede Resolve: Uma rede única e "plana" com milhares de dispositivos é um pesadelo. * Segurança: Se um invasor entra na rede, ele pode ver e tentar atacar todos os outros dispositivos. * Organização: É impossível agrupar recursos por função (ex: servidores web em um lado, bancos de dados em outro). * Performance: O tráfego de "broadcast" (mensagens para todos) pode congestionar a rede.

Analogia: Ao criar "bairros" (sub-redes), você pode designar o "Bairro dos Servidores Web" (público), o "Bairro das Aplicações" (privado) e o "Bairro dos Bancos de Dados" (altamente restrito). Agora você pode criar regras de trânsito e segurança específicas para cada um.

A Ferramenta do Urbanista: Máscara de Sub-rede e CIDR

Como definimos o tamanho de cada "bairro"? Usando a notação CIDR.

  • Máscara de Sub-rede (ex: 255.255.255.0): A forma antiga. É o "gabarito" que separa a parte do endereço que identifica a Rede (a "Rua") da parte que identifica o Host (a "Casa").
  • Notação CIDR (ex: /24): O "atalho dos profissionais". É uma forma muito mais limpa de representar a mesma informação. /24 significa que os primeiros 24 dos 32 bits do endereço são para a Rede, deixando 8 bits para os Hosts.

Guia de Consulta Rápida (Cheat Sheet) do CIDR

Notação CIDR Máscara de Sub-rede Total de IPs no Bairro IPs Usáveis para Hosts na AWS
/16 255.255.0.0 65.536 65.531
/24 255.255.255.0 256 251
/27 255.255.255.224 32 27
/28 255.255.255.240 16 11

HACK PARA CERTIFICAÇÃO: A AWS reserva 5 endereços IP em cada sub-rede para seus próprios fins (roteador, DNS, etc.). Por isso, o número de IPs que você pode realmente usar para suas instâncias EC2 é sempre o total de IPs do bloco CIDR menos 5. Saber disso é crucial para questões de planejamento de capacidade.

Mão na Massa: Planejando os Bairros da sua VPC

Vamos a um cenário prático que encapsula as melhores práticas.

A Missão: Você tem uma VPC com o CIDR 10.0.0.0/16. Você precisa criar uma arquitetura segura para uma aplicação web, com alta disponibilidade (rodando em duas Zonas de Disponibilidade).

O Plano de Urbanismo:

  1. Bairros Públicos (para os Servidores Web):

    • Propósito: Receber o tráfego da internet.
    • Planejamento:
      • Sub-rede Pública A (na Zona de Disponibilidade us-east-1a): 10.0.1.0/24
      • Sub-rede Pública B (na Zona de Disponibilidade us-east-1b): 10.0.2.0/24

  2. Bairros Privados (para os Servidores de Aplicação):

    • Propósito: Processar a lógica de negócio, protegidos do acesso direto.
    • Planejamento:
      • Sub-rede Privada A (na Zona de Disponibilidade us-east-1a): 10.0.10.0/24
      • Sub-rede Privada B (na Zona de Disponibilidade us-east-1b): 10.0.11.0/24

  3. Bairros Ultra-Restritos (para os Bancos de Dados):

    • Propósito: Armazenar os dados na camada mais segura possível.
    • Planejamento:
      • Sub-rede Privada de BD A (na Zona de Disponibilidade us-east-1a): 10.0.20.0/24
      • Sub-rede Privada de BD B (na Zona de Disponibilidade us-east-1b): 10.0.21.0/24

O Resultado: Com este design, você criou uma arquitetura de múltiplas camadas (multi-tier). O tráfego da internet só pode chegar aos servidores web. Apenas os servidores web podem falar com os servidores de aplicação. E apenas os servidores de aplicação podem falar com os bancos de dados. É uma fortaleza digital com múltiplas muralhas de segurança.

INSIGHT PODEROSO: Subnetting não é sobre matemática, é sobre design de segurança. O ato de dividir sua VPC em sub-redes públicas e privadas é a prática de segurança de rede mais fundamental e eficaz que você pode implementar na AWS.

O Arquiteto de Redes: Guia Definitivo de Sub-redes, Classes e CIDR

Já estabelecemos que criar sub-redes é como ser um urbanista, dividindo o "terreno" da sua VPC em "bairros" seguros e organizados. Agora, vamos entender as ferramentas e as "leis de zoneamento" que regem essa construção.

Este guia vai te mostrar a história por trás do endereçamento IP, desde o sistema rígido de "Classes" até o modelo flexível "CIDR" que usamos hoje na AWS, e como isso impacta o design da sua rede.

O "Porquê" da Sub-rede (Os Benefícios do Planejamento)

Antes de mergulhar no "como", vamos reforçar o porquê de as organizações usarem sub-redes.

  • Analogia: Imagine uma cidade com 50.000 casas, mas sem bairros ou ruas secundárias, apenas uma única avenida gigante. O trânsito seria insuportável e a segurança, impossível.
  • A Dor que as Sub-redes Resolvem:
    • Redução de Tráfego: Isola o tráfego em "bairros", evitando que a conversa de um departamento congestione a rede de outro.
    • Melhoria de Segurança: Permite criar "muralhas" (Network ACLs) entre os bairros. Você pode, por exemplo, impedir que o "Bairro de Visitantes" (sub-rede pública) acesse diretamente o "Bairro da Diretoria" (sub-rede privada).
    • Eficiência de Endereçamento: Evita o desperdício de endereços IP, permitindo um planejamento mais granular.

O Plano Diretor Antigo (Classes de IP)

No início da internet, os endereços IP eram distribuídos em "lotes" de tamanhos fixos, chamados de Classes. O tipo de lote era definido pelo primeiro número do endereço IP.

  • Analogia: O "plano diretor antigo da cidade" só vendia três tamanhos de terreno:
    • Classe A: Um "estado inteiro". Poucos disponíveis, mas com milhões de lotes internos.
    • Classe B: Um "município grande". Mais disponíveis, com 65.536 lotes internos.
    • Classe C: Um "bairro pequeno". Muitos disponíveis, mas com apenas 254 lotes internos.
Classe Primeiro Número (Octeto) Divisão Padrão (Rede/Host)
A 1 – 126 Rede.Host.Host.Host
B 128 – 191 Rede.Rede.Host.Host
C 192 – 223 Rede.Rede.Rede.Host
D 224 – 239 Usada para Multicast (transmissão para múltiplos destinos).
E 240 – 255 Reservada para pesquisa e desenvolvimento.

INSIGHT PODEROSO (O Problema das Classes): Este sistema era incrivelmente desperdiçador. Se uma empresa precisasse de 500 endereços, um "bairro" de Classe C (254) era pequeno demais. Ela era forçada a pegar um "município" de Classe B (65.536), desperdiçando mais de 65.000 endereços! Esse desperdício acelerou o esgotamento dos IPs IPv4 e levou à criação de um sistema melhor.

A Revolução Flexível (CIDR - O Padrão Moderno)

O CIDR (Classless Inter-Domain Routing) aboliu o sistema de classes.

  • Analogia: O "novo plano diretor flexível". Em vez de 3 tamanhos de lote, agora o urbanista pode criar um bairro do tamanho exato que precisar, usando a notação / (ex: /22, /24, /28).
  • Como Funciona: O número após a barra (/24) define exatamente quantos bits são para a "Rede". O restante é para os "Hosts". Isso permite um planejamento de rede muito mais eficiente e é o padrão usado em toda a AWS.

A Anatomia de uma Sub-rede

Toda sub-rede, definida por seu bloco CIDR, possui estas partes:

  • ID de Rede: O primeiro endereço do bloco (ex: 10.0.1.0). É o "CEP do bairro". Não pode ser usado por um host.
  • ID de Transmissão (Broadcast): O último endereço do bloco (ex: 10.0.1.255). É um "megafone" para falar com todos os hosts do bairro ao mesmo tempo. Não pode ser usado por um host.
  • Intervalo de Hosts: Todos os endereços entre o ID de Rede e o ID de Transmissão. São os IPs que você pode atribuir às suas instâncias EC2.

HACK PARA CERTIFICAÇÃO: A AWS e a internet moderna operam em um mundo Sem Classes (Classless), usando CIDR. Você precisa conhecer as Classes A, B e C como contexto histórico e para lembrar das faixas de IP privado (a faixa 10.x.x.x é de Classe A, por exemplo). Mas todo o planejamento prático que você fará na VPC é com a notação CIDR (/16, /24, etc.).

Com este guia, você entende a evolução do endereçamento de redes e está pronto para planejar sua VPC com as práticas mais modernas e eficientes.

O Decodificador de Endereços: Guia Prático sobre Máscaras de Sub-rede

Já estabelecemos que um endereço IP como 10.0.1.50 tem duas partes: a Rede (a "rua") e o Host (o "número da casa"). Mas como um computador, que só vê uma sequência de números, sabe onde termina uma parte e começa a outra?

Ele usa uma ferramenta de decodificação chamada Máscara de Sub-rede.

  • Analogia: Pense na Máscara de Sub-rede como um "Gabarito de Pintura" (Stencil).
    • O Endereço IP: É uma parede com uma longa sequência de números.
    • A Máscara de Sub-rede: É um gabarito de papelão que você coloca sobre esses números. Onde o gabarito tem buracos, a tinta passa e revela a parte da Rede ("a rua"). Onde o gabarito é sólido, a tinta é bloqueada e esconde a parte do Host ("o número da casa").

A Dor que a Máscara Resolve: A incerteza. Sem a máscara, um computador não saberia se outro IP está na sua "rua" ou em uma "rua do outro lado da cidade", e não saberia como enviar os dados.

Como o Gabarito Funciona (A Lógica Binária)

A máscara é um número de 32 bits, assim como o endereço IP. A regra é simples:

  • Os bits 1 na máscara correspondem à parte da Rede.
  • Os bits 0 na máscara correspondem à parte do Host.

Quando representamos isso em decimal, os 1s viram 255 e os 0s viram 0.

Os "Gabaritos Padrão" do Plano Diretor Antigo (Classes)

Classe Divisão Padrão (Rede/Host) Máscara de Sub-rede Padrão
A Rede.Host.Host.Host 255.0.0.0
B Rede.Rede.Host.Host 255.255.0.0
C Rede.Rede.Rede.Host 255.255.255.0

O Poder da Máscara: A Tomada de Decisão

O principal uso da máscara no dia a dia é permitir que seu computador tome uma decisão crucial para cada pacote de dados que ele envia:

"Devo entregar este pacote diretamente ao meu vizinho na mesma rua, ou devo entregá-lo ao carteiro (Roteador) para que ele o leve para outra cidade?"

O Fluxo de Pensamento de um Computador:

  1. Cenário: Meu IP é 10.0.1.50 e minha máscara é 255.255.255.0. Quero enviar dados para 10.0.1.75.
  2. Autoanálise: "Aplico meu gabarito (255.255.255.0) ao meu próprio IP (10.0.1.50). O resultado revela que a minha 'rua' é 10.0.1."
  3. Análise do Destino: "Aplico o mesmo gabarito ao IP de destino (10.0.1.75). O resultado revela que a 'rua' dele também é 10.0.1."
  4. Decisão: "Ele é meu vizinho! Vou entregar o pacote diretamente através do Switch da nossa rede local."
  1. Cenário 2: Meu IP é 10.0.1.50. Quero enviar dados para o Google em 8.8.8.8.
  2. Autoanálise: "Minha 'rua' é 10.0.1."
  3. Análise do Destino: "Aplico meu gabarito ao IP de destino (8.8.8.8). O resultado revela que a 'rua' dele é 8.8.8."
  4. Decisão: "Ele mora em outra cidade! Preciso entregar este pacote ao meu Gateway Padrão (Roteador), pois ele sabe como encontrar outras cidades na internet."

Da Máscara ao CIDR: O Padrão da Nuvem

Digitar 255.255.255.0 é tedioso. O mundo moderno e a AWS usam a notação CIDR.

  • O que é? Uma forma curta de escrever a máscara de sub-rede. O número após a / representa quantos bits 1 existem na máscara.
  • Tradução:
    • 255.255.255.0 em binário tem 24 bits 1 seguidos de 8 bits 0. Portanto, a notação CIDR é /24.
    • 255.255.0.0 em binário tem 16 bits 1 seguidos de 16 bits 0. Portanto, a notação CIDR é /16.

HACK PARA CERTIFICAÇÃO: Para a prova e para o console da AWS, você vai interagir com o CIDR. Saber associar os CIDRs mais comuns às suas máscaras decimais é um diferencial. * /8 = 255.0.0.0 * /16 = 255.255.0.0 * /24 = 255.255.255.0 A máscara de sub-rede e o CIDR são duas formas de dizer exatamente a mesma coisa.

A máscara de sub-rede não é apenas um número de configuração; é a inteligência que permite que o tráfego de rede flua de forma eficiente e lógica.

CIDR: A Linguagem dos Arquitetos de Rede

Nos últimos guias, vimos as "leis de zoneamento" da internet: os endereços IP, as Classes (o plano diretor antigo) e as Máscaras de Sub-rede (a descrição legal de um bairro). Agora, vamos aprender a ferramenta que os arquitetos modernos usam para desenhar seus mapas.

Pense na Máscara de Sub-rede (255.255.255.0) como a "descrição por extenso em um documento legal". É precisa, mas longa e pouco prática. A Notação CIDR (/24) é o "carimbo oficial do urbanista". É uma anotação curta, elegante e universalmente compreendida que contém a mesma informação.

O que é CIDR e a Dor que Ele Resolve

CIDR significa Classless Inter-Domain Routing (Roteamento Entre Domínios Sem Classes).

A palavra-chave aqui é Sem Classes (Classless).

  • A Dor do Sistema Antigo: Como vimos, o sistema de Classes A, B e C era rígido e desperdiçador. Você só podia ter redes de tamanhos pré-definidos, o que levava a um enorme desperdício de endereços IPv4.
  • A Solução CIDR: O CIDR aboliu essas regras. Ele introduziu um método flexível para definir redes de qualquer tamanho, usando uma simples barra (/) para indicar o tamanho da porção da Rede.

INSIGHT PODEROSO: CIDR não é uma alternativa à criação de sub-redes. CIDR é a forma moderna de se definir e criar sub-redes. É a linguagem que usamos para aplicar as máscaras de sub-rede.

Decodificando a Barra: Como Calcular o Tamanho da Rede

A lógica é muito simples:

  1. Um endereço IPv4 tem 32 bits no total.
  2. O número do CIDR (ex: /24) lhe diz quantos desses bits são fixos e pertencem à Rede (a "rua").
  3. O resto dos bits são flexíveis e pertencem aos Hosts (as "casas").

A Fórmula Mágica: * Bits de Host = 32 - (Número do CIDR) * Total de IPs na Rede = 2 ^ (Bits de Host)

Exemplo Prático: 192.168.1.0/24 * Bits de Rede: 24 * Bits de Host: 32 - 24 = 8 * Total de IPs: 2⁸ = 256 endereços (de 192.168.1.0 a 192.168.1.255).

Guia de Consulta Rápida do CIDR

Notação CIDR Total de IPs IPs Usáveis na AWS (-5) Máscara de Sub-rede Equivalente
/16 65.536 65.531 255.255.0.0
/24 256 251 255.255.255.0
/28 16 11 255.255.255.240

CIDR na Prática: O Coração da Sua VPC

Você usará a notação CIDR em três lugares principais no seu dia a dia na AWS:

  1. Ao Criar a VPC:

    • O quê: Você define o "terreno" principal.
    • Exemplo: 10.0.0.0/16. Isso dá à sua fortaleza um espaço privado para 65.536 endereços.

  2. Ao Criar as Sub-redes:

    • O quê: Você "fatia" seu terreno em "bairros" menores.
    • Exemplo: Você cria uma sub-rede pública 10.0.1.0/24 (256 IPs) e uma privada 10.0.2.0/24 (256 IPs) dentro da sua VPC 10.0.0.0/16.

  3. Ao Configurar Security Groups e NACLs:

    • O quê: Você define de onde o tráfego pode vir ou para onde ele pode ir.
    • Exemplo: Para permitir que qualquer pessoa acesse seu site, na regra do Security Group você coloca a Origem (Source) como 0.0.0.0/0.

HACK PARA CERTIFICAÇÃO: A notação CIDR 0.0.0.0/0 é uma abreviação que significa "qualquer endereço IPv4 na internet". É a forma mais comum de representar "o mundo inteiro" em regras de firewall e tabelas de rotas. Saber o que isso significa é absolutamente essencial para a prova.

Tópico Avançado: Super-redes (Supernetting)

O CIDR também permite fazer o oposto de uma sub-rede. Ele permite agrupar várias redes pequenas em uma única rota maior. * Analogia: Em vez de dar ao carteiro 8 endereços de ruas vizinhas, você simplesmente diz a ele: "Entregue tudo no 'Distrito Central'". * A Dor que Resolve: Simplifica drasticamente as tabelas de roteamento em grandes redes, tornando-as mais eficientes.

Com este guia, a notação CIDR deixa de ser um detalhe técnico e se torna a sua principal ferramenta de design para criar redes eficientes, organizadas e seguras na AWS.