La teoría de la máscara de subred es que define qué parte de la dirección IP es la dirección de red y qué parte de la dirección IP es la dirección de host:
10.100.0.1
- Dirección IP;
255.0.0.0
- Máscara de subred;
10
- dirección de red, 100.0.1
- dirección de host.
Los hosts dentro de la misma subred pueden comunicarse directamente entre sí. Eso significa que si el host A y B se encuentran dentro de la misma subred y A quiere hablar con B, entonces A enviará su tráfico directamente a B. Si el host A quiere hablar con el host C que se encuentra en una subred diferente, entonces A tendrá para enrutar este tráfico a la puerta de enlace que sabe (con suerte) cómo llegar a diferentes redes. Por lo tanto, depende del host definir dónde enviar el tráfico:
- Directamente al host (el segundo host está dentro de la misma subred)
- A la puerta de enlace (el segundo host pertenece a una subred diferente)
Lo que sucede en su caso es que sus clientes "autorizados" tienen direcciones IP 10.100.0.10 - 10.100.0.250
(supongo que la máscara de subred es 255.0.0.0
). El servidor tiene dirección IP 10.100.0.1
. Para un host del rango "Autorizado", este servidor se encuentra en la misma subred.
Si el host 10.100.0.10
del rango "Autorizado" quiere hablar con el servidor, primero verifica si este servidor está ubicado en la misma subred o no. Para el host 10.100.0.10
con máscara de subred, la 255.0.0.0
misma subred sería todos los hosts dentro del rango 10.0.0.1 - 10.255.255.254
. La dirección IP del servidor está en este rango. Por esta razón, un host del rango "Autorizado" intenta alcanzar el servidor directamente y (suponiendo que se encuentren en la misma red de Capa 2) este intento tiene éxito.
En este caso, aunque el servidor tiene una máscara de subred diferente, está ubicada en la subred más grande (que también es una subred para los clientes "autorizados"). Si su servidor tendrá un segundo byte diferente en la dirección IP ( 10.150.0.1
por ejemplo), no podrá responder al host desde el rango "Autorizado", porque desde la perspectiva del servidor, el rango "Autorizado" se vería como una subred y servidor diferentes necesitaría enviar tráfico a un enrutador. Si no hubiera enrutador, entonces no habría comunicación.
Si desea separar su red de las partes "Invitados" y "Autorizadas", debe hacer que se ubiquen en las diferentes subredes que no se superponen.
Por ejemplo:
- "Invitados" -
10.10.0.1
, máscara de subred255.255.0.0
- "Autorizado" -
10.20.0.1
, máscara de subred255.255.0.0
El servidor se ubicaría dentro de la parte "Autorizada" de la red con dirección IP 10.20.0.100
, máscara de subred 255.255.0.0
.
Con esta configuración, estas subredes se separarán efectivamente entre sí, ya que las partes de las direcciones IP que representan su subred serán diferentes:
10.10
para invitados
10.20
para autorizado
En este punto, la comunicación entre estas subredes será posible solo a través de un enrutador que tenga interfaces en ambas subredes.
Además, vale la pena mencionar que, si bien todas sus computadoras comparten la misma red de Capa 2, nada impedirá que los Invitados se asignen manualmente direcciones IP del rango "Autorizado". Esto hará que formen parte de la red autorizada.