Una máscara de red (o subnet mask / netmask) define qué parte de una IP es red y cuál es host. Es la base del direccionamiento IPv4 (en IPv6 hablamos de prefijo, no de “máscara” como tal). Gracias a la máscara puedo segmentar, organizar y proteger mejor mis redes. En mi día a día, me permite asignar IPs con orden y evitar choques de rangos; cuando empecé a meter IoT en casa, entendí que una buena máscara es mitad seguridad, mitad organización.
Conceptos básicos: IP, bits de red y bits de host
Una dirección IPv4 tiene 32 bits, divididos en 4 octetos (por ejemplo, 192.168.10.25). La máscara (p. ej., 255.255.255.0) también son 32 bits: los 1 indican red; los 0, host. Con CIDR expresamos la máscara como /n (cantidad de 1s):
255.255.255.0= /24 → 24 bits de red, 8 de host.255.255.255.192= /26 → 26 bits de red, 6 de host.
Binario en 10 segundos:192.168.10.25 → 11000000 . 10101000 . 00001010 . 00011001255.255.255.0 → 11111111 . 11111111 . 11111111 . 00000000
Cómo funciona la máscara: del AND lógico al broadcast y gateway
Para hallar la red se hace un AND lógico entre la IP y la máscara.
Ejemplo rápido:
- IP:
192.168.10.25 - Máscara:
255.255.255.0(/24) - Red:
192.168.10.0 - Broadcast:
192.168.10.255(todos los bits de host a 1) - Rango utilizable:
192.168.10.1–192.168.10.254(254 hosts)
En redes pequeñas, yo suelo usar como gateway el primer IP utilizable (.1) o el último (.254), por consistencia.
CIDR explicado en 2 minutos
- /24: 256 IPs totales, 254 utilizables.
- /26: 64 totales, 62 utilizables (bloques de 64: 0–63, 64–127, 128–191, 192–255).
- /30: 4 totales, 2 utilizables (enlaces muy pequeños).
En mi experiencia, con dos o tres patrones CIDR ya cubres el 80% de los casos domésticos y de pyme.
/31 (RFC 3021) y enlaces punto-a-punto
Caso especial: /31 tiene 2 direcciones y, en enlaces punto-a-punto, ambas se consideran utilizables (no hay broadcast clásico). Es perfecto para ahorrar IPs en troncales entre routers. En mis despliegues de IoT y uplinks, /31 me ha ahorrado rangos enteros.
Tabla práctica de máscaras: /0 a /32 (IPs totales y utilizables)
| Prefijo | Máscara decimal | IPs totales | Hosts utilizables* |
|---|---|---|---|
| /24 | 255.255.255.0 | 256 | 254 |
| /26 | 255.255.255.192 | 64 | 62 |
| /27 | 255.255.255.224 | 32 | 30 |
| /28 | 255.255.255.240 | 16 | 14 |
| /29 | 255.255.255.248 | 8 | 6 |
| /30 | 255.255.255.252 | 4 | 2 |
| /31** | 255.255.255.254 | 2 | 2 (p2p) |
| /32 | 255.255.255.255 | 1 | 1 (host/loopback) |
* En subredes tradicionales se resta red y broadcast; /31 es la excepción habitual en enlaces punto-a-punto.
Consejo práctico: si dudas entre dos tamaños, elige el siguiente más grande para margen de crecimiento.
Wildcard mask (para ACL y filtros)
En ACL de routers/firewalls se usa la wildcard mask (máscara comodín), que es básicamente el inverso de la máscara de subred. Ejemplos:
- /24 →
255.255.255.0→ wildcard0.0.0.255 - /26 →
255.255.255.192→ wildcard0.0.0.63
Me ha salvado más de una vez al escribir reglas claras para permitir solo un segmento (192.168.10.0 0.0.0.255).
Elegir la máscara adecuada según el caso
Red doméstica (/24 y variantes)
Para casas y pisos con decenas de dispositivos (móviles, TV, consolas), /24 es práctico: 254 hosts. Yo segmenté IoT (bombillas, cámaras) con otra VLAN y /26 para aislarlas del resto; la red se volvió más tranquila y segura.
Pyme y segmentación básica (/26, /27)
En oficinas pequeñas, pienso en departamentos o funciones:
- /26 (62 hosts) para “Usuarios”.
- /27 (30 hosts) para “Invitados”.
Así reduzco dominios de broadcast y aplico ACL entre VLANs. Desde que lo hago, el soporte bajó porque la red deja de ahogarse cuando hay picos.
IoT y redes aisladas (/30, /31)
Para enlaces router↔router o uplinks a equipos remotos, /31 es oro (ahorra IPs). Para dispositivos en pareja (PLC↔PLC, gateway↔sensor), un /30 mantiene las cosas limpias. En mi caso, suelo tirar de calculadoras de subred para validar rangos antes de aplicar en producción.
Ejemplos resueltos paso a paso (calculadora incluida)
De requerimientos a máscara (método práctico)
- Cuenta de hosts: ¿cuántos dispositivos reales y potenciales?
- Elige prefijo con margen (regla del +20%).
- Define subredes por función (Usuarios, Invitados, IoT, Gestión).
- Asigna gateways y reserva IPs para servicios (DNS, APs, impresoras).
- Verifica con calculadora y documenta.
Ejemplo A (hogar): 40 dispositivos hoy, 55 a 1 año.
- 55 + 20% ≈ 66 → /26 (62) se queda corto; sube a /25 (126 hosts).
- Rango:
192.168.10.0/25→192.168.10.1–126.
En mi casa, empecé con /24 y migré a /25 para separar “vivos” de “IoT” sin rehacer todo.
Ejemplo B (pyme): 2 departamentos y visitantes.
- Usuarios (45): /26 (62).
- Administración (18): /27 (30).
- Invitados (20 picos): /27 (30) con portal cautivo.
- ACL: Invitados → solo Internet; Admin → acceso a ERP.
Ejemplo C (p2p): Enlace router–router.
- /31 sobre
10.10.10.0/31→ hosts10.10.10.0y10.10.10.1(ambos válidos). - Ventaja: no “pierdes” red/broadcast, ideal para troncales.
Errores comunes y buenas prácticas
Errores que veo a menudo (y yo cometí al principio):
- Elegir /24 por defecto aunque sobren 200 IPs → dominios de broadcast gigantes.
- Mezclar IoT y tráfico de usuarios en la misma red.
- Olvidar reservar IPs para infra (APs, cámaras, NVR, impresoras).
- No documentar: seis meses después nadie recuerda por qué
192.168.20.0/27.
Buenas prácticas que aplico:
- Menos es más: subredes ajustadas reducen ruido.
- VLAN + ACL: segmenta por función y controla accesos.
- Nomenclatura constante: gateway
.1y últimos IPs para infra. - Calcula y valida: siempre paso por una calculadora de subred antes de tocar producción.
Herramientas útiles (calculadoras de subred, ipcalc y verificadores)
- Calculadoras online: introduces IP/CIDR y obtienes red, broadcast, rango y wildcard. Yo “siempre tiro de calculadoras” para no ir a ciegas.
- Linux/macOS:
ipcalc 192.168.10.25/26osipcalc. - Windows (PowerShell):
Get-NetIPAddresspara ver prefijos yTest-Connectionpara validar conectividad. - Routers: la mayoría te muestran la red al aplicar la máscara; aun así, valida antes.
FAQ: dudas rápidas sobre máscaras de red
¿Qué es una máscara de red en palabras simples?
Una plantilla de 1s (red) y 0s (host) que define cómo se agrupa una IP.
¿Diferencia entre máscara decimal y CIDR?
Ninguna en esencia: 255.255.255.0 = /24. CIDR es solo la forma compacta.
¿Cuántos hosts caben en /24, /26 y /30?
/24 → 254, /26 → 62, /30 → 2 (tradicional). /31 → 2 en p2p.
¿Para qué sirve /31?
Para enlaces punto-a-punto: aprovecha ambas direcciones, sin broadcast.
¿Qué es la wildcard mask?
El inverso de la máscara; se usa en ACL (p. ej., /24 → 0.0.0.255).
¿Cómo elijo la máscara adecuada?
Cuenta hosts, suma margen, segmenta por función (Usuarios/Invitados/IoT) y valida con calculadora.
¿En IPv6 se usa máscara?
Hablamos de prefijos (por ejemplo, /64 por subred). El concepto operativo es muy similar.
Opinión personal:
Honestamente, la máscara de red es ese detalle “pequeño” que separa una red tranquila de un caos silencioso. Cuando empecé a segmentar, todo cambió: pude asignar IPs con orden, reducir el ruido de broadcast y poner un poco de “muralla” entre lo crítico y lo prescindible. En casa, por ejemplo, separar IoT del resto con una subred más ajustada me devolvió estabilidad y, sobre todo, control. Y no hace falta ser ingeniero: con dos o tres prefijos bien entendidos (/24, /26, /30) puedes cubrir la mayoría de escenarios.
También defiendo el uso de /31 para enlaces punto a punto: ahorra direcciones y te obliga a pensar la topología con cabeza. ¿Mi truco para no liarla? Siempre validarlo con una calculadora de subred antes de aplicar cambios. Ese minuto extra te evita horas de troubleshooting.
Sé que hay quien prefiere “tirar de /24 y listo”. Respeto esa postura, pero creo que una segmentación mínima aporta seguridad, rendimiento y una gestión mucho más sencilla. Al final, la máscara de subred no es teoría: es decisión operativa que impacta el día a día.
Ahora te toca:
¿Qué máscaras usas en tu red? ¿Has probado /31 o wildcard en ACL? Cuéntame tu experiencia, dudas o desacuerdos en los comentarios. ¡Los leo y respondo!
