A teoria da máscara de sub-rede é que ela define qual parte do endereço IP é o endereço de rede e qual parte do endereço IP é o endereço do host:
10.100.0.1
- Endereço de IP;
255.0.0.0
- máscara de sub-rede;
10
- endereço de rede, 100.0.1
- endereço de host.
Os hosts na mesma sub-rede podem conversar diretamente entre si. Isso significa que se o host A e B estiverem localizados na mesma sub-rede e A quiser conversar com B, então A enviará o tráfego diretamente para B. Se o host A quiser conversar com o host C, localizado em uma sub-rede diferente, então A terá para rotear esse tráfego para o gateway que sabe (espero) como alcançar uma rede diferente. Portanto, cabe ao host definir para onde enviar o tráfego:
- Diretamente para o host (o segundo host está na mesma sub-rede)
- Para o gateway (o segundo host pertence a uma sub-rede diferente)
O que acontece no seu caso é que seus clientes "autorizados" têm endereços IP 10.100.0.10 - 10.100.0.250
(presumo que a máscara de sub-rede seja 255.0.0.0
). O servidor tem endereço IP 10.100.0.1
. Para um host do intervalo "Autorizado", este servidor está localizado na mesma sub-rede.
Se o host 10.100.0.10
do intervalo "Autorizado" quiser conversar com o servidor - ele primeiro verifica se esse servidor está localizado na mesma sub-rede ou não. Para o host 10.100.0.10
com máscara de sub-rede, a 255.0.0.0
mesma sub-rede seria todos os hosts dentro do intervalo 10.0.0.1 - 10.255.255.254
. O endereço IP do servidor está nesse intervalo. Por esse motivo, um host do intervalo "Autorizado" tenta acessar o servidor diretamente e (supondo que eles estejam localizados na mesma rede da Camada 2) essa tentativa é bem-sucedida.
Nesse caso, mesmo que o servidor tenha uma máscara de sub-rede diferente - ele está localizado na sub-rede maior (que também é uma sub-rede para os clientes "Autorizados"). Se o servidor tiver um segundo byte diferente no endereço IP ( 10.150.0.1
por exemplo), não será possível responder ao host do intervalo "Autorizado", porque, da perspectiva do servidor, o intervalo "Autorizado" pareceria uma sub-rede e um servidor diferentes precisaria enviar tráfego para um roteador. Se não houvesse roteador - não haveria comunicação.
Se você quiser separar sua rede das partes "Convidados" e "Autorizados", precisará localizá-las nas diferentes sub-redes que não se sobrepõem.
Por exemplo:
- "Convidados" -
10.10.0.1
máscara de sub-rede255.255.0.0
- "Autorizado" -
10.20.0.1
, máscara de sub-rede255.255.0.0
O servidor estaria localizado na parte "Autorizada" da rede com endereço IP 10.20.0.100
, máscara de sub-rede 255.255.0.0
.
Com essa configuração, essas sub-redes serão efetivamente separadas uma da outra, pois partes dos endereços IP que representam suas sub-redes serão diferentes:
10.10
para os hóspedes
10.20
para Autorizado
Nesse ponto, a comunicação entre essas sub-redes só será possível através do roteador que possui interfaces nas duas sub-redes.
Além disso, vale ressaltar que, embora todos os seus computadores compartilhem a mesma rede da Camada 2, nada impedirá que os Convidados atribuam manualmente a si mesmos endereços IP do intervalo "Autorizado". Isso fará com que eles façam parte da rede autorizada.