Optimitzar subnetting
Justificació del disseny de subnetting
El disseny de xarxa adoptat segueix un esquema basat en blocs /16 de la família RFC 1918 (172.16.0.0/12), assignant un bloc independent a cada etapa educativa o àmbit funcional del centre. Aquesta decisió no és arbitrària sinó que respon a criteris tècnics, operatius i d’escalabilitat.
Exemple:
Separació per etapes i doble ISP
El centre disposa de dos ISP independents: un de la Generalitat que dona servei a ESO, Batxillerat, PFI, Comerç i serveis administratius, i un segon ISP exclusiu per a les aules SMX. Aquesta dualitat exigeix que els blocs d’adreces no se superposin en cap cas, ja que en situació de fallada d’un dels dos enllaços cal poder redirigir trànsit sense conflictes de routing ni ambigüitat a les taules ARP. En assignar un /16 diferent a cada àmbit, qualsevol dels dos ISP pot caure sense que els equips de l’altre segment vegin afectada la seva traçabilitat interna.
Un /16 per àmbit funcional
Cada etapa o servei ocupa el seu propi bloc /16, cosa que proporciona fins a 65.534 adreces utilitzables per segment. Malgrat que cap aula individual no arribarà mai a aquest límit, el /16 no s’escull per la quantitat d’hosts sinó per la comoditat del tercer octet com a identificador d’aula o VLAN. Amb un /16, el tercer octet és lliure i controlable, cosa que permet assignar identificadors de tres dígits consistents a cada aula sense necessitat de calcular subxarxes individuals ni gestionar màscares variables (VLSM).
El patró .11 a SMX i els tres dígits del tercer octet
A les xarxes SMX (172.24.x.x per a primer curs i 172.25.x.x per a segon), tots els equips docents i d’alumnes tenen l’adreça de host sempre acabada en .11, i el número d’aula ocupa el tercer octet amb tres dígits fixos (100 a 126 per a primer, 200 a 214 per a segon). Aquesta convenció no és estètica sinó funcional: permet escriure scripts de gestió massiva d’equips de forma trivial. Per exemple, per fer un ping sweep de tots els equips de primer de SMX n’hi ha prou amb un bucle com for i in $(seq 100 126); do ping -c1 172.24.$i.11; done, sense cap lògica addicional de format ni padding. El mateix patró funciona per a Ansible, Nmap, o qualsevol eina d’automatització. Si el tercer octet fos de longitud variable (aules 1, 2, 10, 100) caldria tractar cada cas per separat als scripts.
Routing inter-VLAN via SVIs al stack L3
El centre disposa d’un stack de 6 switches de 48 ports amb capacitat de capa 3. Això permet crear una Switched Virtual Interface (SVI) per cada VLAN directament al stack, de manera que el routing entre VLANs d’una mateixa etapa es produeix a velocitat de cable dins del propi stack, sense que el tràfic hagi de sortir cap al gateway d’internet. El gateway físic (amb quatre NICs) únicament gestiona el tràfic que ha de sortir cap als ISP o travessar entre els dos segments de xarxa principals. Cada VLAN té la seva IP de gateway apuntant a la SVI corresponent del stack, no al gateway físic.
Segment de logs i monitoratge aïllat
La quarta NIC lliure del gateway s’usa com a segment dedicat exclusivament a logs, events de syslog, SNMP traps i eines de monitoratge (172.20.0.0/16). Cap tràfic d’usuaris hi transita. Això garanteix que la informació de diagnòstic i seguretat sempre és accessible fins i tot si un dels dos ISP cau, i que les eines de monitoratge tenen visibilitat sobre ambdues xarxes sense pertànyer funcionalment a cap de les dues.
Conclusió
El conjunt del disseny prioritza tres objectius: la resiliència davant la caiguda d’un ISP, la facilitat de gestió i automatització mitjançant patrons d’adreçament predictibles, i la separació clara de responsabilitats entre etapes educatives, serveis administratius i infraestructura de xarxa.