As sub-redes podem ser utilizadas para resolver questões de segurança e de topologia em redes locais. Vamos nos concentrar em segurança nesse tutorial.
Os endereços IP versão 4 são os utilizados hoje em dia; eles são formados por quatro números de oito bits cada um, por exemplo: 11111111.11111111.11111111.11111111. Portanto, o IPv4 pode endereçar 256x256x256x256 = 4294967296 computadores. Na internet esses endereços IP reais estão acabando e por isso custão muito caro. Em redes locais (LAN) é óbvio que são mais que suficientes. O endereço do exemplo acima em base decimal é 255.255.255.255. Um endereço IP em rede local tem sempre duas partes: a primeira indica a rede e a segunda indica o host (computador) da rede.
No Windows por padrão os endereços de rede local são sempre assim: 192.168.2.X, onde 192.168.2 é a rede e X é o computador da rede. O elemento de configuração de rede local que determina qual parte do endereço IP é a rede e qual parte é o host é chamado de Máscara de Sub-rede. A máscara padrão do Windows é 255.255.255.0. Isso significa que os três primeiros números são a rede e o último número é o host. Cada computador da rede local enxerga a rede de acordo com a sua máscara. É aí que entra a questão da segurança, pois se forem usadas sub-redes cada computador pode enxergar apenas os computadores de seu setor na instituição ou empresa. Além disso tem a questão do roteamento, porque os dados de uma sub-rede só trafegam naquela sub-rede. Um roteador não pode criar rotas alternativas passando por outros setores. Lembrando que roteadores procuram sempre a melhor rota entre os computadores, ou seja, a menor rota que não esteja congestionada.
Os computadores que têm a máscara padrão do Windows, ou seja, 255.255.255.0, e o endereço de rede padrão, 192.168.2, enxergam a eles mesmos como membros da rede 192.168.2, sendo que essa rede só tem uma sub-rede que pode ter até 254 computadores.
A máscara padrão do Windows em binário é 11111111.11111111.11111111.00000000. Como o terceiro número é 255 (11111111), isso significa que quem define o número de sub-redes e de computadores por sub-rede é o quarto número, ou seja, 0 (00000000). Como todos os bits são 0 nenhum bit foi reservado para definir sub-redes. Se quisermos criar mais de uma sub-rede para o computador devemos reservar bits no quarto número do endereço; fazemos isso colocando 1 no lugar de 0. Como são oito bits, quanto mais bits a gente reserva para sub-redes menos computadores cada sub-rede pode ter.
Como exemplo vamos calcular a máscara de sub-rede para termos 16 sub-redes, cada uma com no máximo 14 hosts (computadores). Para endereçarmos 16 sub-redes (de 0 a 15) precisamos de 4 bits, porque 15 em binário é 1111. Portanto a máscara deve ser 11111111.11111111.11111111.11110000, que em decimal é 255.255.255.240. Com isso sobram 4 bits para endereçar os computadores de cada sub-rede. 4 bits são suficientes para endereçar 16 computadores (de 0 a 15), mas dois endereços são usados como endereço de rede e de broadcast, então no total são 16 sub-redes x 14 computadores.
Para todos os computadores de todas as sub-redes terem acesso à internet cada sub-rede deve ter um gateway, que é o computador que tem acesso à web e compartilha com os outros.