子网掩码教学与VLAN.docx

1、子网掩码教学与VLAN子网掩码教学子网掩码的主要功能是告知网络设备，一个特定的 IP 地址的哪一部分是包 含网络地址与子网地址，哪一部分是主机地址。网络的路由设备只要识别出目 的地址的网络号与子网号即可作出路由寻址决策， IP 地址的主机部分不参与路 由器的路由寻址操作，只用于在网段中唯一标识一个网络设备的接口。本来， 如果网络系统中只使用A、B、C这三种主类地址，而不对这三种主类地址作子网划分或者进行主类地址的汇总，则网络设备根据 IP 地址的第一个字节的数值范围即可判断它属于A、B、C中的哪一个主类网，进而可确定该IP地址的网络部分和主机部 分，不需要子网掩码的辅助。但为了使系统在对A、B

2、、C这三种主类网进行了子网的划分，或者采用无类别的域间选路技 术（Classless Inter-Domain Routing CIDR对网段进行汇总的情况下，也能对 IP 地址的网络及子网部分与主机部分作正确的区分，就必须依赖于子网掩码的帮 助。子网掩码使用与IP相同的编址格式，子网掩码为1的部分对应于IP地址的 网络与子网部分，子网掩码为 0的部分对应于IP地址的主机部分。将子网掩码 和IP地址作与操作后，IP地址的主机部分将被丢弃，剩余的是网络地址和子 网地址。例如，一个IP分组的目的IP地址为：1022.1,若子网掩码为： 255.255.255.0,与之作与运算得：1022.0,则网

3、络设备认为该IP地址的网络 号与子网号为：1022.0。子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网 络的根据。最为简单的理解就是两台计算机各自的IP地址与子网掩码进行 AND运算 后,如果得出的结果是相同的,则说明这两台计算机是处于同一个子网络上 的,可以进行直接的通讯。就这么简单。请看以下示例：运算演示之一： aaI P 地址 192.168.0.1子网掩码 255.255.255.0AND运算 转化为二进制进行运算：I P 地址 110000.101000.0000.00001 子网掩码 1111.1111.1111.0000AND 运算11000.101000.0000.

4、0000 转化为十进制后为： 192.168.0.0运算演示之二：I P 地址 192.168.0.254 子网掩码 255.255.255.0AND 运算 转化为二进制进行运算：I P 地址 110000.101000.0000.11110 子网掩码 1111.1111.1111.0000AND 运算11000.101000.0000.0000转化为十进制后为：192.168.0.0运算演示之三：I P 地址 192.168.0.4子网掩码 255.255.255.0AND运算转化为二进制进行运算：I P 地址 110000.101000.0000.000100子网掩码 1111.1111.

5、1111.0000AND 运算11000.101000.0000.0000转化为十进制后为：192.168.0.0通过以上对三组计算机IP地址与子网掩码的AND运算后，我们可以看到它运算结果是一样的。均为 192.168.0.0所以计算机就会把这三台计算机视为是同一子网络，然后进行通讯的。我 现在单位使用的代理服务器，内部网络就是这样规划的。也许你又要问，这样 的子网掩码究竟有多少了 IP地址可以用呢？你可以这样算。根据上面我们可以看出，局域网内部的 ip 地址是我们自己规定的（当然和 其他的 ip 地址是一样的），这个是由子网掩码决定的通过对255.255.255.0的分析。可得出：前三位I

6、P码由分配下来的数字就只能固定为 192.168.0所以就只剩下了最 后的一位了，那么显而易见了， ip地址只能有（2的8次方-1），即卩256-仁255一般末位为 0 或者是 255 的都有其特殊的作用。但是这样划分但浪费地址了，所以后来又引出一种叫 VLSM可变长掩码）的新算法。如果共有50台机器，那一定是用C类地址。但是如果用C类的话每一个网 段可以用到 253台主机而你现在只有 50台，这样的话不是要浪费 200台了吗？ 但是如果用了 VLSM就不同了请看。如果是静态掩码的话 C类地址因该是255.255.255.0502的7次方，化为十进制就是 64。所以VLSM就是255.255.

7、255.64例一:IP:192.168.0.1SubstMask：255.255.255.64转化为二进制 11000.101000.0000.000011111.1111.0000.1000AND与运算11000.101000.0000.0000转化为十进制 192.168.0.0例二:192.168.0.50SubstMask：255.255.255.64转化为二进制 11000.101000.0000.1111.1111.1111.01000AND与运算11000.101000.0000.0000转化为十进制 192.168.0.0以上二个地址在同一网段再看 :例三：IP:192.168

8、.0.65SubstMask:255.255.255.64转化为二进制 11000.101000.0000.01000111000.101000.0000.01000AND与运算110000.101000.0000.010000转化为十进制 192.168.0.64划开了!就这么简单 !基于 IP 协议的因特网，目前已经发展成为当今世界上规模最大、拥有用户 最多、资源最广泛的通信网络。 IP 协议也因此成为事实上的业界标准，以 IP 协 议为基础的网络已经成为通信网络的主流。本文将结合笔者的实践经验和思科网络技术学院 CCNA课程的教学经验，就IP协议关于IP地址这部分内容，进行简要的阐述。一

9、、为什么要使用IP地址？一个IP地址是用来标识网络中的一个通信实体，比如一台主机，或者是路 由器的某一个端口。而在基于IP协议网络中传输的数据包，也都必须使用 IP地 址来进行标识，如同我们写一封信，要标明收信人的通信地址和发信人的地 址，而邮政工作人员则通过该地址来决定邮件的去向。同样的过程也发生在计算机网络里，每个被传输的数据包也要包括的一个源IP地址和一个目的IP地址，当该数据包在网络中进行传输时，这两个地址要 保持不变，以确保网络设备总是能根据确定的 IP地址，将数据包从源通信实体 送往指定的目的通信实体。目前，IP地址使用32位二进制地址格式，为方便记忆，通常使用以点号划 分的十进制

10、来表示，如： 202.112.14.1。一个IP地址主要由两部分组成：一部分是用于标识该地址所从属的网络号；另一部分用于指明该网络上某 个特定主机的主机号。为了给不同规模的网络提供必要的灵活性，IP地址的设计者将IP地址空间 划分为五个不同的地址类别，如下表所示，其中 A,B,C三类最为常用：A 类 0 127 0 8位 24 位B 类 128 191 10 16 位C 类 192 223 110 24 位 8 位D类224 239 1110组播地址E类240 255 11保留试验使用网络号由因特网权力机构分配，目的是为了保证网络地址的全球唯一性。 主机地址由各个网络的管理员统一分配。因此，网

11、络地址的唯一性与网络内主 机地址的唯一性确保了 IP地址的全球唯一性。二、划分子网为了提高IP地址的使用效率，可将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部 分则仍为主机位。这使得IP地址的结构分为三部分：网络位、子网位和主机位引入子网概念后，网络位加上子网位才能全局唯一地标识一个网络。把所 有的网络位用 1 来标识，主机位用 0 来标识，就得到了子网掩码。如下图所示 的子网掩码转换为十进制之后为： 255.255.255.224子网编址使得 IP 地址具有一 定的内部层次结构，这种层次结构便于 IP 地址分配和管理。它的使用关键在于选择合适的层次结构

12、 -如何既能适应各种现实的物理网络 规模，又能充分地利用 IP 地址空间（即：从何处分隔子网号和主机号）。小窍门 -子网的计算在思科网络技术学院CCNA教学和考试当中，不少同学在进行IP地址规划 时总是很头疼子网和掩码的计算。现在给大家一个小窍门，可以顺利的解决这 个问题。首先，我们看一个 CCNA考试中常见的题型：一个主机的IP地址是202.112.14.137，掩码是 255.255.255.224，要求计算这个主机所在网络的网 络地址和广播地址。常规办法是把这个主机地址和子网掩码都换算成二进制数，两者进行逻辑 与运算后即可得到网络地址。其实大家只要仔细想想，可以得到另一个方法： 255.

13、255.255.224的掩码所容纳的IP地址有256 224= 32个（包括网络地址和 广播地址），那么具有这种掩码的网络地址一定是 32 的倍数。而网络地址是子 网IP地址的开始，广播地址是结束，可使用的主机地址在这个范围内，因此略 小于 137而又是 32 的倍数的只有 128，所以得出网络地址是 202.112.14.128。 而广播地址就是下一个网络的网络地址减 1。而下一个 32 的倍数是 160，因此可以得到广播地址为 202.112.14.159。可参照下图来理解本例：CCNA考试中，还有一种题型，要你根据每个网络的主机数量进行子网地址 的规划和计算子网掩码。这也可按上述原则进行

14、计算。比如一个子网有 10 台主 机，那么对于这个子网就需要 10+1+1 + 1 = 13个IP地址。（注意加的第一个 1 是指这个网络连接时所需的网关地址，接着的两个 1 分别是指网络地址和广播 地址。）13小于16 （16等于2的4次方），所以主机位为 4位。而256 16 = 240，所以该子网掩码为 255.255.255.240。如果一个子网有 14台主机，不少同学常犯的错误是：依然分配具有 16个地址空间的子网，而忘记了给网关分配地址。这样就错 误了，因为 14111=17，大于 16，所以我们只能分配具有 32个地址 （32 等于 2 的 5 次方）空间的子网。这时子网掩码为：

15、255.255.255.224。三、IP地址的局限性最初的因特网设计者没有预想到网络会有如此快速地发展，因此现在网络 面临的问题都可以追溯到因特网发展的早期决策上， IP地址的分配更能体现这点。目前使用的IPv4地址使用32位的地址，即在IPv4的地址空间中有232 （4,294,967,296，约为 43 亿）个地址可用。这样的地址空间在因特网早期看来 几乎是无限的，于是便将IP地址根据申请而按类别分配给某个组织或公司，而 很少考虑是否真的需要这么多个地址空间，没有考虑到 IPv4地址空间最终会被用尽。因此，IPv4地址是按照网络的大小（所使用的IP地址数）来分类的，它的 编址方案使用 类的

16、概念。A、B、C三类IP地址的定义很容易理解，也很容易划分，但是在实际网络 规划中，它们并不利于有效地分配有限的地址空间。对于A、B类地址，很少有这么大规模的公司能够使用，而 C类地址所容纳的主机数又相对太少。所以有类别的IP地址并不利于有效地分配有限的地址空间， 不适用于网络规划。在这种情况下，人们开始致力于下一代因特网协议 -IPv6的研究。由于现在IPv6的协议并不完善和成熟，需要长期的试验验证，因此， IPv4到IPv6的完全过渡将是一个比较长的过程，在过渡期间我们仍然需要在 IPv4 上实现网络间的互连。而在 90 年代初期引入了变长子网掩码（VLSM和无类域间路由（CIDR等机制，

17、作为目前过渡时 期提高IPv4地址空间使用效率的短期解决方案起到了很大的作用交换机VLAN的配置（1）谈到VLAN或许许多人都觉得非常神秘，甚至包括一些网管人员。其实有关 VLAN的技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了，而且最早的 VLNA技术早在 1996年Cisco （思科）公司就提出了。随着几年来的发展， VLAN技术得到广泛的支持，在大大小小的企业网络中广泛应用，成为当前最为热门的一种以太局 域网技术。本篇就要为大家介绍交换机的一个最常见技术应用-VLAN技术，并针对中、小局域网 VLAN的网络配置以实 例的方式向大家简单介绍其配置方法。一、

18、VLAN基础VLAN（Virtual Local Area Network）的中文名为”虚拟局域网”，注意不是 VPN（虚拟专用网）。VLAN是一种将局域网设备从逻辑上划分（注意，不是 从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这 一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但 又不是所有交换机都具有此功能，只有 VLAN协议的第三层以上交换机才具有此 功能，这一点可以查看相应交换机的说明书即可得知。IEEE于 1999年颁布了用以标准化 VLAN实现方案的802.1Q协议标准草案。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网

19、内的不同用户逻辑地划分成不同的广播域，每一个 VLA N都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个 VLA N内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理 LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他 VLA N中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安 全性。交换技术的发展，也加快了新的交换技术（VLAN的应用速度。通过将企业网络划分为虚拟网络 VLA N网段，可以强化网络管理和网络安 全，控制不必要的数据广播。在共享网络中

20、，一个物理的网段就是一个广播 域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（ MAC 地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地 理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大 提高了网络规划和重组的管理功能。在同一个 VLAN中的工作站，不论它们实际 与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个 VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中 去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话， 不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的

21、安全性。 网络管理员可以通过配置 VLA N之间的路由来全面管理企业内部不同管理单元之 间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中 移动办公，不论他在何处接入交换网络，他都可以与 VLAN内其他用户自如通 讯。VLAN网络可以是有混合的网络类型设备组成，比如： 10M以太网、100M以太网、令牌网、FDD、CDDI等等，可以是工作站、服务器、集线器、网络上 行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生， 以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部 门、不同站点之间的互相访问。VL

22、AN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网 帧的基础上增加了 VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同 工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是 可以限制广播范围，并能够形成虚拟工作组，动态管理网络。二、VLAN的划分方法VLAN在交换机上的实现方法，可以大致划分为六类：1.基于端口划分的 VLAN这是最常应用的一种 VLA N划分方法，应用也最为广泛、最有效，目前绝大 多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是 根据以太网交换机的交换端口来划分的，它是将 VLA N交换机上的物理端口和V

23、LAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚 拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于 MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器 的相应端口上，设定可通过的 MAC地址集。这样就可以防止非法入侵者从内部 盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出，这种划分的方法的优点是定义 VLA N成员时非常简单，只要将所有的端口都定义为相应的 VLA N组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的 某个端口，必须重新定

24、义。2.基于MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的 MAC地址来划分，即对每个 MAC 地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的 MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的 VLAN允许网 络用户从一个物理位置移动到另一个物理位置时，自动保留其所属 VLA N的成员身份。由这种划分的机制可以看出，这种 VLAN的划分方法的最大优点就是当用户 物理位置移动时，即从一个交换机换到其他的交换机时， VLA N不用重新配置， 因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几

25、百个 甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局 域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个 VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的 用户来说，他们的网卡可能经常更换，这样 VLAN就必须经常配置。3.基于网络层协议划分 VLAN这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN,而且可以根据协议类型来划分 VLAN,这对网络管理者来说很重要，还 有，这种方法不需要附加的帧标签来识别 VLAN,这样可以减少网络的通信量。 这种方法的缺点是效率低,因

26、为检查每一个数据包的网络层地址是需要消耗处 理时间的 （相对于前面两种方法 ）,一般的交换机芯片都可以自动检查网络上数据 包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费 时。当然,这与各个厂商的实现方法有关。4.根据IP组播划分VLANIP组播实际上也是一种 VLA N的定义，即认为一个IP组播组就是一个 VLANo这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵 活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个 VLAN,不适合局域网，主要 是效率不高。5.按策略划分 VLAN基于策略组成的VLAN能实现多种分配方法，

27、包括 VLAN交换机端口、MAC 地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位 的需求来决定选择哪种类型的 VLAN 。6按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分 VLAN是指为了适应特别的VLAN网 络，根据具体的网络用户的特别要求来定义和设计 VLAN,而且可以让非VLAN 群体用户访问VLAN,但是需要提供用户密码，在得到 VLAN管理的认证后才可 以加入一个 VLANo三、VLAN的优越性任何新技术要得到广泛支持和应用，肯定存在一些关键优势， VLAN技术也一样，它的优势主要体现在以下几个方面：1增加了网络连接的灵活性借助VLAN技术，

28、能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地 LAN 一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有 经常性变动的公司使用了 VLA N后，这部分管理费用大大降低。2.控制网络上的广播VLA N可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的 VLAN组，该VLAN组可以 在一个交换网中或跨接多个交换机，在一个 VLAN中的广播不会送到VLAN之 外。同样，相邻的端口不会收到其他 VLAN产生的广播。这样可以减少广播流 量，释放带宽给用户应用，减少广播的产

29、生。3增加网络的xx因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提 高了网络的利用率，确保了网络的安全保密性。人们在 LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容 易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了 VLA N中用户的数量，禁止未经允许而访问 VLA N中的应用。交换端口可以基于应用类型和 访问特权来进行分组，被限制的应用程序和资源一般置于安全性 VLA N中。四、VLAN网络的配置实例为了给大家一个真实的配置实例学习机会，下面就以典型的中型局域网 VLAN配置为例向各位介绍目前最常用的按端口划分 V

30、LAN的配置方法。某公司有100台计算机左右，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12 )四大部分，如图1所示。网络基本结构为：整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为：Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器，主要用于非 VLA N用户，如行政文书、临时用户等)、一台 Cisco 2514路由器，整个网络都通过路由器Cisco 2514与外部互联网进行连接。图1所连的用户主要分布于四个部分，即：生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分 VLAN,以确保相应

31、部门网络资源不被盗用或破坏。现为了公司相应部分网络资源的安全性需要，特别是对于像财务部、人事 部这样的敏感部门，其网络上的信息不想让太多人可以随便进出，于是公司采 用了 VLAN的方法来解决以上问题。通过 VLAN的划分，可以把公司主要网络划分为：生产部、财务部、人事部和信息中心四个主要部分，对应的 VLAN组名为:Prod、Fina Huma、Info，各VLAN组所对应的网段如下表所示。VLAN 号 2345VLAN 名Switch 1 2?21Switch2 2?16Switch3 2?9Switch3 10?21端口号P rodFinaHumaInfo【注】之所以把交换机的 VLA N号从2号开始，那是因为交换机有一个默 认的VLAN,那就是1号VLAN,它包括所有连在该交换机上的用户。VLAN的配置过程其实非常简单，只需两步：（1） 为各VLAN组命名；（2） 把相应的VLAN对应到相应的交换机端口。下面是具体的配置过程：第 1 步：设置好超级终端,连接上 1900 交换机,通过超级终端配置交换机的 VLAN,连接成功后出现如下所示的主配置界面（交换机在此之前已完成了基本 信息的配置）：1 user(s)