子网掩码教学与VLAN.docx
《子网掩码教学与VLAN.docx》由会员分享,可在线阅读,更多相关《子网掩码教学与VLAN.docx(19页珍藏版)》请在冰点文库上搜索。
子网掩码教学与VLAN
子网掩码教学
子网掩码的主要功能是告知网络设备,一个特定的IP地址的哪一部分是包含网络地址与子网地址,哪一部分是主机地址。
网络的路由设备只要识别出目的地址的网络号与子网号即可作出路由寻址决策,IP地址的主机部分不参与路由器的路由寻址操作,只用于在网段中唯一标识一个网络设备的接口。
本来,如果网络系统中只使用
A、B、C这三种主类地址,而不对这三种
主类地址作子网划分或者进行主类地址的汇总,则网络设备根据IP地址的
第一个字节的数值范围即可判断它属于
A、B、C中的哪一个主类网,进而可确定该IP地址的网络部分和主机部分,不需要子网掩码的辅助。
但为了使系统在对
A、B、C这三种主类网进行了子网的划分,或者采用无类别的域间选路技术(ClasslessInter-DomainRoutingCIDR对网段进行汇总的情况下,也能对IP地址的网络及子网部分与主机部分作正确的区分,就必须依赖于子网掩码的帮助。
子网掩码使用与IP相同的编址格式,子网掩码为1的部分对应于IP地址的网络与子网部分,子网掩码为0的部分对应于IP地址的主机部分。
将子网掩码和IP地址作"与"操作后,IP地址的主机部分将被丢弃,剩余的是网络地址和子网地址。
例如,一个IP分组的目的IP地址为:
1022.1,若子网掩码为:
255.255.255.0,与之作"与"运算得:
1022.0,则网络设备认为该IP地址的网络号与子网号为:
1022.0。
子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。
最为简单的理解就是两台计算机各自的IP地址与子网掩码进行AND运算后,如果得出的结果是相同的,则说明这两台计算机是处于同一个子网络上的,可以进行直接的通讯。
就这么简单。
请看以下示例:
运算演示之一:
aa
IP地址192.168.0.1
子网掩码255.255.255.0
AND运算转化为二进制进行运算:
IP地址110000.101000.0000.00001子网掩码1111.1111.1111.0000
AND运算
11000.101000.0000.0000转化为十进制后为:
192.168.0.0
运算演示之二:
IP地址192.168.0.254子网掩码255.255.255.0
AND运算转化为二进制进行运算:
IP地址110000.101000.0000.11110子网掩码1111.1111.1111.0000
AND运算
11000.101000.0000.0000
转化为十进制后为:
192.168.0.0
运算演示之三:
IP地址192.168.0.4
子网掩码255.255.255.0
AND运算
转化为二进制进行运算:
IP地址110000.101000.0000.000100
子网掩码1111.1111.1111.0000
AND运算
11000.101000.0000.0000
转化为十进制后为:
192.168.0.0
通过以上对三组计算机IP地址与子网掩码的AND运算后,我们可以看到它
运算结果是一样的。
均为192.168.0.0
所以计算机就会把这三台计算机视为是同一子网络,然后进行通讯的。
我现在单位使用的代理服务器,内部网络就是这样规划的。
也许你又要问,这样的子网掩码究竟有多少了IP地址可以用呢?
你可以这样算。
根据上面我们可以看出,局域网内部的ip地址是我们自己规定的(当然和其他的ip地址是一样的),这个是由子网掩码决定的通过对
255.255.255.0的分析。
可得出:
前三位IP码由分配下来的数字就只能固定为192.168.0所以就只剩下了最后的一位了,那么显而易见了,ip地址只能有(2的8次方-1),即卩256-仁255
一般末位为0或者是255的都有其特殊的作用。
但是这样划分但浪费地址了,所以后来又引出一种叫VLSM可变长掩码)的
新算法。
如果共有50台机器,那一定是用C类地址。
但是如果用C类的话每一个网段可以用到253台主机而你现在只有50台,这样的话不是要浪费200台了吗?
但是如果用了VLSM就不同了请看。
如果是静态掩码的话C类地址因该是255.255.255.0
50<2的7次方,化为十进制就是64。
所以VLSM就是255.255.255.64例一:
IP:
192.168.0.1
SubstMask:
255.255.255.64
转化为二进制11000.101000.0000.00001
1111.1111.0000.1000
AND与运算
11000.101000.0000.0000
转化为十进制192.168.0.0
例二:
192.168.0.50
SubstMask:
255.255.255.64
转化为二进制11000.101000.0000.
1111.1111.1111.01000
AND与运算
11000.101000.0000.0000
转化为十进制192.168.0.0
以上二个地址在同一网段
再看:
例三:
IP:
192.168.0.65
SubstMask:
255.255.255.64
转化为二进制11000.101000.0000.010001
11000.101000.0000.01000
AND与运算
110000.101000.0000.010000
转化为十进制192.168.0.64
划开了!
!
就这么简单!
基于IP协议的因特网,目前已经发展成为当今世界上规模最大、拥有用户最多、资源最广泛的通信网络。
IP协议也因此成为事实上的业界标准,以IP协议为基础的网络已经成为通信网络的主流。
本文将结合笔者的实践经验和思科网络技术学院CCNA课程的
教学经验,就IP协议关于IP地址这部分内容,进行简要的阐述。
一、为
什么要使用IP地址?
一个IP地址是用来标识网络中的一个通信实体,比如一台主机,或者是路由器的某一个端口。
而在基于IP协议网络中传输的数据包,也都必须使用IP地址来进行标识,如同我们写一封信,要标明收信人的通信地址和发信人的地址,而邮政工作人员则通过该地址来决定邮件的去向。
同样的过程也发生在计算机网络里,每个被传输的数据包也要包括的一个
源IP地址和一个目的IP地址,当该数据包在网络中进行传输时,这两个地址要保持不变,以确保网络设备总是能根据确定的IP地址,将数据包从源通信实体送往指定的目的通信实体。
目前,IP地址使用32位二进制地址格式,为方便记忆,通常使用以点号划分的十进制来表示,如:
202.112.14.1。
一个IP地址主要由两部分组成:
一部分是用于标识该地址所从属的网络号;另一部分用于指明该网络上某个特定主机的主机号。
为了给不同规模的网络提供必要的灵活性,IP地址的设计者将IP地址空间划分为五个不同的地址类别,如下表所示,其中A,B,C三类最为常用:
A类0—12708位24位
B类128—1911016位
C类192—22311024位8位
D类224—2391110组播地址
E类240—25511保留试验使用
网络号由因特网权力机构分配,目的是为了保证网络地址的全球唯一性。
主机地址由各个网络的管理员统一分配。
因此,网络地址的唯一性与网络内主机地址的唯一性确保了IP地址的全球唯一性。
二、划分子网
为了提高IP地址的使用效率,可将一个网络划分为子网:
采用借位的方式,从主机位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位。
这使得IP地址的结构分为三部分:
网络位、子网位和主机位
引入子网概念后,网络位加上子网位才能全局唯一地标识一个网络。
把所有的网络位用1来标识,主机位用0来标识,就得到了子网掩码。
如下图所示的子网掩码转换为十进制之后为:
255.255.255.224子网编址使得IP地址具有一定的内部层次结构,这种层次结构便于IP地址分配和管理。
它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模,又能充分地利用IP地址空间(即:
从何处分隔子网号和主机号)。
小窍门--子网的计算
在思科网络技术学院CCNA教学和考试当中,不少同学在进行IP地址规划时总是很头疼子网和掩码的计算。
现在给大家一个小窍门,可以顺利的解决这个问题。
首先,我们看一个CCNA考试中常见的题型:
一个主机的IP地址是
202.112.14.137,掩码是255.255.255.224,要求计算这个主机所在网络的网络地址和广播地址。
常规办法是把这个主机地址和子网掩码都换算成二进制数,两者进行逻辑与运算后即可得到网络地址。
其实大家只要仔细想想,可以得到另一个方法:
255.255.255.224的掩码所容纳的IP地址有256—224=32个(包括网络地址和广播地址),那么具有这种掩码的网络地址一定是32的倍数。
而网络地址是子网IP地址的开始,广播地址是结束,可使用的主机地址在这个范围内,因此略小于137而又是32的倍数的只有128,所以得出网络地址是202.112.14.128。
而广播地址就是下一个网络的网络地址减1。
而下一个32的倍数是160,因此
可以得到广播地址为202.112.14.159。
可参照下图来理解本例:
CCNA考试中,还有一种题型,要你根据每个网络的主机数量进行子网地址的规划和计算子网掩码。
这也可按上述原则进行计算。
比如一个子网有10台主机,那么对于这个子网就需要10+1+1+1=13个IP地址。
(注意加的第一个1是指这个网络连接时所需的网关地址,接着的两个1分别是指网络地址和广播地址。
)13小于16(16等于2的4次方),所以主机位为4位。
而256—16=240,所以该子网掩码为255.255.255.240。
如果一个子网有14台主机,不少同学常犯的错误是:
依然分配具有16个地址空间的子网,而忘记了给网关分配地址。
这样就错误
了,因为14+1+1+1=17,大于16,所以我们只能分配具有32个地址(32等于2的5次方)空间的子网。
这时子网掩码为:
255.255.255.224。
三、IP地址的局限性
最初的因特网设计者没有预想到网络会有如此快速地发展,因此现在网络面临的问题都可以追溯到因特网发展的早期决策上,IP地址的分配更能体现这
点。
目前使用的IPv4地址使用32位的地址,即在IPv4的地址空间中有232(4,294,967,296,约为43亿)个地址可用。
这样的地址空间在因特网早期看来几乎是无限的,于是便将IP地址根据申请而按类别分配给某个组织或公司,而很少考虑是否真的需要这么多个地址空间,没有考虑到IPv4地址空间最终会被
用尽。
因此,IPv4地址是按照网络的大小(所使用的IP地址数)来分类的,它的编址方案使用"类"的概念。
A、B、C三类IP地址的定义很容易理解,也很容易划分,但是在实际网络规划中,它们并不利于有效地分配有限的地址空间。
对于
A、B类地址,很少有这么大规模的公司能够使用,而C类地址所容纳的主
机数又相对太少。
所以有类别的IP地址并不利于有效地分配有限的地址空间,不适用于网络规划。
在这种情况下,人们开始致力于下一代因特网协议--IPv6的研究。
由于现在
IPv6的协议并不完善和成熟,需要长期的试验验证,因此,IPv4到IPv6的完全
过渡将是一个比较长的过程,在过渡期间我们仍然需要在IPv4上实现网络间的
互连。
而在90年代初期引入了
变长子网掩码(VLSM和无类域间路由(CIDR等机制,作为目前过渡时期提高IPv4地址空间使用效率的短期解决方案起到了很大的作用
交换机VLAN的配置
(1)
谈到VLAN或许许多人都觉得非常神秘,甚至包括一些网管人员。
其实有关VLAN的技术标准IEEE802.1Q早在
1999年6月份就由IEEE委员正式颁布实施了,而且最早的VLNA技术早在1996年Cisco(思科)公司就提出了。
随着几年来的发展,VLAN技术得到广泛
的支持,在大大小小的企业网络中广泛应用,成为当前最为热门的一种以太局域网技术。
本篇就要为大家介绍交换机的一
个最常见技术应用--VLAN技术,并针对中、小局域网VLAN的网络配置以实例的方式向大家简单介绍其配置方法。
一、VLAN基础
VLAN(VirtualLocalAreaNetwork)的中文名为”虚拟局域网”,注意不是"VPN"(虚拟专用网)。
VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。
但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术的出现,使得管理员根据实际应用需求,把
同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都
包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属
性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个
工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网
段。
由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN的应用速度。
通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。
在共享网络中,一个物理的网段就是一个广播域。
而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。
这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。
这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。
在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。
同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。
同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。
网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。
交换机是根据用户
工作站的MAC地址来划分VLAN的。
所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
VLAN网络可以是有混合的网络类型设备组成,比如:
10M以太网、100M
以太网、令牌网、FDD、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
二、VLAN的划分方法
VLAN在交换机上的实现方法,可以大致划分为六类:
1.基于端口划分的VLAN
这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。
这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和
VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立
的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端
口过滤。
对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。
这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成
员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。
适合于任何大
小的网络。
它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
2.基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLANMAC的地址。
这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员
身份。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。
这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。
而且这种划分的方法也导致了交换机执行效率的
降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存
了许多用户的MAC地址,查询起来相当不容易。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
3.基于网络层协议划分VLAN
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的
VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
4.根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLANo这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适
合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
5.按策略划分VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。
网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。
6•按用户定义、非用户授权划分VLAN
基于用户定义、非用户授权来划分VLAN是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLANo
三、VLAN的优越性
任何新技术要得到广泛支持和应用,肯定存在一些关键优势,VLAN技术也
一样,它的优势主要体现在以下几个方面:
1•增加了网络连接的灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起
,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理
费用大大降低。
2.控制网络上的广播
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用
VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
3•增加网络的xx
因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。
人们在LAN上经常传送一些保
密的、关键性的数据。
保密的数据应提供访问控制等安全手段。
一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用
户的数量,禁止未经允许而访问VLAN中的应用。
交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
四、VLAN网络的配置实例
为了给大家一个真实的配置实例学习机会,下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。
某公司
有100台计算机左右,主要使用网络的部门有:
生产部
(20)、财务部
(15)、人事部
(8)和信息中心
(12)四大部分,如图1所示。
网络基本结构为:
整个网络中干部分采用3台Catalyst1900网管型交换机(分别命名为:
Switch
1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户,如行政文书、临时用户等)、一台Cisco2514路由器,整个网络都
通过路由器Cisco2514与外部互联网进行连接
。
图1所连的用户主要分布于四个部分,即:
生产部、财务部、信息中心和人事部。
主要对这四个部分用户单独划分VLAN,以确保相应部门网络资源不被盗用或破坏。
现为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不想让太多人可以随便进出,于是公司采用了VLAN的方法来解决以上问题。
通过VLAN
的划分,可以把公司主要网络划分为:
生产部、财务部、人事部和信息中心四个主要部分,对应的VLAN组名为:
Prod、FinaHuma、Info,各VLAN组所对应的网段如下表所示。
VLAN号2345VLAN名
Switch12?
21
Switch22?
16
Switch32?
9
Switch310?
21端口号
Prod
Fina
Huma
Info
【注】之所以把交换机的VLAN号从"2"号开始,那是因为交换机有一个默认的VLAN,那就是"1"号VLAN,它包括所有连在该交换机上的用户。
VLAN的配置过程其实非常简单,只需两步:
(1)为各VLAN组命名;
(2)把相应的VLAN对应到相应的交换机端口。
下面是具体的配置过程:
第1步:
设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置):
1user(s)
升级会员 