子网的计算范文

子网的计算范文（精选9篇）

子网的计算 第1篇

IP地址按层次结构来说, 由网络地址和主机地址两部分组成。按组成形式来说, 是由4组8位二进制位组成, 每组之间用“.”隔开, 一般采用点分十进制表示法, 如10.78.51.12。为了满足不同网络的需要, IP地址又被划分为A到C3个基本类型。A类地址高8位表示网络地址 (最高位为0) , 低24位表示主机地址;B类地址高16位表示网络地址 (最高两位为10) , 低16位表示主机地址;C类地址高24位表示网络地址 (最高3位为110) , 低8位表示主机地址。由此可知每类地址第1个十进制数的范围, A类为1-126, B类为128-191, C类为192-223。根据第1个十进制数据的大小, 就可以知道是哪一类IP地址。还有两个与计算有关特殊IP, 1) 网络地址:是指网络号不空而主机号全0的IP地址, 即网络本身;2) 广播地址:是指网络号不空而主机号全1的IP地址。

子网掩码的作用是区分IP地址中的网络地址和主机地址, 并将网络进一步划分为若干子网。子网掩码格式与IP地址相同, 也由4组8位二进制位组成, 网络地址所对应的部分全设为1, 主机地址所对应的部分全设为0, 也采用点分十进制表示法。有时也只给出网络地址所占的位数, 如171.16.7.128/16, 表示前16位为网络地址, 即子网掩码为255.255.0.0。3类基本IP地址默认的子网掩码为, A类255.0.0.0, B类255.255.0.0, C类255.255.255.0。

子网是指从一个网络地址上生成的逻辑网络, 就是从主机地址最高位开始借位变为新的子网地址分配给每个子网, 所剩余的部分仍为主机位。相应地在子网掩码中把借出的主机位也要设为1, 标识为子网地址。有了子网的概念后, IP地址则由网络地址、子网地址和主机地址三部分组成, 如果把子网地址对应的掩码用M标识, 则3类基本IP地址对应的子网掩码格式应为, A类255.M.0.0, B类255.255.M.0, C类255.255.255.M。

如果要划分子网, 可以从主机地址中借出高X位作为子网地址分配给每个子网, 则有子网数=2X (如果按RFC950标准划分子网数为2X-2, 即减去子网地址中各位全0和各位全1的两个子网, 但实际应用中, 现在许多产品都支持全0和全1的子网, 所以不需要-2了) , 每个子网所能容纳的主机数=2 (主机地址位数-X) -2。每个子网的主机地址范围为子网地址+1到子网广播地址-1。相应地, 在子网掩码中借出的高X位表示子网地址, 也要设为1, 以下举例说明。

例一、某公司有4个部门, 要求给每个部门划分不同的子网, 但都在192.168.0.0这个大网内, 请问子网掩码如何确定、每个子网地址是多少、每个子网最多能容纳多少台主机、这些主机的地址范围是多少?

1、计算子网掩码

192.168.0.0是一个标准的C类地址, 默认的子网掩码为255.255.255.0, 即高24位表示网络地址, 用低8位表示主机地址。现要分为22=4个子网, 就要从低8位的主机地址中借出2位作为子网地址, 借出的位在子网掩码中也要设为1, 故子网掩码为255.255.255. (11000000) 2, 即255.255.255.192。

2、计算子网地址C类网络地址192.168.0.0, 其子网地址是从低8位主机地址中借出的高2位组成的, 所以4个子网地址依次应为192.168.0. (00000000) 2;192.168.0. (01000000) 2;192.168.0. (10000000) 2;192.168.0. (11000000) 2。

3、计算每个子网所能容纳的主机数:

低8位主机地址中借出高2位作为子网地址, 剩余的6位表示主机地址, 故每个子网所能容纳的主机数均为26-2=62台, 主机地址范围为子网地址+1到子网广播地址-1。故不遵循RFC950标准的子网划分结果为:

如果按照RFC950标准划分, 则需要从主机地址中借3位作为子网地址, 减去子网地址全0和全1的两个子网, 从其他6 个子网中任选4个, 对应的子网掩码为255.255.255.224。

例二、已知一个主机的IP地址是202.183.56.101, 子网掩码是255.255.255.224问这个主机地址所在的网络地址、子网地址分别是多少?划分子网时从主机位借去了几位?分析:由IP地址第1个十进制数据可知, 这是一个C类地址, 前24位表示网络地址, 所以该IP地址所在的网络地址为202.183.56.0。C类地址默认的子网掩码是255.255.255.0, 可见题目给出的子网掩码最后一位224是划分子网形成的。化为二进制为255.255.255. (11100000) 2, 根据子网掩码的定义可知, 划分子网时借用了主机地址的高3位。把IP地址化为二进制形式202.183.56. (01101111) 2, 取主机地址的前3位形成子网地址, 故子网地址为202.183.56.96。也可以把IP地址和子网掩码都化为二进制形式, 然后按位进行与运算, 所得结果为子网地址。

以上是用C类地址举例的, A类B类地址划分子网的方法也一样。另外, 熟记3类基本地址每类地址第1个十进制数的范围、默认的子网掩码和2的次幂, 能迅速提高划分子网及计算地址的速度。

摘要：为了便于网络管理, 为了提高IP地址的使用效率, 在网络地址中引入了子网的概念。本文就子网的划分、标识、子网地址的确定、每个子网所能容纳的主机数以及主机地址范围给以说明。

子网的计算 第2篇

一、实验目的

1.了解路由器的作用；

2.掌握路由器的基本配置方法；

3.掌握子网及子网掩码的计算方法。

二 实验环境

准备交换机1台、PC机4台、路由器1台、2台服务器。

三 实验内容

1、子网及子网掩码的计算方法；

2、路由器的基本配置方法；

四 实验原理

子网掩码用于辨别IP地址中哪部分为网络地址，哪部分为主机地址。由1和0组成，长32位，全为1的位代表网络号。为了快速确定IP地址的哪部分代表网络号，哪部分代表主机号，判断两个IP地址是否属于同一网络，就产生的子网掩码的概念，子网掩码按IP地址的格式给出。A类IP地址的默认子网掩码为255.0.0.0；B类的为255.255.0.0；C类的为255.255.255.0。

用子网掩码判断IP地址的网络号与主机号的方法是用IP地址与相应的子网掩码进行与运算，可以区分出网络号部分和主机号部分。

(IP 地址)AND(子网掩码)=网络地址

例如10.68.89.1是A类IP地址，所以默认子网掩码为255.0.0.0，分别转化为二进制进行与运算后，得出网络号为10。再如202.30.152.3和202.30.152.80为C类 IP地址，默认子网掩码为255.255.255.0，进行与运算后得出二者网络号相同，说明两主机位于同一网络。

四 实验步骤

1、路由器的配置：

将SW1的0/4端口的连接路由器的fa 0/0端口,服务器的fasteathernet路由器的fa 0/1端口。

1）配置路由器主机名

Router>enable(注：从用户模式进入特权模式)

Router #configure terminal（注：从特权模式进入全局配置模式）Router(config)#hostname R1（注：将主机名配置为“R1”）R1(config)# 2）为路由器各接口分配IP地址

R1(config)#interface fastethernet 0/0

注：进入路由器 fastethernet 0的接口配置模式

R1(config-if)#ip address 192.168.1.254 255.255.255.0

注：设置路由器 fastethernet 0/0的IP地址为192.168.1.254，对应的子网掩码为255.255.255.0 R1(config-if)#no shut R1(config-if)#exit

R1(config)#interface fastethernet 0/1

R1(config-if)#ip address 172.16.255.254 255.255.0.0 R1(config-if)#no shut R1(config-if)#exit

计算机网络中子网划分的探讨 第3篇

在关注网络给我们的生活带来巨大的改变时候，一种危机也在慢慢的产生，随着经济的快速发展，网络也在飞速的发展，因特网主干网上的路由表的数目急剧增长，使得整个Ipv4地址空间也即将耗尽等问题，开发新的IP协议和节约使用IP地址的空间成为了摆在计算机学界的一系列重要难题。

现在所使用的IP地址是20世纪70年代末设计的，是一组由32位二进制数组成的标志符，称为IPV4，但是计算机网络的飞速发展，庞大的网络规模，使得IPV4已不能从根本上满足网络的发展需求，目前的IPV4地址池面临被耗完的危机，所以如何的节约现有IP地址成为了许多网络工程人员所面临的问题，而从目前来看，解决IP地址的危机主要有：1)采取具有更大地址空间的新的IP协议;2)采用划分子网的方法。

2 划分子网的原理和主要环节

在新的IPV6协议广泛推广和理论完备之前，划分子网和使用无分类编址CIDR都在一定程度上缓解了因特网发展中的困难。下面重点讨论一下子网划分方面的知识。

2.1 子网分割

子网分割，不能破坏IP地址的本身结构，更不能破坏IP地址的组成部分，即“网络号+主机号”，这个分割后的地址还仍然是独一无二的网络地址，由于在整个IP地址中，A、B、C、这三类IP地址的网络地址部分是不能够改变的，因此划分子网，必须从主机地址部分进行分割，这样才能不丢失IP地址本身的功能，

子网的分割原因：

1)原有IP地址空间的的利用率低。如对于B类IP地址按理论可以有6万多台计算机可以使用，而通常只能有几十台计算机在使用。这严重影响了对地址空间的使用。

2)负载过多使得网络性能严重下降。由于根据理论在每类IP地址段上可以分配很多，但过多的负载必然会照成网络信息的拥塞现象，从而造成了网络性能的下降。

3)网络号的随意分配，会路由表太大，而增加路由器成本，并且同时也会降低网络的查询速度。如一集团下有很多子公司，要为每一个子公司分配一个网络号，会造成物理网络过多，从而增加网络设备的成本，并且网络性能也会明显下降。

子网的划分必须遵循如下原则：

1)只能对一个单位的内部网络进行子网的划分

2)IP数据投的传递仍要遵守网络数据的转发流程

3)只对主机部分地址进行再划分，网络地址不可改变

4)去除全为0或1的子网地址

5)去除全为0或1的主机地址

2.2 子网掩码

子网掩码是计算机用来判定网络地址，便于网络上计算机之间的信息交流。子网掩码与IP地址相同，也是由一连串“1”和“0”组成的32位二进制标志符，具有如下几个特征：

1)子网掩码的组成必须是由一串连续的“1”和一串连续的“0”组成，中间不能交替出现，如：11111111 00000000 0000000000000000是子网掩码，而11110111 000000000 0000000000000000是非子网掩码。

2)子网掩码可以用点分十进制的方式来进行表示：如11111111 00000000 0000 0000 0000 0000可以写成255.0.0.0。

3)单独的子网掩码是没有任何意义的，必须与IP地址配对使用才可，子网掩码中的“1”对应于IP地址中的网络号与子网号，而“0”对应于IP地址中的主机号，如：

子网掩码前20位对应的IP地址部分为网络号后12位对应主机号，即：168.95.192.1其子网掩码为：255.255.240.0，也可以通过这种方式来记：168.95.192.1/20.

4)所有的网络都必须有一个子网掩码，两级式默认子网掩码，仍然可以使用如：对于192.168.1.1这样一个C类IP地址，其默认的子网掩码为：255.255.255.0

3 具体的实例

宏志集团，有5个下属子公司，由于工作的需求，现需将集团接入因特网，为此，向ISP申请了一个IP地址为：207.74.203.0，根据要求，每个子公司需将5-6重要办公室联网，现在进行网络划分：

由于这5个子公司同属于一个集团企业，所以为提高网络性能和节约成本，共用一个物理网络即可。207.74.203.0这是属于C类IP地址，其默认的子网掩码为255.255.255.0，不能够满足实际需求，必须要从新设置子网掩码：取个主机号的前3位为子网掩码则可以产生8个网段，有效网段为6个，大于子公司个数，同时各网段的主机个数为30个左右，也大于各子公司需求，所以满足要求。具体划分如下：

在把内部网络进行细分以后，然后按照公司的要求把相应的地址进行分配，然后在路由表中更新这些新的信息，这样一个完整的网络变组建了起来。

4 结论

综上所述，在解决IP地址所面临的危机，我们采用了划分子网以减少物理网络方式来节约IP地址的使用，使IP地址从两级式变为三级式，在一定程度上使IP地址更加灵活的应用，但这并不能从根本解决IP所面临的危机。所以要解决IP问题，必须使目前新版本的IP协议更加具有推广性和实用性。这也是当前计算机网络的一个新的挑战。

摘要：进入21世纪以来,随着世界经济的转型,全球化和信息化是现代社会经济的两大主要特征,网络对社会生活及社会经济的发展产生了不可逆转的影响。特别是以因特网为代表的计算机网络,已从最初的科研网发展成为规模庞大商业网络。网上购物、网上办公、网上学习等都已变成了现实,可以说21世纪是一个网络经济时代,懂得和使用计算机网络技术也成为了社会的一种需要,熟练的掌握IP地址的编码规则、分类、子网的分割等知识,对于计算机网络的组建有很大的实际意义,本文主要探讨子网的具体组网的过程。

关键词：IP地址,子网,子网掩码

参考文献

[1]黄叔武.计算机网络教程[M].2版.北京:清华大学出版社,2007.

[2]聂真理.计算机网络基础教程[M].北京:北京工业大学出版社,2002.

[3]陈俊良.计算机网络实用教程[M].北京:科学出版社,2002.

子网规划问题 第4篇

yinqifu

现有2000个主机,要将每80台机子作为一个子网,如果采用192.168.0.0/255.255.248.0 网段,每个子网掩码是什么? 每个网段的网络号又是什么? 谢谢!

lihejia

64<80<128 所以子网主机应该是128台，子网掩码255.255.255.128

即8个C分成16段地址

lihejia

补充一句，2000台主机才8个C类，每个子网80台主机，不够啊

gaoyonggang 32381

每个子网掩码是255.255.255.128；网络号依次是192.168.0.0、192.168.0.128、192.168.0.256……。最后一个是192.168.12.0，其中的12已经突破了248的限制，lihejia

2000/80=25 25/2=12.5

所以整个地址段掩码为255.255.240.0 总共16个C

gaoyonggang 32381

2000/80=25.整个地址段掩码为255.255.240.0

lihejia

偶算错了 脑袋秀豆啦 呵呵

gaoyonggang 32381

网络号依次是192.168.0.0、192.168.0.128、192.168.1.0、192.168.1.128……，最后一个是192.168.12.0。

wanglijiang

255.255.240.0

wangleihns

子网划分的思考 第5篇

缩减网络流量, 优化网络性能, 简化管理, 更为灵活的形成大覆盖范围的网络, 有效隔离广播。

2 子网掩码 (subnet mask)

2.1 子网掩码的组成

和IP地址一样由32个二进制位构成, 分为四组, 每组8个二进制位, 采用点分十进制方法表示, 形如:×.×.×.×。

2.2 子网掩码的含义

一般和IP地址配合使用, IP地址中表示网络地址的二进制位部分对应在子网掩码中全部置为1, 表示主机地址的二进制位则全部置为0, 从而来确定IP地址的网络地址和主机地址。

2.3 默认子网掩码

A、B、C类地址默认子网掩码为255.0.0.0、255.255.0.0、255.255.255.0。

2.4 可能的子网掩码

255.0.0.0 (A类默认) , 255.128.0.0, 2 5 5.1 9 2.0.0, 2 5 5.2 2 4.0.0, 2 5 5.2 4 0.0.0, 255.248.0.0, 255.252.0.0, 255.255.0.0 (B类默认) , 255.255.128.0, 255.255.192.0, 255.255.224.0, 255.255.240.0, 255.255.248.0, 255.255.252.0, 255.255.255.0 (C类默认) , 2 5 5.2 5 5.2 5 5.1 2 8.0, 2 5 5.2 5 5.2 5 5.1 9 2.0, 2 5 5.2 5 5.2 5 5.2 2 4, 2 5 5.2 5 5.2 5 5.2 4 0, 255.255.255.248, 255.255.255.252。

3 子网划分的原理

通过向主机地址部分借位来表示子网地址, 从而进行子网划分。

4 子网划分案例

有一网络工程应用要求将10.0.0.0段地址划分为3个子网并写出划分子网后的子网掩码及子网的IP地址范围。

4.1 分析过程

首先10.0.0.0属于A类地址, 未划分子网时, 其默认子网掩码为255.0.0.0;其次要划为3个子网, 根据表1-2。

21 (2) <3>23 (8) , A类第一组表示网络地址, 故需从第二组主机地址开始借3位表示子网地址;第二组中还剩余5位表示子网主机地址, 加上剩余的16位, 可表示主机地址为21位, 即每个子网的主机地址个数为2-2;实际IP地址的借用关系见表1-3。

依子网掩码的定义, 网络地址8位, 子网地址3位共11位全部置1, 子网主机地址21位全部置0, 子网掩码为:11111111.11100000.00000000.00000000, 点分十进制表示为:255.224.0.0。

4.2 解决过程

根据分析过程设计子网划分详细取值表1-4。

依表1-4分析可知: (1) 网络地址部分, 第一组 (8位) 保持不变, 仍然为10; (2) 根据子网掩码定义, 子网掩码为:2555.224.0.0; (3) 选取前三个子网, 第一个子网的IP地址范围为:0 0 0 0 1 0 1 0.0 0 1 0 0 0 0 0.0 0 0 0 0 0 0 0.0 0 0 0 0 0 0 1-00001010.00111111.11111111.11111110, 点分十进制表示为, 10.32.0.1-10.63.255.254;第二个子网的IP地址范围为:0 0 0 0 1 0 1 0.0 1 0 0 0 0 0 0.0 0 0 0 0 0 0 0.0 0 0 0 0 0 0 1-00001010.01011111.11111111.11111110, 点分十进制表示为, 10.64.0.1-10.95.255.254;第三个子网的IP地址范围为:0 0 0 0 1 0 1 0.0 11 0 0 0 0 0.0 0 0 0 0 0 0 0.0 0 0 0 0 0 0 1-00001010.01111111.11111111.11111110, 点分十进制表示为, 10.96.0.1-10.127.255.254。

由此可见, 只要能够计算出从主机地址借来表示子网地址的的二进制位个数或每个子网用于表示主机地址的二进制位数, 然后根据子网掩码的定义计算出子网掩码, 最后根据实际子网划分的要求列出详细取值表1-4, 舍弃网络地址、子网地址、主机地址全为0和全为1的组合, 就可以计算出符合条件的子网IP地址范围。

摘要：本文对子网划分以表格的形式进行归纳总结, 最终使学生灵活掌握子网划分的方法。

子网掩码与子网划分方法分析 第6篇

Internet组织机构定义了五种IP地址, 用于主机的有A、B、C三类地址。其中A类网络有126个, 每个A类网络可能有16, 777, 214台主机, 它们处于同一广播域。而在同一广播域中有这么多结点是不可能的, 网络会因为广播通信而饱和, 结果造成16, 777, 214个地址大部分没有分配出去, 形成了浪费。而另一方面, 随着互连网应用的不断扩大, IP地址资源越来越少。为了实现更小的广播域并更好地利用主机地址中的每一位, 可以把基于类的IP网络进一步分成更小的网络, 这就是子网, 每个子网由路由器界定并分配一个新的子网网络地址, 子网地址是借用基于类的网络地址的主机部分创建的。划分子网后, 通过使用掩码, 把子网隐藏起来, 使得从外部看网络没有变化, 这就是子网掩码。

1 子网掩码

IP协议标准规定:每一个使用子网的网点都选择一个32位的位模式, 若位模式中的某位置1, 则对应IP地址中的某位为网络地址中的一位;若位模式中的某位置0, 则对应IP地址中的某位为主机地址中的一位。例如位模式:11111111 11111111 1111111100000000中, 前三个字节全1, 代表对应IP地址中最高的三个字节为网络地址;后一个字节全0, 代表对应IP地址中最后的一个字节为主机地址。这种位模式叫做子网模 (subnet mask) 或“子网掩码”。

RFC 950定义了子网掩码的使用, 子网掩码是一个32位的2进制数, 其对应网络地址的所有位都置为1, 对应于主机地址的所有位都置为0。由此可知, A类网络的缺省的子网掩码是255.0.0.0, B类网络的缺省的子网掩码是255.255.0.0, C类网络的缺省的子网掩码是255.255.255.0。将子网掩码和IP地址按位进行逻辑“与”运算, 得到IP地址的网络地址, 剩下的部分就是主机地址, 从而区分出任意IP地址中的网络地址和主机地址。子网掩码常用点分十进制表示, 还可以用网络前缀法表示子网掩码, 即“/<网络地址位数>”。如138.96.0.0/16表示B类网络138.96.0.0的子网掩码为255.255.0.0。

子网掩码告知路由器, 地址的哪一部分是网络地址, 哪一部分是主机地址, 使路由器正确判断任意IP地址是否是本网段的, 从而正确地进行路由。例如, 有两台主机, 主机一的IP地址为222.21.160.6, 子网掩码为255.255.255.192, 主机二的IP地址为222.21.160.73, 子网掩码为255.255.255.192。现在主机一要给主机二发送数据, 先要判断两个主机是否在同一网段。

主机一

按位逻辑与运算结果为:

主机二

按位逻辑与运算结果为:

两个结果不同, 也就是说, 两台主机不在同一网络, 数据需先发送给默认网关, 然后再发送给主机二所在网络。那么, 假如主机二的子网掩码误设为255.255.255.128, 会发生什么情况呢?

让我们将主机二的IP地址与错误的子网掩码相“与”:

结果为

这个结果与主机的网络地址相同, 主机与主机二将被认为处于同一网络中, 数据不再发送给默认网关, 而是直接在本网内传送。由于两台主机实际并不在同一网络中, 数据包将在本子网内循环, 直到超时并抛弃。数据不能正确到达目的机, 导致网络传输错误。

2 子网划分与掩码的设置

子网划分是通过借用IP地址的若干位主机位来充当子网地址从而将原网络划分为若干子网而实现的。划分子网时, 随着子网地址借用主机位数的增多, 子网的数目随之增加, 而每个子网中的可用主机数逐渐减少。

子网数量=2N-2。N为子网位数, 因为RFC950要求限制子网号为“全0”和“全1”的使用, 其中代表网络自身的全0, 代表广播地址的全1是被保留的, 不能把它们分配给任何一个子网, 所以要减2。

子网主机数=2M-2, M为主机位数, 同样, 主机位全0和全1也被保留, 所以也要减2。

总主机数量=子网数量×子网内主机数量

以C类网络为例, 根据子网ID借用的主机位数, 我们可以计算出划分的子网数、掩码、每个子网主机数, 列表如下:

如下表所示的C类网络中, 若子网占用7位主机位时, 主机位只剩一位, 无论设为0还是1, 都意味着主机位是全0或全1。由于主机位全0表示本网络, 全1留作广播地址, 这时子网实际没有可用主机地址, 所以主机位至少应保留2位。

从下表可总结出子网划分的步骤或者说子网掩码的计算步骤:

确定要划分的子网数目以及每个子网的主机数目;求出子网数目对应二进制数的位数N及主机数目对应二进制数的位数M;对该IP地址的原子网掩码, 将其主机地址部分的前N位置1或后M位置0即得出该IP地址划分子网后的子网掩码。

通过以上分析, 子网掩码的设置关系到子网的划分。子网掩码设置的不同, 所得到的子网不同, 每个子网能容纳的主机数目不同。若设置错误, 可能导致数据传输错误。因此, 子网掩码是每个网管必须要掌握的基础知识, 只有掌握它, 才能够真正理解TCP/IP协议的设置。

参考文献

[1] (美) 科默 (Comer, D.E) 著;林瑶等译.用TCP/IP进行网际互联[M].北京:电子工业出版社, 2001.5.

[2]方程.操作系统——Windows2003[M].北京:高等教育出版社, 2005.

探究IP子网划分的原理 第7篇

IP地址的到来为我们描绘了一个广阔的景象, 但同时也给我们带来了一系列的问题:首先我们如何解决某网络上的主机与另一个不同网络上的主机进行通信, 其次如果全球每人均有电脑且都分配一个至多个IP地址, 那么我们该如何解决IP地址的数量问题。

2 IP寻址解决主机间通信问题

主机与主机之间通信, 每个数据包都被指定了发送者和接收者的IP地址, 每个接收了数据包的路由器都是基于数据包的目的IP地址来决定路由的。

发送者的IP地址我们一般称为源IP, 而接收者的IP地址一般称为目的IP, 我们可以通过源和目的确定通信的路径。对应于整个互联网而言, IP地址数量惊人, 如何去寻找232个IP地址中的源和目的是需要解决的问题。

2.1 IP地址中的网络地址和广播地址

2.1.1 网络地址

IP中网络地址是将数据包发送到远程网络的路由中使用的名称。我们来看一个通俗的例子, 张三是南京人, 那么张三的所属就南京, 南京就是张三的网络地址, 因为南京有很多人, 而张三只是其中一员, 这一员我们称为主机。这样我们就可以确定一个公式:

2.1.2 广播地址

被应用程序和主机用来将信息发送给网络上所有结点的地址。在IP地址里面, 我们认为255.255.255.255用于指向所有网络, 所有的节点, 眼下之意也就是172.16.255.255是指向172.160.0上的所有子网和主机的, 而10.255.255.255是指向网络10.00.0上所有的子网和主机的, 192.168.1.255是指向网络192.1681.0上所有的子网和主机的。

2.2 分层的IP寻址方案

如何解决IP地址因数量庞大而导致IP寻址困难这个难题, 方法就是使用两级或者三级的分层化寻址方案。

因特网的设计者决定根据网络的大小来创建网络的类别。这些类别分为A类网络、B类网络、C类网络、D类网络和E类网络, 如表1所示, 其中D类网络我们又称为组播, E类网络适用于研究, 也就是说, 我们真正可以接触的网络有A、B和C三类。

我们发现在表1中, 有一些地址我们并没有真正地使用到, 这些地址, 我们都称之为私有IP地址, 表2展示了所有可用的私有IP地址范围。私有地址的出现, 是为了节省宝贵的IP地址空间, 为了满足广泛需要的安全目的, 我们要注意这些私有IP地址允许被私有的网络所使用, 但是绝对不可以通过因特网。

3 子网划分进一步对网络进行分层

我们已经将网络划分成A、B和C类3类, 但是我们只是定义了网络。如果你想拥有一个网络地址, 并从中创建6个网络的话, 应该做以下处理。

3.1 子网划分基础

3.1.1 固定的子网掩码

子网掩码是一个32位的二进制值, 接收IP数据包的一方可以从IP地址的主机号部分中区分出子网IP号地址。二进制子网掩码中的1表示精确匹配网络位或者是子网位。

在A类、B类和C类地址中, 默认的子网是不可以改变的, 表3阐述了有类网络中各种地址默认的子网掩码的格式和范围。

3.1.2 可变子网掩码

VLSM是为了有效地使用CIDR和路由汇总来控制路由表的大小, 对子网进行层次化编址, 以便最有效地利用现有的地址空间。

当从ISP那里得到一个成块的地址, 如193.168.10.32/28, 我们可以把它看到两个部分, 第一部分就是193.168.10.32, 第二部分就是28。显然, 通过第一部分, 发现它属于有类网络中的C类IP地址, 而第二部分就是子网掩码, 28表示32位二进制中有28个1, 有4个0, 即转化为十进制就是255.255.255.240。

3.2 进行子网划分

3.2.1 子网划分的原则

(1) 这个被选用的子网掩码会产生的子网数是

2x=子网数目。我们首先通过子网掩码来初步判断是属于哪一类的IP地址, 根据不同的类别, 判断出不同的网络位数。

(2) 每个子网中又会有多少个合法的主机号可用

2y-2=每个子网中主机的数目。y是非掩码位的位数, 即子网掩码二进制位中0的个数, 同样我们在判断子网掩码的位数的时候, 也要首先初步判断该IP地址是属于哪一类别。

(3) 这些合法的子网号

256-子网掩码=块大小, 即增量值。我们通过增量值, 可以知道下一个网段是从哪里开始的。

(4) 每个子网的广播地址

每个子网都是有网络地址和广播地址所分割的。

(5) 在每个子网中, 哪些是合法的主机号

合法主机地址是那些介于子网的网络地址和广播地址之间的IP地址, 但是同时也要注意的是, 在VLSM子网划分中, 并非全0就是网络地址, 全1就是广播地址。

3.2.2 C类地址的子网划分

C类地址的网络位一共有3个字节24位, 那么我们的CIDR值也就必须从/24~/32开始取数。其中/24也就是传统意义上的C类地址。

假设从ISP那边获得了一个C类的IP地址:193.168.10.0/25。由于/25对应的二进制子网掩码是11111111 1111111111111111 10000000, 十进制表示为255.255.255.128。我们将对C类网络地址193.168.10.0进行子网划分。

193.168.10.0=网络地址

255.255.255.128=子网掩码

我们通过子网划分的五大原则, 有如下分析步骤:

(1) 有多少个子网

由上述获得的C类IP地址, 已经得知/25对应的子网掩码的二进制和十进制表示, 那么11111111 11111111 1111111110000000中第四部分首位二进制位为1, 因此子网的数量为21=2个子网。

(2) 每个子网中有多少台主机

这里面第四部分中有7个0表示主机位, 因此我们通过计算可以得到27-2=126, 也就是说我们现在的所拥有的主机数量为126台。

(3) 我们有多少个合法的子网

合法的子网其实计算相当的简单, 也就是256-128=128。这里面是从0开始计算的, 因此我们所得到的块地址大小为128, 可以得到两块, 也就是合法的子网为0、128。

(4) 每个子网的广播地址是什么

还记得我们在讨论IP地址中广播地址的时候, 假设了一个结论, 就是对于一个真实的IP地址, 只要所有以255结尾的IP地址都是该网络地址的广播地址。

(5) 哪些是合法的主机号

合法的主机号就是介于子网的网络地址和广播地址之间的地址。找出这些合法主机地址的最简单的方法, 就是写出该子网地址和广播地址。如表4所示。

两个不同的子网之间的通信必须通过路由器去完成, 下面罗列一下该IP子网划分的逻辑拓扑图1。

4 总结

我们通过上述的分析和实例可知, 子网的划分其实分成两大类:固定子网掩码和可变子网掩码。子网的划分缩减了主机的数量, 同时通过汇总, 把原先数量庞大或者是杂乱无章的网段, 通过相同的网络块, 再一次把网络汇聚在一起, 最后投入到因特网中进行使用。我们正是通过分久必合和合久必分的思想, 来提高整个网络的IP寻址的效率。

参考文献

[1][美]Jeff Doyle.TCP/IP路由技术[M].Volume I.北京:人民邮电出版社, 1998.

[2][美]Jeff Doyle.TCP/IP路由技术[M].Volume II.北京:人民邮电出版社, 2002.

[3]Todd Lammle.Cisco Certified Network Associate Study Guide[M].北京:电子工业出版社, 2009.

[4]David Hucaby.CCIE#4594.CCNP Switch Study Guide[M].北京:人民邮电出版社, 1998.

[5]Wendell Odom.CCIE#1624.CCNP Route Study Guide[M].北京:人民邮电出版社, 1998.

基于安全协议的虚拟专用子网研究 第8篇

随着互联网的兴起, 企业开始寻求利用互联网来扩展业务。虚拟专用子网 (Virtual Private Network, VPN) 可以满足企业远程员工和分公司的业务需求。从原理上来说, VPN就是利用公用网络把远程站点或用户连接到一起的专用网络。一个典型的企业VPN包括公司总部主LAN、远程分公司或分支机构LAN和从外部网络连接进来的个人用户。VPN是一种能够将物理上分布在不同地点的网络通过公用骨干网进行连接的逻辑虚拟子网, 提供了通过公用网络安全对企业内部网络进行远程访问的连接。一个VPN连接使用隧道作为传输通道, 这个隧道建立在公共网络或专用网络基础上。为了保障数据安全, VPN技术采用鉴别、访问控制、保密性、完整性等措施, 以防止信息泄漏、篡改和复制。VPN主要类型有远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网。远程访问虚拟网是一种用户到LAN的连接, 通常用于员工从远程位置进行连接的专用网络。基于内部网有多个远程位置需要加入一个专用网络, 将LAN连接到另一个LAN, 称为企业内部虚拟网。企业扩展虚拟网, 是基于外部网将一个LAN连接到另一个LAN, 多个LAN同在一个共享环境中工作。

2 VPN基本原理

VPN实现技术主要以L2TP协议、IPSec协议和SSL协议为主。VPN使用三方面技术保证通信的安全性, 即身份验证、隧道协议、数据加密。身份验证技术是实现安全通信的前提。VPN的一般验证流程: (1) 客户机向VPN服务器发出请求, VPN服务器响应请求并向客户机发出身份质询; (2) 客户机将加密的响应信息发送到VPN服务器, VPN服务器根据用户数据库检查是否该响应; (3) 如果账户有效, VPN服务器将检查该用户是否具有远程访问权限; (4) 如果该用户拥有远程访问的权限, VPN服务器接受此连接; (5) 在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。在VPN中, 用户身份认证技术是在正式隧道连接开始前进行用户身份确认, 以便系统进一步实施相应的资源访问控制和用户授权。VPN常用的身份认证技术主要有安全口令、PPP认证协议和密钥管理技术三种。隧道技术是VPN的基本技术, 类似于点对点连接技术, 在公网建立一条数据通道 (隧道) , 让数据包通过这条隧道传输。隧道是由隧道协议形成的, 主要有第2层隧道协议PPTP和L2TP、第三层隧道协议IPSec和安全套接层SSL协议等。隧道技术是一种通过使用互联网基础设施在网络之间传递数据的方式。隧道技术包括数据封装、传输和解包在内的全过程。在VPN实现中, 双方大量通信流量的加密使用对称加密算法, 在管理、分发对称加密的密钥上采用非对称加密技术。加密基本思想, 在协议栈的任意层对数据或报文头进行加密, 从而有效保护传输的信息。VPN是通过软件实现的技术, 因而VPN加密载体是多方面的, 包括路由器、防火墙、专用VPN硬件。VPN加密技术发展趋势是实现端到端的安全, 真正确保完全的加密。

3 VPN实现技术

由L2TP构建的VPN有两种类型, 一是L2TP访问集中器LAC为用户提供认证的网络接入服务器, 二是L2TP网络服务器LNS用于处理L2TP协议服务器端部分的软件。LNS和LAC存在两种连接类型, Tunneling连接和Session连接, 前者定义一个LNS和LAC对;后者复用在隧道连接之上, 表示隧道连接的每个PPP会话过程。在L2TP构建的VPN中, L2TP协议网络组件包括三部分: (1) 远端系统是接入VPDN网络的远地用户和分支机构, 通常是拨号用户的一台主机或私有网络的路由设备。 (2) LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备, 位于LNS和远端系统之间, 用于LNS和远端系统之间传递信息包。LAC从远端系统收到信息包按照L2TP协议封装发送LNS, 同时从LNS收到信息包解封装发送远端系统。 (3) LNS既是PPP端系统又是L2TP协议服务器端, 作为企业内部网的一个边缘设备。LNS作为L2TP隧道的另一侧端点即LAC对端设备, 是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立L2TP隧道, 将远端系统PPP连接的另一端延伸至企业网内部LNS。L2TP是PPTP和L2F的组合, 微软L2TP依托IPSec传输模式提供加密服务。

L2TP没有解决隧道和数据加密问题, IPSec是一种开放标准框架结构, 使用加密服务确保Internet通讯安全顺畅。IPSec是一个位于IP层上用于认证、机密性和完整性的标准协议包, 包括认证协议 (AH) 、封装安全载荷协议 (ESP) 、密钥管理协议 (IKE) 和用于认证与加密的算法如DES、IDEA等。IPSec定义了如何在对等层之间选择安全协议、安全算法和密钥交换, 向上层提供访问控制、数据源验证、数据加密等安全服务。 (1) AH为IP数据包提供无连接的数据完整性和数据源身份认证, 具有防重放攻击的能力。 (2) ESP为IP数据包提供数据保密性、无连接的数据完整性、数据源身份认证以及防重放攻击保护。 (3) AH和ESP配合使用, 在两台主机、两台安全网管或主机与安全网关之间配置多种灵活安全机制。 (4) 解释域DOI将所有IPSec协议捆绑在一起, 是安全参数的主要数据库。 (5) 密钥管理包括IKE协议和安全联盟 (SA) 等部分。IKE将密钥协商结果保留在SA中, 供AH和ESP通信使用。AH和ESP支持两种模式:传输模式和隧道模式。传输模式IPSec对上层协议提供保护, 用于两个主机之间的端到端通信。隧道模式IPSec对所有IP包保护, 用于安全网关之间, 可以在Internet上构建VPN。图1显示ESP服务传输模式, 在两个主机之间提供加密和鉴别服务, 图2显示ESP隧道模式建立VPN。

SSL安全套接层协议层是一种在Web服务协议和TCP/IP之间提供数据连接安全性的协议, 为TCP/IP连接提供数据加密、用户与服务器身份验证和消息完整性验证。SSL提供三方面安全服务: (1) 用户和服务器的合法性认证。认证用户和服务器的合法性, 使得它们确信数据被发送到正确的客户机和服务器。客户机和服务器都有各自的识别号, 由公开密钥编号, SSL协议在握手交换数据时进行数字认证, 以此确保用户的合法性。 (2) 数据以加密方式被传送。客户机与服务器交换数据之前, 交换SSL初始握手信息, SSL握手信息采用了各种加密技术, 保证其机密性和完整性, 并且用数字证书鉴别, 防止非法用户破译。 (3) 保护数据的完整性。SSL采用Hash函数和机密共享的方法提供信息的完整性服务, 建立客户机与服务器之间的安全通道, SSL处理的业务在传输过程中完整、准确无误地到达目的地。SSL安全协议认证工作流程: (1) 服务器认证阶段, 客户端向服务器发送一个Hello信息开始一个新的会话连接;服务器根据客户信息确定是否生成新的主密钥, 若需要, 服务器在响应客户Hello信息时包含生成主密钥所需信息;客户根据收到的服务器响应信息, 产生一个主密钥, 用服务器公开密钥加密后传送给服务器;服务器恢复主密钥, 返回给客户一个用主密钥认证的信息, 让客户认证服务器。 (2) 用户认证阶段, 在此之前, 服务器已经通过了客户认证, 这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户, 客户则返回数字签名后的提问和其公开密钥, 从而向服务器提供认证。SSL为访问资源提供有限安全保障, 基于SSL的Web浏览器进行VPN通信, 对用户来说外部环境并不安全, 因为SSL VPN只对通信双方某个应用通道加密, 不对通信双方主机之间的整个通道加密。图3显示应用SSL构建的VPN服务, 为HTTP服务通道加密。

4 结语

基于安全协议的虚拟专用网利用协议的安全机制保证了数据的机密性和完整性, 以及用户身份的可认证性和权限的可控性。从公共互联网通道, 有效利用资源搭建一个安全通信平台, 保障用户和数据安全。

参考文献

[1] (美) William Stallings.网络安全基础应用与标准 (第4版) (影印版) [M].北京:清华大学出版社, 2010.

[2] (美) Michael J.Donahoo Kenneth L.Calvert.TCP/IP Sockets编程 (C语言编程实现) [M].陈宗斌 (译) .北京:清华大学出版社, 2009.

[3]黄传河.网络安全防御技术实践教程[M].北京:清华大学出版社, 2010.

[4]金汉均.VPN虚拟专用网安全实践教程[M].北京:清华大学出版社, 2010.

[5]王继龙.局域网安全管理实践教程[M].北京:清华大学出版社, 2009.

IPv6环境下的子网划分 第9篇

关键词：IPv6,子网划分,邻居发现协议

无论我们是否愿意, IPv4地址确实已经分配完毕, 各网络设备厂商的IPv6设备也已经进入了测试以及部署的阶段。在我国IPv6网络即将投入商用试点的今天, 可以预计在不久的将来, 现有的网络必定将逐步开始向IPv6过渡。届时, 摆在各位网络管理者面前的一个紧迫问题, 便是IPv6环境下的子网划分问题。

子网划分是网络规划的基础, 其优点是不言而喻的, 对于有子网划分需求的网络来说也是必须的。子网划分的根本目的在于分隔大的网络以便于管理, 包括分隔广播, 限制访问等等。由于IPv6并没有从根本上改变现有的网络通讯基本方式, 所以子网划分在IPv6环境下与IPv4同等重要。然而, IPv6相对于IPv4的变化绝不仅仅局限于IP地址长度的增加。在设计IPv6的最初阶段, 就已经考虑要解决IPv4网络中存在的一些问题, 因此直接复制IPv4环境下的子网划分方式, 是绝对不行的。事实上, IPv6相对于IPv4的变化, 子网划分也算得上是一个突出的特点。

从子网划分的角度来看, IPv4将IP地址分成了A、B、C三类, 配合可变长度子网掩码技术, A类地址能够划分最多数量的子网, B、C类地址则呈几何级数依次递减。IP地址与子网掩码通过逻辑与运算, 标识出了网络号以及所处该网络内的主机号, 从而区分出不同的网络与不同的主机, 不同的网络间通过网关连接通讯。由于网络号与主机号都是由网络管理者人为指定的, 所以一个配置完善的网络内, 必定会部署DHCP服务器, 用于自动给连接到网络内的计算机分配IP地址, 从而使得这些计算机能够正常的连入网络。

这套系统尽管支撑着当前的整个网络, 但是其复杂与低效却是显而易见的。单就有类子网掩码就有分别对应A、B、C类地址的/8、/16和/24三种, 加上无类子网掩码则达到了惊人的23种之多, 其复杂程度可见一斑。而DHCP请求的延时问题以及多DHCP服务器给网络造成的不稳定等问题, 也始终困扰着网络管理者。

事实上, IPv6从设计之初就着手要解决这些问题。

IPv6网络的基本通讯设计与IPv4是一致的, 通过IP地址与子网掩码标识出网络号与主机号——在IPv6网络中分别被称为网络前缀与接口标识符——不同网络间通过网关连接。然而, IPv6地址128位二进制数的长度, 则使得任何一个地址所能够划分的子网在实际应用中都几乎可以被视为是无限数量的。因此, 尽管IPv6也支持可变长度子网掩码技术, 但普遍的做法是固定使用/64的子网掩码, 这也是绝大多数IPv6网络设备都能够支持的一种选择。也就是说, 使用固定的/64子网掩码将具有最大的设备兼容性。如果说从ISP处申请到一个/48的IPv6地址前缀, 那么使用/64的子网掩码就意味着可以划分216-2即65534个子网, 这个数字在通常情况下显然是足够用了。剩下的部分与IPv4环境下的子网划分是基本一致的, 在此不再详述。

IPv6的另一大革新是引入了邻居发现协议。邻居发现协议不仅从网络层的角度改进并替代了原本工作在数据链路层上的ARP协议, 更为重要的是, 对网络管理者而言, 邻居发现协议的无状态自动配置机制, 彻底改变了今天所广泛使用的DHCP技术。

IPv6的无状态地址自动配置机制, 使得计算机无需DHCP服务器的干预, 通过路由器公告消息就能为自己配置IP地址, 从而实现网络通讯。其基本原理是这样的:路由器在其接口上公告当前网络的前缀信息, 计算机获取到路由器的这个公告即获知了当前所处网络的IPv6地址前缀。再根据EUI-64格式——一种通过固定算法对网络接口的MAC地址进行计算从而得到具有唯一性地址的技术——生成自己的接口标识符, 与网络前缀一起就组成了完整的IPv6可聚合全球单播地址。当然, 实际的运作过程会略微复杂些。

与DHCP技术不同的是, 无状态地址自动配置机制是由计算机自己来配置IP地址而无需DHCP服务器的干预, 其工作效率以及对网络开销的影响, 显然是IPv4环境下的DHCP技术所不可比拟的。此外, 当前很多网络都希望能够将MAC地址与IP地址绑定从而进一步加强对入网计算机的管理。而基于EUI-64格式获得的IP地址本身就是通过MAC地址计算而来, 相当于直接完成了绑定的工作, 将大大增强网络的可管理性。同时, MAC地址的唯一性使得通过EUI-64格式获得接口标识符必定也是全球唯一的, 绝对避免了网络中出现IP地址冲突的可能。

需要特别说明的是, 尽管EUI-64格式能够大大降低IP地址配置的复杂性, 但是诸如网络中各路由器接口、交换机VLAN以及相关服务器的接口地址, 并不适合使用EUI-64格式来分配。使用过去的网络管理员人为指定的方式更便于网络的实际运作与管理。

此外, DNS在IPv6网络中将会是一个不可缺少的元素。

众所周知, IP地址、子网掩码与网关解决了联网的问题, 但是要更好的使用网络, 还需要配置DNS服务器地址。由于IPv6地址本身的复杂程度, 记忆几乎是不可能的——广泛使用的Internet Explorer浏览器就不支持通过IPv6地址直接访问网络服务——因此必定需要在网络内建立支持IPv6的DNS服务器。而无状态地址自动配置机制并不包括DNS的配置。因此, 具体可以用一下方法来解决:开启网络设备的DHCPv6服务用于告知DNS服务器地址, 在接口公告消息中设置加入获取扩展参数的选项, 即可使得计算机在通过路由器公告消息为自己分配IPv6地址的同时, 获取到DNS服务器的地址。