通过合理的子网划分,从物理上对企业局域网进行划分,提高网络的安全性,这是不少网络工程师首选的企业网络安全方案。确实,在子网掩码的帮助下,可以把企业网络划分成几个相对独立的网络。然后把企业的机要部门放在一个独立的子网中,以限制其他部门人员对这个部门网络的访问。这是一个非常不错的解决方案。笔者平时在给企业部署网络基础架构的时候,也喜欢利用子网来对企业的重要部门进行隔离。另外,还可以利用子网对一些应用服务器进行隔离,防止因为客户端网络因为中毒而对服务器产生不利的影响。
不过子网划分的内容,在学校里学的很辛苦,因为教科书上写的太过于高深。工作以后,实际接触过几个项目,也跟一些前辈沟通过,觉得子网划分没有我们想象中的难。一般只要通过六个步骤就可以设计出一个合理的子网划分方案。
第一步:企业需要多少个子网?
当对企业局域网进行子网规划的时候,网络管理员第一个要考虑的内容,就是企业到底要划分成几个子网。因为需要根据这个数据确认子网掩码的位数。
如笔者给一家企业做网络规划的时候,经过跟他们各个部门沟通后,决定为他们设置四个子网。研发部门、财务部门各用一个子网;为了应用服务器的安全,故把他们的邮箱服务器、ERP系统服务器、OA办公自动化软件服务器等放在同一个子网络中;其他部门的客户端共享一个网段。
企业需要划分4个网段,一共需要几位的子网掩码呢?这里有一个现成的公式可以套用:2x=子网个数,其中x就是所需要的子网掩码位数。若根据这个案例,子网个数为4,则2x=4。把这个方程解出来,子网掩码位数即为2。
第二步:每个子网中大致有多少主机?
网络管理员第二个需要考虑的问题就是每个子网中大概需要部署多少主机。因为每个子网中的主机数量是有限的,所以,以上那个子网划分方案还不是最终的方案。只有等各个网段的主机数量能够满足企业的需要之后,才可以最终拍板采用这个方案。
笔者负责的这家企业中,研发部门、财务部门的主机数量都比较少,研发部门10台、财务部门5台;而各种应用服务器的话也需要六个IP地址。若考虑扩展性的话,以上两个部门最多再增加3个IP地址即可。而其余部门的话,现有电脑40台左右。考虑到后续的扩展,要为其预留十个到二十个IP地址。
第三步:计算现有子网的合法的主机IP数目
接下去网络管理员就需要计算根据第一步得出来的子网规划方案,能否满足企业主机数据的需要。在计算子网的合法主机IP地址的时候,也有一个公式可以进行套用:2x-2=合法的主机IP地址数(这里的x表示的是非子网掩码的位数,即子网掩码为0的位数)。按照第一步,我们计算出来的子网掩码的为数为 2,此时,我们就需要一个个的试验。
若我们采用C类IP地址的话,则其子网掩码为1的最多八位。根据这个案例,需要子网掩码2位,那么子网掩码为零的就是6位。其每个网段的子网掩码为26-2=62位。而企业要求的每个网段的最多主机数量为60台(已经考虑了未来扩展的需要)。所以,这个子网划分方案完全满足企业的需求。
若此时,企业需要的主机数量为100台,那么就不能够采用C类地址了,而需要采用B类地址或者A类地址。总之,网络管理员要保证现有的子网规划方案,其每个网段的主机数量要能够满足企业的需要。否则的话,就需要进行相应的调整。
在做这个判断的时候,笔者需要强调两个方面的问题
一是在考虑某个网段的主机数量的时候,不能看现在有多少就留多少个IP地址。而是需要考虑一定的拓展型。笔者这里只留了15%左右的拓展空间,其实还算是比较保守的。一般情况下,可能需要有50%,甚至更多的保留空间。因为子网部署好之后,因为IP地址不够再重新调整的话,是一件非常头痛的事情。
[Ok3w_NextPage]二是最好从C类、B类、A类地址这么测试。笔者比较倾向于采用C类地址。只有当C类地址无法满足的时候,才考虑采用B类、A类地址。一般来说,在同等数量的子网情况下,B类、A类地址可用的主机IP地址数量要比C类地址多的多。具体采用哪类IP地址,一般跟网络管理员的爱好有关。
第四步:这些子网的子网号是什么?
通过以上的三个步骤,子网的规划已经完成。接下去的任务就是需要计算一些具体的参数。这主要是用来帮助网络管理员做好后续的配置,以及方便以后的工作。具体的来说,网络规划完毕后,网络管理员需要分析每个网段的子网号是多少、每个子网的广播地址是多少、每个子网中合法的IP地址是哪些等等。
首先,我们需要计算每个子网的子网号。这里又有一个公式,即256-子网掩码=增量值。就以笔者这家企业为例。因为用了2位子网掩码,其二进制表示即为11000000。若转化为十进制,即是192。所以,计算出来的增量值即为64。那么,从0来时,每隔64,即是每个子网的子网号。在这个例子中,四个网段的子网号分别为192.168.0.0、192.168.0.64、192.168.0.128、192.168.0.192。根据相关的规则,这四个IP地址具有特殊的用途,不能够用来分配给网络客户端。
第五步:计算每隔子网段的广播地址
我们在第三步计算每个网段的主机地址可用量的时候,我们一下子减去了两个IP地址。一个是因为第四步所说的子网号不能够用来作为客户端的主机地址以外;还有一个就是每个子网中还有一个广播地址,其也不能够被当作主机地址来时用。所以,我们还需要计算出每个网段的广播地址。以避免在配置客户端的时候,把这个广播地址错误的分配给网络主机。
计算广播地址比较简单,因为其直接跟前面一个步骤计算出来的子网号相关。简单的说,一个网段中的起始地址是子网号,而最后一个地址就是广播地址。如上面这个例子,其192.168.0.0到192.168.0.63是一个网段。则默认情况下,其192.168.0.0是子网号,192.168.0.63就是广播地址。所以,这不需要我们再利用公式去计算。
第六步:分析每个子网中合法可用的主机IP地址
最后一步就是需要分析每个网段中可用的主机IP地址了。这个步骤也比较简单,只要把每个网段中的IP地址,除掉子网号与网络掩码之外,就都是可用的IP地址了。也就是说,合法的IP地址时那些介于各个子网之间的取值,并要去掉子网号与广播地址。换句话说,他就是介于子网号与广播地址之间的地址。
不过往往计算出来这些数据后还不够。因为这不够清楚,让人看的头晕。我们往往需要把计算出来的结果整理成一张表格。如此的话,在配置客户端的时候,才不会因为疏忽把IP地址配置错误。要知道,到时候,就是凭这些IP地址来控制客户端主机所处的网段。特别是遇到网段比较多或者比较复杂的时候,一定要有一个合理的IP地址分配方案。如笔者在设计子网的时候,喜欢把以上的计算结果总结出如下这么一张表。
子网名称 子网号 广播地址 可用主机地址数量 企业需求
研发部门 192.168.0.0 192.168.0.63 62 10
财务部门 192.168.0.64 192.168.0.127 62 10
应用服务器 192.168.0.128 192.168.0.191 62 10
其他 192.168.0.192 192.168.0.255 62 60
如此的话,就可以一目了然的看到可用IP地址的结果。在配置客户端的时候,可以避免错误的配置。
在做子网规划的时候,笔者最后还有几点忠告
一是在企业网络管理中,要注重网络规划,特别是子网规划
[Ok3w_NextPage]因为网络组建完成后,才发现现有的子网规划不能够满足企业的需要,如子网不够或者主机数量不够,则再进行调整的话,其工作量会很大。而且对客户端也会产生比较大的影响。所以,要尽量避免频繁的对已经部署好的网络进行IP地址规划上的调整。
二是若网路管理员采用子网的话,则最容易出现的问题有两个
一是误用了广播地址或者子网号;而是明明应该属于A网段的,可是在配置的时候不小心,却把这台主机配置成了B网段。这两个问题都是由于粗心所导致的。所以,笔者一直强烈建议,不管你是新手还是个专家,在子网规划与配置时,都要详细的列出IP地址规划表。参照这表格来配置客户端,可以有效的避免以上两个问题的出现。glzy8.com
三是子网的数量不是越多越好。虽然从理论上来说,为各个部门划分一个子网,可以提高网络的安全性与网络性能
因为如此的话,广播等等对网络带来不利影响的因素可以减少到最低。但是,子网的增多往往也意味着网络管理员工作量的增加。所以,在没有特殊必要的情况下,如出于安全的考虑或者客户端数量庞大的情况下,不要设置过多的子网。网络管理员需要在安全性、网络性能与维护的工作量之间选择一个均衡点。