寧召宇

【摘要】? ? 同一個子網(wǎng)內(nèi)的主機(jī)可以直接通信;不同子網(wǎng)的主機(jī)不能直接通信，需要通過路由器或網(wǎng)關(guān)進(jìn)行通信?，F(xiàn)在很多企業(yè)或高校對網(wǎng)絡(luò)安全的要求很高，通過劃分子網(wǎng)把網(wǎng)絡(luò)變?yōu)檩^小的網(wǎng)絡(luò)，其安全性會得到很大提高，尤其對政府、生產(chǎn)運(yùn)輸?shù)钠髽I(yè)，可以更加方便部署更加安全的策略。

【關(guān)鍵字】? ? 子網(wǎng)劃分? ? 子網(wǎng)? ? 網(wǎng)絡(luò)安全

引言

計算機(jī)網(wǎng)絡(luò)中對IP地址的定義為TCP/IP協(xié)議的網(wǎng)絡(luò)層使用的地址標(biāo)識符。我們可以用一個32位的二進(jìn)制數(shù)表示IPv4中的IP地址。在網(wǎng)絡(luò)的任何一臺終端主機(jī)或路由器設(shè)備至少要有一個IP地址;在互聯(lián)網(wǎng)中禁止有兩個設(shè)備具有一樣的IP地址。假如一臺主機(jī)或路由器設(shè)備連接到兩個或多數(shù)的物理網(wǎng)絡(luò)那么此主機(jī)或漏油器設(shè)備能夠分配兩個或多個IP地址。

目前IP地址有下面三種編址方法。（1）在1981年通過的最基本的編址方法即相應(yīng)的標(biāo)準(zhǔn)協(xié)議即分類的IP地址。（2）通過對最近的編址方法的改進(jìn)1985年通過了標(biāo)準(zhǔn)[RFC 950]子網(wǎng)的劃分。（3）在1993年提出的最新的無分類編址方法即構(gòu)成超網(wǎng)，在企業(yè)中很快的得到推廣應(yīng)用。

一、劃分子網(wǎng)的方法

1.1 子網(wǎng)劃分與子網(wǎng)掩碼及CIDR的定義

在1985年開始已經(jīng)在IP地址中又定義了一個字段即“子網(wǎng)號字段”，把IP地址從原來的兩級地址變?yōu)槿壍刂?，我們稱這種方法為subnetting（劃分子網(wǎng)）。

子網(wǎng)即把一個比較龐大的網(wǎng)絡(luò)劃分成多個相對較小的網(wǎng)絡(luò)，劃分的任何一個網(wǎng)絡(luò)都有其固定的子網(wǎng)地址。

劃分子網(wǎng)原本是一個企業(yè)或者高校自己內(nèi)部的事情，對外面依然呈現(xiàn)的是一個沒有劃分子網(wǎng)的網(wǎng)絡(luò)。我們把從主機(jī)號取出若干個位當(dāng)做子網(wǎng)號即subnet-id，因此host-id即主機(jī)號也要對應(yīng)的縮短若干個位。因此劃分后的IP地址分為網(wǎng)絡(luò)號、子網(wǎng)號、主機(jī)號三個部分。我們可以通過subnet mask即子網(wǎng)掩碼得到一個IP地址的子網(wǎng)部分，所以可以利用子網(wǎng)掩碼就能夠判斷IP數(shù)據(jù)報中源主機(jī)設(shè)備或目的主機(jī)設(shè)備所接入的網(wǎng)絡(luò)是否進(jìn)行了子網(wǎng)劃分。子網(wǎng)掩碼是由32位二進(jìn)制數(shù)組成的，某位=1表示IP地址中對應(yīng)為網(wǎng)絡(luò)號和子網(wǎng)號，某位=0表示IP地址中對應(yīng)位為主機(jī)號[2]。

目前采用固定長度子網(wǎng)和變長子網(wǎng)兩種子網(wǎng)劃分方式。

為了提升IP地址的使用率，早在1987年，就已經(jīng)明確了在一個劃分子網(wǎng)的網(wǎng)絡(luò)中還能夠使用多個不同的子網(wǎng)掩碼即采用變長的子網(wǎng)掩碼（VLSM）[3]。

在變長的子網(wǎng)掩碼（VLSM）的前提上又逐步的研究了一種無分類的編址方法，這種方法被叫做無分類域間路由選擇CIDR。IP地址無分類的兩極編址的記法為網(wǎng)絡(luò)前綴和主機(jī)號兩個部分，同時CIDR還采用“斜線記法”又稱為CIDR記法，即在IP地址面加上一個斜線“/”，然后標(biāo)識出網(wǎng)絡(luò)前綴占的位數(shù)。CIDR可以把網(wǎng)絡(luò)前綴都一致的連續(xù)的IP地址組成CIDR地址塊。

二、子網(wǎng)掩碼劃分子網(wǎng)應(yīng)用

2.1? 某機(jī)場劃分子網(wǎng)應(yīng)用

國內(nèi)某小型機(jī)場需要創(chuàng)建內(nèi)部網(wǎng)絡(luò)用于生產(chǎn)，使用一個公用IP地址為224.37.11.80，機(jī)場生產(chǎn)網(wǎng)絡(luò)包括離崗網(wǎng)絡(luò)、安檢網(wǎng)絡(luò)、集成網(wǎng)絡(luò)、航顯網(wǎng)絡(luò)，每個網(wǎng)絡(luò)包含25臺計算機(jī)[1]。問：若要把四個生產(chǎn)網(wǎng)絡(luò)隔分離開，因此我們要解決以下兩個問題（1）怎樣劃分網(wǎng)絡(luò)？（2）每個生產(chǎn)網(wǎng)絡(luò)的終端主機(jī)設(shè)備IP地址范圍是多少？

通過分析我們可以得到以下結(jié)論，網(wǎng)絡(luò)劃分可以看成子網(wǎng)的結(jié)構(gòu)劃分的問題，根據(jù)此機(jī)場的實(shí)際情況需要劃分為四個生產(chǎn)網(wǎng)絡(luò)每個網(wǎng)絡(luò)主機(jī)數(shù)量在100到120臺之間;而且224.37.11.80屬于C類IP地址，建立IP地址與子網(wǎng)掩碼劃分關(guān)系表，如圖2-1所示。子網(wǎng)劃分情況如網(wǎng)絡(luò)標(biāo)識、子網(wǎng)標(biāo)識、子網(wǎng)主機(jī)標(biāo)識的十進(jìn)制與二進(jìn)制對應(yīng)的關(guān)系如圖2-2所示。

224.37.11.80屬于C類IP地址，要滿足此機(jī)場的實(shí)際需求需要劃分4個子網(wǎng)，因此子網(wǎng)掩碼我們可以用十進(jìn)制數(shù)值表示成224.37.11.80/27或255.255.255.224。從子網(wǎng)掩碼能夠看出，主機(jī)地址為后面5位，前三位給子網(wǎng)絡(luò)的標(biāo)識位占用，因此劃分的子網(wǎng)有8種情況，分別為子網(wǎng)1、子網(wǎng)2.......子網(wǎng)8。其中子網(wǎng)1無法分配給子網(wǎng)主機(jī)，因?yàn)榇说刂繁磉_(dá)子網(wǎng)本身[4]224.37.11.0是特殊的地址。子網(wǎng)8的情況也不能夠分配給子網(wǎng)主機(jī)，224.37.11.224為特殊的地址（子網(wǎng)定向廣播地址），所以子網(wǎng)2到子網(wǎng)7總共6個子網(wǎng)能夠分配給四個生產(chǎn)網(wǎng)絡(luò)，每個子網(wǎng)的終端主機(jī)設(shè)備數(shù)為25 -2=30臺，因此符合此機(jī)場所需主機(jī)數(shù)的要求。因此可以做以下分配：把子網(wǎng)2，其網(wǎng)絡(luò)地址為224.37.11.32分配給離崗，把子網(wǎng)3，其網(wǎng)絡(luò)地址為224.37.11.64分配給安檢，把子網(wǎng)4，其網(wǎng)絡(luò)地址為224.37.11.96分配給集成，把子網(wǎng)5，其網(wǎng)絡(luò)地址為224.37.11.128分配給航顯網(wǎng)絡(luò)。子網(wǎng)6和子網(wǎng)7可以充當(dāng)備用網(wǎng)絡(luò)。

每個子網(wǎng)的終端主機(jī)設(shè)備的IP地址范圍可理解成，各個子網(wǎng)的第一臺終端主機(jī)設(shè)備至該子網(wǎng)的最后一臺終端主機(jī)設(shè)備。如子網(wǎng)2，離崗網(wǎng)絡(luò)地址為224.37.11.32，其網(wǎng)絡(luò)中第一臺主機(jī)地址為：224.37.11.33，最后一臺主機(jī)地址為224.37.11.62。依次推理，可以得到安檢、集成、航顯網(wǎng)絡(luò)的終端主機(jī)設(shè)備IP地址范圍，詳情請見表2-1。

在本文中劃分的各個子網(wǎng)中的子網(wǎng)掩碼可以設(shè)置成255.255.255.224，每個子網(wǎng)可以配置兩臺終端主機(jī)，主機(jī)的ip地址和子網(wǎng)掩碼數(shù)據(jù)詳見表2。通過實(shí)驗(yàn)可知，每個子網(wǎng)之間的終端主機(jī)設(shè)備通過命令行ping指令無法ping通即不能通信，然而，每個子網(wǎng)內(nèi)部之間的終端主機(jī)設(shè)備能夠ping通即可以通信。證明出子網(wǎng)已經(jīng)劃分成功。

2.2 地址損失問題研究

通過子網(wǎng)劃分，可以解決一個公有的IP地址同時為多個子網(wǎng)絡(luò)公用的問題。經(jīng)過分析和探討，也發(fā)現(xiàn)了在子網(wǎng)劃分產(chǎn)生的問題。在文中企業(yè)子網(wǎng)劃分過程中，從結(jié)果數(shù)據(jù)中我們發(fā)現(xiàn)了地址損失的問題，子網(wǎng)1和子網(wǎng)8分別有浪費(fèi)了32個主機(jī)地址，子網(wǎng)2和子網(wǎng)7中，也因?yàn)橛刑厥獾刂凡荒芄┲鳈C(jī)使用（如子網(wǎng)網(wǎng)絡(luò)地址和子網(wǎng)廣播地址為特殊的地址），因此每個子網(wǎng)供損失2個地址，所以在本案例中共計損失76個地址。

三、結(jié)束語

劃分子網(wǎng)增加了靈活性，但是減少了能夠連接在網(wǎng)絡(luò)上的主機(jī)總數(shù)。因此在實(shí)際應(yīng)用中需要考慮所需子網(wǎng)數(shù)量以及每個子網(wǎng)所需的主機(jī)數(shù)量，只有考慮這兩個因素劃分的子網(wǎng)才有實(shí)際意義，如果要更深入的理解子網(wǎng)掩碼，不僅要學(xué)習(xí)計算機(jī)網(wǎng)絡(luò)知識還需學(xué)習(xí)必要的通信知識，只有這樣才能對子網(wǎng)劃分技術(shù)進(jìn)行更深入的理解，才能學(xué)以致用。

參? 考? 文? 獻(xiàn)

[1]劉珍珍.子網(wǎng)劃分技術(shù)與方法探究[J].福建電腦，2017，33（03）：102-103.

[2]張猛.子網(wǎng)掩碼劃分子網(wǎng)問題[J].信息與電腦（理論版），2016（23）：206-208.

[3]席小勇.子網(wǎng)劃分的思考[J].電子技術(shù)與軟件工程，2015（03）：20.

[4]王娜，石井.關(guān)于子網(wǎng)劃分的探討[J].電子技術(shù)與軟件工程，2015（18）：20-21.