子網划分情景
某公司申請了一個C類的IP地址192.128.0.3,但是該公司擁有400台主機,公司想將這些主機平均分布在兩層樓進行管理,但是要求400台主機屬於同一個子網,請問如何進行子網划分?選用的子網掩碼是多少?請給出每層樓全體主機所設置的IP地址范圍,並寫出整個網絡的網關地址?
方案設計
在 2011 年 2 月,IANA 向一個區域注冊機構分配完了未分配的 IPv4 地址的最后剩余地址池,這說明 IPv4 的地址資源非常有限。因此對於一般的公司來說,能從 ISP 獲取到的公網IP往往不會多,一般只有一個可用的公網地址。例如情景中給出的地址 192.128.0.3 是一個公網 IP 地址,這顯然是不能直接拿來用的。
為了滿足公司內的設備聯網的需求,需要使用私網地址在局域網內進行通信,這樣可用的 IP 地址才足夠,局域網內的設備需要和外網互聯時需要使用 NAT 技術。C 類地址的私有地址范圍是 192.168.0.0 ~ 192.168.255.255,C 類地址的前 24 位是主機號,后 8 位是網絡號,也就是說一個 C 類地址的網絡中最多支持 2^8 - 2 = 254 台主機,單個 C 類網絡地址無法滿足子網中有 400 台主機的需求。
現在在全球因特網中,地址分配策略采用的是無類別域間路由選擇 (CIDR)策略。CIDR 消除了傳統 A、B、C 類地址和子網划分的概念,將子網尋址的概念一般化了。網絡前綴可以是任意長度,融合子網地址和子網掩碼可以更為方便地進行子網划分。當子網尋址時,32 bit 的 IP 地址的形式是 a.b.c.d/x,其中 x 指示了地址第一部分的比特數,構成了網絡前綴。由於大於 400 且是 2 的 n 次冪的數字是 2^9 = 512,因此網絡前綴的長度取 23 時,主機號的長度為 9 bit。此時該網絡中可以有 2^9 - 2 = 510 台主機,大於 400 台滿足需求,所以私網地址可以使用 192.168.0000 000X.0/23 ~ 192.168.1111 111X.0/23 的任何一個。
IP 地址 ::= {<網絡前綴>,<主機號>}
現在已經滿足 400 台主機都在同一個子網的需求了,不過公司想將這些主機平均分布在兩層樓進行管理,也就是分為 2 個子網,每個子網 200 台設備。例如選擇 192.168.10.0/23(192.168.0000 1010.0) 作為私網 IP 地址,此時可以令子網掩碼 255.255.254.0 向后退一位划分為 2 個子網,這 2 個子網的網絡前綴為 24 位,分別是 192.168.10.0/24(192.168.0000 1010.0/24) 和 192.168.11.0/24(192.168.0000 1011.0/24)。在實際情況下,一般會為 2 個樓層分別划分一個 VLAN,因此就可以得到:
| VLAN | 網絡前綴 | 子網掩碼 | 起始IP地址 | 終止IP地址 |
|---|---|---|---|---|
| 1 | 192.168.10.0/24 | 255.255.255.0 | 192.168.10.1 | 192.168.10.200 |
| 2 | 192.168.11.0/24 | 255.255.255.0 | 192.168.11.1 | 192.168.11.200 |
此處僅是網絡前綴 23 位時子網划分的一種情況,按照 CIDR 策略的定義,應該會有 128 種分配方案。
拓撲搭建
實驗拓撲
地址分配表:
| 設備 | 接口 | IP 地址 | 子網掩碼 | 默認網關 |
|---|---|---|---|---|
| R1 | G0/0 | 192.168.12.2 | 255.255.255.252 | N/A |
| G0/1 | 192.128.0.3 | 255.255.255.0 | N/A | |
| MS | G0/1 | 192.128.12.1 | 255.255.255.252 | N/A |
| Server | NIC | 192.128.0.4 | 255.255.255.0 | N/A |
| PC0 | NIC | 192.168.10.1 | 255.255.255.0 | 192.168.10.201 |
| PC1 | NIC | 192.168.10.2 | 255.255.255.0 | 192.168.10.201 |
| PC2 | NIC | 192.168.11.1 | 255.255.255.0 | 192.168.11.201 |
| PC3 | NIC | 192.168.11.2 | 255.255.255.0 | 192.168.11.201 |
交換機端口分配規格:
| 交換機 | 端口 | 模式 | 網絡 |
|---|---|---|---|
| MS | F0/1 | 802.1Q TRUNK | N/A |
| MS | F0/2 | 802.1Q TRUNK | N/A |
| layer1 | F0/1 | 802.1Q TRUNK | N/A |
| layer2 | F0/2 | 802.1Q TRUNK | N/A |
| layer1 | F0/2 | VLAN 10 – layer1 | N/A |
| layer1 | F0/3 | VLAN 10 – layer1 | N/A |
| layer2 | F0/3 | VLAN 20 – layer2 | N/A |
| layer2 | F0/4 | VLAN 20 – layer2 | N/A |
配置交換機
對於交換機來說,如果不使用 VTP 則需要先建立 2 個 vlan 分別表示公司的一樓和二樓。
S1(config)# vlan 10
S1(config-vlan)# name layer1
S1(config-vlan)# vlan 20
S1(config-vlan)# name layer2
S1(config-vlan)# exit
S2(config)# vlan 10
S2(config-vlan)# name layer1
S2(config-vlan)# vlan 20
S2(config-vlan)# name layer2
S2(config-vlan)# exit
vlan 配置完成后,需要正確為接口配置接入模式或 TRUNK 模式。
S1(config)# int F0/1
S1(config-if)# switchport mode trunk
S1(config-if)# int F0/2
S1(config-if)# switchport access vlan 10
S1(config-if)# switchport mode access
S1(config-if)# int F0/3
S1(config-if)# switchport access vlan 10
S1(config-if)# switchport mode access
S2(config)# int F0/2
S2(config-if)# switchport mode trunk
S2(config-if)# int F0/3
S2(config-if)# switchport access vlan 20
S2(config-if)# switchport mode access
S2(config-if)# int F0/4
S2(config-if)# switchport access vlan 20
S2(config-if)# switchport mode access
配置三層交換機
使用三層交換機時,首先先建立 vlan 並且正確配置接口的模式。
MS(config)# vlan 10
MS(config-vlan)# name layer1
MS(config-vlan)# vlan 20
MS(config-vlan)# name layer2
MS(config-vlan)# exit
MS(config)# int F0/1
MS(config-if)# switchport trunk encapsulation dot1q
MS(config-if)# switchport mode trunk
MS(config-if)# int F0/2
MS(config-if)# switchport trunk encapsulation dot1q
MS(config-if)# switchport mode trunk
三層交換機的主要功能是實現 vlan 間路由,接下來需要為每個 vlan 配置網關。
MS(config)# int vlan10
MS(config-if)# ip address 192.168.10.201 255.255.255.0
MS(config-if)# int vlan20
MS(config-if)# ip address 192.168.11.201 255.255.255.0
接下來需要啟用三層交換機的路由功能,關閉 G0/1 的交換功能並配置路由,讓內網流量可以到達路由器 R1。
MS(config)# ip routing
MS(config)# int G0/1
MS(config-if)# no switchport
MS(config-if)# ip address 192.168.12.1 255.255.255.252
MS(config-if)# no shutdown
然后配置路由,此處選擇 OSPF 協議。
MS(config)# router ospf 10
MS(config-router)# network 192.168.10.0 0.0.0.255 area 0
MS(config-router)# network 192.168.11.0 0.0.0.255 area 0
MS(config-router)# network 192.168.12.0 0.0.0.3 area 0
配置路由器
最后配置路由器,首先先為 G0/0 和 G0/1 配置 IP 地址。
R1(config)# int G0/0
R1(config-if)# ip address 192.168.12.2 255.255.255.252
R1(config-if)# no shutdown
R1(config-if)# int G0/1
R1(config-if)# ip address 192.128.0.3 255.255.255.0
R1(config-if)# no shutdown
接下來配置路由,使 R1 可以路由內網和外網。
R1(config)# router ospf 10
R1(config-router)# network 192.168.12.0 0.0.0.3 area 0
R1(config-router)# network 192.128.0.0 0.0.0.255 area 0
最后配置 PAT,G0/0 連接內網,G0/1 連接外網,在 G0/1 上啟用 PAT,允許私網地址進行地址轉換。
R1(config)# access-list 1 permit 192.168.10.0 0.0.1.255
R1(config)# int G0/0
R1(config-if)# ip nat inside
R1(config-if)# int G0/1
R1(config-if)# ip nat outside
R1(config-if)# ip nat inside source list 1 int G0/1 overload
拓撲測試
此時從 PC0 ping PC2、PC2 ping PC1,也就是一樓和二樓之間相互通信的,可以看到完全正常。
此時使用任意一台公司的 PC 訪問 Server 的 WEB 服務,可以看到訪問正常。
在 R1 上查看 NAT 轉換的統計信息和映射表,可以看到內網地址成功地被映射成公網地址。由此可見前面設計的子網划分方案合理,具有可行性。
R1# show ip nat statistics
R1# show ip nat translations
