|
通过合理的子网划分,从物理上对企业局域网进行划分,提高网络的安全性,这是不少网络工程师首选的企业网络安全方案。确实,在子网掩码的帮助下,可以把企业网络划分成几个相对独立的网络。然后把企业的机要部门放在一个独立的子网中,以限制其他部门人员对这个部门网络的访问。这是一个非常不错的解决方案。笔者平时在给企业部署网络基础架构的时候,也喜欢利用子网来对企业的重要部门进行隔离。另外,还可以利用子网对一些应用服务器进行隔离,防止因为客户端网络因为中毒而对服务器产生不利的影响。
不过子网划分的内容,在学校里学的很辛苦,因为教科书上写的太过于高深。工作以后,实际接触过几个项目,也跟一些前辈沟通过,觉得子网划分没有我们想象中的难。一般只要通过六个步骤就可以设计出一个合理的子网划分方案。
第一步:企业需要多少个子网?
当对企业局域网进行子网规划的时候,网络管理员第一个要考虑的内容,就是企业到底要划分成几个子网。因为需要根据这个数据确认子网掩码的位数。
如笔者给一家企业做网络规划的时候,经过跟他们各个部门沟通后,决定为他们设置四个子网。研发部门、财务部门各用一个子网;为了应用服务器的安全,故把他们的邮箱服务器、ERP系统服务器、OA办公自动化软件服务器等放在同一个子网络中;其他部门的客户端共享一个网段。
企业需要划分4个网段,一共需要几位的子网掩码呢?这里有一个现成的公式可以套用:2x=子网个数,其中x就是所需要的子网掩码位数。若根据这个案例,子网个数为4,则2x=4。把这个方程解出来,子网掩码位数即为2。
第二步:每个子网中大致有多少主机?
网络管理员第二个需要考虑的问题就是每个子网中大概需要部署多少主机。因为每个子网中的主机数量是有限的,所以,以上那个子网划分方案还不是最终的方案。只有等各个网段的主机数量能够满足企业的需要之后,才可以最终拍板采用这个方案。
笔者负责的这家企业中,研发部门、财务部门的主机数量都比较少,研发部门10台、财务部门5台;而各种应用服务器的话也需要六个IP地址。若考虑扩展性的话,以上两个部门最多再增加3个IP地址即可。而其余部门的话,现有电脑40台左右。考虑到后续的扩展,要为其预留十个到二十个IP地址。
第三步:计算现有子网的合法的主机IP数目
接下去网络管理员就需要计算根据第一步得出来的子网规划方案,能否满足企业主机数据的需要。在计算子网的合法主机IP地址的时候,也有一个公式可以进行套用:2x-2=合法的主机IP地址数(这里的x表示的是非子网掩码的位数,即子网掩码为0的位数)。按照第一步,我们计算出来的子网掩码的为数为2,此时,我们就需要一个个的试验。
若我们采用C类IP地址的话,则其子网掩码为1的最多八位。根据这个案例,需要子网掩码2位,那么子网掩码为零的就是6位。其每个网段的子网掩码为26-2=62位。而企业要求的每个网段的最多主机数量为60台(已经考虑了未来扩展的需要)。所以,这个子网划分方案完全满足企业的需求。
若此时,企业需要的主机数量为100台,那么就不能够采用C类地址了,而需要采用B类地址或者A类地址。总之,网络管理员要保证现有的子网规划方案,其每个网段的主机数量要能够满足企业的需要。否则的话,就需要进行相应的调整。
在做这个判断的时候,笔者需要强调两个方面的问题
一是在考虑某个网段的主机数量的时候,不能看现在有多少就留多少个IP地址。而是需要考虑一定的拓展型。笔者这里只留了15%左右的拓展空间,其实还算是比较保守的。一般情况下,可能需要有50%,甚至更多的保留空间。因为子网部署好之后,因为IP地址不够再重新调整的话,是一件非常头痛的事情。
二是最好从C类、B类、A类地址这么测试。笔者比较倾向于采用C类地址。只有当C类地址无法满足的时候,才考虑采用B类、A类地址。一般来说,在同等数量的子网情况下,B类、A类地址可用的主机IP地址数量要比C类地址多的多。具体采用哪类IP地址,一般跟网络管理员的爱好有关。
第四步:这些子网的子网号是什么?
通过以上的三个步骤,子网的规划已经完成。接下去的任务就是需要计算一些具体的参数。这主要是用来帮助网络管理员做好后续的配置,以及方便以后的工作。具体的来说,网络规划完毕后,网络管理员需要分析每个网段的子网号是多少、每个子网的广播地址是多少、每个子网中合法的IP地址是哪些等等。 |
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|