通過合理的子網劃分,從物理上對企業局域網進行劃分,提高網絡的安全性,這是不少網絡工程師首選的企業網絡安全方案。確實,在子網掩碼的幫助下,可以把企業網絡劃分成幾個相對獨立的網絡。然後把企業的機要部門放在一個獨立的子網中,以限制其他部門人員對這個部門網絡的訪問。這是一個非常不錯的解決方案。筆者平時在給企業部署網絡基礎架構的時候,也喜歡利用子網來對企業的重要部門進行隔離。另外,還可以利用子網對一些應用服務器進行隔離,防止因為客戶端網絡因為中毒而對服務器產生不利的影響。
不過子網劃分的內容,在學校裡學的很辛苦,因為教科書上寫的太過於高深。工作以後,實際接觸過幾個項目,也跟一些前輩溝通過,覺得子網劃分沒有我們想象中的難。一般只要通過六個步驟就可以設計出一個合理的子網劃分方案。
第一步:企業需要多少個子網?
當對企業局域網進行子網規劃的時候,網絡管理員第一個要考慮的內容,就是企業到底要劃分成幾個子網。因為需要根據這個數據確認子網掩碼的位數。
如筆者給一家企業做網絡規劃的時候,經過跟他們各個部門溝通後,決定為他們設置四個子網。研發部門、財務部門各用一個子網;為了應用服務器的安全,故把他們的郵箱服務器、ERP系統服務器、OA辦公自動化軟件服務器等放在同一個子網絡中;其他部門的客戶端共享一個網段。
企業需要劃分4個網段,一共需要幾位的子網掩碼呢?這裡有一個現成的公式可以套用:2x=子網個數,其中x就是所需要的子網掩碼位數。若根據這個案例,子網個數為4,則2x=4。把這個方程解出來,子網掩碼位數即為2。
第二步:每個子網中大致有多少主機?
網絡管理員第二個需要考慮的問題就是每個子網中大概需要部署多少主機。因為每個子網中的主機數量是有限的,所以,以上那個子網劃分方案還不是最終的方案。只有等各個網段的主機數量能夠滿足企業的需要之後,才可以最終拍板采用這個方案。
筆者負責的這家企業中,研發部門、財務部門的主機數量都比較少,研發部門10台、財務部門5台;而各種應用服務器的話也需要六個IP地址。若考慮擴展性的話,以上兩個部門最多再增加3個IP地址即可。而其余部門的話,現有電腦40台左右。考慮到後續的擴展,要為其預留十個到二十個IP地址。
第三步:計算現有子網的合法的主機IP數目
接下去網絡管理員就需要計算根據第一步得出來的子網規劃方案,能否滿足企業主機數據的需要。在計算子網的合法主機IP地址的時候,也有一個公式可以進行套用:2x-2=合法的主機IP地址數(這裡的x表示的是非子網掩碼的位數,即子網掩碼為0的位數)。按照第一步,我們計算出來的子網掩碼的為數為 2,此時,我們就需要一個個的試驗。
若我們采用C類IP地址的話,則其子網掩碼為1的最多八位。根據這個案例,需要子網掩碼2位,那麼子網掩碼為零的就是6位。其每個網段的子網掩碼為26-2=62位。而企業要求的每個網段的最多主機數量為60台(已經考慮了未來擴展的需要)。所以,這個子網劃分方案完全滿足企業的需求。
若此時,企業需要的主機數量為100台,那麼就不能夠采用C類地址了,而需要采用B類地址或者A類地址。總之,網絡管理員要保證現有的子網規劃方案,其每個網段的主機數量要能夠滿足企業的需要。否則的話,就需要進行相應的調整。
在做這個判斷的時候,筆者需要強調兩個方面的問題
一是在考慮某個網段的主機數量的時候,不能看現在有多少就留多少個IP地址。而是需要考慮一定的拓展型。筆者這裡只留了15%左右的拓展空間,其實還算是比較保守的。一般情況下,可能需要有50%,甚至更多的保留空間。因為子網部署好之後,因為IP地址不夠再重新調整的話,是一件非常頭痛的事情。
二是最好從C類、B類、A類地址這麼測試。筆者比較傾向於采用C類地址。只有當C類地址無法滿足的時候,才考慮采用B類、A類地址。一般來說,在同等數量的子網情況下,B類、A類地址可用的主機IP地址數量要比C類地址多的多。具體采用哪類IP地址,一般跟網絡管理員的愛好有關。
第四步:這些子網的子網號是什麼?
通過以上的三個步驟,子網的規劃已經完成。接下去的任務就是需要計算一些具體的參數。這主要是用來幫助網絡管理員做好後續的配置,以及方便以後的工作。具體的來說,網絡規劃完畢後,網絡管理員需要分析每個網段的子網號是多少、每個子網的廣播地址是多少、每個子網中合法的IP地址是哪些等等。
首先,我們需要計算每個子網的子網號。這裡又有一個公式,即256-子網掩碼=增量值。就以筆者這家企業為例。因為用了2位子網掩碼,其二進制表示即為11000000。若轉化為十進制,即是192。所以,計算出來的增量值即為64。那麼,從0來時,每隔64,即是每個子網的子網號。在這個例子中,四個網段的子網號分別為192.168.0.0、192.168.0.64、192.168.0.128、192.168.0.192。根據相關的規則,這四個IP地址具有特殊的用途,不能夠用來分配給網絡客戶端。