ip地址规划及路由配置(共3篇)
ip地址规划及路由配置 篇1
实验四 “IP地址规划与路由设计”参考设置
4.1 配置跨交换机的VLAN
4.1.1 原理简介
虚拟局域网(Virtual Local Area Network,VLAN)是一种用于隔离广播域的技术。在交换机配置VLAN后,相同VLAN内的主机之间可以直接访问,不同VLAN则不能直接访问。VLAN遵循了IEEE 804.1q协议的标准。在利用配置了VLAN的接口进行数据传输时,需要在数据帧内添加4个字节的804.1q标签信息,用于标识该数据帧属于哪个VLAN,以便于对端交换机接收到数据帧后进行准确的过滤。由于VLAN是基于逻辑连接而不是物理连接的,所以它可以提供灵活的用户/主机管理、带宽分配以及资源优化等服务。4.1.2 组网实践
假设某企业有两个重要部门:销售部和技术部,其中销售部门的个人计算机系统分散连接,它们之间需要相互通信,但为了数据安全起见,销售部和技术部需要相互隔离,则要在交换机上做适当的配置来实现这一目标。
通过分析可知,可以将两个部门分别配置到不同的VLAN,只有在同一VLAN内(同一部门)的计算机系统可以跨交换机进行相互通信,反之则不行。网络拓扑如图4.1所示。(1)网络拓扑
图4.1网络拓扑
其中交换机2台,PC3台。3台PC机IP地址在同一子网中。(2)实验步骤:
步骤1:在交换机Switch A上创建VLAN10,并将0/5端口划分到VLAN10中; [Switch A]vlan 10 [Switch A-vlan10]int g 0/0/5 [Switch A-GigabitEthernet0/0/5]port [Switch A-GigabitEthernet0/0/5]port link
[Switch A-GigabitEthernet0/0/5]port link-ty [Switch A-GigabitEthernet0/0/5]port link-type access [Switch A-GigabitEthernet0/0/5]port default vlan 10 步骤2:在交换机Switch A上创建VLAN20,并将0/15端口划分到VLAN20中; [Switch A-GigabitEthernet0/0/5]vlan 20 [Switch A-vlan20]int g 0/0/15 [Switch A-GigabitEthernet0/0/15]port link-type access [Switch A-GigabitEthernet0/0/15]port default vlan 20 步骤3:把交换机Switch A与交换机Switch B相连的F0/24端口定义为Trunk模式; [Switch A-GigabitEthernet0/0/24]port link-type trunk [Switch A-GigabitEthernet0/0/24]port trunk allow-pass vlan all 步骤4:在交换机Switch B上创建VLAN10,并将0/5端口划分到VLAN10; [Switch B]vlan 10 [Switch B-vlan10]int g 0/0/5 [Switch B-GigabitEthernet0/0/5]port link-type access [Switch B-GigabitEthernet0/0/5]port default vlan 10 步骤5:把交换机Switch B与交换机Switch A相连的F0/24端口定义为Trunk模式; [Switch B-vlan10]int g 0/0/5 [Switch B-GigabitEthernet0/0/5]port link-type access [Switch B-GigabitEthernet0/0/5]port default vlan 10 [Switch B-GigabitEthernet0/0/5]int g 0/0/24 [Switch B-GigabitEthernet0/0/24]port link-type trunk [Switch B-GigabitEthernet0/0/24]port trunk allow-pass vlan all 步骤6:验证测试。
在PC1上分别尝试使用ping命令测试与PC2、PC3的连通性。4.1.3 总结与分析
配置时,应注意将两台交换机直接相连的端口设置为Trunk模式,Trunk接口在默认情况下支持所有的VLAN传输。通过配置VLAN可以隔离不同部门之间的通信。4.2 配置端口安全
4.2.1 原理简介
交换机的端口安全特性可以只允许特定的MAC地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入到网络中,并且可以限制端口接入到网络中的设备数量,防止用户将过多的设备接入到网络中。4.2.2 组网实践
某企业的网络管理员发现经常有员工私自将自己的笔记本电脑接入到网络中,而且有一些员工通过使用Hub将多个网络设备接入到交换机端口上,给网络管理和维护增加了难度。
对于网络中出现的这种问题,需要防止用户接入非法或未授权的设备,并且限制用户将多个网络设备接入到交换机的端口。交换机的端口安全特性可以满足这个要求,从而提高接入层的网络安全性,网络拓扑如图4.2所示。(1)网络拓扑
图4.2网络拓扑
其中S3700交换机2台,PC3台。
将S3700-s1的3号口指定给某主机的MAC地址。(2)实验步骤:
步骤1:在交换机上启用端口安全特性;
[Huawei-Ethernet 0/0/3]port-security max-mac-num 1 步骤4:配置当此端口产生违规时的操作。
[Huawei-Ethernet 0/0/3]port-security mac-address sticky 首先有数据通过交换机的PC将被绑定MAC 4.2.3 总结与分析
配置端口安全之前必须使用命令将端口设置为Access端口,当端口由于违规操作被关闭时,可以在全局模式下使用命令将其恢复。
4.3 配置SVI实现VLAN间路由
4.3.1 原理简介
VLAN的目的是隔离广播域,并非要不同VLAN内的主机彻底不能互相通信,但VLAN间的通信等同于不同广播域之间的通信,必须使用第三层的设备才能实现。VLAN间的通信就是指VLAN间的路由,是VLAN之间在一个路由器或者其他三层设备(例如三层交换机)上发生的路由。通过在三层交换机上为各VALN配置SVI接口,利用三层交换机的路由转发功能可以实现VLAN间的路由。4.3.2 组网实践
为减小广播包对网络的影响,网络管理员在公司内部网络中进行了VLAN的划分。完成VLAN的划分后,发现不同VLAN之间无法互相访问。
通过分析,可以通过配置三层交换机的SVI接口实现VLAN之间的路由,网络拓扑如图4.3所示。(1)网络拓扑
图4.3网络拓扑
(2)实验步骤:
步骤1:在三层交换机上创建两个VLAN,VLAN 10与VLAN 20; [Huawei]vlan 10 [Huawei-vlan10]vlan 20 步骤2:在三层交换机上将端口分别划分到各个VLAN上; [Huawei-vlan20]int g 0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 [Huawei-GigabitEthernet0/0/1]int g 0/0/2 [Huawei-GigabitEthernet0/0/2]port link-type access [Huawei-GigabitEthernet0/0/2]port default vlan 20 步骤3:在三层交换机上给各个VLAN配置IP地址; [Huawei-GigabitEthernet0/0/2]int vlan 10 [Huawei-Vlanif10]ip address 194.168.10.1 24 [Huawei-Vlanif10]int vlan 20 [Huawei-Vlanif20]ip address 194.168.20.1 24 步骤4:验证测试。
在PC1上使用ping命令测试与vlan20中的PC2的连通性: PC>ping 194.168.20.2 Ping 194.168.20.2: 32 data bytes, Press Ctrl_C to break From 194.168.20.2: bytes=32 seq=1 ttl=127 time=125 ms From 194.168.20.2: bytes=32 seq=2 ttl=127 time=31 ms From 194.168.20.2: bytes=32 seq=3 ttl=127 time=16 ms From 194.168.20.2: bytes=32 seq=4 ttl=127 time=47 ms From 194.168.20.2: bytes=32 seq=5 ttl=127 time=15 ms---194.168.20.2 ping statistics---packet(s)transmitted packet(s)received
0.00% packet loss
round-trip min/avg/max = 15/46/125 ms 4.3.3 总结与分析
配置时,VLAN中的PC的IP地址需要和三层交换机上相应VLAN的IP地址在同一网段,并且主机网关配置为三层交换机上相应的VLAN的IP地址;另外,也可以在路由器上配置子接口,实现VLAN间的路由。为了确保网络的高可靠性,需要在网络中配置冗余备份,这时容易出现环路,产生网络风暴等问题,应该怎么解决这个问题呢?下一节便提出了相应的解决方法。4.4 配置静态路由
4.4.1 原理简介
路由器是根据路由表进行选路和转发的。而路由表就是由一条条的路由信息组成的。路由表的产生方式一般有以下三种。
(1)直连路由。给路由器接口配置一个IP地址,路由器自动产生本接口IP所在网段的路由信息。
(2)静态路由。在拓扑结构简单的网络中,网络管理员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。
(3)动态路由。协议学习产生的路由。在大规模的网络中,或者网络拓扑相对复杂的情况下,通过在路由器上运行动态路由协议,路由器之间互相自动学习产生路由信息。4.4.2 组网实践
假设校园内通过一台路由器连接到校园外的另一台路由器上,现要在路由器上做适当的配置,使校园网内部主机和校园网外部主机相互通信。即通过相关配置,实现网络的互联互通,从而实现信息的共享和传递。网络拓扑如图4.4所示。(1)网络拓扑
图4.4网络拓扑
(2)实验步骤:
步骤1:在路由器Router1上配置接口的IP地址和串口上的时钟频率;
如果两台路由器通过串口直接相连,则应该在其中一台路由器上设置时钟频率,且是作为DCE(数据通信设备)的路由器上,否则链路是不通的(华为路由器已对时钟频率默认设置)。
4.5 配置RIP协议
4.5.1 原理简介
RIP(Routing Information Protocols,路由信息协议)是应用较早、使用较普遍的IGP(Interior Gateway Protocol,内部网关协议),适用于小型网络,是典型的距离矢量(distance-vector)协议。RIP协议以跳数作为衡量路径的开销,RIP协议规定最大跳数为15。RIP协议有两个版本RIPv1和RIPv2。RIPv1属于有类路由协议,不支持VLSM(变长子网掩码)。RIPv1是以广播的形式进行路由信息的更新的,更新周期为30秒。RIPv2属于无类路由协议,支持VLSM。RIPv2是以组播的形式进行路由信息更新的,组播地址是224.0.0.9。RIPv2还支持基于端口的认证,提高网络的安全性。4.5.2 组网实践
假设校园网通过一台三层交换机连到校园网出口路由器,路由器再和校园网外的另一台路由器连接,现做适当配置,实现校园网内的主机和校园网外的主机相互通信。
本实验以两台路由器和一台三层交换机为例。交换机上划分有VLAN 10和VLAN 50,其中VLAN 10用于连接Router1(校园网出口路由器),VLAN 50用于连接校园网主机。
路由器分别命名为Router1和Router2,路由器之间通过串口线连接,网络拓扑如图4.5所示。
(1)网络拓扑
图4.5网络拓扑
(2)实验步骤:
步骤1:在三层交换机上创建VLAN并且配置SVI; [Huawei]int g 0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]vlan 10 [Huawei-vlan10]port g 0/0/1 [Huawei-vlan10]int vlan 10 [Huawei-Vlanif10]ip address 172.16.1.2 24 [Huawei-Vlanif10]int g 0/0/5 [Huawei-GigabitEthernet0/0/5]port link-type access [Huawei-GigabitEthernet0/0/5]vlan 50 [Huawei-vlan50]port g 0/0/5 [Huawei-vlan50]int vlan 50 [Huawei-Vlanif50]ip address 172.16.5.1 24 步骤2:在路由器Router1的各个端口上配置IP地址和时钟频率; [Huawei]int g 0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 172.16.1.1 24 [Huawei-GigabitEthernet0/0/1]undo shutdown [Huawei-GigabitEthernet0/0/1]int s 0/0/2 [Huawei-Serial0/0/2]ip address 172.16.2.1 24 [Huawei-Serial0/0/2]undo shutdown 步骤3:在路由器Router2的各个端口上配置IP地址; [Huawei]int g 0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 172.16.3.1 24 [Huawei-GigabitEthernet0/0/1]undo shutdown [Huawei-GigabitEthernet0/0/1]int s 0/0/2 [Huawei-Serial0/0/2]ip address 172.16.2.2 24 [Huawei-Serial0/0/2]undo shutdown 步骤4:在交换机上配置RIP路由协议; [Huawei]rip [Huawei-rip-1]ver 2 [Huawei-rip-1]network 172.16.0.0 步骤5:在Router1上配置RIPv2协议; [Huawei]rip [Huawei-rip-1]ver 2 [Huawei-rip-1]undo summary [Huawei-rip-1]network 172.16.0.0 步骤6:在Router2上配置RIPv2协议; [Huawei]rip [Huawei-rip-1]ver 2 [Huawei-rip-1]undo summary [Huawei-rip-1]network 172.16.0.0 步骤7:验证三台设备的路由表,验证是否自动学习了其他网段的路由信息。[Huawei]display ip routing-table 4.5.3 总结与分析
RIPv2支持自动汇总(auto-summary)功能,交换机上没有no auto-summary命令。在串口上配置时钟频率的时候,一定要在电缆DCE端的路由器上配置,否则链路不通。
PC主机网关一定要填写直连接口IP地址,例如PC1网关指向三层交换机的VLAN 50的IP地址。
配置新地址带来的路由问题 篇2
原业务使用的老地址照常使用。
接到通知后,我们在路由器上增加了新地址的配置。
int s0
#ip route 11.84.193.0 255.255.255.0 10.99.254.46
#int s0.1
#ip address 11.84.205.2 255.255.255.0
#x25 map ip 11.84.205.1 48016320
#int e0
#ip address 11.84.107.10 255.255.255.128 secondary
最后在网管员的PC工作站上Ping通上级行的新地址服务器,说明路由配置正确,新业务的网络准备工作告一段落。
新地址使路由迷了路
第一次迷路源自数字上的小差错
新业务用机使用Windows98操作系统,IP地址按新范围设置为11.84.107.111,网关地址设为11.84.107.10和 10.99.78.10。设置完毕后,Ping本行路由,通;Ping本行其他机器,通;Ping上级行服务器11.64.193.1,不通!
这就怪了,难道路由配置有错?我们试着将机器地址改为原来的老地址范围:10.99.78.111,再Ping上级行服务器,竟然通了,看来只能怀疑路由器的设置了,可是仔细检查路由器的设置,还是没有发现问题。
没办法,只好请示上级行的网管员,一查,原来是上级行在新配路由器参数时,把我们地址中的一位数字设错了。
第二次迷路因为地址范围上的疏忽
这次业务用机是HP VL400,机器主板上集成了3Com 905C网卡,安装的操作系统是SCO OpenServer 5.0.5,
按以往的习惯,IP地址我们设为11.84.107.141,子网掩码设为255.255.255.0。
这次遇到的问题是Ping其他机器一律不通。Ping自身通,说明网卡安装正确。
我们换用一根正在正常使用的网线,却仍然不通。机器是新的,网卡是集成在主板上的,坏的可能性不大,况且也不可能更换,前几天试验的时候也能和其他机器连通,看来还是只能从网络设置上下手。
于是我们将IP地址改为老范围:10.99.78.141,Ping其他机器,通了,证明确实是设置的问题,难道还是路由器设置有问题吗?
没办法只好再请上级行的网管员帮助,经查,没有发现什么问题,又远程检查了我们的路由器设置后也没有发现问题,真奇怪!再仔细对照安装手册,检查Unix中的网卡设置,还是没发现问题!
冥思苦想之中,我们决定再次检查路由器的设置,于是注意到下面一条中的子网掩码不是常用的255.255.255.0:
#ip address 11.84.107.10 255.255.255.128 secondary
猛然间我们想起新地址空间为11.84.107.0~11.84.107.127,而我们给机器配的IP地址为11.84.107.141,超出了此范围,问题总算找到了。我们马上将地址改为:11.84.107.72,重启机器后,再Ping其他机器,一切OK。
背景资料
企业中ip地址规划 篇3
随着这些年网络的发展,越来越多的企业都组建了内部局域网,来实现自动化无纸办公等高效率、低成本的运营和管理,很多新成立的中小企业以及一些以前没有组网的老企业,现在也都纷纷组建企业局域网,企业中“无网不利”已经成为大势所趋。但是这些企业由于原来并没有网络管理和规划的经验,很多新上任的网管对IP地址的规划管理不够重视,以至于在以后需要扩展网络或增加服务时造成很多不便,而且随着时间的推移,没有结构化的编制对日常的维护管理也会逐渐增加难度。所以,本文将对IP地址的分配和管理等方面做一个介绍,让我们先来看看地址分配的几个基本规则。
规则一:体系化编址
体系化其实就是结构化、组织化,根据企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼,然后逐级由大到小分割、划分的。这其实跟实际的物理地址分配原则是一样的,肯定是先划分省市、再细分割出县区、再细分出道路、再来是街巷,最后是门牌。从网络总体来说,体系化编制由于相邻或者具有相同服务性质的主机或办公群落都在IP地址上也是连续的,这样在各个区块的边界路由设备上便于进行有效的路由汇总,使整个网络的结构清晰,路由信息明确,也能减小路由器中的路由表。而每个区域的地址与其他的区域地址相对独立,也便于独立的灵活管理。
注:将多条子路由条目汇总成一条都包含其内的总路由条目,这就是路由汇总或叫路由归纳。路由器在检查计算路由时是比较消耗资源的,路由条目越多,路由表越长,则这个过程耗时越多,所以通过路由汇总减少路由表的长度,对提高路由器工作效率是很有帮助的。能不能进行有效的路由汇总、汇总的效率如何,都跟网络结构中IP地址网段的分布有密切关系。IP地址的部署越连续而有条理,则路由汇总越容易也越有效,所以我们在部署网络时应该重视体系化编址。在子网环境中,当网络地址是以2的指数形式的连续区块时,路由归纳是最有效的。
规则二:可持续扩展性
其实就是在初期规划时为将来的网络拓展考虑,眼光要放得长远一些,在将来很可能增大规模的区块中要留出较大的余地。IP地址最开始是按有类划分的,A、B、C各类标准网段都只能严格按照规定使用地址。但现在发展到了无类阶段,由于可以自由规划子网的大小和实际的主机数,所以使得地址资源分配的更加合理,无形中就增大了网络的可拓展性。虽然在网络初期的一段可能很长的时间里,未合理考虑余量的IP地址规划也能满足需要,但是当一个局部区域出现高增长,或者整体的网络规模不断增大,这时不合理的规划很可能必须重新部署局部甚至整体的IP地址,这在一个中、大型网络中就绝不是一个轻松的工作了。
在这里让我们对IP地址、掩码、子网等概念做个简述,以便于理解无类地址划分的意义。
IPv4-网际协议版本4(Internet Protocol Version 4)是现行的IP协议。其地址通常用以圆点分隔号的4个十进制数字表示,每一个数字对应于8个二进制的比特串,称为一个位组(octets)。如某一台主机的IP地址为:128.10.2.1写成二进制则为10000000.00001010.00000010.00000001。
网络地址分为5类:
1.A类地址:4个8位位组(octets)中第一个octet代表网络号,剩下的3个代表主机位.范围是0xxxxxxx,即0到127。
2.B类地址: 前2个octets代表网络号,剩下的2个代表主机位. 范围是10xxxxxx,即128到191。
3.C类地址: 前3个octets代表网络号,剩下的1个代表主机位. 范围是110xxxxx,即192到223。
4.D类地址:多播地址,范围是224到239。
5.E类地址:保留地址,实验用,范围是240到255。
一些特殊的IP地址:
1.IP地址127.0.0.1:本地回环(loopback)测试地址
2.广播地址:255.255.255.255
3.IP地址0.0.0.0:代表任何网络
4.网络号全为0:代表本网络或本网段
5.网络号全为1:代表所有的网络
6.主机位全为0:代表某个网段的任何主机地址
7.主机位全为1:代表该网段的所有主机
私有IP地址(private IP address):为了节约IP地址空间,并增加了安全性,保留了一些IP地址段作为私网IP,不会在公网上出现,
处于私有IP地址的网络称为内网或私网,与外部进行通信就必须通过网络地址翻译(NAT)。
一些私有地址的范围:
1.A类地址中:10.0.0.0到10.255.255.255.255
2.B类地址中:172.16.0.0到172.31.255.255
3.C类地址中:192.168.0.0到192.168.255.255
无类IP地址:首先要了解Subnet Masks(子网掩码),它用于辨别IP地址中哪部分为网络地址,哪部分为主机地址,由1和0组成,长32位,全为1的位代表网络号。不是所有的网络都需要子网,因此就引入1个概念:默认子网掩码(default subnet mask).A类IP地址的默认子网掩码为255.0.0.0(由于255相当于二进制的8位1,所以也缩写成“/8”,表示网络号占了8位);B类的为255.255.0.0(/16);C类的为255.255.255.0(/24)。
而无类的IP子网不使用默认子网掩码,而是可以自由划分网络位和主机位,完全打破了A、B、C这样的固定类别划分。如这样的地址:192.168.10.32/28,它的掩码是255.255.255.240,最后一位组是11110000,也就是只剩后4位为主机位,前面28位为网络位,由于192.x.x.x属于C类地址,默认24位掩码,也就说这里多用了4位作为网络位。使用这样子网掩码可以得到“2的x次方-2(x代表多占的掩码位,这里是4)”=14个子网,这里减掉的2个为全0和全1的网段,每个子网包含“2的y次方-2(y代表主机位,这里也是4)”=14台主机,这里减掉的2个是主机位全0和全1的地址。这样本来的一个C类子网被划分成了14个可用小子网(在某些情况下,初始的全0网段也是可用的,在Cisco路由器中使用IP SUBNET-ZERO命令之后,你就能使用全0网段,这样可以得到15个可用子网)。可以看到,当需要的每个子网中主机数比较少时,可以用这种办法节约IP资源,得到更多的子网。在实际使用中
无类IP地址:首先要了解Subnet Masks(子网掩码),它用于辨别IP地址中哪部分为网络地址,哪部分为主机地址,由1和0组成,长32位,全为1的位代表网络号。不是所有的网络都需要子网,因此就引入1个概念:默认子网掩码(default subnet mask).
A类IP地址的默认子网掩码为255.0.0.0(由于255相当于二进制的8位1,所以也缩写成“/8”,表示网络号占了8位);B类的为255.255.0.0(/16);C类的为255.255.255.0(/24)。
而无类的IP子网不使用默认子网掩码,而是可以自由划分网络位和主机位,完全打破了A、B、C这样的固定类别划分。如这样的地址:192.168.10.32/28,它的掩码是255.255.255.240,最后一位组是11110000,也就是只剩后4位为主机位,前面28位为网络位,由于192.x.x.x属于C类地址,默认24位掩码,也就说这里多用了4位作为网络位。
使用这样子网掩码可以得到“2的x次方-2(x代表多占的掩码位,这里是4)”=14个子网,这里减掉的2个为全0和全1的网段,每个子网包含“2的y次方-2(y代表主机位,这里也是4)”=14台主机,这里减掉的2个是主机位全0和全1的地址。
这样本来的一个C类子网被划分成了14个可用小子网(在某些情况下,初始的全0网段也是可用的,在Cisco路由器中使用IP SUBNET-ZERO命令之后,你就能使用全0网段,这样可以得到15个可用子网)。
可以看到,当需要的每个子网中主机数比较少时,可以用这种办法节约IP资源,得到更多的子网。在实际使用中,如你给一个点对点的连接中两端的设备分配IP地址,如果你严格按照有类别的子网划分去分配地址,那么你只能分一个C类子网给它,一个C类网包含254(即2的8次方-2)个可用地址,而你只使用2个,那么将浪费252个可用地址。
这时如果使用/30的掩码,则一个子网只包含2(即2的2次方-2)个有效地址,这样划分出来的其他子网地址还可利用。
超网(supernetting) :超网是与子网类似的概念(也可以说是相对的概念),IP地址根据子网掩码被分为独立的网络地址和主机地址。但是,与子网把大网络分成若干小网络相反,它是把一些小网络组合成一个大网络--超网。可以说超网是一个地址聚合的概念,它和路由汇总有紧密的关系。关于路由汇总和超网的计算方法这里简略说明一下。如,一路由器的路由表中有如下几个条目:
目的IP地址 掩码 下一跳(或网关)
192.168.0.0 255.255.255.0 10.1.1.2