第一篇:IP管理
IP地址非法使用的动机。静态修改IP地址配置 用户在配置TCP/IP选项时,使用的不是管理员分配的IP地址,就形成了IP地址的非法使用。非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。普通用户明白非法使用IP地址所产生的危害和处罚措施,制定并实施严格的IP地址管理制度,包括:IP地址申请和发放流程,IP地址变更流程,临时IP地址分配流程,机器MAC地址登记管理,IP地址非法使用的处罚制度。
教你如何快速灵活进行局域网IP地址规划
无论你对IP地址是否熟悉,一旦你接触到了网络,那你就会不知不觉地用到IP地址,因为任何子网之间的通信或者子网工作站之间的通信,都是通过IP地址来实现正确寻径目的的!任何一个子网的IP地址空间通常都是网络管理人员根据子网规模以及近期发展规划,来合理分配的,因为每一个子网中包含的工作站数量可能不相同,或许有的子网包含有数量较多的工作站,有的子网仅含两三台计算机,倘若给每一个子网平均分配IP地址空间的话,将会造成有的子网络中IP地址资源比较紧张,有的子网络中IP地址资源处于闲置状态。那么如何才能快速有效地为不同子网正确划分好IP地址空间,让每个子网都能合理地用好有限的IP地址资源呢?
尽管根据子网规模以及近期发展规划,使用人工计算的方法,可以为不同子网分配好不同的IP地址空间,但这种划分IP地址空间的方法不利于局域网的高效管理和维护。有鉴于此,笔者在Internet上进行了苦苦搜索,特意找来了Wildcard工具作为我们的“帮手”,利用它你可以快速地为每个子网规划好IP地址空间。不信的话,就请各位一起来领略一下Wildcard工具在快速规划局域网IP地址方面的风采吧!
1、认识Wildcard的“本领”
其实Wildcard工具是一款小巧玲珑的路由管理程序包,里面共含有三个子程序,利用“子网掩码计算器”程序可以快速划分好局域网的IP地址空间,利用“通配符掩码监测器”可以了解到当前子网是哪种规模的网络,利用“十进制IP计算器”可以实现IP地址的十六进制和十进制的快速转换。此外,该工具还有一大“亮点”,就是不需要进行安装,就能立即运行使用,因此它对系统资源占用得很少。
2、分配子网的IP地址空间
一般来说,给任意一个子网分配IP地址空间时,都需要先了解一下子网中包含了多少台工作站,再考虑一下子网日后的可扩展性。例如,要是单位局域网中的某个子网共含有40台工作站,考虑到以后网络规模的升级扩展,我们就必须为该子网分配多于40的IP地址数量,但分配的IP地址数量又不能太多,否则会造成多个IP地址资源在这个子网中得不到用武之地。要想快速准确地满足上面的规划要求,你可以找到Wildcard工具的安装程序。
单击该界面中的“子网掩码计算器”按钮,打开如图2所示的设置窗口;在该窗口的IP地址框中输入需要分配给该子网的起始IP地址,然后在子网掩码处不断单击右箭头按钮,来调整子网掩码的位数,并观察该窗口下面的IP地址变化范围;一旦你发现在某个子网掩码下,IP地址变化范围与40比较接近,而且在该范围内可容纳的工作站数量超过40的话,就表明对应此时掩码地址下的IP地址空间,就是该子网的IP地址空间。
3、查看可用IP地址资源
笔者单位的局域网是通过广电部门的SDH信道,直接与上级主管单位省科技厅网络中心互联通信的,上级主管单位分配给我们单位服务器的IP地址为210.73.140.2,网络掩码地址为255.255.255.192,那么我们如何知道还有哪些IP地址资源,可以在本地局域网中使用呢?其实很简单,只要你单击“子网掩码计算器”按钮,在弹出的子网掩码设置界面中,将
“210.73.140.2”填写在“主机IP”文本框中,同时在“掩码位”设置项处单击右箭头按钮,将子网掩码调整为255.255.255.192,这样你就能在如图3所示的“当前主机范围:”处,看到
本地局域网可以使用的IP地址数量为62个,具体可以使用的IP地址资源范围为“210.73.140.1到210.73.140.62”。
4、查看局域网规模
根据局域网规模的大小不同,IP地址通常可以分为A类地址、B类地址、C类地址、D类地址、E类地址,其中A类IP地址一般是专门分配给规模较大局域网用的,每个A类地址的网络可以包含1600多万台工作站;B类IP地址通常用于中等规模的局域网,每个B类地址的网络最多可以连接6万多台计算机;C类IP地址主要分配给比较小的局域网规模的,每个C类地址网络至多只能包含254台工作站。D类IP地址与上面的三种类型地址不相同,这类地址并不用于特定的局域网子网,也不用于某一台具体工作站,它主要是用来多点广播的;E类IP地址其实也是一种比较特殊的网络地址,它既不表示特定的局域网子网,也不用于具体的工作站,这类网络地址中每个字节通常都为255或0,简单地说E类IP地址其实就是“0.0.0.0”或
“255.255.255.255”这两个地址,而“255.255.255.255”地址一般是用来表示当前网络广播地址的。根据IP类型的不同,我们通常把局域网规模分为A类网络、B类网络、C类网络,那么我们该如何快速地查出自己单位的局域网,究竟是属于什么网络规模呢?
其实很简单,只要你打开本地局域网中的任意一台工作站,进入到该工作站的网络属性设置窗口,选中“Internet协议(Tcp/Ip)”选项,再单击一下“属性”按钮,在其后出现的属性设置界面中,单击“常规”标签,并在对应的标签页面中,查找到该工作站目前使用的IP地址,接着运行Wildcard工具的安装程序,打开对应的程序界面,再单击其中的“子网掩码计算器”按钮,进入到子网掩码设置页面;然后将上面查找得到的IP地址,直接填写在“主机IP”文本框中,随后Wildcard工具就会在“主机IP”文本框右侧,自动弹出当前网络的规模。例如,要是输入“210.73.140.2”地址的话,Wildcard工具就会自动告诉你当前网络属于C类地址网络,该网络至多只能包含254台工作站.
5、查看子网网络标识
人们通常把分配给工作站的IP地址人为分成两个部分,一个部分用于标识工作站所在子网的网络地址,另外一个部分用于标识主机地址。一般来说,处于相同子网中的所有工作站都用相同的网络标识地址,对应子网中的每一台工作站都有一个唯一的主机标识和其对应。根据上述的原理,IP地址中的4组数字也被划分成两块,其中一块是子网网络标识,另外一块是主机标识;例如,位于某个子网中的一台工作站IP地址为210.73.140.7,对于这个IP地址,我们可以理解为当前工作站位于210.73.140.0这个子网网络中,它的主机标识应该为7,合起来的话,210.73.140.7就是这台工作站面向Internet的独立身份标识。由于不同规模的网络,其网络标识是不一样的,即使在同一网络规模的不同子网中,网络标识也是不一样的;因此要准确地知道某个网络的子网网络标识,必须要根据分配给该网络的IP地址以及掩码地址共同确定才可以。要想快速地查看某个子网的网络标识时,也可以“借助”Wildcard工具来实现:
打开本地局域网中的任意一台工作站,进入到该工作站的网络属性设置窗口,选中
“Internet协议(Tcp/Ip)”选项,再单击一下“属性”按钮,在其后出现的属性设置界面中,单击“常规”标签,并在对应的标签页面中,查找到该工作站目前使用的IP地址以及掩码地址;接着单击Wildcard程序界面中的“子网掩码计算器”按钮,打开子网掩码设置窗口;然后将上面查找得到的IP地址,直接填写在“主机IP”文本框中,再将“掩码位”设置成和当前查找得到的掩码地址相同。随后Wildcard工具就能在子网标识处,告诉你当前子网的网络标识地址了。例如,要是你输入的IP地址为“210.73.140.7”,网络掩码地址为“255.255.255.192”,那么Wildcard工具将会自动计算出当前子网的网络标识为“210.73.140.0”
小提示:在给局域网子网分配网络标识地址时,必须确保当前子网的网络标识不能和其他子网的标识地址相同,具体地说就是必须给每一子网分配一个唯一的标识地址;另外在分配网络标
识地址时,请不要将网络标识地址的开头数字设成“127”,因为在A类网络地址中,数字为“127”开头的IP地址专门预留给内部回送函数。当然网络标识地址的开头数字也不能设成“255”和“0”,因为“255”开头的IP地址专门用于网络广播的,“0”开头的IP地址专门用来表示本地主机的。
6、换一种方式访问网络
无论是访问网络中的服务器还是工作站时,都需要通过IP地址才能实现访问目的;而我们常见的IP地址是由32位二进制数构成,例如,某网络中的一台服务器IP地址为
“******10”,很明显,要是使用这些让人眼花缭乱的0、1数字来访问网络的话,不但输入比较麻烦,而且也不大容易记忆。为了方便记忆和输入,我们人为地将32位“0”、“1”数字分成四组,每8位二进制数分成一组,每组数字用小数点分隔开来,再将四组八位二进制数分别转换成四组十进制数,如此一来前面服务器的IP地址就可以写成“210.73.140.6”,以后我们就可以通过“http://210.73.140.6”或“ftp://210.73.140.6”形式来访问该台服务器了。
除了将32位二进制数的IP地址转换成四组十进制数的IP地址,来访问网络服务器外,我们还可以利用Wildcard工具的IP地址转换功能,将32位二进制数的IP地址直接转换成一组十进制数的IP地址,来实现访问网络的目的。例如,要将“210.73.140.6”IP地址转换成一组十进制数的IP地址时,只要按照如下步骤来操作就可以了
首先双击Wildcard工具的安装程序,打开该程序的主界面;然后单击该界面中的“十进制IP计算器”按钮,打开如图6所示的设置界面;在该界面的“IP地址”文本框中直接输入需要访问的服务器IP地址,例如输入“210.73.140.6”
接着单击“计算十进”按钮,就能知道十进制IP地址为“3528035334”,以后你也可以通过“http://3528035334”或“ftp://3528035334”形式来访问“210.73.140.6”服务器了。当然,在“十进制IP计算器”设置窗口中,你也可以将十进制IP地址快速转换成普通的IP地址。
第二篇:IP 地址及其管理
IP 地址及其管理
一、教材内容分析
本节介绍了 IP 地址和 IP 地址的管理的相关知识。IP 地址的概念非常重要,是本节课的重点。但由于知识内容本身比较抽象,学生不太容易掌握,教师在教学过程中,可以结合实践内容,举例让学生逐步理解这个概念。IP 地址的管理主要介绍因特网地址分配机构和分级管理的方式,可以通过类比让学生理解,同时让学生感受 IP 地址资源的有限性和分配不平衡性。
二、教学目标
1.要求学生了解 IP 地址的概念、格式及分类,知道 IP 地址的组织与管理方法;
2.感受 IP 地址资源的有限性和分配的不平衡性,树立节约资源、合理使用资源的意识。
三、教学重难点 :IP 地址的概念。
四、教学方法 :讲解法,演练法,对照法。
五、教学设计策略
由于本节知识内容比较抽象,学生自学有些困难,因此采用讲授法,并运用一些类比教学手段,将抽象的理论形象化。运用演示、讲解和练习相结合的手段,通过精心设计学生活动,形象地将 IP 地址展现在学生面前。运用对照法,将 IP 地址和上节所学的域名知识结合。
六、教学过程
新课导入
教师活动 先让学生打开两个浏览器窗口,分别输入“ gmwz.com.cn” 和
“ 10.8.96.3”, 看看会出现什么情况。
学生活动 学生带着疑惑进行操作,结果发现访问的是同一个网站。
设计思想 让学生带着疑问进行学习,激发学生的求知欲。这样设计不但衔接上节课的知识点而且开门见山地揭示出了本节课的重要知识点。
新课学习
教师释疑 同学们,前面我们学习了因特网的域名,那么如果深入地想一下,域名对于我们用户是比较容易操作和记忆的,但是对于电脑来说,它可以直接识别域名吗?实际上,电脑只对二进制的数字感兴趣(电脑的工作原理),也就是说,电脑网络只认识 0 或 1 组成的数字。所以网络只能认识我们这节课要学习的由 0 或 1 组成的 IP 地址。前面学的域名就如同我们同学的名字,学生除了名字外,还有个考试时的座号,这里的座号就相当于域名对应的 IP 地址。再如,如果仅知道你的名字,不一定能够联系上你,但是如果知道你的电话号码,那就能够很快找到你。所以这里域名对应的 IP 地址就相当于人名对应的电话号码。由此可知,IP 地址才是真正网络中计算机的身份标识。
学生思考
在抽象难以理解的问题上,教师通过举例子进行必要的解释有助于学生理解问题,加深概念的认识,起到化难为易的效果。
任务设置
先请同学查看一下所在机号的网络 IP 地址。先打开网上邻居属性,找到“常规”标签中的 Internet 协议(TCP/IP)属性,就会看到该机的网络 IP 地址。
任务 1 :找出你看到的 IP 地址的特点;
任务 2 :看书指出 IP 地址的本质特征。
学生完成相应的任务并回答问题。
通过自主学习,能激发他们的学习积极性,有利于全面提高学生动手动脑的能力。通过观察形成感性认识,再读书深入认识事物的本质,培养学生掌握认识事物的一般方法。
师生互动
1.根据上面的任务学生归纳总结 IP 地址的格式特征,教师分析说明其中的要点并展示概念。
说明:
(1)IP 地址可以确定计算机在网络中的具体位置。
(2)IP 地址是由二进制数—— 32 位“ 0 ”或“ 1 ”组成的,每八位一组共四组,四组之间用点分隔,每组对应的数的范围是 0 ~ 255。展示概念:每个 IP 地址占用 32 个二进制位,即 4 个字节。书写时,将四个字节分别书写为十进制数,各数之间用圆点分隔开。
2.学生讨论比较 IP 地址与域名之间的异同。
教师总结二者异同。
相同之处:域名和 IP 地址指向同一个网络地址,组成结构类似,中间用圆点分隔。不同之处:域名是 IP 地址的文字表现形式,容易记忆,却不能被电脑直接识别。IP 地址是二进制数组成,比较难记,但在网络中可以被电脑直接识别。二者之间的密切联系和转换是靠一个叫域名系统(DNS 服务器)来完成的。
学生完成任务并相互探讨。
教师画龙点睛说明问题的本质。
本部分是教材的难点。教师应该通过多种途径引导学生学习:比如先引导学生讨论知识的表面现象,然后分析其本质特征,由表及里认识事物。为了进一步认识该知识点,可以联系前面的域名知识,讨论分析两者的异同。加深学生对 IP 地址概念的认识;学会建立新旧知识的联系,而不是孤立地看问题的一面。
知识拓展
让学生课后通过上网或查看课外书籍的方式查阅关于 域名系统(DNS 服务器)的资料,了解它的工作原理。推荐阅读的杂志和报刊有《电脑爱好者》、《中国电脑教育报》等。
培养学生探索知识的能力和兴趣,扩展知识面。
师生互动
3.教师给出问题:既然 IP 地址是确定计算机在网络中具体位置的编号,那么 IP 地址可以随便设置吗?
看书回答下列问题:
(1)IP 地址由哪两部分组成?
(2)网络标识的作用是什么?
(3)主机标识的作用是什么?
学生回答。
教师可以做如下解释 :
IP 地址中,一部分是网络标识,一部分是主机号;网络标识确定主机所在的物理网络,主机标识确定主机的物理地址。如果高一·三班理解为网络标志,那么座号 25 就可理解为主机号。再如电话号码 0536-2345103,前面 4 位 0536 表示电话的潍坊区位号,23 表示高密的区位,45103 表示电话机本身的号。正如化学中元素周期表一样,任何科学知识都是规律和经验的总结。
一般的,根据 32 位 IP 地址网络标识号和主机标识号各占用位数的不同,可以将 IP 地址划分为五类。
(1)A 类地址的第一字节是网络标识,后三个字节是主机标识。
(2)B 类地址的前两个字节是网络标识,后两个字节是主机标识。
(3)C 类地址的前三个字节是网络标识,第四个字节是主机标识。
(4)D 类地址用于多点广播。
(5)E 类地址保留备用。
显然,IP 地址不是随便设置的,它的设置方式 是有规律和意义的。之所以这样有规律地设置,是因为 IP 地址是需要管理的。
学生思考根据问题看书
通过举例子进行必要的解释有助于学生理解问题,加深对概念的认识,起到化难为易的效果。通过通俗讲解 IP 地址的组成规律及按规律分类,让学生认识到科学技术知识都是有规律可循的,从而进一步学习认识管理 IP 地址的重要性。
让学生认识到 IP 地址资源的有限及分配的不平衡性。
学生活动
4.IP 地址的管理的机构是什么?
学生上网查阅资料。
如:http:///
5.指出我国 IP 地址的总量不足及原因。鼓励学生努力学习,找出解决节省 IP 地址资源的办法。
[ 问题 ] 我国 IP 地址的总量不足解决办法是什么?
查阅有关 IPV4 和 IPV6 的资料。
采用小组形式讨论。
进行拓展学习。
知识迁移
第三篇:IP网络安全管理系统探讨
IP网络安全管理系统探讨
1、引言
IP网络是电信运营的基础网络之一,网络安全是保证网络品质的基础。随着宽带业务的迅猛发展,运营商提供的数据业务越来越多,因此网络与信息的安全性也日渐重要。与此同时,互联网的开放性给网络运营带来了越来越多的安全隐患,互联网网络安全管理工作目前急需加强。对于运营商来说,相应的安全管理系统及检测手段的建设也势在必行。信产部对互联网的安全问题十分重视,要求各运营商制定“互联网网络 安全应急预案”。根据信息产业部的要求,各运营商已在建设互联网网络安全应急处理组织体系,从人员和组织架构上提供保障,但相对缺乏相应的安全管理系统和技术手段。为适应互联网业务发展的需要及加强互联网网络安全管理工作,各运营商都在积极着手建设安全管理系统。
2、IP网络安全管理的主要问题
IP网络规模庞大、系统复杂,其中包含各种网络设备、服务器、工作站、业务系统等。安全领域也逐步发展成复杂和多样的子领域,例如,访问控制、入侵检测、身份认证等。这些安全子领域通常在各个业务系统中独立建立,随着大规模安全设施的部署,安全管理成本不断飞速上升,同时对这些安全基础设施产品及其产生的信息管理成为日益突出的问题。IP网络安全管理的问题主要有以下几个方面:
(1)海量事件。
企业中存在的各种IT设备提供大量的安全信息,特别是安全系统,例如,安全事件管理系统和漏洞扫描系统等。这些数量庞大的信息致使管理员疲于应付,容易忽略一些重要但是数量较少的告警。海量事件是现代企业安全管理和审计面临的主要挑战之一。
(2)孤立的安全信息。
相对独立的IT设备产生相对孤立的安全信息。企业缺乏智能的关联分析方法来分析多个安全信息之间的联系,从而揭示安全信息的本质。例如,什么样的安全事件是真正的安全事件、它是否真正影响到业务系统的运行等。
(3)响应缺乏保障。
安全问题和隐患被发掘出来,但是缺少一个良好的机制去保证相应的安全措施得到良好执行。至今困扰许多企业的安全问题之一——弱口令就是响应缺乏保障的结果。
(4)知识“孤岛”。
许多前沿的安全技术往往只有企业内部少数人员了解,他们缺少将这些知识共享以提高企业整体的安全水平的途径。目前安全领域越来越庞大,分支也越来越细微,各方面的专家缺少一个沟通的平台来保证这些知识的不断积累和发布。
(5)安全策略缺乏管理。
随着安全知识水平的提高,企业在自身发展过程中往往制定了大量的安全制度和规定,但是数量的庞大并不能代表安全策略的完善,反而安全策略版本混乱、内容重复和片面、关键制度缺失等问题依然在企业中不同程度的存在。
(6)习惯冲突。
以往的运维工作都是基于资产+网络的运维,但是安全却是基于安全事件的运维。企业每出现一个安全问题就需要进行一次大范围的维护,比如出现病毒问题就会使安全运维工作不同于以往的运维工作习惯。
随着IP技术的飞速发展,网络安全逐渐成为影响网络进一步发展的关键问题。为提升用户业务平台系统的安全性及网络安全管理水平,增强竞争力,IP网络安全管理从单一的安全产品管理发展到安全事件管理,最后发展到安全管理系统,即作为一个系统工程需要进行周密的规划设计。
3、安全管理系统建设管理需求
安全管理系统的建设需求主要表现在以下几个方面:
(1)各运营商通过安全管理系统的建设,可以完善IP网的安全管理组织机构、安全管理规章制度,指导安全建设和安全维护工作,建立一套有效的IP的安全预警和响应机制。
(2)能够提供有效的安全管理手段,能充分提高以前安全系统功能组件(如入侵检测、反病毒等)投资的效率,减小相应的管理人工成本,提高安全体系的效果。
(3)通过对网络上不同安全基础设施产品的统一管理,解决安全产品的“孤岛”问题,建立统一的安全策略,集中管理,有效地降低复杂性,提高工作效率,进一步降低系统建设维护成本,节省经济成本和人工成本。
(4)优化工作流程促进规程的执行,减轻管理人员的工作负担,增强管理人员的控制力度。
(5)实时动态监控网络能有效地保障业务系统安全、稳定运行,及时发现隐患,缩短响应时间和处理时间,有效地降低安全灾害所带来的损失,保障骨干网络的可用性及可控性,同时也可提高客户服务水平,间接地提高客户满意度。
(6)通过对安全信息的深度挖掘和信息关联,提取出真正有价值的信息,一方面便于快速分析原因,及时采取措施;另一方面为管理人员提供分析决策的数据支持,提高管理水平。
(7)通过信息化手段对资源进行有效的信息管理,有助于提高企业的资产管理水平,从而提高企业的经济效益和企业的市场竞争力等。
4、安全管理系统建设目标
安全管理系统的建设是一项长期的工作,综合考虑实际工作的需求、当前的技术条件以及相关产品的成熟度,安全管理系统的建设工作应该按照分阶段、有重点的建设的方式来规划。根据各阶段具体的安全需求,确定各阶段工作的重点,集中力量攻克重点建设目标,以保证阶段性目标的实现。建设的同时需要注意完善相关的管理制度和流程,保证安全管理系统与企业业务的有机融合和有效使用。对于IP网安全管理系统的建设,建议分近期目标、中期目标和长期目标3个阶段来实现:
*近期目标。以较为成熟的相关技术为基础,根据当前最迫切的安全管理工作需求制定,包括安全风险管理、安全策略管理、安全响应管理的基本需求。
*中期目标。在近期目标基础上提高内部各系统之间的集成度和可用度,扩大管理范围,增强各功能模块,初步实现与其他信息系统的交互和安全管理的自动化流程。
*长期目标。实现安全管理系统的集成化、自动化、智能化,保证信息、知识充分的挖掘和共享,为高水平管理工作和高效率的安全响应工作提供良好的技术平台。
5、安全管理体系与功能模型
5.1 管理体系
明确了建设目标后就要结合运营商安全需求、网络环境及整体规划方向确定安全体系模型。IP网安全包括物理安全、设备与网管系统安全、网络层安全、网络信息安全。IP网安全体系分为技术体系层面(安全基础设施)、安全管理系统、管理体系层面。
(1)管理体系层面。它包括安全策略管理、安全组织管理、安全运作管理等几个方面。安全策略是IP网安全管理工作的依据,包括安全策略、标准、过程等方面的内容。安全策略管理是整个安全体系的基础,通过对策略进行有效的发布和贯彻执行,可以规范项目建设、运行维护相关的安全内容,指导各种安全工作的开展和流程,确保IP网的安全。安全组织是安全的管理组织架构,包括运营商安全相关的管理组织和人员。安全运作管理是策略、组织、技术的结合,是通过安全组织规定的人员,按照相应的流程,采取安全措施,对安全事件进行处理,从而整体提升IP网的安全水平。
(2)技术体系层面。它包括安全基础设施,安全基础设施包括访问控制系统、身份和认证管理系统等。
(3)安全管理系统层面。它是安全体系的中心枢纽,向上作为一种安全管理的形式和技术平台,协助用户实现安全策略管理、安全组织管理、安全运作管理,提供支撑手段。安全管理系统构建于安全基础设施之上,向下将管理贯彻到整个技术层面,通过收集来自所有安全产品和非安全产品的信息,进行统一的自动化风险评估,评价是否符合安全管理的策略,并报告给决策者,提供必要的响应。安全管理系统将安全管理和安全技术层面联系起来,能够保证安全产品部署符合安全管理的要求,提升安全基础设施的效率,减少相应的管理人工成本。
IP网络安全管理体系如图1所示。
5.2 安全管理系统功能模型运营商在建设安全管理系统时,可通过安全服务的建设初步建立安全策略管理、安全运作管理体系,通过IP网安全管理系统的建设,实现基本的安全策略管理、安全运作管理功能。安全管理系统的功能及核心模块如图2所示。
图2 安全管理系统功能及核心模块
(1)资产信息管理模块。
它实现对网络安全管理系统所管辖的设备和系统对象的管理。它将所辖IP设备资产信息按其重要程度分类登记入库,并为其他安全管理模块提供信息接口。
(2)脆弱性管理模块。
它实现对IP网络中主机系统和网络设备安全脆弱性信息的收集和管理,并配备远程脆弱性评估工具和本地脆弱性信息收集工具,及时掌握网络中各个系统的最新安全风险动态。该模块收集和管理的脆弱性信息主要包括两类:通过远程安全扫描可以获得的安全脆弱性信息(下称远程脆弱性信息)和通过在主机上运行脚本收集的脆弱性信息(下称本地脆弱性信息)。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理,以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理。
(3)安全事件监控管理模块。
安全事件监控系统是实时掌握全网的安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息以及安全产品的安全事件报警信息等,及时发现正在和已经发生的安全事件,通过响应模块采取措施,以保证网络和业务系统安全、可靠运行。
(4)安全响应管理模块。
安全响应是安全工作中重要的一环。运营商应考虑目前的网络运行状况与管理机制的特点,将安全管理系统安全响应的建设重点放在通过工单系统进行工作指令的传达和网络安全评价机制的建设上。
网络安全响应是根据当前的网络安全状态,及时调动有关资源作出响应,降低风险对网络的负面影响。网络安全响应模块负责利用安全管理系统平台提供的采集和统计功能,科学合理地评价网络安全的状态指标,并根据安全的状态指标,结合安全风险控制的需要,及时通过工单系统发布工作指令,调动有关资源作出相应的响应,将剩余风险控制在可以接受的范围。
(5)安全预警模块。
结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时作好安全防范工作,防患于未然;同时通过安全威胁管理模块所掌握的全网安全动态,有针对性地指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
(6)安全知识库模块。
安全知识库信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为运营商各级网络安全管理机构和技术人员之间进行安全知识和经验交流的平台,有助于提高人员的安全技术水平和能力。安全管理系统要求实现网络安全信息的共享和利用,在安全管理系统平台提供统一界面以安全Web的形式发布最新的安全信息,并将处理的安全事件方法和方案收集起来,形成一个安全共享知识库,该知识库的数据以数据库的形式存储及管理,为培养高素质网络安全技术人员提供培训资源。信息模块可以包括安全技术园地、安全技术交流、安全案例库、补丁库、论坛以及其他管理信息系统等子信息系统。
6、安全管理系统评估
安全管理系统建设后,应能达到以下各项目的评估:
(1)结合落实信产部对通信安全的要求,提供应急响应的技术手段,为运营商互联网网络安全应急处理小组提供安全事件应急响应的技术手段和管理平台,实现《互联网网络安全应急处理预案》所要求的安全目标。
(2)运营商IP网络安全应急信息的发布。能够以E-mail、网页、任务单等多种方式将最新的安全公告,预警信息、安全事件信息等及时发布给相关人员。
(3)实现安全事件预警、快速响应的闭环管理功能。安全预警和快速响应能够有效降低安全灾害所带来的损失,单纯的安全产品不足以呈现全网的安全状况、提供足够的预警信息,必须实现安全的集中管理,才能实现以地域、业务系统等方式统一呈现安全风险、缩短响应时间。
(4)定期进行安全审计实现风险评估,确保安全管理系统持续的适宜性和有效性。定期进行安全审计,并结合现有的安全措施及界定的各类风险处置策略对管理的资产(包括安全事件、安全事件处置策略及安全工单执行情况等)进行评估,不断充实安全知识库的内容以提高运维及网络安全技术人员的技术水平。
(5)从安全建设的角度来讲,建立完善的安全管理组织体系是非常重要的。企业应该设置专职人员对企业的安全负责、统一协调、统一管理,应定期对专职人员的安全工作进行考核,要及时发现问题、解决问题,逐步完善运营商的安全管理。
7、结束语
随着运营商业务、网络及运维的发展,国内各运营商在持续对网络和系统进行安全评估和加固的同时启动了安全管理系统的建设,并逐渐将专用的或定制开发的安全系统集成到安全管理系统中统一管理。可以看出,运营商日益重视安全管理,安全管理已逐渐成为一种趋势,IP网络安全管理的理论研究水平、实践能力有待于进一步发展和提高。
第四篇:IP地址及其管理教案
IP地址及其管理
一、教材分析。
IP地址是计算机的网络身份证,是一台单机能上网的必要条件。而IP地址必须在子网掩码的配合下才能表明一台主机所在的子网与其他子网的关系,使网络正常工作,所以IP地址与子网掩码犹如一对形影不离的兄弟,联系异常紧密。鉴于此在选择授课内容时,我对教材原有结构进行了调整,不仅仅讲2.2IP地址及其管理,还将2.1节涉及到IP地址和域名这部分内容巧妙地溶入了本节,这样原来割裂的两部分内容互相补充,相得益彰,学生觉得的IP地址有关的知识变得完整丰富。
二、学情分析。
(1).知识方面,学生已经学习了信息技术基础,对计算机网络已经有了一定的了解,但个体差异十分明显。
(2).技能方面,学生思维活跃、积极性高,理解及操作能力也比较强,有很强的概括能力和抽象思维能力。
(3).情感方面,求知的欲望强烈,喜欢探求真理,具有积极地情感态度。
三、教学目标。
1、知识与技能
(1)掌握IP地址的概念、格式、分类。
(2)了解子网掩码域名,掌握IP地址的查看。
(3)了解IP地址的管理方式及IP地址资源的分配情况。
2、过程与方法
充分利用各种手段激发学生学习的兴趣,并通过交流探索,学会与人合作,提高学生的知识迁移能力和独立思考能力。
3、情感态度和价值观
(1)让学生在学习过程中克服畏难情绪,体会到学习理论的快乐,为以后学习理论知识找到合适的方法。
(2)让学生认识到IP地址资源的有限及分配的不平衡,体验民族的危机感。
四、重点、难点突破。
1、教学重点:IP地址的格式和分类,采用生活中贴切类比的办法,让学生通俗易懂的去学习Ip地址的格式和分类。
2、教学难点:通过生中的电话号码牢记IP地址的格式,然后练习多做。
五、教学过程。
(一)什么是IP地址?
[教师] 分析IP地址的概念,说明由于它是唯一的,才能通过IP地址确定主机实际的物
1理地址,从而抓住疑犯。每一台上网的计算机都有自己的网络身份——IP地址
[学生] 告知学生查看Ip地址的方法,查出自己计算机和同学的IP地址并记录。
一:网上邻居-右键属性-本地连接属性-双击“Internet协议(TCP/IP)”
二:开始菜单—命令提示符—
ipconfige_enter
总结:IP地址和域名都能标识网络中的计算机,但IP地址是唯一的。
(二)IP地址的格式(此部分内容以教师讲授为主)
十进制格式:131.107.3.2
4二进制格式:******00
IP地址数字范围在0~255解释原因
总结:[通用格式]十进制格式(点分十进制):我们将32个二进制数分成4组(每组8位[1个字节]),并将每组转换成十进制数(0~255),且每组间用圆点来分隔。
(三)IP地址的分类
由例子:生活中的电话号码IP地址
根据设计者IP地址的分类
三类IP地址的范围、可支持的网络数目和每个网络支持的主机数的比较
【设计思想】
(1)生活中的例子通俗易懂
(2)通过例子对Ip地址分类的进一步牢记,更加的巩固一下知识。
(四)IP地址分层的管理图——IP地址资源的有限性,如何解决?
因特网地址分配机构(IANA)负责全球IP地址与域名的管理。全球IP地址的分配是按照一种分级的方式管理的。
讨论后得出: 方法一—IPV6方法二—IP地址的动态分配
【设计思想】
1、让学生认识到IP地址资源的有限及分配的不平衡,体验民族的危机感。
2、能自然贴切地引出下一知道点。
(五)作业
1.关于因特网中主机的IP地址,叙述不正确的是()。
A、IP地址是网络中计算的身份标识
B、IP地址可以随便指定,只要和主机IP地址不同就行
C、IP地址是由32个二进制位组成D、计算机的IP地址必须是全球唯一的 历年真题,巩固检测
2.Internet使用TCP/IP协议实现了全球范围的计算机网络的互连,连接在Internet上的每一台主机都有一个IP地址,下面不能作为互联网上可用的IP地址的是()。
A、201.109.39.68B、127.0.0.1C、21.18.33.48D、120.34.0.18
3.IP地址172.16.16.16属于()类IP地址。
A类1.0.0.0~127.255.255.255 第一段为网络号,2~4段为主机号
B类128.0.0.0~191.255.255.2551~2段为网络号,3~4段为主机号
C类192.0.0.0~223.255.255.255 1~3段为网络号,第四段为主机号
D类 组广播地址E类 留用
4.IP地址是计算机在因特网中唯一识别标志,IP地址中的每一段使用十进制描述时其范
围是()
A、0-128B、0-255C、-127-127D、1-256
(六)总结本节课主讲内容
六、教学反思。
遇到“IP地址及其管理”这节内容大多数老师内心还是非常害怕的,由于大量枯燥的理论又没有针对性强较有趣的学生活动,常常是教师一灌到底,学生听之无趣。但我的这节到结束都能使同学保持高昂的学习情绪,尽量做到不枯燥乏味的现象,归其原因主要体现在以下几个重要设计理念:
一、大量生活资源地应用。对理论地阐述教师用到很多生活中的类比,如IP地址和域名的关系,IP格式和电话号码格式,使讲述更生动。
二、设计一系列针对性强、又切实可行的学生实践活动,使学习主动有交流,使学生自己学习,发现内容,使其不再枯燥乏味。
三、对原有教材内容的重新整合,使 IP地址的教学内容不再被割裂,前后知识一点点联系紧,有因有果,一气呵成,也为下节“如何将计算机接入因特网”分解了一部分知识点。
最后,讲课语言组织不是很好等等问题有待改进。
第五篇:ip地址管理与规划[范文模版]
计算机网络规划与设计 6、2 IP 地址 6、2、1 IP 地址的类型 1.什么就是 IP 地址? 2.IP 地址的分类 下面就是常用 A、B、C 三类地址的总结表: 表 表 6-2
网络类别、网络地址与主机编号字段的取值范围 网络类别 IP 地址 网络地址 址 主机编号 号 网络地址中 中 W 的取值范围 主机近似 个数 A W、X、Y、Z W X、Y、Z 1~126 1700万左右 B W、X、Y、Z W、X Y、Z 128~191 65000 C W、X、Y、Z W、X、Y Z 192~223 254 表 6-3 归纳了 A、B、C 三类网络 IP 地址 W 段的取值范围、网络个数及主机个数。
表 表 6-3
A、B、C 三类网络的特性参数取值范围 网络类别 网络地址(W)的取值范围 网络个数(近似值)主机个数 A 1、X、Y、Z ~126、X、Y、Z 126(2 7-2)2 24-2 B 128、X、Y、Z ~191、X、Y、Z 16384(2 14)2 16-2 C 192、X、Y、Z ~223、X、Y、Z 大约200万个(2 21)2 8-2 3.IP 地址中 网络地址的使用规则
无论在 Internet上还就是在局域网上,分配网络地址(即网络ID)时,常用的A、B与C三类网络的取值范围如表6-4所示,配置与使用IP地址时,应遵循以下规则: ① 网络地址必须惟一。
② 网络地址不能以 127 开头。因为 127 保留给诊断用的回送函数使用。
③ 网络地址中的各位不能全为“0”,0 表示本地主机,不能传送。
④ 网络地址的各位不能全为“1” 即,十进制的 255),全为 1 时,仅在本网络上进行广播,各路由器均不转发。
表 表 6-4
A、B、C 网络地址与主机地址的取值范围 网络类别 网络地址始值 网络地址终值 值 主机编号始值 值 主机编号终值 A 001、X、Y、Z 126、X、Y、W、0、0、1 W、255、255、2
Z 54 B 128、0、Y、Z 191、255、Y、Z W、X、0、1 W、X、255、254 C 192、0、0、Z 223、255、255、Z W、X、Y、1 W、X、Y、254 4.IP 地址中-主机 地址 的使用规则 ① 在网络地址相同时,即在同一网络中,主机地址(编号)必须惟一。即 I P 地址中主机编号相对于网络编号来说必须惟一。例如:在 202、112、144 这个 C 类网络中,只能有一台主机的编号为“8”。
② IP 地址中主机编号的各位不能全为 0,主机号全 0 表示该网的 IP 地址,例如,202、112、144、0。
③ IP 地址中主机编号的各位不能全为“1”,主机号全 1 的地址就是本网的广播地址,因此,255 不能用做主机的编号。例如:202、112、144、255 或 128、1、255、255。
④ ④
127、0、0、1 代表本地主机的 IP 地址,用于测试;因此,该地址不能分配给网络上的任何计算机使用。
5.IP 地址 的表示 规则 ① 在主机或路由器中存放的 IP 地址都就是 32 bit 的二进制代码。为了提高可读性,在写出给人瞧的 IP 地址时,往往每隔 8 bit 插入一个空格。但这样还就是不方便。于就是我们常常将 32 bit 的 IP 地址中的每 8 bit 用其等效的十进制数字表示,并且在这些数字之间加上一个点。这就叫做 点分十进制记法(dotted decimal notation)。下图 7-8 表示了这种方法,这就是一个 B 类 IP 地址。
② 当一个主机同时连接到两个网络上时,该主机就必须同时具有两个相应的 IP 地址,其网络号 net-id 就是不同的。这种主机称为 多归宿主机(multihomed host),或 多接口主机。
③ 按照因特网的观点,用 转发器、网桥或传统交换机连接起来的若干个局域网仍为一个网络,因此这些局域网都 具有同样的网络号 net-id。
④
在 IP 地址中,所有分配到网络号 net-id 的网络都就是平等的。
⑤ 及 互联网中设备及 IP 地址:路由器连接的就是 IP 子网,因此,它总会具有两个或两个以上的 IP 地址,这些 IP 地址通常具有不同的网络编号或子网编号。图 7-9 画出了 3 个局域网(LAN1, LAN2 与 LAN3)通过 3 个路由器(R1, R2 与 R3)互连起来所构成的一个互联网(此互联网用虚线圆角方框表示)。
应当注意到下述问题: 在同一个局域网上的的 主机或路由器的 IP 地址中的 网络号必须就是一样的。
用 网桥(它只在链路层工作)互连的网段仍然就是一个局域网, 只能有一个网络号。
路由器总就是的 具有两个或两个以上的 IP 地址。
当两个路由器直接相连时,在连线两端的接口处,可以指明也可以不指明 IP 地址。
6.2.3 特殊 IP 地址形式
殊 常用的特殊 IP 地址如下: 直接广播地址 受限广播地址 “这个网的这个主机”地址 “这个网络上的特定主机”地址 回送地址 1.直接广播地址(Directed Brordcasting)将主机号各位全为“1”的 IP 地址称为直接广播地址。
该地址主要用于广播,在使用时,用来 代表该网络上所有的主机,例如,202、112、144 就是一个 C 类的网络标识,该网络的广播地址就就是 202、112、144、255;当该网络中的某台主机需要发送广播时,就可以使用这个地址向该网络上的所有主机发送报文。
直接广播地址及其应用如下: A 类、B 类与 C 类 IP 地址中 主机号全 1 的地址为直接广播地址; 用来使 路由器将一个 分组以广播方式发送给特定网络上的所有主机; 只能作为分组中的 目的地址; 物理网络采用的就是点-点传输方式, 分组广播需要通过软件来实现。
图 6-5 路由器使用直接广播地址 2.有限广播地址(Limiting Brordcasting)TCP/IP 协议规定,32 比特位全为“1”的 IP 地址(255、255、255、255)为“有限广播地址”,这个地址主要用来 进行本网广播。当需要在本网内广播,又不知道本网的网络号时,即可使用“有限(受限)广播地址”。
有限广播地址及其应用如下: 网络号与主机号的 32 位全为 1 的地址为受限广播地址; 某主机可以用来将一个分组以 广播方式发送给本网的所有主机; 分组将被本网的所有主机将接受该分组, 路由器则阻挡该分组通过。
图 6-5 主机使用受限广播地址 3.本网地址与这个“网络上的特定主机” 地址 这两个地址都只局限于发送主机所在的网络:(1 1)
本网地址 将 IP 地址中主机地址位全为“0”的 IP 地址叫做 本网地址。这个地址 用来表示“本主机” 所连接的网络”。例如,用“128、16、0、0”表示“128、16”这个 B 类网络;用“202、112、144、0”表示“202、112、144”这个 C 类网络。本网地址又被称为“0”地址。
(2 2)
这个“网络上的特定主机” 地址 上述地址的应用如下: 当主机或路由器向本网络上的某个特定的 主机发送分组; 网络号部分为全 0,主机号为确定的值;如,在 201、1、16、0 这个 C 类网络上,IP 地址为
201、1、16、2 的主机,要发送信息给 25 号主机,即可使用 0、0、0、25 表示,拟发送给本地网络中主机号为 25 的主机,参见图 6-7。
这样的分组被限制在本网络内部。
图 6-7 某网络上特定主机地址 4.回送地址 IP 地址中以 127 开始的 IP 地址作为保留地址,被称为“回送地址”。
回送地址用于网络软件的测试,以及本地进程的通信。顾名思义,任何程序一旦 接到使用了回送地址为目的地址,则 该程序将不再转发数据, 而就是将其立即回送给源地址。例如,使用“ping 127、0、0、1”可以通过 ping 软件测试本地网卡进程之间的通信。
① 回送地址就是用于网络软件测试与本地进程间通信;② TCP/IP 协议规定: 含网络号为 127 的分组不能出现在任何网络上; 主机与路由器 不能为该地址广播任何寻址信息。
图 6-8
进程间回送地址的应用
补充节:IP 地址与硬件地址 图 7-10 说明了 主机的 IP 地址与硬件地址的区别。从层次的角度瞧, 物理地址就是 数据链路层与物理层使用的地址,而 IP 地址就是 网络层与以上各层使用的地址。
如图 7-10 所示:IP 地址放在 IP 数据报的首部,而 硬件地址则放在 MAC 帧的首部。在网络层及以上使用的就是 IP 地址,而数据链路层及以下使用的就是硬件地址。
因而在数据链路层的 瞧不见数据报的 IP 地址。从不同层次瞧 IP 地址与硬件地址,参见图 7-11。图 7-11(a)画的就是三个局域网用两个路由器 R1 与 R2 互连起来。
图 7-11(b)特别强调了 IP 地址与硬件地址的区别。表 7-2 归纳了这种区别。
表 表 7-2 图 图 7-11(b)中不同层次、不同区间的源地址与目的地址
入 在网络层写入 IP 数据报首部的 入 在数据链路层写入 MAC 帧首部的源地址 目的地址 源地址 目的地址 从 从H 1 到 到R 1
IP 1
IP 2
HA 1
HA 3
从 从R 1 到 到R 2
IP 1
IP 2
HA 4
HA 5
从 从R 2 到 到H 2
IP 1
IP 2
HA 6
HA 2、3 子网与超网的基本概念 6、4、1
为什么要研究子网与超网 1.子 子 网 的概念 基于人们对网络性能、安全与管理方面的考虑,人们常常把一个较大的网络分成多个较小的物理网络,并通过路由器或第三层交换机将多个子网连接起来。每个小的网络使用不同的网络编号,这样的小网络被称为“子网”。
2.划分子网的原因 划分子网的原因有许多个,主要有以下几个: ① 的 充分利用现有的 IP 地址资源:通过划分子网可以高 提高 IP 地址的有效利用率。例如,128、1、0、0 就是一个 B 类网络,它允许的主机(即主机地址数量)个数为 2 16-2,其地址空间大。为了有效地利用其 IP 地址资源,管理员可以通过子网划分的技术将上述的可用地址分配给多个小网络使用。
② 减轻网络的拥挤, 提高网络性能问题:这就是由于在使用集线器与交换机的网络中,随着网络节点数目的增加,网络将变得十分拥挤。大量的网络数据与广播信息在网络上传输,导致网络的性能与效率下降。如果将大的网络划分为小的子网,并使用路由器连接各个子网的话,路由器在各个子网间转发信息包时会自动丢弃广播信息,从而改善了网络性能。
③ 路由器的工作效率问题: 某个网络分配的 IP 地址越多,路 路 由器的工作效率就越低,这就是因为路由器在执行路选算法时,主机数越多,则路由表就越大,路由表信息过多就会引起选路时计算时间过长。
④ 提高安全性利于网管:当一个网络划分为多个子网时,就减少了每个网络的管理对象,因此有利于网络管理员对网络用户、资源与计算机的管理;另外,由于子网的划分缩小了广播的范围,因而提高了网络的安全性。
⑤ 混合不同的网络技术:例如:连接以太网、FDDI 与 ATM 网络。
在实际应用中,经常遇到网络地址不够的问题。例如,仅申请到一个可以在 Internet 上使用的 IP 地址,而需要划分的内部子网数目为多个。这种情况下,就需要把某种类型的网络划分成多个子网。其思路就就是将“原来”(申请到的)主机编号部分的一些二进制位贡献出来,用于内部网络的编号。由于从 Internet 到此网络的路径都就是一样的(即申请到的 IP 地址的网络地址部分不变),因此,外界到此网络中各子网的路由都就是一样的。这种情况下,外部路由将所有子网瞧成一个网络,而内部的路由器可以区分出不同子网。下面通过一个实例来说明划分子网的步骤。
3.子网与超网的概念 实现子网与超网 主要就是为了解决:IP 地址的有效利用率问题与路由器工作效率问题。
子网(subnet)将一个大的网络划分成几个较小的网络,而每一个网络都有其自己的子网地址。它就是多网络环境中的一个网络。将一个网络分解成多个子网时,要求每个子网使用不同的子网编号。
将一个 IP 网络划分为更小的逻辑子网。子网间用网关或路由器相连。这种技术通常就是将 IP 地址的主机 ID 部分生成子网地址来实现。子网划分的优点:
减少网络交通 揉合不同网络技术 简化管理,易于排错
补充图 6-10(a)
用路由器实现多个局域网(IP 子网)的连接 超网(supernet)将一个组织所属的几个 C 类网络合并成为一个更大地址范围的逻辑网络。、3、2-1 子网掩码与默认网关 为什么需要网络编号?在两台计算机之间进行通讯时,一般用户可能认为只要知道了对方的 IP 地址就可以进行通信了,但就是,实际上在这两台计算机之间存在的通信路径可能有很多条。因此通信时,两边的计算机首先需要判断彼此就是否在同一个网络上,如果就是在同一网络上,就直接进行通信;否则,就转发到本网的出口,由该出口负责处理发送到目的网络上。完成这个任务的就就是子网掩码。
1.子网掩码(subnet masks)的 的 概念、功能与使用((1))
什么就是 子网掩码? ? 子网掩码就是由前面连续的“1”与后面连续的“0”组成的 32 位二进制地址,在 TCP/IP网络中,每一台主机都要求使用子网掩码。
子网掩码与 IP 地址一样也就是一个 32 位的二进制比特值,用它可以屏蔽一部分 IP 地址,以便区分出 IP 地址中的网络编号与主机编号。当使用 TCP/IP 通信时,子网掩码主要用来确定目的主机就是位于本地子网还就是远程网,它的两大功能如下: 子网掩码用来屏蔽掉 IP 地址中的一部分, 用于区分 IP 地址中的网络地址与主机编号。并因此用来说明主机的 IP 地址就是在局域网上还就是在远程网络上。
用于划分子网:子网掩码的另一个重要功能就是划分子网,即将一个大的网络分为多个小的子网。
((2))
默认的子网掩码 默认的子网掩码用于没有划分子网的 TCP/IP 网络。不同类型的网络使用的默认的子网掩码就是不同的,表 6-5 给出了各类网络所默认的子网掩码。
表 表 6-5
各类网络默认的子网掩码 网络类别 子网掩码(以二进制位表示)子网掩码(以十进制表示)A 11111111、00000000、00000000、、0、0、0 B 11111111、11111111、00000000、、255、0、0 C 11111111、11111111、11111111、、255、255、0
((3))
子网掩码的使用 TCP/IP 协议进行初始化时,主机 IP 地址会与子网掩码进行“与操作”。即在传输数据包之前,源主机 IP与目的主机 IP 都要与主机的子网掩码进行与操作。如果这两个结果相同,则 TCP/IP 协议判断出目的主机与源主机在同一个局域网上,可以直接传递;否则,判断出目的主机不在本地局域网上,因此,将待发送的数据包转发到默认网关 IP 地址处,以便进一步转发到远程网络上。
子网掩码的应用 实例:参照图8-3,对在Internet上使用的系统进行通信时的分析。
解: ① 用 IP 地址的第一段数值 W 判断网络类型。在本例中,W 的值分别等于 132、132 与 152。因此,由表 8-4 可知这三个计算机所在的网络均为 B 类网。
② 通过默认的子网掩码 255、255、0、0 求网络地址的步骤如下,结果见表 8-6。
将 IP 地址转化为 32 位二进制位。
将子网掩码也转化为 32 位二进制位。
将 3 个二进制表示的 IP 地址分别与二进制表示的子网掩码,按位进行“逻辑与(AND)”操作。按此方法依次求得数值之后,再按原有的 4 段分别转换为十进制数。
求取网络内的主机编号(HOST ID,即主机标识)。
说明: :其中子网掩码为“1”的各位所对应的 IP 地址中的各位,即为网络地址,也称网络标识或网络 ID,运算结果见表 8-6。
A 计算机的IP132.112.000.001L 计算机的内部路由器C 计算机的IP132.112.000.003X 计算机的IP152.112.000.001Z 计算机的IP152.112.000.003B 计算机的IP132.112.000.002自动化系子网信息系子网Y 计算机的IP152.112.000.002Internet外部网络外部路由器IP ROUTER200.4.192.12 图 8-4
TCP/IP 网络之间使用默认网关(IP ROUTER)通信 表 表 8-6
IP 地址划分实例分析计算结果 网络类别 计算机名称 称 逻辑与的结果 果 网络地址 址 计算机编号部分 分 主机编号 号 B A 132、112、0、0 132、112 000、001 1 B B 132、112、0、0 132、112 000、002 2 B C 152、112、0、152、112 000、001 1
0 在 IP 地址中扣除网络地址外的其余部分就就是主机编号部分。由于就是默认的 B 类网络,其 IP 地址在扣除了网络地址后,剩余的 2 个字段表示该主机在其子网内的编号部分。经简化得到 3 个主机编号分别为:1、2 与 1,参见表 8-6。
③ 用“网络地址”即可判断这几个主机就是否位于同一个子网。
由于 A 与 B 主机的网络地址均为“132、112”,因此这两台主机在同一子网上;而 X 主机的网络地址为“152、112”,所以该主机在另一个子网上。
当 A 主机与 B 主机进行通信时,就可以直接进行通信。而当 A 主机与 X 主机进行通信时,由于不在同一个网络,因此需要通过网络中 L 主机所代表的内部路由器(或内部网关)转发数据。如果这些子网中的主机需要与外部网络进行通信,则还需要通过外部路由器转发数据。
2.默认网关或 IP 路由(default gateway 或 IP router)默认网关又称 IP 路由。简单地说,默认网关就就是通向远程网络接口的 IP 地址。在子网之间进行通讯时,主机可以使用默认网关将数据发送给目的主机。由于默认网关就就是发送给远程网络(目的主机)信息包的地方,因此,如果在配置 TCP/IP 时没有指明默认网关,则通讯仅局限于本地网络。
路由器可以就是专门购置的硬件设备,也可以就是加装了软件的专用路由计算机。同一个网络段(包含子网段)的计算机之间可以直接通信;不同网络段中的计算机通信时,则需要通过网关或者路由器。其中,内部子网的通信通过内部网关或内部路由器;外部网络之间的计算机通信时一般通过外部路由器(或外部网关)。由此可见,当内部子网与外部网络之间的主机通信时,需要设置外部路由器(或网关)。、3、2-2 子网地址 空间的划分方法 1.子网与 IP 地址的三级层次结构 思想:将原来主机地址的部分位转化为子网地址位,即将原来IP地址的两层结构(网络地址+主机地址)转化为 3 层结构,参见图 6-10 及其补充图。
三级层次结构的特点如下: 三级层次的 IP 地址就是: 网络号、子网号、主机号; 第一级 网络号定义了 网点的位置; 第二级 子网号定义了 物理子网; 第三级 主机号定义了 主机与路由器到物理网络的连接; 三级层次的IP 地址, 一个IP 分组的路由选择的过程为三步: 第一步转发给网点, 第二步转发给物理子网, 第三步转发给主机。
图 6-9
未划分子网的网络结构
图 6-10
划分 3 个子网后的网络结构
图 6-11个层次的 IP 地址结构 2.划分子网的规则: 规则:由于原有主机编号的位数就是固定的,因此建立的子网数目越多,需要的位数就越多;而每个子网中所能容纳的主机数目就越少。因此,需要综合考虑子网与子网中主机的个数。
地址类别
↓ LB 网络地址 可用位 原 主机地址位 位 网络地址 子网地址 子网 主机地址 图 6-11
TCP/IP 网络中 IP 地址划分前后的结构 3.划分子网的 计算公式(1 1)
照 按照 RFC950 标准 划分子网的计算公式 C 类地址:N max =2 m-2 与 H max =2(8-m)-2 B 类地址:N max =2 m-2 与 H max =2(16-m)-2 A 类地址:N max =2 m-2 与 H max =2(24-m)-2 其中: m:为原主机编号部分转化为子网地址部分的位数。
N max :为转化后允许划分的最大子网数目,其值应当大于或等于实际需要的子网数 n。
H max :为转化后每子网所允许的最大主机数目,其值应当大于或等于子网实际需要的主机数 h。
(2 2)
照 不按照 RFC950 标准 划分子网的计算公式 C 类地址:N max =2 m 与 H max =2(8-m)-2 B 类地址:N max =2 m 与 H max =2(16-m)-2 A 类地址:N max =2 m 与 H max =2(24-m)-2 说明:假定原来的网络使用 C 类地址,当 m=3 时,按照 RFC950 标准规定,子网“000 00000”与“111 00000” 为无效子网。它们分别表示,子网号各位全为“0”的代表本网络;而子网号各位全为“1”表示的就是本子网的广播地址。但就是,在实际应用中,如果不按上述标准时,也可以被使用。
(3 3)的 划分子网的 6 个步骤 ① 确定需求:即确定所需的子网数目与子网中主机的数目。
确定所需子网数:N。
确定子网中所需最大 IP 数目(通常就是主机数目):H。
综合上述两个因素,确定子网掩码中,原主机编码位转化为子网地址的位数。
② 确定子网掩码(含子网号部分)③ 分配子网 ID 与子网 IP(各主机标识位全为 0)④ 分配有效 IP 地址:确定各子网的 IP 地址的范围。
⑤ 确定各子网的广播地址。
⑥ 决定划分方案:确定各子网之间通信时的连接设备与网络结构示意图。、3、2-3 子网划分的应用 实例
1.实例 1 两个 TCP/IP 网络之间可以通过内部或外部的 IP 路由器或默认网关进行连接。IP 路由器或 IP 网关的应用实例如下: ① 假定:图 8-4 所示的信息系与自动化系的内部子网掩码均为“255、255、0、0”。
② 问题:如果信息系网络上的某计算机要与自动化系网络上的计算机通信时,如何通过默认网关完成通信过程,参见图 8-4。
③ 解题分析如下: 子例 例1: 在图8-4中,若计算机A要给计算机B 发送信息,由于计算机A的IP地址就是132、112、000、001,计算机 B 的 IP 地址就是 132、112、000、002,所以这两台计算机的网络地址都就是“132、112”,由此可知计算机 A 与计算机 B 在同一个网络之内,于就是计算机 A 就将信息直接传递给计算机 B,没有经过内部的默认 IP 网关(或 IP 路由器)计算机 L。
子例 例 2:在图 8-4 中,若计算机 A 要给计算机 X 发送信息,由于计算机 A 的 IP 地址就是 132、112、000、001,计算机 X 的 IP 地址就是 152、112、000、001,通过其子网掩码求得这两台计算机的网络地址。其中,A 为“132、112”,而 X 为“152、112”。由此可知,计算机A 与计算机 X 不在同一个网络之内。因此,计算机 A 必须先将信息传递给内部的默认网关(或 IP 路由器)计算机 L 上,然后再由计算机 L 将信息传递给计算机 X。
子例 例 3:在图 8-4 中,若计算机 A 需要发送信息给 Internet 中的某主机“200、4、192、12”。由于,通过子网掩码求出的计算机A的IP地址的网络地址与对方主机的不同,A主机的为“132、112”,而目标主机的为“200、4、192”。因此,计算机 A 与该主机不在同一个网络之内。为此,计算机 A 必须先将信息传递给默认的内部网关(或 IP 路由器)计算机 L上,并由计算机 L 决定就是将信息传递给另一子网还就是传送给专用的外部路由器。
最终,计算机 L 将该信息通过外部路由器发送到外部网络的主机上。
在图 8-4 所示的例子中,只通过一个默认内部网关(或 IP 路由器)与一个外部路由器来传递内部子网间,以及与外部网络间的信息,而实际中,由于网络结构比较复杂,因此,可能需要多个默认的内部网关(或 IP 路由器)与多个外部路由器来传递信息。
2.实例 2((1))
问题 现有一个公司需要创建内部 Intranet 网络,该公司包括工程技术部、市场部、财务部与人力资源等四大部门。该公司原来使用申请到的 C 类网络地址为 202、112、161、0,组成了一个网络地址相同的大网络。目前,由于该网络的广播数据过多,造成网络系统运行缓慢。
((2))
改变网络性能的设计要求 ① 采用划分子网的方法使得几个部门各自独立,提高各个部门的性能与安全性。
② 在 4 个部门中,最大的计算机数目为 30 台。每个部门中有 1 台服务器要求 100Mb/s 固定带宽,其它计算机要求 10Mb/s 的固定带宽。
③ 确定各部门使用的子网 IP 地址与子网掩码。
④ 写出可以分配给每个部门子网的主机 IP 地址范围。
⑤ 若采用交换式以太网,即每个子网都使用一个交换式以太网,请画出网络系统的结构图,并说明各主要设备的名称。
((3))
设计方案简答 ① 4 个部门不按 RFC950 标准,即使用子网号各位“全为 1”与“全为 0”的地址时,求出最大子网数目、每个子网的最大主机数目、子网掩码如下: 按 C 类地址公式:N max =2 m 与 H max =2(8-m)-2,求出 m=2 即 N max =2 m =2 2 =4=n=4;H max =2(8-m)-2=2(8-2)-2=62 不按 RFC950 标准时,由于 m=2,所以子网掩码为 255、255、255、192。
各子网的地址与 IP 地址范围参见下表: 子网 编号 子网地址 子网广播地址的 子网主机的 IP 地址 初值 的 子网主机的 IP 地址 终值 值 1 202、112、161、0 202、112、161、63 202、112、161、1 202、112、161、62 2 202、112、161、64 202、112、61、127 202、112、161、65 202、112、161、126 3 202、112、161、128 202、112、61、191 202、112、61、129 202、112、161、190 4 202、112、161、192 202、112、161、255 202、112、161、193 202、112、161、254 ② 4 个部门按照 RFC950 标准,即不使用子网号各位“全为 1”与“全为 0”的地址时,求出最大子网数目、每个子网的最大主机数目、子网掩码如下: 按 C 类地址公式:N max =2 m-2 与 H max =2(8-m)-2,求出 m=3 即 N max =2 m-2=2 3-2=6 > n=4;H max =2(8-m)-2=2(8-3)-2=30 按照 RFC950 标准时,由于 m=3,所以子网掩码为 255、255、255、224。
各子网的地址与 IP 地址范围参见下表: ③ 网络结构如图8-6所示的第一级交换机应当选择支持第三层功能的100Mb/s企业级交换机;当然,也可以使用局域网路由器连接各子网的部门交换机。
④ 每个部门网络系统结构如图 8-6 所示。每个子网的主要设备为:一台 10/100 自适应部门交换机;部门的服务器使用 100Mb/s 的 RJ-45 接口网卡;其她计算机使用 10Mb/s 的 RJ-45 接
口网卡;5 类 UTP 双绞线;RJ-45 连接器若干。
子网 编号 子网地址 子网广播地址的 子网主机的 IP 地 地址 址 初值 的 子网主机的 IP 地 地址 址 终值 值 1 202、112、161、32 202、112、161、63 202、112、161、33 202、112、161、62 2 202、112、161、64 202、112、161、95 202、112、161、65 202、112、161、94 3 202、112、161、96 202、112、161、127 202、112、161、97 202、112、161、126 4 202、112、161、128 202、112、161、159 202、112、161、129 202、112、161、158 5 202、112、161、160 202、112、161、191 202、112、161、161 202、112、161、190 6 202、112、161、192 202、112、161、223 202、112、161、193 202、112、161、222
图 8-6
公司网络与部门子网的结构示意图 说明:第一,也可以将图 8-6 所示系统中的第三层交换机替换为路由器。第二,设置说明:每一个子网中的主机都应当设置主机 IP、子网掩码(各子网相同)与默认网关(所连接的路由器或第三层交换机端口设置的 IP)。
点击咨询 