史萊姆論壇 - 查看單個文章

psac · 2006-01-12, 09:35 AM

子網路遮罩及其套用

在TCP/IP傳輸協定中，SUBNET MASKS（子網路遮罩）的作用是用來區分網路上的主機是否在同一網路取段內。在大型網路中，CLASS A的SUBNET MASKS為255.0.0.0， CLASS B的SUBNET MASKS為255.255.0.0，CLASS C的SUBNET MASKS為255.255.255.0。

　　假如某台主機的SUBNET MASKS為IP位址為202.119.115.78，它的SUBNET MASKS為255.255.255.0。將這兩個資料作AND運算後，所得出的值中的非0的BYTE部分即為NETWORK ID 。運算步驟如下：

　　202.119.115.78的二進制值為：
　　11001010.01110111.01110011.01001110
　　255.255.255.0的二進制值為:
　　11111111.11111111.11111111.00000000
　　AND後的結果為：　
　　11001010.01110111.01110011.00000000
　　轉為二進制後即為：
　　202.119.115.0

　　它就是NETWORK ID，在IP位址中剩下的即為HOST ID，即為78，這樣當有另一台主機　的IP 位址為202.119.115.83，它的SUBNET MASKS也是255.255.255.0，則其NETWORK ID 　為202.119.115，HOST ID為83，因為這兩台主機的NETWORK ID都是202.119.115，因此，這兩台主機在同一網段內。

　　但是，在實際套用中，可能會有多個分佈與各地的網路，而且，每個網路的主機數量並不很多，如果申請多個NETWORK ID，會造成IP資源的浪費，而且很不經濟，如果我們在SUBNET MASKS上動一下手腳，可以在只申請一個NETWORK ID的基礎上解決這個問題。

　　比如，我們有三個不同的子網，每個網路的HOST數量各為20、25和50，下面依次稱為甲、乙和丙網，但只申請了一個NETWORK ID 就是202.119.115。首先我們把甲和乙網的SUBNET MASKS改為255.255.255.224，224的二進制為11100000，即它的SUBNET MASKS為：

　　11111111.11111111.11111111.11100000

　　這樣，我們把HOST ID的高三位用來分割子網，這三位共有000、001、010、011、100、 101、110、111八種組合，除去000（代表本身）和111（代表廣播），還有六個組合，也就是可提供六個子網，它們的IP位址分別為：（前三個字元還是202.119.115）

　　00100001~00111110 即33~62為第一個子網
　　01000001~01011110 即65~94為第二個子網
　　01100001~01111110 即97~126為第三個子網　
　　10000001~10011110 即129~158為第四個子網　
　　10100001~10111110 即161~190為第五個子網　
　　11000001~11011110 即193~222為第六個子網
　　選用161~190段給甲網，193~222段給乙網，因為各個子網都支持30台主機，足以應付甲網和乙網20台和25台的需求。

　　再來看丙網，由於丙網有50台主機，按上述分割方法無法滿足它的IP需求，我們可以將它的SUBNET MASKS設為255.255.255.192，由於192的二進制值為11000000，按上述方法，它可以劃分為兩個子網，IP位址為：

　　01000001~01111110 即65~126為第一個子網　
　　10000001~10111110 即129~190為第二個子網

　　這樣每個子網有62個IP可用，將65~126分配丙網，多個子網用一個NETWORK ID 即告實現。

　　如果將子網路遮罩設定過大，也就是說子網範圍擴大。那麼根據子網尋徑規則，很可能發往和本機機不在同一子網內的目的機的資料，會因為錯誤的相與結果而認為是在同一子網內，那麼，資料包將在本子網內循環，直到超時並拋棄。資料不能正確到達目的機，導致網路傳輸錯誤。如果將子網路遮罩設定得過小，那麼就會將本來屬於同一子網內的機器之間的通信當做是跨子網傳輸，資料包都交給預設網路閘道處理，這樣勢必增加預設網路閘道的負擔，造成網路效率下降。因此，任意設定子網路遮罩是不對的，應該根據網路管理部門的規定進行設定。

　　隨著IP位址資源的日趨枯竭，可供分配的IP位址越來越少，往往一個擁有幾百台電腦規模的網路只能得到區區幾個IP位址，於是，許多人開始採用其他技術來增強IP空間。

　　1.子網路遮罩設定

　　如果你所分配的IP位址僅能滿足對主機的需求，但遠不能滿足你欲在局域網中再建若干子網的需要，設定子網路遮罩就是你不得不採取的措施了。

　　子網路遮罩同樣也以四個字元來表示，用來區分IP位址的網路號和主機號，預設子網路遮罩如下表所顯示：

　　子網路遮罩(以十進製表示)
　　A類 255．0．0．0
　　B類 255．255．0．0
　　C類 255．255．255．0

　　當IP位址與子網路遮罩相與時，非零部分即被驗證為網路號。

　　假如我們將子網路遮罩中第四字元最高位起的某些位由0修改成1，使本來應當屬於主機號的部分改變成為網路號，這樣就實現了我們劃分子網的目的。例如你得到了一個C類網路位址198.189.98，按一般，你所有的設備從198.189.98.0到198.189.98.254都將處於同一網路之中，但如果你需要將自己的網路劃分成5個子網以便管理，那就必須修改子網路遮罩255.255.255.0，將此掩碼的第四個字元中的前三位再拿出來充當子網路遮罩，即將第四字元的00000000 修改成11100000(十進制數為224)，故應當將子網路遮罩設定為255.255.255.224。這樣我們有001、010、011、100、101、110六種方式與之相與得到不同的網路號(除去000和111作為保留位址不能使用)，各子網的前三個字元仍然是198.189.98。可以知道：如子網路遮罩的位數越多，能劃分的子網數也就越多，但是每個子網的主機數就會越少。子網路遮罩的劃分設定也有一個缺點：劃分的子網越多，損失的IP位址也會越多。因為每個子網都會保留全0或全1的兩個位址而不能使用。

　　2.動態IP位址設定

　　DHCP(DynamicHostConfigurationProtocol)動態主機組態傳輸協定是一種多個工作站共享IP位址的方法。當我們分配到的IP位址數目遠小於一個網路工作站的數目時，如果為每個設備都分配一個固定的IP位址，則顯然有一部分計算機將不能連入網路。DHCP為我們提供了一個較好的解決方法，其前提條件是其中每一個設備都不是隨時都需要連接入網，並且同一時刻上網的設備不會很多。動態IP位址，顧名思義就是每一個設備所取得的IP位址是非固定的，即電腦連入網路時自動申請取得一個合法的IP位址，中斷連線網路時自動歸還，以便其他電腦使用。這樣，我們可以用較少的IP位址構建較大的網路，也可以增加網路工作站的可移性，如果一台主機從一個子網移動到另一個子網時，由於網路號的不同將修改該電腦的IP位址，否則無法與其他主機通信，而如果我們採用動態IP位址，就會減少網路管理的複雜性。現在DHCP已非常流行，所支持的軟體很多，且可以執行於不同機器和平台。目前撥號上Internet的用戶就基本上採用這種方法。

　　3.非路由位址

　　在IP位址範圍內，IANA(InternetAssignedNumbersAuthority)將一部分位址保留作為私人IP位址空間，專門用於內部區域網路使用，這些位址如下表：
　　類 IP位址範圍　　　　　　　　　　　　網路數
　　A 10.0.0.0---10.255.255.255 　　　　1
　　B 172.16.0.0---172.31.255.255 　　　16
　　C 192.168.0.0---192.168.255.255 　　255

　　這些位址是不會被Internet分配的，因此它們在Internet上也從來不會被路由，雖然它們不能直接和Internet網連接，但仍舊可以被用來和Internet通訊，我們可以根據需要來選用適當的位址類，在內部區域網路中大膽地將這些位址當作公用IP位址一樣地使用。在Internet上，那些不需要與Internet通訊的設備，如列印機、可管理集線器等也可以使用這些位址，以節省IP位址資源。

　　4.代理伺服器

　　代理伺服器其實是Internet上的一台主機設備，它有一個固定的IP位址，當你需要上Internet時，就向該伺服器提出請求，代理伺服器接受請求並為你建立連接，然後將你所需要的服務返回訊息通知你，所有的資料訊息和通訊處理都是通過代理伺服器的IP位址來完成。這種情況下，我們區域網路內部的主機就應使用非路由位址，這樣，即能保證內部主機之間的通訊，又能拒絕外來網路的直接訪問請求。

　　代理伺服器具有以下兩個優點：一是如果你請求的資料已被同一網段上的其他人請求過了，那麼大多數代理伺服器都能從快取中使用這些資料直接傳給你，避免重新連接的時間和帶寬；二是代理伺服器可以保護你的內部網路不受入侵，也可以設定對某些主機的訪問能力進行必要限制，這實際上起著代理防火牆的作用。

　　支持代理伺服器的軟體也非常多，WinGate、MsProxy等都是非常流行的代理伺服器軟體。在中國，代理伺服器的使用也越來越廣泛，中國公眾多媒體通訊網(169)其實就是一個巨大的使用代理伺服器的例子。

　　5.位址翻譯

　　所謂位址翻譯實際上是路由器中的一個資料包處理程序。當資料包通過路由器時，位址翻譯程序將其中的內部私有IP位址解析出來，將其翻譯為一個合法的IP位址。位址翻譯程序可以按預先定義好的位址表一一映射翻譯，也可以將多個內部私有位址翻譯為一個外部合法IP位址。由於網路內每個設備都有一個內部穩定的IP位址，所以這種方法具有較強的網路安全控制效能。

2006-01-12, 09:35 AM	#7 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	子網路遮罩及其套用在TCP/IP傳輸協定中，SUBNET MASKS（子網路遮罩）的作用是用來區分網路上的主機是否在同一網路取段內。在大型網路中，CLASS A的SUBNET MASKS為255.0.0.0， CLASS B的SUBNET MASKS為255.255.0.0，CLASS C的SUBNET MASKS為255.255.255.0。　　假如某台主機的SUBNET MASKS為IP位址為202.119.115.78，它的SUBNET MASKS為255.255.255.0。將這兩個資料作AND運算後，所得出的值中的非0的BYTE部分即為NETWORK ID 。運算步驟如下：　　202.119.115.78的二進制值為：　　11001010.01110111.01110011.01001110 　　255.255.255.0的二進制值為: 　　11111111.11111111.11111111.00000000 　　AND後的結果為：　　　11001010.01110111.01110011.00000000 　　轉為二進制後即為：　　202.119.115.0 　　它就是NETWORK ID，在IP位址中剩下的即為HOST ID，即為78，這樣當有另一台主機　的IP 位址為202.119.115.83，它的SUBNET MASKS也是255.255.255.0，則其NETWORK ID 　為202.119.115，HOST ID為83，因為這兩台主機的NETWORK ID都是202.119.115，因此，這兩台主機在同一網段內。　　但是，在實際套用中，可能會有多個分佈與各地的網路，而且，每個網路的主機數量並不很多，如果申請多個NETWORK ID，會造成IP資源的浪費，而且很不經濟，如果我們在SUBNET MASKS上動一下手腳，可以在只申請一個NETWORK ID的基礎上解決這個問題。　　比如，我們有三個不同的子網，每個網路的HOST數量各為20、25和50，下面依次稱為甲、乙和丙網，但只申請了一個NETWORK ID 就是202.119.115。首先我們把甲和乙網的SUBNET MASKS改為255.255.255.224，224的二進制為11100000，即它的SUBNET MASKS為：　　11111111.11111111.11111111.11100000 　　這樣，我們把HOST ID的高三位用來分割子網，這三位共有000、001、010、011、100、 101、110、111八種組合，除去000（代表本身）和111（代表廣播），還有六個組合，也就是可提供六個子網，它們的IP位址分別為：（前三個字元還是202.119.115）　　00100001~00111110 即33~62為第一個子網　　01000001~01011110 即65~94為第二個子網　　01100001~01111110 即97~126為第三個子網　　　10000001~10011110 即129~158為第四個子網　　　10100001~10111110 即161~190為第五個子網　　　11000001~11011110 即193~222為第六個子網　　選用161~190段給甲網，193~222段給乙網，因為各個子網都支持30台主機，足以應付甲網和乙網20台和25台的需求。　　再來看丙網，由於丙網有50台主機，按上述分割方法無法滿足它的IP需求，我們可以將它的SUBNET MASKS設為255.255.255.192，由於192的二進制值為11000000，按上述方法，它可以劃分為兩個子網，IP位址為：　　01000001~01111110 即65~126為第一個子網　　　10000001~10111110 即129~190為第二個子網　　這樣每個子網有62個IP可用，將65~126分配丙網，多個子網用一個NETWORK ID 即告實現。　　如果將子網路遮罩設定過大，也就是說子網範圍擴大。那麼根據子網尋徑規則，很可能發往和本機機不在同一子網內的目的機的資料，會因為錯誤的相與結果而認為是在同一子網內，那麼，資料包將在本子網內循環，直到超時並拋棄。資料不能正確到達目的機，導致網路傳輸錯誤。如果將子網路遮罩設定得過小，那麼就會將本來屬於同一子網內的機器之間的通信當做是跨子網傳輸，資料包都交給預設網路閘道處理，這樣勢必增加預設網路閘道的負擔，造成網路效率下降。因此，任意設定子網路遮罩是不對的，應該根據網路管理部門的規定進行設定。　　隨著IP位址資源的日趨枯竭，可供分配的IP位址越來越少，往往一個擁有幾百台電腦規模的網路只能得到區區幾個IP位址，於是，許多人開始採用其他技術來增強IP空間。　　1.子網路遮罩設定　　如果你所分配的IP位址僅能滿足對主機的需求，但遠不能滿足你欲在局域網中再建若干子網的需要，設定子網路遮罩就是你不得不採取的措施了。　　子網路遮罩同樣也以四個字元來表示，用來區分IP位址的網路號和主機號，預設子網路遮罩如下表所顯示：　　子網路遮罩(以十進製表示) 　　A類 255．0．0．0 　　B類 255．255．0．0 　　C類 255．255．255．0 　　當IP位址與子網路遮罩相與時，非零部分即被驗證為網路號。　　假如我們將子網路遮罩中第四字元最高位起的某些位由0修改成1，使本來應當屬於主機號的部分改變成為網路號，這樣就實現了我們劃分子網的目的。例如你得到了一個C類網路位址198.189.98，按一般，你所有的設備從198.189.98.0到198.189.98.254都將處於同一網路之中，但如果你需要將自己的網路劃分成5個子網以便管理，那就必須修改子網路遮罩255.255.255.0，將此掩碼的第四個字元中的前三位再拿出來充當子網路遮罩，即將第四字元的00000000 修改成11100000(十進制數為224)，故應當將子網路遮罩設定為255.255.255.224。這樣我們有001、010、011、100、101、110六種方式與之相與得到不同的網路號(除去000和111作為保留位址不能使用)，各子網的前三個字元仍然是198.189.98。可以知道：如子網路遮罩的位數越多，能劃分的子網數也就越多，但是每個子網的主機數就會越少。子網路遮罩的劃分設定也有一個缺點：劃分的子網越多，損失的IP位址也會越多。因為每個子網都會保留全0或全1的兩個位址而不能使用。　　2.動態IP位址設定　　DHCP(DynamicHostConfigurationProtocol)動態主機組態傳輸協定是一種多個工作站共享IP位址的方法。當我們分配到的IP位址數目遠小於一個網路工作站的數目時，如果為每個設備都分配一個固定的IP位址，則顯然有一部分計算機將不能連入網路。DHCP為我們提供了一個較好的解決方法，其前提條件是其中每一個設備都不是隨時都需要連接入網，並且同一時刻上網的設備不會很多。動態IP位址，顧名思義就是每一個設備所取得的IP位址是非固定的，即電腦連入網路時自動申請取得一個合法的IP位址，中斷連線網路時自動歸還，以便其他電腦使用。這樣，我們可以用較少的IP位址構建較大的網路，也可以增加網路工作站的可移性，如果一台主機從一個子網移動到另一個子網時，由於網路號的不同將修改該電腦的IP位址，否則無法與其他主機通信，而如果我們採用動態IP位址，就會減少網路管理的複雜性。現在DHCP已非常流行，所支持的軟體很多，且可以執行於不同機器和平台。目前撥號上Internet的用戶就基本上採用這種方法。　　3.非路由位址　　在IP位址範圍內，IANA(InternetAssignedNumbersAuthority)將一部分位址保留作為私人IP位址空間，專門用於內部區域網路使用，這些位址如下表：　　類 IP位址範圍　　　　　　　　　　　　網路數　　A 10.0.0.0---10.255.255.255 　　　　1 　　B 172.16.0.0---172.31.255.255 　　　16 　　C 192.168.0.0---192.168.255.255 　　255 　　這些位址是不會被Internet分配的，因此它們在Internet上也從來不會被路由，雖然它們不能直接和Internet網連接，但仍舊可以被用來和Internet通訊，我們可以根據需要來選用適當的位址類，在內部區域網路中大膽地將這些位址當作公用IP位址一樣地使用。在Internet上，那些不需要與Internet通訊的設備，如列印機、可管理集線器等也可以使用這些位址，以節省IP位址資源。　　4.代理伺服器　　代理伺服器其實是Internet上的一台主機設備，它有一個固定的IP位址，當你需要上Internet時，就向該伺服器提出請求，代理伺服器接受請求並為你建立連接，然後將你所需要的服務返回訊息通知你，所有的資料訊息和通訊處理都是通過代理伺服器的IP位址來完成。這種情況下，我們區域網路內部的主機就應使用非路由位址，這樣，即能保證內部主機之間的通訊，又能拒絕外來網路的直接訪問請求。　　代理伺服器具有以下兩個優點：一是如果你請求的資料已被同一網段上的其他人請求過了，那麼大多數代理伺服器都能從快取中使用這些資料直接傳給你，避免重新連接的時間和帶寬；二是代理伺服器可以保護你的內部網路不受入侵，也可以設定對某些主機的訪問能力進行必要限制，這實際上起著代理防火牆的作用。　　支持代理伺服器的軟體也非常多，WinGate、MsProxy等都是非常流行的代理伺服器軟體。在中國，代理伺服器的使用也越來越廣泛，中國公眾多媒體通訊網(169)其實就是一個巨大的使用代理伺服器的例子。　　5.位址翻譯　　所謂位址翻譯實際上是路由器中的一個資料包處理程序。當資料包通過路由器時，位址翻譯程序將其中的內部私有IP位址解析出來，將其翻譯為一個合法的IP位址。位址翻譯程序可以按預先定義好的位址表一一映射翻譯，也可以將多個內部私有位址翻譯為一個外部合法IP位址。由於網路內每個設備都有一個內部穩定的IP位址，所以這種方法具有較強的網路安全控制效能。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次