1單元二IP規(guī)劃2IP地址規(guī)劃與沖突管理2內(nèi)容簡介一、任務(wù)內(nèi)容二、背景知識三、步驟介紹四、任務(wù)小結(jié)3一、任務(wù)內(nèi)容任務(wù)名稱包含步驟能力目標(biāo)支撐知識訓(xùn)練內(nèi)容IP規(guī)劃與管理（重點）1.1子網(wǎng)劃分1.2IP綁定1.3IP轉(zhuǎn)換會IP分配會IP沖突管理會NAT應(yīng)用子網(wǎng)劃分地址綁定NAT技術(shù)1.分配IP地址；2.設(shè)置IP綁定；3.內(nèi)網(wǎng)用戶訪問外網(wǎng)。4二、背景知識1、IP劃分方法2、IP綁定目的與方法3、NAT技術(shù)配置51IP地址與子網(wǎng)掩碼1.1IP地址作用1.2子網(wǎng)掩碼6案例

園區(qū)網(wǎng)絡(luò)IP地址分配

7工作任務(wù)某學(xué)校建的新校區(qū)整個校園建設(shè)主要有教學(xué)樓，實驗樓，行政樓，學(xué)生公寓。其中教學(xué)樓大約有56個節(jié)點，行政樓大約共有節(jié)點400個，實驗樓節(jié)點數(shù)為500個，宿舍樓預(yù)計為800個?，F(xiàn)要求為整個校園網(wǎng)規(guī)劃IP地址。8IP地址分配

□確定內(nèi)部網(wǎng)IP地址的類型□規(guī)劃交換機(jī)各端口的IP地址□規(guī)劃服務(wù)器IP地址□規(guī)劃客戶機(jī)IP地址91.1IP地址1.IP地址的作用:IP地址用于標(biāo)識主機(jī)的地址，每臺主機(jī)必須有一個全球唯一的IP地址

2.IP地址的組成：32位二進(jìn)制

11000000．10101000．00000001．00000000

網(wǎng)絡(luò)號+主機(jī)號十進(jìn)制192．168．1．1

?10

表2—1IP地址的分類IP地址類型第一字節(jié)十進(jìn)制范圍二進(jìn)制固定最高位二進(jìn)制網(wǎng)絡(luò)位二進(jìn)制主機(jī)位

A類

0-12708位24位

B類128-1911016位16位

C類192-22311024位8位

D類224-2391110組播地址

E類240-2551111保留試驗使用Ip地址合理選擇根據(jù)網(wǎng)絡(luò)規(guī)模。11

特殊IP地址127.*.*.*回還地址

開機(jī)地址—54—54—54169.254.*.*私有地址121.2子網(wǎng)掩碼

子網(wǎng)掩碼的概念

子網(wǎng)掩碼是一個32位地址，用于屏蔽IP地址的一部分，以區(qū)別網(wǎng)絡(luò)標(biāo)識和主機(jī)標(biāo)識，并說明該IP地址是在局域網(wǎng)上，還是在遠(yuǎn)程網(wǎng)上。

子網(wǎng)掩碼的作用，就是將某個IP地址劃分成網(wǎng)絡(luò)地址和主機(jī)地址兩部分

13圖2—1IP地址與子網(wǎng)掩碼子網(wǎng)掩碼255．255．255．0

1111llll．11111111．11111111．00000000

網(wǎng)絡(luò)位主機(jī)位IP地址192．168．1．1

11000000．10101000．00000001．00000000網(wǎng)絡(luò)號主機(jī)號也可寫成:/2414子網(wǎng)掩碼的設(shè)置

子網(wǎng)劃分的步驟將要劃分的子網(wǎng)數(shù)目轉(zhuǎn)換為2的m次方。如果不是2的整次方，則取大為原則，如要劃分為6個，則23>6，m=3。將上一步確定的冪m按高序占用主機(jī)地址m位后，轉(zhuǎn)換為十進(jìn)制。如m為3表示主機(jī)位中有3位被劃為“網(wǎng)絡(luò)標(biāo)識號”占用，因網(wǎng)絡(luò)標(biāo)識號應(yīng)全為“1”，所以主機(jī)號對應(yīng)的字段為“11100000”，轉(zhuǎn)換成十進(jìn)制后為224，這就最終確定的子網(wǎng)掩碼。是c類網(wǎng)，則掩碼為255．255．255．224；是B類網(wǎng)，則掩碼為255．255．224．0；在這里，子網(wǎng)個數(shù)與占用主機(jī)地址位數(shù)有如下等式成立：2m≥n。其中，m表示占用主機(jī)地址的位數(shù)，n表示劃分的子網(wǎng)個數(shù)。子網(wǎng)劃分舉例一00600050E0E1172.162160主類網(wǎng)絡(luò)主機(jī)..NetworkInterface/24/24E0E1新的路由表子網(wǎng)子網(wǎng)劃分主類網(wǎng)絡(luò)主機(jī)60255.255.255.192101011001111111110101100000100001111111100010000111111110000001010100000110000001000000000000010子網(wǎng)161722128128192224240248252254255128192224240248252254255網(wǎng)絡(luò)位擴(kuò)展10比特:

1.子網(wǎng)地址

2.廣播地址

3.有效IP的范圍子網(wǎng)劃分已知C類網(wǎng)絡(luò)

將其劃分為20個子網(wǎng),每個子網(wǎng)5臺主機(jī)網(wǎng)絡(luò)規(guī)劃問題一19舉例二:C類IP地址段,劃分4個子網(wǎng)0000000—001111111000000---011111110000000---101111111000000----11111111對應(yīng)網(wǎng)絡(luò)號:/261~624/2665~12628/26129~19092/26193~25420IP掩碼的標(biāo)注

(1)無子網(wǎng)的標(biāo)注法：可以缺省掩碼

(2)有子網(wǎng)的標(biāo)注法：有子網(wǎng)時，一定要二者配對出現(xiàn)。9221常用的子網(wǎng)掩碼

(1)子網(wǎng)掩碼是255．255．255．0的網(wǎng)絡(luò)

(2)子網(wǎng)掩碼是255．255．0．0的網(wǎng)絡(luò)注意：設(shè)置過大，很可能發(fā)往和本地機(jī)不在同一子網(wǎng)內(nèi)的目的機(jī)的數(shù)據(jù)，會因為錯誤的判斷而被認(rèn)為目的機(jī)是在同一子網(wǎng)內(nèi)，那么，數(shù)據(jù)包將在本子網(wǎng)內(nèi)循環(huán)，直到超時被拋棄，導(dǎo)致數(shù)據(jù)不能正確到達(dá)目的機(jī)；設(shè)置過小，會將本來屬于同一子網(wǎng)內(nèi)的機(jī)器之間的通信被當(dāng)做是跨子網(wǎng)傳輸，數(shù)據(jù)包都交給缺省網(wǎng)關(guān)處理，效率下降。222IP地址規(guī)劃2.1IP地址規(guī)劃原則2.2IP地址規(guī)劃案例232.1IP地址規(guī)劃原則1．結(jié)構(gòu)化編址結(jié)構(gòu)化其實就是體系化、組織化，根據(jù)企業(yè)的具體需求和組織結(jié)構(gòu)為原則對整個網(wǎng)絡(luò)地址進(jìn)行有條理的規(guī)劃。2．如何選擇地址分配方式(1)動態(tài)分配IP，由DHCP服務(wù)器分配的，集中統(tǒng)一管理，管理工作量比靜態(tài)地址少很多靜態(tài)分配正好相反，容易出現(xiàn)IP地址沖突，這對于大規(guī)模的網(wǎng)絡(luò)來說工作量很大的。但是在一些要求每臺服務(wù)器都有一個固定的IP地址，使用靜態(tài)分配較好。24(2)采用動態(tài)分配IP地址可以做到按需分配地址當(dāng)一個IP地址不被主機(jī)使用時，能被釋放出來供新接入主機(jī)使用，這樣可以在一定程度上高效利用IP資源。。而如果采用靜態(tài)分配，必須考慮更大的使用余量。

(3)動態(tài)分配要求網(wǎng)絡(luò)中必須有一臺或幾臺穩(wěn)定且高效的DHCP服務(wù)器，只要網(wǎng)絡(luò)中的DHCP服務(wù)器出現(xiàn)故障，整個網(wǎng)絡(luò)都有可能癱瘓。而靜態(tài)分配就沒有這些缺點，另外靜態(tài)地址還有一個很大的優(yōu)點，就是比動態(tài)分配更加容易定位故障點。253．按需分配公網(wǎng)IP地址公網(wǎng)IP地址是由ISP等機(jī)構(gòu)統(tǒng)一分配和租用的。公網(wǎng)IP地址十分稀缺，所以對公網(wǎng)IP地址必須按實際需求來進(jìn)行合理的規(guī)劃。如：對外提供服務(wù)的服務(wù)器群組區(qū)域，不僅要夠用，還得預(yù)留出余量；而內(nèi)部網(wǎng)絡(luò)工作僅需要瀏覽Intemet等基本需求的區(qū)域，可以通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換：來共享一個或幾個公網(wǎng)IP)內(nèi)部通信的主機(jī)不用分配公網(wǎng)IP地址。264．IP地址規(guī)劃的可持續(xù)擴(kuò)展性為了適應(yīng)將來部門的發(fā)展、網(wǎng)絡(luò)規(guī)模的擴(kuò)展，規(guī)劃IP地址時要留有余地。IP地址最開始是有類劃分的，A、B、C各類?，F(xiàn)在發(fā)展到了無類階段，無形中增大了網(wǎng)絡(luò)的可拓展性。當(dāng)一個局部區(qū)域出現(xiàn)高增長或者整體的網(wǎng)絡(luò)規(guī)模不斷增大時，不合理的規(guī)劃很可能導(dǎo)致必須重新部署局部甚至整體的IP地址，這應(yīng)避免。275．IP地址規(guī)劃的層次性IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該自頂向下地進(jìn)行規(guī)劃。首先把整個網(wǎng)絡(luò)劃分為幾個大區(qū)域，先估算出每個區(qū)域的用戶數(shù)量(總數(shù))，然后劃分(可考慮預(yù)留部分地址)；類似地，每個大區(qū)域又可以分為幾個小區(qū)域，每個子區(qū)域從它的一級區(qū)域里獲取IP地址段(子網(wǎng)段)?？紤]網(wǎng)絡(luò)層次和路由協(xié)議的規(guī)劃，通過聚合網(wǎng)絡(luò)減少網(wǎng)絡(luò)中路由的數(shù)目和地址維護(hù)的數(shù)量。282.2IP地址規(guī)劃案例1．確定內(nèi)部網(wǎng)IP地址的類型

2．規(guī)劃交換機(jī)各端口的IP地址

3．規(guī)劃服務(wù)器IP地址

5．規(guī)劃客戶機(jī)IP地址

規(guī)劃是活的,跟據(jù)實際,最終體現(xiàn)余量、易記、易管理。29地址分配有些設(shè)備只有一個網(wǎng)絡(luò)接口，可以給這個網(wǎng)絡(luò)接口分配一個地址；有些設(shè)備有多個網(wǎng)絡(luò)接口，每個網(wǎng)絡(luò)接口都需要一個地址；有些設(shè)備有多個網(wǎng)絡(luò)接口，而每個網(wǎng)絡(luò)接口需要多個地址。30地址分配方法11．每個網(wǎng)絡(luò)接口有一個地址

31地址分配方法22．多穴設(shè)備多于一個網(wǎng)絡(luò)接口的設(shè)備叫多穴設(shè)備。每個網(wǎng)絡(luò)接口分配一個地址.

.3.1.22.132地址分配方法33．每個網(wǎng)絡(luò)接口有多個地址在一個網(wǎng)絡(luò)接口上建立多個IP地址的過程叫多網(wǎng)化或二級地址管理。例：安裝一個服務(wù)器作為Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器和公司的DNS服務(wù)器。方法一：服務(wù)器使用一個IP地址。當(dāng)要增加一些新的服務(wù)器時，再為它們分配新的IP地址方法二：為服務(wù)器分配4個IP地址。每個IP地址都與未來使用的新服務(wù)器的地址相一致。

33小結(jié)從上面獲得的知識能力嘗試給園區(qū)網(wǎng)分配有效IP地址。342.4IP地址的沖突管理2.4.1IP地址與MAC地址2.4.2IP地址的沖突解決35

2.4.1IP地址與MAC地址1．IP地址與MAC地址的關(guān)系:IP----MAC地址表(ARP解析)2．IP地址和MAC地址的獲取:在Windows98／Me系統(tǒng)中，運(yùn)行“winipcfg”;在WindowsNT／2000／XP系統(tǒng)中，在命令提示符下輸入“ipconfig/all”

36

2.4.2IP地址的沖突解決(1)計算機(jī)IP地址與MAC綁定

arp–sipaddressMACaddress解除重啟TCP/IP協(xié)議

另:專用軟件工具(管理平臺)—后面單元37防ARP欺騙或IP欺騙和沖突(2)交換機(jī)端口與MAC綁定

#conftinterf0/3switchportport-securityswitchportport-securitymac-address0006.1bde.13b4ip-address5(3)指定端口最大連接數(shù)

#conftinterf0/1switchportport-security//打開端口安全功能

switchportport-securitymaximum2//端口最大安全連接數(shù)2switchportport-securityviolationshutdown違例處理方式38小區(qū)寬帶交換機(jī)端口保護(hù)Switch(config)#intrangf0/1-24

//指定配置的端口，這里指的是范圍從端口1到端口24Switch(config-if-range)#switchportprotected

//對端口進(jìn)行保護(hù)39練習(xí)在RG-S2126上配置端口綁定，使只有允許的主機(jī)通過某端口訪問局域網(wǎng)資源。40訪問互聯(lián)網(wǎng)的NAT實現(xiàn)

411.教學(xué)目標(biāo)□通過本項目訓(xùn)練，正確理解路由器地址轉(zhuǎn)換功能及用途，掌握路由器地址轉(zhuǎn)換的配置技能，具體如下：（1）了解動態(tài)內(nèi)部源地址轉(zhuǎn)換的定義及應(yīng)用（2）掌握動態(tài)內(nèi)部源地址轉(zhuǎn)換的配置方法422.工作任務(wù)

你是某公司的網(wǎng)絡(luò)管理員，公司辦公網(wǎng)需要接入互聯(lián)網(wǎng)，公司只向ISP申請了一條專線，該專線分配了一個公網(wǎng)IP地址，通過配置實現(xiàn)公司與外界有業(yè)務(wù)往來的主機(jī)都能訪問外網(wǎng)。根據(jù)客戶具體要求，完成路由器NAPT相應(yīng)配置，實現(xiàn)局域網(wǎng)內(nèi)部主機(jī)利用地址轉(zhuǎn)換連接Internet。

433.相關(guān)實踐知識

□將路由器與外網(wǎng)相連的接口從S0改為Fa1，假設(shè)申請的公網(wǎng)IP地址為，外網(wǎng)有一Web服務(wù)器地址為00，公司內(nèi)部有二個網(wǎng)段分別為及，其中，網(wǎng)段可以訪問外網(wǎng)。

分析：

首先在路由器上進(jìn)行配置，并設(shè)置缺省路由指向Fa1，然后在路由器配置動態(tài)NAPT端口地址轉(zhuǎn)換，實現(xiàn)對Internet的訪問。

44圖2.3路由器動態(tài)NAPT配置及應(yīng)用45第1步：路由器的基本配置（略）第2步：定義內(nèi)部及外部端口定義Fa0及Fa2為內(nèi)網(wǎng)接口RouterA(config)#interfastfastethernet0RouterA(config-if)#ipnatinsideRouterA(config-if)#exitRouterA(config)#interfastfastethernet2RouterA(config-if)#ipnatinsideRouterA(config-if)#exit定義Fa1為外網(wǎng)接口RouterA(config)#interfastfastethernet1RouterA(config-if)#ipnatoutsideRouterA(config-if)#exit46第3步：定義內(nèi)部全局地址池地址池名稱為to_internet，范圍為從到。RouterA(config)#ipnatpoolto_internetnetmask第4步：定義允許轉(zhuǎn)換的地址允許網(wǎng)段地址轉(zhuǎn)換RouterA(config)#access-list10permit55第5步：建立映射關(guān)系RouterA(config)#ipnatinsidesourcelist10poolto_internetoverload在路由器查看NAPT映射關(guān)系（先建立訪問會話）RouterA#showipnattranslations474.相關(guān)理論知識□NAPT（NetworkAddressPortTranslation）簡介

NAPT將多個內(nèi)部本地地址映射到一個內(nèi)部全局地址，路由器用“內(nèi)部全局地址+TCP/UDP端口號”來對應(yīng)“一個內(nèi)部主機(jī)地址+TCP/UDP端口號”?！鮿討B(tài)NAPT配置（1）定義全局IP地址池Router(config)#ipnatpooladdress-poolstart-addressend-addres