Разное

Выход в интернет из другой подсети: Как взять интернет из другой подсети? — Хабр Q&A

Содержание

Как раздать Интернет в две подсети?

Доброго дня, ребят. Нынче тема нашего выпуска будет ориентирована на ту немногочисленную категорию подписчиков, которая уже работает на предприятиях. Ибо связана она с насущной практической проблемой, с которой за этот год, мне пришлось столкнуться уже дважды. Чтобы там не говорили по телевизору, но финансирование многих государственных учреждений каждый год понемножку урезают. Делается это в разных сферах. В том числе и в компьютерно-информационной области. Поэтому если раньше многие зажиточные предприятия могли позволить иметь в своём распоряжении основной канал доступа в Интернет, резервный канал, отдельную линию для начальства, чтобы не загружать основной и из соображений безопасности. То сейчас ситуация постепенно меняется.

Как правило, дополнительные каналы отключают, оставляя один быстрый. Следовательно, все компьютеры для доступа к Интернету используют один шлюз. Но как в такой ситуации можно обеспечить безопасность данных? Если и директор филиала Газпрома и простой эникейщик Васька находятся в одной сети, то рано или поздно может случиться страшное. Перечитает наш Вася на досуге очередной номер «Хакера» и начнёт удалённо проверять компьютер вышестоящего начальства на прочность. Для того чтобы избежать в будущем подобных ситуаций системному администратору требуется разделить единую сеть на подсети. Сделать это можно, например, в соответствии с названиями структурных подразделений.

Для лучшего понимания, давайте немного упростим. Допустим, разобьём сеть небольшого офиса на «Общую сеть» и «сеть бухгалтерии». Пускай первая сеть будет 192.168.1.X, а вторая 192.168.2.X. Тогда для компьютеров общей сети в качестве шлюза мы пропишем 192.168.1.1 (это IP адрес нашего роутера), а для бухгалтерии… Вот тут самое интересное. Что прописать для бухгалтерии в качестве шлюза, чтобы и интернет работал напрямую и подсетка, была отдельная? Да ничего. Нахрапом этот вопрос не решить. Однако существуют несколько проверенных способов решения данной задачи, о которых я и собираюсь вам сегодня рассказать. У каждого из них есть свои плюсы и минусы. Можно задействовать исключительно аппаратные средства, а также комбинировать их в связке с программным решением.

Сюжет будет полезен всем без исключения начинающим и более-менее опытным сисадминам. Ну а для тех, кто ещё не занимает почётную должность старшего системного администратора или техника в филиале Газпрома, но прикладывает все свои силы, чтобы в будущем попасть в высшую лигу, я предлагаю вмести с нами, разобрать по полочкам интересную ситуационную задачку и посмотреть варианты решения.

Задача «Раздача Интернета двум подсетям»

Дано:

В небольшом офисе есть 2 локальные сети, не объединенные друг с другом (общая сеть и сеть для бухгалтеров). Две этих сети разделены в целях безопасности, чтобы никто из общей сети не мог попасть в сеть бухгалтерии. После сокращения финансирования на предприятии было решено оставить один канал, для доступа к Интернету. Данный канал с недавнего времени используется в качестве основного для всех пользователей общей сети. Бухгалтерская сеть после отключения собственного отдельного канала осталась без Интернета.

Найти:

Необходимо рассмотреть способы с помощью которых, можно обеспечить бухгалтерской сети доступ к каналу Интернета таким образом, чтобы общая сеть и сеть бухгалтерии «не видели друг друга».

Решение 1. Прокси-сервер

Первое, что лично мне пришло в голову это прокси-сервер. Аппаратный или программный. Например, на базе User Gate 2.8, который мы рассматривали пару месяцев назад. Тут всё просто. Находим слабенький компьютер, даём на него интернет, накатываем проксю, прописываем пользователей и вводим в общую сеть. Подсетка бухов получает контролируемый инет. А мы вроде бы решили проблему. Но не тут то было! Во-первых, инет этот будет не такой быстрый, как на прямую с роутера. Во-вторых, если у вас не купленная навороченная прокся, а старый крякнутый гейт, то вы получите массу проблем с HTTPs сайтами и специализированными программами, использующими в своей работе хитрые протоколы. И в третьих, самое прискорбное то, что наш прокси-сервер будет выступать в роли моста между общей сетью и выделенной подсетью, а это в свою очередь влечёт за собой возможность доступа к общим ресурсам со всех компьютеров. Да я знаю, что можно ещё поднять и произвести тонкую настройку фаервола… Это уже совсем лютый вариант. Он вряд ли подойдёт новичкам.

В таких ситуациях мне всегда вспоминаются знаменитые слова Наполеона. «Самые простые решения – одновременно самые лучшие». Переосмыслив всё вышесказанное можно сделать вывод, что для маленькой офисной сети прокси-сервер в связке с фаерволом не самое лучшее решение, хотя и реализуемое при должном опыте.

Решение 2. VLANы на коммутаторе

Второй способ подойдёт тем, кто изначально грамотно спроектировал свою сеть или уже попал на предприятие с правильным расположением объектов сетевой инфраструктуры. Что лично я подразумеваю под правильным расположением? Это наличие серверной комнаты с ограниченным для посторонних лиц доступом. И расположение в этой комнате центральных узлов сети: контроллера домена, роутера и центрального коммутатора. Именно связка, в которой возможно подключение роутера в центральный управляемый коммутатор и будет являться основой для следующего решения. Ибо в нём мы будем создавать VLANы (виртуальные локальные сети) на свитче. О том к чему это приведёт, и какие недостатки имеет подобный подход, сейчас разберёмся.

Для демонстрации я буду использовать роутер ASUS DSL-N12U и коммутатор D-LINK DGS-1224T. Ничего особенного. Вполне посредственный роутер и устаревший управляемый свитч с минимумом настроек. Подключаем кабель от роутера в 23 порт, кабель от компьютера из общей сети в 1, а кабель от одного из ПК выделенной подсети в порт №9. Все настройки я буду выполнять с ещё одного дополнительного компьютера, который подключу в 24 порт, чтоб не запутаться.

Шаг 1. Как только вся возня с проводами окончена, можем заходить на свитч. По умолчанию веб-интерфейс срабатывает по адресу 192. 168.0.1 и положительно реагирует на пароль admin.

Шаг 2. Сразу рекомендую поменять IP адрес. Делается это во вкладке «System». В качестве примера изменю последнюю цифру на 24, затем пропишу IP адрес роутера и сохраню настройки, кликнув на «Apply».

Шаг 3. Ну что. Пора взяться за VLANы. Переходим в соответствующую вкладку и жмём «Add new VID (VLAN ID)».

Шаг 4. В появившемся окне присваиваем правилу номер (например 2) и выделяем какие порты будут видеть друг друга в случае работы по второму правилу. Допустим с 1 по 8 и 23 (порт роутера). Должны же они как то инет получать. Первые восемь портов для компьютеров в нашем случае это общая сеть.

Шаг 5. По аналогии создаём третье правило. В котором портам с 9 по 16 открываем доступ к друг дружке и роутеру. Это будет наша подсеть. Она ни в коем случае не будет пересекаться с общей сетью, но при этом будет иметь доступ к Интернету. Сохраняемся.

Шаг 6. Далее в раскрывающемся вверху списке выбираем параметр «Port VID Setting» и прописываем какие из портов по какому правилу будут работать. Как мы уже определились ранее порты с 1 по 8 будут работать по правилу №2, с 9 по 16 возьмут за основу 3 правило, а с 17 по 24 останутся работать на дефолте и будут видеть всех. Подразумевается, что сеть у нас маленькая и последний диапазон портов будет свободен, и если уж и будет использоваться, то только админом и только для настройки.

Шаг 7. Со свитчом всё. Полезли на роутер. По умолчанию он тоже имеет IP адрес 192.168.0.1. Меняем его на уникальный. Делается это во вкладке ЛВС. Такс. Раз уж он подключён в 23 порт, то пусть и IP имеет 192.168.0.23.

class=»eliadunit»>

Шаг 8. Осталось настроить компьютеры. На первом компьютере (из общей сети) прописываем IPшник (192.168.0.1), стандартную маску (255.255.255.0) и в качестве основного шлюза и DNS — адрес роутера, который мы изменили шагом выше (192. 168.0.23).

Шаг 9. Аналогичным образом поступаем с компьютером подключённым в 9 порт. Не волнуйтесь о том, что третий блок в их IP адресе совпадает. В сети они всё равно друг друга не увидят.

Шаг 10. Или увидят? Давайте убедимся в этом. Но сначала проверим интернет. Для этого пошлём PING с первого компьютера на роутер. Уф. Прошёл. А теперь проверим пинганёт ли он своего собрата из другой подсети. Тааак. Кажись не пинганёт. Значит со стороны компьютера общей сети всё отлично.

Шаг 11. Убеждаемся в правоте наших доводов со стороны бухгалтерского компьютера. Инет работает, общую сеть не видит. PROFIT!

Однако не всё так безоблачно. Работоспособность данного способа возможна лишь в ситуации, когда компьютеры сети и роутер подключены в один управляемый свитч. В случае же, если между рабочими станциями и связкой роутер-свитч натыкано ещё Nое количество коммутаторов или хабов, такой вариант не сработает. Поэтому такой метод решения подойдёт лишь в той ситуации, когда сеть маленькая и её можно чуточку модернизировать, заведя всех в один свитч. Или в случае, если вы проводите большую сеть с нуля и подключаете все провода от компьютеров в серверной комнате.

Решение 3. Второй дополнительный роутер

Ну, хорошо. А что же делать тем, кто имеет в своём распоряжении относительно крупную сеть, щупальцы которой охватывают несколько зданий? Ведь и ежу понятно, что перепроводка всех участков этого монстра опасна для нервной системы всех работников предприятия. Всюду беспорядочно натыканы свитчи, не о какой серверной комнате и речи не идёт, а роутер находится вообще в курилке под потолком. Страшно представить? Да такое случается сплошь и рядом. И дабы не ударить в грязь лицом и показать себя как специалиста, нам нужно суметь решить поставленную задачу даже в подобных условиях.

Для начала нам понадобится второй роутер. Я возьму роутер той же модели, что и в прошлом случае. Подключаем к простеньким свитчам все компьютеры. Один будет играть роль ПК из общей сети, другой роль компьютера из подсети. В один из свитчей подключаем роутер имеющий подключение к Интернету по оптоволокну (или ADSL). А второй, дополнительный роутер ставим поближе к подсети и подключаем его WANом в общую сеть, а LANом в подсеть. После того, как все работы по коммутации произведены, переходим к настройке оборудования.

Шаг 1. Заходим на дополнительный роутер и в настройках Ethernet WAN активируем функцию «Включить Ethernet WAN на порту». Далее выбираем из списка порт, в который будет вставлен провод из общей сети. В типе подключения указываем «Static IP» для того, чтобы можно было в настройках IP адреса вручную задавать IP, маску и шлюз. Чем мы собственно сейчас и займёмся. Прописываем IP адрес из диапазона общей сети, например 192.168.0.2, маска оставляем по умолчанию, а в качестве шлюза указываем адрес нашего основного интернет-роутера 192.168.0.1. Чуть ниже не забываем прописать DNSку. Её адрес будет такой же как и адрес роутера. Сохраняем все настройки, нажав внизу на кнопочку «применить».

Шаг 2. Интернет на дополнительный роутер мы дали. Но компьютеры в  подсети до сих пор его не видит. А нам нужно сделать так, чтобы для выделенной сети он выступал в качестве устройства для выхода в Интернет. Для этого на вкладочке «ЛВС» задаём роутеру адрес из диапазона сети бухгалтерии. Например, 192.168.123.45. Этот адрес мы будем указывать в качестве шлюза и DNS-сервера на всех тачках подсети.

Шаг 3. В принципе можно уже проверять. Давайте пропишем все настройки для одного из компьютеров подсети. Пусть IP адрес будет 192.168.123.1, маска стандартная, шлюз и DNS как мы уже обговаривали ранее 192.168.123.45.

Шаг 4. Сохраняем и пробуем пропинговать сначала новоиспечённый роутер, а затем один из компьютеров, который находится в общей сети. В первом случае результат, как видим положительный. А вот во втором, никак. Значит и со стороны общей сети в сетевом окружении нас не видно.

Шаг 5. Для полной гарантии того, что всё получилось, запустим браузер и удостоверимся в наличии Интернет-соединения. Всё работает. Отлично.

Вывод:

Таким образом, мы разобрали три реально работающих решения для конкретной ситуационной задачи, с которой может столкнуться каждый начинающий и более-менее опытный системный администратор. Можно ли ответить какой из способов самый лучший? Наверное, нет. Тут всё зависит от дополнительных условий, поставленных перед вами. А также ресурсов, которыми вы на момент постановки задачи располагаете.

Если вы крутой админ прочитавший все возможные учебники, побывавший на десятках семинаров по циске и имеющий за плечами огромный опыт администрирования сетей, то…зачем вы вообще читаете эту статью? Ну а серьёзно, если бюджет позволяет раскошелиться на прокси-сервер и аппаратный фаервол, то делайте это. Настроив всё один раз, вы получите хорошо защищённый и полностью подконтрольный инструмент управления выходом в глобальную сеть. Первый способ он самый трушный.

Второй подойдёт тем, кто имеет в своём распоряжении более-менее приличную серверную с коммутационным центром. Или тем, у кого просто в шкафу завалялся старенький управляемый свитч, а сеть которую вы обслуживаете очень маленькая.

Третий же вариант подойдёт абсолютно всем. Он применим в любой ситуации. Однако требует дополнительных расходов на роутер. Либо, если уж берёте из того же дряхлого шкафа, старый, то обязательно убедитесь, что в нём есть минимум 2 порта RJ-45 и его прошивка поддерживает возможность назначения одного из них в качестве WAN-интерфейса.

Всё друзья. Я как всегда затянул выпуск. Хотя прекрасно понимаю, что ваше время это самый ценный ресурс. Но ребят. По опыту знаю, что лучше 1 раз потратить 15-20 минут и получить ценную информацию. Чем неделями сидеть на форумах и по чайной ложке вычерпывать из разных постов крупицы полезной инфы. Так, что не серчайте. До встречи через недельку. Всем добра и хорошего новогоднего настроения!

class=»eliadunit»>

Полезные материалы:

IP-адресация и создание подсетей для новых пользователей

Введение

 В этом документе приведена основная информация, необходимая для настройки маршрутизатора для IP-маршрутизации, в том числе сведения о повреждении адресов и работе подсетей. Здесь содержатся инструкции по настройке для каждого интерфейса маршрутизатора IP-адреса и уникальной подсети. Приведенные примеры помогут объединить все сведения.

Предварительные условия

Требования

Рекомендуется иметь хотя бы базовое представление о двоичной и десятичной системах счисления.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Дополнительные сведения

Если определения помогают вам, воспользуйтесь следующими терминами словаря, чтобы начать работу:

  •   Адрес — Уникальный ID-номер, назначенный одному узлу или интерфейсу в сети.

  •   Подсеть — это часть сети, в которой совместно используется определенный адрес подсети.

  •   Маска подсети — 32-битная комбинация, используемая для того, чтобы описать, какая часть адреса относится к подсети, а какая к узлу.

  •   Интерфейс — сетевое подключение.

Если уже имеются адреса в Интернете, официально полученные из центра сетевой информации InterNIC, то можно приступать к работе. Если подключение к Интернету не планируется, настоятельно рекомендуется использовать зарезервированные адреса, как описано в документе RFC 1918.

Изучение IP-адресов

IP-адрес — это адрес, который используется для уникальной идентификации устройства в IP-сети. Адрес состоит из 32 двоичных разрядов и с помощью маски подсети может делиться на часть сети и часть главного узла. 32 двоичных разряда разделены на четыре октета (1 октет = 8 битов). Каждый октет преобразуется в десятичное представление и отделяется от других октетов точкой. Поэтому принято говорить, что IP-адрес представлен в десятичном виде с точкой (например, 172.16.81.100). Значение в каждом октете может быть от 0 до 255 в десятичном представлении или от 00000000 до 11111111 в двоичном представлении.

Ниже приведен способ преобразования двоичных октетов в десятичное представление: Самый правый бит (самый младший разряд) октета имеет значение 20.Расположенный слева от него бит имеет значение 21.И так далее — до самого левого бита (самого старшего разряда), который имеет значение 27. Таким образом, если все двоичные биты являются единицами, эквивалентом в десятичном представлении будет число 255, как показано ниже:

    1  1  1  1 1 1 1 1
  128 64 32 16 8 4 2 1 (128+64+32+16+8+4+2+1=255)

Ниже приведен пример преобразования октета, в котором не все биты равны 1.

  0  1 0 0 0 0 0 1
  0 64 0 0 0 0 0 1 (0+64+0+0+0+0+0+1=65)

В этом примере показан IP-адрес, представленный в двоичном и десятичном форматах.

        10.       1.      23.      19 (decimal)
  00001010.00000001.00010111.00010011 (binary)

Эти октеты разделены таким образом, чтобы обеспечить схему адресации, которая может использоваться как для больших, так и для малых сетей. Существует пять различных классов сетей: от A до E (используются буквы латинского алфавита). Этот документ посвящен классам от A до C, поскольку классы D и E зарезервированы и их обсуждение выходит за рамки данного документа.

Примечание: Также следует отметить, что термины ««класс A», «класс B» и так далее используются в данном документе для облегчения понимания IP-адресации и организации подсетей. Эти термины фактически уже не используются в промышленности из-за введения бесклассовой междоменной маршрутизации (CIDR).

Класс IP-адреса может быть определен из трех старших разрядов (три самых левых бита первого октета). На рис. 1 приведены значения трех битов старшего разряда и диапазон адресов, которые попадают в каждый класс. Для справки показаны адреса классов D и Е.

Рисунок 1

В адресе класса A первый октет представляет собой сетевую часть, поэтому пример класса A на рис. 1 имеет основной сетевой адрес 1.0.0.0 – 127.255.255.255. Октеты 2,3 и 4 (следующие 24 бита) предоставлены сетевому администратору, который может разделить их на подсети и узлы. Адреса класса A используются в сетях с количеством узлов, превышающим 65 536 (фактически до 16777214 узлов!)!).

В адресе класса B два первых октета представляют собой сетевую часть, поэтому пример класса B на рис. 1 имеет основной сетевой адрес 128.0.0.0 – 191.255.255.255. Октеты 3 и 4 (16 битов) предназначены для локальных подсетей и узлов. Адреса класса B используются в сетях с количеством узлов от 256 до 65534.

В адресе класса C первые три октета представляют собой сетевую часть. Пример класса C на рис. 1 имеет основной сетевой адрес 192.0.0.0 – 223.255.255.255. Октет 4 (8 битов) предназначен для локальных подсетей и узлов. Этот класс идеально подходит для сетей, в которых количество узлов не превышает 254.

Маски сети

Маска сети позволяет определить, какая часть адреса является сетью, а какая часть адреса указывает на узел. Сети класса A, B и C имеют маски по умолчанию, также известные как естественные маски:

Class A: 255.0.0.0
Class B: 255.255.0.0
Class C: 255.255.255.0

IP-адрес в сети класса A, которая не была разделена на подсети, будет иметь пару «адрес/маска», аналогичную: 8.20.15.1 255.0.0.0. Чтобы понять, как маска помогает идентифицировать сетевую и узловую части адреса, преобразуйте адрес и маску в двоичный формат.

8.20.15.1 = 00001000. 00010100.00001111.00000001
255.0.0.0 = 11111111.00000000.00000000.00000000

 Когда адрес и маска представлены в двоичном формате, идентификацию сети и хоста выполнить гораздо проще. Все биты адреса, для которых соответствующие биты маски равны 1, представляют идентификатор сети. Все биты адреса, для которых соответствующие биты маски равны 0, представляют идентификатор узла.

8.20.15.1 = 00001000.00010100.00001111.00000001
255.0.0.0 = 11111111.00000000.00000000.00000000
            -----------------------------------
             net id |      host id             

netid =  00001000 = 8
hostid = 00010100.00001111.00000001 = 20.15.1

Изучение организации подсетей

Подсети позволяют создавать несколько логических сетей в пределах одной сети класса А, В или С. Если не использовать подсети, то можно будет использовать только одну сеть из сети класса A, B или C, что представляется нереалистичным.

Каждый канал передачи данных в сети должен иметь уникальный идентификатор сети, при этом каждый узел в канале должен быть членом одной и той же сети. Если разбить основную сеть (класс A, B или C) на небольшие подсети, это позволит создать сеть взаимосвязанных подсетей. Каждый канал передачи данных в этой сети будет иметь уникальный идентификатор сети или подсети. Какое-либо устройство или шлюз, соединяющее n сетей/подсетей, имеет n различных IP-адресов — по одному для каждой соединяемой сети/подсети.

 Чтобы организовать подсеть в сети, расширьте обычную маску несколькими битами из части адреса, являющейся идентификатором хоста, для создания идентификатора подсети. Это позволит создать идентификатор подсети. Пусть, например, используется сеть класса C 204.17.5.0, естественная сетевая маска которой равна 255.255.255.0. Подсети можно создать следующим образом:

204.17.5.0 -      11001100.00010001.00000101.00000000
255. 255.255.224 - 11111111.11111111.11111111.11100000
                  --------------------------|sub|----

Расширение маски до значения 255.255.255.224 произошло за счет трех битов (обозначенных «sub») исходной части узла в адресе, которые были использованы для создания подсетей. С помощью этих трех битов можно создать восемь подсетей. Оставшиеся пять битов идентификаторов хоста позволяют каждой подсети содержать до 32 адресов хостов, 30 из которых фактически можно присвоить устройствам, поскольку идентификаторы хостов, состоящие из одних нулей или одних единиц, не разрешены (это очень важно, запомните это). С учетом всех изложенных факторов были созданы следующие подсети.

204.17.5.0 255.255.255.224     host address range 1 to 30
204.17.5.32 255.255.255.224    host address range 33 to 62
204.17.5.64 255.255.255.224    host address range 65 to 94
204.17.5.96 255.255.255.224    host address range 97 to 126
204.17.5. 128 255.255.255.224   host address range 129 to 158
204.17.5.160 255.255.255.224   host address range 161 to 190
204.17.5.192 255.255.255.224   host address range 193 to 222
204.17.5.224 255.255.255.224   host address range 225 to 254

Примечание: Существует два способа обозначения этих масок. Первый: поскольку используется на три бита больше, чем в обычной маске класса C, можно обозначить эти адреса как имеющие 3-битовую маску подсети. Вторым методом обозначения маски 255.255.255.224 является /27, поскольку в маске задано 27 битов. Второй способ используется с методом адресации CIDR. При использовании данного способа одна из этих сетей может быть описана с помощью обозначения префикса или длины. Например, 204.17.5.32/27 обозначает сеть 204.17.5.32 255.255.255.224. Если применяется, записи префикса/длины используются для обозначения маски на протяжении этого документа.

Схема разделения на подсети в этом разделе позволяет создать восемь подсетей, и сеть может выглядеть следующим образом:

Рис. 2

Обратите внимание, что каждый из маршрутизаторов на рис. 2 подключен к четырем подсетям, причем одна подсеть является общей для обоих маршрутизаторов. Кроме того, каждый маршрутизатор имеет IP-адрес в каждой подсети, к которой он подключен. Каждая подсеть может поддерживать до 30 адресов узлов.

Из этого можно сделать важный вывод. Чем больше битов используется для маски подсети, тем больше доступно подсетей. Однако чем больше доступно подсетей, тем меньше адресов узлов доступно в каждой подсети. Например, в сети класса C 204.17.5.0 при сетевой маске 255.255.255.224 (/27) можно использовать восемь подсетей, в каждой из которых будет содержаться 32 адреса узлов (30 из которых могут быть назначены устройствам). Если использовать маску 255.255.255.240 (/28), разделение будет следующим:

204.17.5.0 -      11001100.00010001.00000101.00000000
255.255.255.240 - 11111111.11111111.11111111.11110000
                  --------------------------|sub |---

Поскольку теперь имеются четыре бита для создания подсетей, остаются только четыре бита для адресов узлов. В этом случае можно использовать до 16 подсетей, в каждой из которых может использоваться до 16 адресов узлов (14 из которых могут быть назначены устройствам).

Посмотрите, как можно разделить на подсети сеть класса B. Если используется сеть 172.16.0.0, то естественная маска равна 255.255.0.0 или 172.16.0.0/16. Расширение маски до значения выше 255.255.0.0 означает разделение на подсети. Можно быстро понять, что можно создать гораздо больше подсетей по сравнению с сетью класса C. Если использовать маску 255.255.248.0 (/21), то сколько можно создать подсетей и узлов в каждой подсети?

172.16.0.0  -   10101100.00010000.00000000.00000000
255.255.248.0 - 11111111.11111111.11111000.00000000
                -----------------| sub |-----------

Вы можете использовать для подсетей пять битов из битов оригинального хоста. Это позволяет получить 32 подсети (25). После использования пяти битов для подсети остаются 11 битов, которые используются для адресов узлов. Это обеспечивает в каждой подсети 2048 адресов хостов (211), 2046 из которых могут быть назначены устройствам.

Примечание: Ранее существовали ограничения на использование подсети 0 (все биты подсети имеют значение 0) и подсети со всеми единицами (все биты подсети имеют значение 1). Некоторые устройства не разрешают использовать эти подсети. Устройства Cisco Systems позволяют использовать эти подсети при настройке команды ip subnet zero.

Примеры

Упражнение 1

После ознакомления с концепцией подсетей, примените новые знания на практике. В этом примере предоставлены две комбинации «адрес/маска», представленные с помощью обозначения «префикс/длина», которые были назначены для двух устройств. Ваша задача — определить, находятся эти устройства в одной подсети или в разных. С помощью адреса и маски каждого устройства можно определить, к какой подсети принадлежит каждый адрес.

DeviceA: 172. 16.17.30/20
DeviceB: 172.16.28.15/20

Определим подсеть для устройства DeviceA:

172.16.17.30  -   10101100.00010000.00010001.00011110
255.255.240.0 -   11111111.11111111.11110000.00000000
                  -----------------| sub|------------
subnet =          10101100.00010000.00010000.00000000 = 172.16.16.0

Рассмотрение битов адресов, соответствующие биты маски для которых равны единице, и задание всех остальных битов адресов, равными нулю (аналогично выполнению логической операции И между маской и адресом), покажет, к какой подсети принадлежит этот адрес. В рассматриваемом случае устройство DeviceA принадлежит подсети 172.16.16.0.

Определим подсеть для устройства DeviceB:

172.16.28.15  -   10101100.00010000.00011100.00001111
255.255.240.0 -   11111111.11111111.11110000.00000000
                  -----------------| sub|------------
subnet =          10101100. 00010000.00010000.00000000 = 172.16.16.0

Следовательно, устройства DeviceA и DeviceB имеют адреса, входящие в одну подсеть.

Пример упражнения 2

Если имеется сеть класса C 204.15.5.0/24, создайте подсеть для получения сети, показанной на рис. 3,с указанными требованиями к хостам.

Рис. 3

Анализируя показанную на рис. 3 сеть, можно увидеть, что требуется создать пять подсетей. Самая большая подсеть должна содержать 28 адресов узлов. Возможно ли это при использовании сети класса C? И если да, то каким образом следует выполнить разделение на подсети?

Можно начать с оценки требования к подсетям. Чтобы создать пять подсетей, необходимо использовать три бита из битов узла класса C. Два бита позволяют создать только четыре подсети (22).

Так как понадобится три бита подсети, для части адреса, отвечающей за узел, останется только пять битов. Сколько хостов поддерживается в такой топологии? 25 = 32 (30 доступных). Это отвечает требованиям.

Следовательно, можно создать эту сеть, используя сеть класса C. Пример назначения подсетей:

netA: 204.15.5.0/27      host address range 1 to 30
netB: 204.15.5.32/27     host address range 33 to 62
netC: 204.15.5.64/27     host address range 65 to 94
netD: 204.15.5.96/27     host address range 97 to 126
netE: 204.15.5.128/27    host address range 129 to 158

Пример VLSM

Следует обратить внимание на то, что в предыдущих примерах разделения на подсети во всех подсетях использовалась одна и та же маска подсети. Это означает, что каждая подсеть содержала одинаковое количество доступных адресов узлов. Иногда это может понадобиться, однако в большинстве случаев использование одинаковой маски подсети для всех подсетей приводит к неэкономному распределению адресного пространства. Например, в разделе «Пример упражнения 2» сеть класса C была разделена на восемь одинаковых по размеру подсетей; при этом каждая подсеть не использует все доступные адреса хостов, что приводит к бесполезному расходу адресного пространства. На рис. 4 иллюстрируется бесполезный расход адресного пространства.

Рис. 4

На рис. 4 показано, что подсети NetA, NetC и NetD имеют большое количество неиспользованного адресного пространства. Это могло быть сделано преднамеренно при проектировании сети, чтобы обеспечить возможности для будущего роста, но во многих случаях это просто бесполезный расход адресного пространства из-за того, что для всех подсетей используется одна и та же маска подсети .

Маски подсетей переменной длины (VLSM) позволяют использовать различные маски для каждой подсети, что дает возможность более рационально распределять адресное пространство.

Пример VLSM

Если имеется точно такая сеть и требования, как в разделе «Пример упражнения 2», подготовьте схему организации подсетей с использованием адресации VLSM, учитывая следующее:

netA: must support 14 hosts
netB: must support 28 hosts
netC: must support 2 hosts
netD: must support 7 hosts
netE: must support 28 host

Определите, какую маску подсети следует использовать, чтобы получить требуемое количество узлов.

netA: requires a /28 (255.255.255.240) mask to support 14 hosts
netB: requires a /27 (255.255.255.224) mask to support 28 hosts
netC: requires a /30 (255.255.255.252) mask to support 2 hosts
netD*: requires a /28 (255.255.255.240) mask to support 7 hosts
netE: requires a /27 (255.255.255.224) mask to support 28 hosts

* a /29 (255.255.255.248) would only allow 6 usable host addresses
  therefore netD requires a /28 mask.

Самым простым способом разделения на подсети является назначение сначала самой большой подсети. Например, подсети можно задать следующим образом:

netB: 204.15.5.0/27  host address range 1 to 30
netE: 204.15.5.32/27 host address range 33 to 62
netA: 204.15.5.64/28 host address range 65 to 78
netD: 204.15.5.80/28 host address range 81 to 94
netC: 204.15.5.96/30 host address range 97 to 98

Графическое представление приведено на рис. 5:

Рис. 5

На рис. 5 показано, как использование адресации VLSM помогает сохранить более половины адресного пространства.

Маршрутизация CIDR

Бесклассовая междоменная маршрутизация (CIDR) была предложена в целях улучшения использования адресного пространства и масштабируемости маршрутизации в Интернете. Необходимость в ней появилась вследствие быстрого роста Интернета и увеличения размера таблиц маршрутизации в маршрутизаторах сети Интернет.

В маршрутизации CIDR не используются традиционные IP-классы (класс A, класс B, класс C и т. д.). IP-сеть представлена префиксом, который является IP-адресом, и каким-либо обозначением длины маски. Длиной называется количество расположенных слева битов маски, которые представлены идущими подряд единицами. Так сеть 172.16.0.0 255.255.0.0 может быть представлена как 172.16.0.0/16. Кроме того, CIDR служит для описания иерархической структуры сети Интернет, где каждый домен получает свои IP-адреса от более верхнего уровня. Это позволяет выполнять сведение доменов на верхних уровнях. Если, к примеру, поставщик услуг Интернета владеет сетью 172.16.0.0/16, то он может предлагать своим клиентам сети 172.16.1.0/24, 172.16.2.0/24 и т. д. Однако при объявлении своего диапазона другим провайдерам ему достаточно будет объявить сеть 172.16.0.0/16.

Дополнительные сведения о маршрутизации CIDR см. в документах RFC 1518 и RFC 1519 .

Приложение

Образец конфигурации

Маршрутизаторы A и B соединены через последовательный интерфейс.

Маршрутизатор А
  hostname routera
  !
  ip routing
  !
  int e 0
  ip address 172.16.50.1 255.255.255.0
  !(subnet 50)
  int e 1 ip address 172.16.55.1 255.255.255.0
  !(subnet 55)
  int s 0 ip address 172.16.60.1 255.255.255.0
  !(subnet 60) int s 0
  ip address 172.16.65.1 255.255.255.0 (subnet 65)
  !S 0 connects to router B
  router rip
  network 172.16.0.0
Маршрутизатор В
  hostname routerb
  !
  ip routing
  !
  int e 0
  ip address 192. 1.10.200 255.255.255.240
  !(subnet 192)
  int e 1
  ip address 192.1.10.66 255.255.255.240
  !(subnet 64)
  int s 0
  ip address 172.16.65.2 (same subnet as router A's s 0)
  !Int s 0 connects to router A
  router rip
  network 192.1.10.0
  network 172.16.0.0

Таблица количество узлов/подсетей

Class B                   Effective  Effective
# bits        Mask         Subnets     Hosts
-------  ---------------  ---------  ---------
  1      255.255.128.0           2     32766
  2      255.255.192.0           4     16382
  3      255.255.224.0           8      8190
  4      255.255.240.0          16      4094
  5      255.255.248.0          32      2046
  6      255.255.252.0          64      1022
  7      255.255.254.0         128       510
  8      255.255.255.0         256       254
  9      255.255.255.128       512       126
  10     255.255.255.192      1024        62
  11     255.255.255.224      2048        30
  12     255. 255.255.240      4096        14
  13     255.255.255.248      8192         6
  14     255.255.255.252     16384         2

Class C                   Effective  Effective
# bits        Mask         Subnets     Hosts
-------  ---------------  ---------  ---------
  1      255.255.255.128      2        126 
  2      255.255.255.192      4         62
  3      255.255.255.224      8         30
  4      255.255.255.240     16         14
  5      255.255.255.248     32          6
  6      255.255.255.252     64          2

  
*Subnet all zeroes and all ones included. These 
 might not be supported on some legacy systems.
*Host all zeroes and all ones excluded.

Дополнительные сведения

Как вручную установить IP-адрес на устройстве Интернет-видео?

Настройка IP-адреса и параметров прокси-сервера устройства Интернет-видео зависит от конструкции или настроек маршрутизатора. Если маршрутизатор не назначает IP-адрес устройству Интернет-видео автоматически, введите IP-адрес вручную, как описано ниже.

  1. Получение следующей IP-информации  от своего компьютера.
    • IP-адрес или адрес IPv4
    • Маска подсети
    • Шлюз по умолчанию
    • Первичный DNS или DNS-сервер
    • Вторичный DNS
  2. На пульте дистанционного управления, входящем в комплект устройства Интернет-видео, нажмите кнопку Home (главное меню) или Menu (меню).
  3. Выберите «Настройка» или «Настройки».
  4. Выберите «Сеть».
  5. Выберите «Настройка сети».
  6. В зависимости от типа соединения с Интернет выберите «Проводное соединение» или «Беспроводное соединение».
  7. Выберите «Вручную» или «Пользовательский».

    ПРИМЕЧАНИЕ: При настройке защищенного беспроводного соединения ля получения доступа к экрану настройки IP-адреса и прокси-сервера необходимо ввести ключ безопасности сети.

  8. Введите полученную в шаге 1 информацию IP для устройства Интернет-видео.
    • IP-адрес: IP-адрес должен быть таким же, за исключением последнего числа в последовательности из четырех чисел. Измените последнее число на более высокое, но не превышающее 254. Например, если в компьютере показан IP-адрес 192.168.0.5, введите 192.168.0.105
    • Маска подсети: Введите маску подсети точно так, как указано в компьютере.
    • Шлюз по умолчанию: Введите шлюз по умолчанию точно так, как указано в компьютере.
    • Первичный DNS: Введите первичный DNS или DNS-сервер, показанный в компьютере, или скопируйте шлюз по умолчанию, если этих данных нет.
    • Вторичный DNS: Введите вторичный DNS, показанный в компьютере, или оставьте последовательность нулей. (0.0.0.0)

      ПРИМЕЧАНИЕ: Устройства Sony® Internet Video не используют прокси-сервер. Выберите НЕТ, если будет предложено использовать прокси-сервер.

  9. Выберите Сохранить и подключиться, чтобы установить сетевое соединение.

TCP/IP-адреса и подсети — Windows Client



  • Чтение занимает 10 мин

В этой статье

Эта статья предназначена для общего знакомства с понятиями сетей и подсетей протокола IP. Глоссарий включен в конце статьи.

Исходная версия продукта:   Windows 10 — все выпуски
Исходный номер КБ:   164015

Аннотация

При настройке протокола TCP/IP на компьютере с Windows параметры конфигурации TCP/IP требуют:

  • IP-адрес
  • Маска подсети
  • Шлюз по умолчанию

Чтобы правильно настроить TCP/IP, необходимо понимать, как сети TCP/IP адресуются и делятся на сети и подсети.

Успех протокола TCP/IP в качестве сетевого протокола Интернета во многом обусловлен возможностью подключения сетей разных размеров и систем разных типов. Эти сети произвольно определяются в три основных класса (наряду с несколькими другими), которые имеют предварительно определенные размеры. Системные администраторы могут разделить каждую из них на подсети меньшего размеров. Маска подсети используется для разделения IP-адреса на две части. Одна часть определяет хост (компьютер), а другая — сеть, к которой он принадлежит. Чтобы лучше понять, как работают IP-адреса и маски подсети, посмотрите на IP-адрес и посмотрите, как он организован.

IP-адреса: сети и hosts

IP-адрес — это 32-битный номер. Он уникальным образом идентифицирует хост (компьютер или другое устройство, например принтер или маршрутизатор) в сети TCP/IP.

IP-адреса обычно выражаются в десятичном формате с точками с четырьмя числами, разделенными точками, например 192.168.123.132. Чтобы понять, как маски подсети используются для разлижения между хостами, сетями и подсетями, проверьте IP-адрес в двоичной нотации.

Например, десятичный IP-адрес 192.168.123.132 (в двоичной нотации) является 32-битным номером 1100000001010001111011101100000100. Это число может быть сложно понять, поэтому разделите его на четыре части из восьми двоичных цифр.

Эти 8-битные разделы называются октетами. Затем пример IP-адреса становится 11000000.10101000.01111011.10000100. Это число имеет смысл, поэтому в большинстве случаев преобразуем двоичный адрес в десятичный формат с точками (192.168.123.132). Десятичные числа, разделенные по точкам, являются октетами, преобразованными из двоичной в десятичную.

Для эффективной работы сети TCP/IP в качестве коллекции сетей маршрутизаторы, которые передают пакеты данных между сетями, не знают точного расположения хоста, для которого предназначен пакет информации. Маршрутизаторы знают только о том, в какой сети входит хост, и используют сведения, хранимые в таблице маршрутов, чтобы определить, как получить пакет в сеть конечного хоста. После доставки пакета в сеть назначения пакет доставляется на соответствующий хост.

Чтобы этот процесс работал, IP-адрес имеет две части. Первая часть IP-адреса используется в качестве сетевого адреса, последняя часть — в качестве адреса хоста. Если взять пример 192. 168.123.132 и разделить его на две части, вы получите 192.168.123. Сетевой адрес .132 Host или 192.168.123.0. 0.0.0.132 — адрес хоста.

Маска подсети

Второй элемент, необходимый для работы TCP/IP, — маска подсети. Маска подсети используется протоколом TCP/IP, чтобы определить, находится ли хост в локальной или удаленной сети.

В TCP/IP части IP-адреса, используемые в качестве сетевых и хост-адресов, не исправлены. Если у вас нет дополнительных сведений, сети и адреса хост-адресов, которые были выше, определить нельзя. Эта информация предоставляется в другом 32-битовом номере, называемом маской подсети. В этом примере маска подсети имеет 255.255.255.0. Это число не очевидно, если вы не знаете, что 255 в двоичной нотации равно 11111111. Таким образом, маска подсети — 11111111.11111111.11111111.0000000.

Выровнив IP-адрес и маску подсети вместе, можно разделить часть адреса между сетью и частью адреса.

11000000.10101000.01111011.10000100 — IP-адрес (192.168. 123.132)
11111111.11111111.11111111.00000000 маска подсети (255.255.255.0)

Первые 24 бита (количество битов в маске подсети) определены как сетевой адрес. Последние 8 битов (количество оставшихся нулей в маске подсети) определены как адрес хоста. Он предоставляет следующие адреса:

11000000.10101000.01111011.00000000 — Сетевой адрес (192.168.123.0)
00000000.0000000.00000000.10000100 — адрес хоста (000.000.000.132)

Итак, в этом примере с маской подсети 255.255.255.0 вы знаете, что сетевой ИД — 192.168.123.0, а адрес хоста — 0.0.0.132. Когда пакет поступает в подсеть 192.168.123.0 (из локальной подсети или удаленной сети) и имеет адрес назначения 192.168.123.132, компьютер получит его из сети и обработать.

Почти все маски десятичной подсети преобразуются в двоичные числа слева и все нули справа. Некоторые другие распространенные маски подсети:

Decimal Binary 255.255.255.192 1111111.11111111.1111111.1100000 0 255.255.255.224 1111111.11111111.1111111. 11100000

Интернет-RFC 1878 (доступно в interNIC-Public Information Относительнослужб регистрации доменных имен Интернета) описывает допустимые подсети и маски подсети, которые можно использовать в сетях TCP/IP.

Классы сети

Интернет-адреса выделяются организацией,которая администрирует Интернет. Эти IP-адреса разделены на классы. Наиболее распространенными из них являются классы A, B и C. Классы D и E существуют, но не используются конечными пользователями. Каждый из классов адресов имеет разную маску подсети по умолчанию. Класс IP-адреса можно определить, изусмотрив его первый октет. Ниже примеры адресов Интернета классов A, B и C, каждый из которых имеет пример адреса:

  • Сети класса A используют маску подсети по умолчанию 255.0.0.0 и имеют 0-127 в качестве первого октета. Адрес 10.52.36.11 является адресом класса A. Его первый октет — 10, то есть от 1 до 126 включительно.

  • Сети класса B используют маску подсети по умолчанию 255.255.0. 0 и имеют 128-191 в качестве первого октета. Адрес 172.16.52.63 — это адрес класса B. Его первый октет — 172( от 128 до 191 включительно).

  • Сети класса C используют маску подсети по умолчанию 255.255.255.0 и имеют 192-223 в качестве первого октета. Адрес 192.168.123.132 — это адрес класса C. Его первый октет — 192( от 192 до 223 включительно).

В некоторых сценариях значения маски подсети по умолчанию не соответствуют потребностям организации по одной из следующих причин:

  • Физическая топология сети
  • Количество сетей (или хостов) не соответствует ограничениям маски подсети по умолчанию.

В следующем разделе объясняется, как можно разделить сети с помощью масок подсети.

Subnetting

Сеть TCP/IP класса A, B или C может быть дополнительно разделена системным администратором или подсети. Она становится необходимой при согласовании логической схемы адресов Интернета (абстрактного мира IP-адресов и подсетей) с физическими сетями, которые используются в реальном мире.

Системный администратор, которому выделен блок IP-адресов, может администрировать сети, которые не организованы таким образом, чтобы легко вместить эти адреса. Например, у вас есть широкая сеть с 150 хостами в трех сетях (в разных городах), подключенных маршрутизатором TCP/IP. Каждая из этих трех сетей имеет 50 хостов. Вы выделяете сеть класса C 192.168.123.0. (Например, этот адрес фактически находится в диапазоне, который не выделяется в Интернете.) Это означает, что для 150 хостов можно использовать адреса от 192.168.123.1 до 192.168.123.254.

Два адреса, которые нельзя использовать в примере, — 192.168.123.0 и 192.168.123.255, так как двоичные адреса с частью ведущего файла всех и всех нулей недопустимы. Недопустимый адрес нулевого адреса, так как он используется для указания сети без указания хоста. 255-адрес (в двоичной нотации — адрес хоста всех адресов) используется для трансляции сообщения на каждый хост в сети. Просто помните, что первый и последний адрес в любой сети или подсети не могут быть назначены отдельному хосту.

Теперь IP-адреса должны быть 254 хост-адреса. Это нормально, если все 150 компьютеров находятся в одной сети. Однако 150 компьютеров находятся в трех отдельных физических сетях. Вместо того чтобы запрашивать дополнительные блоки адресов для каждой сети, вы делите сеть на подсети, которые позволяют использовать один блок адресов в нескольких физических сетях.

В этом случае сеть делится на четыре подсети с помощью маски подсети, которая делает адрес сети больше и диапазон адресов может быть меньше. Другими словами, вы «заимствуете» некоторые биты, используемые для адреса хоста, и используете их для сетевой части адреса. Маска подсети 255.255.255.192 предоставляет четыре сети по 62 хостов в каждой. Он работает, так как в двоичной нотации 255.255.255.192 то же, что и 11111111.11111111.1111111.11000000. Первые две цифры последнего октета становятся сетевыми адресами, поэтому вы получаете дополнительные сети 00000000 (0), 01000000 (64), 10000000 (128) и 11000000 (192). (Некоторые администраторы будут использовать только две подсети, используя 255.255.255.192 в качестве маски подсети. Дополнительные сведения об этой теме см. в разделе RFC 1878.) В этих четырех сетях для адресов хост-адресов можно использовать последние шесть двоичных цифр.

Использование маски подсети 255.255.255.192 сеть 192.168.123.0 становится четырьмя сетями 192.168.123.0, 192.168.123.64, 192.168.123.128 и 192.168.123.192. Эти четыре сети будут иметь допустимые адреса хостов:

192.168.123.1-62 192.168.123.65-126 192.168.123.129-190 192.168.123.193-254

Помните, что двоичные адреса хостов со всеми или всеми нулями недопустимы, поэтому нельзя использовать адреса с последним октетом 0, 63, 64, 127, 128, 191, 192 или 255.

Чтобы узнать, как это работает, посмотрите на два адреса: 192.168.123.71 и 192.168.123.133. Если вы использовали маску подсети класса C по умолчанию 255.255.255.0, оба адреса находятся в сети 192.168.123.0. Однако если вы используете маску подсети 255.255.255.192, они находятся в разных сетях; 192.168.123.71 находится в сети 192.168.123.64, 192.168.123.133 — в сети 192.168.123.128.

Шлюзы по умолчанию

Если компьютеру TCP/IP необходимо взаимодействовать с хостом в другой сети, он обычно взаимодействует с устройством, которое называется маршрутизатором. В терминах TCP/IP маршрутизатор, указанный на хост-сайте, который связывает подсеть хоста с другими сетями, называется шлюзом по умолчанию. В этом разделе объясняется, как TCP/IP определяет, следует ли отправлять пакеты на шлюз по умолчанию для достижения другого компьютера или устройства в сети.

Когда хост пытается связаться с другим устройством с помощью TCP/IP, он выполняет сравнение с использованием определенной маски подсети и ip-адреса назначения и маски подсети и собственного IP-адреса. Результат этого сравнения сообщает компьютеру, является ли назначение локальным или удаленным.

Если в результате этого процесса будет определяться назначение локального хоста, компьютер отправит пакет в локализованную подсеть. Если результат сравнения определяет назначение как удаленный хост, компьютер перенаправление пакета на шлюз по умолчанию, определенный в его свойствах TCP/IP. После этого маршрутизатор перенаправит пакет в правильную подсеть.

Устранение неполадок

Проблемы с сетью TCP/IP часто вызваны неправильной настройкой трех основных записей в свойствах TCP/IP компьютера. Понимая, как ошибки в конфигурации TCP/IP влияют на сетевые операции, можно решить множество распространенных проблем TCP/IP.

Неправильная маска подсети: если в сети для класса адресов используется маска подсети, которая не является маской по умолчанию, а для клиента по-прежнему настроена маска подсети по умолчанию для класса адресов, связь не будет работать с некоторыми ближайшими сетями, но не с удаленными сетями. Например, если создать четыре подсети (например, в примере подсети), но использовать неправильную маску подсети 255.255.255.0 в конфигурации TCP/IP, hosts won’t be able to determine that some computers are on different subnets than their own. В этой ситуации пакеты, предназначенные для хостов в различных физических сетях, которые являются частью одного адреса класса C, не будут отправлены на шлюз по умолчанию для доставки. Распространенным признаком этой проблемы является то, что компьютер может взаимодействовать с хостами в локальной сети и взаимодействовать со всеми удаленными сетями, кроме тех сетей, которые находятся поблизости и имеют один и тот же адрес класса A, B или C. Чтобы устранить эту проблему, просто введите правильную маску подсети в конфигурации TCP/IP для этого хоста.

Неправильный IP-адрес: если компьютеры с IP-адресами должны быть в разных подсетях локальной сети друг с другом, они не смогут взаимодействовать друг с другом. Они попытаются отправить пакеты друг другу через маршрутизатор, который не может переслать их правильно. Признаком этой проблемы является компьютер, который может взаимодействовать с хостами в удаленных сетях, но не может взаимодействовать с некоторыми или всеми компьютерами в локальной сети. Чтобы устранить эту проблему, убедитесь, что все компьютеры в одной физической сети имеют IP-адреса в одной IP-подсети. Если в одном сетевом сегменте иссякает КОЛИЧЕСТВО IP-адресов, существуют решения, которые выходят за рамки данной статьи.

Неправильный шлюз по умолчанию: компьютер, настроенный с неправильным шлюзом по умолчанию, может взаимодействовать с хостами в своем сетевом сегменте. Однако он не сможет связаться с хостами в некоторых или всех удаленных сетях. При следующих условиях хост может взаимодействовать с некоторыми удаленными сетями, но не с другими:

  • Одна физическая сеть имеет несколько маршрутизаторов.
  • Неправильный маршрутизатор настроен как шлюз по умолчанию.

Эта проблема распространена, если в организации есть маршрутизатор к внутренней сети TCP/IP и другой маршрутизатор, подключенный к Интернету.

Ссылки

Две популярные ссылки на TCP/IP:

  • «TCP/IP Illustrated, volume 1: The Protocols», Edison Wesley, 1994
  • «Интернет-работа с использованием TCP/IP, том 1: принципы, протоколы и архитектура», Д. Комр, Prentice Зал, 1995

Рекомендуется, чтобы системный администратор, отвечающий за сети TCP/IP, мог иметь хотя бы одну из этих ссылок.

Глоссарий

  • Адрес вещания — IP-адрес с частью ведущего, которая является всеми.

  • Host —компьютер или другое устройство в сети TCP/IP.

  • Интернет — глобальная коллекция сетей, которые связаны друг с другом и совместно имеют общий диапазон IP-адресов.

  • InterNIC — организация, отвечая за администрирование IP-адресов в Интернете.

  • IP. Сетевой протокол, используемый для отправки сетевых пакетов через сеть TCP/IP или Интернет.

  • IP-адрес — уникальный 32-битный адрес для хоста в сети TCP/IP или в Интернете.

  • Сеть. В этой статье используется два термина сети. Один из них — это группа компьютеров в одном физическом сегменте сети. Другой — это диапазон IP-адресов сети, выделенный системным администратором.

  • Сетевой адрес — IP-адрес с частью хоста, которая имеет все нули.

  • Octet — 8-битный номер, 4 из которых составляют 32-битный IP-адрес. Они имеют диапазон от 000000000 до 11111111, соответствующий десятичных значений от 0 до 255.

  • Пакет — единица данных, передаемая по сети TCP/IP или в широкой сети.

  • RFC (запрос на комментарий) — документ, используемый для определения стандартов в Интернете.

  • Маршрутизатор — устройство, которое передает сетевой трафик между различными IP-сетями.

  • Маска подсети — 32-битное число, используемого для разлищения сетей и частей IP-адреса.

  • Подсеть или подсеть — небольшая сеть, созданная путем деления большой сети на равные части.

  • TCP/IP— широко используемый набор протоколов, стандартов и utilities, часто используемых в Интернете и крупных сетях.

  • Широкая сеть (WAN) — крупная сеть, которая является коллекцией небольших сетей, разделенных маршрутизаторами. Интернет является примером большой сети WAN.

Сеть на виртуальной машине | Yandex.Cloud

При создании виртуальной машины необходимо задать настройки сетевого интерфейса, подключенного к ней: выбрать подсеть, к которой будет подключена виртуальная машина, настроить внутренний и публичный IP-адрес. Это позволит виртуальной машине взаимодействовать с другими сервисами во внутренней сети и в сети Интернет.

После подключения сетевого интерфейса виртуальной машине будет присвоен внутренний IP-адрес в подсети и FQDN. Публичный IP-адрес будет присвоен только если это было указано при создании виртуальной машины.

Примечание

Настройка сетевого интерфейса доступна только при создании виртуальной машины. Например, подключить виртуальную машину к другой подсети после создания невозможно.

IP-адреса, FQDN и другую информацию можно узнать в консоли управления, в блоке Сеть на странице виртуальной машины. Эти данные можно использовать для подключения к виртуальной машине.

На виртуальных машинах, созданных из публичных образов Linux, IP-адрес и имя хоста (FQDN) не прописываются автоматически в файл /etc/hosts. Это может повлиять на работу команды sudo.

Внутренний IP-адрес

Вы можете указать внутренний IP-адрес, по которому будет доступна виртуальная машина после создания. Если внутренний IP-адрес не был указан, он будет назначен автоматически.

Примечание

На данный момент поддерживаются только IPv4-адреса. Для виртуальных машин Yandex Compute Cloud и хостов баз данных доступ из интернета и в интернет открыт только через публичные IP-адреса.

Внутренний IP-адрес можно использовать для доступа с одной виртуальной машины на другую. Подключение по внутреннему IP-адресу возможно только с виртуальных машин, которые принадлежат к одной облачной сети.

Внутренний IP-адрес нельзя изменить.

Публичный IP-адрес

Вы можете получить публичный IP-адрес, чтобы иметь доступ к виртуальной машине из сети Интернет.

Публичный IP-адрес назначается автоматически, выбрать его нельзя. Адрес выделяется из пула адресов Yandex.Cloud.

При остановке виртуальной машины ее публичный IP-адрес освобождается, при следующем запуске машина получит новый публичный IP-адрес. При перезагрузке машины публичный IP-адрес сохраняется.

Публичный IP-адрес можно сделать статическим. Подробнее читайте в разделе Сделать публичный IP-адрес виртуальной машины статическим.

Подробнее о правилах тарификации IP-адресов читайте в разделе Публичные IP-адреса документации сервиса Virtual Private Cloud.

Публичный IP-адрес виртуальной машины сопоставляется ее внутреннему IP-адресу с использованием NAT. Поэтому все запросы к виртуальной машине по внешнему IP-адресу передаются на внутренний IP-адрес. Подробнее о NAT читайте в RFC 3022.

Имя хоста и FQDN

При создании виртуальной машине присваивается имя хоста и FQDN. FQDN можно использовать для доступа с одной виртуальной машины на другую в рамках одной облачной сети.

Вы можете задать имя хоста при создании ВМ. На основании имени хоста и региона будет создано доменное имя хоста (FQDN) в следующем формате:

<hostname>.ru-central1.internal

Например, если вы указали имя хоста myinstance, то FQDN будет таким:

myinstance.ru-central1.internal

Примечание

Имя виртуальной машины используется для генерации имени FQDN единожды — при создании ВМ. Если для вас важно имя FQDN, учитывайте это и задавайте нужное имя ВМ при создании.

Если имя хоста не указать, то в качестве имени хоста будет использован ID виртуальной машины. Регион в этом случае не указывается, так как ID виртуальной машины уникален в рамках всего Yandex.Cloud.

MAC-адрес

После подключения сетевого интерфейса к виртуальной машине, ему будет присвоен MAC-адрес устройства.

Вы можете узнать MAC-адрес изнутри виртуальной машины или в информации о ресурсе через API Yandex.Cloud.

Управление сетями | База знаний Selectel

Управление приватными сетями

Создание приватной сети

Для создания приватной сети:

  1. Перейдите в раздел Сеть в проекте.
  2. Укажите необходимый регион.
  3. Нажмите кнопку Создать сеть.
  4. В открывшемся окне введите имя сети.
  5. Пропишите CIDR подсети (диапазон IP-адресов, доступных в этой подсети, можно добавить несколько).
  6. Нажмите кнопку Создать.

Новая подсеть появится в списке.

Внутри приватной сети отсутствует ограничение на объем трафика, что позволяет передавать любой объем данных между вашими сервисами без дополнительных платежей. Количество используемых приватных сетей — без ограничений, с пропускной способностью 1 Гбит/сек.

Все сети можно создать на странице сервера — подробнее в статье Создание облачного сервера.

Объединение серверов в приватную сеть

Все облачные серверы можно объединять в приватную сеть.

Для подключения облачного сервера к нужной приватной сети:

  1. Перейдите в раздел Серверы в проекте.
  2. Откройте страницу сервера.
  3. Перейдите на вкладку Порты.
  4. Нажмите кнопку Добавить порт.
  5. Выберите подсеть из нужной сети и нажмите кнопку Добавить порт.

Приватная сеть работает только внутри проекта и, по умолчанию, недоступна для других проектов аккаунта пользователя и других аккаунтов.

Чтобы сделать приватную сеть одного проекта доступной для другого проекта:

  1. Откройте страницу проекта и скопируйте UUID целевого проекта.
  2. Перейдите в раздел Сеть в проекте.
  3. Разверните меню сети, которую необходимо расшарить на другой проект.
  4. Перейдите на вкладку Проекты.
  5. Добавьте необходимый проект, введя скопированный UUID проекта.

Подключение приватной сети к роутеру

Приватную сеть можно подключить к виртуальному роутеру для организации NAT-доступа в интернет и назначения выбранным облачным серверам внешних IP-адресов.

Для создания роутера:

  1. В разделе Сеть перейдите на вкладку Роутеры.
  2. Укажите необходимый регион.
  3. Нажмите кнопку Создать роутер.
  4. В открывшемся окне укажите регион и введите имя роутера.
  5. Нажмите кнопку Создать.

Созданный роутер можно подключить к шлюзу external network на вкладке Подключение в карточке роутера.
На роутер можно назначить порт на вкладке Порты в карточке роутера. Для этого нажмите кнопку Добавить порт и выберите нужную подсеть.

Подключение сервера к интернету

Доступ в интернет осуществляется через публичные подсети или плавающий IP-адрес, который является полноценным внешним IP-адресом и будет доступен до тех пор, пока не будет удален.
Пропускная способность как через интернет, так и локально — 1 Гбит/сек.

Через публичные подсети

Для подключения сервера к публичной подсети:

  1. В разделе Сеть перейдите на вкладку Публичные сети.
  2. Выберите в списке необходимый регион.
  3. Нажмите кнопку Добавить подсеть.
  4. В открывшемся окне выберите размер подсети, ознакомьтесь со стоимостью услуги и подтвердите оплату.

Для выхода облачного сервера в интернет через публичную сеть откройте страницу сервера, перейдите на вкладку Порты и добавьте порт для подсети из сети с названием “Публичная”.

Через плавающий IP

Для использования плавающего IP:

  1. В разделе Сеть перейдите на вкладку Плавающие IP.
  2. Выберите в списке необходимый регион.
  3. Нажмите кнопку Добавить IP-адрес.
  4. В открывшемся окне укажите количество адресов, ознакомьтесь со стоимостью услуги и подтвердите оплату.

В разделе Роутеры после оплаты появится роутер router-nat, а в разделе Приватные сети — сеть nat.

Для выхода облачного сервера с плавающим IP-адресом в интернет добавьте на странице сервера порт для сети nat и подключите плавающий адрес к этому порту.

VRRP-подсети

Одной VRRP-подсетью можно связать 2 региона. В одном проекте может быть несколько VRRP-подсетей, если в проекте доступно более 2 регионов.

Для использования VRRP-подсети:

  1. Перейдите в раздел Квоты в проекте и нажмите кнопку Изменить квоты.
  2. Измените квоты в поле Межрегиональные ресурсы.
  3. Перейдите в карточке проекта в подраздел Сеть на вкладку VRRP-подсети.
  4. Нажмите кнопку Создать VRRP-подсеть.
  5. Выберите регионы для добавления VRRP-подсети.
  6. Нажмите кнопку Добавить VRRP-подсеть.

VRRP-подсеть будет создана.

В каждом регионе первый эффективный адрес подсети используется как шлюз. Второй адрес зарезервирован под служебные нужды. Оставшиеся четыре адреса можно назначать виртуальным машинам. Подробнее читайте в статьях Резервирование маршрутизатора с использованием протокола VRRP и Опыт использования VRRP.

Управление сетями с помощью CLI

Подробнее о начале работы с OpenStack CLI.

Назначение плавающего IP-адреса

Для выхода облачного сервера в интернет используется плавающий IP-адрес.

Для просмотра списка всех выделенных плавающих IP-адресов:

openstack floating ip list

Для выделения плавающего адреса:

openstack floating ip create external-network

Для назначения серверу плавающего адреса, созданного ранее в панели управления:

openstack server add floating ip <server> <IP address>

В параметре <server> может быть использовано имя или ID сервера.

Создание подсетей и портов

Для создания новой сети:

openstack network create <network name>

В ответе будет выведена таблица с информацией о сети:

+----------------+--------------------------------------+
| Field          | Value                                |
+----------------+--------------------------------------+
| admin_state_up | True                                 |
| id             | add73ca5-6120-43bd-bb56-d1d8d71d21ac |
| name           | localnet                             |
| shared         | False                                |
| status         | ACTIVE                               |
| subnets        |                                      |
| tenant_id      | d15391cc95474b1ab6bd81fb2a73bc5c     |
+----------------+--------------------------------------+

Создать в этой сети подсеть можно при помощи следующей команды:

openstack subnet create \
 --network <network name> \
 --subnet-range <subnet-range> \
 <subnet name>

Для создания в сети порта:

openstack port create \
 --network <network name> \
 <port name>

Для подключения порта к облачному серверу:

openstack server add port [-h] <server> <port name> 

Зачем разделять IPv4 сети на подсети

Предположим, что у вас есть своя сеть класса B (префикс /16). Публичная сеть, или вам вышестоящие админы выдали такую приватную — в данном случае не важно. Вы имеете в своём распоряжении 216-2=65534 адреса. Как же ими распорядиться? Раздать всем пользователям и воткнуть их в огромную цепочку коммутаторов? Это плохое решение. Сеть такого размера обычно разбивают на несколько более мелких и для этого есть ряд причин.

Разбиение домена широковещания.

Первая причина разбиения сети на подсети заключается в том, чтобы не получить огромный broadcast домен. В современных IPv4 сетях широковещательный (broadcast) трафик является необходимым злом. Например, при помощи широковещательных запросов работает протокол ARP, операционная система Windows постоянно что-то рассылает в сеть, чтобы обнаружить другие компьютеры и т.п. Если мы подключим в одну сеть 65 тысяч устройств, то получится, что каждый квант времени кто-то что-то да отправит широковещательного. Такая сеть совершенно не сможет работать, потому что все будут заняты получением широковещательных пакетов. Если мы разобьём такую сеть, например, на 256 сетей в каждой из которых 254 хоста, то мы получим 256 отдельных небольших broadcast доменов, в каждом из которых действует сравнительно небольшое (254) количество источников широковещательного трафика. Такие сети уже смогут работать нормально.

На самом деле, объём широковещательного трафика является основным ограничителем, не позволяющим делать большие сети. Сеть на 254 хоста (/24) работает хорошо, на 510 (/23) средненько и сильно зависит от приложений, которые ней крутятся. На 1022 хоста (/22) сеть можно сделать, но лучше не помещать туда компьютеры. Например, такого размера может быть сеть, в которую подключено 1022 маршрутизатора, использующихся для подключения к удалённым филиалам. Обязательное условие — на этих маршрутизаторах необходимо контролировать каждый чих. Потому что если они начнут слать брудкасты, то сеть перестанет работать. К слову сказать, бывают безбрудкастовые сети с множественным доступом (NBMA сети). Но это, пожалуй, тема для отдельной статьи

Безопасность при разделении сети на подсети

Второй немаловажной причиной разделения сети на подсети является обеспечение определённого уровня безопасности. Дело в том, что в пределах локальной сети у нас сравнительно мало возможностей обеспечения контроля за трафиком. Мы можем, конечно, контролировать на коммутаторах MAC адреса, можем довольно много чего настроить на конечных устройствах (например, сложные правила файрвола на компьютерах). Но лучше всего этим заниматься централизованно при переходе трафика из одной сети в другую. На маршрутизаторе настраивается централизованная фильтрация, можно даже настроить Firewall на маршрутизаторе.

Например, вы планируете разместить в сети камеры видеонаблюдения, бухгалтерию, сервера организации, компьютеры программистов и менеджеров. Совершенно логичным шагом видится разбить сеть на подсети, чтобы в каждой сети были устройства определённого типа. Тогда у нас появляется возможность запретить доступ программистов к бухгалтерии, всем — к камерам видеонаблюдения. При этом разрешить доступ из всех сетей к корпоративным серверам.

[решено] Как разрешить двум сетям использовать одно интернет-соединение?

Привет,

В настоящее время у нас есть сеть (Сеть A), которая использует диапазон IP-адресов 192.1.1.1–192.1.1.254 в подсети 255.255.0.0. В настоящее время я настраиваю новую сеть, в которую мы все в конечном итоге перейдем. Эта сеть (Сеть B) имеет диапазон IP-адресов 192.168.1.1 — 192.168.1.254 и находится в подсети 255.255.255.0.

Сеть A в настоящее время имеет полный доступ в Интернет, обеспечиваемый нашим маршрутизатором (192.1.1.1), подключенного к нашей широкополосной линии. Сеть B в настоящее время не имеет доступа к Интернету.

Я бы очень хотел (и я уверен, что это можно сделать — просто не знаю как!), Чтобы сеть B также имела доступ к Интернету через то же соединение, что и сеть A. Просто чтобы уточнить, сети не разделены физически и используют одни и те же концентраторы / коммутаторы. Каждая сеть имеет свой собственный сервер SBS.

Наш текущий основной маршрутизатор (192.1.1.1) — Linksys WRVS4400N. У меня также есть маршрутизатор Linksys RV082, который можно использовать при необходимости.

Я хочу добиться этого на временный период (пока происходит переключение), поэтому мне не нужно постоянное решение; только тот, который будет работать 🙂

Мы будем очень благодарны за любую помощь, которую вы можете оказать ….


Халапеньо

OP

RedKing

18 марта 2011 г., 07:41 UTC

SarahWHU написал:

Есть ли лучший вариант оборудования / решение, которое упростило бы достижение этой цели? Если да, не могли бы вы что-то предложить или указать мне правильное направление? (спасибо)

Вот идея использования второго маршрутизатора, который у вас уже есть.Это создаст петлю, которая может вызвать сетевой шторм, когда одни и те же пакеты будут непрерывно отправляться по сети. Если это произойдет, вы узнаете, потому что все индикаторы на маршрутизаторах будут гореть постоянно, а ваше интернет-соединение станет крайне медленным.

Чтобы исправить это, отключите второй маршрутизатор и включите основной.

Второй маршрутизатор — Linksys RV082, а основной маршрутизатор — Linksys WRVS4400N.

Итак, идея такая… и требует 2 свободных порта LAN на основном маршрутизаторе:

1) Настройте второй роутер следующим образом

… a) Дайте WAN статический IP-адрес в сети 192.1.1.x с подсетью 255.255.255.0, шлюз по умолчанию: 192.1.1.1, DNS: 192.1.1.1

… б) Дайте локальной сети статический IP-адрес 192.168.1.1 с подсетью 255.255.255.0.

2) Подключите кабель от WAN-порта второго маршрутизатора к свободному LAN-порту на основном маршрутизаторе.

3) Подключите кабель от LAN-порта второго маршрутизатора также к свободному LAN-порту на основном маршрутизаторе.

… N.B. вы только что создали петлю сети, начните искать проблемы с медленным интернет-соединением. Сеть 192.168.1.x теперь должна иметь доступ к Интернету, как и сеть 192.1.1.x.

Следующие шаги — это миграция ваших пользователей в сеть 192.168.1.x

[решено] Две подсети / один интернет-шлюз — сеть

Всем привет,

Я не очень часто теряю свои навыки маршрутизации, поэтому я немного ржавый и не понимаю, как это сделать.

Мы строим новое здание примерно в 50 ярдах от нашего текущего здания, и я хочу настроить его для использования другой подсети, чтобы сократить трансляции и ненужный трафик.

Я собираюсь проложить оптоволокно между зданиями и использовать медиаконвертеры для преобразования оптоволокна в соединение 100/1000 RJ на каждом конце.

У меня вопрос, как лучше всего управлять интернет-шлюзом? Мы хотим разделить это между сетями, а также разрешить трафик между локальными сетями для доступа к базе данных / файлам.

Вот о чем я думал:

Интернет-шлюз (текущий)

172.25.2.140

|

|

Сеть 1 (Текущая сеть)

172.25.0.0/16 (да, я знаю, что он действительно большой, но я унаследовал его)

|

|

Сеть 2 (Новая сеть) —

172.26.0.0/16 (можно пока оставить без изменений)

Правильно ли я предполагаю, что до тех пор, пока у меня есть 2 коммутатора уровня 3 для подключения / маршрутизации между двумя сетями, я могу настроить интернет-шлюз для обслуживания 172.26 сеть?

Очень важно, что я все еще могу перенаправлять порты в обе сети (т.е. порт 80 -> 172.26.0.1 и порт 8080 -> 172.25.0.1) .. возможно ли это?

Есть ли какие-нибудь предложения, как лучше этого добиться? По сути, я просто хочу, чтобы оба здания были в разных сетях, но у меня была возможность совместно использовать интернет-шлюз, общий доступ к файлам и подключения sql.

Спасибо!


Халапеньо

OP

Ян7705

Этот человек — проверенный профессионал.

подтвердите ваш аккаунт
чтобы ИТ-специалисты увидели, что вы профессионал.

6 марта 2012 г., 10:08 UTC

Вот что я бы сделал, если бы вы выбрали путь распутывания. У вас будет 3 или 4 сетевых карты в поле «Распутать».

1. Порт Ван

2. Сеть 172.25.2.0 с IP-адресом 172.25.2.140

3. Сеть 172.26

4. Дополнительный DMZ

Затем вы настраиваете развязку для маршрутизации между сетями.Маршрутизатор позаботится обо всем этом, если не требуется перенаправление портов.

Сеть

— обмен данными с устройствами в другой подсети

Должен ли я просто изменить IP-адрес моего компьютера на 192.168.10.something, или есть другой способ?

Если вам нужно только временно поговорить с 192.168.10.10, это будет проще всего.


Я немного упрощаю следующее, чтобы лучше объяснить:

Чтобы ваш компьютер мог взаимодействовать с любым компьютером, ваша система должна иметь запись в своей локальной таблице маршрутизации (или Forwarding Information Base ) для этой подсети.

Подсеть — это сетевой адрес плюс маска подсети . (Обратите внимание, что маска подсети может быть в форме с точками (255.255.255.0) или в форме CIDR (/ 24) — они выражают одно и то же, хотя для некоторых вещей требуется только одно или другое).

Маска подсети указывает, сколько битов имеет сетевой адрес. Все биты, которые равны 0 в маске подсети (последние 8 для 255.255.255.0 или / 24 — это последнее число в нотации с четырьмя точками), будут равны 0 для сетевого адреса.Полный IP-адрес, фактически присвоенный машине, не будет иметь 0 в этом месте, но записи таблицы маршрутизации работают с сетевыми адресами.

Запись в таблице маршрутизации состоит из подсети и интерфейса и сообщает вашей системе, что если ваша система отправляет трафик из этого интерфейса, она может достичь этой подсети.

Вы получаете бесплатную запись в таблице маршрутизации всякий раз, когда ваша система получает IP-адрес и маску подсети, либо вручную, либо автоматически через DHCP.

Если у вас есть один адаптер Ethernet, и он получает IP / маску подсети 192.168.7.4/24 через DHCP, / 24 означает, что ваша система может отправить что-то из этого адаптера Ethernet и достичь чего-либо еще, начиная с 192.168.7 .

Если вы находитесь в типичной ситуации в локальной сети, где другие машины в этой локальной сети имеют одинаковый сетевой адрес (192.168.7) и маску подсети (/ 24 или 255.255.255.0), это работает.

Вы также получаете бесплатную запись в таблице маршрутизации для вашего адреса обратной связи.127.0.0.1/8.

Если вы добавите еще один интерфейс Ethernet, скажем, USB, и вручную настроите его с IP-адресом, например 192.168.10.1, то же самое произойдет с бесплатными маршрутами. Предположим, вы назначили Ethernet-адаптеру USB 192.168.10.1 маску подсети / 24 (или 255.255.255.0). Итак, теперь ваш компьютер может получить доступ к 192.168.10.7, потому что у него есть путь к нему.

Что если:

  • у вас есть два адаптера, которые могут подключаться к одной подсети?

    • Если они различаются маской подсети, более конкретная (более высокий номер CIDR) будет «выигрывать» и будет использоваться.(Следует упомянуть одну интересную вещь: / 32 — или маску подсети 255.255.255.255 — можно рассматривать как ярлык, который означает «этот конкретный IP-адрес», — чтобы вы могли направлять трафик, исходящий из вашей локальной системы, для определенного IP-адреса на выберите другой интерфейс — например, интерфейс VPN — если хотите, сделав запись в таблице маршрутов с / 32.)

    • В противном случае существует другое значение, называемое метрикой . — будет использоваться адаптер с самой низкой метрикой. Обычно вы устанавливаете более быстрые адаптеры, чтобы иметь более низкие показатели.По этой причине ваш проводной адаптер должен иметь более низкую метрику, чем ваш беспроводной.

    • Если у них одинаковый CIDR и одинаковые метрики, ваша система может выбрать один, а затем придерживаться его, или распределить нагрузку между ними. Это может быть изменено в зависимости от вашей ОС и драйверов.

  • ваша система хочет куда-то отправлять трафик, но у нее нет записи в таблице маршрутизации? Он использует шлюз по умолчанию — он состоит из IP-адреса (который должен быть доступен для другого локального правила маршрутизации.Обычно это будет указывать на ваш выходящий в Интернет маршрутизатор в той же локальной сети в домашней настройке и устанавливается с помощью DHCP, хотя вы также можете установить его вручную, как вы, вероятно, уже знаете.

  • у вас нет шлюза по умолчанию? Он сбрасывает трафик и не отправляет его.

  • у вас несколько шлюзов по умолчанию? Вероятно, он либо выберет случайный, либо будет придерживаться его, либо может загрузить баланс между ними. Это может быть изменено в зависимости от вашей ОС и драйверов.

Как создать отдельную подсеть для беспроводного доступа?

Для этого с помощью оборудования потребительского уровня можно использовать конфигурацию Y с тремя маршрутизаторами.

При настройке двух маршрутизаторов с использованием одной и той же подсети, но в разных «LAN», невозможно для одной сети взаимодействовать с другой сетью.

Подумайте об этом так: у вас есть компьютер в LAN A с IP-адресом 192.168.1.2 и один из беспроводных клиентов в LAN B с IP-адресом 192.168.1.3 . Если в LAN B вы запрашиваете 192.168.1.2 (один из беспроводных клиентов пытается подключиться к проводному клиенту), он переходит к маршрутизатору LAN B, видит, что это запрос для подсети 192.168.1.x , и выполняет не пересылать пакет дальше по цепочке (это может, но не имеет значения, см. нижнюю часть этого ответа). Он также видит, что он не знает ни одного компьютера по адресу 192.168.1.2 (единственный компьютер, о котором он знает, это 192.168.1.3 ), и сообщает исходному компьютеру «неизвестный хост назначения».Если мы запрашиваем любой другой IP-адрес, отличный от 192.168.1.x , он будет использовать шлюз и перейдет в Интернет, чтобы попытаться разрешить ваше IP-соединение.

Это дает вам полную безопасность в вашей сети, предоставляя вам две локальные сети, в которых физически невозможно разговаривать друг с другом, при этом позволяя обеим подключаться к Интернету.


В зависимости от того, как работает прошивка вашего беспроводного маршрутизатора, вы можете сделать это с двумя маршрутизаторами, просто переместив беспроводное соединение с порта LAN на порт WAN.Однако вы можете сделать это только в том случае, если беспроводной маршрутизатор выполняет пересылку запросов НЕ , которые он не может разрешить на шлюз для своей собственной подсети (поэтому в моем предыдущем примере беспроводной маршрутизатор должен НЕ проверять порт WAN на 192.168.1.2 для конфигурация с двумя маршрутизаторами). Плюс к этому, если ваш маршрутизатор ведет себя так, как вы хотите, вам не нужно покупать дополнительное оборудование.

В конфигурации Y 3 маршрутизатора не имеет значения, перенаправляет маршрутизатор запросы или нет, потому что в LAN Y нет 192.168.1.x компьютеров, только два интерфейса WAN маршрутизатора, которые оба 192.168.0.x .


Вот новая диаграмма, которая ближе к исходной, чтобы помочь объяснить ее.

Соедините две подсети через беспроводной мост | Small Business

Если у вас есть основная локальная сеть и интернет-шлюз в одной подсети, и вы хотите предоставить доступ в Интернет к дополнительной локальной сети в другой подсети, вы можете создать беспроводной мост, используя два маршрутизатора и систему беспроводного распределения.Маршрутизатор первичной стороны действует как точка доступа WDS. Он просто направляет локальный трафик, поскольку основная LAN и шлюз находятся в одной подсети. Маршрутизатор вторичной стороны — это станция WDS. Он служит шлюзом, выполняя преобразование сетевых адресов в первую подсеть и предоставляя своим клиентам услуги локальной сети.

Основная LAN

Подключите основной маршрутизатор к портативному компьютеру с помощью кабеля Ethernet. Перейдите на страницу настройки маршрутизатора, которая зависит от вашего маршрутизатора.Например, для маршрутизаторов Linksys введите «http://192.168.1.1» в адресную строку браузера и нажмите «Enter».

Установите для типа подключения WAN значение «Отключено», установите IP-адрес локальной сети на фиксированный адрес в подсети, а затем установите адрес шлюза и адрес DNS на адрес шлюза Интернета. Например:

LAN IP: 192.168.1.100 Маска подсети: 255.255.255.0 Шлюз: 192.168.1.1 DNS: 192.168.1.1

Назначьте настройки беспроводной сети для маршрутизатора. Установите режим работы как точка доступа WDS.Выберите канал, назначьте SSID и настройте безопасность беспроводной сети.

Отключить DHCP-сервер. Измените режим работы с «Шлюз» на «Маршрутизатор», если опция доступна. Выключите или отключите брандмауэр.

Сохраните изменения. Отсоедините кабель Ethernet от ноутбука, подключите его к порту в локальной подсети, а затем перезагрузите маршрутизатор.

Дополнительная локальная сеть

Подключите дополнительный маршрутизатор к портативному компьютеру с помощью кабеля Ethernet.Откройте браузер и перейдите к его экранам настройки. Например, введите: «http://192.168.1.1» и нажмите «Enter».

Выберите фиксированный адрес в основной подсети в качестве адресов WAN для вторичного маршрутизатора. Установите в качестве шлюза IP-адрес основного маршрутизатора, а затем установите DNS-сервер в качестве IP-адреса основного маршрутизатора или адреса DNS-сервера в основной подсети. Например:

WAN IP: 192.168.1.200 Маска подсети: 255.255.255.0 Шлюз: 192.168.1.100 DNS: 192.168.1.1

Установите фиксированный IP-адрес локальной сети во вторичной подсети. Например:

LAN IP: 192.168.2.1 Маска подсети: 255.255.255.0

Включите DHCP-сервер и выберите диапазон DHCP для назначения клиентам. Задайте адреса шлюза и DNS-сервера для назначения клиентам в качестве локального адреса маршрутизатора. Например:

DHCP: включен Диапазон DHCP: 192.168.2.100-192.168.2.250 Шлюз: 192.168.2.1 DNS: 192.168.2.1

Назначьте настройки беспроводной сети для маршрутизатора.Установите режим работы как WDS-станция. Выберите тот же канал, SSID и безопасность беспроводной сети, что и у первичной точки доступа, чтобы маршрутизаторы с мостовым подключением взаимодействовали только друг с другом.

Сохраните изменения, отсоедините кабель Ethernet от маршрутизатора, затем перезагрузите устройство и проверьте, есть ли у вас доступ в Интернет во вторичной подсети.

Ссылки

Советы

  • Если у вас нет доступа к Интернету и вам необходимо устранить неполадки, убедитесь, что у вас есть беспроводное соединение, прежде чем тестировать сетевую маршрутизацию.Отключите безопасность беспроводной сети до тех пор, пока мост не заработает должным образом, а затем снова добавьте его к обоим маршрутизаторам.
  • Чтобы разрешить трафик из первичной подсети во вторичную подсеть, создайте статический маршрут к WAN IP-адресу вторичного маршрутизатора или просто объедините две сети в одну подсеть.

Writer Bio

Опыт Стива МакДоннелла в ведении бизнеса и создании новых компаний дополняет его технические знания в области информации, технологий и человеческих ресурсов.Он получил степень по информатике в Дартмутском колледже, работал в редакционной коллегии WorldatWork, вел блог Spotfire Business Intelligence и публиковал книги и главы в книгах для International Human Resource Information Management и Westlaw.

маршрутизация — обмен данными между маршрутизаторами в другой подсети

Закрыто. Вопрос не по теме.В настоящее время он не принимает ответы.


Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Network Engineering Stack Exchange.

Закрыт 3 года назад.

Это мой первый вопрос по Network Engineering SE, прошу прощения, если он не соответствует номиналу.

Я пытаюсь помочь местному бизнесу с настройкой сети, но я наткнулся на препятствие. По сути, у них есть программное обеспечение, которое требует, чтобы «серверный» компьютер имел IP-адрес 192.168.127.1 . Последующие «клиентские» компьютеры имеют номера 192.168.127.2 и т. Д., И все они имеют маску подсети 255.255.128.0 .

Проблема, с которой я столкнулся, заключается в том, что они недавно сменили интернет-провайдера, и их новый шлюз / модем настроен как 192.168.2.1 . Поскольку каждая машина в сети имеет статический IP-адрес в подсети, отличной от подсети шлюза, они не могут связываться с Интернетом, хотя они все еще могут связываться с LAN.

Моя первоначальная мысль заключалась в том, чтобы просто изменить локальный интерфейс шлюза на 192.168.127.1 , но эта идея была отклонена требованиями их программного обеспечения, поэтому 192.168.127.1 уже занят.

Тогда я подумал, что, возможно, я могу изменить маску подсети шлюза на 255.255.128.0 , что (, я думаю, ) поместит шлюз и компьютеры в одну подсеть. Однако шлюз допускает только 255.255.255.0 , 255.255.255.128 и 255.255.255.224 (или что-то очень близкое к последнему).

Итак, в настоящее время мы в основном застряли в «или / или», где они могут либо находиться в локальной сети, используя статический IP-адрес и общаться со своим программным обеспечением, либо использовать DHCP и иметь возможность просматривать Интернет, но без возможности доступа. ЛВС.

Странно то, что при использовании статических IP-адресов некоторые сайты все еще работают, например Google. Похоже, что IPv6 все еще может работать, но еще не все сайты поддерживают IPv6, поэтому это очень ограниченное подмножество Интернета.

Я попытался вручную ввести DNS-сервер IPv4, но это тоже не помогло. Я не специалист по сетям, поэтому это может быть очень элементарный вопрос, но я надеюсь, что кто-то из присутствующих сможет пролить свет на эту ситуацию.

vpn — Установление соединения между двумя 2 устройствами в 2 разных подсетях

У меня проблема с маршрутизацией между двумя подсетями.Вот как выглядит структура сети моей компании:

  • Существует подсеть с IP-адресом: 172.16.218.0 (основная сеть компании, подключенная напрямую к Интернету через маршрутизатор)
  • Вторая подсеть будет сетью с IP: 192.168.0.0
  • Между сетями 172.16.218.0 и 192.168.0.0 находится еще один маршрутизатор (маршрутизатор 2), который используется для VPN-соединения с устройствами в сети 192.168.0.0 (удаленный доступ извне сети компании).

Теперь есть устройство (устройство 1 — виртуальный сервер) в сети 172.16.218.0, которому необходимо обмениваться данными с другим устройством (устройство 2 — ПЛК Siemens) в сети 192.168.0.0 через так называемый OPC-сервер (используется в основном в промышленной автоматизации). Идеальной ситуацией было бы, чтобы эти два устройства находились в одной подсети, но, к сожалению, это не так.

У меня возникли проблемы с настройкой маршрутизатора 2, чтобы он работал как VPN-интерфейс и в то же время позволял обмениваться данными между устройством 1 и устройством 2.Я добавил маршрут с помощью команды «добавить маршрут», но это не сработало (маршрут между устройством 1 и 2).

Моя идея состояла в том, чтобы настроить еще один маршрутизатор (маршрутизатор 3) между устройством 1 и устройством 2 и установить между ними VPN-соединение. Прежде чем сделать это, я хотел спросить, имеет ли все это смысл.

Edit: чтобы быть более конкретным: я добавил картинку, на которой вы можете увидеть, как выглядит структура сети.
— Устройства в подсети 1 получают IP-адреса через DHCP.
— Устройства в подсети 2 получают статические IP-адреса.
— Маршрутизатор 1 используется для доступа в Интернет.
— Маршрутизатор 2 используется для создания туннеля для удаленного доступа к устройствам в подсети 2 из внешней подсети 1 и подсети 2 (через Интернет).
— Устройство 1 и Устройство 2 должны каким-то образом взаимодействовать (на устройстве 1 работает OPC-сервер).
— OPC-связь работает отлично, если устройство 1 и устройство 2 находятся в одной подсети.
В конфигурации OPC-сервера (Устройство 1) мы можем установить IP-адрес подчиненного устройства (Устройство 2), и связь уже должна работать (при условии, что мы находимся в одной подсети).Здесь все сложнее, поскольку они находятся в двух разных подсетях.
— Маршрутизатор 2 настроен с использованием mbConnect24 (веб-клиент), а сам маршрутизатор является промышленным маршрутизатором (mbNET). В конфигурации есть два основных аспекта — LAN-адрес для подсети 2 (192.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *