Выход в интернет из другой подсети: Как взять интернет из другой подсети? — Хабр Q&A
Как раздать Интернет в две подсети?
Доброго дня, ребят. Нынче тема нашего выпуска будет ориентирована на ту немногочисленную категорию подписчиков, которая уже работает на предприятиях. Ибо связана она с насущной практической проблемой, с которой за этот год, мне пришлось столкнуться уже дважды. Чтобы там не говорили по телевизору, но финансирование многих государственных учреждений каждый год понемножку урезают. Делается это в разных сферах. В том числе и в компьютерно-информационной области. Поэтому если раньше многие зажиточные предприятия могли позволить иметь в своём распоряжении основной канал доступа в Интернет, резервный канал, отдельную линию для начальства, чтобы не загружать основной и из соображений безопасности. То сейчас ситуация постепенно меняется.
Как правило, дополнительные каналы отключают, оставляя один быстрый. Следовательно, все компьютеры для доступа к Интернету используют один шлюз. Но как в такой ситуации можно обеспечить безопасность данных? Если и директор филиала Газпрома и простой эникейщик Васька находятся в одной сети, то рано или поздно может случиться страшное. Перечитает наш Вася на досуге очередной номер «Хакера» и начнёт удалённо проверять компьютер вышестоящего начальства на прочность. Для того чтобы избежать в будущем подобных ситуаций системному администратору требуется разделить единую сеть на подсети. Сделать это можно, например, в соответствии с названиями структурных подразделений.
Для лучшего понимания, давайте немного упростим. Допустим, разобьём сеть небольшого офиса на «Общую сеть» и «сеть бухгалтерии». Пускай первая сеть будет 192.168.1.X, а вторая 192.168.2.X. Тогда для компьютеров общей сети в качестве шлюза мы пропишем 192.168.1.1 (это IP адрес нашего роутера), а для бухгалтерии… Вот тут самое интересное. Что прописать для бухгалтерии в качестве шлюза, чтобы и интернет работал напрямую и подсетка, была отдельная? Да ничего. Нахрапом этот вопрос не решить. Однако существуют несколько проверенных способов решения данной задачи, о которых я и собираюсь вам сегодня рассказать. У каждого из них есть свои плюсы и минусы. Можно задействовать исключительно аппаратные средства, а также комбинировать их в связке с программным решением.
Сюжет будет полезен всем без исключения начинающим и более-менее опытным сисадминам. Ну а для тех, кто ещё не занимает почётную должность старшего системного администратора или техника в филиале Газпрома, но прикладывает все свои силы, чтобы в будущем попасть в высшую лигу, я предлагаю вмести с нами, разобрать по полочкам интересную ситуационную задачку и посмотреть варианты решения.
Задача «Раздача Интернета двум подсетям»
Дано:
В небольшом офисе есть 2 локальные сети, не объединенные друг с другом (общая сеть и сеть для бухгалтеров). Две этих сети разделены в целях безопасности, чтобы никто из общей сети не мог попасть в сеть бухгалтерии. После сокращения финансирования на предприятии было решено оставить один канал, для доступа к Интернету. Данный канал с недавнего времени используется в качестве основного для всех пользователей общей сети. Бухгалтерская сеть после отключения собственного отдельного канала осталась без Интернета.
Найти:
Необходимо рассмотреть способы с помощью которых, можно обеспечить бухгалтерской сети доступ к каналу Интернета таким образом, чтобы общая сеть и сеть бухгалтерии «не видели друг друга».
Решение 1. Прокси-сервер
Первое, что лично мне пришло в голову это прокси-сервер. Аппаратный или программный. Например, на базе User Gate 2.8, который мы рассматривали пару месяцев назад. Тут всё просто. Находим слабенький компьютер, даём на него интернет, накатываем проксю, прописываем пользователей и вводим в общую сеть. Подсетка бухов получает контролируемый инет. А мы вроде бы решили проблему. Но не тут то было! Во-первых, инет этот будет не такой быстрый, как на прямую с роутера. Во-вторых, если у вас не купленная навороченная прокся, а старый крякнутый гейт, то вы получите массу проблем с HTTPs сайтами и специализированными программами, использующими в своей работе хитрые протоколы. И в третьих, самое прискорбное то, что наш прокси-сервер будет выступать в роли моста между общей сетью и выделенной подсетью, а это в свою очередь влечёт за собой возможность доступа к общим ресурсам со всех компьютеров. Да я знаю, что можно ещё поднять и произвести тонкую настройку фаервола… Это уже совсем лютый вариант. Он вряд ли подойдёт новичкам.
В таких ситуациях мне всегда вспоминаются знаменитые слова Наполеона. «Самые простые решения – одновременно самые лучшие». Переосмыслив всё вышесказанное можно сделать вывод, что для маленькой офисной сети прокси-сервер в связке с фаерволом не самое лучшее решение, хотя и реализуемое при должном опыте.
Решение 2. VLANы на коммутаторе
Второй способ подойдёт тем, кто изначально грамотно спроектировал свою сеть или уже попал на предприятие с правильным расположением объектов сетевой инфраструктуры. Что лично я подразумеваю под правильным расположением? Это наличие серверной комнаты с ограниченным для посторонних лиц доступом. И расположение в этой комнате центральных узлов сети: контроллера домена, роутера и центрального коммутатора. Именно связка, в которой возможно подключение роутера в центральный управляемый коммутатор и будет являться основой для следующего решения. Ибо в нём мы будем создавать VLANы (виртуальные локальные сети) на свитче. О том к чему это приведёт, и какие недостатки имеет подобный подход, сейчас разберёмся.
Для демонстрации я буду использовать роутер ASUS DSL-N12U и коммутатор D-LINK DGS-1224T. Ничего особенного. Вполне посредственный роутер и устаревший управляемый свитч с минимумом настроек. Подключаем кабель от роутера в 23 порт, кабель от компьютера из общей сети в 1, а кабель от одного из ПК выделенной подсети в порт №9. Все настройки я буду выполнять с ещё одного дополнительного компьютера, который подключу в 24 порт, чтоб не запутаться.
Шаг 1. Как только вся возня с проводами окончена, можем заходить на свитч. По умолчанию веб-интерфейс срабатывает по адресу 192. 168.0.1 и положительно реагирует на пароль admin.
Шаг 2. Сразу рекомендую поменять IP адрес. Делается это во вкладке «System». В качестве примера изменю последнюю цифру на 24, затем пропишу IP адрес роутера и сохраню настройки, кликнув на «Apply».
Шаг 3. Ну что. Пора взяться за VLANы. Переходим в соответствующую вкладку и жмём «Add new VID (VLAN ID)».
Шаг 4. В появившемся окне присваиваем правилу номер (например 2) и выделяем какие порты будут видеть друг друга в случае работы по второму правилу. Допустим с 1 по 8 и 23 (порт роутера). Должны же они как то инет получать. Первые восемь портов для компьютеров в нашем случае это общая сеть.
Шаг 5. По аналогии создаём третье правило. В котором портам с 9 по 16 открываем доступ к друг дружке и роутеру. Это будет наша подсеть. Она ни в коем случае не будет пересекаться с общей сетью, но при этом будет иметь доступ к Интернету. Сохраняемся.
Шаг 6. Далее в раскрывающемся вверху списке выбираем параметр «Port VID Setting» и прописываем какие из портов по какому правилу будут работать. Как мы уже определились ранее порты с 1 по 8 будут работать по правилу №2, с 9 по 16 возьмут за основу 3 правило, а с 17 по 24 останутся работать на дефолте и будут видеть всех. Подразумевается, что сеть у нас маленькая и последний диапазон портов будет свободен, и если уж и будет использоваться, то только админом и только для настройки.
Шаг 7. Со свитчом всё. Полезли на роутер. По умолчанию он тоже имеет IP адрес 192.168.0.1. Меняем его на уникальный. Делается это во вкладке ЛВС. Такс. Раз уж он подключён в 23 порт, то пусть и IP имеет 192.168.0.23.
class=»eliadunit»>
Шаг 8. Осталось настроить компьютеры. На первом компьютере (из общей сети) прописываем IPшник (192.168.0.1), стандартную маску (255.255.255.0) и в качестве основного шлюза и DNS — адрес роутера, который мы изменили шагом выше (192. 168.0.23).
Шаг 9. Аналогичным образом поступаем с компьютером подключённым в 9 порт. Не волнуйтесь о том, что третий блок в их IP адресе совпадает. В сети они всё равно друг друга не увидят.
Шаг 10. Или увидят? Давайте убедимся в этом. Но сначала проверим интернет. Для этого пошлём PING с первого компьютера на роутер. Уф. Прошёл. А теперь проверим пинганёт ли он своего собрата из другой подсети. Тааак. Кажись не пинганёт. Значит со стороны компьютера общей сети всё отлично.
Шаг 11. Убеждаемся в правоте наших доводов со стороны бухгалтерского компьютера. Инет работает, общую сеть не видит. PROFIT!
Однако не всё так безоблачно. Работоспособность данного способа возможна лишь в ситуации, когда компьютеры сети и роутер подключены в один управляемый свитч. В случае же, если между рабочими станциями и связкой роутер-свитч натыкано ещё Nое количество коммутаторов или хабов, такой вариант не сработает. Поэтому такой метод решения подойдёт лишь в той ситуации, когда сеть маленькая и её можно чуточку модернизировать, заведя всех в один свитч. Или в случае, если вы проводите большую сеть с нуля и подключаете все провода от компьютеров в серверной комнате.
Решение 3. Второй дополнительный роутер
Ну, хорошо. А что же делать тем, кто имеет в своём распоряжении относительно крупную сеть, щупальцы которой охватывают несколько зданий? Ведь и ежу понятно, что перепроводка всех участков этого монстра опасна для нервной системы всех работников предприятия. Всюду беспорядочно натыканы свитчи, не о какой серверной комнате и речи не идёт, а роутер находится вообще в курилке под потолком. Страшно представить? Да такое случается сплошь и рядом. И дабы не ударить в грязь лицом и показать себя как специалиста, нам нужно суметь решить поставленную задачу даже в подобных условиях.
Для начала нам понадобится второй роутер. Я возьму роутер той же модели, что и в прошлом случае. Подключаем к простеньким свитчам все компьютеры. Один будет играть роль ПК из общей сети, другой роль компьютера из подсети. В один из свитчей подключаем роутер имеющий подключение к Интернету по оптоволокну (или ADSL). А второй, дополнительный роутер ставим поближе к подсети и подключаем его WANом в общую сеть, а LANом в подсеть. После того, как все работы по коммутации произведены, переходим к настройке оборудования.
Шаг 1. Заходим на дополнительный роутер и в настройках Ethernet WAN активируем функцию «Включить Ethernet WAN на порту». Далее выбираем из списка порт, в который будет вставлен провод из общей сети. В типе подключения указываем «Static IP» для того, чтобы можно было в настройках IP адреса вручную задавать IP, маску и шлюз. Чем мы собственно сейчас и займёмся. Прописываем IP адрес из диапазона общей сети, например 192.168.0.2, маска оставляем по умолчанию, а в качестве шлюза указываем адрес нашего основного интернет-роутера 192.168.0.1. Чуть ниже не забываем прописать DNSку. Её адрес будет такой же как и адрес роутера. Сохраняем все настройки, нажав внизу на кнопочку «применить».
Шаг 2. Интернет на дополнительный роутер мы дали. Но компьютеры в подсети до сих пор его не видит. А нам нужно сделать так, чтобы для выделенной сети он выступал в качестве устройства для выхода в Интернет. Для этого на вкладочке «ЛВС» задаём роутеру адрес из диапазона сети бухгалтерии. Например, 192.168.123.45. Этот адрес мы будем указывать в качестве шлюза и DNS-сервера на всех тачках подсети.
Шаг 3. В принципе можно уже проверять. Давайте пропишем все настройки для одного из компьютеров подсети. Пусть IP адрес будет 192.168.123.1, маска стандартная, шлюз и DNS как мы уже обговаривали ранее 192.168.123.45.
Шаг 4. Сохраняем и пробуем пропинговать сначала новоиспечённый роутер, а затем один из компьютеров, который находится в общей сети. В первом случае результат, как видим положительный. А вот во втором, никак. Значит и со стороны общей сети в сетевом окружении нас не видно.
Шаг 5. Для полной гарантии того, что всё получилось, запустим браузер и удостоверимся в наличии Интернет-соединения. Всё работает. Отлично.
Вывод:
Таким образом, мы разобрали три реально работающих решения для конкретной ситуационной задачи, с которой может столкнуться каждый начинающий и более-менее опытный системный администратор. Можно ли ответить какой из способов самый лучший? Наверное, нет. Тут всё зависит от дополнительных условий, поставленных перед вами. А также ресурсов, которыми вы на момент постановки задачи располагаете.
Если вы крутой админ прочитавший все возможные учебники, побывавший на десятках семинаров по циске и имеющий за плечами огромный опыт администрирования сетей, то…зачем вы вообще читаете эту статью? Ну а серьёзно, если бюджет позволяет раскошелиться на прокси-сервер и аппаратный фаервол, то делайте это. Настроив всё один раз, вы получите хорошо защищённый и полностью подконтрольный инструмент управления выходом в глобальную сеть. Первый способ он самый трушный.
Второй подойдёт тем, кто имеет в своём распоряжении более-менее приличную серверную с коммутационным центром. Или тем, у кого просто в шкафу завалялся старенький управляемый свитч, а сеть которую вы обслуживаете очень маленькая.
Третий же вариант подойдёт абсолютно всем. Он применим в любой ситуации. Однако требует дополнительных расходов на роутер. Либо, если уж берёте из того же дряхлого шкафа, старый, то обязательно убедитесь, что в нём есть минимум 2 порта RJ-45 и его прошивка поддерживает возможность назначения одного из них в качестве WAN-интерфейса.
Всё друзья. Я как всегда затянул выпуск. Хотя прекрасно понимаю, что ваше время это самый ценный ресурс. Но ребят. По опыту знаю, что лучше 1 раз потратить 15-20 минут и получить ценную информацию. Чем неделями сидеть на форумах и по чайной ложке вычерпывать из разных постов крупицы полезной инфы. Так, что не серчайте. До встречи через недельку. Всем добра и хорошего новогоднего настроения!
class=»eliadunit»>
Полезные материалы:
IP-адресация и создание подсетей для новых пользователей
Введение
В этом документе приведена основная информация, необходимая для настройки маршрутизатора для IP-маршрутизации, в том числе сведения о повреждении адресов и работе подсетей. Здесь содержатся инструкции по настройке для каждого интерфейса маршрутизатора IP-адреса и уникальной подсети. Приведенные примеры помогут объединить все сведения.
Предварительные условия
Требования
Рекомендуется иметь хотя бы базовое представление о двоичной и десятичной системах счисления.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Дополнительные сведения
Если определения помогают вам, воспользуйтесь следующими терминами словаря, чтобы начать работу:
-
Адрес — Уникальный ID-номер, назначенный одному узлу или интерфейсу в сети.
-
Подсеть — это часть сети, в которой совместно используется определенный адрес подсети.
-
Маска подсети — 32-битная комбинация, используемая для того, чтобы описать, какая часть адреса относится к подсети, а какая к узлу.
-
Интерфейс — сетевое подключение.
Если уже имеются адреса в Интернете, официально полученные из центра сетевой информации InterNIC, то можно приступать к работе. Если подключение к Интернету не планируется, настоятельно рекомендуется использовать зарезервированные адреса, как описано в документе RFC 1918.
Изучение IP-адресов
IP-адрес — это адрес, который используется для уникальной идентификации устройства в IP-сети. Адрес состоит из 32 двоичных разрядов и с помощью маски подсети может делиться на часть сети и часть главного узла. 32 двоичных разряда разделены на четыре октета (1 октет = 8 битов). Каждый октет преобразуется в десятичное представление и отделяется от других октетов точкой. Поэтому принято говорить, что IP-адрес представлен в десятичном виде с точкой (например, 172.16.81.100). Значение в каждом октете может быть от 0 до 255 в десятичном представлении или от 00000000 до 11111111 в двоичном представлении.
Ниже приведен способ преобразования двоичных октетов в десятичное представление: Самый правый бит (самый младший разряд) октета имеет значение 20.Расположенный слева от него бит имеет значение 21.И так далее — до самого левого бита (самого старшего разряда), который имеет значение 27. Таким образом, если все двоичные биты являются единицами, эквивалентом в десятичном представлении будет число 255, как показано ниже:
1 1 1 1 1 1 1 1 128 64 32 16 8 4 2 1 (128+64+32+16+8+4+2+1=255)
Ниже приведен пример преобразования октета, в котором не все биты равны 1.
0 1 0 0 0 0 0 1 0 64 0 0 0 0 0 1 (0+64+0+0+0+0+0+1=65)
В этом примере показан IP-адрес, представленный в двоичном и десятичном форматах.
10. 1. 23. 19 (decimal) 00001010.00000001.00010111.00010011 (binary)
Эти октеты разделены таким образом, чтобы обеспечить схему адресации, которая может использоваться как для больших, так и для малых сетей. Существует пять различных классов сетей: от A до E (используются буквы латинского алфавита). Этот документ посвящен классам от A до C, поскольку классы D и E зарезервированы и их обсуждение выходит за рамки данного документа.
Примечание: Также следует отметить, что термины ««класс A», «класс B» и так далее используются в данном документе для облегчения понимания IP-адресации и организации подсетей. Эти термины фактически уже не используются в промышленности из-за введения бесклассовой междоменной маршрутизации (CIDR).
Класс IP-адреса может быть определен из трех старших разрядов (три самых левых бита первого октета). На рис. 1 приведены значения трех битов старшего разряда и диапазон адресов, которые попадают в каждый класс. Для справки показаны адреса классов D и Е.
Рисунок 1
В адресе класса A первый октет представляет собой сетевую часть, поэтому пример класса A на рис. 1 имеет основной сетевой адрес 1.0.0.0 – 127.255.255.255. Октеты 2,3 и 4 (следующие 24 бита) предоставлены сетевому администратору, который может разделить их на подсети и узлы. Адреса класса A используются в сетях с количеством узлов, превышающим 65 536 (фактически до 16777214 узлов!)!).
В адресе класса B два первых октета представляют собой сетевую часть, поэтому пример класса B на рис. 1 имеет основной сетевой адрес 128.0.0.0 – 191.255.255.255. Октеты 3 и 4 (16 битов) предназначены для локальных подсетей и узлов. Адреса класса B используются в сетях с количеством узлов от 256 до 65534.
В адресе класса C первые три октета представляют собой сетевую часть. Пример класса C на рис. 1 имеет основной сетевой адрес 192.0.0.0 – 223.255.255.255. Октет 4 (8 битов) предназначен для локальных подсетей и узлов. Этот класс идеально подходит для сетей, в которых количество узлов не превышает 254.
Маски сети
Маска сети позволяет определить, какая часть адреса является сетью, а какая часть адреса указывает на узел. Сети класса A, B и C имеют маски по умолчанию, также известные как естественные маски:
Class A: 255.0.0.0 Class B: 255.255.0.0 Class C: 255.255.255.0
IP-адрес в сети класса A, которая не была разделена на подсети, будет иметь пару «адрес/маска», аналогичную: 8.20.15.1 255.0.0.0. Чтобы понять, как маска помогает идентифицировать сетевую и узловую части адреса, преобразуйте адрес и маску в двоичный формат.
8.20.15.1 = 00001000.00010100.00001111.00000001 255.0.0.0 = 11111111.00000000.00000000.00000000
Когда адрес и маска представлены в двоичном формате, идентификацию сети и хоста выполнить гораздо проще. Все биты адреса, для которых соответствующие биты маски равны 1, представляют идентификатор сети. Все биты адреса, для которых соответствующие биты маски равны 0, представляют идентификатор узла.
8.20.15.1 = 00001000.00010100.00001111.00000001 255.0.0.0 = 11111111.00000000.00000000.00000000 ----------------------------------- net id | host id netid = 00001000 = 8 hostid = 00010100.00001111.00000001 = 20.15.1
Изучение организации подсетей
Подсети позволяют создавать несколько логических сетей в пределах одной сети класса А, В или С. Если не использовать подсети, то можно будет использовать только одну сеть из сети класса A, B или C, что представляется нереалистичным.
Каждый канал передачи данных в сети должен иметь уникальный идентификатор сети, при этом каждый узел в канале должен быть членом одной и той же сети. Если разбить основную сеть (класс A, B или C) на небольшие подсети, это позволит создать сеть взаимосвязанных подсетей. Каждый канал передачи данных в этой сети будет иметь уникальный идентификатор сети или подсети. Какое-либо устройство или шлюз, соединяющее n сетей/подсетей, имеет n различных IP-адресов — по одному для каждой соединяемой сети/подсети.
Чтобы организовать подсеть в сети, расширьте обычную маску несколькими битами из части адреса, являющейся идентификатором хоста, для создания идентификатора подсети. Это позволит создать идентификатор подсети. Пусть, например, используется сеть класса C 204.17.5.0, естественная сетевая маска которой равна 255.255.255.0. Подсети можно создать следующим образом:
204.17.5.0 - 11001100.00010001.00000101.00000000 255.255.255.224 - 11111111.11111111.11111111.11100000 --------------------------|sub|----
Расширение маски до значения 255.255.255.224 произошло за счет трех битов (обозначенных «sub») исходной части узла в адресе, которые были использованы для создания подсетей. С помощью этих трех битов можно создать восемь подсетей. Оставшиеся пять битов идентификаторов хоста позволяют каждой подсети содержать до 32 адресов хостов, 30 из которых фактически можно присвоить устройствам, поскольку идентификаторы хостов, состоящие из одних нулей или одних единиц, не разрешены (это очень важно, запомните это). С учетом всех изложенных факторов были созданы следующие подсети.
204.17.5.0 255.255.255.224 host address range 1 to 30 204.17.5.32 255.255.255.224 host address range 33 to 62 204.17.5.64 255.255.255.224 host address range 65 to 94 204.17.5.96 255.255.255.224 host address range 97 to 126 204.17.5.128 255.255.255.224 host address range 129 to 158 204.17.5.160 255.255.255.224 host address range 161 to 190 204.17.5.192 255.255.255.224 host address range 193 to 222 204.17.5.224 255.255.255.224 host address range 225 to 254
Примечание: Существует два способа обозначения этих масок. Первый: поскольку используется на три бита больше, чем в обычной маске класса C, можно обозначить эти адреса как имеющие 3-битовую маску подсети. Вторым методом обозначения маски 255.255.255.224 является /27, поскольку в маске задано 27 битов. Второй способ используется с методом адресации CIDR. При использовании данного способа одна из этих сетей может быть описана с помощью обозначения префикса или длины. Например, 204.17.5.32/27 обозначает сеть 204.17.5.32 255.255.255.224. Если применяется, записи префикса/длины используются для обозначения маски на протяжении этого документа.
Схема разделения на подсети в этом разделе позволяет создать восемь подсетей, и сеть может выглядеть следующим образом:
Рис. 2
Обратите внимание, что каждый из маршрутизаторов на рис. 2 подключен к четырем подсетям, причем одна подсеть является общей для обоих маршрутизаторов. Кроме того, каждый маршрутизатор имеет IP-адрес в каждой подсети, к которой он подключен. Каждая подсеть может поддерживать до 30 адресов узлов.
Из этого можно сделать важный вывод. Чем больше битов используется для маски подсети, тем больше доступно подсетей. Однако чем больше доступно подсетей, тем меньше адресов узлов доступно в каждой подсети. Например, в сети класса C 204.17.5.0 при сетевой маске 255.255.255.224 (/27) можно использовать восемь подсетей, в каждой из которых будет содержаться 32 адреса узлов (30 из которых могут быть назначены устройствам). Если использовать маску 255.255.255.240 (/28), разделение будет следующим:
204.17.5.0 - 11001100.00010001.00000101.00000000 255.255.255.240 - 11111111.11111111.11111111.11110000 --------------------------|sub |---
Поскольку теперь имеются четыре бита для создания подсетей, остаются только четыре бита для адресов узлов. В этом случае можно использовать до 16 подсетей, в каждой из которых может использоваться до 16 адресов узлов (14 из которых могут быть назначены устройствам).
Посмотрите, как можно разделить на подсети сеть класса B. Если используется сеть 172.16.0.0, то естественная маска равна 255.255.0.0 или 172.16.0.0/16. Расширение маски до значения выше 255.255.0.0 означает разделение на подсети. Можно быстро понять, что можно создать гораздо больше подсетей по сравнению с сетью класса C. Если использовать маску 255.255.248.0 (/21), то сколько можно создать подсетей и узлов в каждой подсети?
172.16.0.0 - 10101100.00010000.00000000.00000000 255.255.248.0 - 11111111.11111111.11111000.00000000 -----------------| sub |-----------
Вы можете использовать для подсетей пять битов из битов оригинального хоста. Это позволяет получить 32 подсети (25). После использования пяти битов для подсети остаются 11 битов, которые используются для адресов узлов. Это обеспечивает в каждой подсети 2048 адресов хостов (211), 2046 из которых могут быть назначены устройствам.
Примечание: Ранее существовали ограничения на использование подсети 0 (все биты подсети имеют значение 0) и подсети со всеми единицами (все биты подсети имеют значение 1). Некоторые устройства не разрешают использовать эти подсети. Устройства Cisco Systems позволяют использовать эти подсети при настройке команды ip subnet zero.
Примеры
Упражнение 1
После ознакомления с концепцией подсетей, примените новые знания на практике. В этом примере предоставлены две комбинации «адрес/маска», представленные с помощью обозначения «префикс/длина», которые были назначены для двух устройств. Ваша задача — определить, находятся эти устройства в одной подсети или в разных. С помощью адреса и маски каждого устройства можно определить, к какой подсети принадлежит каждый адрес.
DeviceA: 172.16.17.30/20 DeviceB: 172.16.28.15/20
Определим подсеть для устройства DeviceA:
172.16.17.30 - 10101100.00010000.00010001.00011110 255.255.240.0 - 11111111.11111111.11110000.00000000 -----------------| sub|------------ subnet = 10101100.00010000.00010000.00000000 = 172.16.16.0
Рассмотрение битов адресов, соответствующие биты маски для которых равны единице, и задание всех остальных битов адресов, равными нулю (аналогично выполнению логической операции И между маской и адресом), покажет, к какой подсети принадлежит этот адрес. В рассматриваемом случае устройство DeviceA принадлежит подсети 172.16.16.0.
Определим подсеть для устройства DeviceB:
172.16.28.15 - 10101100.00010000.00011100.00001111 255.255.240.0 - 11111111.11111111.11110000.00000000 -----------------| sub|------------ subnet = 10101100.00010000.00010000.00000000 = 172.16.16.0
Следовательно, устройства DeviceA и DeviceB имеют адреса, входящие в одну подсеть.
Пример упражнения 2
Если имеется сеть класса C 204.15.5.0/24, создайте подсеть для получения сети, показанной на рис. 3,с указанными требованиями к хостам.
Рис. 3
Анализируя показанную на рис. 3 сеть, можно увидеть, что требуется создать пять подсетей. Самая большая подсеть должна содержать 28 адресов узлов. Возможно ли это при использовании сети класса C? И если да, то каким образом следует выполнить разделение на подсети?
Можно начать с оценки требования к подсетям. Чтобы создать пять подсетей, необходимо использовать три бита из битов узла класса C. Два бита позволяют создать только четыре подсети (22).
Так как понадобится три бита подсети, для части адреса, отвечающей за узел, останется только пять битов. Сколько хостов поддерживается в такой топологии? 25 = 32 (30 доступных). Это отвечает требованиям.
Следовательно, можно создать эту сеть, используя сеть класса C. Пример назначения подсетей:
netA: 204.15.5.0/27 host address range 1 to 30 netB: 204.15.5.32/27 host address range 33 to 62 netC: 204.15.5.64/27 host address range 65 to 94 netD: 204.15.5.96/27 host address range 97 to 126 netE: 204.15.5.128/27 host address range 129 to 158
Пример VLSM
Следует обратить внимание на то, что в предыдущих примерах разделения на подсети во всех подсетях использовалась одна и та же маска подсети. Это означает, что каждая подсеть содержала одинаковое количество доступных адресов узлов. Иногда это может понадобиться, однако в большинстве случаев использование одинаковой маски подсети для всех подсетей приводит к неэкономному распределению адресного пространства. Например, в разделе «Пример упражнения 2» сеть класса C была разделена на восемь одинаковых по размеру подсетей; при этом каждая подсеть не использует все доступные адреса хостов, что приводит к бесполезному расходу адресного пространства. На рис. 4 иллюстрируется бесполезный расход адресного пространства.
Рис. 4
На рис. 4 показано, что подсети NetA, NetC и NetD имеют большое количество неиспользованного адресного пространства. Это могло быть сделано преднамеренно при проектировании сети, чтобы обеспечить возможности для будущего роста, но во многих случаях это просто бесполезный расход адресного пространства из-за того, что для всех подсетей используется одна и та же маска подсети .
Маски подсетей переменной длины (VLSM) позволяют использовать различные маски для каждой подсети, что дает возможность более рационально распределять адресное пространство.
Пример VLSM
Если имеется точно такая сеть и требования, как в разделе «Пример упражнения 2», подготовьте схему организации подсетей с использованием адресации VLSM, учитывая следующее:
netA: must support 14 hosts netB: must support 28 hosts netC: must support 2 hosts netD: must support 7 hosts netE: must support 28 host
Определите, какую маску подсети следует использовать, чтобы получить требуемое количество узлов.
netA: requires a /28 (255.255.255.240) mask to support 14 hosts netB: requires a /27 (255.255.255.224) mask to support 28 hosts netC: requires a /30 (255.255.255.252) mask to support 2 hosts netD*: requires a /28 (255.255.255.240) mask to support 7 hosts netE: requires a /27 (255.255.255.224) mask to support 28 hosts * a /29 (255.255.255.248) would only allow 6 usable host addresses therefore netD requires a /28 mask.
Самым простым способом разделения на подсети является назначение сначала самой большой подсети. Например, подсети можно задать следующим образом:
netB: 204.15.5.0/27 host address range 1 to 30 netE: 204.15.5.32/27 host address range 33 to 62 netA: 204.15.5.64/28 host address range 65 to 78 netD: 204.15.5.80/28 host address range 81 to 94 netC: 204.15.5.96/30 host address range 97 to 98
Графическое представление приведено на рис. 5:
Рис. 5
На рис. 5 показано, как использование адресации VLSM помогает сохранить более половины адресного пространства.
Маршрутизация CIDR
Бесклассовая междоменная маршрутизация (CIDR) была предложена в целях улучшения использования адресного пространства и масштабируемости маршрутизации в Интернете. Необходимость в ней появилась вследствие быстрого роста Интернета и увеличения размера таблиц маршрутизации в маршрутизаторах сети Интернет.
В маршрутизации CIDR не используются традиционные IP-классы (класс A, класс B, класс C и т. д.). IP-сеть представлена префиксом, который является IP-адресом, и каким-либо обозначением длины маски. Длиной называется количество расположенных слева битов маски, которые представлены идущими подряд единицами. Так сеть 172.16.0.0 255.255.0.0 может быть представлена как 172.16.0.0/16. Кроме того, CIDR служит для описания иерархической структуры сети Интернет, где каждый домен получает свои IP-адреса от более верхнего уровня. Это позволяет выполнять сведение доменов на верхних уровнях. Если, к примеру, поставщик услуг Интернета владеет сетью 172.16.0.0/16, то он может предлагать своим клиентам сети 172.16.1.0/24, 172.16.2.0/24 и т. д. Однако при объявлении своего диапазона другим провайдерам ему достаточно будет объявить сеть 172.16.0.0/16.
Дополнительные сведения о маршрутизации CIDR см. в документах RFC 1518 и RFC 1519 .
Приложение
Образец конфигурации
Маршрутизаторы A и B соединены через последовательный интерфейс.
Маршрутизатор А
hostname routera ! ip routing ! int e 0 ip address 172.16.50.1 255.255.255.0 !(subnet 50) int e 1 ip address 172.16.55.1 255.255.255.0 !(subnet 55) int s 0 ip address 172.16.60.1 255.255.255.0 !(subnet 60) int s 0 ip address 172.16.65.1 255.255.255.0 (subnet 65) !S 0 connects to router B router rip network 172.16.0.0
Маршрутизатор В
hostname routerb ! ip routing ! int e 0 ip address 192.1.10.200 255.255.255.240 !(subnet 192) int e 1 ip address 192.1.10.66 255.255.255.240 !(subnet 64) int s 0 ip address 172.16.65.2 (same subnet as router A's s 0) !Int s 0 connects to router A router rip network 192.1.10.0 network 172.16.0.0
Таблица количество узлов/подсетей
Class B Effective Effective # bits Mask Subnets Hosts ------- --------------- --------- --------- 1 255.255.128.0 2 32766 2 255.255.192.0 4 16382 3 255.255.224.0 8 8190 4 255.255.240.0 16 4094 5 255.255.248.0 32 2046 6 255.255.252.0 64 1022 7 255.255.254.0 128 510 8 255.255.255.0 256 254 9 255.255.255.128 512 126 10 255.255.255.192 1024 62 11 255.255.255.224 2048 30 12 255.255.255.240 4096 14 13 255.255.255.248 8192 6 14 255.255.255.252 16384 2 Class C Effective Effective # bits Mask Subnets Hosts ------- --------------- --------- --------- 1 255.255.255.128 2 126 2 255.255.255.192 4 62 3 255.255.255.224 8 30 4 255.255.255.240 16 14 5 255.255.255.248 32 6 6 255.255.255.252 64 2 *Subnet all zeroes and all ones included. These might not be supported on some legacy systems. *Host all zeroes and all ones excluded.
Дополнительные сведения
Как вручную установить IP-адрес на устройстве Интернет-видео?
Настройка IP-адреса и параметров прокси-сервера устройства Интернет-видео зависит от конструкции или настроек маршрутизатора. Если маршрутизатор не назначает IP-адрес устройству Интернет-видео автоматически, введите IP-адрес вручную, как описано ниже.
- Получение следующей IP-информации от своего компьютера.
- IP-адрес или адрес IPv4
- Маска подсети
- Шлюз по умолчанию
- Первичный DNS или DNS-сервер
- Вторичный DNS
- На пульте дистанционного управления, входящем в комплект устройства Интернет-видео, нажмите кнопку Home (главное меню) или Menu (меню).
- Выберите «Настройка» или «Настройки».
- Выберите «Сеть».
- Выберите «Настройка сети».
- В зависимости от типа соединения с Интернет выберите «Проводное соединение» или «Беспроводное соединение».
- Выберите «Вручную» или «Пользовательский».
ПРИМЕЧАНИЕ: При настройке защищенного беспроводного соединения ля получения доступа к экрану настройки IP-адреса и прокси-сервера необходимо ввести ключ безопасности сети.
- Введите полученную в шаге 1 информацию IP для устройства Интернет-видео.
- IP-адрес: IP-адрес должен быть таким же, за исключением последнего числа в последовательности из четырех чисел.
Измените последнее число на более высокое, но не превышающее 254. Например, если в компьютере показан IP-адрес 192.168.0.5, введите 192.168.0.105
- Маска подсети: Введите маску подсети точно так, как указано в компьютере.
- Шлюз по умолчанию: Введите шлюз по умолчанию точно так, как указано в компьютере.
- Первичный DNS: Введите первичный DNS или DNS-сервер, показанный в компьютере, или скопируйте шлюз по умолчанию, если этих данных нет.
- Вторичный DNS: Введите вторичный DNS, показанный в компьютере, или оставьте последовательность нулей. (0.0.0.0)
ПРИМЕЧАНИЕ: Устройства Sony® Internet Video не используют прокси-сервер. Выберите НЕТ, если будет предложено использовать прокси-сервер.
- IP-адрес: IP-адрес должен быть таким же, за исключением последнего числа в последовательности из четырех чисел.
- Выберите Сохранить и подключиться, чтобы установить сетевое соединение.
TCP/IP-адреса и подсети — Windows Client