项目二网络设备IP规划与配置.docx

1、项目二 网络设备IP规划与配置项目二 网络设备IP规划与配置某公司分为总部、销售与配送部门、零售店3层结构.公司总部网络组成为：市场部100人之内，总经办在712人之间，工程部3260人,财务部46人，后勤部22-30人，人事处3-4人。总部在全国30个地区都有销售部与和配送部门，每个部门通过2条链路与总部的主干路由器连接.每个销售与配送部门均有管理处、市场处、工程处、财务处、后勤处、人事处6个处室，其人数均在30之内。每个地区还有多个与公司总部级联的下属零售店(不超过100个）,每个零售店有1个LAN,最多连接14台计算机。请给出合理的IP地址分配方案，满足所有部门的需求并尽量节约IP地址资

2、源，给出每个部门子网的子网地址和子网掩码.该公司网络拓扑结构如21所示.图 21该公司网络拓扑结构一、教学目标最终目标：通过对中小型企业IP地址划分与规划，理解IP地址分类及作用，掌握IP地址的分配原则，掌握如何划分中小型企业的IP规划与子网划分。促成目标:1了解IP地址分类。2掌握了网划分原则及方法.3理解VLSM和CIDR原理。4掌握IP子网地址的划分和应用。二、工作任务1家居办公网络IP地址规划及配置。2小型企业办公网络IP地址规划及配置.3大中型企业办公网络IP地址规划及配置。任务一、家居办公网络IP地址规划及配置一、情境描述随着ADSL的普及，为了共享上网，SOHO宽带路由器也开始走

3、入千家万户了，可是很多人对这个时髦的东西不会使用，经常会出现上不了网或者网速很慢，而且PC很容易中病毒等现象。而随着无线SOHO路由器的使用，经常会发现有人蹭网，并且利用无线网络进行攻击局域网PC,根据这些情况，作为SOHO宽带路由器使用者，你将通过配置路由器解决上述这些问题。二、知识储备1IPV4地址定义及表示所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit（4字节）地址。IP地址就好象电话号码：有了某人的电话号码，你就能与他通话了.同样，有了某台主机的IP地址，你就能与这台主机通信了。1）IP网络中每台主机都必须有一个惟一的IP地址； 2）IP地址是一个逻辑地址；(

4、与MAC地址比较一下）；3）因特网上的IP地址具有全球唯一性；4)32位，4个字节，常用点分的十进制标记法；如 11001000 .10101000. 00000000。 00000001 记为 192.168。0.1。5）IP地址的结构：网络号（netid）+ 主机号（hostid），如192.168.1。10表示如下:网络号:192.168。1网络地址:192。168。1。0主机号：10主机地址：192.168。1。10广播地址:192.168。1.2556)主机号的所有位全为“0”或全为“1”的IP地址不用于表示单个主机，主机号的所有位全为“0”是网络地址，如192.168.1。0；主机

5、号的所有位全为“1是广播地址，如192。168.1.255。2IPV4地址分类IP地址分为五类,A类保留给政府机构，B类分配给中等规模的公司，C类分配给任何需要的人,D类用于组播，E类用于实验，各类可容纳的地址数目不同。如图22所示。图 22 IPV4分类1）A类地址：第1个字节代表网络号，后3个代表主机，范围是0xxxxxxx，即0127，其中0和127保留，所以实际使用的只是1126.A类地址的范围:1.0.0.1 126.255。255.254。2)B类地址：前2个字节代表网络号，后2个代表主机位,范围是10xxxxxx，即128191。B类地址的范围:128。0.0.1 191.255

6、。255。254。3）C类地址：前3个字节代表网络号,后1个代表主机位,范围是110xxxxx，即192223.C类地址的范围：192.0.0.1 223.255。255。254.4）D类地址：多播地址，范围是224到239。5）E类地址：保留用作实验的地址，范围是240到255。3子网掩码子网掩码用来判断任意两个IP地址是否属于同一子网络，只有在同一子网的计算机才能直接通信。子网掩码中用二进制的1表示网络位，0表示主机位，默认A类、B类和C类3种主类地址的子网掩码分别为255。0。0.0(/8)、255.255.0。0(/16）和255。255。255。0（/24)。子网掩码必须由连续的1位

7、或者连续的0位构成，1中间不能空0出现，如图23所示。图 23 默认子网掩码4IPv4特殊的IP地址1）本地回环（loopback）测试地址127。0.0.1。2）本地广播地址255。255.255.255。路由器不转发此广播数据包到其他网段.3）代表任何网络0。0。0。0。多用于默认路由.4）网络号全为0代表本网络所有主机。5）主机位全为0代表某个网段的任何主机地址，即网络地址。如：192.168.1。0。6）主机位全为1代表该网段的所有主机,即直接广播地址。如：192.168。1。255.路由器转发本网段的数据包到其他网段。7）169.254。X.X是保留地址。如果你的IP地址是自动获取I

8、P地址，而你在网络上又没有找到可用的DHCP服务器，就会得到其中一个IP。如169。254。1.1。5IPv4私有IPV4地址IPv4中为了节约IP地址空间，增加网络的安全性,保留了一些IP地址段作为私网的IP地址.私有IP地址不能在Internet上使用,处于私有IP地址的网络称为内网或私网.局域网主要使用私有地址，要与Internet进行通信时，必须通过网络地址转换（NAT）。私有IPV4规定：只能用于局域网，不可以用于广域网，范围如下：1）A类地址中:10.0。0.0到10。255.255.255。255，只有一个网段。2）B类地址中：172.16.0。0到172。31。255。255，

9、有16个网段。3）C类地址中：192。168。0。0到192.168。255.255,有256个网段.6网关和DNS服务服务器1)网关就是本局域网PC与路由器直接相连的路由器接口IP地址。2）DNS服务器IP地址就是你装宽带所在网络运营商ISP提供的DNS服务器的IP地址，除非你单位已经拥有DNS服务器，家居办公网SOHO路由器使用网络运营商ISP的DNS服务器IP地址。三、任务实施1网络拓扑结构家居办公网SOHO路由器1台，无线网卡笔记本2台，有线网卡PC机2台。如图24所示。图 24 SOHO办公网拓扑结构2TCP/IP基本配置1)将线路连好，wan口(本模拟器称为Inetrnet口）接外

10、网（即ADSL或别的宽带）,LAN口接内网即你的电脑网卡；2)每个路由器都有默认的LAN口IP地址，看看说明书就知道，本模拟器是192。168.0.1；3)配置静态IP地址：将自己的电脑IP配置为192.168。0.x（本模拟器使用192.168.0。2，必须与LAN口在同一网段） ，网关192.168。0。1（就是路由器LAN口IP地址）和DNS服务器地址61。153。177.196（你装宽带所在网络运营商ISP提供的DNS服务器的IP地址);真实环境如图25所示，模拟环境如图2-6所示。图 25 真实环境PC的TCP/IP设置图 26 模拟环境PC的TCP/IP设置4）打开电脑上的Inte

11、rnet Explorer,输入http:/192.168.0。1/，输入用户名和密码，出厂默认均为admin（如图2-7所示），进入路由器的配置界面（如图28所示）；图 27 登录对话框设置图 28 路由器配置界面4）配置动态IP地址：配置路由器DHCP服务器并开启。如图29所示。PC2自动获取IP地址如图2-10所示。图 29 路由器DHCP配置界面图 210 动态获取IP地址界面3IP地址、MAC地址和端口绑定1）在PC上进行绑定：局域网中采用静态IP地址分配，并用代理服务器接入Internet，在服务器端可用以下命令绑定IP地址和MAC地址:ARP s IP地址 MAC地址。如图2-1

12、1所示图 211 PC上用命令绑定IP和MAC2）通过路由器DHCP服务器绑定：局域网中，如果是动态分配IP地址，可在DHCP服务器中实现IP地址和MAC地址的绑定。在如图212左侧菜单中选择“静态地址分配”选项显示所示对话框，可以在本页中设置绑定局域网计算机的IP地址，前提是要通过ipconfig、nbtstat等命令获取局域网计算机网卡的MAC地址,这样就为局域网中的计算机绑定静态IP地址。图 212 路由器DHCP服务器绑定IP和MAC4无线接入安全1)禁用DHCP功能DHCP 是 Dynamic HostConfiguration Protocol（动态主机分配协议)缩写，主要功能就是

13、帮助用户随机分配IP地址，省去了用户手动设置IP地址、子网掩码以及其他所需要的TCP/IP 参数的麻烦.这本来是方便用户的功能，但却被很多别有用心的人利用。一般的路由器DHCP功能是默认开启的,这样所有在信号范围内的无线设备都能自动分配到IP地址，这就留下了极大的安全隐患。攻击者可以通过分配的IP地址轻易得到很多你的路由器的相关信息，所以禁用DHCP功能非常必要。如图213所示。图 213 路由器禁用DHCP功能2）采用WPA加密而不采用WEP加密.现在很多的无线路由器都拥有了无线加密功能，这是无线路由器的重要保护措施,通过对无线电波中的数据加密来保证传输数据信息的安全.一般的无线路由器或AP

14、都具有WEP加密和WPA加密功能，WEP一般包括64位和128位两种加密类型,只要分别输入10个或26个16进制的字符串作为加密密码就可以保护无线网络.WEP协议是对在两台设备间无线传输的数据进行加密的方式，用以防止非法用户窃听或侵入无线网络，但WEP密钥一般是是保存在Flash中，所以有些黑客可以利用你网络中的漏洞轻松进入你的网络。WEP加密出现的较早，现在基本上都已升级为WPA加密，WPA是一种基于标准的可互操作的WLAN安全性增强解决方案，可大大增强现有无线局域网系统的数据保护和访问控制水平;WPA加强了生成加密密钥的算法,黑客即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。

15、WPA的出现使得网络传输更加的安全可靠。如图214所示。图 214 路由器选择WPA加密3)关闭SSID广播简单来说,SSID便是你给自己的无线网络所取的名字.在搜索无线网络时，你的网络名字就会显示在搜索结果中。一旦攻击者利用通用的初始化字符串来连接无线网络，极容易入侵到你的无线网络中来，所以笔者强烈建议你关闭SSID广播.还要注意，由于特定型号的访问点或路由器的缺省SSID在网上很容易就能搜索到,比如“netgear，linksys等”，因此一定要尽快更换掉。对于一般家庭来说选择差别较大的命名即可。关闭SSID后再搜索无线网络你会发现由于没有进行SSID广播，该无线网络被无线网卡忽略了,尤其

16、是在使用Windows XP管理无线网络时，可以达到“掩人耳目”的目的，使无线网络不被发现。不过关闭SSID会使网络效率稍有降低,但安全性会大大提高,因此关闭SSID广播还是非常值得的。如图2-15所示。图 215 路由器关闭SSID广播4)IP过滤和MAC地址过滤列表由于每个网卡的MAC地址是唯一的，所以可以通过设置MAC地址列表来提高安全性。在启用了IP地址过滤功能后，只有IP地址在MAC列表中的用户才能正常访问无线网络，其它的不在列表中的就自然无法连入网络了。另外需要注意在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项,要不无线路由器就会阻止所有

17、用户连入网络.对于家庭用户来说这个方法非常实用，家中有几台电脑就在列表中添加几台即可，这样既可以避免邻居“蹭网”也可以防止攻击者的入侵。如图2-16所示.图 216 路由器MAC地址过滤列表四、归纳总结1IP地址的结构：网络号（netid）+ 主机号（hostid)。网络号标识了该主机(网络设备)所属的物理网络；主机号则是该主机在所属网络中的具体地址。2IP地址划分为五类:A-E类，常用的为A、B、C类,D类地址为组播地址，E类地址为将来使用的保留地址。A类地址的范围：1。0。0。1 126.255。255.254；B类地址的范围：1.0。0.1 126。255。255.254；C类地址的范围

18、:1.0.0.1 126.255。255.254。3主机号的所有位全为“0”或全为“1的IP地址不用于表示单个主机.主机号的所有位全为“0”是网络地址,用于标识一个网络，如106。0.0。0指明网络号为106的一个A类网络；主机号的所有位全为“1”是广播地址，如106.255。255。255用于向位于106.0。0。0网络上的所有主机广播。 4私有地址，只能用于局域网，不可以用于广域网.A类 10.0。0.0 - 10。255。255.255（大中型企业私有网络分配）；B类 169。254。0.0 169。254。255.255（DHCP自动获取IP获取不到时分配)； 172。16.0.0 1

19、72。31。255。255(中小型企业私有网络分配）；C类 192.168.0.0 192。168。255.255（小型企业私有网络分配)。五、任务思考1在SOHO路由器配置中可采取什么措施制止IP地址冲突和IP地址盗用的现象发生？2有哪些措施可以防止SOHO无线网络接入安全?3某公司采用代理服务器接入Internet,网络拓扑结构如图217所示。图 217 某公司网络拓扑结构在host1的DOS命令窗口中，运行route print命令显示其路由信息,得到的结果如图218所示.图 218 运行route print命令显示其路由信息1）主机host1网卡的IP地址、子网掩码、网关如何设置？2

20、）代理服务器网卡接口2的IP地址、子网掩码、网关如何设置?3）代理服务器网卡接口3的IP地址、子网掩码、网关如何设置？任务二、小型企业办公网络IP地址规划及配置一、情境描述假设你是某企业分公司的网络管理员，该企业为你们分公司分配了一个C类地址块192.168.1。0/24.公司部门组成为：市场部100人之内，总经办在712人之间，工程部32-60人，财务部4-6人,后勤部2230人，人事处3-4人。请你给出合理的IP地址分配方案，满足所有部门的需求并尽量节约IP地址资源，给出每个部门子网的子网地址和子网掩码。二、知识储备1IPv4子网划分1）子网划分的原因：两级IP地址不够灵活,IP地址空间没

21、有全部利用。2）子网划分是把IP地址中的主机号划分成子网号和主机号两部分,从而把一个大型网络划分成许多较小的子网(subnet)。3）默认IP地址的结构：网络号+主机号，如192.168。1.100/24表示如下：网络号：192.168.1网络地址：192.168.1.0主机号：100主机地址：192。168.1。100广播地址：192。168。1.2554）子网划分后的IP地址结构：网络号+子网号+主机号,如192。168.1。100/27表示如下：子网号：96子网地址:192.168.1.96子网掩码：255.255.255.224（子网）主机号：4（子网）广播地址：192.168.1。1

22、275)子网划分是采用变子网掩码位来实现的，注意变子网掩码必须是连续的1位或者连续的0位。确定子网号，首先必须给定子网掩码.例如:C类地址192。168.1.100默认子网掩码：192.168.1。100/2411111111111111111111111100000000 =255.255。255。0可借1位主机：192。168。1。100/2511111111111111111111111110000000 =255.255。255.128可借2位主机：192.168.1。100/2611111111111111111111111111000000 =255。255.255。192可借3位

23、主机：192.168。1。100/2711111111111111111111111111100000 =255.255.255。224可借4位主机：192。168.1。100/2811111111111111111111111111110000 =255.255。255.240可借5位主机:192。168。1.100/2911111111111111111111111111111000 =255。255。255.248可借6位主机：192.168。1.100/3011111111111111111111111111111100 =255.255。255.252注：各类网络可以用来再划分子网的

24、位数为为主机的位数:A类有24位可以借，B类有16位可以借,C类有8位可以借。然而实际上不可以让主机位全部都借出来,因为IP地址中必须要有主机位的部分，而且主机位部分剩下一位是没有意义的，所以在实际中可以借的位数是主机位数再减去2。也就是说：A类有24-2=22位可以借，B类有162=14位可以借，C类有8-2=6位可以借。其中:IP地址192。168.1.100与子网掩码255.255.255.224相与解答：首先根据IP地址，确定192。168。1.100/27这是C类地址的子网划分,它在最后8位的原主机位借了3位为网络号，共27位掩码位。共划分为23=8个子网，去掉全0和全1子网，有效子

25、网6个,每个子网的主机位还剩下5位，因此每个子网主机数为25=32(包括网络地址和广播地址)，那么具有这种掩码的网络地址一定是32的倍数。而网络地址是该子网IP地址的开始,广播地址是子网IP地址的结束,因此网络地址是比主机地址小的最大的32的倍数的数。比100小的32的倍数的最大数是96，所以网络地址是192。168。1.96。而广播地址就是下一个网络的网络地址减1。而下一个32的倍数是128，因此可以得到广播地址为192.168。1.127。所以192.168.1.100/27的网络范围为192.168.1.96192.168。1。127.192。168。1。100/27子网划分具体情况如表

26、21所示：表2-1 192.168。1。100/27子网划分情况子网掩码借3位主机IP主机范围所在子网主机范围111 00000=224192.168。1。031000 00000000 00000000 11111（031）111 00000=224192。168.1。3263001 00000001 00000001 11111(3263）111 00000=224192。168。1.6495010 00000010 00000010 11111(6495）111 00000=224192。168.1。96127011 00000011 00000011 11111（95127）111 0

27、0000=224192。168。1.128159100 00000100 00000100 11111(128159）111 00000=224192。168.1.160191101 00000101 00000101 11111（160191）111 00000=224192。168.1。192223110 00000110 00000110 11111（192223)111 00000=224192.168。1.224255111 00000111 00000111 11111（224255）2IP地址规划原则1）唯一性：一个IP网络中不能有两个主机采用相同的IP地址。2）简单性：地址分配

28、应简单易于管理，降低网络扩展的复杂性,简化路由表的款项。3）连续性:连续地址在层次结构网络中易于进行路由汇总，大大缩减路由表，提高路由算法的效率。4）可扩展性：地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性5）灵活性：地址分配应具有灵活性,可借助可变长子网掩码技术（VLSM），以满足多种路由策略的优化，充分利用地址空间三、任务实施1子网划分举例：某个单位分配了一个C类地址：200.100.10。0。根据本单位情况，假设需要5个子网，每个子网有25台主机。请问应该如何划分：1）对于子网划分，首先要确定子网号，要从最后8位中分出几位作为子网地址。本题中根据要求需要5个

29、子网，假设子网号n位因为2n=5，所以n=3(n可取值3，4,5,6,7)2）其次是确定每个子网的主机数,检查剩余的位数能否满足每个子网中主机台数的要求本题中要求每个子网有25台主机.因为当子网位为n（n可取值3,4，5，6，7)时每个子网的主机数为2（8n）2因此2(8n）2=25，所以n=3（n可取值1，2，3）。3）综合上面两个必要条件首先满足子网数限制n=3同时满足主机数限制n=3所以n=3 （n必须等于3）子网掩码为11111111.11111111。11111111.11100000000=255.255。255。2244）子网地址可在32、64、96、128、160、192共6个

30、子网上任意选择5个子网。200。100.10。32200。100.10。63200。100.10。64200.100.10。95200。100.10.96200.100.10。127200。100.10.128200。100.10。159200。100。10.160200。100。10。191200。100.10。192200.100。10。2232任务解析假设你是某企业分公司的网络管理员，该企业为你们分公司分配了一个C类地址块192.168.1.0/24.公司部门组成为:市场部100人之内,总经办在7-12人之间,工程部32-60人，财务部4-6人,后勤部22-30人，人事处3-4人。请你给出合理的IP地址分配方案，满足所有部门的需求并尽量节约IP地址资源，给出每个部门子网的子网地址和子网掩码。第一步：计算公司需要IP地址数与分配的IP地址数是否够分配,分公司总共获得地址范围是192。168。1。1192。168.1。254总计254个可用地址。公司需求最大的IP地址数为：100+12+60+6+30+4=212254-12=242 /此处证明地址还是够分配的注:25412是因为公司有6个