通過(guò)合理的子網(wǎng)劃分，從物理上對(duì)企業(yè)局域網(wǎng)進(jìn)行劃分，提高網(wǎng)絡(luò)的安全性，這是不少網(wǎng)絡(luò)工程師***的企業(yè)網(wǎng)絡(luò)安全方案。確實(shí)，在子網(wǎng)掩碼的幫助下，可以把企業(yè)網(wǎng)絡(luò)劃分成幾個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)。然后把企業(yè)的機(jī)要部門放在一個(gè)獨(dú)立的子網(wǎng)中，以限制其他部門人員對(duì)這個(gè)部門網(wǎng)絡(luò)的訪問(wèn)。這是一個(gè)非常不錯(cuò)的解決方案。筆者平時(shí)在給企業(yè)部署網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的時(shí)候，也喜歡利用子網(wǎng)來(lái)對(duì)企業(yè)的重要部門進(jìn)行隔離。另外，還可以利用子網(wǎng)對(duì)一些應(yīng)用服務(wù)器進(jìn)行隔離，防止因?yàn)榭蛻舳司W(wǎng)絡(luò)因?yàn)橹卸径鴮?duì)服務(wù)器產(chǎn)生不利的影響。

不過(guò)子網(wǎng)劃分的內(nèi)容，在學(xué)校里學(xué)的很辛苦，因?yàn)榻炭茣蠈懙奶^(guò)于高深。工作以后，實(shí)際接觸過(guò)幾個(gè)項(xiàng)目，也跟一些前輩溝通過(guò)，覺(jué)得子網(wǎng)劃分沒(méi)有我們想象中的難。一般只要通過(guò)六個(gè)步驟就可以設(shè)計(jì)出一個(gè)合理的子網(wǎng)劃分方案。

***步：企業(yè)需要多少個(gè)子網(wǎng)？

當(dāng)對(duì)企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)規(guī)劃的時(shí)候，網(wǎng)絡(luò)管理員***個(gè)要考慮的內(nèi)容，就是企業(yè)到底要?jiǎng)澐殖蓭讉€(gè)子網(wǎng)。因?yàn)樾枰鶕?jù)這個(gè)數(shù)據(jù)確認(rèn)子網(wǎng)掩碼的位數(shù)。

如筆者給一家企業(yè)做網(wǎng)絡(luò)規(guī)劃的時(shí)候，經(jīng)過(guò)跟他們各個(gè)部門溝通后，決定為他們?cè)O(shè)置四個(gè)子網(wǎng)。研發(fā)部門、財(cái)務(wù)部門各用一個(gè)子網(wǎng);為了應(yīng)用服務(wù)器的安全，故把他們的郵箱服務(wù)器、ERP系統(tǒng)服務(wù)器、OA辦公自動(dòng)化軟件服務(wù)器等放在同一個(gè)子網(wǎng)絡(luò)中;其他部門的客戶端共享一個(gè)網(wǎng)段。

企業(yè)需要?jiǎng)澐?個(gè)網(wǎng)段，一共需要幾位的子網(wǎng)掩碼呢?這里有一個(gè)現(xiàn)成的公式可以套用：2x=子網(wǎng)個(gè)數(shù)，其中x就是所需要的子網(wǎng)掩碼位數(shù)。若根據(jù)這個(gè)案例，子網(wǎng)個(gè)數(shù)為4，則2x=4。把這個(gè)方程解出來(lái)，子網(wǎng)掩碼位數(shù)即為2。

第二步：每個(gè)子網(wǎng)中大致有多少主機(jī)？

網(wǎng)絡(luò)管理員第二個(gè)需要考慮的問(wèn)題就是每個(gè)子網(wǎng)中大概需要部署多少主機(jī)。因?yàn)槊總€(gè)子網(wǎng)中的主機(jī)數(shù)量是有限的，所以，以上那個(gè)子網(wǎng)劃分方案還不是最終的方案。只有等各個(gè)網(wǎng)段的主機(jī)數(shù)量能夠滿足企業(yè)的需要之后，才可以最終拍板采用這個(gè)方案。

筆者負(fù)責(zé)的這家企業(yè)中，研發(fā)部門、財(cái)務(wù)部門的主機(jī)數(shù)量都比較少，研發(fā)部門10臺(tái)、財(cái)務(wù)部門5臺(tái);而各種應(yīng)用服務(wù)器的話也需要六個(gè)IP地址。若考慮擴(kuò)展性的話，以上兩個(gè)部門最多再增加3個(gè)IP地址即可。而其余部門的話，現(xiàn)有電腦40臺(tái)左右?？紤]到后續(xù)的擴(kuò)展，要為其預(yù)留十個(gè)到二十個(gè)IP地址。

第三步：計(jì)算現(xiàn)有子網(wǎng)的合法的主機(jī)IP數(shù)目

接下去網(wǎng)絡(luò)管理員就需要計(jì)算根據(jù)***步得出來(lái)的子網(wǎng)規(guī)劃方案，能否滿足企業(yè)主機(jī)數(shù)據(jù)的需要。在計(jì)算子網(wǎng)的合法主機(jī)IP地址的時(shí)候，也有一個(gè)公式可以進(jìn)行套用：2x-2=合法的主機(jī)IP地址數(shù)(這里的x表示的是非子網(wǎng)掩碼的位數(shù)，即子網(wǎng)掩碼為0的位數(shù))。按照***步，我們計(jì)算出來(lái)的子網(wǎng)掩碼的為數(shù)為2，此時(shí)，我們就需要一個(gè)個(gè)的試驗(yàn)。

若我們采用C類IP地址的話，則其子網(wǎng)掩碼為1的最多八位。根據(jù)這個(gè)案例，需要子網(wǎng)掩碼2位，那么子網(wǎng)掩碼為零的就是6位。其每個(gè)網(wǎng)段的子網(wǎng)掩碼為26-2=62位。而企業(yè)要求的每個(gè)網(wǎng)段的最多主機(jī)數(shù)量為60臺(tái)(已經(jīng)考慮了未來(lái)擴(kuò)展的需要)。所以，這個(gè)子網(wǎng)劃分方案完全滿足企業(yè)的需求。

若此時(shí)，企業(yè)需要的主機(jī)數(shù)量為100臺(tái)，那么就不能夠采用C類地址了，而需要采用B類地址或者A類地址?？傊?，網(wǎng)絡(luò)管理員要保證現(xiàn)有的子網(wǎng)規(guī)劃方案，其每個(gè)網(wǎng)段的主機(jī)數(shù)量要能夠滿足企業(yè)的需要。否則的話，就需要進(jìn)行相應(yīng)的調(diào)整。

在做這個(gè)判斷的時(shí)候，筆者需要強(qiáng)調(diào)兩個(gè)方面的問(wèn)題

一是在考慮某個(gè)網(wǎng)段的主機(jī)數(shù)量的時(shí)候，不能看現(xiàn)在有多少就留多少個(gè)IP地址。而是需要考慮一定的拓展型。筆者這里只留了15%左右的拓展空間，其實(shí)還算是比較保守的。一般情況下，可能需要有50%，甚至更多的保留空間。因?yàn)樽泳W(wǎng)部署好之后，因?yàn)镮P地址不夠再重新調(diào)整的話，是一件非常頭痛的事情。

二是***從C類、B類、A類地址這么測(cè)試。筆者比較傾向于采用C類地址。只有當(dāng)C類地址無(wú)法滿足的時(shí)候，才考慮采用B類、A類地址。一般來(lái)說(shuō)，在同等數(shù)量的子網(wǎng)情況下，B類、A類地址可用的主機(jī)IP地址數(shù)量要比C類地址多的多。具體采用哪類IP地址，一般跟網(wǎng)絡(luò)管理員的愛(ài)好有關(guān)。#p#

第四步：這些子網(wǎng)的子網(wǎng)號(hào)是什么？

通過(guò)以上的三個(gè)步驟，子網(wǎng)的規(guī)劃已經(jīng)完成。接下去的任務(wù)就是需要計(jì)算一些具體的參數(shù)。這主要是用來(lái)幫助網(wǎng)絡(luò)管理員做好后續(xù)的配置，以及方便以后的工作。具體的來(lái)說(shuō)，網(wǎng)絡(luò)規(guī)劃完畢后，網(wǎng)絡(luò)管理員需要分析每個(gè)網(wǎng)段的子網(wǎng)號(hào)是多少、每個(gè)子網(wǎng)的廣播地址是多少、每個(gè)子網(wǎng)中合法的IP地址是哪些等等。

首先，我們需要計(jì)算每個(gè)子網(wǎng)的子網(wǎng)號(hào)。這里又有一個(gè)公式，即256-子網(wǎng)掩碼=增量值。就以筆者這家企業(yè)為例。因?yàn)橛昧?位子網(wǎng)掩碼，其二進(jìn)制表示即為11000000。若轉(zhuǎn)化為十進(jìn)制，即是192。所以，計(jì)算出來(lái)的增量值即為64。那么，從0來(lái)時(shí)，每隔64，即是每個(gè)子網(wǎng)的子網(wǎng)號(hào)。在這個(gè)例子中，四個(gè)網(wǎng)段的子網(wǎng)號(hào)分別為192.168.0.0、192.168.0.64、192.168.0.128、192.168.0.192。根據(jù)相關(guān)的規(guī)則，這四個(gè)IP地址具有特殊的用途，不能夠用來(lái)分配給網(wǎng)絡(luò)客戶端。

第五步：計(jì)算每隔子網(wǎng)段的廣播地址

我們?cè)诘谌接?jì)算每個(gè)網(wǎng)段的主機(jī)地址可用量的時(shí)候，我們一下子減去了兩個(gè)IP地址。一個(gè)是因?yàn)榈谒牟剿f(shuō)的子網(wǎng)號(hào)不能夠用來(lái)作為客戶端的主機(jī)地址以外;還有一個(gè)就是每個(gè)子網(wǎng)中還有一個(gè)廣播地址，其也不能夠被當(dāng)作主機(jī)地址來(lái)時(shí)用。所以，我們還需要計(jì)算出每個(gè)網(wǎng)段的廣播地址。以避免在配置客戶端的時(shí)候，把這個(gè)廣播地址錯(cuò)誤的分配給網(wǎng)絡(luò)主機(jī)。

計(jì)算廣播地址比較簡(jiǎn)單，因?yàn)槠渲苯痈懊嬉粋€(gè)步驟計(jì)算出來(lái)的子網(wǎng)號(hào)相關(guān)。簡(jiǎn)單的說(shuō)，一個(gè)網(wǎng)段中的起始地址是子網(wǎng)號(hào)，而***一個(gè)地址就是廣播地址。如上面這個(gè)例子，其192.168.0.0到192.168.0.63是一個(gè)網(wǎng)段。則默認(rèn)情況下，其192.168.0.0是子網(wǎng)號(hào)，192.168.0.63就是廣播地址。所以，這不需要我們?cè)倮霉饺ビ?jì)算。

第六步：分析每個(gè)子網(wǎng)中合法可用的主機(jī)IP地址

***一步就是需要分析每個(gè)網(wǎng)段中可用的主機(jī)IP地址了。這個(gè)步驟也比較簡(jiǎn)單，只要把每個(gè)網(wǎng)段中的IP地址，除掉子網(wǎng)號(hào)與網(wǎng)絡(luò)掩碼之外，就都是可用的IP地址了。也就是說(shuō)，合法的IP地址時(shí)那些介于各個(gè)子網(wǎng)之間的取值，并要去掉子網(wǎng)號(hào)與廣播地址。換句話說(shuō)，他就是介于子網(wǎng)號(hào)與廣播地址之間的地址。

不過(guò)往往計(jì)算出來(lái)這些數(shù)據(jù)后還不夠。因?yàn)檫@不夠清楚，讓人看的頭暈。我們往往需要把計(jì)算出來(lái)的結(jié)果整理成一張表格。如此的話，在配置客戶端的時(shí)候，才不會(huì)因?yàn)槭韬霭袸P地址配置錯(cuò)誤。要知道，到時(shí)候，就是憑這些IP地址來(lái)控制客戶端主機(jī)所處的網(wǎng)段。特別是遇到網(wǎng)段比較多或者比較復(fù)雜的時(shí)候，一定要有一個(gè)合理的IP地址分配方案。如筆者在設(shè)計(jì)子網(wǎng)的時(shí)候，喜歡把以上的計(jì)算結(jié)果總結(jié)出如下這么一張表。

子網(wǎng)名稱 子網(wǎng)號(hào) 廣播地址 可用主機(jī)地址數(shù)量 企業(yè)需求

研發(fā)部門 192.168.0.0 192.168.0.63 62 10

財(cái)務(wù)部門 192.168.0.64 192.168.0.127 62 10

應(yīng)用服務(wù)器 192.168.0.128 192.168.0.191 62 10

其他 192.168.0.192 192.168.0.255 62 60

如此的話，就可以一目了然的看到可用IP地址的結(jié)果。在配置客戶端的時(shí)候，可以避免錯(cuò)誤的配置。

在做子網(wǎng)規(guī)劃的時(shí)候，筆者***還有幾點(diǎn)忠告

一是在企業(yè)網(wǎng)絡(luò)管理中，要注重網(wǎng)絡(luò)規(guī)劃，特別是子網(wǎng)規(guī)劃

因?yàn)榫W(wǎng)絡(luò)組建完成后，才發(fā)現(xiàn)現(xiàn)有的子網(wǎng)規(guī)劃不能夠滿足企業(yè)的需要，如子網(wǎng)不夠或者主機(jī)數(shù)量不夠，則再進(jìn)行調(diào)整的話，其工作量會(huì)很大。而且對(duì)客戶端也會(huì)產(chǎn)生比較大的影響。所以，要盡量避免頻繁的對(duì)已經(jīng)部署好的網(wǎng)絡(luò)進(jìn)行IP地址規(guī)劃上的調(diào)整。

二是若網(wǎng)路管理員采用子網(wǎng)的話，則最容易出現(xiàn)的問(wèn)題有兩個(gè)

一是誤用了廣播地址或者子網(wǎng)號(hào);而是明明應(yīng)該屬于A網(wǎng)段的，可是在配置的時(shí)候不小心，卻把這臺(tái)主機(jī)配置成了B網(wǎng)段。這兩個(gè)問(wèn)題都是由于粗心所導(dǎo)致的。所以，筆者一直強(qiáng)烈建議，不管你是新手還是個(gè)專家，在子網(wǎng)規(guī)劃與配置時(shí)，都要詳細(xì)的列出IP地址規(guī)劃表。參照這表格來(lái)配置客戶端，可以有效的避免以上兩個(gè)問(wèn)題的出現(xiàn)。

三是子網(wǎng)的數(shù)量不是越多越好。雖然從理論上來(lái)說(shuō)，為各個(gè)部門劃分一個(gè)子網(wǎng)，可以提高網(wǎng)絡(luò)的安全性與網(wǎng)絡(luò)性能

因?yàn)槿绱说脑?，廣播等等對(duì)網(wǎng)絡(luò)帶來(lái)不利影響的因素可以減少到***。但是，子網(wǎng)的增多往往也意味著網(wǎng)絡(luò)管理員工作量的增加。所以，在沒(méi)有特殊必要的情況下，如出于安全的考慮或者客戶端數(shù)量龐大的情況下，不要設(shè)置過(guò)多的子網(wǎng)。網(wǎng)絡(luò)管理員需要在安全性、網(wǎng)絡(luò)性能與維護(hù)的工作量之間選擇一個(gè)均衡點(diǎn)。

【編輯推薦】

1. 安全兼顧性能企業(yè)子網(wǎng)劃分有章可循
2. 新用戶IP尋址和劃分子網(wǎng)