网络精华，不看不知道，一看吓一跳，不看是你的损失

govyvy

网络精华，不看不知道，一看吓一跳，不看是你的损失

来自：MACD论坛(bbs.macd.cn) 作者：govyvy 浏览：1796 回复：5

局域网IP地址概述

企业在规划了局域网建设方案，选购了路由器、防火墙以及交换机等网络设备，并对机房和所在的办公地点（大楼）进行了布线，也添置了服务器和客户机（工作站、PC机），现在要组建企业的局域网，还要一件比较重要的事要做，那就是对局域网的IP地址要进行规划，主要包括公网地址（Internet IP地址，一般是指A、B、C类的Ipv4的地址），以及专用（私有）IP地址两部分。下面就和大家一起来探讨企业IP地址的规划方面的问题。

一、IP地址的规划

1、IP地址的基本概念

IP地址是32位的二进制数值，用于在TCP/IP通讯协议中标记每台计算机的地址。通常我们使用点式十进制来表示，如192.168.1.6等。也就是说IP地址有两种表示形式：二进制和点式十进制，一个32位IP地址的二进制是由4个8位域组成。即11000000 10101000 00000001 00000110 （192.168.1.6）。

每个IP地址又可分为两部分。即网络号部分和主机号部分：网络号表示其所属的网络段编号，主机号则表示该网段中该主机的地址编号。按照网络规模的大小，IP地址可以分为A、B、C、D、E五类，其中A、B、C类是三种主要的类型地址，D类专供多目传送用的多目地址，E类用于扩展备用地址。A、B、C三类IP地址有效范围如下表1所示：

govyvy

A类IP地址

一个A类IP地址由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”， 地址范围从1.0.0.0 到126.0.0.0。可用的A类网络有126个，每个网络能容纳1亿多个主机。 需要注意的是网络号不能为127，这是因为该网络号被保留用作回路及诊断功能。

B类IP地址

一个B类IP地址由2个字节的网络地址和2个字节的主机地址组成，网络地址的最高位必须是“10”，地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个，每个网络能容纳6万多个主机。

C类IP地址

一个C类IP地址由3字节的网络地址和1字节的主机地址组成，网络地址的最高位必须是“110”。范围从192.0.0.0到223.255.255.255。C类网络可达209万余个，每个网络能容纳254个主机。

D类地址用于多点广播（Multicast）

D类IP地址第一个字节以“lll0”开始，它是一个专门保留的地址。它并不指向特定的网络，目前这一类地址被用在多点广播（Multicast）中。多点广播地址用来一次寻址一组计算机，它标识共享同一协议的一组计算机。

E类IP地址

以“llll0”开始，为将来使用保留， 全零（“0.0.0.0”）地址对应于当前主机；全“1”的IP地址（“255.255.255.255”）是当前子网的广播地址。

IANA（Internet Assigned Numbers Authority）将A、B、C类地址的一部分保留下来，作为专用（私有）IP地址空间，专门用于各类专有网络（如企业网、校园网、行政网）的使用。如下表2所示：

govyvy

当局域网通过路由设备与广域网连接时，路由设备会自动将该地址段的信号隔离在局域网内部，不用担心所使用的保护IP地址与其他局域网中使用的同一地址段的保留IP地址发生冲突（即IP地址完全相同）。所以完全可以放心大胆地根据自己的需要（主要考虑所需的网络数量和网络内计算机的数量）选用适当的专有网络地址段，设置本企业局域网中的IP地址。

路由器或网关会自动将这些IP地址拦截在局域网络之内，而不会将其路由到公有网络中，所以即使在两个局域网中均使用相同的私有IP地址段，彼此之间也不会发生冲突。在IP地址资源已非常紧张的今天，这种技术手段被越来越广泛地应用于各种类型的网络之中。当然，使用内部P地址的计算机也可以通过局域网访问Internet，不过需要使用代理服务器才能完成。

当企业网络所拥有的公网IP地址比较少，甚至只有1个时（ISP往往只给企业提供1个IP地址），那么，在企业内部就必须采用私有IP地址，再借助地址映射或代理服务器实现Internet连接共享，并借助端口映射，将网络内部的服务器发布到Internet。

3、IP地址信息

通常来说，一个完整的IP地址信息应该包括IP地址、子网掩码、默认网关和DNS等4部分内容，只有当它们各司其职、协同工作时，我们才可以访问Internet，并被Internet中的计算机所访问。需要注意的是，采用静态IP地址接入Internet时，ISP应当为用户提供全部IP地址信息。

IP地址

企业网络使用的合法IP地址由提供Internet接入的服务商（ISP）分配，私有IP地址则可以由网络管理员自由分配。需要注意的是，网络内部所有计算机的IP地址都不能相同，否则，会发生IP地址冲突，导致网络通讯失败。

子网掩码

子网掩码是与IP地址结合使用的一种技术。它的主要作用有两个，一是用于确定厂地址中的网络号和主机号，二是用于将一个大的IP网络划分为若干小的子网络。

默认子网掩码

子网掩码以4个字节24bit表示，默认子网掩码如下表3所示。

govyvy

子网掩码中为1的部分定位网络号，为零的部分定位主机号。因此，当厂地址与子网掩码二者相“与”（and）时，非零部分即为网络号，为零部分即为主机号。

既然子网掩码可以决定IP地址的哪一部分是网络号，而子网掩码又可以人工进行设定，因此，可以通过修改子网掩码的方式来改变原有地址分类中规定的网络号和主机号。

也就是说，根据实际需要，既可以使用B类或C类地址的子网掩码（即255.255.0.0或255.255.255.0），将原有的A类地址的网络号由一个字节改变为二个或三个字节，或者使用C类地址的子网掩码（即255.255.255.0），将原有B类地址的网络号由二个字节改变为三个字节，从而增加网络数量，减少每个网络中的主机容量；也可以使用B类地址的子网掩码（即255.255.0.0）将C类地址的子网掩码由三个字节改变为二个字节，从而增加每个网络中的主机容量，减少网络数。

变长子网掩码

既然子网掩码中为1的部分可以定义为网络号，那么就可以通过加长子网掩码的方式，将掩码中原本为0的最高位部分修改为1，从而使得本来应当属于主机号的部分改变成为网络号，以达到划分子网的目的。

由此可见，子网掩码的位数越多，所取得子网的数量也就越多，但每个子网中所容纳的主机数也就越少，同时损失的IP资源也就越多。这是因为每个子网都会保留全0地址作为网络号，保留全1地址作为广播地址使用。

默认网关

默认网关的意思是一台主机如果找不到可用的网关，就把数据包发送给默认指定的网关，由这个网关来处理数据包。从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。

所以只有设置好网关IP地址，TCP/IP协议才能实现不同网络之间的相互通信。那么，对于企业网络而言，这个IP地址是什么呢?如果采用合法厂地址，该网关由ISP提供；如果采用私有IP地址，该网关就是代理服务器或路由器内部端口的IP地址。

DNS

DNS服务用于将用户的域名请求转换为IP地址。如果企业网络没有提供DNS服务，DNS服务器的IP地址应当是ISP的DNS服务器。如果企业网络自己提供DNS服务，那么DNS服务器的IP地址就是内部DNS服务器的IP地址。
二、局域网络IP地址的规划注意事项

随着公网IP地址日趋紧张，中小企业往往只能得到一个或几个真实的C类IP地址。因此，在企业内部网络中，只能使用专用（私有）IP地址段。在选择专用（私有）IP地址时，应当注意以下几点：

1、为每个网段都分配一个C类IP地址段，建议使用192.168.2.0--192.168.254.0段IP地址。

由于某些网络设备（如宽带路由器或无线路由器）或应用程序（如ICS）拥有自动分配IP地址功能，而且默认的IP地址池往往位于192.168.0.0和192.168.1.0段，因此，在采用该IP地址段时，往往容易导致IP地址冲突或其他故障。所以，除非必要，应当尽量避免使用上述两个C类地址段。

2、可采用C类地址的子网掩码，如果有必要，可以采用变长子网掩码。

通常情况下，不要采用过大的子网掩码，每个网段的计算机数量都不要超过250台计算机。同一网段的计算机数量越多，广播包的数量越大，有效带宽就损失得越多，网络传输效率也越低。

3、即使选用10.0.0.1--10.255.255.254或172.16.0.1--172.32.255.254段IP地址，也建议采用255.255.255.0作为子网掩码，以获取更多的IP网段，并使每个子网中所容纳的计算机数量都较少。当然，如果必要，可以采用变长子网掩码，适当增加可容纳的计算机数量。

4、为网络设备的管理VLAN分配一个独立的IP地址段，以避免发生与网络设备管理IP的地址冲突，从而影响远程管理的实现。基于同样的原因，也要将所有的服务器划分至一个独立的网段。

需要注意的是，不要以为同一网络的计算机分配不同的IP地址，就可以提高网络传输效率。事实上，同一网络内的计算机仍然处于同一广播域，广播包的数量不会由于IP地址的不同而减少，所以，仅仅是为计算机指定不同网段，并不能实现划分广播域的目的。若欲减少广播域，最根本的解决办法就是划分VLAN，然后为每个VLAN分别指定不同的IP网段。





2：IP地址规划之分配篇   


在IP地址规划时，我们已经知道IP地址包括公网和专用（私有）两种类型，公网IP地址又称为可全局路由的IP地址，是在Internet中使用的IP地址，目前对企业来说主要是ISP提供的一个或几个C类地址；而专用（私有）IP地址则包括A、B和C类三种，另外就是Microsoft Windows的APIPA预留的（169.254.0.0 -- 169.254.255.255）网段地址；下面就和大家谈谈这些IP地址的在企业局域网的分配方式。

一、可全局路由（公网）的IP地址的分配方式

毫无疑问，Internet网络中的每一台计算机都需要一个IP地址，然而，在目前IP地址资源非常紧缺的情况下，想从Internet接入商那里获取足够的IP地址简直是不可能的。假如每个企业用户只能获得1-10个公网IP地址，即使是拥有几百台计算机的局域网，因此应该考虑如何合理利用有限的IP地址了。

1、静态分配IP地址

也就是给每台计算机分配一个固定的公网IP地址。如果网络中每台计算机都采用静态的分配方案，那么很可能是IP地址不够用。所以一般只在下面两种情况下才采用这种方案：

IP地址数量大于网络中的计算机数量。

网络中存在特殊的计算机，如作为路由器的计算机、服务器等等。

2、动态分配IP地址

如果网络中有很多台计算机，且又不是所有的计算机都同时使用，那么不妨采用动态分配IP地址的方式。

什么是动态分配IP地址呢？打个比方说，公司一共有10台计算机，而须要使用计算机的却有15个人，显然每人一台计算机是不可能的。那么我们就考虑，如果他们不在同一时间使用，可不可以采取这种策略：把所有的计算机集中起来管理，等到有人提出使用请求的时候，分配其中的任意一台计算机给他，而他用完之后就把使用权收回，这样既可以保证所有的人都有机会使用计算机，又不会造成计算机的“浪费”。

IP地址的动态分配原理和上面所举的例子一样，只要同时打开的计算机数量少于或等于可供分配的IP地址，那么，每台计算机就会自动获取一个IP地址，并实现与Internet的连接。当然，如果打开的计算机数量太多，那么，后面的计算机就无法获得IP地址。但是动态分配IP地址也不是随时适用的，当网络内的计算机的数量达到上百台之多时，几个动态IP地址显然不够用，那怎么办呢？这就要采用下面的方法来解决。
3、采用NAT（Network Address Translation，网络地址转换）方式

既然不接入Internet的网络可以任意使用专用IP地址，那么能不能有这样一个方案，即在网络内部使用专用IP地址，连接到Internet的时候使用公网IP地址，同时在公网地址与私有地址之间有一个对应的转换关系呢?正是基于这种想法，产生了NAT（网络地址转换）。

它可以将专用IP地址（如10.x.x.x）转换为一个可全局路由的IPv4地址。也就是说，对于一个局域网而言，无论其中有多少台计算机，只需要有一个可全局路由的IP地址即可。这种方式既节约了IP地址，又能同时满足多个用户的上网需求，它就是组网的首选了。

NAT有3种类型，即静态NAT（Static NAT）、NAT池（pooled NAT）和端口NAT（PAT）。 如下图1、图2和图3所示。其中，静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

govyvy

图1

而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络中。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

govyvy

图3 根据不同的需要，各种NAT方案都会有利有弊。下面以使用NAT池为例来做进一步说明。

使用NAT池，可以从未注册的地址空间中提供被外部访问的服务，也可以从内部网络访问外部网络，而不需要重新配置内部网络中的每台机器的IP地址。

采用NAT池意味着可以在内部网中定义很多的内部用户，通过动态分配的办法，共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。应引起注意的是，NAT池中动态分配的外部IP地址全部被占用后，后续的NAT的IP地址转换申请将会失败。但是，目前许多带有NAT功能的路由器有超时配置功能，可以根据连接的时间来进行调配以缓解IP地址缺少所造成的问题。

除了路由器、ADSL或电缆调制解调器网关等硬件设备外，Windows XP/2000/Me/98系统中的“Internet连接共享”也可以实现NAT，还能广泛地适用于各种类型的Internet接入方式。
4、代理服务器分配

NAT地址转换方式虽然好，但也有其自身的缺陷。简单地说，就是只能简单地进行IP地址转换，而无法实现文件缓存，从而降低了Internet访问流量，无法实现快速的Internet访问。

代理服务器与NAT的工作原理不太一样，它并不只是简单地做地址转换，而是代理网络内的计算机访问Internet，并把访问的结果返回给当初提出该请求的用户，同时，把访问的结果保存在缓存中。当网络用户发出下一Internet请求时，服务器将首先检查缓存中是否保存有该页面的内容，如果有，立即从缓存中调出并返还给请求者；如果没有，则向Internet发送请求，并再次将访问结果保存起来，以备其他用户访问之需。

除此之外，代理服务器还具有部分网络防火墙的功能：可以对外隐藏网络内的计算机，提高网络安全性；可以限制某些计算机对Internet的访问；在带宽较窄的情况下限制Internet流量；可以禁止对某些网站的访问等。

如此看来，代理服务器要比单纯的NAT更适合大中型网络的Internet共享接入。不过，采用代理服务器的缺点也是有的，那就是还需要额外添置一台服务器，另外，代理服务器的设置也比较复杂。但考虑到单位内部的具体应用情况，使用代理服务器是最恰当不过的了。

二、专用（私有）IP地址的分配方式

可全局路由的IP地址的分配方案算是确定了，它既解决了IP地址不足的问题，同时又提升了Internet访问速度。接下来，就应该着手处理专用IP地址的分配了。

首先，要考虑选用哪一段专用IP地址。小型企业可以选择“192.168.0.0”地址段，大中型企业则可以选择“172.16.0.0”或”10.0.0.0”地址段。

如果我们根据网络中计算机的数量来决定需采用的IP地址，这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制，假如不久后企业决定又要购进一批计算机，整个网络就可能因为选取的IP地址不合适而导致重新设计。

其实网络的划分并不是很复杂，只要考虑到在可预见的将来的网络情况就可以了，同时要注重它的通用性及其稳定性。

其次，就是IP地址的分配方式了。假如企业的服务器操作系统采用的是Windows NT/2000/2003 Server系统， 客户器采用Windows 98/me/2000/XP系统；Windows为TCP/IP客户端提供了3种配置IP地址的方法，用于满足Windows用户对网络的不同需求。具体采用哪种IP地址分配方式，可由网络管理员根据网络规模和网络应用等具体情况而定。

1、手工分配

手工设置IP地址也是经常使用的一种分配方式。在以手工方式进行设置时，需要为网络中的每一台计算机分别设置4项IP地址信息（IP地址、子网掩码、默认网关和DNS服务器地址）。所以，在通常情况下，被用于设置网络服务器、计算机数量较少的小型网络（比如几台到十几台的小型网络），或者用于分配数量较少公用IP地址。

手工设置的IP地址为静态IP地址，在没有重新配置之前，计算机将一直拥有该IP地址。因此，既可以据此访问网络内的某台计算机，也可以据此判断计算机是否已经开机并接入网络。不过，默认网关和DNS地址必须是计算机所在的网段中的IP地址，而不能填写其他网段中的IP地址。

在Windows 98/me/2000/XP系统下，手工设置一台计算机的IP地址。具体的配置方法如下，在完成网卡驱动程序的安装之后，重新启动计算机进入系统，用鼠标右键单击桌面上的“网上邻居”图标，选择属性，这时可以发现在其中已经自动安装好了TCP/IP协议，选择并单击它下面的“属性”按钮，这时会弹出TCP/IP属性的对话框，在“IP地址”选项卡里，把“自动获取IP地址”改为“指定IP地址”，这时原本灰色的不能填写的IP地址和子网掩码就可以由自己来指定了。

2、DHCP分配

为了使TCP/IP协议更加易于管理，微软和几家厂商共同建立了一个Internet标准----动态主机配置协议（Dynamic Host configuration Protocol，DHCP），由它提供自动的TCP/IP配置。DHCP服务器为其客户端提供IP地址、子网掩码和默认网关地址等各种配置。

网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池，并根据计算机的请求而出租。DHCP是Windows默认采用的地址分配方式。

默认情况下，Windows 98/me/2000/XP系统都使用DHCP来进行IP地址的分配，所以，如果仍然选择DHCP来分配和管理IP地址，网管工作将会减轻很多，而且可以很方便地配置客户机。我们所要做的就是维护好一台DHCP服务器即可。

3、自动专用IP寻址

自动专用IP寻址（APIPA，Automatic Private IP Addressing）可以为没有DHCP服务器的单网段网络提供自动配置TCP/IP协议的功能。默认情况下，运行Windows 98/Me/2000/XP的计算机首先尝试与网络中的DHCP服务器进行联系，以便从DHCP服务器上获得自己的IP地址等信息，并对TCP/IP协议进行配置。如果无法建立与DHCP服务器的连接，则计算机改为使用APIPA自动寻址方式，并自动配置TCP/IP协议。

使用APIPA时，Windows将在169.254.0.1--169.254.255.254的范围内自动获得一个IP地址，子网掩码为255.255.0.0，并以此配置建立网络连接，直到找到DHCP服务器为止。

因为APIPA范围内指定的IP地址是由网络编号机构（IANA）所保留的，这个范围内的任何IP地址都不用于Internet。因此，APIPA仅用于不连接到Internet的单网段的网络，如小型公司、家庭、办公室等。

值得注意的是，APIPA分配的IP地址只适用于一个子网的网络。如果网络需要与其他的私有网通讯，或者需接入Internet时，就不能使用APIPA这种分配方式了。