科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道安全兼顾性能 合理划分企业子网

安全兼顾性能 合理划分企业子网

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在Internet网络的“身影”已经随处可见,越来越多的单位在办公时已经感觉到一时一刻都不能离开网络了,为此高效搭建安全可靠、性能稳定的局域网就已经提到各个单位的议事日程。对于动不动就有百十台或者几百台工作站的单位来说,要想确保搭建的局域网网络上网速度快捷、网络管理方便、数据传输安全,就需要在搭建网络之前认真设计好网络规划方案,特别是要划分好工作子网。

来源:中国IT实验室 2009年4月1日

关键字: 网络技术 子网划分 企业网

  • 评论
  • 分享微博
  • 分享邮件

  现在Internet网络的“身影”已经随处可见,越来越多的单位在办公时已经感觉到一时一刻都不能离开网络了,为此高效搭建安全可靠、性能稳定的局域网就已经提到各个单位的议事日程。对于动不动就有百十台或者几百台工作站的单位来说,要想确保搭建的局域网网络上网速度快捷、网络管理方便、数据传输安全,就需要在搭建网络之前认真设计好网络规划方案,特别是要划分好工作子网。毕竟,将规模较大的局域网网络,划分成几个互相独立的工作子网,将单位重要的部门或工作站集中设置到一个独立的工作子网中,可以限制单位其他人员对重要主机的访问。为了帮助大家划分好工作子网,本文特意总结了下面一些规划要点,我们只要遵循这些要点就能设计出一个贴近工作实际的子网划分方案!

  1、确定工作子网个数

  我们在对单位局域网网络设计子网规划方案的时候,首先要考虑的问题,按照工作实际要求单位究竟应该划分几个工作子网,毕竟我们日后需要根据这个数字来确认虚拟工作子网的掩码位数。比方说,笔者单位共有六个处室 ,经过与各个处室进行详细沟通后,笔者决定为单位局域网划分四个工作子网。财务处、综合处各用一个独立的虚拟工作子网,其他几个处室的所有工作站共同处于一个虚拟工作子网中;另外,为了保障单位重要服务器的运行安全性,笔者特意把单位文件服务器、邮箱服务器、OA办公自动化软件服务器以及Web网站等集中放置到一个虚拟工作子网中。

  明确了单位局域网的工作子网个数后,我们下面就能确定好虚拟工作子网的掩码位数;一般来说,虚拟工作子网的掩码位数乘以2,应该等于虚拟工作子网的个数,例如现在我们确定好虚拟工作子网的个数为4,那么依照上述规律,虚拟工作子网的掩码位数应该为2,用二进制方式表示就是11000000,我们日后计算虚拟工作子网的网段号码时需要用到这个数字。

  2、明确子网主机数量

  弄清楚了究竟需要划分几个虚拟工作子网后,我们需要明确的是每一个工作子网中大概需要容纳多少台工作站,这是因为每个虚拟工作子网包含的工作站数量是有限的,我们一定要确保每一个虚拟工作子网包含的工作站数量可以满足各处室的实际工作需要,只有这样这个子网规划方案才能算是有效的。

  笔者所在的单位中,财务处、综合处包含的工作站数量都很有限,差不多12台左右,其他各个处室包含的工作站数量大约也是20台左右,如果考虑到以后的扩展升级,笔者打算为每一个虚拟工作子网预留60台工作站的余量。

  根据这样的余量要求,我们现在需要计算出上述子网规划方案,是否可以正常满足单位各处室工作站的需要。在计算每一个虚拟子网究竟能包含多少合法的工作站数量的时候,我们可以遵循这样一个计算公式,那就是:合法的工作站数量=(2)x-2,值得注意的是这里的(2)x表示2的x次方,而这里的x指的的是子网掩码为0的位数。

  在虚拟工作子网数量为4的情况下,我们计算得出每一个虚拟工作子网的掩码位数为2,也就是虚拟工作子网掩码中为1的数字只有两个。假设我们为每一个虚拟工作子网分配使用C类IP地址,那么对应其虚拟工作子网掩码中为1的数字最多有八个;当我们指定子网掩码为1的数字有2位时,那么子网掩码为0的数字就是6位。依照上面的计算公式,我们不难计算出每一个虚拟工作子网应该包含的工作数量为62,而现在笔者单位的局域网只要求每个虚拟工作子网最多包含60台工作站就可以了,并且这个数值已经包含了日后的扩展升级需要,很明显,上面的虚拟工作子网规划方案是能够满足单位各处室工作需求的。

  当然,单位局域网中包含的工作站数量比较多时,那么我们就不能够为每一个虚拟工作子网分配使用C类IP地址了,而应该分配使用B类IP地址或者A类IP地址。总而言之,我们必须要确保设计的虚拟工作子网规划方案,其每个工作子网包含的工作站数量一定要能够满足单位实际工作需要。不然的话,那个设计好的虚拟工作子网规划方案仍然需要进一步调整。

  那么究竟什么样的虚拟工作子网规划方案是合理的呢?难道仅仅是满足了单位的实际工作需要就是合理的了?其实除了要满足单位眼前的工作需要外,我们设计出来的虚拟工作子网规划方案还应该符合拓展升级需要,不能看现在有多少台工作站就留多少个IP地址空间。正常来说,我们需要为每一个虚拟工作子网保留有50%的地址空间余量,甚至更多的空间余量,毕竟每一个虚拟工作子网划分设置好之后,对应网段的IP地址重新调整起来将是一件非常麻烦的事情。

  在确定好虚拟工作子网方案后,我们应该先尝试使用C类IP地址进行测试,之后再依次使用B类、A类IP地址进行测试;当发现C类地址无法满足单位局域网的实际工作要求时候,才考虑使用B类IP地址、A类IP地址进行测试。通常来说,在虚拟工作子网数量相同的情况下,B类IP地址、A类IP地址包含的有效IP地址空间要比C类地址多很多,我们可以自己的个人爱好以及结合工作实际,来选用哪类IP地址。

  3、计算子网网段参数

  通过上面的两个工作步骤,局域网的子网划分方案基本已经确定下来,下面我们要做的工作就是将每一个虚拟工作子网的一些具体参数计算出来,包括每一个子网的网段号码、广播地址,以及每一个虚拟工作子网究竟有多少可用的主机IP地址等,这些参数对日后客户端系统的参数配置以及具体的网络管理维护工作带来方便。

  在计算虚拟工作子网的网段号码时,我们可以遵循这样一个公式,那就是“256-子网掩码=主机IP地址数量”。比方说,笔者为单位局域网划分了四个虚拟工作子网,子网掩码位数为2,使用二进制来表达时就是“11000000”,使用十进制来表达时就是“192”,那么依照上面的公司,我们计算得到每一个虚拟工作子网包含的主机IP地址数量就为64。那么,从0开始计算,每隔64个IP地址就是一个虚拟工作子网,每一个虚拟工作子网最前面的一个IP地址就是对应该子网的网段号码,例如笔者单位局域网所划分的四个虚拟工作子网的网段号码依次为192.168.0.0、192.168.0.64、192.168.0.128、192.168.0.192。

  此外,每一个虚拟工作子网最后面的一个IP地址就是对应该子网的广播地址,例如笔者单位局域网所划分的四个虚拟工作子网的广播地址依次为192.168.0.63、192.168.0.127、192.168.0.191、192.168.0.255。依照IP地址划分规则,上述八个IP地址具有与众不同的用途,我们不能够将它们随意分配给普通客户端系统使用。

  从上面的描述我们不难看出,在计算每一个虚拟工作子网的主机地址数量的时候,我们必须记得减去两个IP地址,那就是子网网段地址以及子网广播地址。依照这样的分析,我们就能分析计算出每一个虚拟工作子网中究竟包含了哪些合法有效的主机IP地址;在计算每个虚拟工作子网中有效的主机IP地址时,我们只要把每一个虚拟工作子网中的IP地址,减去子网网段号码与网络广播地址之外,那就都是合法有效的IP地址了。换句话说,合法有效的IP地址就是那些介于每一个虚拟工作子网之间的取值,同时要减去虚拟工作子网的网段号码与广播地址。

  当然,在计算出每一个虚拟工作子网的各个网络参数后,我们最好及时将这些计算出来的参数整理成一张表格,那样一来,我们日后在为普通客户端系统分配设置上网参数的时候,才不会由于自身的疏忽将上网参数配置出错。要知道,我们日后就是通过这些IP地址来有效控制局域网中每一台普通工作站所处的网段。特别是在虚拟工作子网数量比较多或者组网结构相对复杂的时候,我们一定要设计出一个合理的IP地址划分方案。

  4、划分子网几点建议

  在对局域网进行虚拟工作子网划分操作时,我们应该高度重视网络规划的作用,结合工作实际,认真设计好子网划分方案,这是由于局域网网络一旦搭建成功后,我们才可能发现已经设计好的虚拟子网划分方案不能够满足单位实际的工作需要,比方说虚拟工作子网数量不够或者工作站数量不够时,我们如果再对其进行调整的话,那么工作量将会十分的巨大,而且网络规划调整也会对普通客户端系统产生非常大的影响。因此,我们要尽可能地对已经划分好的虚拟工作子网方案禁止进行频繁调整。

  在划分虚拟工作子网的时候,我们不能片面地追求虚拟工作子网的数量,毕竟不是虚拟子网数量越多越好。尽管从理论角度来看,为各个不同的处室单独划分一个虚拟工作子网,能够有效提高局域网的运行安全性与传输性能,不过虚拟工作子网数量的不断增多,同时也意味着网络管理员的管理维护工作量也会不断增加,这样一来就不利于网络管理员高效管理网络。因此,在没有特殊使用要求的情况下,我们不要为局域网网络划分太多的虚拟工作子网。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章