第一篇：IP管理

IP地址非法使用的動機。靜態(tài)修改IP地址配置 用戶在配置TCP/IP選項時，使用的不是管理員分配的IP地址，就形成了IP地址的非法使用。非法用戶還有可能將一臺計算機的IP地址和MAC地址都改為另一臺合法主機的IP地址和MAC地址。普通用戶明白非法使用IP地址所產生的危害和處罰措施，制定并實施嚴格的IP地址管理制度，包括：IP地址申請和發(fā)放流程，IP地址變更流程，臨時IP地址分配流程，機器MAC地址登記管理，IP地址非法使用的處罰制度。

教你如何快速靈活進行局域網IP地址規(guī)劃

無論你對IP地址是否熟悉，一旦你接觸到了網絡，那你就會不知不覺地用到IP地址，因為任何子網之間的通信或者子網工作站之間的通信，都是通過IP地址來實現正確尋徑目的的!任何一個子網的IP地址空間通常都是網絡管理人員根據子網規(guī)模以及近期發(fā)展規(guī)劃，來合理分配的，因為每一個子網中包含的工作站數量可能不相同，或許有的子網包含有數量較多的工作站，有的子網僅含兩三臺計算機，倘若給每一個子網平均分配IP地址空間的話，將會造成有的子網絡中IP地址資源比較緊張，有的子網絡中IP地址資源處于閑置狀態(tài)。那么如何才能快速有效地為不同子網正確劃分好IP地址空間，讓每個子網都能合理地用好有限的IP地址資源呢?

盡管根據子網規(guī)模以及近期發(fā)展規(guī)劃，使用人工計算的方法，可以為不同子網分配好不同的IP地址空間，但這種劃分IP地址空間的方法不利于局域網的高效管理和維護。有鑒于此，筆者在Internet上進行了苦苦搜索，特意找來了Wildcard工具作為我們的“幫手”，利用它你可以快速地為每個子網規(guī)劃好IP地址空間。不信的話，就請各位一起來領略一下Wildcard工具在快速規(guī)劃局域網IP地址方面的風采吧!

1、認識Wildcard的“本領”

其實Wildcard工具是一款小巧玲瓏的路由管理程序包，里面共含有三個子程序，利用“子網掩碼計算器”程序可以快速劃分好局域網的IP地址空間，利用“通配符掩碼監(jiān)測器”可以了解到當前子網是哪種規(guī)模的網絡，利用“十進制IP計算器”可以實現IP地址的十六進制和十進制的快速轉換。此外，該工具還有一大“亮點”，就是不需要進行安裝，就能立即運行使用，因此它對系統資源占用得很少。

2、分配子網的IP地址空間

一般來說，給任意一個子網分配IP地址空間時，都需要先了解一下子網中包含了多少臺工作站，再考慮一下子網日后的可擴展性。例如，要是單位局域網中的某個子網共含有40臺工作站，考慮到以后網絡規(guī)模的升級擴展，我們就必須為該子網分配多于40的IP地址數量，但分配的IP地址數量又不能太多，否則會造成多個IP地址資源在這個子網中得不到用武之地。要想快速準確地滿足上面的規(guī)劃要求，你可以找到Wildcard工具的安裝程序。

單擊該界面中的“子網掩碼計算器”按鈕，打開如圖2所示的設置窗口;在該窗口的IP地址框中輸入需要分配給該子網的起始IP地址，然后在子網掩碼處不斷單擊右箭頭按鈕，來調整子網掩碼的位數，并觀察該窗口下面的IP地址變化范圍;一旦你發(fā)現在某個子網掩碼下，IP地址變化范圍與40比較接近，而且在該范圍內可容納的工作站數量超過40的話，就表明對應此時掩碼地址下的IP地址空間，就是該子網的IP地址空間。

3、查看可用IP地址資源

筆者單位的局域網是通過廣電部門的SDH信道，直接與上級主管單位省科技廳網絡中心互聯通信的，上級主管單位分配給我們單位服務器的IP地址為210.73.140.2，網絡掩碼地址為255.255.255.192，那么我們如何知道還有哪些IP地址資源，可以在本地局域網中使用呢?其實很簡單，只要你單擊“子網掩碼計算器”按鈕，在彈出的子網掩碼設置界面中，將

“210.73.140.2”填寫在“主機IP”文本框中，同時在“掩碼位”設置項處單擊右箭頭按鈕，將子網掩碼調整為255.255.255.192，這樣你就能在如圖3所示的“當前主機范圍:”處，看到

本地局域網可以使用的IP地址數量為62個，具體可以使用的IP地址資源范圍為“210.73.140.1到210.73.140.62”。

4、查看局域網規(guī)模

根據局域網規(guī)模的大小不同，IP地址通?？梢苑譃锳類地址、B類地址、C類地址、D類地址、E類地址，其中A類IP地址一般是專門分配給規(guī)模較大局域網用的，每個A類地址的網絡可以包含1600多萬臺工作站;B類IP地址通常用于中等規(guī)模的局域網，每個B類地址的網絡最多可以連接6萬多臺計算機;C類IP地址主要分配給比較小的局域網規(guī)模的，每個C類地址網絡至多只能包含254臺工作站。D類IP地址與上面的三種類型地址不相同，這類地址并不用于特定的局域網子網，也不用于某一臺具體工作站，它主要是用來多點廣播的;E類IP地址其實也是一種比較特殊的網絡地址，它既不表示特定的局域網子網，也不用于具體的工作站，這類網絡地址中每個字節(jié)通常都為255或0，簡單地說E類IP地址其實就是“0.0.0.0”或

“255.255.255.255”這兩個地址，而“255.255.255.255”地址一般是用來表示當前網絡廣播地址的。根據IP類型的不同，我們通常把局域網規(guī)模分為A類網絡、B類網絡、C類網絡，那么我們該如何快速地查出自己單位的局域網，究竟是屬于什么網絡規(guī)模呢?

其實很簡單，只要你打開本地局域網中的任意一臺工作站，進入到該工作站的網絡屬性設置窗口，選中“Internet協議(Tcp/Ip)”選項，再單擊一下“屬性”按鈕，在其后出現的屬性設置界面中，單擊“常規(guī)”標簽，并在對應的標簽頁面中，查找到該工作站目前使用的IP地址，接著運行Wildcard工具的安裝程序，打開對應的程序界面，再單擊其中的“子網掩碼計算器”按鈕，進入到子網掩碼設置頁面;然后將上面查找得到的IP地址，直接填寫在“主機IP”文本框中，隨后Wildcard工具就會在“主機IP”文本框右側，自動彈出當前網絡的規(guī)模。例如，要是輸入“210.73.140.2”地址的話，Wildcard工具就會自動告訴你當前網絡屬于C類地址網絡，該網絡至多只能包含254臺工作站．

5、查看子網網絡標識

人們通常把分配給工作站的IP地址人為分成兩個部分，一個部分用于標識工作站所在子網的網絡地址，另外一個部分用于標識主機地址。一般來說，處于相同子網中的所有工作站都用相同的網絡標識地址，對應子網中的每一臺工作站都有一個唯一的主機標識和其對應。根據上述的原理，IP地址中的4組數字也被劃分成兩塊，其中一塊是子網網絡標識，另外一塊是主機標識;例如，位于某個子網中的一臺工作站IP地址為210.73.140.7，對于這個IP地址，我們可以理解為當前工作站位于210.73.140.0這個子網網絡中，它的主機標識應該為7，合起來的話，210.73.140.7就是這臺工作站面向Internet的獨立身份標識。由于不同規(guī)模的網絡，其網絡標識是不一樣的，即使在同一網絡規(guī)模的不同子網中，網絡標識也是不一樣的;因此要準確地知道某個網絡的子網網絡標識，必須要根據分配給該網絡的IP地址以及掩碼地址共同確定才可以。要想快速地查看某個子網的網絡標識時，也可以“借助”Wildcard工具來實現:

打開本地局域網中的任意一臺工作站，進入到該工作站的網絡屬性設置窗口，選中

“Internet協議(Tcp/Ip)”選項，再單擊一下“屬性”按鈕，在其后出現的屬性設置界面中，單擊“常規(guī)”標簽，并在對應的標簽頁面中，查找到該工作站目前使用的IP地址以及掩碼地址;接著單擊Wildcard程序界面中的“子網掩碼計算器”按鈕，打開子網掩碼設置窗口;然后將上面查找得到的IP地址，直接填寫在“主機IP”文本框中，再將“掩碼位”設置成和當前查找得到的掩碼地址相同。隨后Wildcard工具就能在子網標識處，告訴你當前子網的網絡標識地址了。例如，要是你輸入的IP地址為“210.73.140.7”，網絡掩碼地址為“255.255.255.192”，那么Wildcard工具將會自動計算出當前子網的網絡標識為“210.73.140.0”

小提示:在給局域網子網分配網絡標識地址時，必須確保當前子網的網絡標識不能和其他子網的標識地址相同，具體地說就是必須給每一子網分配一個唯一的標識地址;另外在分配網絡標

識地址時，請不要將網絡標識地址的開頭數字設成“127”，因為在A類網絡地址中，數字為“127”開頭的IP地址專門預留給內部回送函數。當然網絡標識地址的開頭數字也不能設成“255”和“0”，因為“255”開頭的IP地址專門用于網絡廣播的，“0”開頭的IP地址專門用來表示本地主機的。

6、換一種方式訪問網絡

無論是訪問網絡中的服務器還是工作站時，都需要通過IP地址才能實現訪問目的;而我們常見的IP地址是由32位二進制數構成，例如，某網絡中的一臺服務器IP地址為

“******10”，很明顯，要是使用這些讓人眼花繚亂的0、1數字來訪問網絡的話，不但輸入比較麻煩，而且也不大容易記憶。為了方便記憶和輸入，我們人為地將32位“0”、“1”數字分成四組，每8位二進制數分成一組，每組數字用小數點分隔開來，再將四組八位二進制數分別轉換成四組十進制數，如此一來前面服務器的IP地址就可以寫成“210.73.140.6”，以后我們就可以通過“http://210.73.140.6”或“ftp://210.73.140.6”形式來訪問該臺服務器了。

除了將32位二進制數的IP地址轉換成四組十進制數的IP地址，來訪問網絡服務器外，我們還可以利用Wildcard工具的IP地址轉換功能，將32位二進制數的IP地址直接轉換成一組十進制數的IP地址，來實現訪問網絡的目的。例如，要將“210.73.140.6”IP地址轉換成一組十進制數的IP地址時，只要按照如下步驟來操作就可以了

首先雙擊Wildcard工具的安裝程序，打開該程序的主界面;然后單擊該界面中的“十進制IP計算器”按鈕，打開如圖6所示的設置界面;在該界面的“IP地址”文本框中直接輸入需要訪問的服務器IP地址，例如輸入“210.73.140.6”

接著單擊“計算十進”按鈕，就能知道十進制IP地址為“3528035334”，以后你也可以通過“http://3528035334”或“ftp://3528035334”形式來訪問“210.73.140.6”服務器了。當然，在“十進制IP計算器”設置窗口中，你也可以將十進制IP地址快速轉換成普通的IP地址。

第二篇：IP 地址及其管理

IP 地址及其管理

一、教材內容分析

本節(jié)介紹了 IP 地址和 IP 地址的管理的相關知識。IP 地址的概念非常重要，是本節(jié)課的重點。但由于知識內容本身比較抽象，學生不太容易掌握，教師在教學過程中，可以結合實踐內容，舉例讓學生逐步理解這個概念。IP 地址的管理主要介紹因特網地址分配機構和分級管理的方式，可以通過類比讓學生理解，同時讓學生感受 IP 地址資源的有限性和分配不平衡性。

二、教學目標

1．要求學生了解 IP 地址的概念、格式及分類，知道 IP 地址的組織與管理方法；

2．感受 IP 地址資源的有限性和分配的不平衡性，樹立節(jié)約資源、合理使用資源的意識。

三、教學重難點 ：IP 地址的概念。

四、教學方法 ：講解法，演練法，對照法。

五、教學設計策略

由于本節(jié)知識內容比較抽象，學生自學有些困難，因此采用講授法，并運用一些類比教學手段，將抽象的理論形象化。運用演示、講解和練習相結合的手段，通過精心設計學生活動，形象地將 IP 地址展現在學生面前。運用對照法，將 IP 地址和上節(jié)所學的域名知識結合。

六、教學過程

新課導入

教師活動 先讓學生打開兩個瀏覽器窗口，分別輸入“ gmwz.com.cn” 和

“ 10．8．96．3”, 看看會出現什么情況。

學生活動 學生帶著疑惑進行操作，結果發(fā)現訪問的是同一個網站。

設計思想 讓學生帶著疑問進行學習，激發(fā)學生的求知欲。這樣設計不但銜接上節(jié)課的知識點而且開門見山地揭示出了本節(jié)課的重要知識點。

新課學習

教師釋疑 同學們，前面我們學習了因特網的域名，那么如果深入地想一下，域名對于我們用戶是比較容易操作和記憶的，但是對于電腦來說，它可以直接識別域名嗎？實際上，電腦只對二進制的數字感興趣（電腦的工作原理），也就是說，電腦網絡只認識 0 或 1 組成的數字。所以網絡只能認識我們這節(jié)課要學習的由 0 或 1 組成的 IP 地址。前面學的域名就如同我們同學的名字，學生除了名字外，還有個考試時的座號，這里的座號就相當于域名對應的 IP 地址。再如，如果僅知道你的名字，不一定能夠聯系上你，但是如果知道你的電話號碼，那就能夠很快找到你。所以這里域名對應的 IP 地址就相當于人名對應的電話號碼。由此可知，IP 地址才是真正網絡中計算機的身份標識。

學生思考

在抽象難以理解的問題上，教師通過舉例子進行必要的解釋有助于學生理解問題，加深概念的認識，起到化難為易的效果。

任務設置

先請同學查看一下所在機號的網絡 IP 地址。先打開網上鄰居屬性，找到“常規(guī)”標簽中的 Internet 協議(TCP/IP)屬性，就會看到該機的網絡 IP 地址。

任務 1 ：找出你看到的 IP 地址的特點；

任務 2 ：看書指出 IP 地址的本質特征。

學生完成相應的任務并回答問題。

通過自主學習，能激發(fā)他們的學習積極性，有利于全面提高學生動手動腦的能力。通過觀察形成感性認識，再讀書深入認識事物的本質，培養(yǎng)學生掌握認識事物的一般方法。

師生互動

1．根據上面的任務學生歸納總結 IP 地址的格式特征，教師分析說明其中的要點并展示概念。

說明：

（1）IP 地址可以確定計算機在網絡中的具體位置。

（2）IP 地址是由二進制數—— 32 位“ 0 ”或“ 1 ”組成的，每八位一組共四組，四組之間用點分隔，每組對應的數的范圍是 0 ～ 255。展示概念：每個 IP 地址占用 32 個二進制位，即 4 個字節(jié)。書寫時，將四個字節(jié)分別書寫為十進制數，各數之間用圓點分隔開。

2．學生討論比較 IP 地址與域名之間的異同。

教師總結二者異同。

相同之處：域名和 IP 地址指向同一個網絡地址，組成結構類似，中間用圓點分隔。不同之處：域名是 IP 地址的文字表現形式，容易記憶，卻不能被電腦直接識別。IP 地址是二進制數組成，比較難記，但在網絡中可以被電腦直接識別。二者之間的密切聯系和轉換是靠一個叫域名系統（DNS 服務器）來完成的。

學生完成任務并相互探討。

教師畫龍點睛說明問題的本質。

本部分是教材的難點。教師應該通過多種途徑引導學生學習：比如先引導學生討論知識的表面現象，然后分析其本質特征，由表及里認識事物。為了進一步認識該知識點，可以聯系前面的域名知識，討論分析兩者的異同。加深學生對 IP 地址概念的認識；學會建立新舊知識的聯系，而不是孤立地看問題的一面。

知識拓展

讓學生課后通過上網或查看課外書籍的方式查閱關于 域名系統（DNS 服務器）的資料，了解它的工作原理。推薦閱讀的雜志和報刊有《電腦愛好者》、《中國電腦教育報》等。

培養(yǎng)學生探索知識的能力和興趣，擴展知識面。

師生互動

3．教師給出問題：既然 IP 地址是確定計算機在網絡中具體位置的編號，那么 IP 地址可以隨便設置嗎？

看書回答下列問題：

（1）IP 地址由哪兩部分組成？

（2）網絡標識的作用是什么？

（3）主機標識的作用是什么？

學生回答。

教師可以做如下解釋 :

IP 地址中，一部分是網絡標識，一部分是主機號；網絡標識確定主機所在的物理網絡，主機標識確定主機的物理地址。如果高一·三班理解為網絡標志，那么座號 25 就可理解為主機號。再如電話號碼 0536-2345103，前面 4 位 0536 表示電話的濰坊區(qū)位號，23 表示高密的區(qū)位，45103 表示電話機本身的號。正如化學中元素周期表一樣，任何科學知識都是規(guī)律和經驗的總結。

一般的，根據 32 位 IP 地址網絡標識號和主機標識號各占用位數的不同，可以將 IP 地址劃分為五類。

（1）A 類地址的第一字節(jié)是網絡標識，后三個字節(jié)是主機標識。

（2）B 類地址的前兩個字節(jié)是網絡標識，后兩個字節(jié)是主機標識。

（3）C 類地址的前三個字節(jié)是網絡標識，第四個字節(jié)是主機標識。

（4）D 類地址用于多點廣播。

（5）E 類地址保留備用。

顯然，IP 地址不是隨便設置的，它的設置方式 是有規(guī)律和意義的。之所以這樣有規(guī)律地設置，是因為 IP 地址是需要管理的。

學生思考根據問題看書

通過舉例子進行必要的解釋有助于學生理解問題，加深對概念的認識，起到化難為易的效果。通過通俗講解 IP 地址的組成規(guī)律及按規(guī)律分類，讓學生認識到科學技術知識都是有規(guī)律可循的，從而進一步學習認識管理 IP 地址的重要性。

讓學生認識到 IP 地址資源的有限及分配的不平衡性。

學生活動

4．IP 地址的管理的機構是什么？

學生上網查閱資料。

如：http:///

5．指出我國 IP 地址的總量不足及原因。鼓勵學生努力學習，找出解決節(jié)省 IP 地址資源的辦法。

[ 問題 ] 我國 IP 地址的總量不足解決辦法是什么？

查閱有關 IPV4 和 IPV6 的資料。

采用小組形式討論。

進行拓展學習。

知識遷移

第三篇：IP網絡安全管理系統探討

IP網絡安全管理系統探討

1、引言

IP網絡是電信運營的基礎網絡之一，網絡安全是保證網絡品質的基礎。隨著寬帶業(yè)務的迅猛發(fā)展，運營商提供的數據業(yè)務越來越多，因此網絡與信息的安全性也日漸重要。與此同時，互聯網的開放性給網絡運營帶來了越來越多的安全隱患，互聯網網絡安全管理工作目前急需加強。對于運營商來說，相應的安全管理系統及檢測手段的建設也勢在必行。信產部對互聯網的安全問題十分重視，要求各運營商制定“互聯網網絡 安全應急預案”。根據信息產業(yè)部的要求，各運營商已在建設互聯網網絡安全應急處理組織體系，從人員和組織架構上提供保障，但相對缺乏相應的安全管理系統和技術手段。為適應互聯網業(yè)務發(fā)展的需要及加強互聯網網絡安全管理工作，各運營商都在積極著手建設安全管理系統。

2、IP網絡安全管理的主要問題

IP網絡規(guī)模龐大、系統復雜，其中包含各種網絡設備、服務器、工作站、業(yè)務系統等。安全領域也逐步發(fā)展成復雜和多樣的子領域，例如，訪問控制、入侵檢測、身份認證等。這些安全子領域通常在各個業(yè)務系統中獨立建立，隨著大規(guī)模安全設施的部署，安全管理成本不斷飛速上升，同時對這些安全基礎設施產品及其產生的信息管理成為日益突出的問題。IP網絡安全管理的問題主要有以下幾個方面：

(1)海量事件。

企業(yè)中存在的各種IT設備提供大量的安全信息，特別是安全系統，例如，安全事件管理系統和漏洞掃描系統等。這些數量龐大的信息致使管理員疲于應付，容易忽略一些重要但是數量較少的告警。海量事件是現代企業(yè)安全管理和審計面臨的主要挑戰(zhàn)之一。

(2)孤立的安全信息。

相對獨立的IT設備產生相對孤立的安全信息。企業(yè)缺乏智能的關聯分析方法來分析多個安全信息之間的聯系，從而揭示安全信息的本質。例如，什么樣的安全事件是真正的安全事件、它是否真正影響到業(yè)務系統的運行等。

(3)響應缺乏保障。

安全問題和隱患被發(fā)掘出來，但是缺少一個良好的機制去保證相應的安全措施得到良好執(zhí)行。至今困擾許多企業(yè)的安全問題之一——弱口令就是響應缺乏保障的結果。

(4)知識“孤島”。

許多前沿的安全技術往往只有企業(yè)內部少數人員了解，他們缺少將這些知識共享以提高企業(yè)整體的安全水平的途徑。目前安全領域越來越龐大，分支也越來越細微，各方面的專家缺少一個溝通的平臺來保證這些知識的不斷積累和發(fā)布。

(5)安全策略缺乏管理。

隨著安全知識水平的提高，企業(yè)在自身發(fā)展過程中往往制定了大量的安全制度和規(guī)定，但是數量的龐大并不能代表安全策略的完善，反而安全策略版本混亂、內容重復和片面、關鍵制度缺失等問題依然在企業(yè)中不同程度的存在。

(6)習慣沖突。

以往的運維工作都是基于資產+網絡的運維，但是安全卻是基于安全事件的運維。企業(yè)每出現一個安全問題就需要進行一次大范圍的維護，比如出現病毒問題就會使安全運維工作不同于以往的運維工作習慣。

隨著IP技術的飛速發(fā)展，網絡安全逐漸成為影響網絡進一步發(fā)展的關鍵問題。為提升用戶業(yè)務平臺系統的安全性及網絡安全管理水平，增強競爭力，IP網絡安全管理從單一的安全產品管理發(fā)展到安全事件管理，最后發(fā)展到安全管理系統，即作為一個系統工程需要進行周密的規(guī)劃設計。

3、安全管理系統建設管理需求

安全管理系統的建設需求主要表現在以下幾個方面：

(1)各運營商通過安全管理系統的建設，可以完善IP網的安全管理組織機構、安全管理規(guī)章制度，指導安全建設和安全維護工作，建立一套有效的IP的安全預警和響應機制。

(2)能夠提供有效的安全管理手段，能充分提高以前安全系統功能組件(如入侵檢測、反病毒等)投資的效率，減小相應的管理人工成本，提高安全體系的效果。

(3)通過對網絡上不同安全基礎設施產品的統一管理，解決安全產品的“孤島”問題，建立統一的安全策略，集中管理，有效地降低復雜性，提高工作效率，進一步降低系統建設維護成本，節(jié)省經濟成本和人工成本。

(4)優(yōu)化工作流程促進規(guī)程的執(zhí)行，減輕管理人員的工作負擔，增強管理人員的控制力度。

(5)實時動態(tài)監(jiān)控網絡能有效地保障業(yè)務系統安全、穩(wěn)定運行，及時發(fā)現隱患，縮短響應時間和處理時間，有效地降低安全災害所帶來的損失，保障骨干網絡的可用性及可控性，同時也可提高客戶服務水平，間接地提高客戶滿意度。

(6)通過對安全信息的深度挖掘和信息關聯，提取出真正有價值的信息，一方面便于快速分析原因，及時采取措施;另一方面為管理人員提供分析決策的數據支持，提高管理水平。

(7)通過信息化手段對資源進行有效的信息管理，有助于提高企業(yè)的資產管理水平，從而提高企業(yè)的經濟效益和企業(yè)的市場競爭力等。

4、安全管理系統建設目標

安全管理系統的建設是一項長期的工作，綜合考慮實際工作的需求、當前的技術條件以及相關產品的成熟度，安全管理系統的建設工作應該按照分階段、有重點的建設的方式來規(guī)劃。根據各階段具體的安全需求，確定各階段工作的重點，集中力量攻克重點建設目標，以保證階段性目標的實現。建設的同時需要注意完善相關的管理制度和流程，保證安全管理系統與企業(yè)業(yè)務的有機融合和有效使用。對于IP網安全管理系統的建設，建議分近期目標、中期目標和長期目標3個階段來實現：

*近期目標。以較為成熟的相關技術為基礎，根據當前最迫切的安全管理工作需求制定，包括安全風險管理、安全策略管理、安全響應管理的基本需求。

*中期目標。在近期目標基礎上提高內部各系統之間的集成度和可用度，擴大管理范圍，增強各功能模塊，初步實現與其他信息系統的交互和安全管理的自動化流程。

*長期目標。實現安全管理系統的集成化、自動化、智能化，保證信息、知識充分的挖掘和共享，為高水平管理工作和高效率的安全響應工作提供良好的技術平臺。

5、安全管理體系與功能模型

5.1 管理體系

明確了建設目標后就要結合運營商安全需求、網絡環(huán)境及整體規(guī)劃方向確定安全體系模型。IP網安全包括物理安全、設備與網管系統安全、網絡層安全、網絡信息安全。IP網安全體系分為技術體系層面(安全基礎設施)、安全管理系統、管理體系層面。

(1)管理體系層面。它包括安全策略管理、安全組織管理、安全運作管理等幾個方面。安全策略是IP網安全管理工作的依據，包括安全策略、標準、過程等方面的內容。安全策略管理是整個安全體系的基礎，通過對策略進行有效的發(fā)布和貫徹執(zhí)行，可以規(guī)范項目建設、運行維護相關的安全內容，指導各種安全工作的開展和流程，確保IP網的安全。安全組織是安全的管理組織架構，包括運營商安全相關的管理組織和人員。安全運作管理是策略、組織、技術的結合，是通過安全組織規(guī)定的人員，按照相應的流程，采取安全措施，對安全事件進行處理，從而整體提升IP網的安全水平。

(2)技術體系層面。它包括安全基礎設施，安全基礎設施包括訪問控制系統、身份和認證管理系統等。

(3)安全管理系統層面。它是安全體系的中心樞紐，向上作為一種安全管理的形式和技術平臺，協助用戶實現安全策略管理、安全組織管理、安全運作管理，提供支撐手段。安全管理系統構建于安全基礎設施之上，向下將管理貫徹到整個技術層面，通過收集來自所有安全產品和非安全產品的信息，進行統一的自動化風險評估，評價是否符合安全管理的策略，并報告給決策者，提供必要的響應。安全管理系統將安全管理和安全技術層面聯系起來，能夠保證安全產品部署符合安全管理的要求，提升安全基礎設施的效率，減少相應的管理人工成本。

IP網絡安全管理體系如圖1所示。

5.2 安全管理系統功能模型運營商在建設安全管理系統時，可通過安全服務的建設初步建立安全策略管理、安全運作管理體系，通過IP網安全管理系統的建設，實現基本的安全策略管理、安全運作管理功能。安全管理系統的功能及核心模塊如圖2所示。

圖2 安全管理系統功能及核心模塊

(1)資產信息管理模塊。

它實現對網絡安全管理系統所管轄的設備和系統對象的管理。它將所轄IP設備資產信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。

(2)脆弱性管理模塊。

它實現對IP網絡中主機系統和網絡設備安全脆弱性信息的收集和管理，并配備遠程脆弱性評估工具和本地脆弱性信息收集工具，及時掌握網絡中各個系統的最新安全風險動態(tài)。該模塊收集和管理的脆弱性信息主要包括兩類：通過遠程安全掃描可以獲得的安全脆弱性信息(下稱遠程脆弱性信息)和通過在主機上運行腳本收集的脆弱性信息(下稱本地脆弱性信息)。在定期收集到這些脆弱性信息后可以利用脆弱性管理系統進行導入和處理，以利于安全管理員對脆弱性信息的查詢、呈現并采取相應的措施進行處理。

(3)安全事件監(jiān)控管理模塊。

安全事件監(jiān)控系統是實時掌握全網的安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控各個網絡設備、主機系統等日志信息以及安全產品的安全事件報警信息等，及時發(fā)現正在和已經發(fā)生的安全事件，通過響應模塊采取措施，以保證網絡和業(yè)務系統安全、可靠運行。

(4)安全響應管理模塊。

安全響應是安全工作中重要的一環(huán)。運營商應考慮目前的網絡運行狀況與管理機制的特點，將安全管理系統安全響應的建設重點放在通過工單系統進行工作指令的傳達和網絡安全評價機制的建設上。

網絡安全響應是根據當前的網絡安全狀態(tài)，及時調動有關資源作出響應，降低風險對網絡的負面影響。網絡安全響應模塊負責利用安全管理系統平臺提供的采集和統計功能，科學合理地評價網絡安全的狀態(tài)指標，并根據安全的狀態(tài)指標，結合安全風險控制的需要，及時通過工單系統發(fā)布工作指令，調動有關資源作出相應的響應，將剩余風險控制在可以接受的范圍。

(5)安全預警模塊。

結合安全漏洞的跟蹤和研究，及時發(fā)布有關的安全漏洞信息和解決方案，督促和指導各級安全管理部門及時作好安全防范工作，防患于未然;同時通過安全威脅管理模塊所掌握的全網安全動態(tài)，有針對性地指導各級安全管理機構做好安全防范工作，特別是針對當前發(fā)生頻率較高的攻擊做好預警和防范工作。

(6)安全知識庫模塊。

安全知識庫信息的發(fā)布，不僅可以充分共享各種安全信息資源，而且也會成為運營商各級網絡安全管理機構和技術人員之間進行安全知識和經驗交流的平臺，有助于提高人員的安全技術水平和能力。安全管理系統要求實現網絡安全信息的共享和利用，在安全管理系統平臺提供統一界面以安全Web的形式發(fā)布最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個安全共享知識庫，該知識庫的數據以數據庫的形式存儲及管理，為培養(yǎng)高素質網絡安全技術人員提供培訓資源。信息模塊可以包括安全技術園地、安全技術交流、安全案例庫、補丁庫、論壇以及其他管理信息系統等子信息系統。

6、安全管理系統評估

安全管理系統建設后，應能達到以下各項目的評估：

(1)結合落實信產部對通信安全的要求，提供應急響應的技術手段，為運營商互聯網網絡安全應急處理小組提供安全事件應急響應的技術手段和管理平臺，實現《互聯網網絡安全應急處理預案》所要求的安全目標。

(2)運營商IP網絡安全應急信息的發(fā)布。能夠以E-mail、網頁、任務單等多種方式將最新的安全公告，預警信息、安全事件信息等及時發(fā)布給相關人員。

(3)實現安全事件預警、快速響應的閉環(huán)管理功能。安全預警和快速響應能夠有效降低安全災害所帶來的損失，單純的安全產品不足以呈現全網的安全狀況、提供足夠的預警信息，必須實現安全的集中管理，才能實現以地域、業(yè)務系統等方式統一呈現安全風險、縮短響應時間。

(4)定期進行安全審計實現風險評估，確保安全管理系統持續(xù)的適宜性和有效性。定期進行安全審計，并結合現有的安全措施及界定的各類風險處置策略對管理的資產(包括安全事件、安全事件處置策略及安全工單執(zhí)行情況等)進行評估，不斷充實安全知識庫的內容以提高運維及網絡安全技術人員的技術水平。

(5)從安全建設的角度來講，建立完善的安全管理組織體系是非常重要的。企業(yè)應該設置專職人員對企業(yè)的安全負責、統一協調、統一管理，應定期對專職人員的安全工作進行考核，要及時發(fā)現問題、解決問題，逐步完善運營商的安全管理。

7、結束語

隨著運營商業(yè)務、網絡及運維的發(fā)展，國內各運營商在持續(xù)對網絡和系統進行安全評估和加固的同時啟動了安全管理系統的建設，并逐漸將專用的或定制開發(fā)的安全系統集成到安全管理系統中統一管理。可以看出，運營商日益重視安全管理，安全管理已逐漸成為一種趨勢，IP網絡安全管理的理論研究水平、實踐能力有待于進一步發(fā)展和提高。

第四篇：IP地址及其管理教案

IP地址及其管理

一、教材分析。

IP地址是計算機的網絡身份證，是一臺單機能上網的必要條件。而IP地址必須在子網掩碼的配合下才能表明一臺主機所在的子網與其他子網的關系，使網絡正常工作，所以IP地址與子網掩碼猶如一對形影不離的兄弟，聯系異常緊密。鑒于此在選擇授課內容時，我對教材原有結構進行了調整，不僅僅講2.2IP地址及其管理，還將2.1節(jié)涉及到IP地址和域名這部分內容巧妙地溶入了本節(jié)，這樣原來割裂的兩部分內容互相補充，相得益彰，學生覺得的IP地址有關的知識變得完整豐富。

二、學情分析。

(1).知識方面，學生已經學習了信息技術基礎，對計算機網絡已經有了一定的了解，但個體差異十分明顯。

(2).技能方面，學生思維活躍、積極性高，理解及操作能力也比較強，有很強的概括能力和抽象思維能力。

(3).情感方面，求知的欲望強烈，喜歡探求真理，具有積極地情感態(tài)度。

三、教學目標。

1、知識與技能

（1）掌握IP地址的概念、格式、分類。

（2）了解子網掩碼域名，掌握IP地址的查看。

（3）了解IP地址的管理方式及IP地址資源的分配情況。

2、過程與方法

充分利用各種手段激發(fā)學生學習的興趣，并通過交流探索，學會與人合作，提高學生的知識遷移能力和獨立思考能力。

3、情感態(tài)度和價值觀

（1）讓學生在學習過程中克服畏難情緒，體會到學習理論的快樂，為以后學習理論知識找到合適的方法。

（2）讓學生認識到IP地址資源的有限及分配的不平衡,體驗民族的危機感。

四、重點、難點突破。

1、教學重點：IP地址的格式和分類，采用生活中貼切類比的辦法，讓學生通俗易懂的去學習Ip地址的格式和分類。

2、教學難點：通過生中的電話號碼牢記IP地址的格式，然后練習多做。

五、教學過程。

（一）什么是IP地址？

[教師] 分析IP地址的概念，說明由于它是唯一的，才能通過IP地址確定主機實際的物

1理地址，從而抓住疑犯。每一臺上網的計算機都有自己的網絡身份——IP地址

[學生] 告知學生查看Ip地址的方法，查出自己計算機和同學的IP地址并記錄。

一：網上鄰居－右鍵屬性－本地連接屬性－雙擊“Internet協議（TCP/IP）”

二：開始菜單—命令提示符—

ipconfige_enter

總結：IP地址和域名都能標識網絡中的計算機，但IP地址是唯一的。

（二）IP地址的格式（此部分內容以教師講授為主）

十進制格式：131.107.3.2

4二進制格式：******00

IP地址數字范圍在0~255解釋原因

總結：[通用格式]十進制格式（點分十進制）：我們將32個二進制數分成4組（每組8位[1個字節(jié)]），并將每組轉換成十進制數（0~255），且每組間用圓點來分隔。

（三）IP地址的分類

由例子：生活中的電話號碼IP地址

根據設計者IP地址的分類

三類IP地址的范圍、可支持的網絡數目和每個網絡支持的主機數的比較

【設計思想】

（1）生活中的例子通俗易懂

（2）通過例子對Ip地址分類的進一步牢記，更加的鞏固一下知識。

（四）IP地址分層的管理圖——IP地址資源的有限性，如何解決？

因特網地址分配機構（IANA）負責全球IP地址與域名的管理。全球IP地址的分配是按照一種分級的方式管理的。

討論后得出： 方法一—IPV6方法二—IP地址的動態(tài)分配

【設計思想】

1、讓學生認識到IP地址資源的有限及分配的不平衡,體驗民族的危機感。

2、能自然貼切地引出下一知道點。

（五）作業(yè)

1.關于因特網中主機的IP地址，敘述不正確的是（）。

A、IP地址是網絡中計算的身份標識

B、IP地址可以隨便指定，只要和主機IP地址不同就行

C、IP地址是由32個二進制位組成D、計算機的IP地址必須是全球唯一的 歷年真題，鞏固檢測

2.Internet使用TCP/IP協議實現了全球范圍的計算機網絡的互連，連接在Internet上的每一臺主機都有一個IP地址，下面不能作為互聯網上可用的IP地址的是（）。

A、201.109.39.68B、127.0.0.1C、21.18.33.48D、120.34.0.18

3.IP地址172.16.16.16屬于（）類IP地址。

A類1.0.0.0~127.255.255.255 第一段為網絡號，2~4段為主機號

B類128.0.0.0~191.255.255.2551~2段為網絡號，3~4段為主機號

C類192.0.0.0~223.255.255.255 1~3段為網絡號，第四段為主機號

D類 組廣播地址E類 留用

4.IP地址是計算機在因特網中唯一識別標志，IP地址中的每一段使用十進制描述時其范

圍是（）

A、0-128B、0-255C、-127-127D、1-256

（六）總結本節(jié)課主講內容

六、教學反思。

遇到“IP地址及其管理”這節(jié)內容大多數老師內心還是非常害怕的，由于大量枯燥的理論又沒有針對性強較有趣的學生活動，常常是教師一灌到底，學生聽之無趣。但我的這節(jié)到結束都能使同學保持高昂的學習情緒，盡量做到不枯燥乏味的現象，歸其原因主要體現在以下幾個重要設計理念：

一、大量生活資源地應用。對理論地闡述教師用到很多生活中的類比，如IP地址和域名的關系，IP格式和電話號碼格式，使講述更生動。

二、設計一系列針對性強、又切實可行的學生實踐活動，使學習主動有交流，使學生自己學習，發(fā)現內容，使其不再枯燥乏味。

三、對原有教材內容的重新整合，使 IP地址的教學內容不再被割裂，前后知識一點點聯系緊，有因有果，一氣呵成，也為下節(jié)“如何將計算機接入因特網”分解了一部分知識點。

最后，講課語言組織不是很好等等問題有待改進。

第五篇：ip地址管理與規(guī)劃[范文模版]

計算機網絡規(guī)劃與設計 6、2 IP 地址 6、2、1 IP 地址的類型 1.什么就是 IP 地址？ 2.IP 地址的分類 下面就是常用 A、B、C 三類地址的總結表: 表 表 6-2

網絡類別、網絡地址與主機編號字段的取值范圍 網絡類別 IP 地址 網絡地址 址 主機編號 號 網絡地址中 中 W 的取值范圍 主機近似 個數 A W、X、Y、Z W X、Y、Z 1～126 1700萬左右 B W、X、Y、Z W、X Y、Z 128～191 65000 C W、X、Y、Z W、X、Y Z 192～223 254 表 6-3 歸納了 A、B、C 三類網絡 IP 地址 W 段的取值范圍、網絡個數及主機個數。

表 表 6-3

A、B、C 三類網絡的特性參數取值范圍 網絡類別 網絡地址(W)的取值范圍 網絡個數(近似值)主機個數 A 1、X、Y、Z ～126、X、Y、Z 126(2 7-2)2 24-2 B 128、X、Y、Z ～191、X、Y、Z 16384(2 14)2 16-2 C 192、X、Y、Z ～223、X、Y、Z 大約200萬個(2 21)2 8-2 3.IP 地址中 網絡地址的使用規(guī)則

無論在 Internet上還就是在局域網上,分配網絡地址(即網絡ID)時,常用的A、B與C三類網絡的取值范圍如表6-4所示,配置與使用IP地址時,應遵循以下規(guī)則: ① 網絡地址必須惟一。

② 網絡地址不能以 127 開頭。因為 127 保留給診斷用的回送函數使用。

③ 網絡地址中的各位不能全為“0”,0 表示本地主機,不能傳送。

④ 網絡地址的各位不能全為“1” 即,十進制的 255),全為 1 時,僅在本網絡上進行廣播,各路由器均不轉發(fā)。

表 表 6-4

A、B、C 網絡地址與主機地址的取值范圍 網絡類別 網絡地址始值 網絡地址終值 值 主機編號始值 值 主機編號終值 A 001、X、Y、Z 126、X、Y、W、0、0、1 W、255、255、2

Z 54 B 128、0、Y、Z 191、255、Y、Z W、X、0、1 W、X、255、254 C 192、0、0、Z 223、255、255、Z W、X、Y、1 W、X、Y、254 4.IP 地址中-主機 地址 的使用規(guī)則 ① 在網絡地址相同時,即在同一網絡中,主機地址(編號)必須惟一。即 I P 地址中主機編號相對于網絡編號來說必須惟一。例如:在 202、112、144 這個 C 類網絡中,只能有一臺主機的編號為“8”。

② IP 地址中主機編號的各位不能全為 0,主機號全 0 表示該網的 IP 地址,例如,202、112、144、0。

③ IP 地址中主機編號的各位不能全為“1”,主機號全 1 的地址就是本網的廣播地址,因此,255 不能用做主機的編號。例如:202、112、144、255 或 128、1、255、255。

④ ④

127、0、0、1 代表本地主機的 IP 地址,用于測試;因此,該地址不能分配給網絡上的任何計算機使用。

5.IP 地址 的表示 規(guī)則 ① 在主機或路由器中存放的 IP 地址都就是 32 bit 的二進制代碼。為了提高可讀性,在寫出給人瞧的 IP 地址時,往往每隔 8 bit 插入一個空格。但這樣還就是不方便。于就是我們常常將 32 bit 的 IP 地址中的每 8 bit 用其等效的十進制數字表示,并且在這些數字之間加上一個點。這就叫做 點分十進制記法(dotted decimal notation)。下圖 7-8 表示了這種方法,這就是一個 B 類 IP 地址。

② 當一個主機同時連接到兩個網絡上時,該主機就必須同時具有兩個相應的 IP 地址,其網絡號 net-id 就是不同的。這種主機稱為 多歸宿主機(multihomed host),或 多接口主機。

③ 按照因特網的觀點,用 轉發(fā)器、網橋或傳統交換機連接起來的若干個局域網仍為一個網絡,因此這些局域網都 具有同樣的網絡號 net-id。

④

在 IP 地址中,所有分配到網絡號 net-id 的網絡都就是平等的。

⑤ 及 互聯網中設備及 IP 地址:路由器連接的就是 IP 子網,因此,它總會具有兩個或兩個以上的 IP 地址,這些 IP 地址通常具有不同的網絡編號或子網編號。圖 7-9 畫出了 3 個局域網(LAN1, LAN2 與 LAN3)通過 3 個路由器(R1, R2 與 R3)互連起來所構成的一個互聯網(此互聯網用虛線圓角方框表示)。

應當注意到下述問題: ? 在同一個局域網上的的 主機或路由器的 IP 地址中的 網絡號必須就是一樣的。

? 用 網橋(它只在鏈路層工作)互連的網段仍然就是一個局域網, 只能有一個網絡號。

? 路由器總就是的 具有兩個或兩個以上的 IP 地址。

? 當兩個路由器直接相連時,在連線兩端的接口處,可以指明也可以不指明 IP 地址。

6.2.3 特殊 IP 地址形式

殊 常用的特殊 IP 地址如下: ? 直接廣播地址 ? 受限廣播地址 ? “這個網的這個主機”地址 “這個網絡上的特定主機”地址 ? 回送地址 1.直接廣播地址(Directed Brordcasting)將主機號各位全為“1”的 IP 地址稱為直接廣播地址。

該地址主要用于廣播,在使用時,用來 代表該網絡上所有的主機,例如,202、112、144 就是一個 C 類的網絡標識,該網絡的廣播地址就就是 202、112、144、255;當該網絡中的某臺主機需要發(fā)送廣播時,就可以使用這個地址向該網絡上的所有主機發(fā)送報文。

直接廣播地址及其應用如下: ? A 類、B 類與 C 類 IP 地址中 主機號全 1 的地址為直接廣播地址;? 用來使 路由器將一個 分組以廣播方式發(fā)送給特定網絡上的所有主機;? 只能作為分組中的 目的地址;? 物理網絡采用的就是點-點傳輸方式, 分組廣播需要通過軟件來實現。

圖 6-5 路由器使用直接廣播地址 2.有限廣播地址(Limiting Brordcasting)TCP/IP 協議規(guī)定,32 比特位全為“1”的 IP 地址(255、255、255、255)為“有限廣播地址”,這個地址主要用來 進行本網廣播。當需要在本網內廣播,又不知道本網的網絡號時,即可使用“有限(受限)廣播地址”。

有限廣播地址及其應用如下: ? 網絡號與主機號的 32 位全為 1 的地址為受限廣播地址;? 某主機可以用來將一個分組以 廣播方式發(fā)送給本網的所有主機;? 分組將被本網的所有主機將接受該分組, 路由器則阻擋該分組通過。

圖 6-5 主機使用受限廣播地址 3.本網地址與這個“網絡上的特定主機” 地址 這兩個地址都只局限于發(fā)送主機所在的網絡:（1 1）

本網地址 將 IP 地址中主機地址位全為“0”的 IP 地址叫做 本網地址。這個地址 用來表示“本主機” 所連接的網絡”。例如,用“128、16、0、0”表示“128、16”這個 B 類網絡;用“202、112、144、0”表示“202、112、144”這個 C 類網絡。本網地址又被稱為“0”地址。

（2 2）

這個“網絡上的特定主機” 地址 上述地址的應用如下: ? 當主機或路由器向本網絡上的某個特定的 主機發(fā)送分組;? 網絡號部分為全 0,主機號為確定的值;如,在 201、1、16、0 這個 C 類網絡上,IP 地址為

201、1、16、2 的主機,要發(fā)送信息給 25 號主機,即可使用 0、0、0、25 表示,擬發(fā)送給本地網絡中主機號為 25 的主機,參見圖 6-7。

? 這樣的分組被限制在本網絡內部。

圖 6-7 某網絡上特定主機地址 4.回送地址 IP 地址中以 127 開始的 IP 地址作為保留地址,被稱為“回送地址”。

回送地址用于網絡軟件的測試,以及本地進程的通信。顧名思義,任何程序一旦 接到使用了回送地址為目的地址,則 該程序將不再轉發(fā)數據, 而就是將其立即回送給源地址。例如,使用“ping 127、0、0、1”可以通過 ping 軟件測試本地網卡進程之間的通信。

① 回送地址就是用于網絡軟件測試與本地進程間通信;② TCP/IP 協議規(guī)定: ? 含網絡號為 127 的分組不能出現在任何網絡上;? 主機與路由器 不能為該地址廣播任何尋址信息。

圖 6-8

進程間回送地址的應用

補充節(jié):IP 地址與硬件地址 圖 7-10 說明了 主機的 IP 地址與硬件地址的區(qū)別。從層次的角度瞧, 物理地址就是 數據鏈路層與物理層使用的地址,而 IP 地址就是 網絡層與以上各層使用的地址。

如圖 7-10 所示:IP 地址放在 IP 數據報的首部,而 硬件地址則放在 MAC 幀的首部。在網絡層及以上使用的就是 IP 地址,而數據鏈路層及以下使用的就是硬件地址。

因而在數據鏈路層的 瞧不見數據報的 IP 地址。從不同層次瞧 IP 地址與硬件地址,參見圖 7-11。圖 7-11(a)畫的就是三個局域網用兩個路由器 R1 與 R2 互連起來。

圖 7-11(b)特別強調了 IP 地址與硬件地址的區(qū)別。表 7-2 歸納了這種區(qū)別。

表 表 7-2 圖 圖 7-11(b)中不同層次、不同區(qū)間的源地址與目的地址

入 在網絡層寫入 IP 數據報首部的 入 在數據鏈路層寫入 MAC 幀首部的源地址 目的地址 源地址 目的地址 從 從H 1 到 到R 1

IP 1

IP 2

HA 1

HA 3

從 從R 1 到 到R 2

IP 1

IP 2

HA 4

HA 5

從 從R 2 到 到H 2

IP 1

IP 2

HA 6

HA 2、3 子網與超網的基本概念 6、4、1

為什么要研究子網與超網 1.子 子 網 的概念 基于人們對網絡性能、安全與管理方面的考慮,人們常常把一個較大的網絡分成多個較小的物理網絡,并通過路由器或第三層交換機將多個子網連接起來。每個小的網絡使用不同的網絡編號,這樣的小網絡被稱為“子網”。

2.劃分子網的原因 劃分子網的原因有許多個,主要有以下幾個: ① 的 充分利用現有的 IP 地址資源:通過劃分子網可以高 提高 IP 地址的有效利用率。例如,128、1、0、0 就是一個 B 類網絡,它允許的主機(即主機地址數量)個數為 2 16-2,其地址空間大。為了有效地利用其 IP 地址資源,管理員可以通過子網劃分的技術將上述的可用地址分配給多個小網絡使用。

② 減輕網絡的擁擠, 提高網絡性能問題:這就是由于在使用集線器與交換機的網絡中,隨著網絡節(jié)點數目的增加,網絡將變得十分擁擠。大量的網絡數據與廣播信息在網絡上傳輸,導致網絡的性能與效率下降。如果將大的網絡劃分為小的子網,并使用路由器連接各個子網的話,路由器在各個子網間轉發(fā)信息包時會自動丟棄廣播信息,從而改善了網絡性能。

③ 路由器的工作效率問題: 某個網絡分配的 IP 地址越多,路 路 由器的工作效率就越低,這就是因為路由器在執(zhí)行路選算法時,主機數越多,則路由表就越大,路由表信息過多就會引起選路時計算時間過長。

④ 提高安全性利于網管:當一個網絡劃分為多個子網時,就減少了每個網絡的管理對象,因此有利于網絡管理員對網絡用戶、資源與計算機的管理;另外,由于子網的劃分縮小了廣播的范圍,因而提高了網絡的安全性。

⑤ 混合不同的網絡技術:例如:連接以太網、FDDI 與 ATM 網絡。

在實際應用中,經常遇到網絡地址不夠的問題。例如,僅申請到一個可以在 Internet 上使用的 IP 地址,而需要劃分的內部子網數目為多個。這種情況下,就需要把某種類型的網絡劃分成多個子網。其思路就就是將“原來”(申請到的)主機編號部分的一些二進制位貢獻出來,用于內部網絡的編號。由于從 Internet 到此網絡的路徑都就是一樣的(即申請到的 IP 地址的網絡地址部分不變),因此,外界到此網絡中各子網的路由都就是一樣的。這種情況下,外部路由將所有子網瞧成一個網絡,而內部的路由器可以區(qū)分出不同子網。下面通過一個實例來說明劃分子網的步驟。

3.子網與超網的概念 實現子網與超網 主要就是為了解決:IP 地址的有效利用率問題與路由器工作效率問題。

? 子網(subnet)將一個大的網絡劃分成幾個較小的網絡,而每一個網絡都有其自己的子網地址。它就是多網絡環(huán)境中的一個網絡。將一個網絡分解成多個子網時,要求每個子網使用不同的子網編號。

將一個 IP 網絡劃分為更小的邏輯子網。子網間用網關或路由器相連。這種技術通常就是將 IP 地址的主機 ID 部分生成子網地址來實現。子網劃分的優(yōu)點:

? 減少網絡交通 ? 揉合不同網絡技術 ? 簡化管理,易于排錯

補充圖 6-10(a)

用路由器實現多個局域網(IP 子網)的連接 ? 超網(supernet)將一個組織所屬的幾個 C 類網絡合并成為一個更大地址范圍的邏輯網絡。、3、2-1 子網掩碼與默認網關 為什么需要網絡編號？在兩臺計算機之間進行通訊時,一般用戶可能認為只要知道了對方的 IP 地址就可以進行通信了,但就是,實際上在這兩臺計算機之間存在的通信路徑可能有很多條。因此通信時,兩邊的計算機首先需要判斷彼此就是否在同一個網絡上,如果就是在同一網絡上,就直接進行通信;否則,就轉發(fā)到本網的出口,由該出口負責處理發(fā)送到目的網絡上。完成這個任務的就就是子網掩碼。

1.子網掩碼(subnet masks)的 的 概念、功能與使用（（1））

什么就是 子網掩碼？ ？ 子網掩碼就是由前面連續(xù)的“1”與后面連續(xù)的“0”組成的 32 位二進制地址,在 TCP/IP網絡中,每一臺主機都要求使用子網掩碼。

子網掩碼與 IP 地址一樣也就是一個 32 位的二進制比特值,用它可以屏蔽一部分 IP 地址,以便區(qū)分出 IP 地址中的網絡編號與主機編號。當使用 TCP/IP 通信時,子網掩碼主要用來確定目的主機就是位于本地子網還就是遠程網,它的兩大功能如下: ? 子網掩碼用來屏蔽掉 IP 地址中的一部分, 用于區(qū)分 IP 地址中的網絡地址與主機編號。并因此用來說明主機的 IP 地址就是在局域網上還就是在遠程網絡上。

? 用于劃分子網:子網掩碼的另一個重要功能就是劃分子網,即將一個大的網絡分為多個小的子網。

（（2））

默認的子網掩碼 默認的子網掩碼用于沒有劃分子網的 TCP/IP 網絡。不同類型的網絡使用的默認的子網掩碼就是不同的,表 6-5 給出了各類網絡所默認的子網掩碼。

表 表 6-5

各類網絡默認的子網掩碼 網絡類別 子網掩碼(以二進制位表示)子網掩碼(以十進制表示)A 11111111、00000000、00000000、、0、0、0 B 11111111、11111111、00000000、、255、0、0 C 11111111、11111111、11111111、、255、255、0

（（3））

子網掩碼的使用 TCP/IP 協議進行初始化時,主機 IP 地址會與子網掩碼進行“與操作”。即在傳輸數據包之前,源主機 IP與目的主機 IP 都要與主機的子網掩碼進行與操作。如果這兩個結果相同,則 TCP/IP 協議判斷出目的主機與源主機在同一個局域網上,可以直接傳遞;否則,判斷出目的主機不在本地局域網上,因此,將待發(fā)送的數據包轉發(fā)到默認網關 IP 地址處,以便進一步轉發(fā)到遠程網絡上。

子網掩碼的應用 實例:參照圖8-3,對在Internet上使用的系統進行通信時的分析。

解: ① 用 IP 地址的第一段數值 W 判斷網絡類型。在本例中,W 的值分別等于 132、132 與 152。因此,由表 8-4 可知這三個計算機所在的網絡均為 B 類網。

② 通過默認的子網掩碼 255、255、0、0 求網絡地址的步驟如下,結果見表 8-6。

? 將 IP 地址轉化為 32 位二進制位。

? 將子網掩碼也轉化為 32 位二進制位。

? 將 3 個二進制表示的 IP 地址分別與二進制表示的子網掩碼,按位進行“邏輯與(AND)”操作。按此方法依次求得數值之后,再按原有的 4 段分別轉換為十進制數。

? 求取網絡內的主機編號(HOST ID,即主機標識)。

說明: :其中子網掩碼為“1”的各位所對應的 IP 地址中的各位,即為網絡地址,也稱網絡標識或網絡 ID,運算結果見表 8-6。

A 計算機的IP132.112.000.001L 計算機的內部路由器C 計算機的IP132.112.000.003X 計算機的IP152.112.000.001Z 計算機的IP152.112.000.003B 計算機的IP132.112.000.002自動化系子網信息系子網Y 計算機的IP152.112.000.002Internet外部網絡外部路由器IP ROUTER200.4.192.12 圖 8-4

TCP/IP 網絡之間使用默認網關(IP ROUTER)通信 表 表 8-6

IP 地址劃分實例分析計算結果 網絡類別 計算機名稱 稱 邏輯與的結果 果 網絡地址 址 計算機編號部分 分 主機編號 號 B A 132、112、0、0 132、112 000、001 1 B B 132、112、0、0 132、112 000、002 2 B C 152、112、0、152、112 000、001 1

0 在 IP 地址中扣除網絡地址外的其余部分就就是主機編號部分。由于就是默認的 B 類網絡,其 IP 地址在扣除了網絡地址后,剩余的 2 個字段表示該主機在其子網內的編號部分。經簡化得到 3 個主機編號分別為:1、2 與 1,參見表 8-6。

③ 用“網絡地址”即可判斷這幾個主機就是否位于同一個子網。

由于 A 與 B 主機的網絡地址均為“132、112”,因此這兩臺主機在同一子網上;而 X 主機的網絡地址為“152、112”,所以該主機在另一個子網上。

當 A 主機與 B 主機進行通信時,就可以直接進行通信。而當 A 主機與 X 主機進行通信時,由于不在同一個網絡,因此需要通過網絡中 L 主機所代表的內部路由器(或內部網關)轉發(fā)數據。如果這些子網中的主機需要與外部網絡進行通信,則還需要通過外部路由器轉發(fā)數據。

2.默認網關或 IP 路由(default gateway 或 IP router)默認網關又稱 IP 路由。簡單地說,默認網關就就是通向遠程網絡接口的 IP 地址。在子網之間進行通訊時,主機可以使用默認網關將數據發(fā)送給目的主機。由于默認網關就就是發(fā)送給遠程網絡(目的主機)信息包的地方,因此,如果在配置 TCP/IP 時沒有指明默認網關,則通訊僅局限于本地網絡。

路由器可以就是專門購置的硬件設備,也可以就是加裝了軟件的專用路由計算機。同一個網絡段(包含子網段)的計算機之間可以直接通信;不同網絡段中的計算機通信時,則需要通過網關或者路由器。其中,內部子網的通信通過內部網關或內部路由器;外部網絡之間的計算機通信時一般通過外部路由器(或外部網關)。由此可見,當內部子網與外部網絡之間的主機通信時,需要設置外部路由器(或網關)。、3、2-2 子網地址 空間的劃分方法 1.子網與 IP 地址的三級層次結構 思想:將原來主機地址的部分位轉化為子網地址位,即將原來IP地址的兩層結構(網絡地址＋主機地址)轉化為 3 層結構,參見圖 6-10 及其補充圖。

三級層次結構的特點如下: ? 三級層次的 IP 地址就是: 網絡號、子網號、主機號;? 第一級 網絡號定義了 網點的位置;? 第二級 子網號定義了 物理子網;? 第三級 主機號定義了 主機與路由器到物理網絡的連接;? 三級層次的IP 地址, 一個IP 分組的路由選擇的過程為三步: 第一步轉發(fā)給網點, 第二步轉發(fā)給物理子網, 第三步轉發(fā)給主機。

圖 6-9

未劃分子網的網絡結構

圖 6-10

劃分 3 個子網后的網絡結構

圖 6-11個層次的 IP 地址結構 2.劃分子網的規(guī)則: 規(guī)則:由于原有主機編號的位數就是固定的,因此建立的子網數目越多,需要的位數就越多;而每個子網中所能容納的主機數目就越少。因此,需要綜合考慮子網與子網中主機的個數。

地址類別

↓ LB 網絡地址 可用位 原 主機地址位 位 網絡地址 子網地址 子網 主機地址 圖 6-11

TCP/IP 網絡中 IP 地址劃分前后的結構 3.劃分子網的 計算公式（1 1）

照 按照 RFC950 標準 劃分子網的計算公式 C 類地址:N max ＝2 m-2 與 H max ＝2(8-m)－2 B 類地址:N max ＝2 m-2 與 H max ＝2(16-m)－2 A 類地址:N max ＝2 m-2 與 H max ＝2(24-m)－2 其中: ? m:為原主機編號部分轉化為子網地址部分的位數。

? N max :為轉化后允許劃分的最大子網數目,其值應當大于或等于實際需要的子網數 n。

? H max :為轉化后每子網所允許的最大主機數目,其值應當大于或等于子網實際需要的主機數 h。

（2 2）

照 不按照 RFC950 標準 劃分子網的計算公式 C 類地址:N max ＝2 m 與 H max ＝2(8-m)－2 B 類地址:N max ＝2 m 與 H max ＝2(16-m)－2 A 類地址:N max ＝2 m 與 H max ＝2(24-m)－2 說明:假定原來的網絡使用 C 類地址,當 m＝3 時,按照 RFC950 標準規(guī)定,子網“000 00000”與“111 00000” 為無效子網。它們分別表示,子網號各位全為“0”的代表本網絡;而子網號各位全為“1”表示的就是本子網的廣播地址。但就是,在實際應用中,如果不按上述標準時,也可以被使用。

（3 3）的 劃分子網的 6 個步驟 ① 確定需求:即確定所需的子網數目與子網中主機的數目。

? 確定所需子網數:N。

? 確定子網中所需最大 IP 數目(通常就是主機數目):H。

? 綜合上述兩個因素,確定子網掩碼中,原主機編碼位轉化為子網地址的位數。

② 確定子網掩碼(含子網號部分)③ 分配子網 ID 與子網 IP(各主機標識位全為 0)④ 分配有效 IP 地址:確定各子網的 IP 地址的范圍。

⑤ 確定各子網的廣播地址。

⑥ 決定劃分方案:確定各子網之間通信時的連接設備與網絡結構示意圖。、3、2-3 子網劃分的應用 實例

1.實例 1 兩個 TCP/IP 網絡之間可以通過內部或外部的 IP 路由器或默認網關進行連接。IP 路由器或 IP 網關的應用實例如下: ① 假定:圖 8-4 所示的信息系與自動化系的內部子網掩碼均為“255、255、0、0”。

② 問題:如果信息系網絡上的某計算機要與自動化系網絡上的計算機通信時,如何通過默認網關完成通信過程,參見圖 8-4。

③ 解題分析如下: 子例 例1: 在圖8-4中,若計算機A要給計算機B 發(fā)送信息,由于計算機A的IP地址就是132、112、000、001,計算機 B 的 IP 地址就是 132、112、000、002,所以這兩臺計算機的網絡地址都就是“132、112”,由此可知計算機 A 與計算機 B 在同一個網絡之內,于就是計算機 A 就將信息直接傳遞給計算機 B,沒有經過內部的默認 IP 網關(或 IP 路由器)計算機 L。

子例 例 2:在圖 8-4 中,若計算機 A 要給計算機 X 發(fā)送信息,由于計算機 A 的 IP 地址就是 132、112、000、001,計算機 X 的 IP 地址就是 152、112、000、001,通過其子網掩碼求得這兩臺計算機的網絡地址。其中,A 為“132、112”,而 X 為“152、112”。由此可知,計算機A 與計算機 X 不在同一個網絡之內。因此,計算機 A 必須先將信息傳遞給內部的默認網關(或 IP 路由器)計算機 L 上,然后再由計算機 L 將信息傳遞給計算機 X。

子例 例 3:在圖 8-4 中,若計算機 A 需要發(fā)送信息給 Internet 中的某主機“200、4、192、12”。由于,通過子網掩碼求出的計算機A的IP地址的網絡地址與對方主機的不同,A主機的為“132、112”,而目標主機的為“200、4、192”。因此,計算機 A 與該主機不在同一個網絡之內。為此,計算機 A 必須先將信息傳遞給默認的內部網關(或 IP 路由器)計算機 L上,并由計算機 L 決定就是將信息傳遞給另一子網還就是傳送給專用的外部路由器。

最終,計算機 L 將該信息通過外部路由器發(fā)送到外部網絡的主機上。

在圖 8-4 所示的例子中,只通過一個默認內部網關(或 IP 路由器)與一個外部路由器來傳遞內部子網間,以及與外部網絡間的信息,而實際中,由于網絡結構比較復雜,因此,可能需要多個默認的內部網關(或 IP 路由器)與多個外部路由器來傳遞信息。

2.實例 2（（1））

問題 現有一個公司需要創(chuàng)建內部 Intranet 網絡,該公司包括工程技術部、市場部、財務部與人力資源等四大部門。該公司原來使用申請到的 C 類網絡地址為 202、112、161、0,組成了一個網絡地址相同的大網絡。目前,由于該網絡的廣播數據過多,造成網絡系統運行緩慢。

（（2））

改變網絡性能的設計要求 ① 采用劃分子網的方法使得幾個部門各自獨立,提高各個部門的性能與安全性。

② 在 4 個部門中,最大的計算機數目為 30 臺。每個部門中有 1 臺服務器要求 100Mb/s 固定帶寬,其它計算機要求 10Mb/s 的固定帶寬。

③ 確定各部門使用的子網 IP 地址與子網掩碼。

④ 寫出可以分配給每個部門子網的主機 IP 地址范圍。

⑤ 若采用交換式以太網,即每個子網都使用一個交換式以太網,請畫出網絡系統的結構圖,并說明各主要設備的名稱。

（（3））

設計方案簡答 ① 4 個部門不按 RFC950 標準,即使用子網號各位“全為 1”與“全為 0”的地址時,求出最大子網數目、每個子網的最大主機數目、子網掩碼如下: ? 按 C 類地址公式:N max ＝2 m 與 H max ＝2(8-m)－2,求出 m＝2 即 N max ＝2 m ＝2 2 ＝4＝n＝4;H max ＝2(8-m)－2=2(8-2)－2＝62 ? 不按 RFC950 標準時,由于 m＝2,所以子網掩碼為 255、255、255、192。

? 各子網的地址與 IP 地址范圍參見下表: 子網 編號 子網地址 子網廣播地址的 子網主機的 IP 地址 初值 的 子網主機的 IP 地址 終值 值 1 202、112、161、0 202、112、161、63 202、112、161、1 202、112、161、62 2 202、112、161、64 202、112、61、127 202、112、161、65 202、112、161、126 3 202、112、161、128 202、112、61、191 202、112、61、129 202、112、161、190 4 202、112、161、192 202、112、161、255 202、112、161、193 202、112、161、254 ② 4 個部門按照 RFC950 標準,即不使用子網號各位“全為 1”與“全為 0”的地址時,求出最大子網數目、每個子網的最大主機數目、子網掩碼如下: ? 按 C 類地址公式:N max ＝2 m-2 與 H max ＝2(8-m)－2,求出 m＝3 即 N max ＝2 m-2＝2 3-2＝6 > n=4;H max ＝2(8-m)－2=2(8-3)－2＝30 ? 按照 RFC950 標準時,由于 m＝3,所以子網掩碼為 255、255、255、224。

? 各子網的地址與 IP 地址范圍參見下表: ③ 網絡結構如圖8-6所示的第一級交換機應當選擇支持第三層功能的100Mb/s企業(yè)級交換機;當然,也可以使用局域網路由器連接各子網的部門交換機。

④ 每個部門網絡系統結構如圖 8-6 所示。每個子網的主要設備為:一臺 10/100 自適應部門交換機;部門的服務器使用 100Mb/s 的 RJ-45 接口網卡;其她計算機使用 10Mb/s 的 RJ-45 接

口網卡;5 類 UTP 雙絞線;RJ-45 連接器若干。

子網 編號 子網地址 子網廣播地址的 子網主機的 IP 地 地址 址 初值 的 子網主機的 IP 地 地址 址 終值 值 1 202、112、161、32 202、112、161、63 202、112、161、33 202、112、161、62 2 202、112、161、64 202、112、161、95 202、112、161、65 202、112、161、94 3 202、112、161、96 202、112、161、127 202、112、161、97 202、112、161、126 4 202、112、161、128 202、112、161、159 202、112、161、129 202、112、161、158 5 202、112、161、160 202、112、161、191 202、112、161、161 202、112、161、190 6 202、112、161、192 202、112、161、223 202、112、161、193 202、112、161、222

圖 8-6

公司網絡與部門子網的結構示意圖 說明:第一,也可以將圖 8-6 所示系統中的第三層交換機替換為路由器。第二,設置說明:每一個子網中的主機都應當設置主機 IP、子網掩碼(各子網相同)與默認網關(所連接的路由器或第三層交換機端口設置的 IP)。