《CP2IP地址规划设计培训讲座PPT.ppt》由会员分享,可在线阅读,更多相关《CP2IP地址规划设计培训讲座PPT.ppt(53页珍藏版)》请在课桌文档上搜索。
1、专题一 网络系统结构及其规划设计,专题二 IP地址规划和设计方法,专题三 局域网技术,专题四 网络信息服务系统的安装与配置,专题二 IP地址规划和设计方法,2.1 IP地址的认识,2.2 标准分类IP地址,2.3 划分子网的基本概念,2.4 无分类域间路由技术,2.5 网络地址转换方法,2.6 IP地址规划设计(一),2.7 IP地址规划设计(二),2.7 IPv6地址规划基本方法,2.9 网络安全系统部署,2.1 IP地址的认识,2.1.1 基本概念与辨析,一个网络就像是一个小区.那么小区中的用户是用什么标识的呢?每一家(也就是我们的每一台接入网的电脑)都应有一个唯一标识它的名称,否则他就不
2、能和别的邻居建立联系.,计算机是使用IP地址作为它接入网的标志的.当它连接到网络上时,它必须有一个区别于其他计算机的IP地址.这个地址可以是动态的(就是每次连接到网络上时自动获取的IP地址一般不同),也可以是静态的(每次接入网时使用预先自身设定的固定的IP地址).,要分清IP地址和MAC地址的区别?,IP地址和MAC地址貌似都可以用来标识网络上的计算机,确实如此.但是它们的应用场合却不尽相同.首先,MAC地址是用来标志计算机中的网卡的,也称为物理地址,就是每个网卡在出厂时具有的全世界独一无二的地址.显然,MAC地址必定是静态的,不更换网卡,一台电脑的MAC地址是不会改变的.同一网络中电脑的MA
3、C地址没有什么规律可言.,IP地址是一串接入网络时才存在并且有意义的数字.计算机连接网络时使用IP地址作为它的标识.路由器就是使用IP地址来转发数据包的.而交换机则是一种基于MAC地址的转发机制.从应用上说,IP地址的应用要比MAC广泛千百倍,而MAC一般只在局域网的配置中才略微考虑.网络上的IP分布一般是有规律的.,IP地址若是用二进制来表示,是一串32bit的数字.,0010100100110101001010101,标准分类IP地址使用点分十进制的方法表示IP地址.,将32位的二进制IP地址分成四个8位二进制数,再用十进制表示,并用点分开.,01010110101111010101010
4、101100101,01010110.10111101.01010101.01100101,86.189.85.101,这四部分数字,每部分有8个位,都是1的话,用十进制表示最大也就是255.,2.1.1 IP地址的形式,到底有多少个IP地址可以供我们使用呢?,大约有20亿左右的IP地址可以供我们使用.,可是,IP地址现在匮乏了.因为全世界的电脑,手机,甚至是电视,冰箱,微波炉都能接入网络了.这么多接入设备,IP早晚会被用光的.因为IP地址一旦被占有,和他同处在一个网中的电脑就不能使用它.,为此,人们提出了各种解决或阻止地址用光的办法.例如,无分类域间路由技术,网络地址转换技术等.可是,这些办
5、法也都有它的局限性和弊端,并不是长久之计!,2.1.3 IP地址匮乏,2.2 标准分类IP地址,2.2.1 分类的IP地址,IP地址采用分类的形式分配给用户使用,IP地址共分为5个类别(AE).其基本形式是网络号+主机号,2.2.2 A类地址,A类地址的网络号有7位,全为0:00000002=010,全为1:11111112=12710,所以A类地址共128(27)个大小相同的地址块,1.0.0.01.255.255.255,2.0.0.02.255.255.255,126.0.0.0126.255.255.255,但是网络号全为1和全为0的地址块留作特殊用途,由于主机号全为0或全为1的IP地
6、址也用于特殊用途,所以每一个A类网络地址块可以分配主机号224-2=16777214个,2.2.3 B类地址,B类地址的网络号有14位,全为1:111111111111112=1638310,所以A类地址共16384(214)个大小相同的地址块,但是网络号全为1和全为0的地址块留作特殊用途,网络号最小的地址:10000000000000000000000000000000,10000000.00000000.00000000.00000000,128.0.0.0,2.2.3 B类地址,B类地址的网络号有14位,全为1:111111111111112=1638310,所以A类地址共16384(2
7、14)个大小相同的地址块,但是网络号全为1和全为0的地址块留作特殊用途,由于主机号全为0或全为1的IP地址也用于特殊用途,所以每一个B类网络地址块可以分配主机号216-2=65534个,B类,网络号最大的地址:10111111111111110000000000000000,10111111.11111111.00000000.00000000,191.255.0.0,以A类地址为例:A类地址的起始网络号为1,即1.x.x.x,后三块数字均是其主机号,从小到大分配主机号即为:,1.0.0.1,1.0.0.2,1.0.0.3,1.0.0.4,1.0.0.5,1.0.0.254,1.0.0.255
8、,这里算不算是主机号全为1的地址呢?,答:不算,因为A类地址的主机号是后24位,就是十进制的后三个数字都是主机号,显然这里并不是主机号全为一的情况.,1.0.1.0,1.0.1.1,1.0.1.2,1.0.1.3,1.0.1.4,1.0.1.5,1.0.1.255,1.0.2.0,1.0.2.1,1.0.255.255,1.1.0.0,1.255.255.254,1.1.0.1,1.255.255.255,设计时要注意理解点分十进制这种表示方式的本质,他仅仅是一种表示方法,本质是一串32位的二进制串.,规划是根据网络号和主机号规划的,要在头脑中去规划它的二进制形式,再想想它的十进制形式又是怎么
9、表示的?,2.2.4 C类地址,C类地址的网络号有21位,全为0:0个,全为1:2097151个,所以C类地址共2097152(221)个大小相同的地址块,11000000.00000000.00000000.00000000,223.255.255.0,但是网络号全为1和全为0的地址块留作特殊用途,由于主机号全为0或全为1的IP地址也用于特殊用途,所以每一个C类网络地址块可以分配主机号28-2=254个,192.0.0.0,191.255.0.0,191.255.255.255,2.2.5 直接广播地址和受限广播地址,在A类、B类与C类IP地址中,如果主机号全是1,那么该地址就是直接广播地址
10、,它是用来使路由器将一个分组以广播的形式发送给特定网络(即网络号限定的)上的所有主机.,例如,某主机要以广播的方式发送一个分组给特定的网络(网络地址为201.161.20.0)上的所有主机,那么他的目的地址就要使用直接广播地址,该地址为201.121.20.255,32位全为1的网络地址称为受限网络地址,仅此一个.,这种地址用来将一个分组以广播的方式发送给本网络中的所有主机,路由器则阻挡该分组进入外部网络.,WAN,LAN,255.255.255.255,2.2.6 这个网络上的特定主机地址,如果路由器或网络上的某台主机要向本网络内部发送数据分组,那么他可以使用“这个网络上的特定主机地址”.,
11、这种地址的网络号全为0.而主机号是某个具体的数值.,例如201.161.20.18,这是一个C类地址,网络地址为201.161.20.0,主机地址为0.0.0.18.,这个主机地址就是这个网路上的特定主机地址0.0.0.18.,2.2.7 回送地址本机地址,即便是一台计算机没有接入任何网络,他也拥有一个IP地址,而且这个IP地址在本地网络管理方面的功能是非常强大的.这个地址就是127.0.0.0,这个地址又称为回送地址,常用来测试应用程序和本地进程间的通信.在使用时几乎和一般IP地址的方法无异.但是,这个地址无能出现在任何网络上,只能在本机内部使用.,2.3 划分子网的基本概念,2.3.1 划
12、分子网的概念,子网(subnet)就是将网络划分成若干个部分,分给不同的用户群使用,而这种划分对于外部网络仍然像一个网络一样,子网的划分能够有效地解决IP地址利用率不高的问题,同时能够提高路由器的工作效率,改善网络管理,所谓划分子网,反映在IP地址上,就是将主机号中分出一部分作为标识子网的“子网号”,整个IP地址成为网络号+子网号+主机号的结构,一个网络块(就是一个IP地址段)分出的不同的子网块分给不同的部门或小区.这些小区地理位置往往较近,因为他们一般要连接在同一个路由器上,子网掩码,若是规定主机号的前四位为子网掩码,划分子网是一个单位内部的事情,他不需要向外界申请,也不需要修改任何外部数据
13、库.,标示子网使用子网掩码(subnet mask),掩码是在主机号中分出来的,如下:,11011111.01010111.01001011.00010010,223.87.75.18,C类地址,网络号,则原主机号18就不再是主机号,而是0010即2才是主机号,子网掩码就是从IP地址的头到掩码的最后一位都是1,11111111.11111111.11111111.11110000,255.255.255.240,表示子网的另一种方法是不使用点分十进制的子网掩码,而是用网络号+“/”+数字表示,这里的网络号是加上子网的网络号,除去主机号后223.87.75.16/28,上述使用四位子网掩码可以划
14、分为多少个子网呢?,四位子网掩码可以划分为最多24=16个子网,按照子网网号排依次是:,0000,0001,0010,0011,0100,0101,0110,0111,1000,1001,1010,1011,1100,1101,1110,1111,2.3.2 可变长度子网掩码(VLSM),某公司申请了一个整个C类202.60.31.0的IP地址空间,该公司有100名员工在销售部门工作,50名员工在财务部门工作,50名员工在设计部门工作,现要求网络管理员为销售部、财务部与设计部门分别组建子网,这个C类IP地址空间,主机号最大可以容纳下254台主机,若是平均分成3份,那么每一份地址空间有83个地址
15、,这样销售部将不能满足需求.,为此使用可变长度子网掩码(VLSM)地址规划方法,首先将地址空间分成两个部分,每个部分约120个地址,其次再将其中一个IP地址块分成两个部分,每个大约60个地址,255.255.255.128,作为子网一的网络地址,作为子网一的起始地址,作为子网一的终止地址,作为子网一的广播地址,作为子网二的网络地址,作为子网二的起始地址,作为子网二的终止地址,作为子网二的广播地址,网络地址:11001111.00000000即202.60.31.0起始地址:202.60.31.1至终止地址:202.60.31.126广播地址:202.60.31.127子网掩码:255.255.
16、255.128,网络地址:11001111.10000000即202.60.31.128起始地址:202.60.31.129至终止地址:202.60.31.254广播地址:202.60.31.255子网掩码:255.255.255.128,网络地址:11001111.10000000即202.60.31.128起始地址:202.60.31.129至终止地址:202.60.31.254广播地址:202.60.31.255子网掩码:255.255.255.128,使用了上述26位掩码后,该网的主机号将缩短为6位,作为子网二的网络地址,作为子网二的起始地址,作为子网二的终止地址,作为子网二的广播地址
17、,作为子网三的网络地址,作为子网三的起始地址,作为子网三的终止地址,作为子网三的广播地址,网络地址:11001111.10000000即202.60.31.128起始地址:202.60.31.129至终止地址:202.60.31.190广播地址:202.60.31.191子网掩码:255.255.255.192,网络地址:11001111.11000000即202.60.31.192起始地址:202.60.31.193至终止地址:202.60.31.254广播地址:202.60.31.255子网掩码:255.255.255.192,子网掩码:255.255.255.128地址范围:202.60
18、.31.1到202.60.31.126共126个,可以满足需求,子网掩码:255.255.255.192地址范围:202.60.31.129到202.60.31.190共62个,可以满足需求,子网掩码:255.255.255.192地址范围:202.60.31.193到202.60.31.254共62个,可以满足需求,2.4 无分类域间路由(CIDR),子网的规划是利用了一部分主机号作为子网的标示.事实上,还有一种比子网更加自由的规划方法,那就是无分类域间路由(CIDR)规划方法.,2.4.1 更加自由的规划法,这种方法不使用传统的网络号+子网号+主机号的表示法.而是使用网络地址/网络位数表示
19、,CIDR技术将一段网络前缀相同(即具有相同网络号)的IP地址称为一个“CIDR地址块”,例如,用200.16.23.0/20表示一个网络的地址块,则把该IP地址写成二进制后,前20位是网络号,后12位用于分配主机号.把主机号码全部置为1,即得该网络的广播地址.则地址块可分配212-2个IP地址,2.4.2 简单实训任务,如果一个校园网管理中心获得了200.24.16.0/20的地址块,他希望将它划分为等长的8个较小的地址块,如何划分?,11001000.00011000.00010000.00000000,11001000.00011000.00010000.00000000,1100100
20、0.00011000.00010000.00000000,11001000.00011000.00010010.00000000,11001000.00011000.00010100.00000000,11001000.00011000.00010110.00000000,11001000.00011000.00011000.00000000,11001000.00011000.00011010.00000000,11001000.00011000.00011100.00000000,11001000.00011000.00011110.00000000,200.24.16.0/20,200.
21、24.16.0/23,200.24.18.0/23,200.24.20.0/23,200.24.22.0/23,200.24.24.0/23,200.24.26.0/23,200.24.28.0/23,200.24.30.0/23,每个块中可以分配的有效IP地址为29-2个,假设某学院共有八个系所,其中有4个偏向文科,有4个偏向理工科,那么请看上述网络号,我只需看到3位表示“子网”的子网号的第一位为0还是为1,就可以看出这个地址是来自哪类系所的.,CIDR能够很简单地把具有某种相似特性的机构的地址块按类划分,而不涉及子网的概念.这就是CIDR的地址聚合能力和路由聚合能力.在路由器选型时也应该看
22、路由器是否支持CIDR,因为CIDR现在已经一定程度上广泛地被使用.,对于IP地址块200.24.16.0/20,我只需要看到某IP地址的前20位和上述地址相同,就可以肯定该地址是这个IP地址块里的一员,而不需要知道这个网络里面还有什么子网.,2.5 网络地址转换方法,2.5.1 内部专用IP地址,在学习过标准分类IP地址后,应该知道:除了我们我们明确过的特殊IP地址,剩余的ABC类地址都可以被我们分配给主机使用,这种地址可以作为主机的IP地址.,除特殊IP地址外,剩余的IP地址有两种,一种是内部IP地址,一种是外部IP地址.对于内部IP地址,他只能在内网中出现,而不能用于直接和外网之间的通讯
23、.对于外部IP地址,它既可以用于和外网主机间的通讯,也可以在内网中出现.,那么都有哪些不能在外网上出现的专用IP地址呢?,网络号为上述数字的IP地址均为内部专用的IP地址,在Internet上不能出现任何一台主机的IP地址是上述地址.当然,在局域网内部可以使用这种地址.,2.5.2 网络地址转换(NAT)方法,外部网络地址是大型机构向国际管理部门申请的,这些大型的机构申请来供自己的用户使用.而内部地址的使用是在局域网内进行的,若不连接到Internet,那么随意使用;若是连接到Internet,也只需运行网络地址转换技术将内部地址转换成外部地址就行了.,192.168.1.1,NAT,202.
24、12.110.25,全局IP地址,即外部IP地址,在外部网络上必须只能出现一次,是唯一的.,专用IP地址,即内部IP地址,在内网中使用,在全世界不同的内网中可能出现成千上万次.事实上,192.168这个网段在规划中小局域网上具有极其广泛的应用.,网络地址转换常常用于ISP为其用户分配IP地址.也常常和防火墙(马上学到它是一台物理设备或软件)集成在一起使用.,网络地址转换常常用于ISP为其用户分配IP地址.也常常和防火墙(马上学到它是一台物理设备或软件)集成在一起使用.,静态NAT,动态NAT,2.5.2 NAT方法的局限性,尽管NAT为IP地址的匮乏问题提出了快速弥补的好办法,但是NAT方法也
25、引起了一些问题.,NAT违反了IP地址结构模型设计原则,这使得世界上可能有很多电脑在使用同一个IP地址.,NAT协议使IP协议从面向无连接变成面向连接.这使得最初设计的TCP/IP的工作过程发生变化,Internet也可能变得非常脆弱.(请自行阅读面向连接的知识),NAT破坏了网络的各层独立的原则.这使得处于不同网络层次的数据包信息会被修改.,NAT为P2P共享数据服务带来困难.,NAT影响网络高层次协议的安全性.延迟了IPv4向IPv6迁移的进程,这是不可取的.,2.6 IP地址规划设计(一),2.6.1 完成下表(2009.9 10),0.1.131.9,117.144.0.0,117.1
26、59.255.255,117.144.0.1,117.159.255.254,2.6.2 完成下表(2009.3 10),A类,121.128.0.0,121.191.255.255,0.47.21.9,121.191.255.254,2.7 IP地址规划设计(二),用户需求:,(1)该公司分为总部、销售与配送分中心、零售商店3层结构,(2)公司总部主干网上有15个LAN,总共有230台计算机与其他联网设备,(3)公司在18个地区设有销售与配送管理分中心;每个分中心通过两条T3线路与总部主干网路由器连接,(4)每个分中心有两个LAN;一个用于分中心的销售管理,一个用于分中心仓库商品的配送管理;
27、分中心的用于销售管理的计算机等设备最多为80台;分中心用于商品配送的计算机等设备最多120台.分中心内部应该有连接2个LAN公司总部及下属基层商店的分中心主干网,(1)该公司分为总部、销售与配送分中心、零售商店3层结构,(2)公司总部主干网上有15个LAN,总共有230台计算机与其他联网设备,(3)公司在18个地区设有销售与配送管理分中心;每个分中心通过两条T3线路与总部主干网路由器连接,(4)每个分中心有两个LAN;一个用于分中心的销售管理,一个用于分中心仓库商品的配送管理;分中心的用于销售管理的计算机等设备最多为80台;分中心用于商品配送的计算机等设备最多120台.分中心内部应该有连接2个
28、LAN公司总部及下属基层商店的分中心主干网,(5)每一个分中心最多支持200个零售商店,(6)每一个基层零售商店有一个LAN,最多12台主机,2.8 IPv6地址规划基本方法,2.8.1 认识IPv6,IPv6是对IPv4的一次全面的升级,它采用新的协议格式,拥有巨大的地址空间,实行有效的分级寻址和路由结构,实现地址自动配置,拥有内置的安全机制,更好地支持QoS.,IPv6采用128位二进制,因此它能够提供大于3.41038个IP地址,是v4的296倍.巨大的地址空间使得分级划分网络,使用多级ISP划分成为现实.,IPv6,单播地址,组播地址,多播地址,特殊地址,2.8.2 IPv6表示法,由
29、于128=168.所以IPv6地址按每16位划分一个段,共有八段.每个位段转换为一个4位的十六进制数.用冒号隔开.这叫冒号十六进制表示法.,00100001110110100000000000000000000000000000000000000000000000000000001010101010000000000000111111111110000010001001110001011010,0010000111011010 0000000000000000 0000000000000000 00000000000000000000001010101010 0000000000001111
30、1111111000001000 1001110001011010,21DA:0000:0000:0000:02AA:000F:FE08:9C5A,压缩前导0后:,21DA:0:0:0:2AA:F:FE08:9C5A,IPv6地址中,若果两个或两个以上连续的位段都是零,则可以使用双冒号表示法,去掉中间的零.,21DA:0:0:0:2AA:F:FE08:9C5A,21DA:2AA:F:FE08:9C5A,但是,双冒号在一个地址中只能出现一次,例如:,21DA:0:0:2AA:F:0:0:9C5A,写成如下形式是错误的:,21DA:2AA:F:9C5A,21DA:2AA:F:0:0:9C5A,IP
31、v6虽然支持划分子网,但是他并不支持使用子网掩码,可以使用“地址/网络前缀长度”表示.这和CIDR类似.,21DA:D3:0:1/48,2.9 网络安全系统部署,2.9.1 数据备份设备,应用于网络系统的大容量数据存储设备有很多,如:RAID、光盘塔、光盘库、磁带机、磁带库、光盘网络镜像服务器等.,光盘塔是大量CDROM驱动器的集合,由于数量大,因此是一个驱动器对应一个盘,并且一般数据不能改写.而光盘库是有少数驱动器和大量盘,以及一个机械手组成的.机械手按需取放光盘并进行读写.光盘库的信息处理能力较强.,磁带机分为人工加载磁带机和自动加载磁带机,人工加载就是在磁带机中的磁带用光时要人工换带,而
32、自动则反.人工磁带机一般用于备份数据较少时(100GB)使用,在数据量大时使用的是自动磁带机.,磁带库的数据存储容量超大,并且技术先进,数据较安全,是大型网络的优良存数设备.,光盘镜像服务器本身就是一台WWW服务器.方便的是,可以在网络上的其他计算机上访问服务器存存储的资源,也可以在网络上的其他计算机将光盘上的资源镜像到网络服务器中.它是网络服务器和光盘大容量存储的集成.,2.9.2 Windows 2003 server备份工具的使用方法,数据备份是要求权限的.管理员或备份操作员可以备份任何文件和文件夹;域控制器上的管理员或备份操作员可以备份域控制器的数据,而不能备份其他计算机的数据;其他用
33、户只对自己创建的文件夹具有权限.,win2003server备份的命令是“ntbackup”,备份过程中注意选择备份后验证数据选项和将这个备份附加到现有备份选项.,win2003server支持副本备份、每日备份、差异备份、增量备份、正常备份.知道就行了,2.9.3 防病毒技术及杀毒软件系统,计算机病毒具有隐蔽性、传染性、潜伏性、破坏性、可触发性、和非授权可执行性等多种特征.,计算机病毒可以按照寄生方式分为引导型病毒、文件型病毒、复合型病毒.按照破坏性还可分为良性病毒和恶性病毒.,现在一般不称蠕虫是病毒,称之为恶意代码的一种.,蠕虫不需要宿主程序,这是他和病毒的区别.它是一个独立的程序,木马也
34、一般不称为病毒,他和病毒的区别是没有自我复制功能.它寄生在计算机系统中,盗取用户信息,并发送给黑客.电子邮件,安装程序,网络文件传送都有可能感染木马程序.木马程序是恶意代码的一种.,网络版杀毒软件是用于网络系统的杀毒软件.他把服务器端部署上病毒库,供客户端程序更新使用.目前,国内的知名杀毒软件都有自己的网络版.,网络版杀毒软件系统包括系统中心、服务器端、客户端、管理控制台四部分.,系统中心要求全天候开机,可以方便的连接到Internet.在软件公司有更新的时候,把更新下载下来,共客户端更新使用.,在客户端安装程序时,要注意配置所连接服务器的IP地址,端口号,这样才能及时顺利地更新病毒库,保持安
35、全稳定.,2.9.3 防火墙,防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括软件和硬件.,防火墙可以分为包过滤服务器、应用级网关、应用代理和状态检测系统等.,包过滤服务器也称作屏蔽服务器,是通过分析数据包判断安全性来保护安全的.,应用级网关具有路由能力,是用于连接在多个网络之间的服务器.,应用代理很像应用级网关,但是应用级网关是存储转发;而应用代理是一种能够隔离和联通网路通道的服务器系统.,防火墙按其应用安全性由低到高可以采用包过滤路由器结构、双宿主主机结构、屏蔽主机结构、屏蔽子网结构.,2.9.4 入侵检测系统(IDS),入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系
36、统.入侵检测系统监控分析用户和系统的行为,检查系统的配置和漏洞等.一般有控制台和探测器组成.控制台和探测器的通信要严格加密.,常用的入侵检测技术分为异常检测、误用检测和两种方式的结合.,入侵检测系统分为基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS).基于主机的入侵检测系统以系统日志、应用程序日志为数据源,保护所在的计算机系统.基于网络的入侵检测系统收集网络上的数据帧,采用一定的识别技术来发现网络入侵事件.,2.9.5 入侵防护系统(IPS),入侵防护系统整合了防火墙技术和入侵检测技术,它主要有嗅探器、检测分析组件、策略执行组件、状态开关、日志系统和控制台组成.(比IDS多),入侵防护系统分为基于主机的入侵防护系统、基于网络的入侵防护系统和应用入侵防护系统.,