六步輕松搞定子網(wǎng)劃分

　　    通過(guò)合理的子網(wǎng)劃分，從物理上對(duì)企業(yè)局域網(wǎng)進(jìn)行劃分，提高網(wǎng)絡(luò)的安全性，這是不少網(wǎng)絡(luò)工程師首選的企業(yè)網(wǎng)絡(luò)安全方案。確實(shí)，在子網(wǎng)掩碼的幫助下，可以把企業(yè)網(wǎng)絡(luò)劃分成幾個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)。然后把企業(yè)的機(jī)要部門(mén)放在一個(gè)獨(dú)立的子網(wǎng)中，以限制其他部門(mén)人員對(duì)這個(gè)部門(mén)網(wǎng)絡(luò)的訪問(wèn)。這是一個(gè)非常不錯(cuò)的解決方案。筆者平時(shí)在給企業(yè)部署網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的時(shí)候，也喜歡利用子網(wǎng)來(lái)對(duì)企業(yè)的重要部門(mén)進(jìn)行隔離。另外，還可以利用子網(wǎng)對(duì)一些應(yīng)用服務(wù)器進(jìn)行隔離，防止因?yàn)榭蛻舳司W(wǎng)絡(luò)因?yàn)橹卸径鴮?duì)服務(wù)器產(chǎn)生不利的影響。
不過(guò)子網(wǎng)劃分的內(nèi)容，在學(xué)校里學(xué)的很辛苦，因?yàn)榻炭茣?shū)上寫(xiě)的太過(guò)于高深。工作以后，實(shí)際接觸過(guò)幾個(gè)項(xiàng)目，也跟一些前輩溝通過(guò)，覺(jué)得子網(wǎng)劃分沒(méi)有我們想象中的難。一般只要通過(guò)六個(gè)步驟就可以設(shè)計(jì)出一個(gè)合理的子網(wǎng)劃分方案。
第一步：企業(yè)需要多少個(gè)子網(wǎng)？
當(dāng)對(duì)企業(yè)局域網(wǎng)進(jìn)行子網(wǎng)規(guī)劃的時(shí)候，網(wǎng)絡(luò)管理員第一個(gè)要考慮的內(nèi)容，就是企業(yè)到底要?jiǎng)澐殖蓭讉€(gè)子網(wǎng)。因?yàn)樾枰鶕?jù)這個(gè)數(shù)據(jù)確認(rèn)子網(wǎng)掩碼的位數(shù)。
如筆者給一家企業(yè)做網(wǎng)絡(luò)規(guī)劃的時(shí)候，經(jīng)過(guò)跟他們各個(gè)部門(mén)溝通后，決定為他們?cè)O(shè)置四個(gè)子網(wǎng)。研發(fā)部門(mén)、財(cái)務(wù)部門(mén)各用一個(gè)子網(wǎng);為了應(yīng)用服務(wù)器的安全，故把他們的郵箱服務(wù)器、ERP系統(tǒng)服務(wù)器、OA辦公自動(dòng)化軟件服務(wù)器等放在同一個(gè)子網(wǎng)絡(luò)中;其他部門(mén)的客戶端共享一個(gè)網(wǎng)段。
企業(yè)需要?jiǎng)澐?個(gè)網(wǎng)段，一共需要幾位的子網(wǎng)掩碼呢?這里有一個(gè)現(xiàn)成的公式可以套用：2x=子網(wǎng)個(gè)數(shù)，其中x就是所需要的子網(wǎng)掩碼位數(shù)。若根據(jù)這個(gè)案例，子網(wǎng)個(gè)數(shù)為4，則2x=4。把這個(gè)方程解出來(lái)，子網(wǎng)掩碼位數(shù)即為2。
第二步：每個(gè)子網(wǎng)中大致有多少主機(jī)？
網(wǎng)絡(luò)管理員第二個(gè)需要考慮的問(wèn)題就是每個(gè)子網(wǎng)中大概需要部署多少主機(jī)。因?yàn)槊總€(gè)子網(wǎng)中的主機(jī)數(shù)量是有限的，所以，以上那個(gè)子網(wǎng)劃分方案還不是最終的方案。只有等各個(gè)網(wǎng)段的主機(jī)數(shù)量能夠滿足企業(yè)的需要之后，才可以最終拍板采用這個(gè)方案。
筆者負(fù)責(zé)的這家企業(yè)中，研發(fā)部門(mén)、財(cái)務(wù)部門(mén)的主機(jī)數(shù)量都比較少，研發(fā)部門(mén)10臺(tái)、財(cái)務(wù)部門(mén)5臺(tái);而各種應(yīng)用服務(wù)器的話也需要六個(gè)IP地址。若考慮擴(kuò)展性的話，以上兩個(gè)部門(mén)最多再增加3個(gè)IP地址即可。而其余部門(mén)的話，現(xiàn)有電腦40臺(tái)左右?？紤]到后續(xù)的擴(kuò)展，要為其預(yù)留十個(gè)到二十個(gè)IP地址。
第三步：計(jì)算現(xiàn)有子網(wǎng)的合法的主機(jī)IP數(shù)目
接下去網(wǎng)絡(luò)管理員就需要計(jì)算根據(jù)第一步得出來(lái)的子網(wǎng)規(guī)劃方案，能否滿足企業(yè)主機(jī)數(shù)據(jù)的需要。在計(jì)算子網(wǎng)的合法主機(jī)IP地址的時(shí)候，也有一個(gè)公式可以進(jìn)行套用：2x-2=合法的主機(jī)IP地址數(shù)(這里的x表示的是非子網(wǎng)掩碼的位數(shù)，即子網(wǎng)掩碼為0的位數(shù))。按照第一步，我們計(jì)算出來(lái)的子網(wǎng)掩碼的為數(shù)為 2，此時(shí)，我們就需要一個(gè)個(gè)的試驗(yàn)。
若我們采用C類IP地址的話，則其子網(wǎng)掩碼為1的最多八位。根據(jù)這個(gè)案例，需要子網(wǎng)掩碼2位，那么子網(wǎng)掩碼為零的就是6位。其每個(gè)網(wǎng)段的子網(wǎng)掩碼為26-2=62位。而企業(yè)要求的每個(gè)網(wǎng)段的最多主機(jī)數(shù)量為60臺(tái)(已經(jīng)考慮了未來(lái)擴(kuò)展的需要)。所以，這個(gè)子網(wǎng)劃分方案完全滿足企業(yè)的需求。
若此時(shí)，企業(yè)需要的主機(jī)數(shù)量為100臺(tái)，那么就不能夠采用C類地址了，而需要采用B類地址或者A類地址?？傊?，網(wǎng)絡(luò)管理員要保證現(xiàn)有的子網(wǎng)規(guī)劃方案，其每個(gè)網(wǎng)段的主機(jī)數(shù)量要能夠滿足企業(yè)的需要。否則的話，就需要進(jìn)行相應(yīng)的調(diào)整。
在做這個(gè)判斷的時(shí)候，筆者需要強(qiáng)調(diào)兩個(gè)方面的問(wèn)題
一是在考慮某個(gè)網(wǎng)段的主機(jī)數(shù)量的時(shí)候，不能看現(xiàn)在有多少就留多少個(gè)IP地址。而是需要考慮一定的拓展型。筆者這里只留了15%左右的拓展空間，其實(shí)還算是比較保守的。一般情況下，可能需要有50%，甚至更多的保留空間。因?yàn)樽泳W(wǎng)部署好之后，因?yàn)镮P地址不夠再重新調(diào)整的話，是一件非常頭痛的事情。
二是最好從C類、B類、A類地址這么測(cè)試。筆者比較傾向于采用C類地址。只有當(dāng)C類地址無(wú)法滿足的時(shí)候，才考慮采用B類、A類地址。一般來(lái)說(shuō)，在同等數(shù)量的子網(wǎng)情況下，B類、A類地址可用的主機(jī)IP地址數(shù)量要比C類地址多的多。具體采用哪類IP地址，一般跟網(wǎng)絡(luò)管理員的愛(ài)好有關(guān)。
第四步：這些子網(wǎng)的子網(wǎng)號(hào)是什么？
通過(guò)以上的三個(gè)步驟，子網(wǎng)的規(guī)劃已經(jīng)完成。接下去的任務(wù)就是需要計(jì)算一些具體的參數(shù)。這主要是用來(lái)幫助網(wǎng)絡(luò)管理員做好后續(xù)的配置，以及方便以后的工作。具體的來(lái)說(shuō)，網(wǎng)絡(luò)規(guī)劃完畢后，網(wǎng)絡(luò)管理員需要分析每個(gè)網(wǎng)段的子網(wǎng)號(hào)是多少、每個(gè)子網(wǎng)的廣播地址是多少、每個(gè)子網(wǎng)中合法的IP地址是哪些等等。
首先，我們需要計(jì)算每個(gè)子網(wǎng)的子網(wǎng)號(hào)。這里又有一個(gè)公式，即256-子網(wǎng)掩碼=增量值。就以筆者這家企業(yè)為例。因?yàn)橛昧?位子網(wǎng)掩碼，其二進(jìn)制表示即為11000000。若轉(zhuǎn)化為十進(jìn)制，即是192。所以，計(jì)算出來(lái)的增量值即為64。那么，從0來(lái)時(shí)，每隔64，即是每個(gè)子網(wǎng)的子網(wǎng)號(hào)。在這個(gè)例子中，四個(gè)網(wǎng)段的子網(wǎng)號(hào)分別為192.168.0.0、192.168.0.64、192.168.0.128、192.168.0.192。根據(jù)相關(guān)的規(guī)則，這四個(gè)IP地址具有特殊的用途，不能夠用來(lái)分配給網(wǎng)絡(luò)客戶端。