Разделение на подсети позволяет создать множество логических сетей из единственного блока адреса. Так как мы используем маршрутизатор для соединения этих сетей друг с другом, у каждого интерфейса на маршрутизаторе должен быть уникальный сетевой ID. Каждый узел с этим идентификатором находится в той же самой сети.
Мы создаем подсети путем использования одного или более хостовых битов в качестве сетевых битов. Это делается расширением маски, заимствовуя некоторые из битов от хостовой части адреса, чтобы создать дополнительные сетевые биты. Чем больше используется хостовых битов, тем больше подсетей можно определить. С каждым заимствованным битом мы удваиваем число доступных подсетей. Например, если мы заимствуем 1 бит, мы можем определить 2 подсети. Если мы заимствуем 2 бита, у нас может быть 4 подсети. Однако, с каждым заимствованным битом, все меньше адресов узлов доступно для подсети.
У маршрутизатора A на рисунке есть два интерфейса для соединения двух сетей. При наличии блок адресов 192.168.1.0 / 24, мы создадим две подсети. Мы заимствуем один бит от хостовой части, используя 255.255.255.128 вместо исходной маски 255.255.255.0. Старший значащий бит в последнем октете используется, чтобы различать эти две подсети. Для одной из подсетей это бит "0", а для другой подсети это бит "1".
Формула для вычисления подсетей
Используйте эту формулу, чтобы вычислить число подсетей:
2^n, где n - число заимствованных битов
В этом примере вычисление происходит так:
2^1 = 2 подсети
Число узлов
Чтобы определить количество узлов на одну сеть, мы используем формулу 2^n - 2 где n - число битов, оставленных для хостов.
Применим эту формулу: (2^7 - 2 = 126) - отсюда видно, что у каждой из этих подсетей может быть 126 узлов.
Для каждой подсети исследуйте последний октет в двоичной записи. Значения этих октетах для этих двух сетей:
Подсеть 1: 0 0000000 = 0
Подсеть 2: 1 0000000 = 128
См. на рисунке схему адресации для этих сетей.
8)
9) Маршрутизация: статическая и динамическая на примере RIP, OSPF и EIGRP.
10) Трансляция сетевых адресов: NAT и PAT.
11) Протоколы резервирования первого перехода: FHRP.
12) Безопасность компьютерных сетей и виртуальные частные сети: VPN.
13) Глобальные сети и используемые протоколы: PPP, HDLC, Frame Relay.
14) Введение в IPv6, конфигурация и маршрутизация.
15) Сетевое управление и мониторинг сети.
P.S. Возможно, со временем список дополнится.
Начнем, или уже продолжим, с самого популярного, заезженного и больного. Это IP-адреса. На протяжении 4-х статей это понятие встречалось по несколько раз, и скорее всего вы уже либо сами поняли для чего они, либо нагуглили и почитали о них. Но я обязан вам это рассказать, так как без ясного понимания двигаться дальше будет тяжело.
Итак IP-адрес - это адрес, используемый узлом на сетевом уровне. Он имеет иерархическую структуру. Что это значит? Это значит, что каждая цифра в его написании несет определенный смысл. Объясню на очень хорошем примере. Примером будет номер обычного телефона - +74951234567. Первой цифрой идет +7. Это говорит о том, что номер принадлежит зоне РФ. Далее следует 495. Это код Москвы. И последние 7 цифр я взял случайными. Эти цифры закреплены за районной зоной. Как видите здесь наблюдается четкая иерархия. То есть по номеру можно понять какой стране, зоне он принадлежит. IP адреса придерживаются аналогично строгой иерархии. Контролирует их организация IANA(англ. Internet Assigned Numbers Authority). Если на русском, то это «Администрация адресного пространства Интернет». Заметьте, что слово «Интернет» с большой буквы. Мало кто придает этому значение, поэтому объясню разницу. В англоязычной литературе термин «internet» используется для описания нескольких подключённых друг к другу сетей. А термин «Internet» для описания глобальной сети. Так что примите это к сведению.
Несмотря на то, что тема статьи больше теоретическая, нежели практическая, я настоятельно рекомендую отнестись к ней со всей серьезностью, так как от нее зависит понимание дальнейших тем, а особенно маршрутизации. Не для кого, я думаю, не секрет, что мы привыкли воспринимать числовую информацию в десятичном формате (в числах от 0-9). Однако все современные компьютеры воспринимают информацию в двоичном (0 и 1). Не важно при помощи тока или света передается информация. Вся она будет воспринята устройством как есть сигнал (1) или нет (0). Всего 2 значения. Поэтому был придуман алгоритм перевода из двоичной системы в десятичную, и обратно. Начну с простого и расскажу, как выглядят IP адреса в десятичном формате. Вся эта статья посвящена IP адресам версии 4. О версии 6 будет отдельная статья. В предыдущих статьях, лабах, да и вообще в жизни, вы видели что-то вроде этого «193.233.44.12». Это и есть IP адрес в десятичной записи. Состоит он из 4-х чисел, называемых октетами и разделенных между собой точками. Каждое такое число (октет) может принимать значение от 0 до 255. То есть одно из 256 значений. Длина каждого октета равна 8 битам, а суммарная длина IPv4 = 32 битам. Теперь интересный вопрос. Каким образом этот адрес воспримет компьютер, и как будет с ним работать?
Можно конечно набить это в калькулятор, коих навалом в Интернете, и он переведет его в двоичный формат, но я считаю, что переводить вручную должен уметь каждый. Особенно это касается тех, кто планирует сдавать экзамен. У вас не будет под рукой ничего, кроме бумаги и маркера, и полагаться придется только на свои навыки. Поэтому показываю, как это делать вручную. Строится таблица.
| 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 |
|---|---|---|---|---|---|---|---|
| x | x | x | x | x | x | x | x |
Вместо «x» записывается либо 1, либо 0. Таблица разделена на 8 колонок, каждая из которых несет в себе 1 бит (8 колонок = 8 бит = 1 октет). Расположены они по старшинству слева направо. То есть первый (левый) бит - самый старший и имеет номер 128, а последний (правый) - самый младший и имеет номер 1. Теперь объясню, откуда эти числа взялись. Так как система двоичная, и длина октета равна 8-ми битам, то каждое число получается возведением числа 2 в степень от 0 до 7. И каждая из полученных цифр записывается в таблицу от большего к меньшему. То есть слева направо. От 2 в 7-ой степени до 2 в 0-ой степени. Приведу таблицу степеней 2-ки.
Думаю теперь понятно, каким образом строится таблица. Давайте теперь разберем адрес «193.233.44.12» и посмотрим, как он выглядит в двоичном формате. Разберем каждый октет отдельно. Возьмем число 193 и посмотрим, из каких табличных комбинаций оно получается. 128 + 64 + 1 = 193.
Для 44 - это 32 + 8 + 4.
Получается длинная битовая последовательность 11000001.11101001.00101100.00001100. Именно с данным видом работают сетевые устройства. Битовая последовательность обратима. Вы можете так же вставить каждый октет (по 8 символов) в таблицу и получить десятичную запись. Я представлю совершенно случайную последовательность и приведу ее к десятичному виду. Пусть это будет 11010101.10110100.11000001.00000011. Строю таблицу и заношу в нее первый блок.
Считаю 128 + 32 + 16 + 4 = 180.
Третий блок.
2 + 1 = 3
Собираем результаты вычислений и получаем адрес 213.180.193.3. Ничего тяжелого, чистая арифметика. Если тяжело и прям невыносимо трудно, то попрактикуйтесь. Сначала может показаться страшным, так как многие закончили учебу лет 10 назад и многое позабыли. Но уверяю, что как только набьете руку, считать будет гораздо легче. Ну а для закрепления дам вам несколько примеров для самостоятельного расчета (под спойлером будут ответы, но открывайте их только когда прорешаете сами).
Задача №1
1) 10.124.56.220
2) 113.72.101.11
3) 173.143.32.194
4) 200.69.139.217
5) 88.212.236.76
6) 01011101.10111011.01001000.00110000
7) 01001000.10100011.00000100.10100001
8) 00001111.11011001.11101000.11110101
9) 01000101.00010100.00111011.01010000
10) 00101011.11110011.10000010.00111101
Ответы
1) 00001010.01111100.00111000.11011100
2) 01110001.01001000.01100101.00001011
3) 10101101.10001111.00100000.11000010
4) 11001000.01000101.10001011.11011001
5) 01011000.11010100.11101100.01001100
6) 93.187.72.48
7) 72.163.4.161
8) 15.217.232.245
9) 69.20.59.80
10) 43.243.130.61
Теперь IP-адреса не должны быть чем-то страшным, и можно углубиться в их изучение.
Выше мы говорили о структуре телефонных номеров и их иерархии. И вот на заре рождения Интернета в том представлении, в каком мы его привыкли видеть, возник вопрос. Вопрос заключался в том, что IP-адреса нужно как-то сгруппировать и контролировать выдачу. Решением было разделить все пространство IP-адресов на классы. Это решение получило название классовая адресация (от англ. Classful) . Она уже давно устарела, но практически в любой книге на нее отводятся целые главы и разделы. Cisco тоже не забывает про это и в своих учебных материалах рассказывает про нее. Поэтому я пробегусь по этой теме и покажу, чем она блистала с 1981 по 1995 год.
Пространство было поделено на 5 классов. Каждому классу был назначен блок адресов.
Начнем с класса A . Если внимательно посмотреть на таблицу, то можно заметить, что этому блоку дан самый большой блок адресов, а если быть точным, то половина всего адресного пространства. Предназначался данный класс для крупных сетей. Структура этого класса выглядит следующим образом.
В чем суть. Первый октет, то есть 8 бит, остаются за адресом сети, а 3 последних октета (то есть оставшиеся 24 бита) назначаются хостам. Вот для того, чтобы показать, какой кусок относится к сети, а какой к хостам, используется маска . По структуре записи она аналогична записи IP-адреса. Отличие маски от IP-адресов в том, что 0 и 1 не могут чередоваться. Сначала идут 1, а потом 0. Таким образом, там где есть единица, значит это участок сети. Чуть ниже, после разбора классов, я покажу, как с ней работать. Сейчас главное знать, что маска класса A - 255.0.0.0. В таблице еще упомянут какой-то первый бит и для класса A он равен 0. Этот бит как раз нужен для того, чтобы сетевое устройство понимало, к какому классу оно принадлежит. Он же еще задает начальный и конечный диапазон адресов. Если в двоичном виде записать на всех октетах единицы, кроме первого бита в первом октете (там всегда 0), то получится 127.255.255.255, что является границей класса A. Например, возьмем адрес 44.58.63.132. Мы знаем, что у класса A первый октет отдается под адрес сети. То есть «44» - это адрес сети, а «58.63.132» - это адрес хоста.
Поговорим про класс B
Этому классу был дан блок поменьше. И адреса из этого блока предназначались для сетей средних масштабов. 2 октета отданы под адрес сети, и 2 - под адрес хостов. Маска у B класса - 255.255.0.0. Первые биты строго 10. А остальные меняются. Перейдем к примеру: 172.16.105.32. Два первых октета под адрес сети - «172.16». А 3-ий и 4-ый под адрес хоста - «105.32».
Класс C
Этот класс обделили адресами и дали ему самый маленький блок. Он был предназначен для мелких сетей. Зато этот класс отдавал целых 3 октета под адрес сети и только 1 октет - под хосты. Маска у него - 255.255.255.0. Первые биты 110. На примере это выглядит так - 192.168.1.5. Адрес сети «192.168.1», а адрес хоста «5».
Классы D и E . Я неcпроста объединил их в один. Адреса из этих блоков зарезервированы и не могут назначаться сетям и хостам. Класс D предназначен для многоадресной рассылки. Аналогию можно привести с телевидением. Телеканал вещает группе лиц свой эфир. И те, кто подключены, могут смотреть телепередачи. То есть в распоряжение администраторов могут попасть только 3 первых класса.
Напомню, что первые биты у класса D - это 1110. Пример адреса - 224.0.0.5.
А первые биты у класса E - это 1111. Поэтому, если вдруг увидите адрес вида 240.0.0.1, смело говорите, что это адрес E класса.
Про классы обмолвились. Теперь озвучу вопрос, который мне недавно задали. Так зачем тогда маски? У нас итак хосты понимают в каком они классе. Но суть вот в чем. Например, у вас есть маленький офис, и вам нужен блок IP-адресов. Никто не будет вам выдавать все адреса класса C. А дадут только его кусок. Например 192.168.1.0 с маской 255.255.255.0. Так вот эта маска и будет определять вашу границу. Мы уже говорили, что октет варьируется в значении от 0 до 255. Вот этот 4 октет полностью в вашем распоряжении. За исключением первого адреса и последнего, то есть 0 и 255 в данном случае. Первый адрес - это адрес сети (в данном случае 192.168.1.0), а последний адрес - широковещательный адрес (192.168.1.255). Напомню, что широковещательный адрес используется в том случае, когда надо передать информацию всем узлам в сети. Поэтому есть правило. Если вам надо узнать номер сети, то все биты относящиеся к хосту обращаете в 0, а если широковещательный, то все биты - в 1. Поэтому, если из 256 адресов забирается 2 адреса, то на назначение хостам остается 254 адреса (256 - 2). На собеседованиях и экзаменах часто любят спрашивать: «Количество IP-адресов в сети?» и «Сколько доступных IP-адресов в сети для назначения хостам?». Два разных вопроса, которые могут поставить в тупик. Ответом на первый будет - все адреса, включая адрес сети и широковещательный адрес, а на второй вопрос - все адреса, кроме адреса сети и широковещательного адреса.
Теперь углубимся в изучении маски.
Я записал адрес класса C 192.168.1.1 с маской 255.255.255.0 в десятичном и двоичном формате. Обратите внимание на то, как выглядит IP-адрес и маска в двоичном формате. Если в IP-адресе 0 и 1 чередуются, то в маске сначала идут 1, а потом 0. Эти биты фиксируют адрес сети и задают размер. По таблице выше можно сделать вывод, что в двоичном виде маска представлена последовательностью 24 единиц подряд. Это говорит о том, что целых 3 октета выделено под сеть, а 4 октет свободен под адресацию для хостов. Здесь ничего необычного. Это стандартная маска класса C.
Но вот в чем загвоздка. Например, в вашем офисе 100 компьютеров, и расширяться вы не планируете. Зачем плодить сеть из 250+ адресов, которые вам не нужны?! На помощь приходит разделение на подсети. Это очень удобная вещь. Объясню принцип на примере того же класса C. Как бы вы не хотели, но трогать 3 октета нельзя. Они фиксированы. Но вот 4 октет свободен под хосты, поэтому его можно трогать. Заимствуя биты из хостового куска, вы дробите сеть на n-ое количество подсетей и, соответственно, уменьшаете в ней количество адресов для хостов.
Попробуем это воплотить в реальность. Меняю маску. Заимствую первый бит из хостовой части(то есть 1-ый бит 4-ого октета выставляю в единицу). Получается следующая маска.
Данная маска делит сеть на 2 части. Если до дробления у сети было 256 адресов(от 0 до 255), то после дробления у каждого куска будет по 128 адресов(от 0 до 127 и от 128 до 255).
Теперь посмотрю, что изменится в целом с адресами.
Красным цветом я показал те биты, которые зафиксированы и не могут изменяться. То есть маска ей задает границу. Соответственно биты помеченные черным цветом определены для адресации хостов. Теперь вычислю эту границу. Чтобы определить начало, надо все свободные биты(помеченные черным цветом) обратить в ноль, а для определения конца обратить в единицы. Приступаю.
То есть в четвертом октете меняются все биты, кроме первого. Он жестко фиксирован в рамках этой сети.
Теперь посмотрим на вторую половину сети и вычислим ее адреса. Деление у нас производилось заимствованием первого бита в 4-ом октете, значит он является делителем. Первая половина сети получалась, когда этот бит принимал значение 0, а значит вторая сеть образуется, когда этот бит примет значение 1. Обращаю этот бит в 1 и посмотрю на границы.
Приведу в десятичный вид.
Соответственно.128 и.255 назначать хостам нельзя. Значит в доступности 128-2=126 адресов.
Вот таким образом можно при помощи маски управлять размером сети. Каждый заимствованный бит делит сеть на 2 части. Если откусить 1 бит от хостовой части, то поделим на 2 части (по 128 адресов), 2 бита = 4 части (по 64 адреса), 3 бита = 8 (по 32 адреса) и так далее.
Если вы рассчитали количество бит, отдаваемые под хосты, то количество доступных IP-адресов можно вычислить по формуле
Бесклассовая адресация (англ. Classless Inter-Domain Routing или CIDR) . Описана была в стандарте RFC1519 в 1993 году. Она отказалась от классовых рамок и фиксированной маски. Адреса делятся только на публичные и зарезервированные, о которых написано выше. Если в классовой адресации маска нарезалась единой для всех подсетей, то в бесклассовой - у каждой подсети может быть своя маска. На теории все хорошо и красиво, но нет ничего лучше, чем практика. Поэтому перехожу к ней и объясню, как можно делить на подсети с разным количеством хостов.
В качестве шпаргалки приведу список всех возможных масок.
Представим ситуацию. Вам выдали сеть 192.168.1.0/24 и поставили следующие условия:
1) Подсеть на 10 адресов для гостей.
2) Подсеть на 42 адреса для сотрудников.
3) Подсеть на 2 адреса для соединения 2 маршрутизаторов.
4) Подсеть на 26 адресов для филиала.
Ок. Данная маска показывает, что в нашем распоряжении находятся 256 адресов. По условию эту сеть надо каким-то образом разделить на 4 подсети. Давайте попробуем. 256 очень хорошо делится на 4, давая в ответе 64. Значит один большой блок в 256 адресов можно поделить на 4 равных блока по 64 адреса в каждом. И все было бы прекрасно, но это порождает большое число пустых адресов. Для сотрудников, которым нужно 42 адреса, ладно, может в дальнейшем компания еще наймет. Но вот подсеть для маршрутизаторов, которая требует всего 2 адреса, оставит 60 пустых адресов. Да, вы можете сказать, что это private адреса, и кому дело до них. А теперь представьте, что это публичные адреса, которые маршрутизируются в Интернете. Их и так мало, а тут мы еще будем их отбрасывать. Это не дело, тем более, когда мы можем гибко управлять адресным пространством. Поэтому возвращаемся к примеру и нарежем подсети так, как нам нужно.
Итак, какие подсети должны быть нарезаны, чтобы вместились все адреса, заданные по условию?!
1) Для 10 хостов, наименьшей подсетью будет блок из 16 адресов.
2) Для 42 хостов, наименьшей подсетью будет блок из 64 адресов.
3) Для 2 хостов, наименьшей подсетью будет блок из 4 адресов.
4) Для 26 хостов, наименьшей подсетью будет блок из 32 адресов.
Я понимаю, что не все могут с первого раза в это вникнуть, и в этом нет ничего страшного. Все люди разные и по-разному воспринимают информацию. Для полноты эффекта покажу деление на картинке.
Вот у нас блок, состоящий из 256 адресов.
После деления на 4 части получается следующая картинка.
Выше мы выяснили, что при таком раскладе адреса используются не рационально. Теперь обратите внимание, как стало выглядеть адресное пространство после нарезки подсетей разной длины.
Как видите, в свободном доступе осталось куча адресов, которые мы в дальнейшем сможем использовать. Можно посчитать точную цифру. 256 - (64 + 32 + 16 + 4) = 140 адресов.
Вот столько адресов мы сэкономили. Двигаемся дальше и ответим на следующие вопросы:
Какими будут сетевые и широковещательные адреса?
- Какие адреса можно будет назначить хостам?
- Как буду выглядеть маски?
Механизм деления на подсети с разной маской получил название VLSM (от англ. Variable Length Subnet Mask) или маска подсети переменной длины . Дам важный совет! Начинайте адресацию с самой большой подсети. Иначе вы можете попасть на то, что адреса начнут перекрываться. Поэтому сначала планируйте сеть на бумаге. Нарисуйте ее, изобразите в виде фигур, просчитайте вручную или на калькуляторе и только потом переходите настройке в боевых условиях.
Итак, самая большая подсеть состоит из 64 адресов. С нее и начнем. Первый пул адресов будет следующий:
Адрес подсети - 192.168.1.0.
Широковещательный адрес - 192.168.1.63.
Пул адресов для назначения хостам от 192.168.1.1 до 192.168.1.62.
Теперь выбор маски. Тут все просто. Отнимаем от целой сети нужный кусок и полученное число записываем в октет маски. То есть 256 - 64 = 192 => маска 255.255.255.192 или /26.
Адрес подсети - 192.168.1.64.
Широковещательный адрес - 192.168.1.95.
Пул адресов для назначения хостам будет от 192.168.1.65 до 192.168.1.94.
Маска: 256 - 32 = 224 => 255.255.255.224 или /27.
3-я подсеть, которая предназначена для филиала, начнет старт с.96:
Адрес подсети - 192.168.1.96.
Широковещательный адрес - 192.168.1.111.
Пул адресов для назначения хостам будет от 192.168.1.97 до 192.168.1.110.
Маска: 256 - 16 = 240 => 255.255.255.240 или /28.
Ну и для последней подсети, которая уйдет под интерфейсы, соединяющие роутеры, будет начинаться с.112:
Адрес подсети - 192.168.1.112.
Широковещательный адрес - 192.168.1.115.
Разрешенными адресами будут 192.168.1.113 и 192.168.1.114.
Маска: 256 - 4 = 252 => 255.255.255.252 или /30.
Замечу, что адрес 192.168.1.115 является последним используемым адресом. Начиная с 192.168.1.116 и до.255 свободны.
Вот таким образом, при помощи VLSM или масок переменной длины, мы экономно создали 4 подсети с нужным количеством адресов в каждой. Думаю это стоит закрепить задачкой для самостоятельного решения.
Задача №3
Разделите сеть 192.168.1.0/24 на 3 разные подсети. Найдите и запишите в каждой подсети ее адреса, широковещательный адрес, пул разрешенных к выдаче адресов и маску. Указываю требуемые размеры подсетей:
1) Подсеть на 120 адресов.
2) Подсеть на 12 адресов.
3) Подсеть на 5 адресов.
Ответ
1) Адрес подсети - 192.168.1.0.
Широковещательный адрес - 192.168.1.127.
Пул адресов для назначения хостам будет от 192.168.1.1 до 192.168.1.126.
Маска: 256 - 128 = 128 => 255.255.255.128 или /25.
2) Адрес подсети - 192.168.1.128.
Широковещательный адрес - 192.168.1.143.
Пул адресов для назначения хостам будет от 192.168.1.129 до 192.168.1.142.
Маска: 256 - 16 = 240 => 255.255.255.240 или /28.
3) Адрес подсети - 192.168.1.144.
Широковещательный адрес - 192.168.1.151.
Пул адресов для назначения хостам будет от 192.168.1.145 до 192.168.1.150.
Маска: 256 - 8 = 248 => 255.255.255.248 или /29.
Теперь, когда вы знаете, как делить сети на подсети, самое время научиться собирать подсети в одну общую подсеть. Иначе это называется суммированием или summarization . Суммирование чаще всего используется в маршрутизации. Когда у вас в таблице маршрутизатора несколько соседних подсетей, маршрутизация которых проходит через один и тот же интерфейс или адрес. Скорее всего этот процесс лучше объяснять при разборе маршрутизации, но учитывая то, что тема маршрутизации и так большая, то я объясню процесс суммирования в этой статье. Тем более, что суммирование это сплошная математика, а в этой статье мы ею и занимаемся. Ну что же, приступлю.
Представим, что у меня компания состоящая из главного здания и корпусов. Я работаю в главном здании, а в корпусах коллеги. Хоть у меня и главное здание, но в нем всего 4 подсети:
192.168.0.0/24
- 192.168.1.0/24
- 192.168.2.0/24
- 192.168.3.0/24
Тут коллеги с соседнего здания очухались и поняли, что у них слетела конфигурация на маршрутизаторе, а бекапов нет. Наизусть они не помнят, какие в главном здании подсети, но помнят, что они находятся рядом друг с другом, и просят прислать одну суммированную. Теперь у меня возникает задача, как их суммировать. Для начала я переведу все подсети в двоичный вид.
Посмотрите внимательно на таблицу. Как видите, у 4 подсетей первые 22 бита одинаковые. Соответственно, если я возьму 192.168.0.0 с маской /22 или 255.255.252.0, то покрою свои 4 подсети. Но обратите внимание на 5 подсеть, которую я специально ввел. Это подсеть 192.168.4.0. 22-ой бит у нее отличается от предыдущих 4-х, а значит выше выбранное не покроет эту подсеть.
Ок. Теперь я отправлю коллегам суммированную подсеть, и, если они все правильно пропишут, то маршрутизация до моих подсетей будет работать без проблем.
Возьмем тот же пример и немного изменим условия. Нас попросили прислать суммарный маршрут для подсетей 192.168.0.0 и 192.168.1.0. Я не поленюсь и создам еще одну таблицу.
Обратите внимание, что у 2 первых подсетей одинаковые не 22 бита, а 23 бита. Это значит, что их можно просуммировать еще компактнее. В принципе работать будет и так, и так. Но как говорилось в одной рекламе: «Если нет разницы - зачем платить больше?». Поэтому старайтесь суммировать, не задевая при этом соседние подсети.
Таким образом, переводя подсети в двоичный формат и находя одинаковые биты, можно их суммировать.
Вообще суммирование полезно применять, когда надо объединить несколько подсетей, расположенных вблизи друг с другом. Это позволит сэкономить ресурсы маршрутизаторов. Однако это не всегда возможно. Просуммировать, например, подсеть 192.168.1.0 и 192.168.15.0, не захватив при этом соседние подсети, невозможно. Поэтому перед суммированием стоит подумать над ее целесообразностью. Поэтому повторюсь еще раз, что начинать какую-либо революцию надо на бумажке. Ну и для закрепления материала оставлю небольшую задачу.
Задача №4
Даны 4 подсети:
1) 10.3.128.0
2) 10.3.129.0
3) 10.3.130.0
4) 10.3.131.0
Просуммируйте подсети и найдите маску, которая сможет покрыть их, не задевая при этом соседние подсети.
Ответ
Исходя из этого, ответом будет 10.3.128.0/22 (255.255.252.0)
Пришло время закругляться. Статья получилась не очень длинной. Я бы даже сказал наоборот. Но все, что требует знать Cisco про IPv4, мы рассмотрели. Самое главное, что требуется от вас - это научиться работать с адресами и масками и уметь конвертировать их из десятичной в двоичную и обратно. Ну и, конечно, правильно делить на подсети и распределять адресное пространство. Спасибо, что дочитали. А если еще и задачки все сами прорешали, то цены вам нет) А если еще не прорешали, то приятного времяпровождения.
Теги:
- бесклассовая адресация
- суммирование подсетей
Зарезервированные адреса
В адресной схеме протокола выделяют особые IP-адреса.
Если биты всех октетов адреса равны нулю, то он обозначает адрес того узла, который сгенерировал данный пакет. Это используется в ограниченных случаях, например в некоторых сообщениях протокола IP.
Если биты сетевого префикса равны нулю, полагается, что узел назначения принадлежит той же сети, что и источник пакета.
Когда биты всех октетов адреса назначения равны двоичной единице, пакет доставляется всем узлам, принадлежащим той же сети, что и отправитель пакета. Такая рассылка называется ограниченным широковещанием.
Наконец, если в битах адреса, соответствующих узлу назначения, стоят единицы, то такой пакет рассылается всем узлам указанной сети. Это называется широковещанием.
Специальное значение имеет, так же, адреса сети 127/8. Они используются для тестирования программ и взаимодействия процессов в пределах одной машины. Пакеты, отправленные на этот интерфейс, обрабатываются локально, как входящие. Потому адреса из этой сети нельзя присваивать физическим сетевым интерфейсам.
Очень редко в локальную вычислительную сеть входит более 100-200 узлов. Кроме того, многие сетевые среды накладывают ограничения, например, в 1024 узла. Поэтому, использовать адресацию сетей классов А и В нецелесообразно. При малом количестве компьютеров в сети (до 30) не имеет смысла использовать адресацию С.
Для решения этих проблем в двухуровневую иерархию IP-адресов (сеть – узел) была введена новая составляющая -- подсеть. Идея заключается в "заимствовании" нескольких битов из узловой части адреса для определения подсети.
Полный префикс сети, состоящий из сетевого префикса и номера подсети, называется расширенным сетевым префиксом. Двоичное число, и его десятичный эквивалент, содержащее единицы в разрядах, относящихся к расширенному сетевому префиксу, а в остальных разрядах – нули, назвали маской подсети.
Рис.4.4
Но маску в десятичном представлении удобно использовать лишь тогда, когда расширенный сетевой префикс заканчивается на границе октетов, в других случаях ее расшифровать сложнее. Допустим, что в примере на рис. 4 мы хотели бы для подсети использовать не 8 бит, а десять. Тогда в последнем (z-ом) октете мы имели бы не нули, а число 11000000. В десятичном представлении получаем 255.255.255.192. Очевидно, что такое представление не очень удобно. В наше время чаще используют обозначение вида "/xx", где хх -- количество бит в расширенном сетевом префиксе. Таким образом, вместо указания: "144.144.19.22 с маской 255.255.255.192", мы можем записать: 144.144.19.22/26. Как видно, такое представление более компактно и понятно.
Маска подсети переменной длины VLSM
(Variable Length Subnet Mask)
Однако подсети, несмотря на все их достоинства, обладают и недостатками. Так, определив однажды маску подсети, приходится использовать подсети фиксированных размеров. Скажем, у нас есть сеть 144.144.0.0/16 с расширенным префиксом /23.
Рис. 4.5
Такая схема позволяет создать 27 подсетей размером в 29 узлов каждая. Это подходит к случаю, когда есть много подсетей с большим количеством узлов. Но если среди этих сетей есть такие, количество узлов в которых находится в пределах ста, то в каждой их них будет пропадать около 400 адресов.
Решение состоит в том, что бы для одной сети указывать более одного расширенного сетевого префикса. О такой сети говорят, что это сеть с маской подсети переменной длины (VLSM).
Действительно, если для сети 144.144.0.0/16 использовать расширенный сетевой префикс /25, то это больше бы подходило сетям размерами около ста узлов. Если допустить использование обеих масок, то это бы значительно увеличило гибкость применения подсетей.
Общая схема разбиения сети на подсети с масками переменной длины такова: сеть делится на подсети максимально необходимого размера. Затем некоторые подсети делятся на более мелкие, и рекурсивно далее, до тех пор, пока это необходимо.
Кроме того, технология VLSM, путем скрытия части подсетей, позволяет уменьшить объем данных, передаваемых маршрутизаторами. Так, если сеть 12/8 конфигурируется с расширенным сетевым префиксом /16, после чего сети 12.1/16 и 12.2/16 разбиваются на подсети /20, то маршрутизатору в сети 12.1 незачем знать о подсетях 12.2 с префиксом /20, ему достаточно знать маршрут на сеть 12.1/16.
Проблемы классической схемы
В середине 80-х годов Internet впервые столкнулся с проблемой переполнения таблиц магистральных маршрутизаторов. Решение, однако, было быстро найдено – подсети устранили проблему на несколько лет. Но уже в начале 90-х к проблеме большого количества маршрутов прибавилась нехватка адресного пространства. Ограничение в 4 миллиарда адресов, заложенное в протокол и казавшееся недосягаемой величиной, стало весьма ощутимым.
В качестве решения проблемы были одновременно предложены два подхода – один на ближайшее будущее, другой комплексный и долгосрочный. Первое решение – это внедрение протокола бесклассовой маршрутизации (CIDR), к которому позже присоединилась система NAT.
Долгосрочное решение – это протокол IP следующей версии. Он обозначается, как IPv6, или IPng (Internet Protocol next generation). В этой реализации протокола длина адреса увеличена до 16-ти байтов (128 бит!), исключены некоторые элементы действующего протокола, которые оказались неиспользуемыми.
Новая версия обеспечит, как любят указывать, плотность в 3 911 873 538 269 506 102 IP адресов на квадратный метр поверхности Земли.
Ё+й ёОднако то, что и в 2000-м году протокол все еще проходил стандартизацию, и то, что протокол CIDR вместе с системой NAT оказались эффективным решением, заставляет думать, что переход с IPv4 на IPng потребует очень много времени.
Бесклассовая междоменная маршрутизация CIDR
(Classless Inter-Domain Routing)
Появление этой технологии было вызвано резким увеличением объема трафика в Internet и, как следствие, увеличением количества маршрутов на магистральных маршрутизаторах. Так, если в 1994 году, до развертывания CIDR, таблицы маршрутизаторов содержали до 70 000 маршрутов, то после внедрения их количество сократилось до 30 000. На сентябрь 2002, количество маршрутов перевалило за отметку 110 000! Можете себе представить, сколько маршрутов нужно было бы держать в таблицах сегодня, если бы не было CIDR!
Что же представляет собой эта технология? Она позволяет уйти от классовой схемы адресации, эффективней использовать адресное пространство протокола IP. Кроме того, CIDR позволяет агрегировать маршрутные записи. Одной записью в таблице маршрутизатора описываются пути ко многим сетям.
Суть технологии CIDR состоит в том, что каждому поставщику услуг Internet (или, для корпоративных сетей, какому-либо структурно-территориальному подразделению) должен быть назначен неразрывный диапазон IP-адресов. При этом вводится понятие обобщенного сетевого префикса, определяющего общую часть всех назначенных адресов. Соответственно, маршрутизация на магистральных каналах может реализовываться на основе обобщенного сетевого префикса. Результатом является агрегирование маршрутных записей, уменьшение размера таблиц маршрутных записей и увеличение скорости обработки пакетов.
Допустим, центральный офис компании выделяет одному своему региональному подразделению сети 172.16.0.0/16 и 172.17.0.0/16, а другому -- 172.18.0.0/16 и 172.19.0.0/16. У каждого регионального подразделения есть свои областные филиалы и из полученного адресного блока им выделяются подсети разных размеров. Использование технологии бесклассовой маршрутизации позволяет при помощи всего одной записи на маршрутизаторе второго подразделения адресовать все сети и подсети первого подразделения. Для этого указывается маршрут к сети 172.16.0.0 с обобщенным сетевым префиксом 15. Он должен указывать на маршрутизатор первого регионального подразделения.
Рис. 4.6
По своей сути технология CIDR родственна VLSM. Только если в случае с VLSM есть возможность рекурсивного деления на подсети, невидимые извне, то CIDR позволяет рекурсивно адресовать целые адресные блоки.
Использование CIDR позволило разделить Internet на адресные домены, внутри которых передается информация исключительно о внутренних сетях. Вне домена используется только общий префикс сетей. В результате многим сетям соответствует одна маршрутная запись.
" данного сайта, и Вы полностью владейте такими понятиями как «IP-адрес» и «Маска сети» хочу с Вами поговорить «по взрослому».
Мы до сих пор говорили о том, что хосту в сети присваивается IP -адрес. Так вот запомните. Если Вы хотите выражается профессионально, то надо говорить что НЕ ХОСТУ присваивается IP - адрес а ИНТЕРФЕЙСУ хоста. Почему интерфейсу? Да потому бы что один хост может иметь не один IP -адрес, а гораздо больше. А это получается, если допустим у него больше чем одна сетевая карта, и каждая карта получает свой IP - адрес. Итак уяснили, IP -адрес присваивается не хосту, а интерфейсу хоста . Под интерфейсом в данном случае, что бы легче запомнить, можете считать сетевую карту.
Подсети
Еще в далеком 1985 году документом RFC 950 был описан процесс формирования подсетей, или разделение единственного номера сети класса А, В, С на составные части. Это было сделано из-за того что появились следующие главные проблемы:
- Резкий рост размера и количество таблиц маршрутизации в Интернете;
- Начал ощущается дефицит номеров сетей.
Как это решалось. Если в начале адрес состоял из двухуровневой иерархии, то подумав, сетевые разработчики решили разделить существующею двухуровневую иерархию еще на один уровень. Смотрите рисунок 1.
Рис.1
Формирование подсетей, использование подсетей решают проблему роста таблиц маршрутизации, так как конфигурация локальной сети не видна за пределами организации. Это получается из-за того что маршруты из Интернета в любую подсеть одинаковы и не зависят в какой подсети находится получатель, так как для маршрутизации используется только та часть IP-адреса которая обозначает адрес сети (отмеченное на рисунке 1 желтым цветом). А в нашем случае адрес сети для всех подсетей одинаков. Смотри рисунок 1.
Маршрутизаторы интернета или магистральные маршрутизаторы работают только с той частью адреса IP которая связана с адресом сети и их не интересуют подсети поэтому в их них таблицах маршрутизации будет только одна запись –запись с адресом сети. Задача местных маршрутизаторов, или скажем понятнее, маршрутизаторов в частной сети, это различать подсети. Такое положение дел позволяет местным сетевым администраторам вносить любые изменения в логическую структуру сети без того что бы затрагивать и влиять на таблицы маршрутизации, маршрутизаторов интернета.
Подсети так же позволяют решить и проблему дефицита IP адресов. Организации как правило получают один адрес сети и администраторы в зависимости от нужд могут произвольно создавать свои подсети без необходимости получения нового сетевого адреса.
На рисунке 2 показан пример разделения одного адреса сети на подсети. Организации был выделен адрес класса В 150.20.0.0. А сетевой администратор поделил данный адрес на подсети. Маршрутизатор в этом случае получает весь трафик адресованный его сети (в нашем случае 150.20.0.0) и распределяет его по подсетям основываясь на информации содержащимся в третьем октете IP-адреса, имея эту информацию в своей таблице маршрутизации.
Формирование внутренних подсетей частной организации дает следующие преимущества.
Глобальные таблицы маршрутизации не растут, что увеличивается их скорость обработки и скорость доступа к глобальным ресурсам вообще, так как местным сетевым администраторам не нужна информация о дополнительным адресном пространстве.
Местные администраторы могут по своему усмотрению создавать дополнительные внутренние сети (подсети если смотреть в контексте полученного IP-адреса), без получения дополнительных адресов.
Изменение топологии локальных, частных сетей не как не затрагивают таблицы маршрутизации Интернета, так как магистральные маршрутизаторы не интересуются информацией о внутренних подсетях частных внутренних сетей – они направляют и работают с трафиком родительской сети, не учитывая разбиения родительского адреса на подсети.
Рисунок 2.
Итак мы видим что магистральным маршрутизаторам для того что бы принимать решения о передачи данных по магистральным сетям достаточно только знать адрес (или номер) сети, то местным маршрутизаторам необходимо учитывать расширенный сетевой адрес, так как он должен направить из вне трафик в нужную подсеть.
Давайте еще уточним некоторые понятия, что бы в процессе я не оговорился, а вы не правильно меня поняли. В литературе часто адрес сети называют «Префиксом сети » (более подробно о префиксе сети прочтите ). В нашем случае префикс сети (смотрите рисунок 1 и рисунок 3) будет 150.20 .0 .0 (префикс или адрес сети отмечен красным).
Под «расширенным сетевым префиксом » или расширенным сетевым адресом следует понимать сетевой адрес с где учитываются биты определяющие подсети данной сети. Расширенный сетевой префикс состоит из префикса сети и номера подсети. Это показано на рисунке 3.
Рисунок 3.
Еще раз напоминаю. Маска сети это число, которое содержит единицы, если мы переведем его в двоичный формат и сопоставим с IP – адресом, так же в двоичным формате, то там где кончатся единицы и будет раздел между адресом сети и адресом хоста.
Теперь посмотрим что мы имеем после того как ввели понятие расширенного сетевого адреса или расширенного сетевого префикса. Мы уже конечно знаем, что хосты и маршрутизаторы используют старшие биты IP- адреса, для определения его класса. После того как класс сети определен хост точно знает где в IP – адресе находится граница между битами определяющие адрес сети и адресом хоста. Но что то у нас когда говорим об адресах подсети не получается. То есть такая форма определения адреса сети и адреса хоста при необходимости учета адресов подсетей нам не подходит. Что бы решить этот вопрос мы и будем пользоваться маской сети, которая и поможет нам более точно определить требуемую границу.
Напоминаю . Для стандартных классов А, В, и С маска сети предопределен а и имеет следующие значения:
Класс сети | Маска сети данного класса |
А | 255.0.0.0 |
В | 255.255.0.0 |
С | 255.255.255.0 |
Давайте рассмотрим пример. Но для начала хорошо бы запомнить принцип деления сетей на подсети . А он таков. Мы «одалживаем» некоторое количество необходимых разрядов (какое количество именно узнаем ниже) у адреса хоста и используем их для указания подсети. Получается в этом случае, что мы увеличиваем адрес сети и уменьшаем количество хостов . Увы, но ничего страшного.
Допустим, наша гипотетическая "контора" получила адрес сети, к примеру 150.20.0.0 . Сетевой администратор хочет использовать весь третий октет адреса 150.20.0 .0 для адресов подсетей (отмечен красным). Как мы видим, и уже знаем (прочитавших о сетевых классах) , адрес 150.20.0.0 относится к сети класса В, у которого по умолчанию маска сети равна 255.255.0.0. Тогда что бы использовать весь третий октет под адреса подсетей сетевой администратор ставит не маску по умолчанию для данного класса, а берет и использует маску сети 255.255.255.0. Тем самым он «одолжил» часть адресов хостов у стандартного класса В. Добавочные биты в маске заставляют систему рассматривать биты IP-адреса на которые новая маска сети, (которую применил администратор), наложила единицы, как часть расширенного сетевого адреса или сетевого префикса. Или по другому. После того как система определила класс IP-адреса, любой бит в той части IP-адреса которая раньше соответствовал адресу хоста, которому сейчас (после ввода новой маски) соответствует единица в маске сети, принимает участие в определение адреса подсети. Фуууууууу….кажется выговорил…. Оставшееся часть IP-адреса неподвластная маске используется как обычно для адреса хоста в данной подсети. Смотрите таблицу 2.
Адрес сети или сетевой префикс для класса В | Адрес подсети | Номер хоста |
|||
IP- адрес | 150.20.5.25 | 1001 0110 | 0001 0100 | 0000 0101 | 0001 1001 |
Маска подсети | 255.255.255 .0 | 1111 1111 | 1111 1111 | 1111 1111 | 0000 0000 |
Расширенный сетевой префикс или адрес | |||||
Механизм формирования маски подсети или еще можно так выразится «одалживания» битов из тех, что были предназначены для адреса хоста, показано в таблице 3.
Таблица 3.
Смотря на таблицу можно понять как эта единица «подло» оккупирует все пространство, которое раньше предназначалась адресу хоста, и какое значение приобретает в зависимости от занятых бит. Там в таблице в поле «Значение маски» число 10 в скобках означает 10-ое представление. Вот так! И как мы видим, количество используемых масок не так и большое, поэтому зная что 128 это первый бит октета у которого мы одалживаем биты, то остальные маски нетрудно подсчитать, если запомнить верхний ряд данной таблицы. К примеру маска из четырех единиц равна 240. А подсчитать это можно путем суммирования 128+64+32+16=240.
Часто сетевые адреса пишутся в такой форме 150.20.0.0/16 или 150.20.5.25/24. Число после слеша указывают число единиц в маски подсети. Это гораздо удобнее, чем писать значение маски.
Теперь рассмотрим необходимые действия сетевого администратора, который решил поделить сеть на подсети.
Как правильно разделить сети на подсети.
Перед тем как разделить сеть на подсети системный администратор должен ответить на следующие вопросы.
- Сколько подсетей требуется организовать сегодня?
- Сколько подсетей потребуется в будущем с учетом роста предприятия?
- Какое наибольшее количество хостов в самой большой подсети на сегодняшний день?
- До какого количества хостов может увеличиться самая большая подсеть в будущем?
После написания ответов на поставленные вопросы сетевой администратор начинает расчет необходимых подсетей.Количество подсетей (цифра), которое спланировал сетевой администратор, округляется до ближайшей степени числа 2. Когда происходит округление не нужно забывать о возможности роста количества подсетей, так что округляйте с запасом.
Далее сетевой администратор проверяет, есть ли в наличие свободные адреса в самой большой подсети. Это делается так же для того что бы в случае каких-тоизменений в сторону расширения, было куда расширятся, не создавая новые подсети или покупать новые адреса для расширения. Так же проверяет если выделенный или выбранный класс адреса имеет достаточное количество битов необходимых для формирования необходимого количества подсетей, которые он запланировал.
Рассмотрим на примере. Предположим что организация получила адрес класса С 193.1.1.0. Необходимо, исходя из предварительного плана, или созданного технического задания создать 6 подсетей. Наибольшая подсеть должнасостоять из не менее 25 хостов.
Первое что делается это определяется количество битов, необходимых для создания шести подсетей. Округляя число 6 до ближайшей степени числа 2, получаем 2^3 =8. То есть для выделения 6 подсетей необходимо 3 бита. Хотя мы видим, что можем создать 8 (2^3=8) подсетей, то есть у нас в запасе еще 2 подсети, а это хорошо учитывая рост предприятия.
В данном примере выделен адрес класса С с маской по умолчанию 193.1.1.0 маска 255.255.255.0 или пишем компактно 193.1.1.0/24. Напомню, число после слеша (косая черта) указывает на количество единиц в маске адреса. После того как мы определились с подсетями и знаем что нам необходимо три быта для наших нужд, мы их одалживаем из битов предназначенных для адресации хостов. И тогда наша компактная запись приобретет вид 193.1.1.0/27. Число 27 после "косой черты" (/ ) получилось в результате добавления к маске сети по умолчанию которая состоит из 24 единиц, еще трех единиц необходимых нам для адресации наших подсетей (24+3=27). Этот расширенный сетевой префикс соответствует маски подсети 255.255.255.224. Смотрите рисунок 1 и 5.
Рисунок 5.
Используя три байта для адресации подсетей из последнего октета нам, для задания адресов хостов остается 5 битов. Тогда в каждой созданной нами подсети под адресами хостов будем иметь 2^5 = 32 адреса. Первый и последний адрес не используются для присвоения адресов, так как первый адрес это адрес базовой сети или подсети, а последний используется для широковещательной передачи. И в итоге у нас получится, что для адресации хостов имеем 2^5=32-2 и равно 30 адресам, что нам подходит исходя из поставленных задач.
Далее для определения какой либо подсети администратор оперируя этими 3 битами, которые были выделены для адресации подсетей и в двоичном представлении отмечает каждую сеть по номеру посредством этих трех бит в двоичном представлении. Так как у нас из трех битов можно адресовать 8 подсетей (2^3=8) то каждая подсеть будет со своим номером от 0 до 7. К примеру, что бы определить 5-ую подсеть он пишет 5 в двоичном представлении (101) в эти три бита и у него начало октетадля подсети № 5 всегда будет, начинается с такогодвоичного числа 101. В таблице 4 показано как это делается и все 8 возможных вариантов подсетей.
Таблица 4.
Еще раз хочу напомнить. Любая сеть или подсеть имеет два IP адреса, которые не могут использоваться для сетевых интерфейсов внутри этой сети (непосредственно адрес самой сети и адрес широковещательной рассылки, broadcast) . После создания нескольких подсетей, каждая подсеть требует своего собственного, уникального IP адреса сети и broadcast адреса - и это должны быть реальные адреса из пространства IP - адресов сети, которая разбивается на подсети. Так что, если разделить одну сеть на две отдельные подсети, появятся два адреса сетей и два broadcast адреса - увеличится число адресов, которые не могут использоваться для конкретных компьютеров в сети. Создание 4-х подсетей создаст 8 неиспользуемых адресов и так далее. Для 8 сетей 16 неиспользуемых адреса.
Кажется сказал все...Если чего забыл напомните.
Одной из «классических» задач сисадмина является необходимость в рамках одного предприятия разделить одну физическую сеть на несколько виртуальных – по признаку принадлежности к отделу, департаменту, вип-персонам и т.д. Даже если вы будете использовать в качестве маршрутизатора и фаервола сервер с ОС Linux, осуществляющий технологию «ip-alias», вы не сможете быть уверены в своей безопасности на 100%.
Дело в том, что вышеуказанная технология позволяет одному и тому же интерфейсу вашего сервера выступать в роли нескольких шлюзов для разных подсетей, но она не сможет уберечь вашу сеть от прослушивания трафика.
И причина тому проста - пользователи разных отделов будут оставаться в одном широковещательном домене в рамках коммутатора, хоть подсети будут разными.
Разделение локальной сети с помощью vlan
Для решения данной проблемы используется (Virtual Local Area Network), позволяющая логически разделить физическую сеть на несколько широковещательных не пересекающихся промеж себя доменов, и соответственно, улучшающую безопасность локальной сети. Иными словами, VLAN позволяет осуществлять деление на подсети и создавать отдельные сетевые сегменты на 2-м, канальном, уровне в рамках одного или нескольких физических коммутаторов вашей сети.
Обычно коммутатор передает данные от одного устройства к другому на основании mac-таблицы, которая содержит в себе информацию о и физическом порте, с которого данный mac пришел. При разделении локальной сети с помощью vlan добавляется еще информация о принадлежности к определенному сегменту сети – номер vlan.
Технология VLAN позволяет избавиться от большого количества широковещательного трафика, примером которого являются arp-/dhcp-бродкасты или же мультикаст (multicast), использующийся при передаче видеопотоков. Такой тип трафика «съедает» полезную пропускную способность вашей сети.
Как правильно разбить сеть на vlan?
Рассмотрим, как разделить сеть на подсети с помощью VLAN на базе коммутатора Cisco Catalyst. Имеется два компьютера, подключенные к коммутатору и находящиеся в одном широковещательном домене, а также имеющие ip-адреса в одной сети с одинаковой маской подсети, и как следствие, «видящие» друг друга с . Подключимся с помощью telnet или ssh к консоли коммутатора и посмотрим на конфигурацию vlan.
Здесь видно, что все физические порты коммутатора по умолчанию находятся в vlan 1, соответственно, устройства за ними взаимодоступны.
Чтобы разделить сеть на две подсети, создадим два новых vlan: первый для ПК_1, второй для ПК_2:
Проверим, обновилась ли таблица vlan:
Как видно, оба vlan были созданы и их состояние активно.
Однако физические порты еще не привязаны к этим vlan. Чтобы сделать это, выполним следующую конфигурацию:
Первая строка, следующая за названием физического интерфейса (порта), указывает коммутатору, что данный порт используется в режиме access – то есть принимает только единственный возможный vlan. Существуют еще и trunk-порты, поддерживающие несколько разных vlan с одного физического интерфейса – обычно такой режим используется между коммутаторами или коммутатором и маршрутизатором. Вторая строка указывает, какой именно vlan закреплен за данным физическим портом.
Посмотрим теперь на таблицу vlan:
Как видим, информация обновилась: порт ПК_1 находится в vlan 10, а порт ПК_2 – в vlan 20. Попробуем проверить доступность компьютеров друг относительно друга с помощью утилиты ping теперь:
Итак, после деления на подсети два компьютера (имеющие и одинаковую маску подсети) стали друг для друга недоступны вследствие помещения их разные vlan на коммутаторе.
Таким образом, можно создать уникальные vlan для разных подразделений, поместив необходимые физические порты в каждый из них, разграничив физическую сеть на несколько взаимонедоступных логических сегментов.
Другое дело, если требуется осуществить маршрутизацию между разными подсетями из разных vlan, частично ограничив доступность каждой из них друг для друга. Для этого потребуется установка маршрутизатора, который примет на свой физический интерфейс несколько разных vlan с коммутаторов вашей сети используя технологию TRUNK. В данном случае на маршрутизаторе создаются виртуальные ip-интерфейсы, выступающие в роли шлюзов для подсетей подразделений. На такой ip-интерфейс уже можно добавить ACL (Access control list), выступающий своего рода фаерволом, ограничивающим доступность между подсетями.
