第16章 IP子网分与流量监控.docVIP

第16章　IP子网划分与流量监控 在TCP/IP体系结构中，IP协议属于网络层。网络层的功能是控制路由，确定信息传递的路径。路由是根据32位IP地址来决定的。IP地址至少可以分为两部分，分别用于标识网络和设备。作为IP编址策略的扩充，通常还会将设备部分进一步划分出子网部分，从而形成Internet层次化编址方案。层次化是组织和管理大规模复杂事物的最基本的方法，如图书、行政、物种、学科、邮政等等的组织和管理采用的都是层次化树形结构。 路由器的转发工作是基于网络的：与接收接口属于相同网络的分组不转发，否则要进行转发。那么如何确定两个IP地址是否属于同一个网络呢？答案是使用一个称为网络掩码（或子网掩码）的位屏蔽地址指示器。在二进制表示的网络掩码中，网络地址部分为连续全1，设备地址部分为连续全0。子网掩码告知路由器，地址的哪一部分是网络地址，哪一部分是主机地址，从而使路由器能够正确判断任意IP地址是否与接收接口在同一网段，从而正确地进行路由和转发。实际运算方法是：将一个IP地址和相应的子网掩码进行按位的“与”运算可以得到其网络地址标识，和网络掩码的反码进行按位的“与”运算可以得到其设备地址标识。对于路由器来说，在判断一个IP地址是否与接收接口IP地址属于相同网络时，分别用这两个IP地址与路由器接收接口的网络掩码进行按位的“与”运算，若运算的结果相同则表明两个IP地址属于相同的网络，否则，表示它们属于不同的网络。对于主机来说，判断方法是相同的，只是判断结果说明的是两个IP地址是否属于相同的LAN网段。需要注意的是，不正确的子网掩码配置会导致两种运行问题。一种是应该转发时却没有转发，数据包将在本子网内循环，直到超时被抛弃，数据不能正确到达目的主机，导致网络传输错误；另一种是本来属于同一子网内的主机之间的通信被当作是跨网传输，数据包都交给缺省网关处理，增加了缺省网关的负担，造成网络效率下降。所以，子网掩码不能任意设置。 在最初的分类地址方案中，网络掩码是确定的，A类、B类和C类地址的网络掩码分别为255.0.0.0、255.255.0.0和255.255.255.0，或分别表示为/8、/16和/24。可以看出，分类地址并不属于层次编址方案。这不仅使得这种地址在使用时不够灵活，而且更为严重的是这种地址方案对网络地址的消耗很快，并造成路由表规模快速增长，相应造成路由设备对系统和网络资源的需求以及所造成的负荷更快增长，工作效率快速下降。为此，编址方法转变为使用变长子网掩码（VLSM，Variable Length Subnet Mask）和无类别域间路由（CIDR，Classless InterDomain Routing），从而可以形成层次化的路由方案。使用层次化路由方案，不仅降低了IP地址的消耗速度，而且通过尽可能的地址汇聚而急速降低了路由表的规模，相应地，路由器对系统和网络资源的需求和造成的负荷减少了，工作效率也得以极大得提高。 16.1　IP子网划分 16.1.1IP子网划分的策略 当从ISP或上级管理部门获得一组可自主分配使用的连续的IP地址块后，通常不能简单无规划地按需要或申请顺序直接进行分配使用，而是要根据通信流量和性能的考虑将IP地址中作为设备地址的部分进一步规划出网络层次，以更好地使用这些IP地址，这个过程就称为IP子网划分。除了减少网络流量和提高网络性能的考虑以外，简化网络的管理和维护、扩大网络通信的地理范围等也是进行IP子网划分的原因。概念“IP子网划分”和“网络规划”很容易被混淆。网络规划的目的是将一个大的网络划分为若干较小的网络，通过网关将它们连接起来，形成易于组织、管理和维护的层次化网络运行结构。 由于IP子网划分是借用设备地址位中最高的连续若干位转用作标识子网的网络地址位，从而将原来的设备地址划分到各个层次化的子网中，因此，用于标识子网的地址位数越多，相应标识设备的地址位数就越少，也就是说，每个子网中可容纳的设备地址就越少。在进行IP子网划分时，首先考虑的问题应该是网络流量和网络性能问题，即网络不宜划分得过粗而由于流量饱和造成网络性能下降。在此前提下，网络也不宜划分得过细而使得管理复杂化。一般来说，一个子网中的节点数太多，网络会因为广播通信而饱和，所以，网络中的主机数量的增长是有限的，也就是说，在条件允许的情况下，会将更多的主机位用于子网位。另外，由于设备地址为全0或全1的IP地址被保留用于代表网络地址和网络广播地址，不能被分配作为设备地址来使用，所以，还有两点必须明确： （1）用作网络标识的地址位最多只能为30位（即设备地址位至少要保留2位）。 （2）借位时最少要借用2位。 下面通过两个例子来说明在子网划分过程中确定网络地址位和主机地址位时应该注意的一些问题。 示例1：给定一个1个C类IP地址块：192.168.1