溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
了解公共和私人IP地址
IP子網劃分概念
IP地址,子網和網關配置
了解CIDR子網掩碼表示法
CIDR概述
廣播域名
IPv6
本書不是對網絡的介紹,但有一些網絡概念需要解決。 對于沒有基本的網絡基礎知識的讀者,我們建議找到更多的介紹性材料,因為本章不會提供所有必要的信息。 IPv6概念將在本章后面的IPv6中介紹。 為了清楚起見,傳統的IP地址被稱為IPv4地址。 除另有說明外,大多數功能都可以使用IPv4或IPv6地址。 通用術語IP地址是指IPv4或IPv6。
OSI模型具有由七層組成的網絡框架。 這些圖層按從低到高的順序排列。 下面解釋了每個級別的簡要信息。 更多信息可以在維基百科中找到(http://en.wikipedia.org/wiki/OSI_model)。
| Layer 1 - 物理層: | |
|---|---|
| 指的是將原始數據傳輸到所有更高層的電纜或光纜。 | |
| Layer 2 - 數據鏈接: | |
| 通常是指以太網或在線路上正在會話的另一個類似的協議。本書通常將第二層稱為以太網交換機或其他相關主題,如ARP和MAC地址。 | |
| Layer 3 - 網絡層: | |
| 用于將數據沿著一個主機到另一個主機的路徑傳遞的協議,例如IPv4,IPv6,路由,子網等。 | |
| Layer 4 - 傳輸層: | |
| 用戶之間的數據傳輸通常是指TCP或UDP或其他類似的協議。 | |
| Layer 5 - 會話層: | |
| 管理用戶之間的連接和會話(通常稱為“對話框”),以及如何正確連接和斷開連接。 | |
| Layer 6 - 表示層: | |
| 處理用戶所需的數據格式之間的任何轉換,如不同的字符集,編碼,壓縮,加密等。 | |
| Layer 7 - 應用層: | |
| 與用戶或軟件應用程序進行交互,包括熟悉的協議,如HTTP,SMTP,SIP等 | |
網絡標準RFC 1918定義了保留的IPv4子網,僅用于私有網絡(表RFC 1918專用IP地址空間)。 RFC 4193為IPv6(RFC 4193唯一本地地址空間)定義了唯一的本地地址(ULA)。 在大多數環境中,RFC 1918的私有IP子網被選擇并用于所有內部網絡設備。 然后通過實施網絡地址轉換(NAT)軟件(如pfSense)的防火墻或路由器將設備連接到Internet。 IPv6通過全球單播地址(GUA)從內部網絡完全路由而無需NAT。 NAT將在網絡地址轉換中進一步解釋。
| CIDR 范圍 | IP 地址范圍 |
|---|---|
| 10.0.0.0/8 | 10.0.0.0 - 10.255.255.255 |
| 172.16.0.0/12 | 172.16.0.0 - 172.31.255.255 |
| 192.168.0.0/16 | 192.168.0.0 - 192.168.255.255 |
| 前綴 | IP 地址范圍 |
|---|---|
| fc00::/7 | fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff |
特殊用途IPv4網絡的完整列表可以在RFC 3330中找到。有一些私有IPv4地址,例如1.0.0.0/8和2.0.0.0/8,這些IPv4地址已經分配給日益縮小的IPv4池。 使用這些地址是有問題的,不建議使用。 此外,避免使用169.254.0.0/16,根據RFC 3927保留“Link-Local”自動配置。 它不應該由DHCP分配或手動設置,并且路由器將不允許來自該子網的數據包在特定的廣播域外傳播。 RFC 1918有足夠的地址空間,所以不需要突破RFC 1918私有IP地址空間中的地址范圍。 不正確的尋址會導致網絡故障,應該予以糾正。
除最大的網絡外,公共IP地址由互聯網服務提供商分配。需要數百或數千個公共IP地址的網絡通常具有直接從其地區互聯網注冊機構(RIR)分配的地址空間。 RIR是一個監督在世界指定地區分配和注冊公共IP地址的組織。
大多數住宅互聯網連接被分配一個公共IPv4地址。大多數業務類連接被分配多個公共IP地址。在許多情況下,單個公共IP地址就足夠了,可以與NAT一起使用,將數百個專用地址系統連接到Internet。這本書將有助于確定所需的公共IP地址的數量。
大多數IPv6部署將使最終用戶至少有一個/ 64前綴網絡用作路由內部網絡。對于每個站點,大致有2 64個IPv6地址或18個地址,完全從Internet上路由而不需要NAT。
除了在RFC 1918中定義的范圍之外,RFC 5735還描述了為其他特殊用途(如文檔,測試和基準測試)保留的IP范圍。 RFC 6598更新了RFC 5735,并為運營商級NAT定義了地址空間。 這些特殊的網絡包括:
| CIDR 范圍 | 目的 |
|---|---|
| 192.0.2.0/24 | 文檔和示例代碼 |
| 198.51.100.0/24 | 文檔和示例代碼 |
| 203.0.113.0/24 | 文檔和示例代碼 |
| 198.18.0.0/25 | 對網絡設備進行基準測試 |
| 100.64.0.0/10 | 電信級NAT空間 |
在整本書中,我們使用了來自上述文檔范圍的地址以及RFC 1918網絡的示例,因為它們對用戶更為熟悉。
有些人發現這些地址昨時用于×××甚至本地網絡。 我們不推薦將它們用于除預定目的以外的任何其他用途,但是它們比RFC 1918網絡更不容易被看到。
在設備上配置TCP / IP設置時,必須指定子網掩碼(或IPv6的前綴長度)。 此掩碼使設備能夠確定本地網絡上的哪些IP地址,以及設備路由表中的網關必須到達哪些IP地址。 默認的LAN IP地址為192.168.1.1,掩碼為255.255.255.0或CIDR表示的/ 24的網絡地址為192.168.1.0/24。
主機的TCP / IP配置由地址,子網掩碼(或IPv6的前綴長度)和網關組成。 IP地址與子網掩碼的結合是主機如何識別本地網絡上的哪些IP地址。本地網絡以外的地址被發送到主機配置的默認網關,它假定將把流量傳遞到所需的目的地。此規則的一個例外是指示設備聯系通過本地連接的路由器可達的特定非本地子網的靜態路由。網關和靜態路由的列表保存在每個主機的路由表上。
在典型的pfSense部署中,主機會在pfSense設備的LAN范圍內分配一個IP地址,子網掩碼和網關。 pfSense上的LAN IP地址成為默認網關。對于通過LAN以外的接口連接的主機,請使用適用于設備連接的接口的相應配置。
一個網絡中的主機直接相互通信,而不需要默認網關的參與。這意味著沒有防火墻(包括pfSense)可以控制網段內的主機到主機的通信。如果需要此功能,則需要通過使用多個交換機,VLAN來分割主機,或使用PVLAN等同等交換機功能。虛擬局域網(VLAN)涵蓋VLAN。
在配置地址和網絡時,pfSense使用CIDR(Classless Inter-Domain Routing,也叫無類別域間路由,它消除了傳統的A類、B類和C類地址以及劃分子網的概念,因而可以更加有效地分配IPv4的地址空間。它可以將好幾個IP網絡結合在一起,使用一種無類別的域際路由選擇算法,使它們合并成一條路由從而較少路由表中的路由條目減輕Internet路由器的負擔。)表示法,而不是通用子網掩碼255.x.x.x。 請參閱下表CIDR子網表:查找十進制子網掩碼的CIDR值。
| 子網掩碼 | CIDR 前綴 | 總IP地址數 | 可用的IP地址數 | 24網絡的數量 |
|---|---|---|---|---|
| 255.255.255.255 | /32 | 1 | 1 | 1/256th |
| 255.255.255.254 | /31 | 2 | 2* | 1/128th |
| 255.255.255.252 | /30 | 4 | 2 | 1/64th |
| 255.255.255.248 | /29 | 8 | 6 | 1/32nd |
| 255.255.255.240 | /28 | 16 | 14 | 1/16th |
| 255.255.255.224 | /27 | 32 | 30 | 1/8th |
| 255.255.255.192 | /26 | 64 | 62 | 1/4th |
| 255.255.255.128 | /25 | 128 | 126 | 1 half |
| 255.255.255.0 | /24 | 256 | 254 | 1 |
| 255.255.254.0 | /23 | 512 | 510 | 2 |
| 255.255.252.0 | /22 | 1024 | 1022 | 4 |
| 255.255.248.0 | /21 | 2048 | 2046 | 8 |
| 255.255.240.0 | /20 | 4096 | 4094 | 16 |
| 255.255.224.0 | /19 | 8192 | 8190 | 32 |
| 255.255.192.0 | /18 | 16,384 | 16,382 | 64 |
| 255.255.128.0 | /17 | 32,768 | 32,766 | 128 |
| 255.255.0.0 | /16 | 65,536 | 65,534 | 256 |
| 255.254.0.0 | /15 | 131,072 | 131,070 | 512 |
| 255.252.0.0 | /14 | 262,144 | 262,142 | 1024 |
| 255.248.0.0 | /13 | 524,288 | 524,286 | 2048 |
| 255.240.0.0 | /12 | 1,048,576 | 1,048,574 | 4096 |
| 255.224.0 0 | /11 | 2,097,152 | 2,097,150 | 8192 |
| 255.192.0.0 | /10 | 4,194,304 | 4,194,302 | 16,384 |
| 255.128.0.0 | /9 | 8,388,608 | 8,388,606 | 32,768 |
| 255.0.0.0 | /8 | 16,777,216 | 16,777,214 | 65,536 |
| 254.0.0.0 | /7 | 33,554,432 | 33,554,430 | 131,072 |
| 252.0.0.0 | /6 | 67,108,864 | 67,108,862 | 262,144 |
| 248.0.0.0 | /5 | 134,217,728 | 134,217,726 | 1,048,576 |
| 240.0.0.0 | /4 | 268,435,456 | 268,435,454 | 2,097,152 |
| 224.0.0.0 | /3 | 536,870,912 | 536,870,910 | 4,194,304 |
| 192.0.0.0 | /2 | 1,073,741,824 | 1,073,741,822 | 8,388,608 |
| 128.0.0.0 | /1 | 2,147,483,648 | 2,147,483,646 | 16,777,216 |
| 0.0.0.0 | /0 | 4,294,967,296 | 4,294,967,294 | 33,554,432 |
注意
使用/ 31網絡是RFC 3021定義的特殊情況,其中子網中的兩個IP地址可用于點對點鏈接以節省IPv4地址空間。 并非所有操作系統都支持RFC 3021,所以請謹慎使用。 在不支持RFC 3021的系統上,子網不可用,因為子網掩碼定義的唯一兩個地址是空路由和廣播,并且沒有可用的主機地址。
pfSense 2.3.4-RELEASE-p1支持使用/ 31網絡接口和虛擬IP地址。
當轉換為二進制時,CIDR值來自子網掩碼中的數字。
常見的子網掩碼255.255.255.0是二進制的11111111.11111111.11111111.00000000。 這加起來有24個,因此是/24。
子網掩碼255.255.255.192是二進制的11111111.11111111.11111111.11000000,或者26個,因此是/ 26。
除了指定子網掩碼之外,CIDR還可以用于IP或網絡匯總目的。 CIDR子網表中的“總IP地址”列指出給定CIDR掩碼總結了多少個地址。 出于網絡匯總的目的,“24網絡數量”列是有用的。 CIDR匯總可用于pfSense Web界面的多個部分,包括防火墻規則,NAT,虛擬IP,IPsec和靜態路由。
可以包含在單個CIDR掩碼中的IP地址或網絡被稱為“CIDR可匯總的”。
在設計網絡時,確保在特定位置使用的所有專用IP子網都是CIDR可匯總的。 例如,如果在一個位置需要三個/ 24子網,則應使用子網劃分為四個/ 24網絡的一個/ 22網絡。 下表顯示了與子網10.70.64.0/22一起使用的四個/ 24個子網。
| 10.70.64.0/22 分成24網絡 |
|---|
| 10.70.64.0/24 |
| 10.70.65.0/24 |
| 10.70.66.0/24 |
| 10.70.67.0/24 |
這使通過使用專用WAN線路或×××連接到另一個物理位置的多站點網絡的路由更易于管理。 使用CIDR可匯總的子網,一個路由目標覆蓋每個位置的所有網絡。 沒有它,每個位置有幾個不同的目標網絡。
可以在subnetmask.info網站上找到的網絡計算器進行CIDR計算。
計算器從點分十進制轉換為CIDR掩碼,反之亦然,如圖下圖所示。 如果本章提供的CIDR子網表不可用,可以使用此工具將CIDR前綴轉換為點分十進制表示法。 輸入CIDR前綴或點分十進制掩碼,然后單擊相應的計算按鈕以查找轉換。
子網掩碼轉換
在Network/Node Calculator(網絡/節點計算器)部分輸入十進制掩碼和IP地址, 點擊Calculate, 在下面就會顯示計算的結果。 在本例子中,網絡地址是10.70.64.0/22,可用的/ 24網絡是64到67。本表中的術語“Broadcast Address(廣播地址)”是指該范圍內的最高地址。
Network/Node Calculator(網絡/節點計算器)
別名支持格式為x.x.x.x-y.y.y.y的IPv4地址范圍。 對于網絡類型別名,IPv4范圍將自動轉換為等效的CIDR塊。 對于主機類型別名,范圍將轉換為IPv4地址列表。
如果不需要完全匹配,則可以將數字輸入到Network/Node Calculator(網絡/節點計算器)進行計算。
廣播域是共享同一個第2層網段的網絡部分。在沒有VLAN的單個交換機的網絡中,廣播域就是整個交換機。在沒有使用VLAN的多個互連交換機的網絡中,廣播域包括所有這些交換機。
單個廣播域可以包含多個IPv4或IPv6子網,但是,這通常不被認為是良好的網絡設計。應通過使用單獨的交換機或VLAN將IP子網隔離到不同的廣播域中。例外是在單個廣播域內運行IPv4和IPv6網絡。這就是所謂的雙堆棧,它是一種常用且有用的技術,它為主機使用IPv4和IPv6連接。
廣播域可以通過將兩個網絡接口橋接在一起進行組合,但是在這種情況下必須小心避免交換機環路。對于某些沒有組合廣播域但具有相同凈效應的協議,也可以通過代理,例如將DHCP請求轉發到另一個接口上的廣播域的DHCP中繼。
翻譯自pfsense book!
2017-11-11
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
