第 8-3 章 子網路簡介(IP基礎與定址) (CCNA考試重點) Private IP (私用IP) NAT (Network Address Translator) CIDR ( Supernet,超網路) 無等級(不分級)的 IP 位址 不均等切割子網路(VLSM, Variable-Length Subnet Mask ) 聖約翰科大網路位址 資訊網路 第 8-3 章
IP位址不足的解決方案 網路位址轉譯(Network Address Translation,NAT)和 私用IP(Private IP) 不分級(無等級)領域間之路徑選擇(Classless Inter-Domain Routing,CIDR) 屬CCNP範圍 可變長度網路遮罩(Variable Length Subnet Mask,VLSM) 第6版IPv6 有較長的IP位址,共128位元 資訊網路 第 8-3 章
Private IP (私用IP) 級別 私用IP 範圍 IP總數 1 x 224 個 IP 16 x 216 個 IP 216 個 IP 10.0.0.0 1 個 Class A 10.0.0.0 ~ 10.255.255.255 1 x 224 個 IP B級 172.16~31.0.0 16 個 Class B 172.16.0.0 ~ 172.31.255.255 16 x 216 個 IP C級 192.168.0.0 256 個 Class C 192.168.0.0 ~ 192.168.255.255 216 個 IP 資訊網路 第 8-3 章
Private IP(私用IP)的使用 私用IP不可以連接到網際網路 在公用的網際網路上,路由器不會對私用位址提供服務 適用時機: 應用程式僅需在一個網路內部連接通訊,不需與外部連接 例如: 銀行使用TCP/IP來連接自動提款機(ATM) 這些ATM並未連接到公用的網路,所以私用的位址很適用 跨行提款、轉帳怎麼辦呢? 使用私用IP,再配合網路位址轉譯(Network Address Translation,NAT)伺服器,就可連到公用網路上 私用IP的指定方式和一般公用IP一樣 固定IP 從【動態分配IP的伺服器】(DHCP Server)取得 資訊網路 第 8-3 章
NAT (Network Address Translator) 技術 1994 年發表,解決 IP 位址不足 傳統NAT(Classic NAT),功能比較單純 現在 NAT依實作與應用可分成 3 類: 靜態 NAT(Static NAT): 一個私用 IP 位址對應一個固定的合法(公用) IP 位址 私用 IP 位址和合法 IP 位址的數量相同 例如:10 個私用 IP 位址對應 10 個合法 IP 位址 通常為了安全需求會故意這麼做 動態 NAT(Dynamic NAT) NAPT(Network Address Port Translation) 資訊網路 第 8-3 章
動態 NAT(Dynamic NAT) 動態 NAT(Dynamic NAT): 一個私用 IP 位址對應一個不固定的合法 IP 位址 使用環境: 大家都有上網需求, 但很少會同時上網 例如:業務部門的 20 位成員都要上網,但全部到齊且同時上網的機率很低 只給他們 15 個 IP 位址 每位成員的電腦上網時,先向 NAT 主機取得一個對應的合法 IP 位址 此合法 IP 位址並非固定,可能每次拿到的都不一樣 一旦這 15 個合法 IP 位址用盡 後續同樣要求對應合法 IP 位址的電腦便無法上網 資訊網路 第 8-3 章
NAPT(Network Address Port Translation) 改良動態的NAT 作法: 記錄連接埠(Port)編號 讓多個私用 IP 位址共用一個合法 IP 位址 不會因為合法 IP 位址不夠而無法上網 目前絕大多數裝置所提供的 NAT 功能都是 NAPT 也被稱為IP 偽裝(IP Masquerade) 資訊網路 第 8-3 章
網路位址轉譯(NAT)的運作架構圖 NAT 主機有兩張網路卡: 使用私用 IP 位址的網路卡 使用合法 IP 位址的網路卡 可以是虛擬網路卡 軟體所模擬的網路卡,非實體的網路卡 一般只要一張網路卡就可做到 NAT 功能 例: Windows Vista 建立 ADSL 連線 自動產生 WAN Miniport 網路卡 該網路卡就是軟體模擬網路卡 ISP 配發的合法 IP 位址給 WAN Miniport 網路卡,而非實體的網路卡 啟用Windows Vista 的網際網路連線共用(ICS, Internet Connection Sharing)功能,相當於啟用 NAT 功能 系統內部會做好私用IP 位址與合法 IP 位址之間的轉換工作 資訊網路 第 8-3 章
網路位址轉譯(NAT)的運作方式 使用私人 IP 位址的電腦,對外傳送 IP 封包: 從外界接收IP 封包: 資訊網路 第 8-3 章
NAT判斷 IP 封包該送給那一台電腦 當許多電腦的私人位址都對應到同一個合法 IP 位址時,NAT如何判斷那個 IP 封包該送給那一台電腦呢? 藉由用戶端 TCP / UDP 連接埠號碼來判斷 只有使用 TCP / UDP 協定的應用程式才能透過網路位址轉譯與外界連線 資訊網路 第 8-3 章
NAT存取Web伺服器的運作圖示 例: 向 Internet 的 Web 伺服器要求網頁資料,說明連接埠在NAT 扮演的腳色 IP 封包含以下資訊: 目的地 IP 位址 = 203.74.253.1 (Web 伺服器) 目的地連接埠 = 80 (Web 伺服器預設的連接埠) 來源 IP 位址 = 192.168.0.200 (用戶端) 來源連接埠 = 5000 (用戶端應用程式自行使用的連接埠) 經由 IP 路由機制此封包會傳送到 NAT 主機 步驟二:NAT 主機收到用戶端的要求 使用NAT 連接埠,對應用戶端的 IP 位址與來源連接埠 即NAT 連接埠為6000,對應到 192.168.0.200:5000 產生新封包: 目的地 IP 位址 = 203.74.253.1 (沒變) 目的地連接埠 = 80 (沒變) 來源 IP 位址 = 63.192.168.1 (從用戶端變為 NAT 主機) 來源連接埠 = 6000 (NAT 自行產生,對應用戶端原始的 IP 位址與連接埠) Port=5000 Port=6000 Port=80 資訊網路 第 8-3 章
NAT存取Web伺服器的運作說明 步驟三:Web 伺服器傳回網頁資料 步驟四:NAT 主機收到傳回的資料 封包含以下的資訊: 目的地 IP 位址 = 63.192.168.1 (NAT 主機) 目的地連接埠 = 6000 來源 IP 位址 = 203.74.253.1 (Web 伺服器) 來源連接埠 = 80 步驟四:NAT 主機收到傳回的資料 發現目的地連接埠 6000 對應到 192.168.0.200 的 IP 位址與 5000 這個連接埠 產生新封包,傳送到用戶端: 目的地 IP 位址 = 192.168.0.200 (從 NAT 主機變成用戶端) 目的地連接埠 = 5000 (用戶端應用程式使用的連接埠編號) 來源 IP 位址 = 203.74.253.1 (沒變) 來源連接埠 = 80 (沒變) Port=5000 Port=6000 Port=80 資訊網路 第 8-3 章
網路位址轉譯的注意事項 網路位址轉譯使用上的限制: 無法使用某些加密協定 增加伺服器的運算負擔 外界主動存取時,設定較為複雜 IP 封包經過某些加密協定 (如 IPSec) 加密 NAT無法辨識加密過的 IP 封包內容,也就無法處理這些封包的轉譯遞送程序 增加伺服器的運算負擔 網路位址轉譯需持續記錄、追蹤 TCP / UDP 連接埠號碼與特定私人 IP 的對應關係 若許多使用私人 IP 位址的電腦同時連上網路,會消耗伺服器不少的資源 外界主動存取時,設定較為複雜 先前NAT應用皆是內部網路的電腦主動與網際網路上的電腦連線 NAT對出去的封包記下來源位址與連接埠號碼 當網際網路的電腦回覆時,NAT便能將此回覆封包送到正確的主機與連接埠 當網際網路的電腦主動要存取內部網路的電腦 由於沒有記錄可查詢, NAT主機無法判斷該將封包送給誰,便丟棄此封包 資訊網路 第 8-3 章
外界主動存取的設定 若要在內部網路架設伺服器,需在NAT主機手動設定轉譯機制 例:Web伺服器 IP 位址是 192.168.0.100,使用TCP 8080 連接埠 NAT 主機設定: 若收到要與 TCP 80 連接埠建立連線的封包,一律轉送到192.168.0.100 這部主機的 TCP 8080 連接埠 Port=8080 資訊網路 第 8-3 章
無等級(不分級)的 IP 位址 3 種等級 IP 位址分配方式產生一些問題: 解決方法: 最嚴重的是 Class B 的 IP 位址面臨缺貨的危機 Class B 很多位址空間被浪費掉 例如:B 企業需要 1500 個 IP 位址 Class C 位址只能供 256 個 IP 位址 必須分配 Class B 的網路位址給此 B 企業 Class B 可提供 65536 個 IP 位址 多出的 IP 位址無法再分配給其他企業使用,都浪費掉 Class C 使用的數量則僅是緩慢成長 解決方法: Classless Inter-Domain Routing (CIDR) 資訊網路 第 8-3 章
CIDR (又稱為超網路, Supernet) CIDR (Classless Inter-Domain Routing ): 利用無等級 (Classless) 的 IP 位址劃分方式 不分級領域間之路徑選擇 由RFC1519協定所規範,期望短期內暫時解決IP不足的問題 數個 Class C IP 位址合併,分配給原先申請 Class B 的企業 例如:只要分配 6 至 7 個 Class C 的 IP 位址給先前的 B 企業 便可符合其需求,節省1個 Class B 位址空間 如何合併數個 Class C 的 IP 位址: 使用子網路遮罩定義具彈性的網路位址 CIDR又稱為超網路 (Supernet) 與子網路算是一體的兩面,兩者使用相同的觀念與技術,只是在應用上略有不同 注意: TCP/IP不支援合併網路遮罩: 使用時需注意所有相連的路由設備均可使用 並已經啟動無等級(classless)路由協定 資訊網路 第 8-3 章
CIDR與子網路的應用差異 CIDR(合併網路)不屬於CCNA考試範圍: CIDR (合併網路)與子網路(分割網路)的差異: 包括在CCNP的ACRC(Advanced Cisco Router Configuration)範圍內 CIDR (合併網路)與子網路(分割網路)的差異: 子網路:分割子網路(Subnet) : 定義:把一個預設大小的網路分成幾個範圍較小的網路 利用子網路遮罩重新定義較長的網路位址 將現有網路切割成 2、4、8等 2 冪方數子網路 CIDR:合併網路(超網路,Supernet ): 定義:把幾個預設大小的網路合併成一個較大的網路 利用子網路遮罩重新定義較短的網路位址 將現有 2、4、8等2冪方數網路,合併成一個網路 資訊網路 第 8-3 章
合併網路的限制 合併網路 : 透過變更網路位址長度來進行,有以下的限制: 用來合併的 Class C 的網路位址必然是連續的 資訊網路 第 8-3 章
CIDR(合併網路)實例一 例: B 企業需要1500 個 IP 位址 數量介於 Class B (65535 個 IP 位址) 與 Class C (255 個 IP 位址) 的範圍 B 企業需 1500 個 IP 位址: 210=1024 < 1500 < 211=2048 主機位址有11位 網路位址有 32 - 11 = 21 Bits CIDR :分配一個長度為 21 Bits 的網路位址給 B 企業 Class C 預設子網路遮罩為 24位 網路遮罩合併位數為 24-21= 3 將23= 8 個 Class C 的 IP 位址合併,再分配給 B 企業 由 203.74.200.0 開始到 203.74.207.0 共 8 個 Class C 位址空間要合併 表示為 203.74.200.0/21 資訊網路 第 8-3 章
CIDR (合併網路)實例二 例如:某公司需要用到500個IP 由192.168.20.0與192.168.21.0 兩個C級網路組成的總數512個IP可滿足需求 但依照預設C級子網路遮罩,這兩個C級網路屬不同網路 無法直接溝通,需使用路由器來轉送 須將這兩個C級網路合併成一個較大網路: 預設C級子網路遮罩/24,預設主機欄位 H = 32-24 = 8 主機位數 28 = 256 個IP ,不夠用 預設主機欄位向左邊預設網路欄位借ㄧ位 主機欄位 H = 32-23 = 9 共有 29 = 512個IP,其中可用IP有 29 -2 = 510個,夠用 新的子網路遮罩變成/23255.255.1111 1110.0=255.255.254.0 新的C級合併網路範圍: 新子網路遮罩 255.255.1111 1110.0/23 192.168.20.0 192.168.0001 0100.0 網路位址 192.168.0001 0100.0=192.168.20.0 廣播位址 192.168.0001 0101.255=192.168.21.255 新的C級合併網路範圍:從192.168.20.0到192.168.21.255 新網路表示成192.168.20.0/23 資訊網路 第 8-3 章
CIDR的應用情形 CIDR 原先是為合併 Class C 位址所設計,實作上可適用於任何的 IP 位址範圍 例如:ISP 分配長度為 30 Bits 的網路位址給一些只有兩部電腦的個人公司 目前皆是以 CIDR 的方式來劃分 IP 位址範圍 提供CIDR的路由器啟動: 可使用全部的子網路,不必扣除最前及最後兩個子網路 許多專家都預測 IPv4 的 32 Bits 位址空間將於西元 2000 年用盡。所幸新的技術不斷誕生,為 IPv4 爭取更長的壽命 資訊網路 第 8-3 章
均等切割子網路 & 不均等切割子網路(VLSM) 均等切割子網路: 先前分割子網路的方法,皆是均等分割成大小相同的子網路 符合RFC1058的網路規範 缺點:造成浪費IP,不符合經濟效益 不均等切割子網路: 又稱可變長度網路遮罩( Variable-Length Subnet Mask , VLSM ) 原則:不同的子網路使用不同的網路遮罩 不符合RFC1058的網路規範 不能使用RIP路由協定 EIGRP和OSPF路由協定則可使用 資訊網路 第 8-3 章
不均等切割子網路(VLSM)範例一 台北 高雄 新竹 台南 台中 範例一:某公司總部在台北,分公司在新竹、台中、台南及高雄,配置如下圖: 300 60 30 80 100 共需10個子網路: 1. 各地各一個區域網路: 5 個子網路 2. 兩兩互連的 5 個子網路 資訊網路 第 8-3 章
不均等切割子網路(VLSM)範例一 -解法一:均等分割子網路 台北 新竹 台中 台南 高雄 300 60 30 80 100 各地配置電腦數不同,使用均等分割子網路 造成IP浪費或不夠分配 連接兩地的網路 : 只需2個IP來指定給連線兩端,中間不需接任何節點,無須IP 例如:以172.20.0.0/20,均等分割處理 ∵ 總部需300個IP, 28 < 300 < 29,H = 9 32 – 9 =23,所以新子網路遮罩為/23 網路由 /20 切為 /23, N=3,共分為 23 = 8個子網路 但可用子網路只有 8-2=6 個,無法應付10個子網路的需求 要分出10個子網路:23 < 10 < 24,N=4 23 - 4= 19,需要/19的網路,而現有網路為/20,需購買 /19 的網路 但是/19的網路,H=32-19=13,有 2H = 213 = 8192個節點 5×2(5個端點)+300+100+80+60+30=580個IP 實際上公司只要580個IP 卻買一個擁有8192個節點的子網路 且每一子網路可接節點數為 2H= 29 = 512個節點,用於5個連線端點上,浪費5×(512-2) 資訊網路 第 8-3 章
不均等切割子網路(VLSM)範例一 -解法二:不均等分割子網路 台北 新竹 台中 台南 高雄 300 60 30 80 100 例如:以172.20.0.0/20,不均等分割處理 ∵ 總部需300個IP, 28 < 300 < 29,H = 9 32 – 9 =23,所以子網路遮罩為/23 網路由 /20 切為/23, N=3,共分為 23 = 8個子網路 可用子網路有 8-2=6 個 每一子網路可接節點數為 2H= 29 = 512個節點,1段(512)先給總部用,還剩5段(512) 再將另一段(512),分為4個子網路,亦即再借2位做遮罩,23+2=25,新遮罩為 /25,N=2,可用子網路有 22 -2=2 個, H=32-25= 7,每一子網路可接節點數為 2H= 27 = 128個節點 剛好一段給高雄(100),另一段給台南(80),還剩4段(512) 再將另一段(512),分為8個子網路,亦即再借3位做遮罩,23+3=26,新遮罩為 /26 ,N=3,可用子網路有 23 -2=6 個, H=32-26= 6,每一子網路可接節點數為 2H= 26 = 64個節點 一段給新竹(60),另一段給台中(30) ,還剩4段(64)可用,另還剩3段(512) ∵連線端點的子網路只需2個IP,所以使用/30的遮罩即可 取一段/26子網路,再借位成/30,N=4,可用子網路有 24 -2=14 個,其中 5 個用於連接兩地的網路 資訊網路 第 8-3 章
VLSM 範例一 -解法二:不均等分割子網路圖示 X 172.20.0.0/20 ,借3位,遮罩為/23 台 北 172.20.2.0/23 172.20.4.0/23 高 雄 172.20.4.128/25 南 172.20.5.0/25 172.20.6.0/23 新 竹 172.20.6.64/26 中 172.20.6.128/26 172.20.6.192/26 1 2 3 4 5 1= 172.20.6.196/30 2= 172.20.6.200/30 3= 172.20.6.204/30 4= 172.20.6.208/30 5= 172.20.6.212/30 資訊網路 第 8-3 章
VLSM 範例二 6 範例二:某公司使用6個路由器連接網路,如下圖 1 2 3 4 5 其中,1 ~ 5的路由器各有26個使用者 192.168.100.0,使用不均等分割子網路的方法,請賦予各網路IP號碼 1 2 3 4 5 6 共需10個子網路: 1.路由器1~5 : 5 個子網路 2.路由器6接到其他路由器 :兩兩互連的 5 個子網路 資訊網路 第 8-3 章
1 2 3 4 5 6 VLSM範例二 -解答:不均等分割子網路 26個使用者,∵ 24 <26< 25 ,H=5,32-5=27 ,需/27網路遮罩 192.168.100.0的預設子網路遮罩為/24,由/24到/27共借 3位 可用子網路23 -2=6個 有5個分別用於1 ~ 5路由器的區域網路( 26個使用者) 第6個再細分為/30,由/27到/30又借 3位,可用子網路23 -2=6個 有5個分別用於1 ~ 5路由器通往6號路由器的網路 第6個子網路剩下未用 資訊網路 第 8-3 章
VLSM範例二 -解答:不均等分割子網路圖示 X 192.168.100.0/24 ,借3位,遮罩為/27 192.168.100.192/27 1= 192.168.100.32/27 2= 192.168.100.64/27 3= 192.168.100.96/27 4= 192.168.100.128/27 5= 192.168.100.160/27 1 2 3 4 5 192.168.100.192/30 1-6= 192.168.100.196/30 2-6= 192.168.100.200/30 3-6= 192.168.100.204/30 4-6= 192.168.100.208/30 5-6= 192.168.100.212/30 192.168.100.216/30 資訊網路 第 8-3 章
VLSM範例三 H 範例三:A、B、C、D、E、H均為路由器,且各有區域網路的使用者,如下圖 請使用VLSM,且不用CIDR的情況下,推算需多大的網路大小,始可容納全部的需求 A E D C B H 150 100 95 80 120 200 共需11個子網路: 1. 各地各一個區域網路: 6 個子網路 2. 兩兩互連的 5 個子網路 資訊網路 第 8-3 章
VLSM範例三 -解法一:不均等分割子網路 A E D C B H 150 100 95 80 120 200 VLSM範例三 -解法一:不均等分割子網路 路由器 H : 有200個使用者,∵ 27 <200< 28 ,H=8,32-8=24,需/24網路遮罩 路由器 A : 有100個使用者,∵ 26 <100< 27 ,H=7,32-7=25,需/25網路遮罩 路由器 B : 有150個使用者,∵ 27<150< 28,H=8,32-8=24,需/24網路遮罩 路由器 C: 有80個使用者,∵ 26 <80< 27 ,H=7,32-7=25,需/25網路遮罩 路由器 D : 有120個使用者,∵ 26 <120< 27 ,H=7,32-7=25,需/25網路遮罩 路由器 E : 有95個使用者,∵ 26 <95< 27 ,H=7,32-7=25,需/25網路遮罩 連接端: 需5條,需/30網路遮罩 P.S. 以最多使用者為準,遮罩用 /24,因為需11條網路 24 -2 = 14,N=4 ,符合此需求,24-4=20,所以需 /20 的網路 資訊網路 第 8-3 章
VLSM範例三 -解法一:不均等分割子網路圖示 不用CIDR,需用/20的網路 X /20 ,借4位,遮罩為/24 H A B C D E /24 /30 為何A、C、D、E也用遮罩/24? 因為若從/24再切為/25,只能多增加2個子網路 且不使用CIDR,首尾兩段不能用,等於白切了! 資訊網路 第 8-3 章
VLSM範例三 -解法二:不均等分割子網路+合併網路 另一解法使用/21的網路,再借4位, 則可分成 24 -2 = 14條子網路,21+4=25,遮罩為/25,主機H=32-25=7,2H= 27 =128 再將其中四個分兩組合併為兩個/24給H和B用 X /21 ,借4位,遮罩為/25 H A B C D E /25 /30 /24 資訊網路 第 8-3 章
VLSM 2範例三 -解法三:不均等分割子網路+CIDR 若使用CIDR(Supernet,超網路): 可直接使用/21的網路,借3位, 23 = 8條子網路,21+3=24,遮罩/24,H=32-24=8,2H= 28 =256 6 段給A、B、C、D、E、H的區域網路用 1 段再細分,用遮罩/30,亦即再借6位,26 = 64條子網路,給路由器與路由器間的連線使用 資訊網路 第 8-3 章
聖約翰網路位址 163.21.x.x class B 預設子網路遮罩 255.255.0.0 借位切割子網路: 新子網路遮罩255.255.11111110.0 = 255.255.254.0 163.21.x.x 被切成 27個子網路 可用子網路為27 – 2 = 128-2=126 主機H=32-23=9,2H= 29 =512 其中資管系分得 163.21.78.x 163.21.79.x 資管系的網路位址 163.21.78.0 資管系的廣播位址 163.21.79.255 子網路遮罩 255.255.254.0 預設通訊閘道位址: 可用IP中的163.21.79.254 除廣播位址外的最後一個位址 資訊網路 第 8-3 章
Summary(一) 已知IP位址和子網路遮罩,應能夠判斷下列資訊: 這個子網路的子網路位址 這個子網路的廣播位址 這個子網路的主機位址範圍 這個子網路遮罩所容許的最大子網路數目 這個子網路的主機數目 子網路位元數和斜線數字的編號 這個子網路編號(即為子網路位址) 資訊網路 第 8-3 章
Summary(二) 各級網路的使用情形大致如下: A級位址: 美國國防部,和大型研究機關如史丹福大學,和大型電話公司如AT&T使用 B級位址: 中型規模公司和學術機關如各大學使用 C級位址: 開放供所有其他單位,如.com的公司或個人使用 資訊網路 第 8-3 章
Summary(三) 子網路遮罩(Subnet Mask)和IP位址的格式一樣,它們都是32位元,分成4個位元組,而以點式十進位格式表示 32位元的子網路遮罩在網路位元部份全都是1,而在主機位元部份則全都是0 若要建立子網路位址,網路管理者可從原來的主機欄位中借出位元,並將其標示為子網路欄位 借位時最少需借2個位元,最多可借多少位元因網路級別而有所不同,只要最少保留二位元作為主機號碼即可 子網路遮罩和 IP同樣重要 設定網路參數、網路組態時,如果子網路遮罩沒有設對,網路就不通 資訊網路 第 8-3 章
網路遮罩 (Netmask)參考網址 有關網路遮罩 (Netmask) 的介紹可以參考下列網址: http://www.johnscloset.net/cgi/dictionary.pl?Netmask 資訊網路 第 8-3 章