网络设备安装与调试技术 课件 第5章-网络地址规划和远程管理( 华三版-01基础篇 )

第5章

网络地址规划和远程管理编著：

秦燊劳翠金

如何合理分配IP地址，做到既够用，又不浪费呢？方法是采用无类地址，不再使用分类地址规定的子网掩码，通过改变子网掩码，将一个大的网络划分成多个小的子网，从而可以更有效的利用有限的IPv4地址空间。下面，先从子网的划分开始学习。划分子网的方法是通过借用IP地址的主机位来充当子网位实现的。5.1子网划分

一、从十进制角度分析子网划分

1.以网络（子网掩码）为例，根据子网掩码可知，该网络IP地址的前2组数172.0是网络位，后2组数是主机位。其中最小的地址（网络地址）和最大的地址55（广播地址）不能分配给主机，可分配的地址范围是~54。主机位2组数可容纳256*256=65536个地址，减去2个特殊地址后，可分配地址数为65534。

2.划分子网，将主机位中高位的1组数借给网络位，子网掩码变成了。借来的1组数用来充当子网位，取值的范围是0~255：第1个子网是、第2个子网是、第3个子网是、……、第256个子网是。其中，第一个子网的网络位占3组数，即172.0.0；主机位占1组数，取值范围是0~255。IP地址范围是~55，其中是网络地址，55是广播地址，~54是可用地址，数量是256-2=254。第二个子网的网络位占3组数，即172.0.1；主机位占1组数，取值范围是0~255。IP地址范围是~55，其中是网络地址，55是广播地址，~54是可用地址，数量是256-2=254。其余子网类推。

5.1.1固定长度子网划分二、从二进制的角度分析子网划分某分公司网络分配到的网络地址是（子网掩码）。该分公司有5个部门，每个部门的主机数不超过28。如何划分子网？1.计算应该借几位主机位用于子网划分从二进制的角度可作更细致的子网划分。该分公司网络未划分子网前的子网掩码是，即二进制的11111111.11111111.11111111.00000000。其中连续1的部分是网络位，连续0的部分是主机位。8位主机位的变化范围是：00000000~11111111，能容纳的地址数=28=256。划分子网的方法是从8位主机位中，从高到低借用一些连续的位给子网用作子网位。例如若从8位主机位中借3位给子网，剩余5位主机位。借来3位可容纳的子网数=23=8，公司有5个部门，只需要5个子网，子网数符合要求；剩余的5位主机位能容纳的地址数=25=32，变化范围是00000-11111，即0~31，扣除网络地址和广播地址，可用于分配的地址数=32-2=30。公司每个部门不超过28台电脑，加上每个子网需要一个网关，共需要29个地址，小于30，符合案例对每个子网的IP地址数的需求。2.计算每个子网的网络地址、广播地址和地址的范围第1个子网的网络地址是/27；广播地址是：1；可分配的地址范围是：~0。该子网广播地址的计算方法如下：子网中最小的地址（即网络地址）+32-1=1。第2个子网的网络地址是2/27；广播地址是3；可分配的地址范围是：3~2。第3个子网的网络地址是4/27；广播地址是5；可分配的地址范围是：5~4。第4个子网的网络地址是6/27，广播地址是27，可分配的地址范围是：7~26。第5个子网的网络地址是28/27，广播地址是59，可分配的地址范围是：29~58。将这5个子网分配给该分公司的5个部门，剩余的地址留作将来扩展之用。5.1.2可变长子网划分

子网的划分在实际应用中比较灵活，采用可变长子网掩码VLSM可将大的子网进一步划分成更小的子网，从而将一个大的网络划分成多个大小不同的子网。例如：某分公司分配到的网络地址是/24。该分公司有5个部门和1个服务器区，各部门的电脑数分别是：研发部50台，生产部50台，销售部28台，客服部28台，财务部28台，服务器区8台。可变长子网的划分方法如下：1.研发部和生产部电脑数较多，都是50台，加1个网关，需要51个IP地址。（1）如果将网络地址是/24的8位主机位保留6位，剩2位借用给子网划分用。那么，6位主机位能容纳的IP地址数等于26=64，扣除网络地址和广播地址后，可分配地址数=64-2=62>51，符合研发部和生产部的需求。（2）8位主机位保留6位后，可被子网借用的位数是2位，2位可容纳4个子网。此时子网掩码变成了/26，其中子网/26分给研发部，子网4/26分给生产部；剩下2个子网28/26和92/26用于进一步的划分给电脑少的3个部门。

思考：主机位保留5位和7位是否符合研发部和生产部的需求？

2.销售部、客服部和财务部电脑数都是28台，加1个网关，需要29个IP地址。（1）如果将子网28/26（或92/26）的6位主机位保留5位，剩1位借给更小的子网划分用。那么，5位主机位能容纳的IP地址数等于25=32，扣除网络地址和广播地址后，可分配地址数=32-2=30>29，符合销售部、客服部和财务部的需求。（2）6位主机位保留5位后，可被更小的子网借用的位数是1位，1位可容纳2个子网。将子网28/26划分成2个更小的子网，其中，28/27分配给销售部，60/27分配给客服部。将子网92/26也划分成2个更小的子网，其中，92/27分配给财务部，剩下的子网192.168.224/27用于进一步划分给服务器区。3.服务器区有8台服务器，加1个网关，需要9个IP地址。（1）如果将子网192.168.224/27的5位主机位保留4位，剩1位借给更小的子网划分用。那么，4位主机位能容纳的地址数等于24=16，扣除网络地址和广播地址后，可分配地址数=16-2=14>9，符合服务器区的需求。（2）5位主机位保留4位后，可被更小的子网借用的位数是1位，1位可容纳2个子网。将子网192.168.224/27划分成2个更小的子网，其中，24/28分配给服务器区，剩下的子网192.168.240/28留作将来扩展之用。路由表过大会占用设备的内存空间、路由条目过多会导致路由寻址的延时。解决这一问题的方法是引入IP路由汇总。下面，首先介绍IP地址汇总，再介绍IP路由汇总。

5.2IP路由汇总1.IP地址汇总与子网划分是借用主机位给网络位相反，地址汇总是借用网络位给主机位、将多个网段汇总成一个网段。例如：/24、/24、/24、/24这4个网段，用二进制表示分别是：11000000.10101000.00000000.0000000011000000.10101000.00000001.0000000011000000.10101000.00000010.0000000011000000.10101000.00000011.0000000024位的子网掩码用二进制表示就是：11111111.11111111.11111111.00000000现将24位子网掩码变成22位：11111111.11111111.11111100.00000000根据这个新的子网掩码，将原来4个网段的网络地址的前22位保持不变，其余位置0，得到4个相同的网络地址，这就是汇总后的网络地址：11000000.10101000.00000000.00000000用十进制表示就是，子网掩码变成了“/22”，即“”。象这样的多个有类地址汇总成的一个无类地址、多个网络汇总成一个更大的网络称为超网（supernetting），也称无类别域间路由（CIDR），通常用于IP路由汇总。2.IP路由汇总超网可用于IP路由汇总，它能将具有相似网络前缀的多个网络的多条路由条目组合成一条路由条目，从而减小路由表的大小以及路由协议交换的路由更新的大小。如图5-1所示拓扑，若想让R1能ping通所有网段，有两种方法。方法一是：为R1配置四条静态路由，一条去往/24，下一跳往左走；另外三条路由分别去往/24、/24和/24，下一跳都是往右走。方法二是：为R1配置一条静态路由和一条汇总路由。图5-1三台思科路由器互联的网络拓扑搭建如图5-1所示的拓扑，完成思科设备的IP路由汇总配置。1.路由器R0、R1、R2的基本配置，命令如下：Router>enable//R0的配置Router#configureterminalR0(config)#intgigabitEthernet0/0//配置R0的接口地址R0(config-if)#ipaddress52R0(config-if)#noshutdownR0(config-if)#exitR0(config)#interfaceloopback0R0(config-if)#ipaddressRouter>enable//R1的配置Router#configureterminalR1(config)#interfacegigabitEthernet0/0//配置R1的接口地址R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config-if)#exit5.2.1思科设备配置IP路由汇总Router>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacegigabitEthernet0/0//配置R2的接口地址R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceloopback0R2(config-if)#ipaddressR2(config-if)#intloopback1R2(config-if)#ipaddR2(config-if)#intloopback2R2(config-if)#ipadd2.配置R1的静态路由和路由汇总，命令如下：R1(config)#iproute//配置静态路由R1(config)#iproute//配置路由汇总3.在R1上ping、、、，都能ping通。

5.3.1思科设备配置DHCP服务在中、大规模的网络中，通过搭建DHCP服务器，为客户端自动分配IP地址和缺省网关等网络参数，避免手动配置繁琐且容易出错等问题。路由器、交换机、服务器等都可以提供DHCP服务。下面介绍不同厂商的网络设备配置DHCP服务的方法。5.3IP地址自动分配如图5-4所示，在PacketTracer模拟器中搭建拓扑。（PacketTracer8.2的DHCP中继实验效果不佳）图5-4思科设备配置DHCP服务的网络拓扑

1.R1、R2的基本配置，命令如下：Router>enable//R1的配置Router#configureterminalRouter(config)#hostnameR1R1(config)#interfacefastEthernet0/0//配置R1的接口地址R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config)#interfacefastEthernet0/1R1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config-if)#exitRouter>enable//R2的配置Router#configureterminalRouter(config)#hostnameR2R2(config)#interfacefastEthernet0/1//配置R2的接口地址R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacefastEthernet0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config-if)#exit

2.R1、R2的静态路由配置，命令如下：R1(config)#iproute//R1的静态路由配置R2(config)#iproute//R2的静态路由配置3.将R1配置为DHCP服务器，为网段和网段的电脑提供自动分配地址的服务。命令如下：R1(config)#servicedhcpR1(config)#ipdhcppoolpoolaR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server14R1(dhcp-config)#exitR1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolpoolbR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server14R1(dhcp-config)#exitR1(config)#ipdhcpexcluded-address4.配置R2为网段的电脑提供DHCP中继，指向为该网段提供DHCP服务的服务器地址。命令如下：R2(config)#interfacefastEthernet0/0R2(config-if)#iphelper-address5.如图5-5所示，在PC1的Desktop选项夹的IP配置界面选择“DHCP”选项自动获取地址。

5-5PC1自动获取IP地址的界面6.如图5-6所示，在PC3的Desktop选项夹的IP配置界面选择“DHCP”选项自动获取地址。7.PC1pingPC3测试，命令如下：PC>ping//可以ping通

5-6PC3自动获取IP地址的界面5.4.1思科设备配置telnet网络设备启用远程配置功能后可以被远程操控和配置。常用的远程连接协议有telnet、SSH等。5.4网络设备的远程连接和配置如图2-9中，网络管理员在PC0上，对交换机SW2进行远程telnet连接和配置。图2-9思科路由器配置静态路由的拓扑1.让PC0能ping通SW2。命令如下：Switch>enableSwitch#configureterminalSwitch(config)#hostnameSW2SW2(config)#interfacevlan1SW2(config-if)#ipaddress00SW2(config-if)#noshutdownSW2(config)#ipdefault-gateway2.在交换机SW2上开启允许telnet远程连接管理，命令如下：SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#nologin//无需密码建立连接SW2(config-line)#privilegelevel15//将登陆用户的级别设为15SW2(config-line)#exit3.在PC0上，通过telnet命令远程连接管理SW2，命令如下：C:\>telnet00SW2#//成功远程连接到了SW2的特权模式4.在PC0上，使用telnet的默认级别1远程连接SW2并切换到特权模式的过程如下：（1）为SW2设置特权模式密码，命令如下：SW2(config)#enablepassword654321//将特权模式密码设为654321（2）在PC0上使用telnet远程连接SW2并切换到特权模式的命令如下：C:\>telnet00//使用telnet远程连接SW2SW2>enable//在SW2的用户模式输入enable命令切换到特权模式Password://输入密码“654321”SW2#//成功切换到SW2的特权模式二、思科设备通过密码进行telnet连接和配置在“思科设备无密码的远程telnet连接和配置”实验的基础上，将VTY远程认证方式由“nologin”更换为“login”,并为远程连接设置密码，让网络管理员在PC0上，能通过密码认证的方式对交换机SW2进行远程telnet连接和管理。1.在交换机SW2上开启允许通过密码进行telnet远程连接管理。SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#password123456//设置远程连接时使用的密码SW2(config-line)#login//设置远程连接时需要密码验证SW2(config-line)#exitSW2(config)#enablepassword654321//设置特权模式密码2.在PC0上，通过telnet命令远程连接管理SW2C:\>telnet00Password://此处输入telnet密码123456SW2>enable//成功远程连接到了SW2的用户模式，输入enable命令准备切换到特权模式Password://此处输入特权模式密码654321SW2#//成功远程切换到SW2的特权模式三、思科设备通过账号密码进行telnet连接和配置在“思科设备通过密码进行telnet连接和配置”实验的基础上，将VTY远程认证方式由“login”改为“loginlocal”，并为远程连接创建用户名和密码。让网络管理员在PC0上，能通过账号和密码认证后对交换机SW2进行远程telnet连接和管理。1.在交换机SW2上开启允许通过账号和密码进行telnet远程连接管理。SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#loginlocal//设置远程连接时需要进行本地用户和密码验证SW2(config-line)#exit2.创建本地用户admin，赋予第15级命令权限。SW2(config)#usernameadminpassword123//设置远程连接时使用的用户名和密码SW2(config)#usernameadminprivilege15//设置远程连接时用户权限的级别3.创建本地用户public，赋予第1级命令权限。SW2(config)#usernamepublicpassword456SW2(config)#usernamepublicprivilege1SW2(config)#enablepassword654321//设置特权模式密码4.在PC0上，通过telnet命令远程连接管理SW2C:\>telnet00//远程连接SW2Username:admin//此处输入用户名adminPassword://此处输入密码123SW2#//由于用户admin的权限是15级，所以直接进入了特权模式SW2#exit//退出telnet，返回DOS提示符C:\>telnet00//在DOS命令提示符下重新telnet远程连接SW2Username:public//此处输入用户名publicPassword://此处输入密码456SW2>//由于public的权限是1级，所以进入的是用户模式SW2>enable//输入enable命令，准备切换到特权模式Password://此处输入特权模式密码654321SW2#//成功切换到了SW2的特权模式四、思科设备通过AAA本地认证进行telnet连接和配置AAA是网络安全中进行访问控制的一种安全管理机制，三个字母A分别代表了认证（Authentication）、授权（Authorization）和计费（Accounting）。AAA认证模式分为本地认证和基于服务器的认证。下面采用之前的实验拓扑，介绍思科设备开启AAA本地认证进行telnet连接的方法：1.IP地址等基本配置同前。2.启用AAA本地认证，命令如下：SW2(config)#aaanew-model//全局启用AAASW2(config)#aaaauthenticationlogindefaultlocal//认证时调用默认列表default，认证方式为本地（local）。3.创建本地用户admin，命令如下：SW2(config)#usernameadminpassword123//设置远程连接时使用的用户名和密码4.设置特权模式密码，命令如下：SW2(config)#enablesecret456参数secret表示密码经过MD5加密保存，若改用参数password则密码以明文方式保存。5.在交换机SW2上设置通过配置线（Console线）连接设备时查询的本地认证列表。命令如下：SW2(config)#lineconsole0SW2(config-line)#loginauthenticationdefault//可省略，请参看第7点的分析6.通过配置线再次连接SW2时，会提示如下：Username:admin//输入用户名adminPassword://输入密码123SW2>//成功进入设备的用户模式7.在交换机SW2上开启允许通过账号和密码进行telnet远程连接管理。命令如下：SW2(config)#linevty04SW2(config-line)#transportinputtelnetSW2(config-line)#loginauthenticationdefault//可省略因为VTY和Console在执行认证时会自动查询名为default的本地默认列表，而之前我们开启AAA认证时，选用的就是本地默认列表default，所以此处命令可以省略。SW2(config-line)#exit8.在PC0上，通过telnet命令远程连接管理SW2，命令如下：C:\>telnet00//远程连接SW2Username:admin//此处输入用户名adminPassword://此处输入密码123SW2>enable//成功进入用户模式，用命令切换到特权模式Password://此处输入密码456SW2#//成功进入了特权模式5.5.1思科设备配置SNMP一、基于CiscoPacketTracer配置SNMP如图5-21所示，在PacketTracer中搭建拓扑，实现在思科设备上配置SNMP。5.5SNMP网络管理图5-21基于CiscoPacketTracer配置SNMP的拓扑

随着网络规模的不断扩大，网络设备的数量和种类不断的增多，为提高效率，有必要这些设备进行统一管理。SNMP正是这样一个可以对不同种类、不同厂商设备进行统一管理的协议。1.R1的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddressR1(config-if)#noshutdown2.R1的SNMP配置，命令如下：R1(config)#snmp-servercommunity123roR1(config)#snmp-servercommunity321rw3.如图5-22所示，在PC1中，点击Desktop选项夹的IPConfiguration选项，为PC1配置IP地址。图5-22PC1的IP地址配置4.如图5-23所示，在PC1中，先点击Desktop选项夹的MIBBrowser选项，再点击“Advanced...”按钮，在出现的“Advanced”对话框中，输入R1的IP地址，保留端口号161不变，输入读团体名为123和写团体名321，点击“OK”按钮。图5-23PC1的MIBBrowser配置5.如图5-24所示，展开MIB树，按SNMPMIBs/MIBTree/router_stdMIBs/.iso/.org/.dod/.internet/.mgmt/.mib-2/.system的路径找到.sysName。选择“Get”操作选项后，点击“GO”按钮。在结果栏中，可以看到读取到的路由器的主机名为“R1”。图5-24展开PC1的MIBBrowser的MIB树6.设置路由器主机名为Router1。方法如图5-25所示，保持选中的刚才的MID路径上的.sysName，操作选项选种点击Set，在弹出的“SNMPset”窗口中输入打算设置新路由器主机名“Router1”，点击OK按钮。可以看到原来的“R1”值会变为“Router1”。图5-25在PC1的MIBBrowser中设置路由器的主机名二、基于EVE-NG配置SNMP1.如图5-26所示，在EVE-NG中搭建拓扑。添加Node设备两台：一台“CiscovIOSRouter”和一台“CiscovIOSSwitch”，分别命名为R1和SW1；添加Network云一朵：名称设为“Net1”，Type选择“Cloud1”，用于关联VMware虚拟机Win7。图5-26基于EVE-NG配置SNMP的拓扑图2.如图5-27所示是EVE-NG实验平台页面中Network云的“Type”类型，指示了CLoud云编号。图5-27EVE-NG实验平台页面中Net1云的“Type”类型如图5-28所示是VMware中的“VMnet”编号（可按需增删和调整顺序）。Cloud云编号与VMnet编号的对应关系如下：管理平台用的Cloud0对应VMnet6，连接虚拟机用的Cloud1对应VMnet1、Cloud2对应VMnet2、依此类推。图5-28VMware中的“VMnet”编号3.将VMware虚拟机Win7与云Cloud1关联4.如图5-29所示，在VMware虚拟机Win7中，打开“控制面板”/“系统和安全”/“Windows防火墙”/“自定义配置”，关闭防火墙。图5-29在VMware虚拟机Win7的“控制面板”中关闭防火墙5.路由器R1的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddressR1(config-if)#noshutdown6.路由器R1的SNMP配置，命令如下：[R1]snmp-agent[R1]snmp-agentsys-infoversionv1//版本为1[R1]snmp-agentcommunityread123//只读团体名为123[R1]snmp-agentcommunitywrite321//读写团体名为321[R1]snmp-agentsys-infocontact"QinSir"//联系人为“QinSir”[R1]snmp-agentsys-infolocation"GuangXi"//位置为“GuangXi”7.如图5-30所示，在虚拟机Win7中，打开SNMPB，点击Options菜单的ManageAgentProfiles...选项。8.如图5-31所示，在AgentProfiles窗口的左侧空白处，右击鼠标，选择“Newagentprofile”选项。图5-30虚拟机Win7的SNMPB配置图5-31Win7的SNMPB配置中AgentProfiles窗口9.如图5-32所示，在新出现的newagent的Name栏中，写入被管代理（路由器）的名称“R1”，在AgentAddress/Name栏中，写入被管代理（路由器）的IP地址，在SupportedSNMPVersion栏中，勾选