网络设备安装与调试技术 课件 第5章-网络地址规划和远程管理( 华三版-03华三篇)

第5章

网络地址规划和远程管理编著：

秦燊劳翠金

如何合理分配IP地址，做到既够用，又不浪费呢？方法是采用无类地址，不再使用分类地址规定的子网掩码，通过改变子网掩码，将一个大的网络划分成多个小的子网，从而可以更有效的利用有限的IPv4地址空间。下面，先从子网的划分开始学习。划分子网的方法是通过借用IP地址的主机位来充当子网位实现的。5.1子网划分

一、从十进制角度分析子网划分

1.以网络172.0.0.0（子网掩码255.255.0.0）为例，根据子网掩码255.255.0.0可知，该网络IP地址的前2组数172.0是网络位，后2组数是主机位。其中最小的地址172.0.0.0（网络地址）和最大的地址172.0.255.255（广播地址）不能分配给主机，可分配的地址范围是172.0.0.1~172.0.255.254。主机位2组数可容纳256*256=65536个地址，减去2个特殊地址后，可分配地址数为65534。

2.划分子网，将主机位中高位的1组数借给网络位，子网掩码变成了255.255.255.0。借来的1组数用来充当子网位，取值的范围是0~255：第1个子网是172.0.0.0、第2个子网是172.0.1.0、第3个子网是172.0.2.0、……、第256个子网是172.0.255.0。其中，第一个子网的网络位占3组数，即172.0.0；主机位占1组数，取值范围是0~255。IP地址范围是172.0.0.0~172.0.0.255，其中172.0.0.0是网络地址，172.0.0.255是广播地址，172.0.0.1~172.0.0.254是可用地址，数量是256-2=254。第二个子网的网络位占3组数，即172.0.1；主机位占1组数，取值范围是0~255。IP地址范围是172.0.1.0~172.0.1.255，其中172.0.1.0是网络地址，172.0.1.255是广播地址，172.0.1.1~172.0.1.254是可用地址，数量是256-2=254。其余子网类推。

5.1.1固定长度子网划分二、从二进制的角度分析子网划分某分公司网络分配到的网络地址是192.168.1.0（子网掩码255.255.255.0）。该分公司有5个部门，每个部门的主机数不超过28。如何划分子网？1.计算应该借几位主机位用于子网划分从二进制的角度可作更细致的子网划分。该分公司网络未划分子网前的子网掩码是255.255.255.0，即二进制的11111111.11111111.11111111.00000000。其中连续1的部分是网络位，连续0的部分是主机位。8位主机位的变化范围是：00000000~11111111，能容纳的地址数=28=256。划分子网的方法是从8位主机位中，从高到低借用一些连续的位给子网用作子网位。例如若从8位主机位中借3位给子网，剩余5位主机位。借来3位可容纳的子网数=23=8，公司有5个部门，只需要5个子网，子网数符合要求；剩余的5位主机位能容纳的地址数=25=32，变化范围是00000-11111，即0~31，扣除网络地址和广播地址，可用于分配的地址数=32-2=30。公司每个部门不超过28台电脑，加上每个子网需要一个网关，共需要29个地址，小于30，符合案例对每个子网的IP地址数的需求。2.计算每个子网的网络地址、广播地址和地址的范围第1个子网的网络地址是192.168.1.0/27；广播地址是：192.168.1.31；可分配的地址范围是：192.168.1.1~192.168.1.30。该子网广播地址的计算方法如下：子网中最小的地址（即网络地址）+32-1=192.168.1.31。第2个子网的网络地址是192.168.1.32/27；广播地址是192.168.1.63；可分配的地址范围是：192.168.1.33~192.168.1.62。第3个子网的网络地址是192.168.1.64/27；广播地址是192.168.1.95；可分配的地址范围是：192.168.1.65~192.168.1.94。第4个子网的网络地址是192.168.1.96/27，广播地址是192.168.1.127，可分配的地址范围是：192.168.1.97~192.168.1.126。第5个子网的网络地址是192.168.1.128/27，广播地址是192.168.1.159，可分配的地址范围是：192.168.1.129~192.168.1.158。将这5个子网分配给该分公司的5个部门，剩余的地址留作将来扩展之用。5.1.2可变长子网划分

子网的划分在实际应用中比较灵活，采用可变长子网掩码VLSM可将大的子网进一步划分成更小的子网，从而将一个大的网络划分成多个大小不同的子网。例如：某分公司分配到的网络地址是192.168.1.0/24。该分公司有5个部门和1个服务器区，各部门的电脑数分别是：研发部50台，生产部50台，销售部28台，客服部28台，财务部28台，服务器区8台。可变长子网的划分方法如下：1.研发部和生产部电脑数较多，都是50台，加1个网关，需要51个IP地址。（1）如果将网络地址是192.168.1.0/24的8位主机位保留6位，剩2位借用给子网划分用。那么，6位主机位能容纳的IP地址数等于26=64，扣除网络地址和广播地址后，可分配地址数=64-2=62>51，符合研发部和生产部的需求。（2）8位主机位保留6位后，可被子网借用的位数是2位，2位可容纳4个子网。此时子网掩码变成了/26，其中子网192.168.1.0/26分给研发部，子网192.168.1.64/26分给生产部；剩下2个子网192.168.1.128/26和192.168.1.192/26用于进一步的划分给电脑少的3个部门。

思考：主机位保留5位和7位是否符合研发部和生产部的需求？

2.销售部、客服部和财务部电脑数都是28台，加1个网关，需要29个IP地址。（1）如果将子网192.168.1.128/26（或192.168.1.192/26）的6位主机位保留5位，剩1位借给更小的子网划分用。那么，5位主机位能容纳的IP地址数等于25=32，扣除网络地址和广播地址后，可分配地址数=32-2=30>29，符合销售部、客服部和财务部的需求。（2）6位主机位保留5位后，可被更小的子网借用的位数是1位，1位可容纳2个子网。将子网192.168.1.128/26划分成2个更小的子网，其中，192.168.1.128/27分配给销售部，192.168.1.160/27分配给客服部。将子网192.168.1.192/26也划分成2个更小的子网，其中，192.168.1.192/27分配给财务部，剩下的子网192.168.224/27用于进一步划分给服务器区。3.服务器区有8台服务器，加1个网关，需要9个IP地址。（1）如果将子网192.168.224/27的5位主机位保留4位，剩1位借给更小的子网划分用。那么，4位主机位能容纳的地址数等于24=16，扣除网络地址和广播地址后，可分配地址数=16-2=14>9，符合服务器区的需求。（2）5位主机位保留4位后，可被更小的子网借用的位数是1位，1位可容纳2个子网。将子网192.168.224/27划分成2个更小的子网，其中，192.168.1.224/28分配给服务器区，剩下的子网192.168.240/28留作将来扩展之用。路由表过大会占用设备的内存空间、路由条目过多会导致路由寻址的延时。解决这一问题的方法是引入IP路由汇总。下面，首先介绍IP地址汇总，再介绍IP路由汇总。

5.2IP路由汇总1.IP地址汇总与子网划分是借用主机位给网络位相反，地址汇总是借用网络位给主机位、将多个网段汇总成一个网段。例如：192.168.0.0/24、192.168.1.0/24、192.168.2.0/24、192.168.3.0/24这4个网段，用二进制表示分别是：11000000.10101000.00000000.0000000011000000.10101000.00000001.0000000011000000.10101000.00000010.0000000011000000.10101000.00000011.0000000024位的子网掩码255.255.255.0用二进制表示就是：11111111.11111111.11111111.00000000现将24位子网掩码变成22位：11111111.11111111.11111100.00000000根据这个新的子网掩码，将原来4个网段的网络地址的前22位保持不变，其余位置0，得到4个相同的网络地址，这就是汇总后的网络地址：11000000.10101000.00000000.00000000用十进制表示就是192.168.0.0，子网掩码变成了“/22”，即“255.255.252.0”。象这样的多个有类地址汇总成的一个无类地址、多个网络汇总成一个更大的网络称为超网（supernetting），也称无类别域间路由（CIDR），通常用于IP路由汇总。2.IP路由汇总超网可用于IP路由汇总，它能将具有相似网络前缀的多个网络的多条路由条目组合成一条路由条目，从而减小路由表的大小以及路由协议交换的路由更新的大小。如图5-1所示拓扑，若想让R1能ping通所有网段，有两种方法。方法一是：为R1配置四条静态路由，一条去往192.168.4.0/24，下一跳往左走；另外三条路由分别去往192.168.5.0/24、192.168.6.0/24和192.168.7.0/24，下一跳都是往右走。方法二是：为R1配置一条静态路由和一条汇总路由。图5-1三台思科路由器互联的网络拓扑5.2.3华三设备配置IP路由汇总搭建如图5-3所示的拓扑，完成华三设备的IP路由汇总配置。1.R0、R1、R2的基本配置，命令如下：<H3C>system-view//R0的配置[H3C]sysnameR0[R0]interfaceGigabitEthernet0/0//配置R0的接口地址[R0-GigabitEthernet0/0]ipaddress192.168.1.130[R0-GigabitEthernet0/0]quit[R0]interfaceLoopBack0[R0-LoopBack0]ipaddress192.168.4.124[R0-LoopBack0]quit图5-3三台华三路由器互联的网络拓扑<H3C>system-view//R1的配置[H3C]sysnameR1[R1]interfaceGigabitEthernet0/0//配置R1的接口地址[R1-GigabitEthernet0/0]ipaddress192.168.1.230[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress192.168.1.530[R1-GigabitEthernet0/1]quit<H3C>system-view//R2的配置[H3C]sysnameR2[R2]interfaceGigabitEthernet0/0//配置R2的接口地址[R2-GigabitEthernet0/0]ipaddress192.168.1.630[R2-GigabitEthernet0/0]quit[R2]interfaceLoopBack0[R2-LoopBack0]ipaddress192.168.5.124[R2-LoopBack0]quit[R2]interfaceLoopBack1[R2-LoopBack1]ipaddress192.168.6.124[R2-LoopBack1]quit[R2]interfaceLoopBack2[R2-LoopBack2]ipaddress192.168.7.124[R2-LoopBack2]quit2.配置R1的静态路由和路由汇总，命令如下：[R1]iproute-static192.168.4.0255.255.255.0192.168.1.1//配置静态路由[R1]iproute-static192.168.4.0255.255.252.0192.168.1.6//配置路由汇总

3.ping测试在R1上，分别ping192.168.4.1、192.168.5.1、192.168.6.1、192.168.7.1，都能ping通。在中、大规模的网络中，通过搭建DHCP服务器，为客户端自动分配IP地址和缺省网关等网络参数，避免手动配置繁琐且容易出错等问题。路由器、交换机、服务器等都可以提供DHCP服务。下面介绍不同厂商的网络设备配置DHCP服务的方法。5.3IP地址自动分配5.3.3华三设备配置DHCP服务在HCL模拟器中搭建如图5-9所示拓扑，完成华三设备的DHCP服务配置。图5-9华三设备配置DHCP服务的网络拓扑1.R1、R2的IP地址配置，命令如下：<H3C>system-view//R1的配置[H3C]sysnameR1[R1]interfaceGigabitEthernet0/1//R1的IP地址配置[R1-GigabitEthernet0/1]ipaddress192.168.1.124[R1-GigabitEthernet0/1]quit[R1]interfaceGigabitEthernet0/0[R1-GigabitEthernet0/0]ipaddress192.168.12.130[R1-GigabitEthernet0/0]quit<H3C>system-view//R2的配置[H3C]sysnameR2[R2]interfaceGigabitEthernet0/1//R2的IP地址配置[R2-GigabitEthernet0/1]ipaddress192.168.2.124[R2-GigabitEthernet0/1]quit[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]ipaddress192.168.12.230[R2-GigabitEthernet0/0]quit2.R1、R2的静态路由配置，命令如下：[R1]iproute-static192.168.2.024192.168.12.2//R1的静态路由配置[R2]iproute-static192.168.1.024192.168.12.1//R2的静态路由配置3.在R1上开启DHCP服务，为192.168.1.0网段提供自动分配地址的服务，命令如下：[R1]dhcpenable[R1]dhcpserverip-poolpoola//创建DHCP地址池，命名为poola[R1-dhcp-pool-poola]network192.168.1.024//指定网段[R1-dhcp-pool-poola]gateway-list192.168.1.1//指定网关[R1-dhcp-pool-poola]dns-list114.114.114.114//指定DNS服务器地址[R1-dhcp-pool-poola]quit[R1]dhcpserverforbidden-ip192.168.1.1//指定排除地址范围[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]dhcpselectserver//配置为server模式[R1-GigabitEthernet0/1]quit4.在R1上开启DHCP服务，为192.168.2.0网段提供自动分配地址的服务，命令如下：[R1]dhcpserverip-poolpoolb[R1-dhcp-pool-poolb]network192.168.2.024[R1-dhcp-pool-poolb]gateway-list192.168.2.1[R1-dhcp-pool-poolb]dns-list114.114.114.114[R1-dhcp-pool-poolb]quit[R1]dhcpserverforbidden-ip192.168.2.1[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]dhcpselectserver5.R2为192.168.2.0网段的电脑提供DHCP中继，指出为该网段提供DHCP服务的服务器地址为192.168.12.1。命令如下：<R2>system-view[R2]dhcpenable[R2]dhcpenable[R2]interfaceGigabitEthernet0/1[R2-GigabitEthernet0/1]dhcpselectrelay[R2-GigabitEthernet0/1]dhcprelayserver-address192.168.12.16.如图5-10所示，在PC1的配置界面中，“启用”接口管理，选择IPv4配置的“DHCP”选项，并点击“启用”按钮，自动获取地址。图5-10PC1自动获取IP地址的界面7.如图5-11所示，在PC3的配置界面中，让PC3自动获取地址。8.在PC1上pingPC3测试连通性，命令如下：<H3C>ping192.168.2.3//可以ping通图5-11PC3自动获取IP地址的界面网络设备启用远程配置功能后可以被远程操控和配置。常用的远程连接协议有telnet、SSH等。5.4网络设备的远程连接和配置5.4.3华三设备配置telnet一、华三设备无密码的远程telnet连接和配置如图5-18所示，我们在第二章第二节华三设备静态路由实验的基础上，使能远程telnet连接，将VTY远程认证方式设置为“none”,即无需密码建立连接。让网络管理员在PC1上，能对交换机SW2进行远程telnet连接和配置。图5-18华三设备的telnet远程连接拓扑1.如图5-19所示，在VMWare的“编辑”菜单中，选择“虚拟网络编辑器(N)...”选项，在弹出的虚拟网络编辑器中，选中VMnet0虚拟网卡，将其选为“桥接模式”，桥接到的网卡选择“VirtualBoxHost-onlyEhernetAdapter”。图5-19VMWare的“编辑”菜单和虚拟网络编辑器2.如图5-20所示，在连接SW1和PC1（由Host取代）时，选择Host的“NIC:VirtualBoxHost-OnlyEthernetAdaper”虚拟网卡。3.通过VMwareWorkstationPro打开虚拟机Win7，Win7的网卡连接到VMnet0，Win7作为新的PC1是用来取代原来PC1的，以便能更好的运行telnet等命令。4.新PC1的配置与原来的一致，即IP地址为192.168.1.10/24，缺省网关为192.168.1.1。图5-20连接SW1和PC1（由Host取代）5.让PC1能ping通SW2。命令如下：<H3C>system-view[H3C]sysnameSW2[SW2]interfaceVlan-interface1[SW2-Vlan-interface1]ipaddress192.168.4.10024[SW2-Vlan-interface1]quit[SW2]iproute-static0.0.0.00192.168.4.1//为交换机SW2设置缺省网关通过ping测试，可以看到，PC0和SW1可以互相ping通了。6.在交换机SW2上开启允许telnet远程连接管理，命令如下：[SW2]telnetserverenable[SW2]linevty04[SW2-line-vty0-4]protocolinboundtelnet[SW2-line-vty0-4]authentication-modenone[SW2-line-vty0-4]user-rolelevel-15[SW2-line-vty0-4]quit7.测试在VMware虚拟机PC1上，通过telnet命令远程连接管理SW2。（1）如图5-17所示，与华为设备实验一样，开启win7的telnet客户端功能。（2）进入PC1的命令行模式，通过telnet命令远程连接管理SW2。C:\Users\admin>telnet192.168.4.100<SW2>system-view[SW2]//可以正常连接和配置交换机SW2二、华三设备通过密码进行telnet连接和配置在华三设备无密码的远程telnet连接实验的基础上继续以下配置。1.在交换机SW2上开启允许telnet远程连接管理，将“authentication-modenone”改为“authentication-modepassword”，命令如下：[SW2]telnetserverenable[SW2]linevty04[SW2-line-vty0-4]protocolinboundtelnet[SW2-line-vty0-4]authentication-modepassword[SW2-line-vty0-4]setauthenticationpasswordsimple123456[SW2-line-vty0-4]userlevel-15[SW2-line-vty0-4]quit2.在VMware虚拟机PC1上，通过telnet命令远程连接管理SW2。方法如下：（1）开启win7的telnet客户端功能。（2）进入PC1的命令行模式，通过telnet命令远程连接管理SW2。命令如下：C:\Users\admin>telnet192.168.4.100Password://输入密码123456<SW2>system-view[SW2]//可以正常连接和配置交换机SW2。三、华三设备通过账号密码进行telnet连接和配置1.在路由器SW2上创建本地账户admin，配置账户的权限等级分别为15，命令如下：[SW2]local-useradmin//创建本地用户admin[SW2-luser-manage-admin]passwordsimple123456//该用户的密码为123456[SW2-luser-manage-admin]service-typetelnet//指定用户的服务类型为telnet[SW2-luser-manage-admin]authorization-attributeuser-rolelevel-15//指定命令级别为15[SW2-luser-manage-admin]quit2.在路由器SW2上创建本地账户public，配置账户的权限等级分别为1，命令如下：[SW2]local-userpublic[SW2-luser-manage-public]passwordsimple654321[SW2-luser-manage-public]service-typetelnet[SW2-luser-manage-public]authorization-attributeuser-rolelevel-1[SW2-luser-manage-public]quit3.在SW2上启用telnet，认证方式为AAA（scheme），命令如下：[SW2]telnetserverenable[SW2]linevty04[SW2-line-vty0-4]protocolinboundtelnet[SW2-line-vty0-4]authentication-modescheme//采用AAA认证[SW2-line-vty0-4]quit4.进入PC1的命令行模式，通过telnet命令分别用admin和public用户远程登录连接配置SW2。命令如下：C:\Users\admin>telnet192.168.4.100//远程连接SW2Username:admin//此处输入用户名adminPassword:输入123456//此处输入密码123456<SW2>system-view//进入了用户视图，输入命令拟进入系统视图[SW2]quit//进入了系统视图，输入quit命令拟返回用户视图<SW2>quit//返回了用户视图，输入quit命令拟退出telnet连接C:\Users\admin>//返回了DOS提示符C:\Users\admin>telnet192.168.4.100//在DOS命令提示符下重新telnet到SW2Username:public//此处输入用户名publicPassword:输入654321//此处输入密码654321<SW2>system-view//进入了用户视图，输入命令拟进入系统视图。[SW2]save//输入save命令Permissiondenied.//系统提示权限被拒绝，原因是由于public用户的权限等级设置成了1级，无执行该命令的权限。5.5SNMP网络管理

随着网络规模的不断扩大，网络设备的数量和种类不断的增多，为提高效率，有必要这些设备进行统一管理。SNMP正是这样一个可以对不同种类、不同厂商设备进行统一管理的协议。5.5.3华三设备配置SNMP在HCL中搭建如图5-44所示的拓扑。按照“华