《网络攻防(二)汇编》由会员分享,可在线阅读,更多相关《网络攻防(二)汇编(57页珍藏版)》请在金锄头文库上搜索。
1、 网络攻防 袁明宏 (二)网络配置 IP地址配置 为了确保网络上的主机能够正常工作,在为主机配置IP地 址时,应遵守以下原则: 同一物理网络上的所有主机应该采用相同的网络号; 在一个网络中主机号必须是惟一的; 主机号不能为全“1”(主机号为全“1”是广播地址); 主机号不能为全“0”(主机号为全“0”表示网络); 因特网上的网络号必须是惟一的; 网络号不能为全“1”; 网络号不能为全“0”(“0”表示一个本地网); 网络号不能以127开头(127是环回地址)。 子网及子网掩码 一个标准的A类、B类和C类网络可以进一步划分为子网。 子网划分技术能够使单块网络地址横跨几个物理网络,这 样路由器所连
2、接的多个物理网络可以是同属于一个网络的 不同子网。 划分子网的原因: 有效地利用地址空间。 便于进行管理。 可以隔离广播和通信,减少网络拥塞。 出于安全方面的考虑。 由于历史的原因和应用的需要。 划分子网的方法是将IP地址的主机号部分划分成两部分,拿 出一部分来标识子网,另一部分仍然作为主机号。带子网标 识的IP地址结构如下图所示。 划分后IP地址由三部分组成:网络号、子网号以及主机号。 因此,IP地址可以表示为: IP-address := , , 网络号( Network -number) - 主机号(Host-number) 子网号( Subnet-number) 网络号( Networ
3、k -number) 主 机 号(Host-number) 在划分子网后,我们如何知道网络号、子网号以及 主机号的长度呢?为此,TCP/IP采用了子网掩码。 子网掩码是一个32位的二进制数字,指定了子网标 识和主机号的分界点。子网掩码中对应于网络号和 子网号的所有比特都被设为1,而对应于主机号的所 有比特都被设为0。TCP/IP协议使用子网掩码判断 目的主机是位于本地子网,还是位于远程子网。 获得子网地址的方法是将子网掩码和IP地址进行按 位“与”运算。 究竟拿出多少比特作为子网号来标识子网,取决于子网的 数量和子网的规模。 各类网络的主机号的比特数用p表示,如果从p比特主机号 中拿出m比特来
4、划分子网,则剩下n=p-m比特用于标识主 机。 m比特可以标识2m个子网,但一般不建议使用m比特子网 号为全“0”和全“1”的子网,原因是有些路由协议并不同时 发布网络地址和子网掩码。这样,m比特实际可以划分2m -2个可用的子网。 n比特可以标识2n台主机,但n比特为全“0”时用于标识子 网,为全“1”时用于表示子网广播地址。这样,n比特主机 号实际可以标识2n-2台主机。 通常规划一个网络时划分子网的步骤如下: (1)确定需要多少个子网号来惟一标识每一个子网 。 (2)确定需要多少个主机号来标识每个物理网络 ( 子网)上的每台主机。 (3)综合考虑子网数和子网中的主机数后,确定一 个符合要
5、求的子网掩码。 (4)确定标识每个子网的网络号。 (5)确定每个子网上可以使用的主机号的范围。 例:假设已经得到一个B类网络地址160.46.0.0。 要求把整个网络划分成18个不同的子网,该网络的 最大的段要求1800个可供主机寻址的地址。 想要提供18个子网,必须占用主机地址的5比特。 除去子网号为全“0”和全“1”的子网外,5比特可以 提供30个可用的子网(25-2=30)。这样,子网掩 码为:255.255.248.0。每个子网可以容纳的主机 数为211-2=2046,可以满足要求。下表给出了各个 子网的地址、子网中主机IP地址的范围以及子网的 直接广播地址。 A类网络的默认掩码(De
6、fault mask):255.0.0.0 B类网络的默认掩码:255.255.0.0 C类网络的默认掩码:255.255.255.0 引入子网概念后,由于路由器对广播的隔离作用,受 限广播数据被限制在子网中。 针对某一子网的直接广播可以表示为: ,= , , -1 针对某一网络内所有子网的直接广播可以表示为: ,= , -1, -1 在上面所讨论的子网划分中,各个子网的地址空间 是一样大,各个子网的掩码也是一样的。但为了提 高地址空间的利用率,需要将子网进行进一步的划 分,从主机号中再拿出一些比特来划分子网,这就 使得在一个网络中有多个不同规模的子网,每个子 网都有其惟一的子网掩码,这便是可
7、变长子网掩码 VLSM(Variable-Length Subnet Mask)。可变 长子网掩码要求路由器支持子网掩码和路由信息的 同时发布。当系统中的所有路由协议都支持子网掩 码和路由信息的同时发布时,不仅可以使用可变长 子网掩码,全“0”的子网号和全“1”的子网号也可以 使用。 3.3 超网 利用超网技术,可以将C类网络地址块合并为一个大的地址 块。理论上,也可以将多个B类地址块合并为一个更大的地 址块。 超网技术使用与子网技术正好相反的方法,如下图所示,构 造超网时,从网络号中拿出一些比特和主机号拼接在一起形 成新的主机号。 超网号( Supernet-number ) 主机号( Ho
8、st-number ) 网络号( Network -number ) 主 机 号(Host-number) m位 和子网的划分类似,超网通过超网掩码来指 定超网号和主机号的分界点。超网掩码中对 应于超网号的所有比特都被设为1,而对应于 主机号的所有比特都被设为0。与子网划分不 同的是,子网划分是通过增加掩码中“1”的 位数来实现的,而超网划分是通过减少掩码 中“1”的位数来实现的。获得超网地址的方 法也是将超网掩码和IP地址进行按位“与” 运算。 无类地址 通过前面对子网和超网的介绍,我们看到利用掩码 中“1”的位数的增加或减少可以方便地控制网络的规 模。在实际应用中许多单位都只需要很少的IP
9、地址 ,为了方便IP地址的分配和提高IP地址的利用率, 1996年因特网组织机构发布了无类别域间路由CIDR (Classless Interdomain Routing)。 CIDR去掉了A类地址、B类地址和C类地址的概念 ,采用了无类地址的概念,不再由地址的前几个比 特来预先定义网络类别。每一个地址仅仅包含网络 号部分和主机号部分。整个IP地址空间被分割为一 些不同大小的块。每一块对应一个物理网络。 对每个无类地址块的要求: 一个地址块中的地址数。 在一个地址块中的地址数只受一个限制:地 址数必须是2的乘方。 第一个地址。 第一个地址必须能够被地址数整除。 注意:由于IP地址X.Y.Z.0
10、一定是28的整数 倍,X.Y.0.0一定是216的整数倍,X.0.0.0一 定是224的整数倍,因此我们在考察起始地 址是否合法时,可以简化计算过程。当地 址块中的地址数小于28时,只需要考察起始 地址的最后一个字节是否可以被2m整除; 当地址块中的地址数小于216时,只需要考 察起始地址的最后两个字节是否可以被2m 整除;当地址块中的地址数小于224时,只 需要考察起始地址的后三个字节是否可以 被2m整除即可。 无类地址也是利用掩码来划分网络号和主机号的界线 。只要给出了起始地址和掩码,就可以确定整个地址 块。 例如,起始地址为10.126.60.40,掩码为 255.255.255.248
11、的地址块所对应的地址范围是 10.126.60.4010.126.60.47。同样,该地址范围的第 一个地址作为网络地址,最后一个地址作为直接广播 地址。 掩码的点分十进制数表示较复杂,在无类地址中常采 用的一种表示法是斜线表示法(Slash Notation)。斜 线表示法将地址和掩码一起表示出来,其格式为: W.X.Y.Z/n。斜线前面是IP地址,斜线后面是前缀长 度。这里的前缀是指IP地址中的网络号部分,因此前 缀长度是指IP地址中的网络号部分的比特数,也就是 掩码中连续“1”的比特数。 斜线表示法又称为CIDR表示法。斜线表示法中的前 缀长度与掩码是一一对应的,前缀长度与掩码的对应 关
12、系如下表所示。 例子: 例1:给出网络地址为132.21.0.0,试找出地址类别 、地址块和地址的范围。 解:第一个字节在128191之间,因此为B类。这 个地址块的net-id是132.21。地址范围为 132.21.0.0132.21.255.255 例2:给出地址为23.56.7.91,试求开始地址(网络 地址)。 解:默认掩码是255.0.0.0,它表示只有第1个字节 要保留,而其它3个字节都应置为0。因此网络地 址是23.0.0.0。 基256:IP地址 在因特网中使用的一个数制系统是基256。IPv4 地址使用这个基以点分十进制表示一个地址。当 我们定义一个IP地址为131.32.
13、7.8时,我们使用 的是基256的数。用这种基,我们可以使用256种 唯一的符号,但要记住这样多的符号很困难。 IPv4地址的设计者使用0255的十进制数作为符 号,而为了区分开这些符号,就采用了点。点用 来分隔开符号;它标记位置的边界。例如,IPv4 地址131.32.7.8由4个数组成:8、7、32、131, 他们的位置分别在0、1、2、3。 权重 在基256中,每一个权重等于256的乘方,这取决于这个 权重的位置。在位置0的符号的权重是2560,它等于1;在 位置1的符号权重是2561,它等于256;等等。 IP地址到十进制 要把IPv4地址转换为十进制,我们使用权重。我们把每一 个符号
14、乘以它的权重,再把所有加权后的结果都相加起来 。 132 . 17 . 8 . 14 2563 2562 2561 2560 2 214 592 512 1 114 112 2048 14 2 215 708 686 十进制到IP地址 我们使用和十进制转换为二进制一样的技巧,把 十进制地址转换为IPv4地址。唯一的区别是我们 用256而不是2来除这个数。但我们要记住, IPv4 地址有4个位置。这就表示当我们转换IPv4地址时 ,我们必须在找出4个值以后就停止。 例3:下面的哪些地址可以是包含256个地址的块的 开始地址。 a.205.16.37.32 b.190.16.42.0 c.17.1
15、7.32.0 d.123.45.24.52 解:在这种情况下,地址中最右边第一个字节必须 是0。因此只有b和c。 寻找第一个地址 在无分类编址中,前缀长度就是掩码。因为在无 分类编址中地址保证是连续的,而前缀决定了掩 码中1的个数,因此我们可以把掩码和这个地址进 行AND运算,这样就找出了第一个地址。只要保 留前n为,并把其余的位置为0即可。 例4:如果地址块中的一个地址是 167.199.170.82/27,试问这个地址块中的第一个 地址是多少? 解:前缀长度是27,这表示我们必须保留前27位 不变,然后把剩下的5位置为0. 二进制表示的地址: 10100111 11000111 10101
16、010 01010010 保留前27位 10100111 11000111 10101010 01000000 用CIDR记法表示的结果:167.199.170.64/27 找出地址块中的地址数 例5:如果地址中的一个是140.120.84.24/20,试 找出这个地址块中的地址数。 解:前缀长度是20,地址块中的地址数是232-20或 4096。 找出地址块中最后一个地址 方法是把地址块中的地址数与第一个地址相加, 然后再减1,就可以得到最后一个地址。要注意, 之所以要减1是因为第一个地址和最后一个地址都 已经包含在地址数里面了。 例6:如果地址中的一个是140.120.84.24/20,试 找出这个地址块中的最后一个地址。 解:在上一个例子中已经知道第一个地址是 140.120.8
