При организации корпоративных сетей очень важен этап предварительного планирования топологии сети, нагрузки по сегментам сети, расчёт протяжённости кабельной системы, а также затратная часть на сетевую инфраструктуру и серверы, предоставляющие сервис в этой сети. От правильности начального планирования зависит производительность и масштабируемость всей сети в целом и её отдельных компонентов. Ваша сеть скорее всего будет работать по Ethernet, а там, как известно используется протокол обнаружения коллизий. Чем правильнее вы спланируете свою сеть, тем меньше будет этих коллизий и тем лучше будет работать сеть в целом. На стадии планирования вам поможет статья по адресу http://citforum.ru/nets/articles/lso.shtml.
После того, как вы набросали план вашей будущей сети и приобрели необходимое оборудование, нужно распределить адресное пространство. В разделе Настройка сети приводилось несколько ссылок, помогающих разобраться в тонкостях организации подсетей, работе с сетевыми масками и пр. Здесь мы рассмотрим, почему используют подсети при организации корпоративных сетей.
Очень важным является следование RFC1918, которая
регламентирует используемое для построения внутренних сетей
адресное пространство. Напомним, что это блоки адресов:
10.0.0.0/8
для сетей класса A, 172.16.0.0/16
—172.31.0.0/16
для сетей класса
B, 192.168.0.0/16
для
сетей класса C. Здесь после знака /
указана
битовая маска сети. Если вы не будете следовать этим
рекомендациям, то у вас могут возникнуть сложности при подключении сети к
Интернет.
Далее нужно выбрать из перечисленных выше вариантов сетевой
блок, который будет удовлетворять размерам вашей сети. Как
правило, в случае небольшой сети (до 254 машин), выбирают сеть
192.168.0.0/24
. Для
сети масштаба предприятия выбирают сеть класса А.
Введите организацию подсетей: адрес сети класса A может быть разбит на несколько (если не много) отдельных сетей. Управлять каждой отдельной сетью значительно проще.
Это позволяет устанавливать и управлять небольшими сетями — весьма возможно использовать различные технологии организации сетей. Помните, вы не можете смешивать Ethernet, Token Ring, FDDI, ATM и т. п. на одной физической сети, однако они могут быть связаны мостами (bridges).
Другие причины для организации подсетей:
Физическое размещение сайта может быть ограничено длиной кабеля. Ясно, что физическая инфраструктура может быть связана, требуя множественные сети. Организация подсетей позволяет это сделать, используя единственный сетевой номер. Сейчас это обычно делают интернет-провайдеры, которые желают дать своим постоянным клиентам с локальными сетями статические IP-адреса.
Сеть перегружена. Её разбивают на подсети так, чтобы трафик был сосредоточен внутри подсетей, разгружая таким образом всю сеть, без необходимости увеличивать её общую пропускную способность.
Разделение на подсети может быть продиктовано соображениями безопасности, т. к. трафик в общей сети может быть перехвачен. Организация подсетей обеспечивает способ, позволяющий предохранить отдел маркетинга от “сующих нос не в свои дела”.
Имеется оборудование, которое использует несовместимые технологии организации сетей, и есть потребность связать их (как упомянуто выше).
Каждая сеть имеет два адреса, не используемых для сетевых интерфейсов (компьютеров) — сетевой номер сети и широковещательный адрес. Когда вы организуете подсеть, каждая из них требует собственного, уникального IP-адреса и широковещательного адреса, причём они должны быть правильными внутри диапазона адресов сети, которую вы организуете.
Таким образом, разделение сети на две подсети приводит к тому, что образуются два адреса сети и два широковещательных адреса — увеличивается число “неиспользуемых” адресов интерфейсов; создание 4-х подсетей приведёт к образованию 8-и неиспользуемых адресов интерфейсов и т. д.
Фактически, самая маленькая пригодная для использования подсеть состоит из 4 IP-адресов:
Два используются для интерфейсов: один для маршрутизатора в этой сети, другой для единственной машины в этой сети.
Один адрес сети.
Один широковещательный адрес.
Если у вас в подсети один компьютер, то любые сетевые
сообщения должны отправляться в другую подсеть. Этим будет
заниматься маршрутизатор, на котором вы в таблицу маршрутизации
прописываете пути в эти подсети. А на этом единственном компьютере
в подсети вы указываете маршрутизатор как маршрут по умолчанию,
или шлюз. Для того, чтобы маршрутизатор перебрасывал пакеты между
интерфейсами, вам обязательно надо включить форвардинг. Делается
это в файлах /etc/sysconfig/network
и
/etc/sysctl.conf
.
Сетевая маска позволяет разделить сеть на несколько подсетей.
Сетевая маска для сети, не разделённой на подсети — это
просто четвёрка чисел, которая имеет все биты в полях сети,
установленные в 1
и все биты машины,
установленные в 0
.
Таким образом, для трёх классов сетей стандартные сетевые маски выглядят следующим образом:
Класс A | 8 сетевых битов | 255.0.0.0 |
Класс B | 16 сетевых битов | 255.255.0.0 |
Класс C | 24 сетевых бита | 255.255.255.0 |
Способ организации подсетей заимствует один или более из
доступных битов номера хоста и заставляет интерпретировать эти
заимствованные биты как часть сетевых битов. Таким образом, чтобы
получить возможность использовать вместо одного номера подсети
два, мы должны заимствовать один бит машины (крайний левый),
установив его в сетевой маске в 1
.
Для адресов сети класса C это привело бы к маске вида
11111111.11111111.11111111.10000000
или 255.255.255.128
К примеру,
для сети класса C с сетевым номером 192.168.1.0
, есть несколько
случаев:
Число подсетей | Число машин на сеть | Сетевая маска |
---|---|---|
2 | 126 | 255.255.255.128 |
4 | 62 | 255.255.255.192 |
8 | 30 | 255.255.255.224 |
16 | 14 | 255.255.255.240 |
32 | 6 | 255.255.255.248 |
64 | 2 | 255.255.255.252 |
В принципе, нет абсолютно никакой причины следовать вышеупомянутым способам организации подсетей, где сетевые биты добавлены от старшего до младшего бита хоста. Однако, если вы не выберете этот способ, то в результате IP-адреса будут идти в очень странной последовательности! Но в результате, решение, к какой подсети принадлежит IP-адрес, получается чрезвычайно трудным для нас (людей), поскольку мы не слишком хорошо считаем в двоичной арифметике (с другой стороны, компьютеры, с равным хладнокровием, будут использовать любую схему, которую вы им предложите).
Выбрав подходящую сетевую маску, вы должны определить сетевые, широковещательные адреса и диапазоны адресов для получившихся сетей. Учтите, что при увеличении числа подсетей сокращается число доступных адресов для компьютеров. Располагая этой информацией, вы можете назначить адреса машин, сетевые адреса и сетевые маски.
Последним этапом будем считать настройку маршрутизатора.
Статические маршруты в подсети описываются в файле
/etc/sysconfig/static-routes
. Заметьте, что
по умолчанию этого файла нет! Синтаксис записей в файле примерно
такой:
eth1 host 172.16.50.2 eth1 net 0/0 gw 10.255.16.1
Здесь во второй строке для примера нестандартным образом
указан маршрут по умолчанию. Стандартно он оформляется в
файлах-описаниях интерфейсов и
/etc/sysconfig/network
. Напоминаем про
необходимость включения форвардинга. Это можно сделать не
перезагружая систему, дав команду echo "1" > /proc/sys/net/ipv4/ip_forward
Ну и напоследок, не лишней будет настройка на маршрутизаторе межсетевого экрана, подробнее об этом см. раздел Сетевая безопасность.