概述
IP地址由网络号和主机号两部分组成,网络号的最高位必须是“0”,IP地址和子网掩码求“与”算出网络地址,只有网络地址相同才可直接通信,否则需要借助路由。
主机标识段为全1的IP地址为广播地址, 广播数据包不经过路由器,只能在同一子网内部广播,UDP的广播地址为255.255.255.255。
子网中第一个地址为网络地址,最后一个地址为广播地址,这两个地址是不能配置在计算机主机上。根据网络号的不同,IP地址划分为ABCED五类。
子网掩码为何叫“掩码”?因为它能遮掩(同IP地址求与)IP地址的主机号部分,从而得到网络号(或网络地址)。
1) 以
inet 10.49.126.98 netmask 255.255.255.192 broadcast 10.49.126.127
为例:
10.49.126.98的二进制:
00001010.00110001.01111110.01100010
255.255.255.192的二进制:
11111111.11111111.11111111.11000000
10.49.126.98的网络地址为与子网掩码255.255.255.192的“与”:
00001010.00110001.01111110.01000000
即:
10.49.126.64
“10.49.126.64”即为网络地址,该子网可有多少主机?
“00001010.00110001.01111110.01000000”最后一个1后的0为主机部分,这里一共6个0,即2的6次方,值为64,减去网络地址和广播地址,所以可用主机数为62个。
2) 以
inet 10.223.25.101 netmask 255.255.255.192 broadcast 10.223.25.127
为例:
10.223.25.101的二进制:
00001010.00110001.01111110.01100101
10.223.25.101的网络地址为与子网掩码255.255.255.192的“与”:
00001010.00110001.01111110.01000000
即:
10.49.126.64
因此10.223.25.101和10.49.126.98可直接通信。
3) 以
inet 9.25.130.171 netmask 255.255.255.192 broadcast 9.25.130.191
为例:
9.25.130.171的二进制:
00001001.00011001.10000010.10101011
9.25.130.171的网络地址为与子网掩码255.255.255.192的“与”:
00001001.00011001.10000010.10000000
即:
9.25.130.128
因此9.25.130.171和10.49.126.98不可直接通信,需要添加路由。
主机地址10.240.85.2/16中的数字16为子网掩码的缩写(CISCO表示法),16代表16个1,即:11111111.11111111.00000000.00000000,因此16就是255.255.0.0。
inet 10.240.85.2 netmask 255.255.255.192 broadcast 10.240.85.63
10.240.85.2 => 00001010.11110000.01010101.00000010
255.255.255.192 => 11111111.11111111.11111111.11000000
网段:
00001010.11110000.01010101.00000000
即:
10.240.85.0
故可表示为:
10.240.85.0/26
问题1:192.168.1.0/26和192.168.1.64/26是否可直接通信?
26 => 11111111.11111111.11111111.11000000
192.168.1.0 => 11000000.10101000.00000001.00000000
192.168.1.64 => 11000000.10101000.00000001.01000000
192.168.1.0的网段为:
11000000.10101000.00000001.00000000
即:
192.168.1.0
192.168.1.64的网段为:
11000000.10101000.00000001.01000000
即:
192.168.1.64
两个的网段不同,故不能直接通信。
问题2:192.168.1.0/26可容纳多少个IP?
26等于11111111.11111111.11111111.11000000,那么剩下的只有111111(6个1),十进制值为63,因此192.168.1.0/26可容纳64个IP(包含一个网段地址和一个广播地址)。
题1:对于C类地址,子网掩码为255.255.255.248,则能提供的子网数为多少?
248的二进制值为11111000,而二进制值11111的十进制值为31,因此可提供的子网数为30个。
题2:某公司申请到一个C类地址,但要连接6个子公司,最大的一个子公司有26台电脑,每个子公司在一个网段中,则子网掩码应设为多少?
26的二进制值为11010,因此网络掩码为:11111111.11111111.11111111.11100000,即255.255.255.224。
题3:地址190.233.27.13/16的网络部分地址是什么?
190.233.27.13 => 10111110.11101001.00011011.00001101
16 => 11111111.11111111.00000000.00000000
190.233.27.13和16求“与”得到:
10111110.11101001.00000000.00000000
即网络部分地址是190.233.0.0。
题4:一个子网网段地址为5.32.0.0,掩码为255.224.0.0的网络,它允许最大的地址是?
255.224.0.0 => 11111111.11100000.00000000.00000000
5.32.0.0 => 00000101.00100000.00000000.00000000
该网段的广播地址(同255.224.0.0求“与”后的值为5.32.0.0):
00000101.00111111.11111111.11111111
即:
5.63.255.255
因此最大IP地址为5.63.255.254
题5:一个C类地址192.168.5.0,进行子网规划,要求每个子网有10台主机,怎样设置子网掩码?
192.168.5.0 => 11000000.10101000.00000101.00000000
10 => 1010
那么子网掩码可设置为:
11111111.11111111.11111111.11110000
即255.255.255.240
附1:查看路由表命令
ip route
或
route -n
附2:iptables的简单应用
可以修改/etc/rc.d/boot.local让规则重启后也能生效,如:
/sbin/iptables -F
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -j DROP
/sbin/iptables -A INPUT -i eth0 -p udp -j DROP
iptables是一个链的方式从前往后判断,如果前面的规则成立就不会往后继续,所以要注意顺序,一般每行对应一条规则。
-A是Append意思,也就是追加
-I是Insert意思,也就是插入
-F表示清除(即删除)掉已有规则,也就是清空。
查看已有的规则,执行命令:iptables -L -n --line-numbers
如(参数-L为list意思,-n表示以数字方式显示IP和端口,不指定-n则显示为名称,如:http即80端口):
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
从可以看到:iptables有三种规则链(Chain),即INPUT、OUTPUT和FORWARD。
INPUT 用于指定输入规则,比如外部是可以访问本机的80端口
OUTPUT 用于指定输出规则,比如本机是否可以访问外部的80端口
FORWARD 用于指定端口转发规则(相当于rinetd功能),比如将8080端口的数据转到到80端口
-I和-A需要指定链(Chain)名,其中-I的链名后还需要指定第几条(行)规则。
可通过-D参数删除规则,有两种删除方式,一是匹配模式,二是指定第几条(行)。
也可以通过-R参数修改已有规则,另外-L参数后也可以跟链(Chain)名,表示只列出指定链的所有规则。
-j参数后跟的是动作,即满足规则时执行的操作,可以为ACCEPT、DROP、REJECT和REDIRECT等。
在iptables的INPUT链的第一行插入一条规则(可访问其它机器的80端口):
iptables -I INPUT 1 -p tcp --sport 80 -j ACCEPT
在iptables的INPUT链尾追加一条规则(可访问其它机器的80端口):
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
如果要让其它机器可以访问本机的80端口,则为:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
插入前:
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
插入:
# iptables -I INPUT 1 -p tcp --sport 80 -j ACCEPT
插入后:
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
追加前:
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
追加:
# iptables -I INPUT 1 -p tcp --sport 80 -j ACCEPT
追加后(ACCEPT将不能生效):
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0
DROP udp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
删除INPUT的第3条规则:
iptables -D INPUT 3
示例1:允许指定 IP 访问指定端口(IP 白名单)
# 允许 IP 访问本地的端口 PORT
iptables -A INPUT -s IP -p tcp --dport PORT -j ACCEPT
示例2:禁止所有对端口 PORT 的访问(如同示例1一块使用,则需在示例1之后)
# 禁止外部访问本地的端口 PORT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport PORT -j DROP
最后
以上就是认真棉花糖为你收集整理的IP和网段及子网掩码基础知识的全部内容,希望文章能够帮你解决IP和网段及子网掩码基础知识所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复