免责声明：用户因使用公众号内容而产生的任何行为和后果，由用户自行承担责任。本公众号不承担因用户误解、不当使用等导致的法律责任

（在学习子网划分前我们需要掌握网络互联基础，如果你会网路互联直接跳转至子网划分即可）

目录

一：网络互联基础

1.局域网概念

2.广域网概念

3.互联网和广域网区别

4.你懂什么是IP么 

1.IP的本质定义

2.IP地址的组成

3.举个小栗子🌰

5.TCP vs UDP

 1.工作方式对比

TCP（面向连接、可靠传输）

UDP（无连接、尽力交付）

举个小栗子🌰

总结

6.DNS

7.路由器

1.路由器的核心功能：

2.路由器的工作原理3.

3.举个小栗子🌰

8.HTTP状态码

二：子网划分

1.VLAN（虚拟局域网）

2.补充知识点--广播域：

3.补充知识点--冲突域

4.冲突域 vs. 广播域

5.VLAN 如何划分

6.IP地址与子网划分

6.1.什么是子网划分

6.2.为什么要进行子网划分

6.3.一个案例教你划分子网

三：VLAN 与子网划分搭配使用案例 —— 企业网络设计实战 🏢🔧

1.网络设计目标

2.VLAN 与子网规划（试着划分一下吧）

3.配置步骤（以 Cisco 三层交换机为例）

四：综合案例

总结

一：网络互联基础

1.局域网概念

局域网（LAN）是指在较小的区域内由多台计算机互联的计算机组，这些计算机组内可以实现文件文件管理，软件分享，打印机共享，工作的日常安排等以实现数据的快速交换，并且局域网是封闭的，缺点是范围小。

2.广域网概念

广域网（WAN）是连接不同局域网或者城域网的计算机通信远程网络又称外网或公网，所覆盖的范围从几十公里到几千公里，它能连接多个地区、城市和国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络，但缺点是相较于局域网网速较慢。但你可别觉得广域网就是互联网

3.互联网和广域网区别

Internet又称互联网，实际上是大量相互连接的计算机。“因特网”上的计算机可以位于世界上任何地方，即使天各一方、相距万里，都可以通过因特网进行通讯。
广域网：服务地区不局限于某一个地区，而是相当广阔的地区(例如各省市之间，全国甚至全球范围)的网络称为广域网。

是不是感觉没读懂它俩到底有什么区别？？，往下看

举个栗子🌰

• WAN：
  你公司的深圳和纽约办公室用专线传机密文件——这是WAN在干活，和互联网无关。

• 互联网：
  你在家刷纽约同事的朋友圈——数据先溜进互联网，再钻进他们公司的WAN，像007潜入敌方大楼！

总结一下
WAN：网恋奔现全靠它，卡成PPT也要说"在吗宝贝？"
LAN：你和同事的摸鱼专用网，传表情包速度堪比对暗号！

WAN是霸道总裁的私人飞机，互联网是春运火车站——一个讲究排面，一个讲究生存

4.你懂什么是IP么 

如果你学了上一篇文章就应该知道IP在网络中充当什么角色？如果你还不清楚看下面

• IPv4：32 位二进制数，通常表示为 4 个十进制数（如 192.168.1.1）。

• IPv6：128 位二进制数，通常表示为 8 组十六进制数（如 2001:0db8::1）

以下以IPv4为例

1.IP的本质定义

IP  是互联网通信的基础协议，属于网络层（OSI第三层/TCP-IP模型网际层）

核心功能包括：

1. 逻辑寻址：为联网设备分配唯一标识符（IP地址）

2. 路由选择：确定数据包从源到目的地的传输路径

3. 数据包分片重组：适应不同物理网络的最大传输单元（MTU）

2.IP地址的组成

• IP地址由网络部分和主机部分组成，外加子网掩码。
• IP地址有32位二进制数，常用点分四段十进制表示。

可能你会问什么是网络部分什么是主机部分，子网掩码。四段十进制又是什么鬼。看下面.

3.举个小栗子🌰

网络部分和主机部分：

想象IP地址是一个小区的地址，分为两部分：

1. 网络部分：小区名字 🏘️
   （比如“路由器小区”）

2. 主机部分：门牌号 🏠
   （比如“你家电脑”）

示例：
IP地址：192.168.1.100

• 网络部分：192.168.1（小区名）

• 主机部分：.100（门牌号）

总结：网络部分 vs 主机部分

子网掩码：

子网掩码就像一把尺子，用来明确哪里是“小区”，哪里是“门牌号”。

1. 子网掩码的作用

• 1：表示“这是小区的一部分”

• 0：表示“这是门牌号的一部分”

示例：
子网掩码：255.255.255.0

• 二进制：11111111.11111111.11111111.00000000

• 前24位是1：表示前24位是网络部分（小区）

• 后8位是0：表示后8位是主机部分（门牌号）

2. 实际应用

• IP地址：192.168.1.100

• 子网掩码：255.255.255.0

  • 网络部分：192.168.1

  • 主机部分：.100

四段十进制：

1. 每8位二进制数的权重

从右到左，每位代表的十进制值如下：

位数	7	6	5	4	3	2	1	0
权重	128	64	32	16	8	4	2	1

示例1：11000000.10101000.00000001.00000001

1. 第一段：11000000

   • 1×128 + 1×64 = 192

2. 第二段：10101000

   • 1×128 + 0×64 + 1×32 + 0×16 + 1×8 + 0×4 + 0×2 + 0×1
     = 128 + 32 + 8
     = 168

3. 第三段：00000001

   • 0×128 + 0×64 + 0×32 + 0×16 + 0×8 + 0×4 + 0×2 + 1×1
     = 1

4. 第四段：00000001

   • 同上，1

最终结果：192.168.1.1

所以你懂了么？？

5.TCP vs UDP

TCP和UDP的特点已在上篇文章介绍(学网安必备：一个案例彻底学会OSI七层模型与TCP/IP-CSDN博客)本文直接介绍工作方式

 1.工作方式对比

TCP（面向连接、可靠传输）

1. 工作流程

1. 建立连接（三次握手）

   • 步骤：

     • SYN：客户端发送 SYN=1，随机生成初始序列号 Seq=X。

     • SYN-ACK：服务端回复 SYN=1, ACK=1，确认号 Ack=X+1，并生成自己的初始序列号 Seq=Y。

     • ACK：客户端发送 ACK=1，确认号 Ack=Y+1。

   • 目的：协商初始序列号，确认双方收发能力正常。

2. 数据传输

   • 可靠机制：

     • 序列号与确认号：每个数据包标记唯一序列号（Seq），接收方通过确认号（Ack）告知已成功接收。

     • 滑动窗口：动态调整发送窗口大小，实现流量控制。

     • 超时重传：未收到确认时，重传丢失的数据包。

   • 拥塞控制：

     • 慢启动：初始窗口小，指数级增长。

     • 拥塞避免：窗口线性增长，避免网络过载。

     • 快重传/快恢复：快速响应丢包事件。

3. 释放连接（四次挥手）

   • 步骤：

     • FIN：一方发送 FIN=1 表示终止连接。

     • ACK：另一方回复确认。

     • FIN：另一方发送自己的 FIN=1。

     • ACK：原发送方确认，连接关闭。

   • 目的：确保双方数据收发完成，资源安全释放。

2. 典型场景

• 需高可靠性：文件传输（FTP）、网页加载（HTTP）、邮件收发（SMTP）。

• 长连接交互：数据库访问、远程登录（SSH）。

                 （以上两图参考通俗易懂理解三次握手、四次挥手（TCP）-阿里云开发者社区）

UDP（无连接、尽力交付）

1. 工作流程

1. 无连接通信

   • 直接发送数据包，无需预先建立连接。

   • 源端仅封装目标IP和端口，直接传输。

2. 数据传输

   • 无确认机制：不跟踪数据是否到达，不重传丢失包。

   • 无顺序控制：接收方可能收到乱序数据。

   • 无流量/拥塞控制：发送速率由应用层决定。

3. 无连接终止

   • 通信结束后无需释放资源。

2. 典型场景

• 实时性要求高：视频会议（Zoom）、在线游戏（UDP-based协议如QUIC）。

• 广播/组播：网络时间协议（NTP）、DHCP服务发现。

• 轻量级通信：DNS查询、物联网传感器上报。

 

我相信你肯定没看懂以上的纯理论介绍，看下面的有趣例子

举个小栗子🌰

三次握手：网友面基前的「暗号确认」

场景：社牛小A想约网友小B去火锅店，但怕对方是骗子，必须确认身份！

1. 第一次握手（SYN）
   👉 小A：「在吗？我是「麻辣火锅终结者」，约吗？」（SYN=1 + 随机暗号 Seq=9527）
   状态：小A进入 SYN-SENT（忐忑等待）

2. 第二次握手（SYN-ACK）
   👉 小B：「在的！我是「香菜毁灭者」，暗号9527+1=9528！」（SYN=1, ACK=1 + 新暗号 Seq=1314）
   状态：小B进入 SYN-RCVD（坐等回应）

3. 第三次握手（ACK）
   👉 小A：「收到！暗号1314+1=1315！火锅店见！」（ACK=1）
   状态：双方进入 ESTABLISHED（成功面基，开吃！）

翻车现场：

• 如果小B没回复，小A会疯狂发「在吗？」（超时重传 SYN）

• 如果小A的暗号被截获，火锅店会出现「替身攻击」！（中间人攻击）

四次挥手：吃完火锅后的「和平分手」

场景：小A和小B吃完火锅，AA付款后要各回各家。

1. 第一次挥手（FIN）
   👉 小A：「我吃撑了，先撤了哈！」（FIN=1 + 暗号 Seq=6666）
   状态：小A进入 FIN-WAIT-1（假装玩手机等回应）

2. 第二次挥手（ACK）
   👉 小B：「行！你欠我的30块记得转！」（ACK=1 + Ack=6666+1=6667）
   状态：小B进入 CLOSE-WAIT（边擦嘴边算账）
   小A状态：进入 FIN-WAIT-2（继续装死）

3. 第三次挥手（FIN）
   👉 小B：「我也吃完了，账单拍你了！」（FIN=1 + 暗号 Seq=8888）
   状态：小B进入 LAST-ACK（最后的倔强）

4. 第四次挥手（ACK）
   👉 小A：「转了转了！再见！」（ACK=1 + Ack=8888+1=8889）
   状态：

   • 小A进入 TIME-WAIT（在火锅店门口晃悠2分钟，怕小B反悔）

   • 小B收到后彻底离开（连接关闭）

翻车现场：

• 如果小A说完「先撤了」直接跑路，小B会追到门口喊：「你ACK呢？！」（服务端重传 FIN）

• 如果小B一直不喊「我也撤了」，小A会卡在火锅店门口等到打烊！（客户端资源泄漏）

我觉得你会了

场景2：UDP打游戏 🎮
👉 你："大招！大招！快放技能！"
（UDP把指令往服务器一扔就跑）
队友："你人呢？刚才卡了！"
你："不管了！继续狂按键盘！"

直接丢数据，太高冷了

总结

6.DNS

DNS（域名系统）是互联网的“电话簿”，负责将人类可读的域名（如 google）转换为机器可识别的 IP 地址（如 172.217.14.206）。

• 工作流程：

  1. 你问：「www.干饭人 的IP是啥？」

  2. DNS：「→ 根域名服务器 → 服务器 → 干饭人公司服务器」

  3. 回复：「IP是 192.168.100.干饭，快记下来！」

7.路由器

路由器（Router）是网络中的核心设备，负责在不同网络之间转发数据包，确保数据从源地址准确、高效地传输到目标地址。它不仅是家庭和企业网络的中枢，也是互联网基础设施的重要组成部分。

1.路由器的核心功能：

1. 数据包转发（Packet Forwarding）

   • 根据路由表（Routing Table）中的规则，将数据包从入口接口转发到出口接口。

   • 支持动态路由（如 OSPF、BGP）和静态路由（手动配置路径）。

2. 网络地址转换（NAT，Network Address Translation）

   • 将私有 IP 地址（如家庭内网的 192.168.1.x）转换为公有 IP 地址，实现多设备共享一个公网 IP。

   • 例如：家庭路由器通过 NAT 使手机、电脑等设备同时访问互联网。

3. 防火墙与安全防护

   • 通过访问控制列表（ACL）过滤非法流量，阻止攻击（如 DDoS、端口扫描）。

   • 支持 VPN 功能（如 IPsec、OpenVPN），加密远程访问流量。

4. 服务质量（QoS，Quality of Service）

   • 优先处理关键流量（如视频会议、游戏），避免网络拥塞。

   • 可基于端口、协议或设备分配带宽。

5. 无线接入（Wi-Fi 功能）

   • 集成无线接入点（AP），提供 Wi-Fi 信号（如 2.4 GHz 和 5 GHz 双频）。

   • 支持 Wi-Fi 6（802.11ax）等新一代协议，提升传输速率和容量。

2.路由器的工作原理3.

以访问网站 www.example 为例：

1. 数据包生成

   • 用户在浏览器输入域名，DNS 解析后得到目标 IP（如 93.184.216.34）。

   • 设备生成数据包，目标地址为 93.184.216.34，源地址为内网 IP（如 192.168.1.100）。

2. NAT 处理

   • 路由器将源 IP 替换为公网 IP（如 203.0.113.1），并记录映射关系（NAT 表）。

3. 路由表查询

   • 路由器根据目标 IP 查询路由表，确定下一跳地址（如 ISP 网关）。

4. 数据包转发

   • 通过 WAN 口将数据包发送到下一跳设备，最终到达目标服务器。

5. 响应返回

   • 服务器返回的数据包经反向 NAT 转换后，发送回内网设备。

3.举个小栗子🌰

• 日常操作：

  1. 查导航（路由表）：「去 抖豆豆大厦 走 出口1！」

  2. 收过路费（NAT转换）：「私网地址 192.168.1.2 → 公网地址 202.102.134.112！」

  3. 堵车预警（TTL减1）：「再堵下去，包裹要自爆啦！」

司机暗号：

• 静态路由：老板规定的固定路线

• 动态路由：老司机实时选最优路线（OSPF、BGP协议）

8.HTTP状态码

• 200 OK：「来吧网页在这！」 

• 301 Moved：「搬家了，新地址在这！」 

• 403 Forbidden：「禁止访问，进不去！」

• 404 Not Found：「查无此人！」 

• 500 Error：「服务器炸了」 

二：子网划分

1.VLAN（虚拟局域网）

VLAN ，是一种通过逻辑方式将物理网络划分为多个独立广播域的技术。（通过交换机划分逻辑广播域（例如，将交换机的端口分组到不同VLAN））。
通俗说：把一台物理交换机变成多个“虚拟交换机”，不同 VLAN 的设备即使连接在同一台交换机上，也无法直接通信，除非通过路由器或三层交换机

2.补充知识点--广播域：

广播域： 是指网络中所有能接收到同一广播消息（如ARP请求、DHCP发现等）的设备的集合。当一个设备发送广播帧时，该帧会被广播域内的所有设备接收和处理，但不会传播到其他广播域。（可以理解为：就像在一个教室里喊话，所有在教室（广播域）里的人都能听到。但别的班听不到）

为什么要利用VLAN划分多个广播域：

• 减少网络拥堵：广播流量过多会占用带宽（例如广播风暴）。

• 安全隔离：不同部门（如财务、技术）的广播消息互不可见。

• 提升性能：缩小广播域范围，避免无关设备处理多余广播。

设备对广播域的影响：

• 集线器（Hub）：所有设备在同一个广播域（所有端口共享广播）。

• 交换机（Switch）：默认所有端口在同一广播域，但可以通过VLAN分割。

• 路由器（Router）：每个接口属于不同广播域

举个小栗子🌰

• 家庭网络：路由器连接的设备（手机、电脑）属于同一广播域。

• 企业网络：

  • 财务部用VLAN 10，技术部用VLAN 20，两个部门的广播互不影响。

  • 路由器连接不同VLAN，实现跨广播域的通信（如财务访问服务器

3.补充知识点--冲突域

冲突域： 是指网络中可能发生数据冲突的区域。当两个或多个设备在同一物理介质上同时发送数据时，它们的信号会相互干扰，导致数据损坏，这种现象称为冲突。冲突域的大小直接影响网络的效率和性能

冲突域的边界：

• 集线器（Hub）：所有连接到同一集线器的设备属于同一冲突域。

• 交换机（Switch）：每个交换机端口是一个独立的冲突域（交换机隔离冲突域）。

• 网桥（Bridge）：类似交换机，可以分割冲突域

控制冲突域：提升网络性能，减少数据冲突

4.冲突域 vs. 广播域

5.VLAN 如何划分

建议下载一个思科模拟器，具体实操

在思科虚拟器中创建如上将pc0终端连接在交换机的fast的一口，pc1连接在1口

首先创建vlan10，vlan20

创建命令：首先进入特权模式 enable 然后进行全局模式输入vlan10 创建成功，退出vlan模式进入0/1,0/2接口输入interfac fastethernet 0/1 进入一口，然后将一口设置为vlan10

输入switchport access vlan 20

设置成功

设置两台pc ip地址（24位掩码，设置不同网段）

 

• IP 地址 & 子网掩码 = 网络地址

• IP 1：192.168.1.100，子网掩码：255.255.255.0
  网络地址：192.168.10.0

• IP 2：192.168.2.100，子网掩码：255.255.255.0
  网络地址：192.168.20.0
  → 不同网段！

• 默认网关：指向路由器或三层交换机的接口 IP通常设为（192.168.10.1/192.168.20.1）

• 0.0.0.0网关：在某些场景下，0.0.0.0 被用作默认网关的占位符

查看两台pc通信情况

无法通信，vlan划分成功

一个vlan必须有一个单独的网段

Switch(config)# vlan 10                       // 创建 VLAN 10
Switch(config)# interface Fastethernet 0/1  // 进入端口 0/1
Switch(config-if)# switchport access vlan 10  // 将端口划入 VLAN 10

划分VLAN20相同

6.IP地址与子网划分

6.1.什么是子网划分

子网划分 是通过 子网掩码 将一个大的 IP 地址段（如 192.168.1.0/24）划分为多个小的子网（如 192.168.1.0/26、192.168.1.64/26 等），从而实现更高效的 IP 地址分配和网络管理。说白了就是

• 原始网络：一个大房子（如 192.168.1.0/24）。

• 子网划分：把大房子隔成多个小房间（如 192.168.1.0/26、192.168.1.64/26），每个房间独立使用。

！！！不同掩码的网段大小！！！！！（非常重要是后续子网划分的基础）

CIDR	子网掩码	主机位	可用主机数	示例网络地址	可用 IP 范围	典型用途
/16	255.255.0.0	16 位	65,534	172.16.0.0	172.16.0.1 ~ 172.16.255.254	大型企业网络、校园网主干
/17	255.255.128.0	15 位	32,766	192.168.0.0	192.168.0.1 ~ 192.168.127.254	大型子网分区
/18	255.255.192.0	14 位	16,382	10.0.0.0	10.0.0.1 ~ 10.0.63.254	ISP 分配或大规模内部网络
/19	255.255.224.0	13 位	8,190	172.16.0.0	172.16.0.1 ~ 172.16.31.254	中型企业部门划分
/20	255.255.240.0	12 位	4,094	192.168.0.0	192.168.0.1 ~ 192.168.15.254	分支机构网络
/21	255.255.248.0	11 位	2,046	10.0.0.0	10.0.0.1 ~ 10.0.7.254	中小型办公区域
/22	255.255.252.0	10 位	1,022	172.16.0.0	172.16.0.1 ~ 172.16.3.254	中型部门或项目组网络
/23	255.255.254.0	9 位	510	192.168.0.0	192.168.0.1 ~ 192.168.1.254	小型团队或楼层网络
/24	255.255.255.0	8 位	254	192.168.1.0	192.168.1.1 ~ 192.168.1.254	家庭网络、小型企业局域网
/25	255.255.255.128	7 位	126	10.0.0.0	10.0.0.1 ~ 10.0.0.126	服务器集群或中型办公室
/26	255.255.255.192	6 位	62	172.16.1.0	172.16.1.1 ~ 172.16.1.62	中型部门（如市场部）
/27	255.255.255.224	5 位	30	192.168.1.0	192.168.1.1 ~ 192.168.1.30	小型办公室（如 IT 组）
/28	255.255.255.240	4 位	14	10.0.0.0	10.0.0.1 ~ 10.0.0.14	微型团队或设备组（如 IoT 设备）
/29	255.255.255.248	3 位	6	172.16.1.0	172.16.1.1 ~ 172.16.1.6	极小规模网络（如远程分支机构）
/30	255.255.255.252	2 位	2	10.0.0.0	10.0.0.1 ~ 10.0.0.2	路由器点对点链路（WAN 连接）
/31	255.255.255.254	1 位	2*	192.168.1.0	192.168.1.0 ~ 192.168.1.1	特殊点对点链路（RFC 3021）
/32	255.255.255.255	0 位	1	203.0.113.5	203.0.113.5	单台主机（如 VPN 端点或服务器）

• 大掩码（/16 ~ /24）：适用于广域网或大型内部网络。

• 中掩码（/25 ~ /28）：平衡地址利用与灵活性。

• 小掩码（/29 ~ /32）：精细化控制，适合特殊场景。

6.2.为什么要进行子网划分

1. 优化地址分配：避免 IP 地址浪费（如将 /24 网段拆分为多个小网段）。

2. 隔离广播域：减少广播风暴，提升网络性能。

3. 增强安全性：通过子网隔离敏感部门（如财务部 vs 访客网络）。

4. 简化管理：按部门/功能分配 IP 范围，便于维护。

6.3.一个案例教你划分子网

子网划分详解 —— 网络界的“分房大作战” 🏠✂️

一、子网划分的本质：切蛋糕还是分房间？

想象你有一块大蛋糕（比如 192.168.1.0/24），但家里有熊孩子（设备）太多，必须切成小块（子网），否则他们会抢成一团（广播风暴）！
目标：

• 每个熊孩子分到自己的小蛋糕（子网）。

• 蛋糕切得刚刚好，不浪费奶油（IP 地址）！

二、子网划分四步曲

1. 第一步：明确需求 —— 家里有多少熊孩子？

• 问题：要切几块蛋糕？每块蛋糕能喂饱多少熊孩子？

• 示例：

  • 总需求：4 个部门（子网），每个部门 50 台设备（熊孩子）。

  • 原始蛋糕：192.168.1.0/24（254 个 IP，够喂 254 个熊孩子）。

2. 第二步：选刀法（子网掩码）—— 切几刀？

人话：

• 根据每个部门电脑的多少划分，因为每个部门50台电脑所以需要划分可使用主机位为62的26位掩码，24位掩码可以划分多少个26位掩码？

• 可以先根据每个部分设备多少利用子网可用ip计算公式算到底是使用多少位掩码然后结合子网数公式具体分析

3. 第三步：切蛋糕（划分子网）—— 手起刀落！

• 第一刀：

  • 原蛋糕：192.168.1.0/24

  • 切出：192.168.1.0/26（熊孩子编号：.1 ~ .62）。

• 第二刀：

  • 剩下：192.168.1.64/26（熊孩子编号：.65 ~ .126）。

• 第三刀：

  • 剩下：192.168.1.128/26（熊孩子编号：.129 ~ .190）。

• 第四刀：

  • 剩下：192.168.1.192/26（熊孩子编号：.193 ~ .254）。

熊孩子抗议：

• 每个小蛋糕明明能装 62 人，为什么只分 50 人？

• 你：留点空间给未来的二胎熊孩子！（地址预留）

4. 第四步：贴门牌（分配地址）—— 别走错门！

• 网络地址：每块蛋糕的门牌号（如 192.168.1.0）。

• 广播地址：蛋糕盒上的大喇叭（如 192.168.1.63），喊一声全蛋糕的熊孩子都能听见。

• 可用地址：门牌号 +1 到广播地址 -1（如 .1 ~ .62）。

• （IPv4 标准明确要求网络地址和广播地址不可用于主机）。

三、子网划分的灵魂拷问

1. 如何防止熊孩子串门？

• 路由器：当保安，检查门牌号（网络地址）。

• ACL（访问控制列表）：设置黑名单，比如禁止财务部的熊孩子溜去销售部偷零食！

2. 如果熊孩子数量不均衡？

• VLSM（可变长子网掩码）：灵活切蛋糕！

  • 财务部 100 人 → 切 /25（126 人）。

  • IT 部 50 人 → 切 /26（62 人）。

  • 老板办公室 2 人 → 切 /30（2 人）。

老板点赞：这刀法，米其林三星！

四、实战演练：分房大作战

场景：你家有 3 个部门：

• 销售部（60 人）、研发部（30 人）、HR 部（10 人）。

• 原始网络：10.0.0.0/24。

切蛋糕步骤：

1. 销售部：用 /25（126 人）→ 10.0.0.0/25（.1 ~ .126）。

2. 研发部：用 /26（62 人）→ 10.0.0.128/26（.129 ~ .190）。

3. HR 部：用 /28（14 人）→ 10.0.0.192/28（.193 ~ .206）。

剩余蛋糕：10.0.0.208/28（.209 ~ .222），留给未来扩张！

五、子网划分翻车现场

1. 切太碎：用 /30 切 2 人蛋糕，结果部门来了实习生 → 地址不足！

2. 忘广播地址：HR 部用 .206 当主机地址，结果大喇叭（广播地址）被占用 → 网络瘫痪！

3. 路由器没配：切完蛋糕没告诉保安（路由器）新门牌 → 熊孩子集体迷路！（下一跳地址）

六、总结：子网划分口诀

• 需求先问清：几个部门，一个部门多少设备

• 刀法要精准：子网掩码算仔细，主要看部门有多少设备！

• 门牌别贴错：网络地址是起点，广播地址是终点！

• 保安要到位：路由器和 ACL 防串门！

七.VLAN和子网划分区别

VLAN 分割二层广播域，子网隔离三层 IP 流量，双重隔离提升性能

一个vlan划分一个子网，因为一个vlan必须有一个单独的网段

三：VLAN 与子网划分搭配使用案例 —— 企业网络设计实战 🏢🔧

场景背景

某公司需构建安全高效的内部网络，部门如下：

• 财务部（30 人）：高安全性要求，禁止外部访问。

• 市场部（50 人）：需访问互联网和内部服务器。

• 研发部（100 人）：需高性能内网通信。

• 访客网络：隔离访问，仅开放互联网。

1.网络设计目标

1. 广播隔离：各部门独立广播域，避免干扰。

2. 安全隔离：财务部与其他部门隔离。

3. IP 管理：按部门分配 IP 范围，便于维护。

4. 灵活扩展：未来可新增部门或调整规模。

2.VLAN 与子网规划（试着划分一下吧）

（以下配置如果你有思科模拟器且有基础可以配置）

3.配置步骤（以 Cisco 三层交换机为例）

1. 创建 VLAN 并分配子网

! 创建 VLAN 并命名
vlan 10  
 exit
vlan 20  
exit
vlan 30  
 exit
vlan 40  
 exit
vlan 50  
 exit

! 为每个 VLAN 配置子网（SVI）  
interface Vlan10  
 ip address 192.168.10.1 255.255.255.0  
interface Vlan20  
 ip address 192.168.20.1 255.255.255.0  
interface Vlan30  
 ip address 192.168.30.1 255.255.254.0  ! /23 掩码  
interface Vlan40  
 ip address 192.168.40.1 255.255.255.0  
interface Vlan50  
 ip address 10.10.50.1 255.255.255.0  

2. 配置交换机端口

! 接入层端口划入 VLAN（以财务部为例）  
nterface Fastethernet 0/1
 switchport mode access  
 switchport access vlan 10  

! Trunk 端口配置（连接核心交换机或路由器）  
interface GigabitEthernet0/24  
 switchport mode trunk  
 switchport trunk allowed vlan 10,20,30,40,50  

3. 配置 DHCP 服务

! 为市场部分配 DHCP  
ip dhcp pool Marketing  
 network 192.168.20.0 255.255.255.0  
 default-router 192.168.20.1  
 dns-server 8.8.8.8  
! 其他 VLAN 类似配置  

4. 配置路由与安全策略

! 启用 IP 路由  
ip routing  

! 默认路由指向防火墙  
ip route 0.0.0.0 0.0.0.0 10.10.50.254  

! 禁止财务部访问互联网（ACL）  
ip access-list extended Block-Finance-Internet  
 deny ip 192.168.10.0 0.0.0.255 any  
 permit ip any any  
interface Vlan10  
 ip access-group Block-Finance-Internet in  

四、验证与测试

1. VLAN 连通性测试：

   • 财务部设备 Ping 网关 192.168.10.1 → 应成功。

   • 财务部设备 Ping 市场部网关 192.168.20.1 → 应失败（ACL 拦截）。

2. 互联网访问测试：

   • 市场部设备访问 www.google → 应成功。

   • 访客设备访问内部服务器 10.10.50.100 → 应失败（子网隔离）

四：综合案例

你能实现以下设备直接的互联互通么（此案例涉及子网划分，静动态路由设置，路由汇总，NAT，DNAT等知识点覆盖的综合型使用）感兴趣且有基础的可以试着配，答案我会在计算机网络系列完结的最后一篇文章呈现！！！

总结

子网划分遵循：IP地址优化：避免浪费，合理分配有限资源。网络性能提升：减少广播风暴，隔离流量。安全管理：通过逻辑隔离保护敏感数据。灵活扩展：适应企业增长，便于新增部门或设备

（需要资料联系博主免费领取！！还希望多多关注点赞支持，你的支持就是我的最大动力！！！）

免责声明：用户因使用公众号内容而产生的任何行为和后果，由用户自行承担责任。本公众号不承担因用户误解、不当使用等导致的法律责任

（在学习子网划分前我们需要掌握网络互联基础，如果你会网路互联直接跳转至子网划分即可）

目录

一：网络互联基础

1.局域网概念

2.广域网概念

3.互联网和广域网区别

4.你懂什么是IP么 

1.IP的本质定义

2.IP地址的组成

3.举个小栗子🌰

5.TCP vs UDP

 1.工作方式对比

TCP（面向连接、可靠传输）

UDP（无连接、尽力交付）

举个小栗子🌰

总结

6.DNS

7.路由器

1.路由器的核心功能：

2.路由器的工作原理3.

3.举个小栗子🌰

8.HTTP状态码

二：子网划分

1.VLAN（虚拟局域网）

2.补充知识点--广播域：

3.补充知识点--冲突域

4.冲突域 vs. 广播域

5.VLAN 如何划分

6.IP地址与子网划分

6.1.什么是子网划分

6.2.为什么要进行子网划分

6.3.一个案例教你划分子网

三：VLAN 与子网划分搭配使用案例 —— 企业网络设计实战 🏢🔧

1.网络设计目标

2.VLAN 与子网规划（试着划分一下吧）

3.配置步骤（以 Cisco 三层交换机为例）

四：综合案例

总结

一：网络互联基础

1.局域网概念

局域网（LAN）是指在较小的区域内由多台计算机互联的计算机组，这些计算机组内可以实现文件文件管理，软件分享，打印机共享，工作的日常安排等以实现数据的快速交换，并且局域网是封闭的，缺点是范围小。

2.广域网概念

广域网（WAN）是连接不同局域网或者城域网的计算机通信远程网络又称外网或公网，所覆盖的范围从几十公里到几千公里，它能连接多个地区、城市和国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络，但缺点是相较于局域网网速较慢。但你可别觉得广域网就是互联网

3.互联网和广域网区别

Internet又称互联网，实际上是大量相互连接的计算机。“因特网”上的计算机可以位于世界上任何地方，即使天各一方、相距万里，都可以通过因特网进行通讯。
广域网：服务地区不局限于某一个地区，而是相当广阔的地区(例如各省市之间，全国甚至全球范围)的网络称为广域网。

是不是感觉没读懂它俩到底有什么区别？？，往下看

举个栗子🌰

• WAN：
  你公司的深圳和纽约办公室用专线传机密文件——这是WAN在干活，和互联网无关。

• 互联网：
  你在家刷纽约同事的朋友圈——数据先溜进互联网，再钻进他们公司的WAN，像007潜入敌方大楼！

总结一下
WAN：网恋奔现全靠它，卡成PPT也要说"在吗宝贝？"
LAN：你和同事的摸鱼专用网，传表情包速度堪比对暗号！

WAN是霸道总裁的私人飞机，互联网是春运火车站——一个讲究排面，一个讲究生存

4.你懂什么是IP么 

如果你学了上一篇文章就应该知道IP在网络中充当什么角色？如果你还不清楚看下面

• IPv4：32 位二进制数，通常表示为 4 个十进制数（如 192.168.1.1）。

• IPv6：128 位二进制数，通常表示为 8 组十六进制数（如 2001:0db8::1）

以下以IPv4为例

1.IP的本质定义

IP  是互联网通信的基础协议，属于网络层（OSI第三层/TCP-IP模型网际层）

核心功能包括：

1. 逻辑寻址：为联网设备分配唯一标识符（IP地址）

2. 路由选择：确定数据包从源到目的地的传输路径

3. 数据包分片重组：适应不同物理网络的最大传输单元（MTU）

2.IP地址的组成

• IP地址由网络部分和主机部分组成，外加子网掩码。
• IP地址有32位二进制数，常用点分四段十进制表示。

可能你会问什么是网络部分什么是主机部分，子网掩码。四段十进制又是什么鬼。看下面.

3.举个小栗子🌰

网络部分和主机部分：

想象IP地址是一个小区的地址，分为两部分：

1. 网络部分：小区名字 🏘️
   （比如“路由器小区”）

2. 主机部分：门牌号 🏠
   （比如“你家电脑”）

示例：
IP地址：192.168.1.100

• 网络部分：192.168.1（小区名）

• 主机部分：.100（门牌号）

总结：网络部分 vs 主机部分

子网掩码：

子网掩码就像一把尺子，用来明确哪里是“小区”，哪里是“门牌号”。

1. 子网掩码的作用

• 1：表示“这是小区的一部分”

• 0：表示“这是门牌号的一部分”

示例：
子网掩码：255.255.255.0

• 二进制：11111111.11111111.11111111.00000000

• 前24位是1：表示前24位是网络部分（小区）

• 后8位是0：表示后8位是主机部分（门牌号）

2. 实际应用

• IP地址：192.168.1.100

• 子网掩码：255.255.255.0

  • 网络部分：192.168.1

  • 主机部分：.100

四段十进制：

1. 每8位二进制数的权重

从右到左，每位代表的十进制值如下：

位数	7	6	5	4	3	2	1	0
权重	128	64	32	16	8	4	2	1

示例1：11000000.10101000.00000001.00000001

1. 第一段：11000000

   • 1×128 + 1×64 = 192

2. 第二段：10101000

   • 1×128 + 0×64 + 1×32 + 0×16 + 1×8 + 0×4 + 0×2 + 0×1
     = 128 + 32 + 8
     = 168

3. 第三段：00000001

   • 0×128 + 0×64 + 0×32 + 0×16 + 0×8 + 0×4 + 0×2 + 1×1
     = 1

4. 第四段：00000001

   • 同上，1

最终结果：192.168.1.1

所以你懂了么？？

5.TCP vs UDP

TCP和UDP的特点已在上篇文章介绍(学网安必备：一个案例彻底学会OSI七层模型与TCP/IP-CSDN博客)本文直接介绍工作方式

 1.工作方式对比

TCP（面向连接、可靠传输）

1. 工作流程

1. 建立连接（三次握手）

   • 步骤：

     • SYN：客户端发送 SYN=1，随机生成初始序列号 Seq=X。

     • SYN-ACK：服务端回复 SYN=1, ACK=1，确认号 Ack=X+1，并生成自己的初始序列号 Seq=Y。

     • ACK：客户端发送 ACK=1，确认号 Ack=Y+1。

   • 目的：协商初始序列号，确认双方收发能力正常。

2. 数据传输

   • 可靠机制：

     • 序列号与确认号：每个数据包标记唯一序列号（Seq），接收方通过确认号（Ack）告知已成功接收。

     • 滑动窗口：动态调整发送窗口大小，实现流量控制。

     • 超时重传：未收到确认时，重传丢失的数据包。

   • 拥塞控制：

     • 慢启动：初始窗口小，指数级增长。

     • 拥塞避免：窗口线性增长，避免网络过载。

     • 快重传/快恢复：快速响应丢包事件。

3. 释放连接（四次挥手）

   • 步骤：

     • FIN：一方发送 FIN=1 表示终止连接。

     • ACK：另一方回复确认。

     • FIN：另一方发送自己的 FIN=1。

     • ACK：原发送方确认，连接关闭。

   • 目的：确保双方数据收发完成，资源安全释放。

2. 典型场景

• 需高可靠性：文件传输（FTP）、网页加载（HTTP）、邮件收发（SMTP）。

• 长连接交互：数据库访问、远程登录（SSH）。

                 （以上两图参考通俗易懂理解三次握手、四次挥手（TCP）-阿里云开发者社区）

UDP（无连接、尽力交付）

1. 工作流程

1. 无连接通信

   • 直接发送数据包，无需预先建立连接。

   • 源端仅封装目标IP和端口，直接传输。

2. 数据传输

   • 无确认机制：不跟踪数据是否到达，不重传丢失包。

   • 无顺序控制：接收方可能收到乱序数据。

   • 无流量/拥塞控制：发送速率由应用层决定。

3. 无连接终止

   • 通信结束后无需释放资源。

2. 典型场景

• 实时性要求高：视频会议（Zoom）、在线游戏（UDP-based协议如QUIC）。

• 广播/组播：网络时间协议（NTP）、DHCP服务发现。

• 轻量级通信：DNS查询、物联网传感器上报。

 

我相信你肯定没看懂以上的纯理论介绍，看下面的有趣例子

举个小栗子🌰

三次握手：网友面基前的「暗号确认」

场景：社牛小A想约网友小B去火锅店，但怕对方是骗子，必须确认身份！

1. 第一次握手（SYN）
   👉 小A：「在吗？我是「麻辣火锅终结者」，约吗？」（SYN=1 + 随机暗号 Seq=9527）
   状态：小A进入 SYN-SENT（忐忑等待）

2. 第二次握手（SYN-ACK）
   👉 小B：「在的！我是「香菜毁灭者」，暗号9527+1=9528！」（SYN=1, ACK=1 + 新暗号 Seq=1314）
   状态：小B进入 SYN-RCVD（坐等回应）

3. 第三次握手（ACK）
   👉 小A：「收到！暗号1314+1=1315！火锅店见！」（ACK=1）
   状态：双方进入 ESTABLISHED（成功面基，开吃！）

翻车现场：

• 如果小B没回复，小A会疯狂发「在吗？」（超时重传 SYN）

• 如果小A的暗号被截获，火锅店会出现「替身攻击」！（中间人攻击）

四次挥手：吃完火锅后的「和平分手」

场景：小A和小B吃完火锅，AA付款后要各回各家。

1. 第一次挥手（FIN）
   👉 小A：「我吃撑了，先撤了哈！」（FIN=1 + 暗号 Seq=6666）
   状态：小A进入 FIN-WAIT-1（假装玩手机等回应）

2. 第二次挥手（ACK）
   👉 小B：「行！你欠我的30块记得转！」（ACK=1 + Ack=6666+1=6667）
   状态：小B进入 CLOSE-WAIT（边擦嘴边算账）
   小A状态：进入 FIN-WAIT-2（继续装死）

3. 第三次挥手（FIN）
   👉 小B：「我也吃完了，账单拍你了！」（FIN=1 + 暗号 Seq=8888）
   状态：小B进入 LAST-ACK（最后的倔强）

4. 第四次挥手（ACK）
   👉 小A：「转了转了！再见！」（ACK=1 + Ack=8888+1=8889）
   状态：

   • 小A进入 TIME-WAIT（在火锅店门口晃悠2分钟，怕小B反悔）

   • 小B收到后彻底离开（连接关闭）

翻车现场：

• 如果小A说完「先撤了」直接跑路，小B会追到门口喊：「你ACK呢？！」（服务端重传 FIN）

• 如果小B一直不喊「我也撤了」，小A会卡在火锅店门口等到打烊！（客户端资源泄漏）

我觉得你会了

场景2：UDP打游戏 🎮
👉 你："大招！大招！快放技能！"
（UDP把指令往服务器一扔就跑）
队友："你人呢？刚才卡了！"
你："不管了！继续狂按键盘！"

直接丢数据，太高冷了

总结

6.DNS

DNS（域名系统）是互联网的“电话簿”，负责将人类可读的域名（如 google）转换为机器可识别的 IP 地址（如 172.217.14.206）。

• 工作流程：

  1. 你问：「www.干饭人 的IP是啥？」

  2. DNS：「→ 根域名服务器 → 服务器 → 干饭人公司服务器」

  3. 回复：「IP是 192.168.100.干饭，快记下来！」

7.路由器

路由器（Router）是网络中的核心设备，负责在不同网络之间转发数据包，确保数据从源地址准确、高效地传输到目标地址。它不仅是家庭和企业网络的中枢，也是互联网基础设施的重要组成部分。

1.路由器的核心功能：

1. 数据包转发（Packet Forwarding）

   • 根据路由表（Routing Table）中的规则，将数据包从入口接口转发到出口接口。

   • 支持动态路由（如 OSPF、BGP）和静态路由（手动配置路径）。

2. 网络地址转换（NAT，Network Address Translation）

   • 将私有 IP 地址（如家庭内网的 192.168.1.x）转换为公有 IP 地址，实现多设备共享一个公网 IP。

   • 例如：家庭路由器通过 NAT 使手机、电脑等设备同时访问互联网。

3. 防火墙与安全防护

   • 通过访问控制列表（ACL）过滤非法流量，阻止攻击（如 DDoS、端口扫描）。

   • 支持 VPN 功能（如 IPsec、OpenVPN），加密远程访问流量。

4. 服务质量（QoS，Quality of Service）

   • 优先处理关键流量（如视频会议、游戏），避免网络拥塞。

   • 可基于端口、协议或设备分配带宽。

5. 无线接入（Wi-Fi 功能）

   • 集成无线接入点（AP），提供 Wi-Fi 信号（如 2.4 GHz 和 5 GHz 双频）。

   • 支持 Wi-Fi 6（802.11ax）等新一代协议，提升传输速率和容量。

2.路由器的工作原理3.

以访问网站 www.example 为例：

1. 数据包生成

   • 用户在浏览器输入域名，DNS 解析后得到目标 IP（如 93.184.216.34）。

   • 设备生成数据包，目标地址为 93.184.216.34，源地址为内网 IP（如 192.168.1.100）。

2. NAT 处理

   • 路由器将源 IP 替换为公网 IP（如 203.0.113.1），并记录映射关系（NAT 表）。

3. 路由表查询

   • 路由器根据目标 IP 查询路由表，确定下一跳地址（如 ISP 网关）。

4. 数据包转发

   • 通过 WAN 口将数据包发送到下一跳设备，最终到达目标服务器。

5. 响应返回

   • 服务器返回的数据包经反向 NAT 转换后，发送回内网设备。

3.举个小栗子🌰

• 日常操作：

  1. 查导航（路由表）：「去 抖豆豆大厦 走 出口1！」

  2. 收过路费（NAT转换）：「私网地址 192.168.1.2 → 公网地址 202.102.134.112！」

  3. 堵车预警（TTL减1）：「再堵下去，包裹要自爆啦！」

司机暗号：

• 静态路由：老板规定的固定路线

• 动态路由：老司机实时选最优路线（OSPF、BGP协议）

8.HTTP状态码

• 200 OK：「来吧网页在这！」 

• 301 Moved：「搬家了，新地址在这！」 

• 403 Forbidden：「禁止访问，进不去！」

• 404 Not Found：「查无此人！」 

• 500 Error：「服务器炸了」 

二：子网划分

1.VLAN（虚拟局域网）

VLAN ，是一种通过逻辑方式将物理网络划分为多个独立广播域的技术。（通过交换机划分逻辑广播域（例如，将交换机的端口分组到不同VLAN））。
通俗说：把一台物理交换机变成多个“虚拟交换机”，不同 VLAN 的设备即使连接在同一台交换机上，也无法直接通信，除非通过路由器或三层交换机

2.补充知识点--广播域：

广播域： 是指网络中所有能接收到同一广播消息（如ARP请求、DHCP发现等）的设备的集合。当一个设备发送广播帧时，该帧会被广播域内的所有设备接收和处理，但不会传播到其他广播域。（可以理解为：就像在一个教室里喊话，所有在教室（广播域）里的人都能听到。但别的班听不到）

为什么要利用VLAN划分多个广播域：

• 减少网络拥堵：广播流量过多会占用带宽（例如广播风暴）。

• 安全隔离：不同部门（如财务、技术）的广播消息互不可见。

• 提升性能：缩小广播域范围，避免无关设备处理多余广播。

设备对广播域的影响：

• 集线器（Hub）：所有设备在同一个广播域（所有端口共享广播）。

• 交换机（Switch）：默认所有端口在同一广播域，但可以通过VLAN分割。

• 路由器（Router）：每个接口属于不同广播域

举个小栗子🌰

• 家庭网络：路由器连接的设备（手机、电脑）属于同一广播域。

• 企业网络：

  • 财务部用VLAN 10，技术部用VLAN 20，两个部门的广播互不影响。

  • 路由器连接不同VLAN，实现跨广播域的通信（如财务访问服务器

3.补充知识点--冲突域

冲突域： 是指网络中可能发生数据冲突的区域。当两个或多个设备在同一物理介质上同时发送数据时，它们的信号会相互干扰，导致数据损坏，这种现象称为冲突。冲突域的大小直接影响网络的效率和性能

冲突域的边界：

• 集线器（Hub）：所有连接到同一集线器的设备属于同一冲突域。

• 交换机（Switch）：每个交换机端口是一个独立的冲突域（交换机隔离冲突域）。

• 网桥（Bridge）：类似交换机，可以分割冲突域

控制冲突域：提升网络性能，减少数据冲突

4.冲突域 vs. 广播域

5.VLAN 如何划分

建议下载一个思科模拟器，具体实操

在思科虚拟器中创建如上将pc0终端连接在交换机的fast的一口，pc1连接在1口

首先创建vlan10，vlan20

创建命令：首先进入特权模式 enable 然后进行全局模式输入vlan10 创建成功，退出vlan模式进入0/1,0/2接口输入interfac fastethernet 0/1 进入一口，然后将一口设置为vlan10

输入switchport access vlan 20

设置成功

设置两台pc ip地址（24位掩码，设置不同网段）

 

• IP 地址 & 子网掩码 = 网络地址

• IP 1：192.168.1.100，子网掩码：255.255.255.0
  网络地址：192.168.10.0

• IP 2：192.168.2.100，子网掩码：255.255.255.0
  网络地址：192.168.20.0
  → 不同网段！

• 默认网关：指向路由器或三层交换机的接口 IP通常设为（192.168.10.1/192.168.20.1）

• 0.0.0.0网关：在某些场景下，0.0.0.0 被用作默认网关的占位符

查看两台pc通信情况

无法通信，vlan划分成功

一个vlan必须有一个单独的网段

Switch(config)# vlan 10                       // 创建 VLAN 10
Switch(config)# interface Fastethernet 0/1  // 进入端口 0/1
Switch(config-if)# switchport access vlan 10  // 将端口划入 VLAN 10

划分VLAN20相同

6.IP地址与子网划分

6.1.什么是子网划分

子网划分 是通过 子网掩码 将一个大的 IP 地址段（如 192.168.1.0/24）划分为多个小的子网（如 192.168.1.0/26、192.168.1.64/26 等），从而实现更高效的 IP 地址分配和网络管理。说白了就是

• 原始网络：一个大房子（如 192.168.1.0/24）。

• 子网划分：把大房子隔成多个小房间（如 192.168.1.0/26、192.168.1.64/26），每个房间独立使用。

！！！不同掩码的网段大小！！！！！（非常重要是后续子网划分的基础）

CIDR	子网掩码	主机位	可用主机数	示例网络地址	可用 IP 范围	典型用途
/16	255.255.0.0	16 位	65,534	172.16.0.0	172.16.0.1 ~ 172.16.255.254	大型企业网络、校园网主干
/17	255.255.128.0	15 位	32,766	192.168.0.0	192.168.0.1 ~ 192.168.127.254	大型子网分区
/18	255.255.192.0	14 位	16,382	10.0.0.0	10.0.0.1 ~ 10.0.63.254	ISP 分配或大规模内部网络
/19	255.255.224.0	13 位	8,190	172.16.0.0	172.16.0.1 ~ 172.16.31.254	中型企业部门划分
/20	255.255.240.0	12 位	4,094	192.168.0.0	192.168.0.1 ~ 192.168.15.254	分支机构网络
/21	255.255.248.0	11 位	2,046	10.0.0.0	10.0.0.1 ~ 10.0.7.254	中小型办公区域
/22	255.255.252.0	10 位	1,022	172.16.0.0	172.16.0.1 ~ 172.16.3.254	中型部门或项目组网络
/23	255.255.254.0	9 位	510	192.168.0.0	192.168.0.1 ~ 192.168.1.254	小型团队或楼层网络
/24	255.255.255.0	8 位	254	192.168.1.0	192.168.1.1 ~ 192.168.1.254	家庭网络、小型企业局域网
/25	255.255.255.128	7 位	126	10.0.0.0	10.0.0.1 ~ 10.0.0.126	服务器集群或中型办公室
/26	255.255.255.192	6 位	62	172.16.1.0	172.16.1.1 ~ 172.16.1.62	中型部门（如市场部）
/27	255.255.255.224	5 位	30	192.168.1.0	192.168.1.1 ~ 192.168.1.30	小型办公室（如 IT 组）
/28	255.255.255.240	4 位	14	10.0.0.0	10.0.0.1 ~ 10.0.0.14	微型团队或设备组（如 IoT 设备）
/29	255.255.255.248	3 位	6	172.16.1.0	172.16.1.1 ~ 172.16.1.6	极小规模网络（如远程分支机构）
/30	255.255.255.252	2 位	2	10.0.0.0	10.0.0.1 ~ 10.0.0.2	路由器点对点链路（WAN 连接）
/31	255.255.255.254	1 位	2*	192.168.1.0	192.168.1.0 ~ 192.168.1.1	特殊点对点链路（RFC 3021）
/32	255.255.255.255	0 位	1	203.0.113.5	203.0.113.5	单台主机（如 VPN 端点或服务器）

• 大掩码（/16 ~ /24）：适用于广域网或大型内部网络。

• 中掩码（/25 ~ /28）：平衡地址利用与灵活性。

• 小掩码（/29 ~ /32）：精细化控制，适合特殊场景。

6.2.为什么要进行子网划分

1. 优化地址分配：避免 IP 地址浪费（如将 /24 网段拆分为多个小网段）。

2. 隔离广播域：减少广播风暴，提升网络性能。

3. 增强安全性：通过子网隔离敏感部门（如财务部 vs 访客网络）。

4. 简化管理：按部门/功能分配 IP 范围，便于维护。

6.3.一个案例教你划分子网

子网划分详解 —— 网络界的“分房大作战” 🏠✂️

一、子网划分的本质：切蛋糕还是分房间？

想象你有一块大蛋糕（比如 192.168.1.0/24），但家里有熊孩子（设备）太多，必须切成小块（子网），否则他们会抢成一团（广播风暴）！
目标：

• 每个熊孩子分到自己的小蛋糕（子网）。

• 蛋糕切得刚刚好，不浪费奶油（IP 地址）！

二、子网划分四步曲

1. 第一步：明确需求 —— 家里有多少熊孩子？

• 问题：要切几块蛋糕？每块蛋糕能喂饱多少熊孩子？

• 示例：

  • 总需求：4 个部门（子网），每个部门 50 台设备（熊孩子）。

  • 原始蛋糕：192.168.1.0/24（254 个 IP，够喂 254 个熊孩子）。

2. 第二步：选刀法（子网掩码）—— 切几刀？

人话：

• 根据每个部门电脑的多少划分，因为每个部门50台电脑所以需要划分可使用主机位为62的26位掩码，24位掩码可以划分多少个26位掩码？

• 可以先根据每个部分设备多少利用子网可用ip计算公式算到底是使用多少位掩码然后结合子网数公式具体分析

3. 第三步：切蛋糕（划分子网）—— 手起刀落！

• 第一刀：

  • 原蛋糕：192.168.1.0/24

  • 切出：192.168.1.0/26（熊孩子编号：.1 ~ .62）。

• 第二刀：

  • 剩下：192.168.1.64/26（熊孩子编号：.65 ~ .126）。

• 第三刀：

  • 剩下：192.168.1.128/26（熊孩子编号：.129 ~ .190）。

• 第四刀：

  • 剩下：192.168.1.192/26（熊孩子编号：.193 ~ .254）。

熊孩子抗议：

• 每个小蛋糕明明能装 62 人，为什么只分 50 人？

• 你：留点空间给未来的二胎熊孩子！（地址预留）

4. 第四步：贴门牌（分配地址）—— 别走错门！

• 网络地址：每块蛋糕的门牌号（如 192.168.1.0）。

• 广播地址：蛋糕盒上的大喇叭（如 192.168.1.63），喊一声全蛋糕的熊孩子都能听见。

• 可用地址：门牌号 +1 到广播地址 -1（如 .1 ~ .62）。

• （IPv4 标准明确要求网络地址和广播地址不可用于主机）。

三、子网划分的灵魂拷问

1. 如何防止熊孩子串门？

• 路由器：当保安，检查门牌号（网络地址）。

• ACL（访问控制列表）：设置黑名单，比如禁止财务部的熊孩子溜去销售部偷零食！

2. 如果熊孩子数量不均衡？

• VLSM（可变长子网掩码）：灵活切蛋糕！

  • 财务部 100 人 → 切 /25（126 人）。

  • IT 部 50 人 → 切 /26（62 人）。

  • 老板办公室 2 人 → 切 /30（2 人）。

老板点赞：这刀法，米其林三星！

四、实战演练：分房大作战

场景：你家有 3 个部门：

• 销售部（60 人）、研发部（30 人）、HR 部（10 人）。

• 原始网络：10.0.0.0/24。

切蛋糕步骤：

1. 销售部：用 /25（126 人）→ 10.0.0.0/25（.1 ~ .126）。

2. 研发部：用 /26（62 人）→ 10.0.0.128/26（.129 ~ .190）。

3. HR 部：用 /28（14 人）→ 10.0.0.192/28（.193 ~ .206）。

剩余蛋糕：10.0.0.208/28（.209 ~ .222），留给未来扩张！

五、子网划分翻车现场

1. 切太碎：用 /30 切 2 人蛋糕，结果部门来了实习生 → 地址不足！

2. 忘广播地址：HR 部用 .206 当主机地址，结果大喇叭（广播地址）被占用 → 网络瘫痪！

3. 路由器没配：切完蛋糕没告诉保安（路由器）新门牌 → 熊孩子集体迷路！（下一跳地址）

六、总结：子网划分口诀

• 需求先问清：几个部门，一个部门多少设备

• 刀法要精准：子网掩码算仔细，主要看部门有多少设备！

• 门牌别贴错：网络地址是起点，广播地址是终点！

• 保安要到位：路由器和 ACL 防串门！

七.VLAN和子网划分区别

VLAN 分割二层广播域，子网隔离三层 IP 流量，双重隔离提升性能

一个vlan划分一个子网，因为一个vlan必须有一个单独的网段

三：VLAN 与子网划分搭配使用案例 —— 企业网络设计实战 🏢🔧

场景背景

某公司需构建安全高效的内部网络，部门如下：

• 财务部（30 人）：高安全性要求，禁止外部访问。

• 市场部（50 人）：需访问互联网和内部服务器。

• 研发部（100 人）：需高性能内网通信。

• 访客网络：隔离访问，仅开放互联网。

1.网络设计目标

1. 广播隔离：各部门独立广播域，避免干扰。

2. 安全隔离：财务部与其他部门隔离。

3. IP 管理：按部门分配 IP 范围，便于维护。

4. 灵活扩展：未来可新增部门或调整规模。

2.VLAN 与子网规划（试着划分一下吧）

（以下配置如果你有思科模拟器且有基础可以配置）

3.配置步骤（以 Cisco 三层交换机为例）

1. 创建 VLAN 并分配子网

! 创建 VLAN 并命名
vlan 10  
 exit
vlan 20  
exit
vlan 30  
 exit
vlan 40  
 exit
vlan 50  
 exit

! 为每个 VLAN 配置子网（SVI）  
interface Vlan10  
 ip address 192.168.10.1 255.255.255.0  
interface Vlan20  
 ip address 192.168.20.1 255.255.255.0  
interface Vlan30  
 ip address 192.168.30.1 255.255.254.0  ! /23 掩码  
interface Vlan40  
 ip address 192.168.40.1 255.255.255.0  
interface Vlan50  
 ip address 10.10.50.1 255.255.255.0  

2. 配置交换机端口

! 接入层端口划入 VLAN（以财务部为例）  
nterface Fastethernet 0/1
 switchport mode access  
 switchport access vlan 10  

! Trunk 端口配置（连接核心交换机或路由器）  
interface GigabitEthernet0/24  
 switchport mode trunk  
 switchport trunk allowed vlan 10,20,30,40,50  

3. 配置 DHCP 服务

! 为市场部分配 DHCP  
ip dhcp pool Marketing  
 network 192.168.20.0 255.255.255.0  
 default-router 192.168.20.1  
 dns-server 8.8.8.8  
! 其他 VLAN 类似配置  

4. 配置路由与安全策略

! 启用 IP 路由  
ip routing  

! 默认路由指向防火墙  
ip route 0.0.0.0 0.0.0.0 10.10.50.254  

! 禁止财务部访问互联网（ACL）  
ip access-list extended Block-Finance-Internet  
 deny ip 192.168.10.0 0.0.0.255 any  
 permit ip any any  
interface Vlan10  
 ip access-group Block-Finance-Internet in  

四、验证与测试

1. VLAN 连通性测试：

   • 财务部设备 Ping 网关 192.168.10.1 → 应成功。

   • 财务部设备 Ping 市场部网关 192.168.20.1 → 应失败（ACL 拦截）。

2. 互联网访问测试：

   • 市场部设备访问 www.google → 应成功。

   • 访客设备访问内部服务器 10.10.50.100 → 应失败（子网隔离）

四：综合案例

你能实现以下设备直接的互联互通么（此案例涉及子网划分，静动态路由设置，路由汇总，NAT，DNAT等知识点覆盖的综合型使用）感兴趣且有基础的可以试着配，答案我会在计算机网络系列完结的最后一篇文章呈现！！！

总结

子网划分遵循：IP地址优化：避免浪费，合理分配有限资源。网络性能提升：减少广播风暴，隔离流量。安全管理：通过逻辑隔离保护敏感数据。灵活扩展：适应企业增长，便于新增部门或设备

（需要资料联系博主免费领取！！还希望多多关注点赞支持，你的支持就是我的最大动力！！！）