網(wǎng)絡(luò)工程規(guī)劃與設(shè)計(jì)案例教程項(xiàng)目三-任務(wù)二-懷鋼（集團(tuán)）有限公司信息化建設(shè)項(xiàng)目（第一期）ip地址規(guī)劃方案

長(zhǎng)勝鋼鐵集團(tuán)信息化建設(shè)項(xiàng)目一期工程IP地址規(guī)劃方案書(shū)目錄TOC\o"1-3"\u1. 概述 1 網(wǎng)絡(luò)設(shè)計(jì)原則 1 網(wǎng)絡(luò)建設(shè)目標(biāo)和總體規(guī)劃 12. IP地址分配和域名管理 4 IP地址管理概述 4 內(nèi)部網(wǎng)絡(luò)IP地址分配 4 外部網(wǎng)絡(luò)IP地址分配 4 ISP網(wǎng)絡(luò)IP地址分配 5 域名管理 5概述根據(jù)我們的組網(wǎng)經(jīng)驗(yàn)，結(jié)合長(zhǎng)勝鋼鐵公司企業(yè)網(wǎng)的建設(shè)必須要統(tǒng)籌規(guī)劃，全面安排，確保網(wǎng)絡(luò)的合理性、先進(jìn)性、經(jīng)濟(jì)性和安全性，并且要為網(wǎng)絡(luò)未來(lái)的發(fā)展留有足夠的擴(kuò)充余地。網(wǎng)絡(luò)設(shè)計(jì)原則（1）堅(jiān)持實(shí)用性并充分保護(hù)用戶的投資（2）堅(jiān)持開(kāi)放性、兼容性和可互連性，向事實(shí)上的工業(yè)標(biāo)準(zhǔn)TCP/IP協(xié)議靠攏，同時(shí)考慮支持IPX/SPX（3）堅(jiān)持技術(shù)的先進(jìn)性（4）堅(jiān)持高可管理性（5）堅(jiān)持高可靠性（6）提供冗余備份功能（7）能有效進(jìn)行網(wǎng)絡(luò)管理（8）利于網(wǎng)絡(luò)擴(kuò)展和技術(shù)升級(jí)（9）充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備（10）提供嚴(yán)格受控的撥號(hào)訪問(wèn)系統(tǒng)（11）提供完全的網(wǎng)絡(luò)安全控制網(wǎng)絡(luò)建設(shè)目標(biāo)和總體規(guī)劃長(zhǎng)勝鋼鐵公司信息系統(tǒng)網(wǎng)絡(luò)建設(shè)的目標(biāo)，就是在總部和各分支機(jī)構(gòu)局域網(wǎng)建設(shè)、及其廣域網(wǎng)聯(lián)接的基礎(chǔ)上，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，從而建立起統(tǒng)一、快捷、高效的Intranet系統(tǒng)。整個(gè)系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟(jì)的原則，即實(shí)現(xiàn)合理的投入，最大的產(chǎn)出。具體規(guī)劃如下：（1）以電訊公司為中心，與公司機(jī)關(guān)大樓、廠區(qū)內(nèi)生產(chǎn)處、各二級(jí)廠等單位通過(guò)光纖相連，構(gòu)成一大型分級(jí)局域網(wǎng)；（2）以千兆以太作為主干網(wǎng)，利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN劃分。一期規(guī)劃中十個(gè)二級(jí)節(jié)點(diǎn)采用千兆，與中心主交換機(jī)（主節(jié)點(diǎn)）構(gòu)成千兆網(wǎng)絡(luò)主干，各二級(jí)單位（三級(jí)節(jié)點(diǎn)）采用100M光纖收發(fā)器通過(guò)二級(jí)節(jié)點(diǎn)接入主干網(wǎng)；（3）考慮到網(wǎng)絡(luò)環(huán)路連接可達(dá)到冗余效果，增加系統(tǒng)的可靠性，因此，二級(jí)節(jié)點(diǎn)之間盡可能互聯(lián)，形成環(huán)路；（4）網(wǎng)絡(luò)中心建設(shè)撥號(hào)訪問(wèn)服務(wù)中心，接受遠(yuǎn)程撥號(hào)訪問(wèn)，并由認(rèn)證和計(jì)費(fèi)系統(tǒng)進(jìn)行權(quán)限認(rèn)證和計(jì)費(fèi)；（5）網(wǎng)絡(luò)通過(guò)申請(qǐng)專線或虛擬光纖接入Internet/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng)(VPN)；通過(guò)采用Web技術(shù)和Internet-VPN技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)。這樣，可以提供遠(yuǎn)程撥號(hào)訪問(wèn)和通過(guò)Internet訪問(wèn)兩種方式，來(lái)實(shí)現(xiàn)全國(guó)各分支機(jī)構(gòu)、相關(guān)部門(mén)以及公眾對(duì)長(zhǎng)勝鋼鐵信息的限制性訪問(wèn)；（6）網(wǎng)絡(luò)的安全機(jī)制：通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的配置，控制訪問(wèn)列表等方式來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性措施；更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及Web服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性。（7）網(wǎng)絡(luò)中心設(shè)立WEB應(yīng)用服務(wù)器、代理服務(wù)器、E-MAIL服務(wù)器、DNS服務(wù)器、計(jì)費(fèi)認(rèn)證服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，實(shí)現(xiàn)WEB訪問(wèn)、Internet接入、E-MAIL系統(tǒng)、域名解析、計(jì)費(fèi)認(rèn)證和應(yīng)用系統(tǒng)等各種功能。主干網(wǎng)絡(luò)總體邏輯示意圖如下圖1：CiscoCatalyst6509中心交換機(jī)SUNE450服務(wù)器SUNE450服務(wù)器SUNE250服務(wù)器CiscoCatalyst2950交換機(jī)連接千兆主干網(wǎng)二級(jí)企業(yè)千兆接入3548交換機(jī)CatalystCiscoSUNE250服務(wù)器2950交換機(jī)CatalystCisco2950交換機(jī)CatalystCisco工作組交換機(jī)網(wǎng)管工作站磁盤(pán)陣列WEB服務(wù)器DNS服務(wù)器2950交換機(jī)CatalystCiscoCiscoCatalyst3548交換機(jī)2950交換機(jī)CatalystCisco三級(jí)企業(yè)百兆接入代理服務(wù)器計(jì)費(fèi)認(rèn)證服務(wù)器CiscoPIX防火墻Cisco3640路由器ChinaNetInternet/電訊公司網(wǎng)CiscoAS5300訪問(wèn)服務(wù)器撥號(hào)訪問(wèn)PC機(jī)Internet用戶Internet用戶撥號(hào)訪問(wèn)PC機(jī)信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC連接光纖連接光纖信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC千兆接入二級(jí)企業(yè)光纖連接數(shù)據(jù)庫(kù)服務(wù)器E-MAIL服務(wù)器備份二級(jí)子網(wǎng)三級(jí)子網(wǎng)二級(jí)子網(wǎng)電訊公司網(wǎng)絡(luò)中心ISP服務(wù)INTERNET接入雙機(jī)熱備CiscoCatalyst6509中心交換機(jī)SUNE450服務(wù)器SUNE450服務(wù)器SUNE250服務(wù)器CiscoCatalyst2950交換機(jī)連接千兆主干網(wǎng)二級(jí)企業(yè)千兆接入3548交換機(jī)CatalystCiscoSUNE250服務(wù)器2950交換機(jī)CatalystCisco2950交換機(jī)CatalystCisco工作組交換機(jī)網(wǎng)管工作站磁盤(pán)陣列WEB服務(wù)器DNS服務(wù)器2950交換機(jī)CatalystCiscoCiscoCatalyst3548交換機(jī)2950交換機(jī)CatalystCisco三級(jí)企業(yè)百兆接入代理服務(wù)器計(jì)費(fèi)認(rèn)證服務(wù)器CiscoPIX防火墻Cisco3640路由器ChinaNetInternet/電訊公司網(wǎng)CiscoAS5300訪問(wèn)服務(wù)器撥號(hào)訪問(wèn)PC機(jī)Internet用戶Internet用戶撥號(hào)訪問(wèn)PC機(jī)信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC連接光纖連接光纖信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC信息點(diǎn)PC千兆接入二級(jí)企業(yè)光纖連接數(shù)據(jù)庫(kù)服務(wù)器E-MAIL服務(wù)器備份二級(jí)子網(wǎng)三級(jí)子網(wǎng)二級(jí)子網(wǎng)電訊公司網(wǎng)絡(luò)中心ISP服務(wù)INTERNET接入雙機(jī)熱備圖1長(zhǎng)勝鋼鐵集團(tuán)信息系統(tǒng)一期規(guī)劃網(wǎng)絡(luò)邏輯示意圖IP地址分配和域名管理IP地址管理概述對(duì)于局域網(wǎng)的IP地址管理問(wèn)題，用戶規(guī)模越大，管理工作就越困難，所以網(wǎng)絡(luò)管理員必須深思加以解決。目前有兩種方案，一是使用動(dòng)態(tài)IP地址分配（DHCP），另一種方案是使用靜態(tài)地址分配，但必須加強(qiáng)MAC地址的管理。用動(dòng)態(tài)IP地址分配（DHCP）的最大優(yōu)點(diǎn)是客戶端網(wǎng)絡(luò)的配置非常簡(jiǎn)單，在沒(méi)有管理員的幫助和干預(yù)的情況下，用戶自己便可以對(duì)網(wǎng)絡(luò)進(jìn)行連接設(shè)置。但是，因?yàn)镮P地址是動(dòng)態(tài)分配的，網(wǎng)管員不能從IP地址上鑒定客戶的身份，相應(yīng)的IP層管理將失去作用。而且使用動(dòng)態(tài)IP地址分配需要設(shè)置額外DHCP服務(wù)器。使用靜態(tài)IP地址分配可以對(duì)各部門(mén)進(jìn)行合理的IP地址規(guī)劃，能夠在第三層上方便地跟蹤管理，再加上對(duì)網(wǎng)卡MAC地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性。但如果網(wǎng)絡(luò)規(guī)模較大，則IP地址管理的工作量就相當(dāng)大。綜合以上考慮，由于一期規(guī)劃整個(gè)信息點(diǎn)的規(guī)模不是很大，因此從網(wǎng)絡(luò)安全的角度出發(fā)，我們建議采用靜態(tài)地址分配的方法。并結(jié)合中心交換機(jī)的第三層交換功能，進(jìn)行子網(wǎng)的劃分，一方面可以降低網(wǎng)絡(luò)風(fēng)暴的發(fā)生，另一方面也加強(qiáng)了網(wǎng)絡(luò)的安全性。當(dāng)隨著以后各期規(guī)劃的實(shí)施，整個(gè)網(wǎng)絡(luò)信息的規(guī)模不斷擴(kuò)大，則可以考慮采用DHCP動(dòng)態(tài)IP地址分配的方案，設(shè)立專門(mén)的DHCP服務(wù)器進(jìn)行動(dòng)態(tài)IP地址分配。同樣可以基于中心交換機(jī)的VLAN功能進(jìn)行配置，劃分網(wǎng)段，根據(jù)各個(gè)二級(jí)單位信息點(diǎn)所在的網(wǎng)段進(jìn)行動(dòng)態(tài)地址分配。內(nèi)部網(wǎng)絡(luò)IP地址分配內(nèi)部網(wǎng)部分可以使用保留地址。根據(jù)IANA的規(guī)定，以下三段地址作為保留地址，可以由用戶自由使用，并只需保證企業(yè)范圍內(nèi)的唯一性。保留地址如下：10.0（1個(gè)A類地址）（ChinaNet使用該地址段）至 （16個(gè)B類地址）至 （256個(gè)C類地址）我們建議內(nèi)部網(wǎng)絡(luò)采用保留IP地址192.168.x.x，子網(wǎng)掩碼，則最多可以提供254x254=64516個(gè)IP地址，254個(gè)子網(wǎng)，在可以預(yù)見(jiàn)的將來(lái)能夠滿足信息點(diǎn)增長(zhǎng)的要求。如果子網(wǎng)數(shù)大于254個(gè)，則可以通過(guò)修改子網(wǎng)掩碼的方式擴(kuò)展。分配原則：我們把192.168.n.0（n從1到254）稱作一個(gè)二級(jí)子網(wǎng)，原則上網(wǎng)絡(luò)中心、機(jī)關(guān)大樓和每個(gè)二級(jí)單位各分配一個(gè)二級(jí)子網(wǎng)。根據(jù)二級(jí)單位的規(guī)模和信息點(diǎn)的數(shù)量，可以根據(jù)需要進(jìn)行調(diào)整。每個(gè)二級(jí)單位應(yīng)指定專人負(fù)責(zé)本子網(wǎng)的IP地址分配和管理工作，并和網(wǎng)絡(luò)管理員協(xié)同工作，確保IP地址管理的效率。對(duì)于重要的IP地址（比如領(lǐng)導(dǎo)使用的IP地址和各個(gè)服務(wù)器使用的IP地址），采取IP地址和MAC地址綁定的方法，來(lái)保證IP地址不被盜用。這種綁定可以在PIX防火墻上實(shí)現(xiàn)。外部網(wǎng)絡(luò)IP地址分配但是內(nèi)部服務(wù)器中的WWW服務(wù)器、E-MAIL服務(wù)器等都需要和外界通訊我們解決這個(gè)問(wèn)題，我們可以申請(qǐng)一定數(shù)量的合法IP地址，并綁定在在防火墻的外部網(wǎng)卡上，然后通過(guò)IP映射（NAT，介紹PIX防火墻時(shí)有詳細(xì)描述）使發(fā)給其中某一個(gè)IP地址的包轉(zhuǎn)發(fā)至內(nèi)部的WWW服務(wù)器上，然后再將該內(nèi)部WWW服務(wù)器響應(yīng)包偽裝成該合法IP發(fā)出的包。具體過(guò)程如圖9所示：圖9內(nèi)網(wǎng)與外網(wǎng)工作過(guò)程圖我們假設(shè)以下情景：ISP分配給www服務(wù)器的ip為：內(nèi)部IP,真實(shí)IPISP分配給E-MAIL服務(wù)器的IP為：內(nèi)部IP，PIX防火墻的IP，通過(guò)設(shè)置PIX把真實(shí)IP綁定到防火墻的外網(wǎng)接口，并在PIX上定義好NAT規(guī)則，這樣，所有目的IP為00和00的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給00和00；而所有來(lái)自00和00的數(shù)據(jù)包都將分別被偽裝成由00和00，從而也就實(shí)現(xiàn)了IP映射。需要申請(qǐng)合法IP地址的服務(wù)器包括：INTERNET接入路由器、WWW服務(wù)器、E-MAIL服務(wù)器、防火墻。ISP網(wǎng)絡(luò)IP地址分配一個(gè)內(nèi)部子網(wǎng)分配給撥號(hào)訪問(wèn)服務(wù)器，共有254個(gè)IP地址，可以滿足240個(gè)用戶的接入需要。檔ISP系統(tǒng)擴(kuò)容時(shí)，可以相應(yīng)增加子網(wǎng)的數(shù)量即可。撥號(hào)用戶采用動(dòng)態(tài)IP地址分配的方法。為了方便管理，ISP分配給用戶的IP地址都是內(nèi)部IP地址，可以訪