网络工程规划与设计案例教程项目三_任务二_怀钢（集团）有限公司信息化建设项目（第一期）IP地址规划方案.doc

长胜钢铁集团有限公司 信息化建设项目一期工程 IP地址规划方案书  目 录 1. 概述 1 1.1 网络设计原则 1 1.2 网络建设目标和总体规划 1 2. IP地址分配和域名管理 4 2.1 IP地址管理概述 4 2.2 内部网络IP地址分配 4 2.3 外部网络IP地址分配 4 2.4 ISP网络IP地址分配 5 2.5 域名管理 5 概述 根据我们的组网经验，结合长胜钢铁公司企业网的建设必须要统筹规划，全面安排，确保网络的合理性、先进性、经济性和安全性，并且要为网络未来的发展留有足够的扩充余地。 网络设计原则 （1）坚持实用性并充分保护用户的投资 （2）坚持开放性、兼容性和可互连性，向事实上的工业标准TCP/IP协议靠拢，同时考虑支持IPX/SPX （3）坚持技术的先进性 （4）坚持高可管理性 （5）坚持高可靠性 （6）提供冗余备份功能 （7）能有效进行网络管理 （8）利于网络扩展和技术升级 （9）充分利用现有的网络设备 （10）提供严格受控的拨号访问系统 （11）提供完全的网络安全控制 网络建设目标和总体规划 长胜钢铁公司信息系统网络建设的目标，就是在总部和各分支机构局域网建设、及其广域网联接的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的Intranet系统。整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最大的产出。具体规划如下： （1）以电讯公司为中心，与公司机关大楼、厂区内生产处、各二级厂等单位通过光纤相连，构成一大型分级局域网； （2）以千兆以太作为主干网，利用第三层交换技术实现大型局域网的VLAN划分。一期规划中十个二级节点采用千兆，与中心主交换机（主节点）构成千兆网络主干，各二级单位（三级节点）采用100M光纤收发器通过二级节点接入主干网； （3）考虑到网络环路连接可达到冗余效果，增加系统的可靠性，因此，二级节点之间尽可能互联，形成环路； （4）网络中心建设拨号访问服务中心，接受远程拨号访问，并由认证和计费系统进行权限认证和计费； （5）网络通过申请专线或虚拟光纤接入Internet/ChinaNET，在公网上建立虚拟专用网(VPN)；通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样，可以提供远程拨号访问和通过Internet访问两种方式，来实现全国各分支机构、相关部门以及公众对长胜钢铁信息的限制性访问； （6）网络的安全机制： 通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。 （7）网络中心设立WEB应用服务器、代理服务器、E-MAIL服务器、DNS服务器、计费认证服务器和数据库服务器，实现WEB访问、Internet接入、E-MAIL系统、域名解析、计费认证和应用系统等各种功能。主干网络总体逻辑示意图如下图1： 图1长胜钢铁集团信息系统一期规划网络逻辑示意图 IP地址分配和域名管理 IP地址管理概述 对于局域网IP地址用户规模越大，工作就越困难，所以网络管理员必须深思加以解决。目前有两种方案，一是使用动态IP地址分配（DHCP），另一种方案是使用静态地址分配，但必须加强MAC地址的管理。用动态IP地址分配（DHCP）的最大优点是客户端网络的配置非常简单，在没有管理员的帮助和干预的情况下，用户自己便可以对网络进行连接设置。但是，因为IP地址是动态分配的，网管员不能从IP地址上鉴定客户的身份，相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，对MAC地址的管理，.0.0.0（1个A类地址）（ChinaNet使用该地址段） 至 （16个B 类地址） 至 （256个C类地址） 我们建议内部网络采用保留IP地址192.168.x.x，子网掩码，则最多可以提供254x254=64516个IP地址，254个子网，在可以预见的将来能够满足信息点增长的要求。如果子网数大于254个，则可以通过修改子网掩码的方式扩展。 分配原则：我们把192.168.n.0（n从1到254）称作一个二级子网，原则上网络中心、机关大楼和每个二级单位各分配一个二级子网。根据二级单位的规模和信息点的数量，可以根据需要进行调整。每个二级单位应指定专人负责本子网的IP地址分配和管理工作，并和网络管理员协同工作，确保IP地址管理的效率。 对于重要的IP地址（比如领导使用的IP地址和各个服务器使用的IP地址），采取IP地址和MAC地址绑定的方法，来保证IP地址不被盗用。这种绑定可以在PIX防火墙上实现