公司内部IP地址分配及网络改进计划.doc

.公司内部IP地址分配及网络改进计划一 目前IP 地址资源使用状况当前集团总部IP 地址段与分支机构重复，影响网络扩展，目前地址池如下，Head Office: 192.168.0.0/24Wireless Zone:192.168.1.0/24Server Zone: 192.168.100.0/24其他各分支点均为192.168.0.0/24目前使用的C类保留地址段同网段下最多256个地址，并且总部和分支机构使用同样网段的IP地址资源会影响集团内网络的扩展，而且随着公司的发展，在以后需要扩展网络或增加服务时会造成很多不便。二 规划地址池资源IP地址的分配原则，一为体系化编址；二可持续扩展性。体系化即结构化、组织化，对整个网络地址进行有条理的规划。使整个网络的结构清晰，而每个区域的地址与其他的区域地址相对独立，也便于独立的灵活管理。可持续扩展性，在初期规划时为将来的网络拓展考虑，在将来很可能增大规模的区块中要留出较大的余地。对于集团内IP 资源进行重新规划并预分配。1. 使用A类保留地址段分配，A类选用23 Mask bits，共32768个子网可选，每网段地址池包含510个地址可用2. 集团总部预分配127个子网段，其余分支机构预分配10个子网，Server区涉及到用户端软件配置的更改，保留原地址段。Group Head Office:10.10.0.0/23-10.10.254.0/23127 VlanServer Zone:192.168.100.0/24DMZ:192.168.101.0/24Branch Office 1：10.11.0.0/23-10.11.18.0/2310 VlanBranch Office 2：10.11.20.0/23-10.10.38.0/2310 Vlan3. VLAN的使用，VLAN有利用减少网络风暴及病毒的传播，也同样有利于建立访问规则的控制，增强网络的安全性，分配使用划分方式：u 以区域划分， 以每个楼层划分1个VLAN；u 以部门划分，每若干部门划分一个VLAN，如u 以功能划分，例如门禁考勤设备和IP电话等独立成VLAN，或者根据实际需要综合规划，如下例。DeptVlan idIP Address信息部Vlan110.10.0.X人事部Vlan210.10.2.X行政部Vlan310.10.4.X财务部Vlan410.10.6.X采购部Vlan510.10.8.X销售部Vlan610.10.10.X战略规划部Vlan710.10.12.X研发部Vlan810.10.14.X其他部门Vlan910.10.16.X领导层Vlan1110.10.18.X服务器Vlan12192.168.100.X来宾Vlan10192.168.10.X门禁控制器Vlan1310.10.20.X4. VPN 构建，VPN 可以有利于内部资源的共享并满足以后IP电话的扩展。建议构建IPsec VPN ，IPsec VPN有完整的安全机制，包括加密、认证和数据防篡改功能。三 更换IP段计划因接入层均需要更换交换机，计划按两个阶段更换地址池l 将现有地址段由C类地址迁移到A类地址池10.10.0.0/23 地址段l 待接入层更换支持VLAN的交换机后，将按VLAN 划分地址池。阶段一A. 向电信申请一组公网IP；安装第二台防火墙用于VPN连接。B. 确认所有应用不受影响，并确认实施时间；C. 在DC上配置原C类地址段DHCP池；D. 组策略将客户端设置成自动获得地址E. 将DC 等服务器、防火墙设置第二个IP地址（A类地址段）；F. 在DNS中设置第二地址池（新地址段），确认服务器DNS信息更新成功；G. 测试在新的地址分区内将客户端加入域；H. 更新DHCP 设置，删除旧地址池，建立新的A类地址池，I. 测试客户端得到新地址池，并登陆验证OK。J. 移除服务器上第一IP地址。四 部署内部网络管理和安全方案在IP地址迁移之后计划部署一套内部网络管理系统用于监控交换机端口l Zenoss ,基于linux 平台的开源方案，基于SNMP 协议监控各类网络设备和服务器状态和性能l Snort , 基于Linux 的开源IDS 方案，分析网络内数据状态，监