中型网络综合配置与安全配置

0 江 西 理 工 大 学 南 昌 校 区 毕 业 设 计（论文） 题 目： 中型网络综合配置与安全配置 系 ： 专 业： 班 级： 学 生： 学 号： 指导教师： 职称： 1 引 言 . 5 1.网络技术介绍 . 错误 !未定义书签。 1.1 因特网协议 . 5 1.1.1、 Tcp/Ip 协议 . 5 1.1.2、主机到主机层协议 . 6 1.1.3、因特网层协议 . 7 1.2 路由与 交换技术 . 8 1.2.1 什么是路由 . 8 1.2.2 什么是交 换 . 8 1.2.3 局域网交换机的种类和选择 . 9 1.3 VLAN 虚拟 局域网 . 9 1.3.1 VLAN 简介 . 9 1.3.2 VLAN 的优点 . 10 1.3.3 VTP：思科 VLAN 中继协议（ VTP： Cisco VLAN Trunking Protocol） . 10 1.4 NAT 地址转换技术 . 11 1.4.1 NAT 原理简介 . 11 1.4.2 NAT 技术类型 . 11 1.5 访问控制列表 ACL（ ACCESS CONTROL LIST， ACL) . 12 1.5.1 概述 . 12 1.5.2 ACL 的作用 . 12 2.项目分析 . 13 2.1 案例概况 . 13 2.2 案例技术要求 . 14 2.3 案例深入分析 . 14 2.3.1 拓扑结构分析 . 14 2.3.2 VLAN 划分原则 . 14 2.3.3 其他网络技术的使用 . 15 2.4 网络布线工程 . 15 2.5 项目设计总结 . 15 2.5.1 总拓扑图： . 15 2.5.2 IP 地址及 VLAN 划分对照表 . 16 3.网络设置与调试 . 18 3.1 试验环境说明 . 18 3.2 交换机配置部分 . 18 3.2.1 配置前说明 . 18 3.2.2 一楼交换机配置命令 . 18 3.2.3 二楼交换机配置 . 20 3.2.4 三楼交换机配置 . 20 3.2.5 主交换机配置 . 20 3.2.6 VTP 配置 . 21 3.2.7 默认网关 . 22 3.3 路由器配置部分 . 23 2 3.3.1 基本配置 . 23 3.3.2 路由协议配置 . 24 3.3.3 NAT 地址转换配置 . 24 3.3.4 访问控制列表配置 . 25 4.项目验收测试 . 28 4.1 网络性能测试 . 28 4.2 网络安全测试 . 29 结 论 . 30 谢 辞 . 31 参考文献 . 32 3 摘要 在当今社会，全球经济发展和信息技术不断发展，不断结合；网络已经成为企业领导者和员工传递信息和管理的主要途径。在淘汰了复杂的手工管理后，自动化和智能化的计算机管理逐渐被企业所认可，特别是现在特别流行的公司局域网。企业内部网络的架设，不仅让企业的运作更有效率，而且带来了管理上的便捷。起初，企业内部架设网络仅仅是为了实现企业内部信息的共享，帮助员工快速的查找到他们需要的资料。但是后来全问题逐步凸显了出来，机密文件外泄、得到权限的用户不能行使自己的权利，对企业的利益造成了损害。 随需求确定安全管理策 略随着网络拓扑结构、网络应用以及网络安全技术的不断发展，安全策略的制订和实施是一个动态的延续过程。当然可以请有经验的安全专家或购买服务商的专业服务。但是一个单位的网络安全服务建设不可能仅依靠公司提供的安全服务，因为商业行为与企业安全有本质差别，不是所有的网络都需要所有的安全技术，何况有些安全技术本身并不成熟，只有采取适当防护，重点突出的策略，才能有的放矢，不会盲目跟风。 本文通过进行对一个公司的内部网络的设计、调试及安全方面的配置。解决了上面所考虑到的一些问题，具有一定的参考价值。 关键词： 企业内部网络管 理，网络安全管理 4 Medium Network Configuration and Security Configuration Abstract In now society， global economic development and information technology continuous development and integration; Networks have become leaders and impart information and the staff are the main channels. Out in a complex manual management, automation and management of intelligent computers have been gradually recognized by the enterprise, Especially now extremely popular network management. Enterprises to set up internal network, not only to allow enterprises to work more efficiently, but also create a convenient management. Initially, the internal network is only set up in order to achieve the enterprises internal information sharing, helping staff to quickly find the information they need. But he highlighted security problems out, confidential documents leaked, the competence of the users to be unable to exercise their rights, to the interests of the damage caused. With the demand for security management strategy identified with the network topology, network applications and network security technology continues to develop, security strategy formulation and implementation is a dynamic process of renewal. Requests can certainly experienced security experts to purchase services or professional services. However, a unit of Internet security service building company can not rely solely on the provision of security services, because commercial and enterprise security is a fundamental difference, and not all of the needs of all network security technology, Moreover, some security technology itself is not mature enough, only to take appropriate protection, focused strategy to targeted, not blindly follow the trend. By conducting a companys internal network design, debug and security configuration. Solve the above into account some issues with reference value. Keywords： Enterprise network management， Network Security Management 5 引 言 从 1973 年第一个局域网 ALTO ALOHA（事实上它的创造者叫它 Ethernet，也就是我们现在所说的以太网） 的出现已经有 30 余年的历史了。从一开始 2.94Mbps 的传输速率到现在已经开始普及的千兆以太 网其中过程可谓曲折。中间变革不仅仅从网络拓扑上，传输介质，网络标准也不断更新换代。 现在网络化办公，自动化办公已经从当年的设想演变成现在普及使用，其功能上甚至有胜于当年的设想蓝图。 SOHO 是以前上班族的梦想，现在已经是现代白领生活中的一部分了。在家办公，自由职业者由于网络这个媒介的日渐成熟而成为现实。 政府以及企业都在实行网络化办公。不仅方便快捷提高了效率而且便于管理。异地办公，分公司访问总公司的服务器以查找需要的资料，这一方式正在大中型企业里开始应用。其好处可想而知。而且网络权限的设置规定了，哪些人可以访 问机密文件，哪些人则被拒绝。安全系数也比较高，不用担心泄密问题。当然没有完全安全的网络环境，所以网络专家们仍在继续研究安全技术以使网络环境更加的安全，这不仅仅是技术层面上的问题，这还涉及到管理体制的方法。 本次论文将要构建的一个小型公司网络就是一个典型的公司办公网络。不仅要保证一个稳定的网络运行，而且要保证网络环境的安全确保公司的机密资料不会被未授权的人盗取。 当然我只能做到网络技术层面上的万无一失，如果人员职能问题上出现漏洞不是网络安全所能解决的。 1 网络技术介绍 1.1 因特网协议 1.1.1、 Tcp/Ip 协议 TCP/IP（传输入控制地议 /网际协议）是一种网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的数据传输格式以及传送方式。 TCP/IP 是因特网的基础协议。 如果能够正确地设计和应用，一个 Tcp/Ip 网络将是一个可靠的并富有弹性的网络。 世界上有各种不同类型的计算机，也有不同的操作系统，要想让这些装有不同操作系统的不同类型计算机互相通讯，就必须有统一的标准。 TCP IP 协议就是目前被各方面遵从的网际互联工业标准。 TCP/IP 协议覆盖了 OSI 网络结构七层模型中的六层 ，并支持从交换（第二层）诸如多协议标记交换，到应用程序诸如邮件服务方面的功能。 TCP/IP 的核心功能是寻址和路由选择（网络层的 IP/IPV6 ）以及传输控制（传输层的 TCP、 UDP）。 6 1.1.2、主机到主机层协议 主机到主机层的主要目的，是将上层的应用程序从网络传输的复杂性中层屏蔽出来。在这一层可以对它的上层说：“你只需给我你的数据流，它的结构可以是任意的，让我来负责这些数据的发送准备。” 本层的两个协议： 传输控制协议（ TCP） 用户数据报协议（ UDP） 、传输控制 协议 传输控制协议（ Transmission Control Protocol， TCP）是一种面向连接的、可靠的、基于字节流的运输层通信协议，通常由 IETF 的 RFC 793 说明。在简化的计算机网络 OSI 模型中，它完成运输层所指定的功能。 在因特网协议族中， TCP 层是位于 IP 层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是 IP 层不提供这样的流机制，而是提供不可靠的包交换。 应用层向 TCP 层发送用于网间传输的、用 8 位字节表示的数据流，然后 TCP 把数据流分割成适当长度的报文段 （通常受该计算机连接的网络的数据链路层的最大传送单元 (MTU)的限制）。之后 TCP 把结果包传给 IP 层，由它来通过网络将包传送给接收端实体的 TCP 层。TCP 为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认 (ACK)；如果发送端实体在合理的往返时延 (RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。 TCP 用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算校验和。 TCP 连接包括三个状态：连接建立、 数据传送和连接终止。 TCP 用三路握手过程建立一个连接，用四路握手过程建立来拆除一个连接。在连接建立过程中，很多参数要被初始化，例如序号被初始化以保证按序传输和连接的强壮性。 TCP 并不是对所有的应用都适合，一些新的带有一些内在的脆弱性的运输层协议也被设计出来。比如，实时应用并不需要甚至无法忍受 TCP 的可靠传输机制。在这种类型的应用中，通常允许一些丢包、出错或拥塞，而不是去校正它们。例如通常不使用 TCP 的应用有：实时流多媒体（如因特网广播）、实时多媒体播放器和游戏、 IP 电话（ VoIP）等等。任何不是很需要可靠 性或者是想将功能减到最少的应用可以避免使用 TCP。在很多情况下，当只需要多路复用应用服务时，用户数据报协议（ UDP）可以代替 TCP 为应用提供服务。 、用户数据报协议 用户数据报协议 (User Datagram Protoco, UDP)是一个简单的面向数据报的传输层(transport layer)协议， IETF RFC 768 是 UDP 的正式规范。 在 TCP/IP 模型中， UDP 为网络层 (network layer)以下和应用层 (application layer)以上提供了一个简单的接口。 UDP 只提供数据的不可靠交付，它一旦把应用程序发给网络层的数据发送出去，就不保留数据备份（所以 UDP 有时候也被认为是不可靠的数据报协议）。 UDP在 IP 数据报的头部仅仅加入了复用和数据校验（字段）。 UDP 首部字段由 4 个部分组成，其中两个是可选的。各 16-bit 的源端口和目的端口用来标记发送和接受的应用进程。因为 UDP 不需要应答，所以源端口是可选的，如果源端口不用，那么置为零。在目的端口后面是长度固定的以字节为单位的长度域，用来指定 UDP数据报包括数据部分的长度 ,长度最小值为 8 (octets)。首部剩下地 16-bit 是用来对首部和数 7 据部分一起做校验和的，这部分是可选的，但在实际应用中一般都使用这一功能。 由于缺乏可靠性， UDP 应用一般必须允许一定量的丢包、出错和复制。有些应用，比如 TFTP，如果需要则必须在应用层增加根本的可靠机制。但是绝大多数 UDP 应用都不需要可靠机制，甚至可能因为引入可靠机制而降低性能。流媒体 Streaming media、实时多媒体游戏和 voice over IP (VoIP)就是典型的 UDP 应用。如果某个应用需要很高的可靠性，那么可以用传输控制协议 Transmission Control Protocol 来代替 UDP。 由于缺乏拥塞避免和控制机制，需要基于网络的机制来减小因失控和高速 UDP 流量负荷而导致的拥塞崩溃效应。换句话说，因为 UDP 发送者不能够检测拥塞，所以像使用包队列和丢弃技术的路由器这样的网络基本设备往往就成为降低 UDP 过大通信量的有效工具。数据报拥塞控制协议 Datagram Congestion Control Protocol (DCCP)设计成通过在诸如流媒体类型的高速率 UDP 流中增加主机拥塞控制来减小这个潜在的问题。 1.1.3、因特网层协议 在 DoD 的模型中，设置因特 网层有两个主要的理由：路由及为上层提供一个简单的网络接口。 没有任何一个其他的高层或低层协议会涉及到任何有关路由的功能，这个复杂和重要的任务是完全属于因特网层。 因特网层协议： 1 因特网协议（ IP） 2 因特网控制报文协议（ ICMP） 3 地址解析协议（ ARP） 4 逆向地址解析协议（ RARP） 、因特网协议（ IP） 因特网协议其实质就是因特网层。其他的协议仅仅是建在离其基础上用于支持 IP 协议的。 IP 是从主机到主机层处接受数据段的，在需要时再将他们组合成数据报（ 数据包），然后接收方的 IP 再重新组合数据报为数据段。每个数据报都被指定了发送者和接收者的 IP 地址。每个接收了数据报的路由器都是基于数据包的目的 IP 地址来决定路由的。 构成 IP 报头的字段如下： 1 版本 4 2 报头长度（ HLEN） 4 3 IP 优先位或 ToS 8 4 总长度 16 5 标识 16 6 标志 3 7 分段偏移 13 8 TTL(存活期 ) 8 9 协议 8 10 报头和效验和 16 11 源 IP 地址 32 12 IP 选项 0 或 32 13 数据 可变 注：后面的数字表示长度 在 IP 报头的协议字段中可能发现的协议 协议 协议号 ICMP 1 IGRP 9 EIGRSP 88 OSPF 89 IPv6 41 GRE 47 IPX in IP 111 Layer-2 tunnel(L2TP) 115 、因特网控制报文协议 因特网控制报文协议（ ICMP）工作 在网络层，它被 IP 用于提供许多不同的服务。 ICMP 8 是一个管理性协议，并且也是一个 IP 信息服务的提供者。他的信息是被作为 IP 数据报来传送的。 下面是与 ICMP 相关的一些常见的事件和信息： 1 目的不可达 如果路由器不能再向前发送某个 IP 数据报，这是路由器会使用 ICMP来传送一个信息返回给发送端，来通告这一情况。 2 缓冲区满 如果路由器用于接收输入数据的内存缓冲区已经满了，他将会使用 ICMP向外发送这个信息直道拥塞解除。 3 跳 每个 ip 数据报都被分配了一个所允许经过路由器个数的数值，被称为跳（ hop） 。 4 Ping Ping（即数据包的因特网探测）使用 ICMP 回应信息在互联网络上检查计算机间物理连接的连通性。 5 Traceroute Traceroute 是通过使用 ICMP 的超时机制，来发现一个数据报在穿越互联网络时它所经历的路径。 、地址解析协议（ ARP） 地址解析协议（ ARP）可以由已知主机的 IP 地址，在网络上查找到他的硬件地址。 、逆向地址解析协议（ RARP） 当一台误判计算机被用做 IP 主机时，它没有办法在其初始化时了解自己的 IP 地址。但是他可以知道自己的 MAC 地 址。逆向地址解析协议（ RARP）可以通过发送一个包含有无盘主机 MAC 地址的数据包，来询问与此 MAC 地址相对应的 IP 地址。 1.2 路由与 交换技术 1.2.1 什么是路由 路由是把信息从源穿过网络传递到目的的行为，在路上，至少遇到一个中间节点。路由通常与桥接来对比，在粗心的人看来，它们似乎完成的是同样的事。它们的主要区别在于桥接发生在 OSI参考协议的第二层（链接层），而路由发生在第三层（网络层）。这一区别使二者在传递信息的过程中使用不同的信息，从而以不同的方式来完成其任务。 路由的话题早已在计算机界出现，但 直到八十年代中期才获得商业成功，这一时间延迟的主要原因是七十年代的网络很简单，后来大型的网络才较为普遍。 1.2.2 什么是交 换 1993 年，局域网交换设备出现， 1994 年，国内掀起了交换网络技术的热潮。其实，交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品，体现了桥接技术的复杂交换技术在 OSI 参考模型的第二层操作。与桥接器一样，交换机按每一个包中的 MAC 地址相对简单地决策信息转发。而这种转发决策一般不考虑包中隐藏的更深的 其他信息。与桥接器不同的是交换机转发延迟很小，操作接近单个局域网性能，远远超过了普通桥接互联网络之间的转发性能。 交换技术允许共享型和专用型的局域网段进行带宽调整，以减轻局域网之间信息流通出现的瓶颈问题。现在已有以太网、快速以太网、 FDDI 和 ATM 技术的交换产品。类似传统的桥接器，交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域，为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中；交换机使用现有的电缆、中继器、集线器和工作站的网卡，不必作高层的硬 9 件升级；交换机对工作站是透明的，这样管理开销低廉，简化了网络节点的增加、移动和网络变化的操作。 利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息，提供了比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有 64 个八进制数的数据包，可提供 14880bps 的传输速率。这意味着一台具有 12 个端口、支持 6 道并行数据流的 “线路速率 ”以太网交换器必须提供 89280bps 的总体吞吐率（ 6 道信息流 14880bps道信息流）。专用集成电路技术使得交换器在更多端口的情况下以上述性能运行，其端口造价低 于传统型桥接器。 1.2.3 局域网交换机的种类和选择 局域网交换机根据使用的网络技术可以分为： 以大网交换机； 令牌环交换机； FDDI 交换机； ATM 交换机； 快速以太网交换机等。 如果按交换机应用领域来划分，可分为： 台式交换机； 工作组交换机； 主干交换机； 企业交换机； 分段交换机； 端口交换机； 网络交换机等。 局域网交换机是组成网络系统的核心设备。对用户而言，局域网交换机最主 要的指标是端口的配置、数据交换能力、包交换速度等因素。因此，在选择交换机时要注意以下事项： （ 1）交换端口的数量； （ 2）交换端口的类型； （ 3）系统的扩充能力； （ 4）主干线连接手段； （ 5）交换机总交换能力； （ 6）是否需要路由选择能力； （ 7）是否需要热切换能力； （ 8）是否需要容错能力； （ 9）能否与现有设备兼容，顺利衔接； （ 10）网络管理能力。 1.3 VLAN 虚拟局域网 1.3.1 VLAN 简介 VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个 VLAN 可以在一个交换机或者跨交换机实现。 VLAN 可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现 。 VLAN 相当于 OSI 参考模型的第二层的广播域，能够将广播风暴控制在一个 VLAN 内部，划分 VLAN 后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的 VLAN 之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用 VLAN 技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管 10 理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时 VLAN 和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 随着 VLAN 技术的日益完善， VLAN技术 越来越多的应用在交换以太网中，成为网络灵活分段和提高网络安全的方法。 1.3.2 VLAN 的优点 VLAN 的优点主要体现在以下 3 个方面： 1、控制广播风暴 网络管理必须解决因大量广播信息带来带宽消耗的问题。 VLAN 作为一种网络分段技术，可将广播风暴限制在一个 VLAN 内部，避免影响其他网段。与传统局域网相比， VLAN 能够更加有效地利用带宽。在 VLAN 中，网络被逻辑地分割成广播域，由 VLAN 成员所发送的信息帧或数据包仅在 VLAN 内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度 。 2、增强网络的安全性 共享式 LAN 上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用 VLAN 提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的 MAC 地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。 3、增强网络管理 采用 VLAN 技术，使用 VLAN 管理程序可对整个网络进行集中管理，能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整 VLAN。当链路拥挤时，利用管理程序能够重 新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说，所有这些网络配置和管理工作都是透明的。 VLAN 变动时，用户无需了解网络的接线情况和协议是如何重新设置的。 VLAN 还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时，不用重新布线，也不用直接对成员进行配置。若采用传统局域网技术，那么当网络达到一定规模时，此类开销往往会成为管理员的沉重负担。 1.3.3 VTP：思科 VLAN 中继协议（ VTP： Cisco VLAN Trunking Protocol） VLAN 中继协议（ VTP）是思科第 2 层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名。 VTP 减少了交换网络中的管理事务。当用户要为 VTP 服务器配置新 VLAN 时，可以通过域内所有交换机分配 VLAN，这样可以避免到处配置相同的 VLAN。 VTP 是思科私有协议，它支持大多数的 Cisco Catalyst 系列产品。 通过 VTP，其域内的所有交换机都清楚所有的 VLANs 情况，但当 VTP 可以建立多余流量时情况例外。这时，所有未知的单播（ Unicasts）和广播在 整个 VLAN 内进行扩散，使得网络中的所有交换机接收到所有广播，即使 VLAN 中没有连接用户，情况也不例外。而 VTP Pruning 技术正可以消除该多余流量。 缺省方式下，所有 Cisco Catalyst 交换机都被配置为 VTP 服务器。这种情形适用于 VLAN 信息量小且易存储于任意交换机（ NVRAM）上的小型网络。对于大型网络，由于每台交换机都会进行 NVRAM 存储操作，但该操作对于某些点是多余的，所以在这些点必须设置一个“判决呼叫”（ Judgment Call）。基于此，网络管理员所使用的 VTP 服务器应该采用配置较好的交换机，其它交换机则作为客户机使用。此外需要有某些 VTP 服务器能提供网络所需的一定量的冗余。 11 1.4 NAT 地址转换技术 1.4.1 NAT 原理简介 NAT 英文全称是“ Network Address Translation”，中文意思是“网络地址转换”，它是一个 IETF(Internet Engineering Task Force, Internet 工程任务组 )标准，允许一个整体机构以一个公用 IP（ Internet Protocol）地址出现在 Internet 上。顾名思 义，它是一种把内部私有网络地址（ IP 地址）翻译成合法网络 IP 地址的技术。 简单地说， NAT 就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将 内部地址替换成公用地址，从而在外部公网（ internet）上正常使用， NAT 可以使多台计算机共享Internet 连接，这一功能很好地解决了公共 IP 地址紧缺的问题。通过这种方法，您可以只申请一个合法 IP 地址，就把整个局域网中的计算机接入 Internet 中。这时， NAT 屏蔽了内部网络，所有 内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到 NAT 的存在。如图 2 所示。这里提到的内部地址，是指在内部网络中分配给节点 的私有 IP 地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的 地址：55， 55， 55。NAT 将这些无法在互联网上使用的保留 IP 地址翻译成可以在 互联网上使用的合法 IP 地址。而全 局地址，是指合法的 IP 地址，它是由 NIC（网络信息中心）或者 ISP(网络服务提供商 )分配的地址，对