公司内部IP地址分配及网络改进计划

公司内部 IP 地址分配及网络改进计划 一 目前 IP 地址资源使用状况 当前集团总部 IP 地址段与分支机构重复 影响网络扩展 目前地址池如下 Head Office 192 168 0 0 24 Wireless Zone 192 168 1 0 24 Server Zone 192 168 100 0 24 其他各分支点均为 192 168 0 0 24 目前使用的 C 类保留地址段同网段下最多 256 个地址 并且总部和分支机构使用同 样网段的 IP 地址资源会影响集团内网络的扩展 而且随着公司的发展 在以后需要 扩展网络或增加服务时会造成很多不便 二 规划地址池资源 IP 地址的分配原则 一为体系化编址 二可持续扩展性 体系化即结构化 组织化 对整个网络地址进行有条理的规划 使整个网络的结 构清晰 而每个区域的地址与其他的区域地址相对独立 也便于独立的灵活管理 可持续扩展性 在初期规划时为将来的网络拓展考虑 在将来很可能增大规模的 区块中要留出较大的余地 对于集团内 IP 资源进行重新规划并预分配 1 使用 A 类保留地址段分配 A 类选用 23 Mask bits 共 32768 个子网可选 每网段 地址池包含 510 个地址可用 2 集团总部预分配 127 个子网段 其余分支机构预分配 10 个子网 Server 区涉及到 用户端软件配置的更改 保留原地址段 Group Head Office 10 10 0 0 23 10 10 254 0 23127 Vlan Server Zone 192 168 100 0 24 DMZ 192 168 101 0 24 Branch Office 1 10 11 0 0 23 10 11 18 0 2310 Vlan Branch Office 2 10 11 20 0 23 10 10 38 0 2310 Vlan 3 VLAN 的使用 VLAN 有利用减少网络风暴及病毒的传播 也同样有利于建立访问 规则的控制 增强网络的安全性 分配使用划分方式 以区域划分 以每个楼层划分 1 个 VLAN 以部门划分 每若干部门划分一个 VLAN 如 以功能划分 例如门禁考勤设备和 IP 电话等独立成 VLAN 或者根据实际需要综合规划 如下例 4 VPN 构 建 VPN 可以有利于内部资源的共享并满足以后 IP 电话的扩展 建议构建 IPsec VPN IPsec VPN 有完整的安全机制 包括加密 认证和数据防篡改功能 DeptVlan idIP Address 信息部Vlan110 10 0 X 人事部Vlan210 10 2 X 行政部Vlan310 10 4 X 财务部Vlan410 10 6 X 采购部Vlan510 10 8 X 销售部Vlan610 10 10 X 战略规划部Vlan710 10 12 X 研发部Vlan810 10 14 X 其他部门Vlan910 10 16 X 领导层Vlan1110 10 18 X 服务器Vlan12192 168 100 X 来宾Vlan10192 168 10 X 门禁控制器Vlan1310 10 20 X 三 更换 IP 段计划 因接入层均需要更换交换机 计划按两个阶段更换地址池 将现有地址段由 C 类地址迁移到 A 类地址池 10 10 0 0 23 地址段 待接入层更换支持 VLAN 的交换机后 将按 VLAN 划分地址池 阶段一 A 向电信申请一组公网 IP 安装第二台防火墙用于 VPN 连接 B 确认所有应用不受影响 并确认实施时间 C 在 DC 上配置原 C 类地址段 DHCP 池 D 组策略将客户端设置成自动获得地址 E 将 DC 等服务器 防火墙设置第二个 IP 地址 A 类地址段 F 在 DNS 中设置第二地址池 新地址段 确认服务器 DNS 信息更新成功 G 测试在新的地址分区内将客户端加入域 H 更新 DHCP 设置 删除旧地址池 建立新的 A 类地址池 I 测试客户端得到新地址池 并登陆验证 OK J 移除服务器上第一 IP 地址 四 部署内部网络管理和安全方案 在 IP 地址迁移之后计划部署一套内部网络管理系统用于监控交换机端口 Zenoss 基于 linux 平台的开源方案 基于 SNMP 协议监控各类网络设备和服务器 状态和性能 Snort 基于 Linux 的开源