信息基础设施建设项目网络实施方案

项目编号：文档编号:08

****信息基础设施建设项目

网络实施方案

编制：完成日期：年

月日

审核：审核日期：年

月日

批准：批准日期：年

月日

****信息技术有限责任公司

2010年4月24日

目录

-)项目概述----------------------------------------------3

二)项目建设内容------------------------------------------4

(1)总体建设内容..................................................4

(2)网络系统规划..................................................--5

(3)网络连接说明------------------------------------------------------6

(4)施工流程----------------------------------------------------------7

三)网络设计建设方案-..................................--9

(1)网络设备命名规划--------------------------------------------------9

(2)IP地址划分原则---------------------------------------------------10

(3)VLAN划分方案----------------------------------------------------11

(4)HSRP设计•......................................................-13

(5)以太通道设计..................................................-15

(6)骨干网网设vb----------------------------------------------------------------------------------15

(7)服务器区设计-----------------------------------------------------16

(8)DHCP设计--------------------------------------------------------16

(9)802.1X设计-------------------------------------------------------16

(10)路由协议选择----------------------------------------------------18

(11)NAT的设计....................................................-19

(12)防火墙的设计.................................................—19

(13)TELNET设计------------------------------------------------------21

四)后期维护--------------------------------------------22

一）项目概述

****于1985年在在中关村成立，是全国第一家专业杀毒软件开发公司。是

国内比较知名的杀毒软件公司的开发公司，多年来受到多家知名企业的好评，

是企业网络安全的最有力的保障，为了给客户带来比较好的体验。身为杀毒软件

的创始者与领导者，梆**为业界提供安全的计算机保护及拥有专业的杀毒软件

服务和售后维护领域最完备的组件数据库、知识产权、设计工具、及设计流程。

随着科技的发展，时代的进步，网络成了我们生活不可或缺一个部门，计

算机大大的提高了我们的工作效率，也是工作办公的必备，然而，我们的计算

机却有随时遭到各种病毒的攻击和感染，对于一个公司的损失惨重，比如，公

司的重要文件，重大决策等，都可能在计算机遭到攻击的时候，泄露出去，对

于公司的发展带来致命的伤害。

为实现公司“打造国内顶级的杀毒品牌”的目标，努力完成公司2012年的

“站在北京看全国，站在全国看世界”的公司规模，加强信息化建设，公司迫切

需要对公司规模进行扩大，加强网络建设，以提高总公司与分公司之间的信息

业务交流。

公司为了节约成本，公司要增设另一个下属公司，公司规模1000人，分

10个部门，由于公司的规模较大，为了避免网络的运行中出现网络结构不合理,

未划分子网，所有服务器和用户均在同一网段，网络病毒、广播风暴等经常导致

系统运行不稳定；还有其他不安全或者是不必要的重大安全隐患。时间紧迫，公

司急需建设一个完善的网络系统，以完成办公、公司之间的互相交流及公司内部

各种文件的转载和查阅，由于公司的需求其对网络的稳定性较高，公司内网中

需要一个服务器集群，为其提供安全的交换数据，避免数据量过大导致服务器

集群经常出现过我现象。考虑到公司流量较大，并对网络稳定性要求较高、网络

的健壮性要强，现进行一个合理，稳定、健壮的网络已经成为公司的当务之急。

二)项目建设内容

(1)总体建设内容

根据****公司需求并结合本公司多年来在该领域的设计、施工经验,

****基础设施建设分为三大分项，包括：综合布线、服务器和存储系统、机房。

综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其

特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性。而且

在设计、施工和维护方面也给人们带来了许多方便。

详细建设内容：

1.建立一套满足1000个信息点的综合布线系统，信息点分布在A座B座的

一二层，网络中心设在A座一层；

2.在A座一楼建一配套核心机房，B座一楼建一机房；

3.建设一个万兆主干，部分千兆比特到桌面，和部分百兆比特到桌面的交

换网络，大楼主干采用光纤布线；

4.建立一套无线局域网满足目前日益增加的无线网接入要求，并对信息点

分布不足的地方进行补充；

6.建立一套服务器群，用于公司内部人员资源下载及内网访问，公司邮件

服务器等，在DMZ区建立一FTP服务器用于杀毒软件客户端病毒库下载和面向外

网的Web服务器；

5、设计双机热备、双机冗余、背板容量足够的交换核心，采用冗余可靠的

网络结构方式;

（2）网络系统规划

根据****公司的需求，我们设计的具体方案主要考

虑到下列原则：先进性与实用性原则；可靠性与安全性原

则；重视应用与服务原则；经济性和可扩充性原则。

本设计工程组网方式采用以两台思科6509交换机（三层交换机）作为核心

层，三层交换机的最重要目的是加快大型局域网内部的数据交换。汇聚层为每一

层楼配置一台交换机，接入层再为每个部门接入一台4507R交换机，将不同部

门划分到不同的VLAN中。本次项目内容有网络连接、路由设计、1P分配、VLAN

划分及进行设备安装实施等。

网络结构分析：

1、公司使用两台汇聚交换机（做冗余备份相连），连接接入交换机，并把

所有接入交换机连接到核心路由器上；

2、接入层交换机连接终端用户，并把不同部门人员规划到不同的VLAN中；

3、公司内部都使用私网地址，访问外网时，采用NAT,实现员工可以访问

外网；

4、建立稳定可靠的机房核心网络；

5、根据服务器功能需求和信息安全要求进行服务器系统区域划分，完成服

务器接入交换机的安装和调试；

6、建立办公网络系统，完成各配线间接入交换机的安装和调试，实现终端

用户100/1000M自适应桌面接入，万兆主干上联；

7、所有用户都使月DI1CP获得IP地址；

建立公共区域的无线网络.实现用户安全认证；

10、增加安全设备实现公司网络的安全性，且能监控来自内外部的上网行为，各

部门设置TELNET,且只有技术部能TELNET到各设备。

（3）网络连接说明

1.核心层网络：A座一楼配线间作为整个网络的逻辑中心，为全网提供高速

数据和业务交换接入等功能，考虑到核心层网络的可靠性和高性能，本项

目采用双机热备（负载均匀）方式设计核心层交换机，核心交换机选用两台

思科6509（三层交换机），两台6509之间通过hsrp协议实现双机互联和冗

余备份，并通过两对光纤做portchannel连接，实现核心设备连接链路的

负载均衡。

2.汇聚层及接入层网络：汇聚层主要为AB两栋楼一二层核心，接入交换机

分布在各个配线间内，其中A座一楼放置A座的接入交换机，每层楼采用一

台4507R交换机，B座一楼放置B座的接入交换机，同样每层楼采用一台

4507R交换机，所有接入交换机通过两条万兆光纤连接核心交换机，两条链

路互为冗余，这样任何一链路出现问题，系统可以在3秒之内将数据传输迁

移到另一条可靠链路上，保证整个网络的安全和稳定。

3.服务器区：针对****网络系统的需求，为保证公司内部数据安全，及公

司客户对公司病毒库下载通畅，本项目建立专门的服务器区，使用两台思

科4948作为服务器核心交换机，连接核心交换机6509,通过静态路由方

式和核心网络建立连接，这样做的好处是隔离2层网络的影响，给予服务器

区更加安全可靠的网络环境，同时提供更加明晰、更加容易扩展的路由方式,

给维护带来了方便。

(4)施工流程

以下是本次工程中网络设备的施工流程图

开始

三）网络设计建设方案

（1）网络设备命名规划

两台6509（交换机）；两安装场所设备命名

台4948（交换机）;4台

4570R（交换机）；若干

2960（交换机）;一防火

墙模块；两台接入路由

器，一台CiscoPTX520

防火墙。

设备类型

核心机房RT3640_l

路由器

核心机房RT3640_2

防火墙核心机房PIX520

核心机房HX_6509_l

核心机房HX_6509_2

核心层交换机

核心机房HX_4948_3

核心机房HX_4948_4

核心机房HJHX4507R1

核心机房HJ_HX_4507R_2

汇聚层交换机

B座机房HJBZ4507R1

B座机房HJ_BZ_45707R_2

A座1FJR_AZ1F_295O_1

A座1FJR_AZ1F_295O_2

A座1FJR—AZ1F—2950—3

A座1FJR_AZ1F_295O_4

A座1FJR_AZ1F_295O_5

A座1FJRAZ1F29506

A座1FJR_AZ1F_295O_7

A座：1FJR_AZ1F_295O_8

A座1FJR_AZ1F_295O_9

接入层交换机

A座1FJR_AZ1F_295O_1O

A座2FJR_AZ2F_2950_l

A座2FJR_AZ2F_295O_2

A座2FJR_AZ2F_2950_3

B座1FJR_BZ1F_295O_1

B座1FJRBZ1F29502

B座:1FJRBZ1F29503

B座:1FJR_BZ1F_295O_4

B座2FJR_BZ2F_295O_1

B座2FJR_BZ2F_2950_2

B座2FJR_BZ2F_2950_3

B座2FJR_BZ2F_2950_4

(2)IP地址划分原则

因****公司网络主干连接的节点多，因此，要保证网络的有效性和可管理性，

网络地址的规划与分配是十分重要的问题。网络地址是一种资源，必须经过优化

的规划和设计，因为很难预测网络将来的规模和应用情况的发展，如果规划不

当，将导致地址资源不够用，网络的扩展将受到吸大的限制；如果规划过于庞大,

则在现行运行过程中，网络的路由将会复杂，影响网络的效率。网络地址的分配

应遵循以下的原则：

◊唯一性：在同一个互联网络内网络地址应该保持其唯一性；

◊简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式；

◊连续性：为同一个网络区域分配连续的网络地址，便于缩减路由表的表

项，提高路由器的处理效率，这种技术称为地址叠合(Summarization)；

◊可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于

主机数量增加时仍然能够保持地址的连续性；

◊灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由

策略在该地址分配方案上实现优化；

◊可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。

在对一个具体部门拥有的某个或几个子区划分子网时，要根据本部门的具

体应用需求来合理分配子网资源，并且要留有一定的余地，这要从子网数和某

一个子网所拥有的最大主机数两个方面来考虑。由于合法1P地址的短缺：在

****公司的网络建设中选用了B类的保留地址，分配****公司的地址范围为

172.16.0.0,前二位(172.16)作为公共网络地址，第三位作为各VLAN的地址，

并第四位的(254)作为各VLAN的网关

楼层部门VLANIDIP地址段终端地址分配网关子网掩码

党支部Vian100-5454

管理部Vian101-5454

A座2层

行政部Vian102-5454

财务部Vian103-5454

A座1层销售部Vian104-5454

策划部Vian105-5454

B库2层人事部Vian106-5454

后勤部Vian107-5454

咨询部Vian108-5454

B座1.层技术部Vian109-5454

贵宾区Vian110-5454

保留Vian111-5454

IP地址划分

(3)VLAN划分方案

****公司根据业务功能的不同，可以分为12个VLAN,12个VLAN各自独立，分别属于不

同的广播域，默认情况下不同VLAN间可互相访问，根据不同安全策略，access-list表可

作访问控制。当数据在VLAN间路由时，出于对各独立系统的安全考虑，在各VLAN路由端口

上应用访问列表，使VLAN之间的数据按规则通过。针对每个VLAN的所属机构将安全规则量

化，再依次应用在端口上，

Access-list1permitanyany

由于对于整个网络配置VLAN工作量较大，所以使用VTP协议，把核心交换机配

制成VTPServer,其余交换机配制成VTPClient。并且为核心交换机配置SVI,使

得不同间VLAN可以通信。

配置举例：

接入层交换机配置：

Switch(config)#vtpnodeclient

核心交换机配置：

Switch(config)#vtpdomainzdy

Switch(config)#vtpnodeserver

Switch(config)#vlan100

Switch(config-vlan)#nameDangzhibu

Switch(config)#intvlan100

Switch(config-if)Sipaddress172.16.0.254255.255.255.0

楼层部门VLANIDVian命名网关子网掩码

党政办领导Vian100Dangzheng54

教务处Vian101Jiaowuchu54

行政部Vian102Xingzhengbu54

办公楼

财务部Vian103Caiwubu172.163.254

纪检、后勤Vlanl04Jijianhuoqin54

综合Vlanl05Zonghe54

一层Vian106Yiceng54

二层Vian107Erccng54

三层Vian108Sanceng54

四层Vian109Siceng54

五层Vian110Wuceng54

实验楼

六层Vian111Liuceng54

七层Vian112Qiceng54

八层Vian113Baceng54

九层Vian114Jiuceng54

十层Vian115Shiceng54

客户端Vian116Kehu54

图书馆

服务器Vian117Fuwu54

机房Vlanll8Jifang54

四层Vlanll9AP_154

北A宿舍五层Vlanl20AP_254

六层Vlanl21AP_354

保留Vian122baoliu54

VLAN划分

(4)、STP设计

由于在设计的过程中，为了增加网络的可靠性，在核心层交换机与汇接层交换机

之间、以及核心应用中均设计了双冗余链路。为了避免这些冗余链路所形成1勺透

明桥接问题，必须使生成树协议(STP)有效工作。

配置举例：

spanning-treemoderapid-pvst

spanning-treevlan1-200priority4096

(4)HSRP设计

热备份路由器协议(HSRP)的设计目标是支招特定情况下IP流量失败转移

不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失

败的情形下仍能维护路由器间的连通性。

****的IISRP建设，主要是在两台核心交换机CISC06509的VLAN和互联网区

的两台路由器部署。互联网区路由器A对内网为活动的路由器，HSRP优先级设

置为110,高于互联网区路由器B的优先级100。在互联网路由器A上面配置HSRP

的抢占功能，使互联网路由器A成为主设备。

当在6509上划分了VLAN以后，就可以根据不同的需求将接入层交换机端口

分别加入到对应的VLAN-中去，不同的VLAN的客户机就分别属于不同的广揩域,

有各自不同的IP地址段，当需要跨网段互相访问时，就必须通过路由。6509就

可以利用CISCO的HSRP协议作热备份，再配置一台6509三层交换机，即当核心

A发生故障时，另外一块可以立即接替原来的交换机继续工作，切换时间很短。

我们可实现12个VLAN分别优先运行在多个三层路由模块上，这样在系统无故障

时，能到达路由数据负载分担的目的。

核心交换机A作为活动交换机，HSRP优先级设置为110,高于核心交换机B的优

先级100o在核心交换机A上面配置HSRP的抢占功能，使核心交换机A成为主

设备。

配置举例：

主设备：

interfaceVlanlOO

ipaddress172.16.0.253255.255.255.0

standby100ip172.16.0.254

standby100priority110

standby100preempt

备份设备：

interfaceVlanlOO

ipaddress172.16.0.252255.255.255.0

standby100ip172.16.0.254

standby100priority100

standby100preempt

部门VLANIDIP地址段SVI接1」地址HSRP优先级网关子网掩码

核心A核心B核心A核心B

党支部Vian100535211010054

管理部Vian1015352110100542S5.2S5.25S.0

行政部Vian102535211010054

财务部Vian103172.163.2535211010054

销售部Vian10453172.16.4,25211010054

策划部Vian105535211010054

人事部Vian1065352110100S4

后勤部Vian1075352110100S4

咨询部Vian108535211010054

技术部Vian109535211010054

贵宾区Vian110535211010054

保留Vian111535211010054

(5)以太通道设计

两台核心交换C1SC06509之间通过两条万兆链路互联，配置成为Trunk,把两条

万兆链路捆绑成EtherChannelo可以实现40万M全双工的带宽。

配置举例：

interfaceGigabitEthernct0/1-2

switchport

switchporttrunkencapsulationdotIq

switchportmodetrunk

channel-group1modedesirable

i

interfacePort-channel1

switchport

switchporttrunkallowedvlan1,100-111

switchporttrunkencapsulationdotIq

switchportmodetrunk

(6)骨干网网设计

整个骨干网络采用10GE互联，核心交换机6509之间采用引擎两个10GE互

联，并采用Ether-Channel方式捆绑增加带宽和可用性。4507R-E采用SUP6LE

引擎进行二层接入，分别与核心6509E采用10GE互联，不启用三层功能。

所有VLAN的网关都在两台核心交换机上面，核心交换机6509E之间采用

CISCOHSRP协议。核心交换机A为所有VLAN的主交换机，所有VLAN的网关都

在核心交换机A上面。当核心交换机A故障的时候，核心交换机B替换核心交换

机A成为活动交换机。

6509E之间互联采用二层链路捆绑方式进行，并封装为Trunk,该条Trunk

链路只允许携带****的VLAN信息通过。4507R-E与6509E之间均采用二层Trunk

封装方式，并在相应的Trunk链路上对VLAN信息进行过滤。

整体二层链路采用生成树协议进行环路阻止，采用快速生成树模式。手动调

整核心交换机A的优先级，把核心交换机A配置成为生成树的ROOTo手动调整核

心交换机B的优先级,把核心交换机B配置成为生成树的备份ROOTo4507R-E只

作为接入。

(7)服务器区设计

服务器区交换机采用HSRP冗余协议，使服务器区交换机a成为主交换机，b

成为备份交换机。采用CISCO的快速生成树来防止二层的广播环路。手动调整核

心交换机a的优先级,壬核心交换机a配置成为生成树的ROOTo手动调整核心交

换机b的优先级，把核心交换机b配置成为牛成树的备份ROOT。

(8)DHCP设计

动态主机设置协议(DHCP),是一个局域网的网络协议，主要用于给内部

网络自动分配IP地址，木项目把核心交换机配置为DHCP服务密，将所有PC

配置为动态获得ip地

配置举例：

Router(config)#ipdhcppoolvlanlOO

Router(dhcp-config；#network172.16.0.0255.255.255.0

Router(dhcp-configjSdefault-router172.16.0.254

(9)802.1X设计

当用户有上网需求时打开802.IX客户端程序，输入已经申请、登记过的用

户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机,

开始启动一次认证过程。

交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程

序将输入的用户名送上来。

客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换

机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户

名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进

行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加

密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。

认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令

信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息,

并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络C否则，

反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通

过而不允许业务数据通过。

为了提高经研院的二层接入的安全，采用802.IX端口认证。802.IX端口认

证，把认证请求通过Radius协议发送给CISCO认证服务器，认证服务器调用

WindowsAD的数据库认证，当认证成功后认证服务器返回给交换机。

在交换机上启用AAA功能，并制定ACS服务器地址。接入客户端网卡需要

打开802.1X客户端程序，交换机提示认证信息，认证成功后才可以进行ip地址

及其它配置。

配置举例：

aaanew-model

aaaauthenticationdotlxdefaultgroupradius

!

dotlxsystem-auth-control

j

interfacerangeG0/1-48

switchportaccessvlan100

switchportmodeaccess

dotlxpacauthenticator

dotlxport-controlauto

dotlxmax-reauth-req5

spanning-treeportfast

radius-serverhost1.1.1.1auth-port1645acct-port1646keycisco

radius-serversource-ports1645-1646

(10)路由协议选择

由于对网络稳定性的考虑，****公司网络连接将即采用静态路由协议乂采用

动态路由协议进行配置。采用EIGRP动态路由协议进行网络配置，原因主

要是EIGRP是Cisco公司的专有网络协议，它综合了距离矢量和链路状态2

者的优点，其特点有:

A.快速收敛;

B.减小带宽占用;

C.支持多种网络层协议：

D.无缝连接数据链路层协议和拓扑结构

核心交换机和服务器区交换机之间使用动态路由EIGRP。核心交换机到互联网

区路由器使用的默认路由，互联网区路由器到互联网区防火墙使用默认路由，到

核心使用静态路由。互联网区防火墙向内、外部网设置缺省路由。

配置举例：核心A

Router(config)#routereigrp100

Router(config-router)^network172.16.0.0।0.0.0.255

Router(config-router)#nctwork172.16.1.0।0.0.0.255

Router(config-router)^network172.16.2.0।0.0.0.255

Router(config-router)#network172.16.3.0।0.0.0.255

Router(config-router)^network172.16.4.0।0.0.0.255

Router(config-router)Snetwork172.16.5.0।0.0.0.255

Router(config-router)^network172.16.6.0।0.0.0.255

Router(config-router)8network172.16.7.0।0.0.0.255

Router(config-router)^network172.16.8.0।0.0.0.255

Router(config-router)^network172.16.9.0।0.0.0.255

Router(config-router)^network172.16.10.0'0.0.0.255

Router(config-router)^network172.16.11.0'0.0.0.255

Router(config-router)#network172.16.20.0>0.0.0.255

Router(config-router)Snetwork172.16.21.0'0.0.0.255

Router(config-router)^network172.16.22.010.0.0.255

Router(config-router)#network172.16.23.010.0.0.255

Router(config-router)#noauto-summary

(11)NAT的设计

在防火墙PTX520的outside端口设置NAT

设置静态的地址转换，将真实地址与提供服务的私有地址绑定

static(dmz,outside)210.32.32.1210.32.32.1netmask255.255.255.2550

0

static(dmz,outside)210.32.32.21210.32.32.21netmask255.255.255,255

0

static(dmz,outside)210.32.32.18210.32.32.18netmask255.255.255.255

0

static(dmz,outside)210.32.32.10210.32.32.10netmask255.255.255,255

0

static(dmz,outside)210.32.32.32210.32.32.32netmask255.255.255,255

0

static(dmz,outside)210.32.32.23210.32.32.23netmask255.255.255,255

0

static(dmz,outside；210.32.32.150210.32.32.150netmask255.255.255.255

0

static(dmz,outside)210.32.32.20210.32.32.20netmask255.255.255,255

0

static(dmz,outside；210.32.32.229210.32.32.229netmask255.255.255,255

00

static(dmz,outside)210.32.32.50210.32.32.50nermask255.255.255.255

00

指定要进行静态转换的IP地址能够通过的协议

conduitpermitiempanyany允许所有ICMP通信

conduitpermittephost210.32.32.21rangeftpwwwany

conduitpermittephost210.32.32.10rangeftpwwwany

conduitpermitudphost210.32.32.1eqdonainany

conduitpermittephost210.32.32.150eqwwwany

conduitpermittephost210.32.32.18rangesmtppop3any

conduitpermittephost210.32.32.20eqwwany

conduitpermittephost210.32.32.229any

conduitpermittephost210.32.32.50eqtelnetany

conduitpermittephost210.32.32.23eqwwwany

(12)防火墙的设计

配置Cisco防火墙

将PIX安放至机架，经检测电源系统后接上电源，并加电主机。WCONSOLE

口连接到PC的串口上，从CONSOLE口进入PIX系统；此时系统提示

pixfircwall>

输入命令：enable,进入特权模式，此时系统提示为

pixfirewall#

输入命令：configureterminal,对系统进行初始化设置。

配置以太口参数：

interfaceethernetOauto(auto选项表明系统自适应网卡类型)

interfaceethernetlauto

interfaceethernet2auto

配置各功能段的安全级别：

nameifethernetOoutsidesecurityO

nameifethernetlinsidesecurity100

nameifethernet2dmzsecurity50

配置各网卡的IP地址：

ipaddressoutside210.32.39.253255.255.255.0

ipaddressinside10.0.0.254255.255.255.0

ipaddressdmz54255.255.255.0

指定外部地址范围：

global(outside)1210.32.38.254

global(dmz)1192.168.1.1-192.168.1.253

global(dmz)1192.168.1.254

指定要进行转换的内部地址：

nat(inside)10.0.0.00.0.0.000

nat(dmz)00.0.0.00.0.0.000

设置静态的地址转换，将真实地址与提供服务的私有地址绑定

static(dmz,outside)210.32.32.1210.32.32.1netmask255.255.255.2550

0

static(dmz,outside)210.32.32.21210.32.32.21netmask255.255.255.255

0

static(dmz,outside)210.32.32.18210.32.32.18netmask255.255.255,255

0

static(dmz,outside)210.32.32.10210.32.32.10netmask255.255.255,255

0

static(dmz,outside)210.32.32.32210.32.32.32netmask255.255.255,255

0

static(dmz,outside)210.32.32.23210.32.32.23netmask255.255.255,255

0

static(dmz,outsidej210.32.32.150210.32.32.150netmask255.255.255,255

0

static(dmz,outside)210.32.32.20210.32.32.20n