一.目前IP 地址资源使用状况
当前集团总部IP 地址段与分支机构重复,影响网络扩展,目前地址池如下,
Head Office: 192.168.0.0/24
Wireless Zone:192.168.1.0/24
Server Zone: 192.168.100.0/24
其他各分支点均为192.168.0.0/24
目前使用的C类保留地址段同网段下最多256个地址,并且总部和分支机构使用同样网段的IP地址资源会影响集团内网络的扩展,而且随着公司的发展,在以后需要扩展网络或增加服务时会造成很多不便。
二.规划地址池资源
IP地址的分配原则,一为体系化编址;二可持续扩展性。
体系化即结构化、组织化,对整个网络地址进行有条理的规划。使整个网络的结构清晰,而每个区域的地址与其他的区域地址相对,也便于的灵活管理。
可持续扩展性,在初期规划时为将来的网络拓展考虑,在将来很可能增大规模的区块中要留出较大的余地。
对于集团内IP 资源进行重新规划并预分配。
1.使用A类保留地址段分配,A类选用23 Mask bits,共32768个子网可选,每网段地址池包含510个地址可用
2.集团总部预分配127个子网段,其余分支机构预分配10个子网,Server区涉及到用户端软件配置的更改,保留原地址段。
| Group Head Office: | 10.10.0.0/23-10.10.254.0/23 | 127 Vlan |
| Server Zone: | 192.168.100.0/24 | |
| DMZ: | 192.168.101.0/24 | |
| Branch Office 1: | 10.11.0.0/23-10.11.18.0/23 | 10 Vlan |
| Branch Office 2: | 10.11.20.0/23-10.10.38.0/23 | 10 Vlan |
| … | … | … |
◆以区域划分, 以每个楼层划分1个VLAN;
◆以部门划分,每若干部门划分一个VLAN,如
◆以功能划分,例如门禁考勤设备和IP电话等成VLAN,
或者根据实际需要综合规划,如下例。
| Dept | Vlan id | IP Address |
| 信息部 | Vlan1 | 10.10.0.X |
| 人事部 | Vlan2 | 10.10.2.X |
| 行政部 | Vlan3 | 10.10.4.X |
| 财务部 | Vlan4 | 10.10.6.X |
| 采购部 | Vlan5 | 10.10.8.X |
| 销售部 | Vlan6 | 10.10.10.X |
| 战略规划部 | Vlan7 | 10.10.12.X |
| 研发部 | Vlan8 | 10.10.14.X |
| 其他部门 | Vlan9 | 10.10.16.X |
| 领导层 | Vlan11 | 10.10.18.X |
| 服务器 | Vlan12 | 192.168.100.X |
| 来宾 | Vlan10 | 192.168.10.X |
| 门禁控制器 | Vlan13 | 10.10.20.X |
三.更换IP段计划
因接入层均需要更换交换机,计划按两个阶段更换地址池
●将现有地址段由C类地址迁移到A类地址池10.10.0.0/23 地址段
●待接入层更换支持VLAN的交换机后,将按VLAN 划分地址池。
阶段一
A.向电信申请一组公网IP;安装第二台防火墙用于VPN连接。
B.确认所有应用不受影响,并确认实施时间;
C.在DC上配置原C类地址段DHCP池;
D.组策略将客户端设置成自动获得地址
E.将DC 等服务器、防火墙设置第二个IP地址(A类地址段);
F.在DNS中设置第二地址池(新地址段),确认服务器DNS信息更新成功;
G.测试在新的地址分区内将客户端加入域;
H.更新DHCP 设置,删除旧地址池,建立新的A类地址池,
I.测试客户端得到新地址池,并登陆验证OK。
J.移除服务器上第一IP地址。
四.部署内部网络管理和安全方案
在IP地址迁移之后计划部署一套内部网络管理系统用于监控交换机端口
●Zenoss ,基于linux 平台的开源方案,基于SNMP 协议监控各类网络设备和服务器状态和性能
●Snort , 基于Linux 的开源IDS 方案,分析网络内数据状态,监控
五.实施组策略,加强网域安全性。
●密码复杂度要求
●管理员权限定期检查
●移动存储设备管制
●用户桌面定制
●非授权软件的定期检查
●网络防毒软件的自动更新和扫描
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
