信息基礎(chǔ)設(shè)施建設(shè)項目網(wǎng)絡(luò)實施方案.doc

信息基礎(chǔ)設(shè)施建設(shè)項目網(wǎng)絡(luò)實施方案信息基礎(chǔ)設(shè)施建設(shè)項目網(wǎng)絡(luò)實施方案 目 錄1項目概述11項目建設(shè)內(nèi)容21.1項目總體建設(shè)內(nèi)容21.2網(wǎng)絡(luò)系統(tǒng)規(guī)劃22網(wǎng)絡(luò)設(shè)計技術(shù)方案72.1網(wǎng)絡(luò)設(shè)備命名規(guī)劃72.2IP地址分配方案102.3虛擬網(wǎng)劃分和管理152.4EtherChannel以太信道設(shè)計222.5生成樹設(shè)計252.6HSRP雙機熱備設(shè)計方案282.7骨干網(wǎng)網(wǎng)設(shè)計312.8服務(wù)器區(qū)設(shè)計342.9路由協(xié)議選擇和路由設(shè)計352.10Internet區(qū)雙運營商網(wǎng)絡(luò)和路由設(shè)計372.11核心交換防火墻模塊設(shè)計方案432.12ACS方案設(shè)計442.13無線局域網(wǎng)設(shè)計522.14公共區(qū)域的DHCP設(shè)計542.15IOS備份方案設(shè)計543網(wǎng)絡(luò)管理563.1網(wǎng)絡(luò)管理介紹563.2網(wǎng)管協(xié)議的選型574網(wǎng)絡(luò)切割方案584.1網(wǎng)絡(luò)割接目標(biāo)584.2割接步驟585設(shè)備配置606項目涉及設(shè)備61ii經(jīng)濟技術(shù)研究院網(wǎng)絡(luò)實施方案1 項目概述中國石化經(jīng)濟技術(shù)研究院（以下簡稱經(jīng)研院）承擔(dān)著集團公司發(fā)展戰(zhàn)略、經(jīng)濟環(huán)境、政策法規(guī)、市場營銷、決策咨詢和科技信息的研究工作，是集團公司戰(zhàn)略發(fā)展和生產(chǎn)經(jīng)營的決策支持機構(gòu)。為實現(xiàn)集團公司“建設(shè)有較強競爭力的跨國能源化工公司”的需要，努力完成蘇樹林總經(jīng)理把經(jīng)研院建成“國內(nèi)領(lǐng)先、國際上有影響的研究機構(gòu)” 的發(fā)展目標(biāo)，加強信息化建設(shè)，使經(jīng)研院盡快建設(shè)成為集團公司“戰(zhàn)略管理的支撐、產(chǎn)業(yè)研究的平臺、信息匯集的窗口、評估評價的權(quán)威”，為集團公司提供優(yōu)質(zhì)服務(wù)，迫切需要對經(jīng)研院的技術(shù)手段進行更新。近年來，全社會信息化建設(shè)快速發(fā)展，外界的網(wǎng)絡(luò)環(huán)境發(fā)生了巨變，網(wǎng)絡(luò)不斷提速、信息量巨增、信息表現(xiàn)形式的多樣化對網(wǎng)絡(luò)基礎(chǔ)設(shè)施提出了新的要求。隨著網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，信息安全越來越受到關(guān)注。經(jīng)研院現(xiàn)有的網(wǎng)絡(luò)始建于1999年，采用星形結(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備全部采用CABLETRON的產(chǎn)品，核心為SSR8000 100MB，接入設(shè)備為ELS10-26TX 10MB，因特網(wǎng)接入路由器為CISCO 2600。內(nèi)網(wǎng)速率均為10/100M共享；主交換機SSR8000內(nèi)存、槽位及網(wǎng)絡(luò)接口已使用完畢，沒有擴充能力，同時處理能力較低，經(jīng)常因為網(wǎng)絡(luò)病毒、不良網(wǎng)絡(luò)行為、大的視頻流量（包括大樓數(shù)字監(jiān)控系統(tǒng)）導(dǎo)致主交換機癱瘓。網(wǎng)絡(luò)結(jié)構(gòu)不合理，未劃分子網(wǎng)，所有服務(wù)器和用戶均在同一網(wǎng)段，網(wǎng)絡(luò)病毒、廣播風(fēng)暴等經(jīng)常導(dǎo)致系統(tǒng)運行不穩(wěn)定；同時所有設(shè)備和鏈路均為單臺單鏈路，存在較大的安全隱患。現(xiàn)有網(wǎng)絡(luò)設(shè)備都屬于超齡帶病運行，系統(tǒng)運行故障率較高；設(shè)備廠商已被收購，設(shè)備已經(jīng)停產(chǎn)，沒有備品備件。經(jīng)研院現(xiàn)運行的網(wǎng)絡(luò)，在石化同行業(yè)內(nèi)橫向?qū)Ρ然A(chǔ)設(shè)施嚴(yán)重老化，管理方式落后，存在著嚴(yán)重的信息安全隱患，網(wǎng)絡(luò)已經(jīng)成為經(jīng)研院業(yè)務(wù)發(fā)展的瓶頸，系統(tǒng)地進行改造已成當(dāng)務(wù)之急。1 項目建設(shè)內(nèi)容1.1 項目總體建設(shè)內(nèi)容根據(jù)經(jīng)研院本次的建設(shè)需求，經(jīng)研院信息基礎(chǔ)設(shè)施建設(shè)分為四大分項，包括：綜合布線、網(wǎng)絡(luò)系統(tǒng)改造、服務(wù)器和存儲系統(tǒng)、機房和UPS建設(shè)?；诮?jīng)研院項目建設(shè)的總目標(biāo)，即通過此次升級改造，為經(jīng)研院建設(shè)一個良好、安全、穩(wěn)定和高可靠的信息基礎(chǔ)設(shè)施平臺，實現(xiàn)對經(jīng)研院生產(chǎn)、經(jīng)營、管理的信息系統(tǒng)支撐，為業(yè)務(wù)的發(fā)展提供支持。按照各個分項的功能和要求，得到詳細建設(shè)內(nèi)容如下：1. 建立一套滿足經(jīng)研院1590個信息點的綜合布線系統(tǒng)；2. 建設(shè)相應(yīng)的配套機房3. 建設(shè)一個萬兆主干、部分千兆到桌面的交換網(wǎng)絡(luò)；4. 優(yōu)化設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計雙機熱備、雙機冗余、背板容量足夠的交換核心。消除存在單點故障的問題，采用冗余可靠的網(wǎng)絡(luò)結(jié)構(gòu)方式；5. 建立一套無線局域網(wǎng)滿足目前日益增加的無線網(wǎng)接入要求，并對信息點分布不足的地方進行補充；6. 建設(shè)一套SSL-VPN，作為網(wǎng)絡(luò)連接補充，同時滿足外出人員的移動辦公和上海分公司的遠程連接需要；7. 把大樓數(shù)字監(jiān)控系統(tǒng)納入正常網(wǎng)絡(luò)連接系統(tǒng)；8. 增加相應(yīng)的安全設(shè)備實現(xiàn)網(wǎng)絡(luò)的可管、可控、可防等安全特性，控制來自內(nèi)外部上網(wǎng)行為，對公司內(nèi)部重要信息應(yīng)用和網(wǎng)絡(luò)區(qū)域進行有效保護。9. 更換及升級部分使用年限過長、故障率較高的服務(wù)器10. 按照日常網(wǎng)絡(luò)數(shù)據(jù)存儲應(yīng)用提供NAS存儲架構(gòu)；1.2 網(wǎng)絡(luò)系統(tǒng)規(guī)劃按照中石化經(jīng)濟技術(shù)研究院的業(yè)務(wù)系統(tǒng)功能、應(yīng)用、安全防護等需求，本設(shè)計將網(wǎng)絡(luò)系統(tǒng)劃分為5個功能區(qū)，主要包括：1）因特網(wǎng)節(jié)點；2）主干網(wǎng)節(jié)點；3）核心網(wǎng)絡(luò)；4）服務(wù)器網(wǎng)絡(luò)；5）局域網(wǎng)。每個功能區(qū)提供相對獨立的功能，同一功能區(qū)中的信息資產(chǎn)具有相同或相近的功能屬性，如接入模式、訪問需求、安全級別等。通過功能區(qū)的劃分，可以實現(xiàn)業(yè)務(wù)系統(tǒng)與網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全技術(shù)的有機結(jié)合，完成對同一功能區(qū)內(nèi)系統(tǒng)網(wǎng)絡(luò)架構(gòu)的統(tǒng)一規(guī)劃，提高網(wǎng)絡(luò)系統(tǒng)對業(yè)務(wù)的感知能力，限制系統(tǒng)風(fēng)險在網(wǎng)內(nèi)的任意擴散，有效的控制安全事件和安全風(fēng)險的傳播。本次項目按照功能區(qū)的劃分制定實施內(nèi)容和進度計劃，首先制定設(shè)備和跳線命名規(guī)則，接著規(guī)劃網(wǎng)絡(luò)連接、路由設(shè)計、IP分配、VLAN劃分等內(nèi)容，然后制定實施計劃，最后進行設(shè)備安裝實施。設(shè)計將充分考慮經(jīng)研院目前的網(wǎng)絡(luò)狀況及未來五年信息化發(fā)展的需要。1.2.1 網(wǎng)絡(luò)改造建設(shè)內(nèi)容經(jīng)研院網(wǎng)絡(luò)建設(shè)主要有以下幾項內(nèi)容：1) 完成網(wǎng)絡(luò)系統(tǒng)的規(guī)劃和設(shè)計，進行合理的功能區(qū)域劃分； 2) 設(shè)計可靠的建設(shè)和切割方案，保證網(wǎng)絡(luò)系統(tǒng)的不間斷運行；3) 建立與電信、網(wǎng)通ISP供應(yīng)商雙Internet鏈路連接，滿足郵件、外部主頁等因特網(wǎng)訪問需求；建設(shè)一套SSL-VPN，作為網(wǎng)絡(luò)連接補充，同時滿足外出人員的移動辦公和上海分公司的遠程連接需要；4) 建立經(jīng)研院主干網(wǎng)絡(luò)，實現(xiàn)經(jīng)研院和總部的雙鏈路冗余連接；5) 建立穩(wěn)定可靠的機房核心網(wǎng)絡(luò)； 6) 根據(jù)服務(wù)器功能需求和信息安全要求進行服務(wù)器系統(tǒng)區(qū)域劃分，完成服務(wù)器接入交換機的安裝和調(diào)試；7) 建立辦公網(wǎng)絡(luò)系統(tǒng)，完成各配線間接入交換機的安裝和調(diào)試，實現(xiàn)終端用戶100/1000M自適應(yīng)桌面接入，萬兆主干上聯(lián)；另外，單獨建設(shè)視頻接入?yún)^(qū)，統(tǒng)一財務(wù)區(qū)局域網(wǎng)接入；8) 建立部分會議室和公共區(qū)域的無線網(wǎng)絡(luò)，實現(xiàn)用戶安全認(rèn)證；9) 把大樓數(shù)字監(jiān)控系統(tǒng)納入正常網(wǎng)絡(luò)連接系統(tǒng)；1.2.2 經(jīng)濟技術(shù)研究院網(wǎng)絡(luò)規(guī)劃拓撲圖1.2.3 網(wǎng)絡(luò)連接說明一：核心連接經(jīng)研院的核心交換機為兩臺思科6509，兩臺6509之間通過啟用hsrp協(xié)議實現(xiàn)雙機互聯(lián)和冗余備份，并通過兩對光纖做port channel連接，實現(xiàn)核心設(shè)備連接鏈路的負載均衡。在路由設(shè)計方面進行優(yōu)化，使用動態(tài)路由，提供網(wǎng)絡(luò)自愈、減少了管理工作。 動態(tài)路由協(xié)議選用 OSPF。OSPF是IETF為IP網(wǎng)絡(luò)制定的一種IGP（內(nèi)部網(wǎng)關(guān)協(xié)議）協(xié)議標(biāo)準(zhǔn)，基于鏈路狀態(tài)，采用SPF（Shortest Path First）算法。OSPF路由協(xié)議的主要優(yōu)點是：l 鏈路狀態(tài)路由算法的可擴展性較大；l OSPFv2是IETF標(biāo)準(zhǔn)，方便不同廠家的網(wǎng)絡(luò)設(shè)備互相連接；l 因OSPFv2被廣泛采用，當(dāng)中的支援亦較多。二：服務(wù)器區(qū)針對經(jīng)研院科研、管理應(yīng)用系統(tǒng)的需求，為保證科研、辦公應(yīng)用系統(tǒng)、數(shù)據(jù)的安全，我們建立專門的服務(wù)器區(qū)，使用兩臺思科4948作為服務(wù)器核心交換機 ，連接核心交換機6509，同樣通過靜態(tài)路由方式和核心網(wǎng)絡(luò)建立連接，這樣做的好處是隔離2層網(wǎng)絡(luò)的影響，給予服務(wù)器區(qū)更加安全可靠的網(wǎng)絡(luò)環(huán)境，同時提供更加明晰、更加容易擴展的路由方式，給維護帶來了方便。三：局域網(wǎng)辦公樓主樓共6層設(shè)2個配線間，輔樓設(shè)1個配線間。接入交換機分布在各個配線間內(nèi)，其中，二樓配線間放置-1到2樓的接入交換機，每樓層一臺4507R交換機；四樓配線間放置3到5樓的接入交換機，每樓層一臺4507R交換機。配置一臺專門的接入交換機作為監(jiān)控設(shè)備的接入。所有接入交換機通過兩條萬兆光纖連接核心交換機，兩條鏈路互為冗余，這樣任何一鏈路出現(xiàn)問題，系統(tǒng)可以在3秒之內(nèi)將數(shù)據(jù)傳輸遷移到另一條可靠鏈路上，保證整個網(wǎng)絡(luò)的安全和穩(wěn)定。給經(jīng)研院會議室配置無線網(wǎng)絡(luò)，使用思科設(shè)備，包括無線控制器和LAP1131G。無線網(wǎng)絡(luò)基于思科的LWAPP（輕量級AP協(xié)議）協(xié)議構(gòu)建，是一套集中控制的無線系統(tǒng) 。 在核心層和接入層的設(shè)計中，廣泛采用了VLAN的劃分，VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。 四：互聯(lián)網(wǎng)使用兩臺ASR 1002路由器實現(xiàn)互聯(lián)網(wǎng)接入，兩臺飛塔3600A提供互聯(lián)網(wǎng)安全防護，一臺SSL VPN提供遠程用戶接入。配置一臺二層交換機提供SSL VPN接入。在防火墻設(shè)置一個DMZ區(qū)域，安全級別介于內(nèi)網(wǎng)和外網(wǎng)之間，主要提供外部對內(nèi)應(yīng)用的訪問和數(shù)據(jù)上傳。配置DMZ交換機，連接兩臺防火墻，所有對外應(yīng)用的服務(wù)器，全部放在DMZ區(qū)。DMZ區(qū)服務(wù)器占用交換機的13-24口，使用外網(wǎng)網(wǎng)段。五：主干網(wǎng)使用總部提供的防火墻和路由器，構(gòu)建一套雙線路的系統(tǒng)。其中，路由器和核心6509之間使用OSPF路由協(xié)議，并且在路由器上增加策略路由以達到負載均衡的目的。2 網(wǎng)絡(luò)設(shè)計技術(shù)方案2.1 網(wǎng)絡(luò)設(shè)備命名規(guī)劃在網(wǎng)絡(luò)方案規(guī)劃前，考慮到設(shè)備連接較為復(fù)雜，為規(guī)范化項目建設(shè)和網(wǎng)絡(luò)運維管理，首先制定設(shè)備命名和設(shè)備連接跳線命名規(guī)則。規(guī)范命名分為兩個系統(tǒng)：樓層網(wǎng)絡(luò)系統(tǒng)和機房網(wǎng)絡(luò)系統(tǒng)，管理細則如下：1. 樓層網(wǎng)絡(luò)系統(tǒng)樓層網(wǎng)絡(luò)系統(tǒng)主要有：樓層網(wǎng)絡(luò)機柜、樓層網(wǎng)絡(luò)設(shè)備、設(shè)備互聯(lián)跳線。具體編號方案如下：樓層配線系統(tǒng)組成部分功能代碼編號規(guī)則編號示例示例說明樓層網(wǎng)絡(luò)機柜NABA：功能代碼（1）：N；B：網(wǎng)絡(luò)機柜序號（2）：0199。N01配線間內(nèi)1網(wǎng)絡(luò)機柜樓層網(wǎng)絡(luò)設(shè)備屬性標(biāo)識分3行標(biāo)識屬性，分別是：R1：名稱：樓層號配線間編號網(wǎng)絡(luò)機柜編號”-” 設(shè)備型號設(shè)備功能代碼（J，H，C）流水號R2：用途R3：管理IP名稱1AN01-3560J1用途1樓接入交換機IP10.16.1.11設(shè)備功能：接入J，匯聚H，核心C網(wǎng)絡(luò)設(shè)備只做屬性標(biāo)識即可。設(shè)備互聯(lián)線F：本地端口號T：對方端口號說明：交換機端口號：樓層號配線間編號網(wǎng)絡(luò)機柜編號”-” 設(shè)備型號設(shè)備功能代碼（J，H，C）流水號” ” 端口速率（B：100M、G：1000M、T：10G）插槽號（1）“/”端口號（2），共計17位。對端設(shè)備端口號：樓層號配線間編號網(wǎng)絡(luò)機柜編號”-” 設(shè)備型號設(shè)備功能代碼（J，H，C）流水號” ” 端口速率（B：100M、G：1000M、T：10G）插槽號（1）“/”端口號（2），共計17位。F：1AN01-3560J1 G0/24T：1AN01-5100J2 G0/48從（1網(wǎng)絡(luò)機柜的1交換機1插槽第24個千兆口）跳接至（1網(wǎng)絡(luò)機柜的2交換機1插槽第48個千兆口）。跳線的快速標(biāo)識施工時以00016000流水號作為跳線的快速標(biāo)識。與跳線編號結(jié)合使用。兩端流水號必須一致。2. 機房網(wǎng)絡(luò)部分機房網(wǎng)絡(luò)部分主要有：編號、機房機柜、機房網(wǎng)絡(luò)設(shè)備、機房網(wǎng)絡(luò)跳線。具體編號方案如下：機房網(wǎng)絡(luò)組成部分功能代碼編號規(guī)則編號示例示例說明數(shù)據(jù)機房DC代表數(shù)據(jù)中心機房機房編號17機房機柜網(wǎng)絡(luò)NABA：機房編號編號（1）：機房機柜功能代碼；本編號內(nèi)機柜序號（2）：0199。1N01網(wǎng)絡(luò)機柜機房網(wǎng)絡(luò)設(shè)備屬性標(biāo)識分3行標(biāo)識屬性，分別是：R1：名稱：數(shù)據(jù)機房編號網(wǎng)絡(luò)機柜編號”-” 設(shè)備型號設(shè)備功能代碼（J，H，C）流水號R2：用途R3：管理IP名稱DC2N06-4948J1用途A區(qū)接入交換機IP172.16.1.1設(shè)備功能：接入J，匯聚H，核心C網(wǎng)絡(luò)設(shè)備只做屬性標(biāo)識即可。跳線網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備F：本地端口號T：對方端口號說明：本地端口號：數(shù)據(jù)機房編號網(wǎng)絡(luò)機柜編號”-” 設(shè)備型號設(shè)備功能代碼（J，H，C，R，F(xiàn)W）流水號” ” 端口速率（B：100M、G：1000M、T：10G）插槽號（1）“/”端口號（2），共計20位。對方端口號：數(shù)據(jù)機房編號網(wǎng)絡(luò)機柜編號”-” 設(shè)備型號設(shè)備功能代碼（J，H，C，R，F(xiàn)W）流水號” ”端口速率（B：100M、G：1000M、T：10G）插槽號（1）“/”端口號（2），共計20位。F：DC2N06-4948J1 Gi0/48T：DC2N06-4948J2 Gi0/48從（2區(qū)6網(wǎng)絡(luò)機柜的1交換機1插槽第48個千兆口）跳接至（2區(qū)6網(wǎng)絡(luò)機柜的2交換機1插槽第48個千兆口）。經(jīng)研院網(wǎng)絡(luò)設(shè)備命名如下：序號設(shè)備型號名稱描述1WS-C6509-EJYY_CoreA經(jīng)研院核心交換機A2WS-C6509-EJYY_CoreB經(jīng)研院核心交換機B3WS-SVC-FWM-1-K9JYY_CoreA_FW經(jīng)研院核心交換機A防火墻模塊4WS-SVC-FWM-1-K9JYY_CoreB_FW經(jīng)研院核心交換機A防火墻模塊5WS-C4507R-EJYY_C4507_1F經(jīng)研院1層接入交換機6WS-C4507R-EJYY_C4507_2F經(jīng)研院2層接入交換機7WS-C4507R-EJYY_C4507_3F經(jīng)研院3層接入交換機8WS-C4507R-EJYY_C4507_4F經(jīng)研院4層接入交換機9WS-C4507R-EJYY_C4507_5F經(jīng)研院5層接入交換機10WS-C4948-10GEJYY_C4948_SVR_A經(jīng)研院服務(wù)器接入交換機A11WS-C4948-10GEJYY_C4948_SVR_B經(jīng)研院服務(wù)器接入交換機B12ASR1002-FJYY_ASR1002_CNC經(jīng)研院聯(lián)通接入路由器13ASR1002-FJYY_ASR1002_TEL經(jīng)研院電信接入路由器14WS-C2960-24TC-LJYY_C2960_DMZ經(jīng)研院DMZ區(qū)接入交換機15WS-C2960-24TC-LJYY_C2960_Internet經(jīng)研院Internet接入交換機16AIR-LAP1131G-EJYY_AP_1F_E經(jīng)研院1層?xùn)|AP17AIR-LAP1131G-EJYY_AP_2F_W經(jīng)研院2層西AP表格 ：設(shè)備命名表2.2 IP地址分配方案2.2.1 IP地址劃分原則網(wǎng)絡(luò)地址是網(wǎng)絡(luò)計算機節(jié)點之間互相通信的表識符，在使用不同協(xié)議的網(wǎng)絡(luò)中網(wǎng)絡(luò)地址形式也不一樣，在TCP/IP協(xié)議中的就是IP地址。IP地址是一個32位的二進制數(shù)，常見的表示是分為四部分的十進制的點分形式。在正常使用的IP地址范圍內(nèi)IP地址劃分為A、B、C四類，A類從0127，B類從128191，C類從192223。在每類地址中都可以分為兩部分：“網(wǎng)絡(luò)標(biāo)識符”和“主機編號”，每類地址中“網(wǎng)絡(luò)標(biāo)識符”和“主機編號”位數(shù)不一樣，A類是8位表示網(wǎng)絡(luò)，24位表示主機，B類是16位表示網(wǎng)絡(luò)，16位表示主機，C類是24位表示網(wǎng)絡(luò)，8位表示主機。在因特網(wǎng)中一個網(wǎng)絡(luò)節(jié)點的IP地址必須是唯一的，為了保證這個唯一，國際上專門有一個機構(gòu)來負責(zé)IP地址的分配。這些分配的IP地址是通用的、或者說是合法的IP地址。由于在TCP/IP協(xié)議開發(fā)的初期，沒有考慮到日后會有這么多計算機需要聯(lián)網(wǎng)，選擇了只有32位的IP地址，使目前出現(xiàn)了地址短缺現(xiàn)象。因特網(wǎng)的管理機構(gòu)為了滿足一些大型企業(yè)和機構(gòu)建網(wǎng)時的IP地址需要，專門規(guī)定了一些保留地址，這些保留地址只能用在企業(yè)和機構(gòu)內(nèi)部網(wǎng)絡(luò)，需要訪問外部網(wǎng)絡(luò)時采用地址翻譯的辦法。由于合法IP地址的短缺，在中石化集團公司的網(wǎng)絡(luò)建設(shè)中選用了A類的保留地址“10”，集團公司信息中心分配經(jīng)濟技術(shù)研究院的地址范圍為10.60.0.0，即相當(dāng)于1個B類地址的空間。目前，在經(jīng)濟技術(shù)研究院內(nèi)部網(wǎng)絡(luò)中已經(jīng)使用了部分IP地址。地址的劃分使用是根據(jù)當(dāng)時各單位人員數(shù)量、辦公位置進行的，隨著目前網(wǎng)絡(luò)系統(tǒng)的新建，使得IP地址規(guī)劃要重新進行，以適應(yīng)公司日益發(fā)展的設(shè)計、管理、科研需求。2.2.2 終端系統(tǒng)IP地址分配經(jīng)研院網(wǎng)絡(luò)建設(shè)IP地址分配：11中國石化經(jīng)濟技術(shù)研究院IP地址規(guī)劃表序號部門人數(shù)信息點數(shù)VLAN IDIP地址段終端地址分配終端數(shù)VRRP接口虛地址網(wǎng)關(guān)掩碼核心A核心B1保留10010.60.0.010.60.0.1-10.60.0.25425210.60.0.25310.60.0.25210.60.0.254255.255.255.0242院領(lǐng)導(dǎo)10110.60.1.010.60.1.1-10.60.1.25425210.60.1.25310.60.1.25210.60.1.254255.255.255.0243退休同志10210.60.2.010.60.2.1-10.60.2.25425210.60.2.25310.60.2.25210.60.2.254255.255.255.0244專家工作室10310.60.3.010.60.3.1-10.60.3.25425210.60.3.25310.60.3.25210.60.3.254255.255.255.0245首席專家10410.60.4.010.60.4.1-10.60.4.25425210.60.4.25310.60.4.25210.60.4.254255.255.255.0246院辦10510.60.5.010.60.5.1-10.60.5.25425210.60.5.25310.60.5.25210.60.5.254255.255.255.0247黨辦10610.60.6.010.60.6.1-10.60.6.25425210.60.6.25310.60.6.25210.60.6.254255.255.255.0248人教處10710.60.7.010.60.7.1-10.60.7.25425210.60.7.25310.60.7.25210.60.7.254255.255.255.0249經(jīng)營部10810.60.8.010.60.8.1-10.60.8.25425210.60.8.25310.60.8.25210.60.8.254255.255.255.02410財務(wù)處10910.60.9.010.60.9.1-10.60.9.25425210.60.9.25310.60.9.25210.60.9.254255.255.255.02411基礎(chǔ)部11010.60.10.010.60.10.1-10.60.10.25425210.60.10.25310.60.10.25210.60.10.254255.255.255.02412行政處11110.60.11.010.60.11.1-10.60.11.25425210.60.11.25310.60.11.25210.60.11.254255.255.255.02413發(fā)展戰(zhàn)略研究所11210.60.12.010.60.12.1-10.60.12.25425210.60.12.25310.60.12.25210.60.12.254255.255.255.02414經(jīng)濟政策研究所11310.60.13.010.60.13.1-10.60.13.25425210.60.13.25310.60.13.25210.60.13.254255.255.255.02415市場經(jīng)銷研究所11410.60.14.010.60.14.1-10.60.14.25425210.60.14.25310.60.14.25210.60.14.254255.255.255.02416信息研究所11510.60.15.010.60.15.1-10.60.15.25425210.60.15.25310.60.15.25210.60.15.254255.255.255.02417評估部11610.60.16.010.60.16.1-10.60.16.25425210.60.16.25310.60.15.25210.60.16.254255.255.255.02418上海公司11710.60.17.010.60.17.1-10.60.17.25425210.60.17.25310.60.17.25210.60.17.254255.255.255.02419企業(yè)家俱樂部11810.60.18.010.60.18.1-10.60.18.25425210.60.18.25310.60.18.25210.60.18.254255.255.255.02420VPN用戶區(qū)11910.60.19.010.60.19.1-10.60.19.25425210.60.19.25310.60.19.25210.60.18.254255.255.255.02422保留10.60.20.0255.255.255.02410.60.21.0255.255.255.02410.60.22.0255.255.255.02410.60.23.0255.255.255.02410.60.24.0255.255.255.02410.60.25.0255.255.255.02410.60.26.0255.255.255.02410.60.27.0255.255.255.02410.60.28.0255.255.255.02410.60.29.0255.255.255.02410.60.30.0255.255.255.02410.60.31.0255.255.255.02423財務(wù)獨立網(wǎng)絡(luò)20010.60.32.010.60.32.1-10.60.47.254409210.60.47.25310.60.47.25210.60.47.254255.255.240.02024設(shè)備互聯(lián)間10.60.48.010.60.48.1-10.60.48.141210.60.48.1310.60.48.1210.60.48.14255.255.255.2402810.60.48.1610.60.48.17-10.60.48.301210.60.48.2910.60.48.2810.60.48.30255.255.255.2402810.60.48.3210.60.48.33-10.60.48.461210.60.48.4510.60.48.4410.60.48.46255.255.255.2402810.60.48.4810.60.48.49-10.60.48.621210.60.48.6110.60.48.6010.60.48.62255.255.255.2402810.60.48.6410.60.48.65-10.60.48.781210.60.48.7710.60.48.7610.60.48.78255.255.255.2402810.60.48.8010.60.48.81-10.60.48.941210.60.48.9410.60.48.9310.60.48.94255.255.255.2402825保留10.60.48.9610.60.48.97-10.60.48.1262810.60.48.12510.60.48.12410.60.48.126255.255.255.2242710.60.48.12810.60.48.129-10.60.48.25412410.60.48.25310.60.48.25210.60.48.254255.255.255.1282526網(wǎng)絡(luò)設(shè)備段10.60.49.010.60.49.1-10.60.49.25425210.60.49.25310.60.49.25210.60.49.254255.255.255.02427打印機區(qū)10.60.50.010.60.50.1-10.60.50.25425210.60.50.25310.60.50.25210.60.50.254255.255.255.02428無線網(wǎng)絡(luò)用戶10.60.51.010.60.51.1-10.60.51.25425210.60.51.25310.60.51.25210.60.51.254255.255.255.02410.60.52.010.60.52.1-10.60.52.25425210.60.52.25310.60.52.25210.60.52.254255.255.255.02410.60.53.010.60.53.1-10.60.53.25425210.60.53.25310.60.53.25210.60.53.254255.255.255.02410.60.54.010.60.54.1-10.60.54.25425210.60.54.25310.60.54.25210.60.54.254255.255.255.02410.60.55.010.60.55.1-10.60.55.25425210.60.55.25310.60.55.25210.60.55.254255.255.255.02410.60.56.010.60.56.1-10.60.56.25425210.60.56.25310.60.56.25210.60.56.254255.255.255.02410.60.57.010.60.57.1-10.60.57.25425210.60.57.25310.60.57.25210.60.57.254255.255.255.02410.60.58.010.60.58.1-10.60.58.25425210.60.58.25310.60.58.25210.60.58.254255.255.255.02429保留59-6330服務(wù)器區(qū)10.60.64.010.60.64.1-10.60.79.254409210.60.79.25310.60.79.25210.60.79.254255.255.240.02031外網(wǎng)DMZ區(qū)10.60.80.010.60.80.1-10.60.95.254409210.60.95.25310.60.95.25210.60.95.254255.255.240.02032保留10.60.96.010.60.96.1-10.60.111.254409210.60.111.25310.60.111.25210.60.111.254255.255.240.02010.60.112.010.60.112.1-10.60.127.254409210.60.127.25310.60.127.25210.60.127.254255.255.240.02010.60.128.010.60.128.1-10.60.255.2543276410.60.255.25310.60.255.25210.60.255.254255.255.128.017632.2.3 設(shè)備互聯(lián)地址分配序號本端設(shè)備名稱端口互聯(lián)地址本端描述對端設(shè)備名稱端口互聯(lián)地址對端描述2.2.4 網(wǎng)絡(luò)管理地址劃分序號設(shè)備名稱管理地址設(shè)備描述2.3 虛擬網(wǎng)劃分和管理2.3.1 Vlan劃分2.3.1.1 Vlan介紹VLAN在交換機上的實現(xiàn)方法, 可以大致劃分為六類: 基于端口劃分的VLAN：這是最常應(yīng)用的一種VLAN劃分方法, 應(yīng)用也最為廣泛、最有效, 目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的, 它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC(永久虛電路)端口分成若干個組, 每個組構(gòu)成一個虛擬網(wǎng), 相當(dāng)于一個獨立的VLAN交換機。對于不同部門需要互訪時, 可通過路由器轉(zhuǎn)發(fā), 并配合基于MAC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應(yīng)端口上, 設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵的可能。 從這種劃分方法本身我們可以看出, 這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單, 只要將所有的端口都定義為相應(yīng)的VLAN組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點是如果某用戶離開了原來的端口, 到了一個新的交換機的某個端口, 必須重新定義。 基于MAC地址劃分VLAN：這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分, 即對每個MAC地址的主機都配置他屬于哪個組, 它實現(xiàn)的機制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址, VLAN交換機跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時, 自動保留其所屬VLAN的成員身份。 由這種劃分的機制可以看出, 這種VLAN的劃分方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時, 即從一個交換機換到其他的交換機時, VLAN不用重新配置, 因為它是基于用戶, 而不是基于交換機的端口。這種方法的缺點是初始化時, 所有的用戶都必須進行配置, 如果有幾百個甚至上千個用戶的話, 配置是非常累的, 所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機執(zhí)行效率的降低, 因為在每一個交換機的端口都可能存在很多個VLAN組的成員, 保存了許多用戶的MAC地址, 查詢起來相當(dāng)不容易。另外, 對于使用筆記本電腦的用戶來說, 他們的網(wǎng)卡可能經(jīng)常更換, 這樣VLAN就必須經(jīng)常配置?；诰W(wǎng)絡(luò)層協(xié)議劃分VLAN：VLAN按網(wǎng)絡(luò)層協(xié)議來劃分, 可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN, 可使廣播域跨越多個VLAN交換機。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且, 用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動, 但其VLAN成員身份仍然保留不變。這種方法的優(yōu)點是用戶的物理位置改變了, 不需要重新配置所屬的VLAN, 而且可以根據(jù)協(xié)議類型來劃分VLAN, 這對網(wǎng)絡(luò)管理者來說很重要, 還有, 這種方法不需要附加的幀標(biāo)簽來識別VLAN, 這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點是效率低, 因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法), 一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭, 但要讓芯片能檢查IP幀頭, 需要更高的技術(shù), 同時也更費時。當(dāng)然, 這與各個廠商的實現(xiàn)方法有關(guān)。根據(jù)IP組播劃分VLAN： IP 組播實際上也是一種VLAN的定義, 即認(rèn)為一個IP組播組就是一個VLAN。這種劃分的方法將VLAN擴大到了廣域網(wǎng), 因此這種方法具有更大的靈活性, 而且也很容易通過路由器進行擴展, 主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個VLAN, 不適合局域網(wǎng), 主要是效率不高。 按策略劃分VLAN： 基于策略組成的VLAN能實現(xiàn)多種分配方法, 包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN。 按用戶定義、非用戶授權(quán)劃分VLAN： 基于用戶定義、非用戶授權(quán)來劃分VLAN, 是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò), 根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN, 而且可以讓非VLAN群體用戶訪問VLAN, 但是需要提供用戶密碼, 在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。2.3.1.2 經(jīng)研院的vlan劃分方案為保證網(wǎng)絡(luò)劃分的簡單性和易維護性，根據(jù)用戶實際需求，經(jīng)研院的vlan 劃分將采用基于端口的劃分方式。經(jīng)研院核心交換機為兩臺CISCO6509核心交換機，通過萬兆光纖連接接入交換機4506R，邏輯連接將全部采用基于交換的Trunk連接。Vlan的具體實現(xiàn)方法如下：交換機中間的連接均為Trunk，封裝802.1Q。在兩臺核心交換機上分別設(shè)置VTP域和全部的Vlan號。Vlan的虛端口地址（對計算機來說，是網(wǎng)關(guān)地址）將全部設(shè)置CISCO6509核心交換機上。在兩臺樓內(nèi)局域網(wǎng)的計算機間通信時，如果在同一個Vlan（同時也在同一個IP網(wǎng)段）中，那么不管之間跨著多少接入交換機，也不管之間的交換機是否啟用路由，都是可以基于橋接進行通信；當(dāng)這兩臺計算機不在同一個Vlan中，那么就需要CISCO6509核心交換機做路由轉(zhuǎn)發(fā)。規(guī)劃設(shè)計研究院區(qū)域內(nèi)網(wǎng)的各單位分配相應(yīng)的vlan號和虛端口地址，vlan全部設(shè)置在核心交換機上，由核心交換機作路由。以下是vlan名稱設(shè)置和IP對應(yīng)表： 中國石化經(jīng)濟技術(shù)研究院VLAN規(guī)劃表序號部門VLAN IDIP地址段終端地址分配終端數(shù)VRRP接口虛地址網(wǎng)關(guān)掩碼核心A核心B1保留10110.60.1.010.60.1.1-10.60.1.25425210.60.0.25310.60.0.25210.60.0.254255.255.255.0242黨人財、院辦、院領(lǐng)導(dǎo)10010.60.0.010.60.0.1-10.60.0.25425210.60.1.25310.60.1.25210.60.1.254255.255.255.0243發(fā)展戰(zhàn)略研究所10210.60.2.010.60.2.1-10.60.2.25425210.60.2.25310.60.2.25210.60.2.254255.255.255.0244市場營銷研究所10310.60.3.010.60.3.1-10.60.3.25425210.60.3.25310.60.3.25210.60.3.254255.255.255.0245經(jīng)濟政策研究所10410.60.4.010.60.4.1-10.60.4.25425210.60.4.25310.60.4.25210.60.4.254255.255.255.0246信息研究所10510.60.5.010.60.5.1-10.60.5.25425210.60.5.25310.60.5.25210.60.5.254255.255.255.0247經(jīng)營部10610.60.6.010.60.6.1-10.60.6.25425210.60.6.25310.60.6.25210.60.6.254255.255.255.0248評估部10710.60.7.010.60.7.1-10.60.7.25425210.60.7.25310.60.7.25210.60.7.254255.255.255.0249基礎(chǔ)部10810.60.8.010.60.8.1-10.60.8.25425210.60.8.25310.60.8.25210.60.8.254255.255.255.02410行政處10910.60.9.010.60.9.1-10.60.9.25425210.60.9.25310.60.9.25210.60.9.254255.255.255.02411臨時 財務(wù)專機11010.60.10.010.60.10.1-10.60.10.25425210.60.10.25310.60.10.25210.60.10.254255.255.255.02412保留11110.60.11.010.60.11.1-10.60.11.25425210.60.11.25310.60.11.25210.60.11.254255.255.255.02411210.60.12.010.60.12.1-10.60.12.25425210.60.12.25310.60.12.25210.60.12.254255.255.255.02411310.60.13.010.60.13.1-10.60.13.25425210.60.13.25310.60.13.25210.60.13.254255.255.255.02411410.60.14.010.60.14.1-10.60.14.25425210.60.14.25310.60.14.25210.60.14.254255.255.255.02411510.60.15.010.60.15.1-10.60.15.25425210.60.15.253