醫(yī)院網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)畢業(yè)論文

1、<p>　　xx市人民醫(yī)院網(wǎng)絡(luò)設(shè)計(jì)與規(guī)劃</p><p>　　姓 名： xxxx </p><p>　　班 級(jí)：xxx級(jí)網(wǎng)絡(luò)工程x</p><p>　　學(xué) 號(hào)： xxxxxxxxxxx </p><p>　　指導(dǎo)老師： xxxxxx </p><p>　　xx市人民醫(yī)院網(wǎng)絡(luò)解

2、決方案</p><p><b>　　摘要</b></p><p>　　醫(yī)療機(jī)構(gòu)信息化是我國信息化的重要組成部分，醫(yī)院網(wǎng)絡(luò)建設(shè)是我國醫(yī)療機(jī)構(gòu)信息化的基礎(chǔ)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，醫(yī)院網(wǎng)建設(shè)已取得了可喜的進(jìn)展。醫(yī)院網(wǎng)絡(luò)系統(tǒng)是一個(gè)非常龐大而復(fù)雜的系統(tǒng)，它不僅為現(xiàn)代綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)，而且能提供多種應(yīng)用服務(wù)，使信息能及時(shí)、準(zhǔn)確地傳送給各個(gè)系

3、統(tǒng)。而醫(yī)院網(wǎng)工程建設(shè)中主要應(yīng)用了網(wǎng)絡(luò)技術(shù)中的重要分支局域網(wǎng)技術(shù)來建設(shè)與管理的，因此本畢業(yè)設(shè)計(jì)課題將主要學(xué)醫(yī)院局域網(wǎng)絡(luò)建設(shè)過程可能用到的各種技術(shù)及實(shí)施方案為設(shè)計(jì)方向，為醫(yī)院網(wǎng)的建設(shè)提供理論依據(jù)和實(shí)踐指導(dǎo)。</p><p>　　關(guān)鍵詞：局域網(wǎng)、廣域網(wǎng)、交換技術(shù)、網(wǎng)絡(luò)互聯(lián)、TCP/IP、網(wǎng)絡(luò)安全</p><p><b>　　Abstract</b></p>&

4、lt;p><b>　　Abstract</b></p><p>　　Medical institutions information in China an important component of information technology, hospital network construction is the foundation of informatization o

5、f medical institutions in china. With the development of computer network technology, hospital network construction has made great progress. Hospital network system is a very huge but complicated system, it not only for

6、modern integrated information management and office automation applications such as a series of basic operating platform</p><p>　　Key words: local area network, wide area network, exchange technology, Intern

7、et, TCP / IP, network security</p><p><b>　　目 錄</b></p><p><b>　　第1章 概述2</b></p><p>　　1.1.xx市醫(yī)院簡介2</p><p>　　1.2.xx市醫(yī)院新大樓網(wǎng)絡(luò)接入簡述3</p>

8、<p>　　1.3.需求分析4</p><p>　　1.3.1安全網(wǎng)絡(luò)4</p><p>　　1.3.2可控接入5</p><p>　　1.3.3可管理網(wǎng)絡(luò)5</p><p>　　1.3.4高性價(jià)比網(wǎng)絡(luò)5</p><p>　　1.4.建設(shè)內(nèi)容6</p><p>

9、　　第2章 xx市醫(yī)院新大樓網(wǎng)絡(luò)建設(shè)規(guī)劃7</p><p>　　2.1.網(wǎng)絡(luò)建設(shè)原則7</p><p>　　2.1.1網(wǎng)絡(luò)資源的高可用性8</p><p>　　2.1.2網(wǎng)絡(luò)的高可靠性8</p><p>　　2.1.3網(wǎng)絡(luò)的高擴(kuò)展性9</p><p>　　2.1.4網(wǎng)絡(luò)的高安全性9</p&g

10、t;<p>　　2.1.5網(wǎng)絡(luò)的易管理性11</p><p>　　2.2.xx市醫(yī)院新大樓網(wǎng)絡(luò)建議方案簡介12</p><p>　　2.2. 1此次方案設(shè)計(jì)拓樸如下圖：12</p><p>　　2.3.方案設(shè)計(jì)思想：12</p><p>　　2.3.1對(duì)于xx市醫(yī)院新大樓的核心交換機(jī)設(shè)計(jì)12</p>

11、<p>　　2.3.2接入交換機(jī)設(shè)計(jì)13</p><p>　　2.3.3網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)14</p><p>　　2.3.4對(duì)于服務(wù)器系統(tǒng)的接入設(shè)計(jì)15</p><p>　　2.4.VLAN解決方案15</p><p>　　2.4.1基于端口的VLAN劃分16</p><p>　　2.5

12、.IP地址的規(guī)劃方案設(shè)計(jì)16</p><p>　　2.5.1地址規(guī)劃的基本思想16</p><p>　　2.5.2IP地址的分配計(jì)劃16</p><p>　　2.6.產(chǎn)品選型17</p><p>　　2.6.1核心交換機(jī)的選擇17</p><p>　　2.6.2接入交換機(jī)的選擇18</p&

13、gt;<p>　　第3章 方案配置及其報(bào)價(jià)19</p><p>　　第4章 VRRP技術(shù)專題介紹34</p><p>　　7.1 VRRP基本概念34</p><p>　　7.2 VRRP的實(shí)現(xiàn)36</p><p>　　7.3 VRRP的功能特點(diǎn)39</p><p>　　7.4 組網(wǎng)應(yīng)用40&

14、lt;/p><p><b>　　7.5 結(jié)論42</b></p><p>　　第5章 H3C網(wǎng)絡(luò)產(chǎn)品介紹22</p><p>　　5.1 H3C S7500E系列高端多業(yè)務(wù)路由交換機(jī)22</p><p>　　第6章 成功應(yīng)用案例42</p><p>　　4.1 行業(yè)成功案例：42</p

15、><p>　　4.2 廣西成功案例43</p><p><b>　　概述</b></p><p><b>　　xx市醫(yī)院簡介</b></p><p>　　xx市醫(yī)院創(chuàng)建于1958年5月，前身是xx市婦幼保健所，1980 年擴(kuò)大規(guī)模改名為xx市醫(yī)院，1997 年在全區(qū)婦幼衛(wèi)生系統(tǒng)率先通過二級(jí)甲等醫(yī)院評(píng)審

16、。經(jīng)過約半個(gè)世紀(jì)的風(fēng)雨洗禮和幾代婦幼人的不懈努力，現(xiàn)已發(fā)展成為集保健、醫(yī)療、科研、教學(xué)為一體的市級(jí)婦幼保健專科醫(yī)院，承擔(dān)著xx市（含六縣）婦女兒童的保健、醫(yī)療任務(wù)，是全市婦幼保健業(yè)務(wù)指導(dǎo)中心。醫(yī)院建筑面積45670.72平方米，編制床位300張，開放床位170張，現(xiàn)有職工619人，其中高級(jí)職稱42人、中級(jí)職稱137人，設(shè)置職能科室9個(gè)、保健及臨床業(yè)務(wù)科室20個(gè)。年門診量逾46萬人次、年收治住院1.3萬余人次，年接產(chǎn)量4000余人，居全區(qū)

17、醫(yī)院產(chǎn)科之首。</p><p>　　醫(yī)院始終堅(jiān)持婦幼衛(wèi)生工作方針，貫徹一法兩綱，在全市“降消”等項(xiàng)目指導(dǎo)督查、婦幼信息和三網(wǎng)監(jiān)測(cè)管理、愛嬰醫(yī)院培訓(xùn)指導(dǎo)、產(chǎn)科質(zhì)量檢查、推廣適宜技術(shù)、健康教育和出生醫(yī)學(xué)證明管理、基層人員培訓(xùn)、集體兒童保健管理等方面充分發(fā)揮了婦幼保健業(yè)務(wù)指導(dǎo)中心的作用，為xx市市婦幼保健事業(yè)的發(fā)展做出了較大的貢獻(xiàn)。 醫(yī)院立足于為婦女兒童服務(wù)，以群體保健為基礎(chǔ)，以產(chǎn)、兒科為龍頭，不斷拓展業(yè)務(wù)內(nèi)涵，加快學(xué)

18、科發(fā)展，形成了完整的婚前保健、孕產(chǎn)期保健、產(chǎn)前診斷、產(chǎn)后康復(fù)、婦女保健、兒童保健、遺傳優(yōu)生及生殖保健服務(wù)體系。臨床婦科、產(chǎn)科、兒科、新生兒科、小兒外科、生殖助孕中心業(yè)務(wù)已在桂中地區(qū)形成一定的專科影響，是廣西較有影響的婦科內(nèi)窺鏡應(yīng)用基地、全區(qū)首家市級(jí)產(chǎn)前診斷準(zhǔn)入單位、婦幼機(jī)構(gòu)首家PCR實(shí)驗(yàn)室國家認(rèn)證單位，xx市市唯一通過國家衛(wèi)生部輔助生殖技術(shù)資質(zhì)評(píng)審的單位、全市婦女疾病治療中心、高危孕產(chǎn)婦治療和危重癥搶救中心及早產(chǎn)兒護(hù)理搶救中心、xx市市

19、新生兒篩查中心。開展的生殖助孕技術(shù)（試管嬰兒臨床妊娠成功率達(dá)42.2%）、小兒先天性心臟病外科手術(shù)治療等已走在全區(qū)先進(jìn)行列。醫(yī)院擁有先進(jìn)的十六排螺旋CT、中C臂、乳腺鉬靶機(jī)、CR、</p><p>　　目前xx市醫(yī)院興建的20層新大樓。需要構(gòu)建一個(gè)新的樓層局域網(wǎng)絡(luò)。實(shí)現(xiàn)與原有網(wǎng)絡(luò)的無縫融合接入。</p><p>　　用戶需求是網(wǎng)絡(luò)設(shè)計(jì)的依據(jù)，建立在確切需求之上的網(wǎng)絡(luò)系統(tǒng)才是用戶所真正需要的

20、。在xx市醫(yī)院局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，我們力求做到最細(xì)致地了解和分析用戶的需求，量體裁衣，以便針對(duì)需求設(shè)計(jì)出符合xx市醫(yī)院應(yīng)用特點(diǎn)的網(wǎng)絡(luò)系統(tǒng)。</p><p>　　xx市醫(yī)院新大樓網(wǎng)絡(luò)接入簡述</p><p>　　根據(jù)xx市醫(yī)院的需求，需要建設(shè)一個(gè)支持醫(yī)院數(shù)字化、網(wǎng)絡(luò)化、自動(dòng)化的國內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，滿足數(shù)字化醫(yī)院建設(shè)的需要，也滿足醫(yī)院信息化建設(shè)的長期要求。</p><

21、p>　　網(wǎng)絡(luò)平臺(tái)具有較好的服務(wù)質(zhì)量、較高安全性、便于管理和維護(hù)，能夠支持醫(yī)院的各種辦公、醫(yī)療和科研應(yīng)用，也支持移動(dòng)辦公、信息發(fā)布、網(wǎng)上醫(yī)療與醫(yī)學(xué)科研合作。</p><p>　　接入層支持百兆到桌面，核心層支持全千兆并且具有向萬兆速率平滑擴(kuò)容的能力。網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運(yùn)行。具有高帶寬、高可靠、高性能、高安全的特性。</p><p><b>　　需求分析&

22、lt;/b></p><p>　　本次工程的總體任務(wù)如下：</p><p>　　充分考慮xx市醫(yī)院工作的新需要、新應(yīng)用，按照相關(guān)系統(tǒng)的國家標(biāo)準(zhǔn)，設(shè)計(jì)出符合本工程實(shí)際的建設(shè)方案。</p><p>　　方案應(yīng)以“先進(jìn)、實(shí)用、經(jīng)濟(jì)、合理，用管兩便、安全可靠，易于擴(kuò)展”的指導(dǎo)思想為原則，采用先進(jìn)成熟的主流技術(shù)，充分考慮新建系統(tǒng)的可擴(kuò)充性和與原有系統(tǒng)的兼容性，并體現(xiàn)科學(xué)

23、規(guī)劃、合理布局、預(yù)留充分、應(yīng)用方便的特點(diǎn)，達(dá)到現(xiàn)代化、高效、舒適、安全、節(jié)能的人文辦公環(huán)境的要求。</p><p>　　在提出完整可行的建設(shè)方案的前提下，有效地組織施工，完成整個(gè)xx市醫(yī)院新大樓網(wǎng)絡(luò)系統(tǒng)的建設(shè)。</p><p>　　網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)該符合如下要求：</p><p><b>　　安全網(wǎng)絡(luò)</b></p><p&g

24、t;　　醫(yī)院信息化工作的特殊性，對(duì)網(wǎng)絡(luò)與信息安全提出了很高的要求。由于安全性的要求與投入成正比，并且涉及管理與應(yīng)用的方方面面，是一個(gè)復(fù)雜的系統(tǒng)工程，實(shí)際上沒有一個(gè)絕對(duì)安全的系統(tǒng)，安全只是相對(duì)而言，所以該原則是充分評(píng)估安全風(fēng)險(xiǎn)，制定安全策略，采取必要的安全措施。</p><p>　　其次，局域網(wǎng)內(nèi)部同樣面臨安全威脅，不同部門、不同類型的應(yīng)用、不同的人員、不同的工作范圍決定了不同的權(quán)限，我們需要保障這種不同。VLAN

25、、VPN技術(shù)、ACL等網(wǎng)絡(luò)技術(shù)提供不同形式層次的保護(hù)，同時(shí)可以將防火墻、IPS/IDS引入，實(shí)現(xiàn)更全面的內(nèi)網(wǎng)安全。</p><p>　　第三，接入安全，接入設(shè)備可以通過各種認(rèn)證技術(shù)，比如802.1x、RADIUS、EAPOL等，將安全威脅屏蔽在網(wǎng)絡(luò)之外。</p><p>　　另外，防病毒也是網(wǎng)絡(luò)安全建設(shè)必須考慮的重要問題，獨(dú)立的防病毒軟件已不能防范在網(wǎng)絡(luò)中傳輸?shù)牟《荆挥芯W(wǎng)絡(luò)設(shè)備的介入，才

26、能更好的抵御病毒的攻擊，保護(hù)信息安全。我們需要安全聯(lián)動(dòng)解決方案。</p><p>　　H3C公司的安全產(chǎn)品體系完備，可以為xx市醫(yī)院信息化保駕護(hù)航。</p><p><b>　　可控接入</b></p><p>　　伴隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的快速發(fā)展，網(wǎng)絡(luò)信息安全問題也日益突出。病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，已經(jīng)直接影響到醫(yī)院的正常運(yùn)營。如

27、何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，確保醫(yī)院網(wǎng)絡(luò)安全，為醫(yī)院辦公的正常運(yùn)行提供可靠的網(wǎng)絡(luò)保障，已經(jīng)是每一個(gè)決策者不得不關(guān)注得問題，也是每一個(gè)網(wǎng)絡(luò)管理員不得不面對(duì)的挑戰(zhàn)。</p><p>　　目前，多數(shù)網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的網(wǎng)絡(luò)使用行為引起。在醫(yī)院網(wǎng)中，用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網(wǎng)絡(luò)，就等于給

28、潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前醫(yī)院網(wǎng)絡(luò)安全管理急需解決的問題。</p><p><b>　　可管理網(wǎng)絡(luò)</b></p><p>　　網(wǎng)絡(luò)管理維護(hù)網(wǎng)絡(luò)建設(shè)中非常重要的環(huán)節(jié)，甚至是最重要的環(huán)節(jié)，因?yàn)榻ㄔO(shè)網(wǎng)絡(luò)的目的最終是為了使用，而網(wǎng)絡(luò)

29、管理無疑是保障我們高效、可靠使用網(wǎng)絡(luò)的必要手段。隨著技術(shù)的進(jìn)步，網(wǎng)絡(luò)管理內(nèi)容和方式已在發(fā)生著變化，除了生成拓?fù)鋱D、配置網(wǎng)絡(luò)設(shè)備、監(jiān)控網(wǎng)絡(luò)流量、實(shí)時(shí)統(tǒng)計(jì)和事件報(bào)警等基本功能之外，增加了很多新的功能，比如VPN實(shí)施，安全認(rèn)證、安全策略下發(fā)、用戶跟蹤等等。同時(shí)，如何靈活、安全地管理網(wǎng)絡(luò)，也是網(wǎng)絡(luò)管理發(fā)展的重要方向。這一變化使得網(wǎng)絡(luò)管理地位更加重要。H3C公司的網(wǎng)絡(luò)管理方案，針對(duì)不同規(guī)模的網(wǎng)絡(luò)、不同應(yīng)用環(huán)境量身定做，高效管理網(wǎng)絡(luò)的同時(shí)，可以提高

30、網(wǎng)絡(luò)的使用效率，降低網(wǎng)絡(luò)維護(hù)成本，是醫(yī)院信息化建設(shè)的重要組成。</p><p><b>　　高性價(jià)比網(wǎng)絡(luò)</b></p><p>　　滿足應(yīng)用的同時(shí)，高性價(jià)比是網(wǎng)絡(luò)建設(shè)的不二選擇</p><p>　　最后，我們強(qiáng)調(diào)，系統(tǒng)設(shè)計(jì)要符合局域網(wǎng)現(xiàn)在和未來3～5年內(nèi)的需求，不能盲目追求大而全，以最少的投資創(chuàng)造實(shí)際需要的功能。</p><

31、;p><b>　　建設(shè)內(nèi)容</b></p><p>　　xx市醫(yī)院新大樓網(wǎng)絡(luò)系統(tǒng)建設(shè)，對(duì)于總體的系統(tǒng)結(jié)構(gòu)要求必須滿足如下條件：</p><p>　　所有網(wǎng)絡(luò)建設(shè)都是為了更好服務(wù)于客戶的實(shí)際應(yīng)用。</p><p>　　保證如財(cái)務(wù)管理、各種收費(fèi)、藥品藥庫管理、OA以及臨床的信息化，如PACS、LIS、手術(shù)室、麻醉圖形處理等應(yīng)用的暢通無阻。&l

32、t;/p><p>　　簡化網(wǎng)絡(luò)的管理和維護(hù)，將精力專注于應(yīng)用。</p><p>　　實(shí)用性、先進(jìn)性、擴(kuò)展性和標(biāo)準(zhǔn)化的結(jié)合</p><p>　　面向應(yīng)用，注重實(shí)效，確保網(wǎng)絡(luò)建設(shè)能夠切合實(shí)際，滿足使用要求</p><p>　　網(wǎng)絡(luò)體系結(jié)構(gòu)具有開放性，協(xié)議遵循國際標(biāo)準(zhǔn)</p><p>　　具有良好的可擴(kuò)展性，為系統(tǒng)升級(jí)提供一個(gè)良

33、好的途徑</p><p>　　系統(tǒng)結(jié)構(gòu)合理、安全可靠</p><p>　　系統(tǒng)結(jié)構(gòu)有良好的分層設(shè)計(jì)，結(jié)構(gòu)清晰合理</p><p>　　從各種方面綜合保證網(wǎng)絡(luò)的可靠性</p><p>　　各種設(shè)備易于管理和維護(hù)</p><p>　　局域網(wǎng)建成之后應(yīng)符合以下要求：</p><p>　　充分利用現(xiàn)有計(jì)

34、算機(jī)網(wǎng)絡(luò)設(shè)備，保護(hù)先期投資，并與新增網(wǎng)絡(luò)設(shè)備充分結(jié)合共同組成一套高效率、高性能、高穩(wěn)定性的網(wǎng)絡(luò)系統(tǒng)。</p><p>　　網(wǎng)絡(luò)主干采用光纖1000M技術(shù)，實(shí)現(xiàn)與各樓層、主樓內(nèi)網(wǎng)交換機(jī)間的高速連接；實(shí)現(xiàn)100/1000M到桌面；實(shí)現(xiàn)核心交換機(jī)對(duì)服務(wù)器的1000M連接；內(nèi)網(wǎng)核心交換機(jī)采用雙機(jī)熱備結(jié)構(gòu)。</p><p>　　網(wǎng)絡(luò)中使用的設(shè)備和協(xié)議應(yīng)完全符合國際通用的技術(shù)標(biāo)準(zhǔn)，網(wǎng)絡(luò)核心支持IPV6

35、協(xié)議； </p><p>　　在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)管理軟件來管理所有網(wǎng)絡(luò)設(shè)備，對(duì)網(wǎng)絡(luò)設(shè)備及VLAN等進(jìn)行直觀、靈活的配置，提供完整的網(wǎng)絡(luò)拓?fù)鋱D，可以根據(jù)網(wǎng)絡(luò)的流量等情況做出分析和建議，內(nèi)外網(wǎng)各設(shè)置一套，并可在中心控制室內(nèi)結(jié)合綜合控制系統(tǒng)管理和控制整個(gè)網(wǎng)絡(luò)。</p><p>　　xx市醫(yī)院新大樓網(wǎng)絡(luò)建設(shè)規(guī)劃</p><p><b>　　網(wǎng)絡(luò)建設(shè)原則</b&

36、gt;</p><p>　　局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)將嚴(yán)格遵守各種相關(guān)的技術(shù)原則，遵循各種相關(guān)的技術(shù)標(biāo)準(zhǔn)和規(guī)范，整個(gè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)嚴(yán)格按照以下原則進(jìn)行：</p><p><b>　　先進(jìn)性和實(shí)用性</b></p><p>　　采用先進(jìn)成熟的技術(shù)滿足內(nèi)部應(yīng)用系統(tǒng)的需求，兼顧其他相關(guān)的管理需求，盡可能采用先進(jìn)的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻（多媒體）

37、的傳輸需要，使整個(gè)系統(tǒng)在相當(dāng)一段時(shí)期內(nèi)保持技術(shù)的先進(jìn)性，以適應(yīng)未來信息化的發(fā)展的需要</p><p><b>　　安全性和可靠性</b></p><p>　　為保證各項(xiàng)業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，盡量避免系統(tǒng)的單點(diǎn)故障。要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)。在網(wǎng)絡(luò)設(shè)計(jì)上應(yīng)采用硬件備份、冗余等可靠性技術(shù)提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可靠性。</p>

38、;<p><b>　　靈活性和可擴(kuò)展性</b></p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng)，所以它必須具有良好的靈活性和可擴(kuò)展性，能夠根據(jù)不斷深入發(fā)展的需要，方便的擴(kuò)展網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能。具備支持多種應(yīng)用系統(tǒng)的能力，提供技術(shù)升級(jí)、設(shè)備更新的靈活性。</p><p><b>　　開放性和互連性<

39、;/b></p><p>　　具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互連互通的特性，確保本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。在結(jié)構(gòu)上真正實(shí)現(xiàn)開放，基于開放式標(biāo)準(zhǔn)，包括各種局域網(wǎng)、廣域網(wǎng)等，堅(jiān)持統(tǒng)一規(guī)范的原則，從而為未來的發(fā)展奠定基礎(chǔ)。</p><p><b>　　可管理性</b></p><p>　　由于內(nèi)部局域網(wǎng)本身具有一定復(fù)雜性，隨

40、著業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)管理的任務(wù)必定會(huì)日益繁重。所以在網(wǎng)絡(luò)設(shè)計(jì)中，必須建立一套全面的網(wǎng)絡(luò)管理解決方案。網(wǎng)絡(luò)設(shè)備必須采用智能化，可管理的設(shè)備，同時(shí)采用先進(jìn)的網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)先進(jìn)的管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，合理分配網(wǎng)絡(luò)資源、動(dòng)態(tài)配置網(wǎng)絡(luò)負(fù)載、可以迅速確定網(wǎng)絡(luò)故障等。通過先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運(yùn)行性能、可靠性，簡化網(wǎng)絡(luò)的維護(hù)工作，從而為辦公、管理提供最有力的保障。</p><p>&

41、lt;b>　　網(wǎng)絡(luò)資源的高可用性</b></p><p>　　網(wǎng)絡(luò)的建設(shè)關(guān)注整體投資回報(bào)，網(wǎng)絡(luò)資源與應(yīng)用的實(shí)用性是網(wǎng)絡(luò)建設(shè)的根本，在此基礎(chǔ)上考慮網(wǎng)絡(luò)的可靠性、可擴(kuò)展性、安全性以及可管理性。</p><p>　　從兩個(gè)方面考慮網(wǎng)絡(luò)的實(shí)用性：網(wǎng)絡(luò)的整體性能和網(wǎng)絡(luò)運(yùn)營的開銷與回報(bào)。</p><p>　　網(wǎng)絡(luò)的性能是由應(yīng)用系統(tǒng)的數(shù)據(jù)流量分布、網(wǎng)絡(luò)設(shè)備性能及

42、廣域網(wǎng)鏈路帶寬綜合決定的。對(duì)應(yīng)用系統(tǒng)的認(rèn)真分析是網(wǎng)絡(luò)設(shè)備選型以及廣域網(wǎng)鏈路帶寬選擇的基礎(chǔ)。在醫(yī)院網(wǎng)絡(luò)上運(yùn)行的應(yīng)用系統(tǒng)應(yīng)綜合考慮醫(yī)院的HIS系統(tǒng)、辦公系統(tǒng)、教學(xué)系統(tǒng)以及語音及視頻應(yīng)用，尤其在考慮語音及視頻應(yīng)用時(shí)應(yīng)注意對(duì)鏈路帶寬的影響。在一定的網(wǎng)絡(luò)資源條件下，可利用各種技術(shù)實(shí)施對(duì)于關(guān)鍵的應(yīng)用系統(tǒng)的保障。如通過先進(jìn)的隊(duì)列機(jī)制進(jìn)行擁塞控制，對(duì)不同等級(jí)的數(shù)據(jù)進(jìn)行不同的處理，包括時(shí)延的不同和丟包率的不同；采用具備先期擁塞控制機(jī)制的網(wǎng)絡(luò)設(shè)備，當(dāng)網(wǎng)絡(luò)出

43、現(xiàn)真正的擁塞前就自動(dòng)采取適當(dāng)?shù)拇胧?，進(jìn)行先期擁塞控制，避免瞬間大量的丟包現(xiàn)象；對(duì)非常重要的特殊應(yīng)用，應(yīng)可以采用保留帶寬資源的方式保證其QoS。</p><p><b>　　網(wǎng)絡(luò)的高可靠性</b></p><p>　　醫(yī)院信息網(wǎng)絡(luò)由于運(yùn)行整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng)，需要保證網(wǎng)絡(luò)的正常運(yùn)行，不因網(wǎng)絡(luò)的故障或變化引起政府業(yè)務(wù)的瞬間質(zhì)量惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷這點(diǎn)十分重要。網(wǎng)絡(luò)作為

44、數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心，應(yīng)充分考慮可靠性。 </p><p>　　網(wǎng)絡(luò)的可靠性通過冗余技術(shù)實(shí)現(xiàn)，包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。</p><p>　　模塊冗余考慮網(wǎng)絡(luò)匯接點(diǎn)的主干設(shè)備和核心設(shè)備的所有關(guān)鍵模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能，所有模塊具備熱插拔的功能，當(dāng)某一關(guān)鍵模塊出現(xiàn)故障時(shí)，可由備份模塊接替其功能。例如在核心交換機(jī)S7506R上，配置了1

45、＋1冗余備份的電源模塊，保證在任何一個(gè)電源模塊故障的時(shí)候，整個(gè)網(wǎng)絡(luò)仍然能夠正常運(yùn)行。在主控制引擎方面，也配置了高度可靠的冗余引擎，引擎之間利用狀態(tài)熱備份技術(shù)保證故障的快速切換，在同等條件下提供業(yè)界最為快速的故障切換時(shí)間。</p><p><b>　　網(wǎng)絡(luò)的高擴(kuò)展性</b></p><p>　　從我國醫(yī)院信息系統(tǒng)的發(fā)展來看，目前隨著門診系統(tǒng)，住院系統(tǒng)、PACS系統(tǒng)以及遠(yuǎn)

46、程醫(yī)療的網(wǎng)絡(luò)化，應(yīng)用系統(tǒng)的大規(guī)模使用使得業(yè)務(wù)流膨脹是必然的趨勢(shì)，網(wǎng)絡(luò)系統(tǒng)面臨數(shù)據(jù)流量增大的壓力，在設(shè)計(jì)醫(yī)院系統(tǒng)信息網(wǎng)絡(luò)時(shí)應(yīng)充分考慮系統(tǒng)的可擴(kuò)展性，從而保護(hù)網(wǎng)絡(luò)系統(tǒng)投資。</p><p>　　網(wǎng)絡(luò)的擴(kuò)展能力包括設(shè)備交換容量的擴(kuò)展能力、端口數(shù)量的擴(kuò)展能力、主干帶寬的擴(kuò)展，以及網(wǎng)絡(luò)規(guī)模的擴(kuò)展能力。</p><p>　　交換容量擴(kuò)展應(yīng)具備在現(xiàn)有基礎(chǔ)上繼續(xù)擴(kuò)充2~4倍容量的能力，以適應(yīng)IP類業(yè)務(wù)急速

47、膨脹的需求。設(shè)備的選型應(yīng)充分考慮包轉(zhuǎn)發(fā)能力以及數(shù)據(jù)交換能力。</p><p>　　端口密度擴(kuò)展需要認(rèn)真分析用戶和應(yīng)用系統(tǒng)的擴(kuò)展可能性，在具備擴(kuò)展可能性的信息節(jié)點(diǎn)配置高可擴(kuò)展性的網(wǎng)絡(luò)設(shè)備，滿足網(wǎng)絡(luò)擴(kuò)容時(shí)對(duì)用戶接入以及系統(tǒng)互聯(lián)的需要。 主干設(shè)備應(yīng)具備充足的接口，滿足4~8倍甚至更高的帶寬擴(kuò)展能力，以適應(yīng)IP類應(yīng)用及業(yè)務(wù)急速膨脹的需求。</p><p>　　網(wǎng)絡(luò)規(guī)模擴(kuò)展需綜合考慮網(wǎng)絡(luò)體系結(jié)構(gòu)、路

48、由協(xié)議的規(guī)劃和設(shè)備的CPU路由處理能力，應(yīng)能滿足網(wǎng)絡(luò)擴(kuò)容時(shí)對(duì)用戶接入以及數(shù)據(jù)流量變化或增大時(shí)處理能力的需要。</p><p><b>　　網(wǎng)絡(luò)的高安全性</b></p><p>　　網(wǎng)絡(luò)的發(fā)展趨勢(shì)是基于Internet Web技術(shù)的開放網(wǎng)絡(luò)化系統(tǒng)。這不僅帶來了新的巨大的使用方便，同時(shí)也帶來了不斷增加的復(fù)雜應(yīng)用及信息技術(shù)的挑戰(zhàn)，因而安全是醫(yī)院系統(tǒng)網(wǎng)絡(luò)建設(shè)中要考慮的一個(gè)關(guān)

49、鍵因素。</p><p>　　網(wǎng)絡(luò)安全在內(nèi)容上主要應(yīng)考慮以下5個(gè)方面：</p><p><b>　　身份鑒別與授權(quán)</b></p><p>　　身份包括鑒別和授權(quán)。鑒別回答了“你是誰”和“你在哪？”這兩個(gè)問題，授權(quán)回答“你可以訪問什么”。必須對(duì)身份機(jī)制謹(jǐn)慎部署，因?yàn)槿绻O(shè)施難以使用，即便是最嚴(yán)謹(jǐn)?shù)陌踩呗砸灿锌赡鼙槐荛_。</p>

50、<p><b>　　邊界安全</b></p><p>　　邊界安全涉及到防火墻種類的功能，決定網(wǎng)絡(luò)的不同區(qū)域允許或拒絕何種業(yè)務(wù)，特別是在Internet和園區(qū)網(wǎng)之間或撥入網(wǎng)和園區(qū)網(wǎng)之間。</p><p>　　數(shù)據(jù)的保密性和完整性</p><p>　　數(shù)據(jù)的保密性指確保只有獲準(zhǔn)能夠閱讀數(shù)據(jù)的實(shí)體以有效的形式閱讀數(shù)據(jù)，而數(shù)據(jù)完整性指確保數(shù)

51、據(jù)在傳輸過程中未被改動(dòng)。</p><p><b>　　安全監(jiān)測(cè)</b></p><p>　　為檢驗(yàn)安全基礎(chǔ)設(shè)施的有效性，應(yīng)經(jīng)常進(jìn)行定期的安全審查，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施，可能的特殊問題(拒絕業(yè)務(wù)攻擊)以及對(duì)安全策略的全面遵守等方面。</p><p><b>　　策略管理</b></p>&

52、lt;p>　　由于網(wǎng)絡(luò)安全涉及到以上的多個(gè)方面，每一個(gè)方面都使用了多種產(chǎn)品和技術(shù)，對(duì)這些產(chǎn)品進(jìn)行集中有效的管理可以幫助網(wǎng)絡(luò)管理者有效地部署和更新自己的安全策略。</p><p>　　802.1X端口認(rèn)證</p><p>　　由于現(xiàn)在成熟的認(rèn)證記費(fèi)軟件，不斷推陳出新，并且用戶群體的網(wǎng)絡(luò)技術(shù)水平在不斷提高，如何更好的控制但又不過于限制是目前需要解決的辦法，華為網(wǎng)絡(luò)認(rèn)為采用802.1x的端

53、口認(rèn)證技術(shù)以及靈活的記費(fèi)解決上述問題，并達(dá)到很好的效果。</p><p>　　在網(wǎng)絡(luò)安全實(shí)施的策略及步驟上應(yīng)遵循輪回機(jī)制考慮以下五個(gè)方面的內(nèi)容：制定統(tǒng)一的安全策略、購買相應(yīng)的安全產(chǎn)品實(shí)施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況（遇攻擊時(shí)可采取安全措施）、主動(dòng)測(cè)試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報(bào)告并改善安全策略。</p><p><b>　　網(wǎng)絡(luò)的易管理性</b></p>

54、<p>　　隨著網(wǎng)絡(luò)中設(shè)備逐漸增多，網(wǎng)絡(luò)技術(shù)日趨復(fù)雜，網(wǎng)絡(luò)管理的重要性越來越明顯——網(wǎng)絡(luò)的復(fù)雜導(dǎo)致系統(tǒng)運(yùn)行的不確定因素增加，可靠性降低，“宕機(jī)”時(shí)間變長且?guī)淼膿p失越來越大，而往往由于平時(shí)對(duì)網(wǎng)管的忽略，缺乏受過專業(yè)培訓(xùn)的網(wǎng)絡(luò)管理人員，也缺乏綜合的網(wǎng)管解決方案，因而發(fā)生問題時(shí)無從下手，這才意識(shí)到網(wǎng)管的重要。作為一套考慮完善、可靠性要求極高的系統(tǒng)，當(dāng)然不希望有“亡羊補(bǔ)牢”的情況發(fā)生，因此網(wǎng)絡(luò)管理是網(wǎng)絡(luò)設(shè)計(jì)必不可少的考慮因素之一

55、，從設(shè)備本身操作系統(tǒng)所具備的一些網(wǎng)管功能，到簡單的網(wǎng)絡(luò)管理工具，甚而功能強(qiáng)大的大型管理系統(tǒng)，用戶可根據(jù)自身的實(shí)際網(wǎng)絡(luò)應(yīng)用和資金安排，循序漸進(jìn)，逐步實(shí)現(xiàn)全面網(wǎng)絡(luò)管理功能。</p><p>　　與傳統(tǒng)的單一應(yīng)用網(wǎng)絡(luò)不同，醫(yī)院信息網(wǎng)絡(luò)是一個(gè)集成了視頻和數(shù)據(jù)的新型網(wǎng)絡(luò)體系。在這樣的一個(gè)集成環(huán)境中，網(wǎng)絡(luò)從承載單一的數(shù)據(jù)到多種不同的應(yīng)用，如何合理利用帶寬資源，保障關(guān)鍵性業(yè)務(wù)QoS等管理要求成為網(wǎng)絡(luò)規(guī)劃管理人員不能回避的問題，

56、網(wǎng)絡(luò)管理系統(tǒng)必須提供有效的性能監(jiān)控與流量收集分析的網(wǎng)絡(luò)工具幫助網(wǎng)絡(luò)管理人員優(yōu)化網(wǎng)絡(luò)性能，準(zhǔn)確地進(jìn)行網(wǎng)絡(luò)規(guī)劃。多種業(yè)務(wù)的集成要求勢(shì)必帶來網(wǎng)絡(luò)硬件環(huán)境的變化。從單一的路由器與交換機(jī)的互連到集合了路由器，交換機(jī)，IP PHONE，語音網(wǎng)關(guān)，視頻設(shè)備等多樣設(shè)備的互連，設(shè)備管理和配置的直觀性，靈活性對(duì)網(wǎng)絡(luò)管理的效率至關(guān)重要。</p><p>　　Quidview網(wǎng)絡(luò)管理軟件是H3C公司對(duì)全線數(shù)據(jù)通信設(shè)備進(jìn)行統(tǒng)一管理和維護(hù)的

57、網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理、網(wǎng)絡(luò)管理的功能。（可以考慮以后購買）</p><p>　　xx市醫(yī)院新大樓網(wǎng)絡(luò)建議方案</p><p>　　2.2. 1此次方案設(shè)計(jì)拓樸如下圖：</p><p><b>　　方案設(shè)計(jì)思想：</b></p><p>　　充分考慮醫(yī)院網(wǎng)絡(luò)建設(shè)的特點(diǎn)，結(jié)合xx市醫(yī)院的實(shí)際情

58、況。我們建議從下面幾個(gè)方面設(shè)計(jì)來保證xx市醫(yī)院整個(gè)網(wǎng)絡(luò)的高可靠性，高可用性，易擴(kuò)展性，開放性，安全性，可管理性和實(shí)用性。</p><p>　　對(duì)于xx市醫(yī)院新大樓的核心交換機(jī)設(shè)計(jì)</p><p>　　我們推薦使用兩臺(tái)H3C公司的高端新款模塊式路由交換機(jī)S7502E。該交換機(jī)是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）面向融合業(yè)務(wù)網(wǎng)絡(luò)推出的新一代高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于H3C自主

59、知識(shí)產(chǎn)權(quán)的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。H3C S75002E符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”，是綠色環(huán)保的路由交換機(jī)。S7502E路由交換機(jī)以192G整機(jī)交換容量，400Gbps的背板容量，143Mpps包轉(zhuǎn)化率等高薪

60、能特性可以實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)，滿足大容量數(shù)據(jù)的快速交換和轉(zhuǎn)發(fā)。同時(shí)支持豐富的業(yè)務(wù)協(xié)議。</p><p>　　同時(shí)我們采用H3C的VRRP熱備份路由協(xié)議實(shí)現(xiàn)兩臺(tái)S7502E核心交換機(jī)設(shè)備以及鏈路的自動(dòng)冗余。該技術(shù)的工作原理主要是將互備路由設(shè)備配置在一個(gè)VRRP協(xié)議組中，并指定一個(gè)虛擬的IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。同時(shí)根據(jù)優(yōu)先級(jí)方案決定將優(yōu)先級(jí)最高的路由器設(shè)備定義為默認(rèn)主動(dòng)路由（路由

61、器的缺省優(yōu)先級(jí)為100），協(xié)議組中的其它路由器則為備份路由器。此時(shí)，協(xié)議組將虛擬缺省網(wǎng)關(guān)IP地址指向主動(dòng)路由設(shè)備，主動(dòng)路由設(shè)備即成為網(wǎng)絡(luò)系統(tǒng)中的缺省網(wǎng)關(guān)設(shè)備。VRRP協(xié)議技術(shù)使用主播、基于UDP的呼叫信號(hào)包（HELLO包）來實(shí)現(xiàn)同一VRRP組內(nèi)互備路由器之間的通信，即VRRP協(xié)議組中的主、備路由器之間定期向?qū)Ψ桨l(fā)出HELLO包進(jìn)行端口檢查。當(dāng)主設(shè)備出現(xiàn)故障時(shí)，在規(guī)定的一段時(shí)間內(nèi)不能發(fā)出HELLO包時(shí)，VRRP協(xié)議此時(shí)將備用路由設(shè)備激活，

62、使其成為網(wǎng)關(guān)設(shè)備，并將動(dòng)態(tài)的虛擬網(wǎng)關(guān)IP地址指向備用路由設(shè)備，備用路由設(shè)備立即承擔(dān)起網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)轉(zhuǎn)發(fā)功能。當(dāng)主路由設(shè)備故障恢復(fù)后，VRRP協(xié)議自動(dòng)將優(yōu)先級(jí)高的主路由設(shè)備激活，使之成為網(wǎng)絡(luò)系統(tǒng)的網(wǎng)關(guān)。VRRP協(xié)議組中的主、備路由器之間的動(dòng)態(tài)熱切換都是自動(dòng)完成，而且不用修改網(wǎng)</p><p>　　采用了H3C公司的VRRP路由協(xié)議技術(shù)后，網(wǎng)絡(luò)系統(tǒng)平臺(tái)才真正解決了網(wǎng)關(guān)設(shè)備的動(dòng)態(tài)熱切換的矛盾，真正作到了網(wǎng)關(guān)設(shè)備的自動(dòng)

63、冗余備份，保證了網(wǎng)絡(luò)平臺(tái)穩(wěn)定可靠的運(yùn)行，實(shí)現(xiàn)了任何一臺(tái)核心交換機(jī)出現(xiàn)故障或者任意一條鏈路出現(xiàn)故障都不回影響數(shù)據(jù)的正常通信。從而保障了業(yè)務(wù)系統(tǒng)的24小時(shí)不間斷正常開展。</p><p><b>　　接入交換機(jī)設(shè)計(jì)</b></p><p>　　我們采用H3C的 S3100系列千兆以太網(wǎng)交換機(jī)S3100-26C-SI，該產(chǎn)品是H3C公司秉承IToIP理念設(shè)計(jì)的二層線速智能型

64、可網(wǎng)管以太網(wǎng)交換機(jī)產(chǎn)品，具有千兆上行、可堆疊、無風(fēng)扇靜音設(shè)計(jì)、完備的安全和QoS控制策略等特點(diǎn)，滿足企業(yè)用戶多業(yè)務(wù)融合、高安全、可擴(kuò)展、易管理的建網(wǎng)需求。S3100-26C-SI通過千兆上行SFP端口保證接入層與核心層實(shí)現(xiàn)千兆接入。確保網(wǎng)絡(luò)的帶寬，同時(shí)實(shí)現(xiàn)100M網(wǎng)絡(luò)帶寬到桌面。H3C公司生產(chǎn)的S3100-26C-SI千兆交換機(jī)支持802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，支持MAC地址和端口等多元組綁定、廣播風(fēng)暴抑制和端口

65、鎖定功能，保證接入用戶的合法性。    </p><p>　　支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機(jī)7502E上，在核心上啟動(dòng)網(wǎng)流分析（Netstream）功能，對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。</p><p>　　支持DHCP Snooping(偵聽)功能，通過建立和維護(hù)DHCP Snoop

66、ing綁定表實(shí)現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解決了 DHCP用戶的IP和端口跟蹤定位問題。同時(shí)對(duì)不符合綁定表項(xiàng)的非法報(bào)文（ARP欺騙報(bào)文、擅自修改IP地址的報(bào)文）直接丟棄，保證DHCP環(huán)境的真實(shí)性和一致性。</p><p>　　這樣可以防止目前殺毒軟件不能解決的ARP欺騙攻擊和DDOS攻擊等。確保網(wǎng)絡(luò)的安全性。</p><p><b>

67、　　網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)</b></p><p>　　在網(wǎng)絡(luò)的拓?fù)湓O(shè)計(jì)中，我們遵守了如下原則：</p><p><b>　　拓?fù)淇煽啃?lt;/b></p><p>　　在各網(wǎng)絡(luò)的拓?fù)湓O(shè)計(jì)中應(yīng)遵循N-1的電路可靠性原則。</p><p>　　N-1的電路可靠性：拓?fù)渲腥サ羧魏?條鏈路，不影響節(jié)點(diǎn)的連通性。這就要求每個(gè)節(jié)點(diǎn)

68、至少有兩條不相關(guān)的鏈路與其他節(jié)點(diǎn)相連。</p><p><b>　　擴(kuò)展性</b></p><p>　　網(wǎng)絡(luò)鏈路和節(jié)點(diǎn)的增加、減少以及修改應(yīng)不影響網(wǎng)絡(luò)的總體拓?fù)?lt;/p><p>　　遵循此原則，本次規(guī)劃設(shè)計(jì)中采用如下結(jié)構(gòu)：</p><p>　　核心使用兩臺(tái)核心交換機(jī)S7502E和S7502E，兩者通過千兆GE互連，并做端

69、口核心，做為整個(gè)網(wǎng)絡(luò)的核心，并互為備份。服務(wù)器通過雙網(wǎng)卡分別接入兩臺(tái)核心交換機(jī)實(shí)現(xiàn)單臺(tái)核心交換機(jī)出現(xiàn)故障不會(huì)影響對(duì)服務(wù)器的訪問。</p><p>　　1樓到5樓樓層接入節(jié)點(diǎn)各使用兩臺(tái)S3100-26C-SI交換機(jī)做堆疊。作為樓層接入交換機(jī)，實(shí)現(xiàn)千兆上行接入核心交換機(jī)，并使用MSTP二次協(xié)議和VRRP三層路由協(xié)議實(shí)現(xiàn)整網(wǎng)冗余和分擔(dān)流量。</p><p>　　6樓到20樓樓層接入節(jié)點(diǎn)各使用一臺(tái)

70、S3100-26C-SI交換機(jī)作為樓層接入交換機(jī)，實(shí)現(xiàn)千兆上行接入核心交換機(jī)。并使用MSTP二層協(xié)議和VRRP三層路由協(xié)議實(shí)現(xiàn)整網(wǎng)冗余和分擔(dān)流量。</p><p>　　對(duì)于服務(wù)器系統(tǒng)的接入設(shè)計(jì)</p><p>　　服務(wù)器眾多，且后期需要增加大量服務(wù)器，需要有一定的擴(kuò)展性。因此我們?cè)O(shè)計(jì)把服務(wù)器放置在核心交換機(jī)一個(gè)樓層。此外服務(wù)器都使用千兆的雙網(wǎng)卡分別連接兩臺(tái)S7502E，使用VRRP作冗余，

71、最大化保障服務(wù)器在網(wǎng)絡(luò)上的實(shí)時(shí)在線。同時(shí)保證服務(wù)器和核心交換機(jī)的千兆帶寬接入。</p><p><b>　　VLAN解決方案</b></p><p>　　在現(xiàn)代大型的網(wǎng)絡(luò)應(yīng)用中，為了建立起各類網(wǎng)絡(luò)用戶具有安全的、獨(dú)立的廣播域或者組播域，我們可以將交換機(jī)上的端口組合成一個(gè)一個(gè)的虛擬局域網(wǎng)（VLAN），通過設(shè)置VLAN 我們達(dá)到了限制廣播包的傳播范圍和降低廣播包的影響，所

72、有以太網(wǎng)數(shù)據(jù)包，如：點(diǎn)播（unicast）， 組播（multicast ），廣播（broadcast），以及未知（unknown）的數(shù)據(jù)包，都將只在VLAN 內(nèi)傳送，這樣在一定程度上可以提高網(wǎng)絡(luò)的安全性。</p><p>　　另外人們也經(jīng)常需要對(duì)現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行一些簡單的或小量的改變，同時(shí)又不需要網(wǎng)絡(luò)中的工作站發(fā)生物理上的移動(dòng)或者網(wǎng)絡(luò)線路連接上的變動(dòng)，我們采用H3C的S7500E核心路由交換機(jī)和S3100

73、-26c-SI太網(wǎng)交換機(jī)提供的豐富的VLAN 功能，實(shí)現(xiàn)對(duì)用戶工作站的VLAN 設(shè)置改動(dòng)，就將工作站從一個(gè)VLAN移到了另一個(gè)VLAN，以達(dá)到使網(wǎng)絡(luò)節(jié)點(diǎn)的移動(dòng)變換增加變得非常靈活和容易。</p><p>　　根據(jù)xx市醫(yī)院新大樓網(wǎng)絡(luò)系統(tǒng)工程的具體情況，我們建議用戶可以從以下幾個(gè)方面進(jìn)行網(wǎng)絡(luò)內(nèi)部VLAN 系統(tǒng)的規(guī)劃和設(shè)計(jì)：</p><p>　　基于端口的VLAN劃分</p>&

74、lt;p>　　根據(jù)大樓內(nèi)部各個(gè)不同的功能區(qū)域現(xiàn)有的網(wǎng)絡(luò)用戶分布情況，我們可以采用基于各個(gè)接入交換機(jī)的物理端口劃分VLAN的解決方案，以一個(gè)單獨(dú)單位或者一個(gè)特定的用戶群為一個(gè)VLAN，作為一個(gè)子網(wǎng)，從而實(shí)現(xiàn)相互之間的隔離。H3C S7502E能支持大量的VLAN數(shù)量劃分，最大到4096個(gè)VLAN,對(duì)以后的網(wǎng)絡(luò)擴(kuò)容和用戶急劇增加有獨(dú)到的處理能力。并且S7502E支持QinQ，即雙層的802.1Q幀。</p><p

75、>　　這樣我們可以配置這兩個(gè)連接到骨干網(wǎng)絡(luò)的千兆以太網(wǎng)端口是上連端口。于是所有的在這個(gè)VLAN里面的廣播包和未知目的地的Unicast包都不會(huì)去到VLAN的其他任何端口，它們只會(huì)到這個(gè)VLAN的上連端口出去，每個(gè)客戶都不會(huì)收到其他客戶的廣播或者匿名包，這樣就避免的在客戶端的用戶用類似網(wǎng)絡(luò)鄰居或者其他廣播的方式發(fā)現(xiàn)對(duì)方，也避免了各個(gè)單位和接入端所出現(xiàn)的不必要或者惡意的廣播風(fēng)暴，保護(hù)了網(wǎng)絡(luò)的安全。</p><p&g

76、t;　　IP地址的規(guī)劃方案設(shè)計(jì)</p><p>　　網(wǎng)絡(luò)核心層由信息中心的骨干交換機(jī)組成，未來的網(wǎng)絡(luò)建設(shè)會(huì)以圍繞核心節(jié)點(diǎn)進(jìn)行擴(kuò)展，建立各個(gè)接入層結(jié)構(gòu)。對(duì)于已有的IP地址分配，在新的網(wǎng)絡(luò)建設(shè)中采用以下原則。</p><p><b>　　地址規(guī)劃的基本思想</b></p><p>　　通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個(gè)區(qū)域內(nèi)。因此，核心

77、層應(yīng)象一個(gè)區(qū)域或一個(gè)節(jié)點(diǎn)一樣，被分配一段連續(xù)的地址。更進(jìn)一步，連接進(jìn)某一區(qū)域的節(jié)點(diǎn)的IP地址范圍應(yīng)集中在該區(qū)域的地址范圍附近。地址規(guī)劃時(shí)充分考慮CIDR 和VLSM 的設(shè)計(jì)思想。保證IP地址的最大利用率的同時(shí)方便今后業(yè)務(wù)的擴(kuò)展。</p><p><b>　　IP地址的分配計(jì)劃</b></p><p>　　對(duì)于原合法地址的分配。建議xx市醫(yī)院分配給新的IP地址段。具體I

78、P地址分配，需要根據(jù)實(shí)際申請(qǐng)到的連續(xù)IP地址來劃分。原則為，首先每一個(gè)部門為一個(gè)段的私有IP地址。例如;192.168.1.0 255.255.255.0 這個(gè)段</p><p><b>　　產(chǎn)品選型</b></p><p><b>　　核心交換機(jī)的選擇</b></p><p>　　對(duì)于xx市醫(yī)院新大樓核心交換機(jī)的選擇。我

79、從如下幾個(gè)方面考慮：</p><p>　　1. 核心交換機(jī)的整機(jī)交換容量</p><p>　　2. 核心交換機(jī)的背板容量</p><p>　　3. 核心交換機(jī)的包轉(zhuǎn)發(fā)率</p><p>　　4. 核心交換機(jī)的支持的最大MAC地址數(shù)</p><p>　　5. 核心交換機(jī)的可擴(kuò)張性，先進(jìn)性和實(shí)用性</p>&

80、lt;p>　　6. 核心交換機(jī)的可網(wǎng)管性，安全性和QOS等</p><p>　　綜合以上幾個(gè)條件，結(jié)合xx市醫(yī)院新大樓網(wǎng)絡(luò)的實(shí)際情況。我們推薦使用H3C公司生產(chǎn)的S7502E路由交換機(jī)。該交換機(jī)是H3C公司2007年推出的一款新式路由交換機(jī)。該產(chǎn)品基于H3C自主知識(shí)產(chǎn)權(quán)的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全、無線、無源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可

81、靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（TCO）。H3C S7500E符合“限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（RoHS）”，是綠色環(huán)保的路由交換機(jī)。H3C S7500E采用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3C S7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6 Ready第二階段金色認(rèn)證，是成熟商用的IPv6產(chǎn)品。該產(chǎn)品持強(qiáng)大的ACL能力：支持標(biāo)準(zhǔn)和擴(kuò)展A

82、CL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足訪問權(quán)限嚴(yán)格控制的需求，H3C S7500E采用分布式體系結(jié)構(gòu)、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余</p><p>　　考慮實(shí)際運(yùn)用情況。從性價(jià)比最優(yōu)性考慮。S7502E核心路由交換機(jī)主控板我們推薦使用H3C S7500E Salience VI交換路由引擎。同時(shí)配備一塊H3C S7

83、500E 24端口千兆以太網(wǎng)電接口模塊(RJ45)來提供24個(gè)千兆以太網(wǎng)電口，用于服務(wù)器的接入。配備一塊H3C S7500E 24端口千兆以太網(wǎng)光接口模塊(SFP,LC)，其中1個(gè)千兆光口用于接入原有的S5624P交換機(jī)。20個(gè)千兆光口用于提供接入交換機(jī)的千兆光纖接入。3個(gè)千兆光口做冗余備份端口。</p><p><b>　　接入交換機(jī)的選擇</b></p><p>

84、　　對(duì)于接入交換機(jī)的設(shè)計(jì)，我們從如下幾個(gè)方面考慮：</p><p>　　1. 接入層實(shí)現(xiàn)交換機(jī)接能實(shí)現(xiàn)防止ARP地址欺騙，支持MAC與端口綁定，解決外來機(jī)器進(jìn)入內(nèi)網(wǎng)問題。</p><p>　　2．接入層交換機(jī)實(shí)現(xiàn)到核心交換機(jī)千兆上行接入。</p><p>　　3.接入層實(shí)現(xiàn)百兆到桌面，無風(fēng)扇靜音設(shè)計(jì)</p><p>　　4.接入交換機(jī)的具有較

85、大的背板交換容量</p><p>　　5. 接入在支持冗余堆疊的同時(shí)，完備的安全和QoS控制策略</p><p><b>　　6.支持可網(wǎng)管。</b></p><p>　　綜合以上條件，我們推薦使用H3C公司生產(chǎn)的S3100-26C-SI?？紤]xx市醫(yī)院新大樓1樓到5樓接入點(diǎn)在24到40之間。因此我們建議從1樓到5樓每一樓層部署兩臺(tái)S3100-

86、26C-SI交換機(jī)做堆疊，這樣有利于管理和可高可靠性。提供48個(gè)10/100M的以太網(wǎng)RJ45接口和4個(gè)1000M SFP光纖上行端口。6樓到20樓每一層樓的接入點(diǎn)少于24個(gè)。因此我們建議從6樓到20樓每一樓層部署一臺(tái)S3100-26C-SI交換機(jī)。提供24個(gè)10/100M的以太網(wǎng)RJ45接口和4個(gè)1000M SFP光纖上行端口。實(shí)現(xiàn)百兆接入到桌面和千兆上行接入核心交換機(jī)。同時(shí)也利于以后的擴(kuò)展。</p><p>

87、　　VRRP技術(shù)專題介紹</p><p><b>　　VRRP基本概念 </b></p><p><b>　　1.1 產(chǎn)生背景 </b></p><p>　　隨著Internet的發(fā)展人們對(duì)網(wǎng)絡(luò)可靠性的要求越來越高特別是對(duì)于終端用戶來說能夠時(shí)時(shí)與網(wǎng)絡(luò)其他部分保持通信是非常重要的虛擬路由器冗余協(xié)議VRRP 提供一種解決方案能

88、夠保證終端用戶與網(wǎng)絡(luò)的聯(lián)系可靠穩(wěn)定不中斷。 </p><p>　　一般來說主機(jī)通過設(shè)置默認(rèn)網(wǎng)關(guān)來與外部網(wǎng)絡(luò)聯(lián)系因?yàn)檫@樣配置非常簡單如圖1： </p><p>　　網(wǎng)絡(luò)上的主機(jī)設(shè)置了一條缺省路由（10.100.10.1）， 該路由的下一跳指向主機(jī)所在網(wǎng)段內(nèi)的一個(gè)路由器RouterA ，由RouterA將報(bào)文轉(zhuǎn)發(fā)出去。這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過缺省路由發(fā)往RouterA，

89、從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。然而，萬一RouterA出現(xiàn)故障，主機(jī)將與外界失去聯(lián)系，陷入孤立的境地。遺憾的是，僅僅在網(wǎng)絡(luò)上多加一臺(tái)路由器并 不能解決問題。大多數(shù)主機(jī)只允許配置一個(gè)默認(rèn)網(wǎng)關(guān)；同時(shí)，不管網(wǎng)絡(luò)上存在多少個(gè)路由器，對(duì)于目標(biāo)是其他網(wǎng)絡(luò)的報(bào)文，主機(jī)只能使用已經(jīng)配置好的那個(gè)默認(rèn)網(wǎng)關(guān)。有一種解決方案是運(yùn)行動(dòng)態(tài)路由協(xié)議，如RIP 、OSPF， 或者是ICMP路由發(fā)現(xiàn)協(xié)議等。但是要想在每一臺(tái)主機(jī)上都運(yùn)行動(dòng)態(tài)路由協(xié)議幾乎是不可能的，這涉及

90、到管理問題、安全問題、平臺(tái)對(duì)協(xié)議的支持問題等等。 </p><p>　　VRRP的出現(xiàn)使解決這個(gè)問題變得簡單，它不改變組網(wǎng)情況，不需要在主機(jī)上做任何配置，只需要在相關(guān)路由器上配置極少的幾條命令，就能實(shí)現(xiàn)下一跳網(wǎng)關(guān)的備份，不會(huì)給主機(jī)帶來任何負(fù)擔(dān)。和其他方法比較起來，VRRP使用起來簡單方便。 </p><p><b>　　1.2 協(xié)議簡述 </b></p>

91、<p>　　簡單來說，VRRP是一種容錯(cuò)協(xié)議，它為具有組播或廣播能力的局域網(wǎng)，(如以太網(wǎng))設(shè)計(jì)，它保證當(dāng)局域網(wǎng)內(nèi)主機(jī)的下一跳路由器出現(xiàn)故障時(shí)，可以及時(shí)的由另一臺(tái)路由器來代替，從而保持通訊的連續(xù)性和可靠性。為了使VRRP工作，要在路由器上配置虛擬路由器號(hào)和虛擬IP地址，同時(shí)產(chǎn)生一個(gè)虛擬MAC地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。而網(wǎng)絡(luò)上的主機(jī)與虛擬路由器通信，無需了解這個(gè)網(wǎng)絡(luò)上物理路由器的任何信息。一個(gè)虛擬路由器由一個(gè)

92、主路由器和若干個(gè)備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器接替它的工作。 </p><p>　　VRRP中只定義了一種報(bào)文——VRRP報(bào)文，這是一種組播報(bào)文，封裝在IP報(bào)文上，由主路由器定時(shí)發(fā)出來通告它的存在，使用這些報(bào)文可以檢測(cè)虛擬路由器各種參數(shù)，還可以用于主路由器的選舉。 </p><p>　　VRRP還定義了三種狀態(tài)：模型初始狀

93、態(tài)（Initialize）、活動(dòng)狀態(tài)（Master）、備份狀態(tài)（Backup）。其中只有活動(dòng)狀態(tài)可以為到虛擬IP地址的轉(zhuǎn)發(fā)請(qǐng)求服務(wù)。 </p><p>　　VRRP協(xié)議僅僅適用于IPv4版本的路由器。對(duì)于IPv6版本的路由器將會(huì)有新的規(guī)范來規(guī)定相關(guān)內(nèi)容。 </p><p><b>　　VRRP的實(shí)現(xiàn) </b></p><p><b>

94、　　2.1 工作原理 </b></p><p>　　VRRP將局域網(wǎng)的一組路由器（RouterA和RouterB）組織成一個(gè)虛擬的路由器。這個(gè)虛擬的路由器擁有自己的IP地址10.100.10.1(這個(gè)IP地址可以和某個(gè)路由器的接口地址相同，被稱為IP地址擁有者) 。當(dāng)然，物理路由器RouterA 、RouterB也有自己的IP地址（RouterA的IP地址為10.100.10.2，RouterB的IP

95、地址為10.100.10.3）。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址10.100.10.1，而并不知道具體的RouterA的IP地址以及RouterB的IP地址，他們將自己的缺省路由設(shè)置為該虛擬路由器的IP地址10.100.10.1。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個(gè)虛擬的路由器來與其他網(wǎng)絡(luò)進(jìn)行通信。而對(duì)于這個(gè)虛擬路由器則需要進(jìn)行如下工作： </p><p>　　1）根據(jù)優(yōu)先級(jí)的大小挑選主路由器。優(yōu)先級(jí)最大的

96、成為主路由器，狀態(tài)為Master ，若優(yōu)先級(jí)相同，則比較接口的主IP地址，主IP地址大的就成為主路由器，由它提供實(shí)際的路由服務(wù)。 </p><p>　　2）其它路由器作為備份路由器，隨時(shí)監(jiān)測(cè)主路由器的狀態(tài)。當(dāng)主路由器正常工作時(shí)，它會(huì)每隔一段時(shí)間發(fā)送一個(gè)VRRP組播報(bào)文，以通知組內(nèi)的備份路由器主路由器處于正常工作狀態(tài)。如果組內(nèi)的備份路由器長時(shí)間沒有接收到來自主路由器的報(bào)文，則將自己狀態(tài)轉(zhuǎn)為Master。當(dāng)組內(nèi)有多臺(tái)

97、備份路由器時(shí)將有可能產(chǎn)生多個(gè)主路由器。這時(shí)每一個(gè)主路由器就會(huì)比較VRRP報(bào)文中的優(yōu)先級(jí)和自己本地的優(yōu)先級(jí)。如果本地的優(yōu)先級(jí)小于VRRP報(bào)文中的優(yōu)先級(jí)，則將自己的狀態(tài)轉(zhuǎn)為Backup，否則保持自己的狀態(tài)不變。通過這樣一個(gè)過程，就會(huì)將優(yōu)先級(jí)最大的路由器選成新的主路由器，完成VRRP的備份功能。 </p><p>　　從上述分析可以看到，對(duì)于網(wǎng)絡(luò)中的主機(jī)來說，它并沒有做任何額外的工作，但是它對(duì)外的通信再也不會(huì)因?yàn)橐慌_(tái)路

98、由器出現(xiàn)故障而受到影響了。 </p><p>　　2.2 虛擬路由器的狀態(tài)模型 </p><p>　　組成虛擬路由器的路由器會(huì)有三種狀態(tài)分別是Initialize Master和Backup 下面對(duì)這三種狀態(tài)進(jìn)行說明： </p><p>　　1. Initialize </p><p>　　系統(tǒng)啟動(dòng)后進(jìn)入此狀態(tài)，當(dāng)收到接口startup的消息

99、，將轉(zhuǎn)入Backup（優(yōu)先級(jí)不為255時(shí)）或Master（狀態(tài)優(yōu)先級(jí)為255時(shí)）。在此狀態(tài)時(shí)，路由器不會(huì)對(duì)VRRP報(bào)文做任何處理。 </p><p>　　2. Master </p><p>　　當(dāng)路由器處于Master狀態(tài)時(shí)它將會(huì)做下列工作。 </p><p>　　􀁺 定期發(fā)送VRRP組播報(bào)文； </p><p>　　&#

100、1048698; 發(fā)送免費(fèi)gratuitous ARP報(bào)文，以使網(wǎng)絡(luò)內(nèi)各主機(jī)知道虛擬IP地址所對(duì)應(yīng)的虛擬MAC地址； </p><p>　　􀁺 響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求，并且響應(yīng)的是虛擬MAC地址，而不是接口的真實(shí)MAC地址； </p><p>　　􀁺 轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報(bào)文； </p><p>　　&

101、#1048698; 如果它是這個(gè)虛擬IP地址的擁有者，則接收目的IP地址為這個(gè)虛擬IP地址的IP報(bào)文，否則，丟棄這個(gè)IP報(bào)文。需要注意的是，由于有這一點(diǎn)要求，所以除非主路由器是IP地址擁有者，否則主機(jī)ping虛擬IP地址不能ping通；在Master狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的VRRP報(bào)文時(shí)，才會(huì)轉(zhuǎn)為Backup，只有當(dāng)接收到接口的Shutdown事件時(shí)才會(huì)轉(zhuǎn)為Initialize。 </p><p>　　

102、3. Backup </p><p>　　當(dāng)路由器處于Backup狀態(tài)時(shí)它將會(huì)做下列工作。 </p><p>　　􀁺 接收Master發(fā)送的VRRP組播報(bào)文從中了解Master的狀態(tài)。 </p><p>　　􀁺 對(duì)虛擬IP地址的ARP請(qǐng)求，不做響應(yīng)。 </p><p><b>　　4．</b

103、></p><p>　　丟棄目的MAC地址為虛擬MAC地址的IP報(bào)文。 </p><p>　　丟棄目的IP地址為虛擬IP地址的IP報(bào)文。 </p><p>　　只有當(dāng)Backup接收到MASTER_DOWN這個(gè)定時(shí)器到時(shí)的事件時(shí)，才會(huì)轉(zhuǎn)為Master， 而當(dāng)接收到比自己的優(yōu)先級(jí)小的VRRP報(bào)文時(shí)，它只是做丟棄這個(gè)報(bào)文的處理，從而就不對(duì)定時(shí)器做重置處理，這樣定時(shí)

104、器就會(huì)在若干次這樣的處理之后到時(shí)，于是就轉(zhuǎn)為Master。只有當(dāng)接收到接口的Shutdown事件時(shí)，才會(huì)轉(zhuǎn)為Initialize。 </p><p>　　VRRP的功能特點(diǎn) </p><p>　　VRRP具有以下特點(diǎn)： </p><p>　　(1) IP地址的備份（IP Address Backup） </p><p>　　一個(gè)虛擬IP地址被

105、多臺(tái)路由器共用，這是VRRP的首要功能，該功能能將網(wǎng)絡(luò)黑洞的持續(xù)時(shí)間最小化，還可以實(shí)現(xiàn)負(fù)載分擔(dān)。 </p><p>　　(2) 首選路徑確定（Preferred Path Indication） </p><p>　　VRRP用一個(gè)簡單方法，從各成員中選舉主路由器，這就是設(shè)立優(yōu)先級(jí)和搶占方式。備份組中優(yōu)先級(jí)最高的路由器，將成為主路由器，當(dāng)優(yōu)先級(jí)相同時(shí)將會(huì)比較接口的主IP地址。優(yōu)先級(jí)的取值范

106、圍為0到255，其中0為系統(tǒng)保留為特殊用途使用，255為系統(tǒng)指定給IP地址擁有者的。用戶可以通過設(shè)定優(yōu)先級(jí)和搶占方式來指定某一路由器成為Master。 </p><p>　　5．華為產(chǎn)品維護(hù)資料 VRRP 技術(shù)專題 2004/11/20 </p><p>　　(3) 使不必要的中斷最小化（Minimizaton of Unnecessary Service Disruptions） <

107、;/p><p>　　當(dāng)主路由器選好后，除了主路由器定時(shí)發(fā)送的VRRP組播報(bào)文外，主路由器和備份路由器之間沒有多余的通信。任何優(yōu)先級(jí)低或相等的備份路由器不能發(fā)起狀態(tài)轉(zhuǎn)換，這樣主路由器可以持續(xù)穩(wěn)定地工作。 </p><p>　　(4) 安全性可擴(kuò)展（Extensible Security） </p><p>　　對(duì)于安全程度不同的網(wǎng)絡(luò)環(huán)境，可以在報(bào)頭上設(shè)定不同的認(rèn)證方式和認(rèn)

108、證字。任何沒有通過認(rèn)證的報(bào)文將做丟棄處理。VRRP定義了三種認(rèn)證方式：無認(rèn)證（no authentication ）、簡單字符認(rèn)證（simple clear text passwords） 和 MD5認(rèn)證（MD5）。 在一個(gè)安全的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為NO ，路由器對(duì)要發(fā)送的VRRP報(bào)文不進(jìn)行任何認(rèn)證處理，而收到VRRP報(bào)文的路由器也不進(jìn)行任何認(rèn)證就認(rèn)為是一個(gè)真實(shí)合法的VRRP報(bào)文，這種情況下不需要設(shè)置認(rèn)證字。在一個(gè)有可能受到安全

109、威脅的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為SIMPLE ，則發(fā)送VRRP報(bào)文的路由器就會(huì)將認(rèn)證字填入到VRRP報(bào)文中，而收到VRRP報(bào)文的路由器會(huì)將收到的VRRP報(bào)文中的認(rèn)證字和本地配置的認(rèn)證字進(jìn)行比較，相同則認(rèn)為是真實(shí)的，合法的VRRP報(bào)文，否則認(rèn)為是一個(gè)非法的報(bào)文，將會(huì)丟棄。在一個(gè)非常不安全的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為MD5，這樣，路由器就會(huì)利用Authentication Header 提供的認(rèn)證方式和MD5算法來對(duì)VRRP報(bào)文進(jìn)行認(rèn)證

110、。 </p><p><b>　　組網(wǎng)應(yīng)用 </b></p><p>　　VRRP允許一臺(tái)路由器為多個(gè)虛擬路由器作備份。通過多虛擬路由器設(shè)置可以實(shí)現(xiàn)負(fù)荷分擔(dān)。如RouterA作為虛擬路由器1的主路由器，同時(shí)又兼職虛擬路由器2的備份路由器，而RouterB正相反，作為虛擬路由器2的主路由器，并兼職虛擬路由器1的備份路由器。一部分主機(jī)使用虛擬路由器1作網(wǎng)關(guān)，另一部分主機(jī)使