課程設計---組網與配置綜合實踐課程設計

1、<p><b>　　課程設計</b></p><p>　　題目：華山醫(yī)院網絡組建與配置實踐</p><p><b>　　作者簽名：</b></p><p>　作者姓名：</p><p>　班 級：</p><p>　學 號：</p><p

2、>　指導教師：</p><p>　日 期：</p><p>　　華山醫(yī)院網絡組建與配置實踐</p><p><b>　　摘 要</b></p><p>　　本文完成了華山醫(yī)院網絡組建的方案設計，其中包括網絡需求分析，IP、VLAN、路由等的規(guī)劃，安全設計，完成路由、VLAN、冗余網關、STP、NAT、ACL等

3、的實踐配置，對相關配置做驗證。</p><p>　　關鍵詞：網絡組建、路由、VLAN、IP目 錄</p><p><b>　　1 引言1</b></p><p>　　1.1 項目背景1</p><p>　　1.2 需求現(xiàn)狀1</p><p><b>　　2 需求分析1&l

4、t;/b></p><p>　　2.1.網絡系統(tǒng)需求分析1</p><p>　　2.2網絡系統(tǒng)穩(wěn)定性需求2</p><p>　　2.3網絡傳輸性能需求2</p><p>　　2.4網絡系統(tǒng)安全性需求2</p><p>　　2.5網絡系統(tǒng)管理需求2</p><p>　　2.6無線網

5、絡需求3</p><p>　　2.7遠程接入需求3</p><p><b>　　2．8總結3</b></p><p>　　3 拓撲及IP和路由規(guī)劃3</p><p>　　3.1 拓撲設計及描述3</p><p>　　3.2 IP和VLAN設計6</p><p>

6、　　3.3 路由設計8</p><p><b>　　4 安全設計9</b></p><p><b>　　5 實踐配置10</b></p><p>　　5.1實踐配置拓撲圖10</p><p>　　5.2基礎配置：11</p><p>　　5.3路由配置11<

7、/p><p>　　5.4生成樹配置:12</p><p>　　5.5冗余網關配置12</p><p>　　5.6DHCP配置12</p><p>　　5.7ACL配置12</p><p>　　5.8NAT配置12</p><p>　　5.9VPN配置13</p><p

8、>　　5.10 802.1X配置13</p><p><b>　　6 實驗測試13</b></p><p>　　6.1DHCP驗證:13</p><p>　　6.2STP驗證13</p><p>　　6.3路由驗證:14</p><p>　　6.3驗證ACL15</p>

9、;<p>　　5.4驗證VRRP15</p><p><b>　　結 論16</b></p><p><b>　　參考文獻16</b></p><p><b>　　1 引言</b></p><p><b>　　1.1 項目背景</b

10、></p><p>　　華山醫(yī)院是衛(wèi)生部直屬復旦大學（原上海醫(yī)科大學）附屬的一所綜合性教學醫(yī)院。建院于1907年，前身是中國紅十字會總院，是上海地區(qū)中國人最早創(chuàng)辦的醫(yī)院，1992年首批通過國家三級甲等醫(yī)院評審，目前已成為一所國家高層次的醫(yī)療機構，并為全國醫(yī)療、預防、教學、科研相結合的技術中心，在國內外享有較高的聲譽。</p><p>　　隨著醫(yī)療行業(yè)信息化的發(fā)展，為了認真貫徹衛(wèi)生部召

11、開的關于加快醫(yī)衛(wèi)系統(tǒng)信息化建設及管理的會議精神，進一步推進我院的信息化建設，了解國際醫(yī)療信息化發(fā)展動態(tài)，吸收新的技術和管理經驗，提高我院信息化應用的管理水平，使我院經濟效益和社會效益雙豐收，逐步加快醫(yī)院的信息化建設步伐。</p><p>　　在選取“飛”的翅膀時，計算機網絡解決方案的選取是關鍵。銳捷網絡公司以其卓越的產品性能、豐富的產品種類和完善的服務體系，綜合考慮了華山對網絡安全、網絡管理、可靠性、可管理性、可

12、擴展性和高性能的特殊需要，精選出適合華山醫(yī)院的網絡建設的解決方案。</p><p><b>　　1.2 需求現(xiàn)狀</b></p><p>　　華山醫(yī)院的網絡系統(tǒng)建設應在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上系統(tǒng)能力上要保持五年左右的先進性。并且從用戶的利益出發(fā)，一個好的系統(tǒng)應當給用戶一定的自由度，而不是束縛住他們的手腳，從技術上講應該采用標準、

13、開放、可擴充的、能與其它廠商產品配套使用的設計。</p><p>　　根據以上種種特性需求，網絡設備核心層、匯聚層、接入層產品，選擇銳捷網絡。銳捷網絡是國內領先的網絡廠商，其對醫(yī)療行業(yè)有著深刻的了解，其產品、方案與服務在醫(yī)療行業(yè)有成熟和廣泛的應用，而且能通過智能、安全及可靠的網絡設備連為一體，來構建網絡系統(tǒng)的設計目標，保障其順利進行。</p><p>　　根據以上描述，結合實際建網情況和前

14、期網絡建設，在充分研究了目前國內外網絡界對園區(qū)網設計所采用的各種網絡主干技術,并充分考慮到技術發(fā)展的主流和趨勢后，建議選擇萬兆以太網為目標，構建華山醫(yī)院的網絡建設，設計“萬兆核心、千兆支干、千兆交換桌面”的網絡拓撲結構，根據需求分析，結合對應用系統(tǒng)的考慮，提出本期網絡系統(tǒng)的設計目標：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網絡。</p><p>　　醫(yī)療行業(yè)由于其特殊性，對于各種系統(tǒng)的穩(wěn)定和

15、可靠都有非常高的要求，華山醫(yī)院在穩(wěn)定可靠的基礎上，以實用為先，應用各種網絡技術，提高網絡數據傳輸可靠性、安全性、和高效率是目前醫(yī)療行業(yè)應用的發(fā)展趨勢。同時，也要不斷提高醫(yī)院領導和信息中心對信息化建設的基礎設施網絡系統(tǒng)建設的認識。</p><p>　　隨著華山醫(yī)院業(yè)務的不斷發(fā)展，為了給患者提供更好的服務，使更多的患者能夠得到及時有效的醫(yī)療服務。華山醫(yī)院通過不斷的信息化建設，逐步的提升自身的信息化水品。隨著信息化建設

16、的發(fā)展，網絡應用逐漸增多，應用模式更為多樣化，網絡接入信息點數和接入帶寬不斷增加。原有的網絡系統(tǒng)已經不能滿足華山醫(yī)院醫(yī)療服務水品的發(fā)展需要，網絡穩(wěn)定性、網絡傳輸帶寬、網絡安全、網絡管理等問題日趨嚴峻，各種醫(yī)院信息系統(tǒng)的開展受到了現(xiàn)有網絡系統(tǒng)傳輸平臺的制約，因此，需要通過提升基礎網絡平臺的穩(wěn)定性、傳輸帶寬、安全性和可管理性等，促進華山醫(yī)院信息化建設的進一步發(fā)展，為到我院就診的患者提供更高質量的服務，同時，提升我院自身的信息化管理水品，逐步

17、提升我院整體的經濟效益和社會效益。</p><p><b>　　2 需求分析</b></p><p>　　2.1.網絡系統(tǒng)需求分析</p><p>　　為了提升華山醫(yī)院的整體醫(yī)療服務水品，提升醫(yī)院各種醫(yī)療應用系統(tǒng)的服務效率，需要從以下幾個方面考慮華山醫(yī)院網絡系統(tǒng)平臺的建設。</p><p>　　2.2網絡系統(tǒng)穩(wěn)定性需求&

18、lt;/p><p>　　醫(yī)療行業(yè)是關系到病人生命安危的重要行業(yè)，華山醫(yī)院的各種應用系統(tǒng)和基礎設備都要保證超高的穩(wěn)定性，如果系統(tǒng)沒有足夠的穩(wěn)定性，一次小小的系統(tǒng)錯誤就可能導致一個生命的滅亡。系統(tǒng)的穩(wěn)定性（7X24穩(wěn)定、可靠、持續(xù)運行）是投入運行的醫(yī)療系統(tǒng)的生命線。</p><p>　　由此可見，華山醫(yī)院對于各種系統(tǒng)的穩(wěn)定性需求是對所有系統(tǒng)的最高需求也是最根本的需求。而作為基礎設施的網絡系統(tǒng)的穩(wěn)定

19、性也就成為華山醫(yī)院信息化建設的重要指標。怎樣的網絡結構能夠保證整個網絡的穩(wěn)定、可靠，保證在單點故障的情況下不會對整個網絡造成沖擊，保證核心、骨干設備在出問題的時候能夠無縫的恢復或切換。這些都是華山醫(yī)院網絡系統(tǒng)建設的最根本需要。</p><p>　　2.3網絡傳輸性能需求</p><p>　　目前華山醫(yī)院的應用系統(tǒng)主要是以HMIS（醫(yī)院管理信息系統(tǒng)）和CIS（臨床信息系統(tǒng)）為主，各種系統(tǒng)對網

20、絡的性能都有不一樣的需要。</p><p>　　管理信息系統(tǒng)的應用主要是以文字、圖表和簡單的圖形信息為主，雖然信息量不大，但是對于基礎架構的可靠性和安全性需要較高，對服務質量也有一定的要求。</p><p>　　臨床信息系統(tǒng)的應用內容則較為豐富。除了一般文字信息外，醫(yī)療應用數據包含大量的圖形、視頻和語音信息。要求安全、可靠、保證服務質量和高性能，需要同時支持語音、視頻和數據等多種業(yè)務，又要

21、方便以后的擴展。在某些關鍵應用上，對于服務質量、高性能、高可用性都提出了很高的要求。</p><p>　　以華山醫(yī)院重要的PACS（醫(yī)學圖像傳輸存儲系統(tǒng)）為例，在建設了PACS系統(tǒng)之后，堆積如山的膠片、病歷檔案都沒有了，但是在網絡上的數據量卻在急劇增長。海量存儲和數據瀏覽就成為必須解決的問題。在計算機中一頁文字資料僅占幾千字節(jié)（Kb），而一張數字化的X線片將產生上百萬字節(jié)（Mb）的信息量，這就是所謂的“兆字節(jié)問題

22、”；在華山醫(yī)院每天的信息量中，有大量的信息是PACS系統(tǒng)的數據，醫(yī)院對于這些TB數量級的數據需要經常的進行調閱，對于網絡系統(tǒng)，必須有強大的數據傳輸能力。</p><p>　　2.4網絡系統(tǒng)安全性需求</p><p>　　華山醫(yī)院信息系統(tǒng)的安全性包括實體安全、網絡安全、傳輸安全、用戶安全。衛(wèi)生部新《規(guī)范》重點強調了系統(tǒng)的可靠性和安全性問題，要求門診系統(tǒng)恢復時間在5～10分鐘之內，系統(tǒng)支持7&

23、#215;24小時工作，關鍵設備必須有備份系統(tǒng)。一般網絡和服務器等硬件設備在2～3年之內不易出現(xiàn)故障，這使人們容易心存僥幸。一旦關鍵設備發(fā)生故障，又沒有備用設備或備用鏈路，將造成重大損失。</p><p>　　目前，網絡系統(tǒng)中蠕蟲病毒、掃描攻擊、DDOS等攻擊越來越普遍，而這些攻擊將直接導致網絡系統(tǒng)癱瘓和中斷，給醫(yī)院的正常業(yè)務開展造成非常嚴重的影響。例如：單臺主機在進行掃描攻擊的時候，可以瞬間將門診收費的主干網絡

24、設備的系統(tǒng)資源占滿，造成門診收費等系統(tǒng)無法正常通信，嚴重時還將造成全網主干系統(tǒng)數據傳輸緩慢或中斷。因此，病毒是目前比較嚴重的問題，尤其是網絡病毒和網絡攻擊型病毒，防范十分困難。如何通過有效的手段控制和防御網絡病毒的攻擊，是華山醫(yī)院在進行網絡建設時必須思考的問題。</p><p>　　華山醫(yī)院的內部信息主要是以病人的病例、處方和醫(yī)囑等信息為主，而醫(yī)院是有義務保障病人的信息安全，保證病人的病例、處方和醫(yī)囑信息不被沒有

25、必要的部門或人員查看，同時也要保證信息不能外傳。華山醫(yī)院的信息必須要被保存7－21年甚至更長時間。因此，如何保證整個系統(tǒng)的保密性、完整性、可用性、可審核性也是華山醫(yī)院信息系統(tǒng)安全性的一部分</p><p>　　2.5網絡系統(tǒng)管理需求</p><p>　　隨著華山醫(yī)院信息化建設的不斷完善，醫(yī)院網絡的規(guī)模也在不斷的擴展，如何及時有效的發(fā)現(xiàn)網絡中的異常流量，如有有效的控制網絡設備，如何及時的對異

26、常網絡設備進行遠程控制，這一些列的網絡管理和維護問題都必須在網絡建設的初期考慮。</p><p>　　針對華山醫(yī)院里網絡技術人才相對匱乏的現(xiàn)狀，網絡建設在安全可靠的基礎上，盡量降低網絡的復雜度，便于日后的管理維護。</p><p><b>　　2.6無線網絡需求</b></p><p>　　無線局域網的應用，使華山醫(yī)院信息網絡更加靈活，而且能夠

27、經濟、快捷的實現(xiàn)無縫覆蓋。在需要頻繁上網設備的病房，在網絡終端不固定的會議室等區(qū)域，無線網絡都是理想的選擇。配合無線掌上電腦，可以實現(xiàn)很多適合醫(yī)院應用的無線接入服務。</p><p>　　華山醫(yī)院臨床醫(yī)學信息系統(tǒng)，突出體現(xiàn)的就是“以病人信息為核心，以病人診療過程為主線”的理念。目前華山醫(yī)院使用的包括：病房醫(yī)生站，門診醫(yī)生站，病房護士站，病人床旁移動信息站（包括醫(yī)生和護士），臨床檢驗分析系統(tǒng)等等），這些信息化系統(tǒng)的

28、配合使用，使得醫(yī)護人員在醫(yī)院中可以隨時隨地獲取病人的最新信息，做出快速反應處理，緊密跟蹤治療過程，大大提高了醫(yī)院的診療效率和縮短了病人等待的周期。相比原有的醫(yī)院信息化的數據整理，采集和錄入以及處理都是建立在固定點的基礎上，“移動信息化系統(tǒng)”表現(xiàn)出其靈活，快捷，實時等多項優(yōu)勢，對固定信息站的工作起到了必不可少的補充作用。</p><p>　　基于“無線網絡”的平臺，讓移動信息系統(tǒng)（BMIS）的功能充分的發(fā)揮了出來，

29、醫(yī)護人員可以借助它大力協(xié)助自己在病人身邊治療護理的工作。它是一個移動信息中心，用戶可以隨時對數據進行查閱，瀏覽，記錄，采集，傳輸等處理，還同時實現(xiàn)了人機交流和人人交流。BMIS運用科技手段，幫助醫(yī)院節(jié)省大量的人力物力財力，提高醫(yī)院在病患中的服務形象和科技形象，真正實現(xiàn)“無紙化”，對醫(yī)院的信息化發(fā)展而言是必不可少，勢在必行的環(huán)節(jié)。</p><p><b>　　2.7遠程接入需求</b><

30、/p><p>　　遠程醫(yī)療和醫(yī)院間的學術交流、專家會診等正在迅猛發(fā)展。我國的遠程醫(yī)療近幾年發(fā)展迅速，一些著名的醫(yī)學院校、醫(yī)院都建立了遠程會診中心。通過廣域網的數據傳輸，不僅可以讓病人在家中得到及時診斷，對于一些重癥病患者，還可以通過遠程專家會診等方式提出有效的醫(yī)療方案。</p><p>　　同時，每個醫(yī)院都在設立自己的資源中心，例如：電子書庫等等。特別是一些醫(yī)藥大學的附屬醫(yī)院，對于資源中心的部

31、署作為資源建設的重點。</p><p>　　但是，對于一些特殊的醫(yī)學資源，例如：患者的病歷信息，醫(yī)藥學文獻，醫(yī)院內部的行政信息等等，這些信息在需要被醫(yī)院以外的特殊用戶訪問的同時，其安全性和保密性要得到最高的保證。因此，如果有效的為醫(yī)院外部特殊用戶提供安全保密的信息是我們在進行醫(yī)院遠程網絡接入中需要考慮的重點。</p><p>　　華山醫(yī)院的廣域網應用越來越多，而怎樣實現(xiàn)高速安全的廣域網數據

32、傳輸是進行局域醫(yī)療衛(wèi)生服務系統(tǒng)（GMIS）建設的重點。</p><p><b>　　2．8總結</b></p><p>　　后期華山醫(yī)院的網絡建設的目標是建設一個集各種數字化醫(yī)療設備和器械為一體的綜合數字醫(yī)療系統(tǒng)，而網絡平臺作為這些數字應用的基礎設施，成為數字化建設首先考慮的重點，如何建設一個穩(wěn)定，可靠，安全，應用集中的綜合業(yè)務網絡平臺，是華山醫(yī)院信息化建設的根本出發(fā)

33、點。</p><p>　　3 拓撲及IP和路由規(guī)劃</p><p>　　3.1 拓撲設計及描述</p><p>　　醫(yī)院的內部局域網非常重要，由于醫(yī)院的所有業(yè)務均依賴醫(yī)院內部局域網運行，所以應對內部局域網進行全面重點設計。</p><p>　　華山醫(yī)院的內網將能覆蓋醫(yī)院全部功能區(qū)，目前華山醫(yī)院有門診樓、放療、急診樓、和新修大樓等。在本次網絡建

34、設中，根據實際應用和長遠設計，以保證網絡的穩(wěn)定性、可靠性、高速、高安全、可擴充性為前提，采用三層結構的網絡，分為核心層、匯聚層和接入層。醫(yī)院內部局域網核心交換機配備萬兆雙機熱備，通過設備和萬兆鏈路的雙冗余備份和負載均衡實現(xiàn)網絡的高可靠性和穩(wěn)定性，通過核心與匯聚設備之間的萬兆鏈接提升醫(yī)院網絡整體性能。各樓層接入交換機采用單臺或堆疊的形式，提供10/100/1000M自適應的桌面接入能力和1000M上聯(lián)能力,接入交換機均通過光纖連接所屬樓層

35、的匯聚交換機或核心交換機接入醫(yī)院內部局域網。并且為了實現(xiàn)萬兆核心、千兆支干、千兆交換桌面以及各樓層直接與一樓的中心機房經過萬兆單膜光纖互聯(lián)的需求，在各個樓層均作為匯聚節(jié)點，雙萬兆上聯(lián)到兩臺核心。同時為業(yè)務備份冗余考慮，規(guī)劃組建備份數據中心。</p><p>　　3.1.1核心層設計</p><p>　　醫(yī)院的網絡中心作為全網的心臟，向醫(yī)院的應用業(yè)務系統(tǒng)源源不斷的提供安全的信息血液，保證整個

36、醫(yī)院信息系統(tǒng)的可靠運行。因此，作為整個網絡平臺的神經中樞，網絡核心層是全網數據傳輸的中心，不僅要保證7*24小時的穩(wěn)定運行，各種應用服務器的數據能夠被穩(wěn)定可靠的傳輸到終端系統(tǒng)，同時，還要協(xié)調全網的數據流量和訪問策略，在提供信息服務的同時，保證網絡中心自身的安全。</p><p>　　在網絡的可靠性和穩(wěn)定性保障方面，網絡核心設計采用2臺十萬兆核心交換機互為容錯備份，并在核心交換機中采用關鍵模塊冗余設計（如雙電源冗余

37、等），雙核心網絡設計架構，為醫(yī)院網絡提供了高穩(wěn)定性和可靠性的數據傳輸平臺，同時，提供了一種能夠“自愈”網絡鏈路或設備的單點故障的網絡架構，保證了醫(yī)院網絡能夠提供7*24小時高速穩(wěn)定的數據傳輸。為醫(yī)院提供健壯的數據傳輸神經中樞。同時，從醫(yī)院業(yè)務發(fā)展角度考慮，因此對核心交換機的性能也有非常高的要求。</p><p>　　根據可靠性、穩(wěn)定性、擴展性、性能上的分析，網絡核心建議選用兩臺高性能的銳捷高密度多業(yè)務IPv6核心

38、路由交換機RG-S8610，兩臺核心設備之間采用雙鏈路千兆鏈接，提供高速通道。</p><p>　　RG-S8610擁有10個擴展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉發(fā)，未來可擴展十萬兆。RG-S8610交換機高達3.2T的背板帶寬和1190Mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、為醫(yī)院網絡用戶提供超強的數據處理能力。</p><p&g

39、t;　　同時RG-S8610支持負載均衡、冗余備份、QOS、ACL、策略路由、防DDOS攻擊、非法數據包檢測、數據加密、防源IP欺騙、防IP掃描等強大的功能，同時板卡支持分布式處理和熱插拔，是醫(yī)院核心交換機的理想選擇。</p><p>　　3.1.2匯聚層、接入層設計</p><p>　　匯聚、接入層采用雙鏈路連接，構成一個環(huán)路架構，啟用VRRP或RSTP、MSTP協(xié)議等技術；VRRP協(xié)議

40、通過在兩臺互備份的交換機上對每個VLAN用戶提供一個統(tǒng)一的虛擬網關IP地址，相應VLAN用戶設置PC網關地址時就設置成為該虛擬網關IP，用戶工作時并不用關心真正負責數據傳輸的交換機，在真正負責用戶數據傳輸的交換機出現(xiàn)故障時VRRP協(xié)議可以自動地把用戶數據的轉發(fā)工作轉移到另一臺交換機，不僅實現(xiàn)了主機間的備份功能，而且不必更改用戶的網絡設置。RSTP、MSTP等技術在二層上造成網絡環(huán)路的鏈路將邏輯失效，網絡環(huán)路被消除；而在負責數據傳輸的活動

41、鏈路失效以后又可以激活先前邏輯失效的鏈路，保障數據的正常傳輸，提供冗余備份功能。</p><p>　　全網架構，核心層雙萬兆鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺察不到的極短的時間內啟用備份恢復數據傳遞，從而保證網絡系統(tǒng)的高可靠性、穩(wěn)定性的運行。</p><p>　　考慮到接入信息點集中，同時醫(yī)院的應用

42、多元化，PACS系統(tǒng)大流量高性能的需求。要求接入層的設備具有端口高密度和設備的高性能、高安全、多功能的特點。采用RG-S2900全千兆智能接入交換機，該系列交換機支持萬兆擴展和萬兆冗余堆疊，滿足了網絡流量成倍提高和多媒體業(yè)務的迅速增長的需要。在提供高性能、高帶寬的同時，S2900交換機提供智能的流分類、完善的服務質量（QoS）和組播應用管理特性，并可以根據網絡的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網絡攻擊，

43、控制非法用戶接入和使用網絡，保證合法的用戶合理化地使用網絡資源，充分保障了網絡高效安全、網絡合理化使用和運營。</p><p>　　RG-S2900系列交換機特有的CPU保護控制機制，對發(fā)送到CPU的數據進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分保障了交換機的安全。</p><p>　　RG-S2900系列交換機為方便不同管理員的使用習慣，提供了多種形式的管理工具，如SNMP、Te

44、lnet、Web和Console口等。</p><p>　　RG-S2900系列交換機以極高的性價比為各類型網絡提供高性能、完善的端到端的QoS服務質量、靈活豐富的安全策略管理。眾多的功能特別適合在醫(yī)院的應用。</p><p>　　RG-S5750系列是銳捷網絡推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。</p><p>　　該系列交換機

45、接口形式和組合非常靈活，可提供24個10/100/1000M自適應的千兆電口，和靈活復用的高密度千兆SFP光纖連接，滿足網絡建設中不同介質的連接需要。同時為滿足網絡的彈性擴展，和高帶寬傳輸需要，可靈活彈性擴展多種類型的萬兆模塊。</p><p>　　特別適合高帶寬、高性能和靈活擴展的大型網絡匯聚層，中型網絡核心，以及數據中心服務器接入的使用。</p><p>　　RG-S5750可作為門診

46、大樓匯聚交換機。匯聚大樓內所有節(jié)點及數據。同時，采用雙萬兆鏈路鏈接醫(yī)院核心交換機，提供高速通道，為門診大樓的業(yè)務開展打下堅實的基礎。</p><p>　　3.1.3出口網絡設計</p><p>　　華山醫(yī)院有到醫(yī)保、社保、干保、銀行的業(yè)務對接，內網在出口處需要強大的路由策略支撐能力和強大的安全防護能力,配置一臺RG-RSR50可信多業(yè)務路由器，實現(xiàn)完備路由策略支撐能力。為了保障出口安全性，

47、在出口加入一臺RG-WALL2000防火墻，防火墻工作在透明橋模式，路由器承擔NAT功能。這種部署方式的優(yōu)點在于防火墻重點任務是完成過濾規(guī)則的安全訪問控制，而將其工作在透明橋模式，使得網絡結構更清晰明了，尤其是在網絡測試和性能分析是可以臨時把防火墻撤掉而不用修改網絡的邏輯結構，也不需要修改其他網絡設備的配置，方便管理員的維護管理。</p><p>　　為了讓遠程用戶能夠進入到內網訪問內網資源，在出口路由器上需要配

48、置VPN，為了最大程度地達到安全性，選用IPsecVPN技術。</p><p>　　3.2 IP和VLAN設計</p><p>　　3．2.1VLAN設計</p><p>　　在醫(yī)院內部網絡的整個網絡規(guī)劃當中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半功倍的效果，對整個網絡的性能也是事關重要的。主要突出為以下幾點：</p>

49、<p>　　VLAN 劃分，可以避免廣播風暴，在骨干網絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網中進行，不會做無意義的廣播，消除了廣播風暴產生的條件。</p><p>　　VLAN 劃分，可以增加網絡的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網間通訊，不會對其他的子網產生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當好的控制。<

50、;/p><p>　　網絡管理系統(tǒng)采用完全獨立的IP子網和VLAN，實現(xiàn)更加安全的對所有網絡設備進行管理。建立VLAN 和IP 子網的對應關系。</p><p>　　提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。</p><p>　　VLAN 間的子網訪問，可以在三層交換機上實現(xiàn)，子網間的通訊也可以在匯聚設備上實行，分流核心交換機的三層交換，優(yōu)化了組網。&l

51、t;/p><p>　　根據以往網絡管理經驗和江都人民醫(yī)院內部網絡建設的實際情況，方案建議VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p><p>　　1、方便管理。為了更改得進行VLAN規(guī)劃的實施，因此在網絡實施前期，要對網絡中不同區(qū)域的VLAN設置進行詳細的規(guī)劃，細化的第三級網絡。方案建議江都人民醫(yī)院內部網絡劃分VLA

52、N方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VLAN，方便管理的效果，對于后期網絡維護和升級具有十分現(xiàn)實的意義。</p><p>　　2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復雜失誤而使得網絡出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網絡中心整體規(guī)劃。</p><p>　　3、VLAN間路由采用三層交換設備進行VLAN路由。以便不同VLAN間進行訪問

53、，對于某些重要網絡資源，需要進行權限訪問的時候，建議采用ACL來進行訪問權限設定，保障重要資料不被非法訪問。</p><p>　　從上述情況分析，建議華山醫(yī)院VLAN劃分以按照業(yè)務類別加樓層進行規(guī)劃，每個業(yè)務類別可跨越多個樓層，各個樓層之間相互獨立，即方便管理，有利于匯聚之后做流量管理。VLAN號由業(yè)務類別+樓層號構成，比如1樓的門診部為101，1為門診部類的VLAN，01為樓層號。VLAN規(guī)劃如下表：</

54、p><p>　　3.2.2 IP劃分</p><p>　　IP地址的合理分配及使用是保證網絡順利運行和網絡資源有效利用的關鍵，與網絡拓撲結構、路由策略有非常密切的關系，將對互聯(lián)網的可用性、可靠性與有效性產生顯著影響。</p><p>　　通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內。因此，IP地址應被分配一段連續(xù)的地址。更進一步，連接進某一區(qū)域的節(jié)點的IP地址

55、范圍應集中在該區(qū)域的地址范圍附近。</p><p>　　IP地址規(guī)劃遵循以下原則：</p><p>　　（1）IP地址的規(guī)劃與劃分應該考慮到互聯(lián)網業(yè)務的飛速發(fā)展，能夠滿足未來發(fā)展的需要；既要滿足本期工程對IP地址的需求，同時又要充分考慮未來業(yè)務發(fā)展，預留相應的地址段。</p><p>　?。?）IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入的需要。</

56、p><p>　?。?）地址分配應由業(yè)務驅動，按照業(yè)務量的大小分配各地址段。</p><p>　　（4）IP地址的分配采用VLSM技術，保證IP地址的利用效率。</p><p>　?。?）采用CIDR技術，這樣可減小路由器路由表的大小，加快路由器路由的收斂速度，也可減小網絡中廣播的路由信息的大小。</p><p>　?。?）充分合理利用已申請的地址

57、空間，提高地址的利用效率。</p><p>　　（7）企業(yè)的內部可使用內部保留地址，不占用共有IP資源；可以采用私有IP地址的實現(xiàn)的服務，在地址不足的情況下可使用保留IP地址。規(guī)劃如下表：</p><p><b>　　3.3 路由設計</b></p><p>　　3.1.1動態(tài)路由協(xié)議</p><p>　　采用OSPF，

58、它是一種鏈路狀態(tài)協(xié)議，區(qū)別于距離矢量協(xié)議(RIP)，OSPF 具有支持大型網絡、路由收斂快、占用網絡資源少等優(yōu)點，在目前應用的路由協(xié)議中占有相當重要的地位。</p><p><b>　　區(qū)域劃分如下圖：</b></p><p>　　圖8 OSPF區(qū)域劃分圖</p><p>　　兩臺核心交換機跟有線匯聚交換機直連區(qū)域組成了骨干區(qū)域 AREA 0，

59、1至9樓匯聚交換機劃分為區(qū)域1,11至18樓匯聚交換機劃分區(qū)域為區(qū)域2，服務器區(qū)劃分區(qū)域為區(qū)域3，這樣保證了OSPF的區(qū)域合理劃分。 </p><p><b>　　劃分區(qū)域的好處：</b></p><p>　　減少SPF算法的計算量，使得拓撲發(fā)生變化的時候就在本區(qū)域就進行SPF計算，減小了OSPF路由器的LSBD量減小了路由器的資源消耗。并且劃分區(qū)域以后可以在ABR上

60、面匯總路由。使得路由表更加精簡提升路由器工作效率。</p><p>　　本次方案設計的時候將核心1路由器設置成OSPF DR，將核心2設置成BDR，將其余所有的匯聚設備的OSPF 優(yōu)先級修改成0，防止匯聚設備參與DR ，BDR的選擇。將核心A的優(yōu)先級設置成254，核心B的優(yōu)先級設置成 200.將所有的OSPF的默認參考帶寬修改成10GB，不修改任何線路的COST，讓匯聚到核心的時候通過OSPF實現(xiàn)了負載均衡，在一

61、條鏈路出現(xiàn)故障或者是其中一臺核心設置出現(xiàn)了故障的時候通過OSPF自動實現(xiàn)冗余。保證了網絡的高性能和冗余性。</p><p><b>　　3.3.2靜態(tài)路由</b></p><p>　　核心交換機需要一條靜態(tài)默認路由指向出口路由器，出口路由器需要一條靜態(tài)路由指向核心，在出口路由器上根據社保、醫(yī)保、干保、銀行四個VPN的不同IP分別添加相應的靜態(tài)路由條目。</p&g

62、t;<p><b>　　4 安全設計</b></p><p>　　4.1外聯(lián)出口安全設計</p><p>　　為了保障外聯(lián)網出口安全防護，在方案中，我們采用了銳捷RG-WALL2000 高性能防火墻作為出口安全設備。</p><p>　　RG-WALL2000能夠全面防御基于TCP、UDP和其他協(xié)議報文的IP畸形包攻擊、IP假冒、

63、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、Ping flood、UDP Flood等DoS/DDoS攻擊。保障服務器群不受到來自internet的DoS/DDoS攻擊。</p><p>　　RG-WALL2000能夠支持2-7層的數據流深度檢測功能，能對IM（QQ/MSN/雅虎MSN）、P2P（BT/Emule/Edonkey）等協(xié)議提供智能識別和限制

64、；提供URL、Email、TELNET、FTP等第7層內容過濾功能（Active-X、Java Scripts、Java Applet和Cookie）。凈化出口帶寬，保障出口帶寬的有效利用。</p><p>　　4.2服務器區(qū)安全設計</p><p>　　為了保障重要服務器群的安全，在核心交換機旁路設置一臺RG-IDS2000 高性能入侵檢測系統(tǒng)，通過分析鏡像服務器區(qū)的數據流量，分析資源中

65、心訪問流量，及時發(fā)現(xiàn)非法攻擊入侵數據流并與內網安全管理系統(tǒng)GSN中的SMP聯(lián)動，通過預先設定的策略自動的對相應數據控制處理。通過旁路IDS的入侵檢測，不但可以及時的發(fā)現(xiàn)非法攻擊入侵，同時低誤報率不會影響數據交換的正常速度，在最大程度提供對內服務的同時，最及時的對數據中心服務器群進行安全防護管理。</p><p><b>　　4.3內網安全設計</b></p><p>

66、　　針對網絡漏洞的增加，病毒的頻繁爆發(fā)，如今80％的網絡安全事件來自于內部安全事件。如何作好網絡內部用戶的安全控制，成了每一個網絡安全人員的重大問題。而銳捷網絡針對此種情況，推出了GSN（全局安全網絡解決方案）</p><p>　　GSN由銳捷安全交換機、銳捷安全客戶端、銳捷安全管理平臺、銳捷安全計費管理系統(tǒng)、網絡入侵檢測系統(tǒng)、安全修復系統(tǒng)等多重網絡元素組成，實現(xiàn)同一網絡環(huán)境下的全局聯(lián)動，使網絡中的每個設備都在發(fā)

67、揮著安全防護的作用，構成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過將用戶入網強制安全、統(tǒng)一安全策略管理、動態(tài)網絡帶寬分配、嵌入式安全機制集成到一個網絡安全解決方案中，達到對網絡安全威脅的自動防御，網絡受損系統(tǒng)的自動修復，同時可針對網絡環(huán)境的變化和新的網絡行為自動學習，從而達到對未知網絡安全事件的防范。</p><p>　　RG-S8610、S5750/S2900采用硬件方式提供多種安全防護能力，例如防DoS攻擊

68、、非法數據包檢測、數據加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實現(xiàn)方式對整機性能的影響。</p><p>　　RG-S8610、S5750/S2900提供業(yè)界最為強大的ACL特性，基于SPOH技術提供IP標準、IP擴展、MAC擴展、時間、專家級等豐富的ACL技術。</p><p>　　RG-S8610、S5750/S2900支持同時啟用多組的多端口同步監(jiān)控技術，并且支持靈活的輸入、輸出、

69、雙向數據鏡像，滿足靈活的網絡監(jiān)控需求，提升網絡監(jiān)控能力。</p><p><b>　　5 實踐配置</b></p><p>　　5.1實踐配置拓撲圖</p><p>　　實踐采用Cisco Packet Tracer+GNS3（某些配置在Packet Tracer上不能實現(xiàn)的，使用GNS3實現(xiàn)），以1樓的設備為例，拓撲圖如下：</p>

70、;<p><b>　　5.2基礎配置：</b></p><p>　　配置設備名稱，配置基本的IP地址和VLAN：</p><p>　　Router(config)#ho Out_Router</p><p>　　Out_Router(config-if)#ip add 10.4.1.1 255.255.255.0</p>

71、;<p>　　Out_Router(config-if)#no sh</p><p>　　Out_Router(config-if)#int fa0/1</p><p>　　Out_Router(config-if)#ip add 10.4.2.1 255.255.255.0</p><p>　　Out_Router(config-if)#no sh&

72、lt;/p><p>　　Distrib_SW1(config)#vlan 201</p><p>　　Distrib_SW1(config-vlan)#name Menzheng</p><p>　　Distrib_SW1(config)#vlan 501</p><p>　　Distrib_SW1(config-vlan)#name Bingf

73、angYisheng</p><p>　　Distrib_SW1(config-vlan)#vlan 601</p><p>　　Distrib_SW1(config-vlan)#name BingFang</p><p>　　Distrib_SW1(config-vlan)#vlan 701</p><p>　　Distrib_SW1(co

74、nfig-vlan)#name voice</p><p>　　Distrib_SW1(config-vlan)#vlan 801 </p><p>　　Distrib_SW1(config-vlan)#name vedio</p><p>　　Distrib_SW1(config)#vlan 400</p><p>　　Distrib_SW

75、1(config-vlan)#name Guanli</p><p><b>　　5.3路由配置</b></p><p>　　Out_Router(config)#router os 1</p><p>　　Out_Router(config-router)#net 10.4.1.1 0.0.0.0 a 0 </p><p&

76、gt;　　Out_Router(config-router)#net 10.4.2.1 0.0.0.0 a 0</p><p>　　Out_Router(config-router)#default-information originate</p><p>　　Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0</p><

77、;p>　　Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0 20</p><p><b>　　5.4生成樹配置:</b></p><p>　　Distrib_SW1(config)#spanning-tree mode rapid-pvst </p><p>　　Distrib_SW1(c

78、onfig)#spanning-tree vlan 201 root primary </p><p>　　Distrib_SW1(config)#spanning-tree vlan 401 root primary </p><p>　　Distrib_SW1(config)#spanning-tree vlan 501 root primary</p><p>

79、;　　Distrib_SW2(config)#spanning-tree mode rapid-pvst </p><p>　　Distrib_SW2(config)#spanning-tree vlan 601 root primary </p><p>　　Distrib_SW2(config)#spanning-tree vlan 701 root primary </p>

80、;<p>　　Distrib_SW2(config)#spanning-tree vlan 801 root primary</p><p><b>　　5.5冗余網關配置</b></p><p>　　Distrib_SW1(config)#int vlan 400</p><p>　　Distrib_SW1(config-if)

81、#ip address 10.4.0.1 255.255.255.0</p><p>　　Distrib_SW1(config-if)#vrrp 1 ip 10.4.0.1 </p><p>　　Distrib_SW1(config)#int vlan 201</p><p>　　Distrib_SW1(config-if)#ip add 10.2.1.1 255.

82、255.255.0</p><p>　　Distrib_SW1(config-if)#vrpp 1 ip 10.2.1.1 </p><p>　　Distrib_SW1(config-if)#int vlan 501</p><p>　　Distrib_SW1(config-if)#ip add 10.5.1.1 255.255.255.0</p>&

83、lt;p>　　Distrib_SW1(config-if)#vrrp 1 ip 10.5.1.1 </p><p><b>　　5.6DHCP配置</b></p><p>　　Distrib_SW1(config)#ip dhcp pool vlan201</p><p>　　Distrib_SW1(dhcp-config)#netwo

84、rk 10.2.1.0 255.255.255.0</p><p>　　Distrib_SW1(dhcp-config)#dns-server 8.8.8.8</p><p>　　Distrib_SW1(dhcp-config)#default-router 10.2.1.1</p><p>　　Distrib_SW1(config)#ip dhcp exclude

85、d-address 10.2.1.1 </p><p>　　Distrib_SW1(config)#ip dhcp pool vlan501</p><p>　　Distrib_SW1(dhcp-config)#network 10.5.1.0 255.255.255.0</p><p>　　Distrib_SW1(dhcp-config)#dns-server 8

86、.8.8.8</p><p>　　Distrib_SW1(dhcp-config)#default-router 10.5.1.1</p><p>　　Distrib_SW1(config)#ip dhcp excluded-address 10.5.1.1</p><p><b>　　5.7ACL配置</b></p><p

87、>　　Access_Sever(config)#access-list 1 deny 10.2.1.1 0.0.255.255</p><p>　　Access_Sever(config)#access-list 1 permit any </p><p>　　Access_Sever(config)#int fastEthernet 0/1</p><p>

88、　　Access_Sever(config-if)#ip access-group 1 in </p><p>　　Access_Sever(config-if)#int fa0/2</p><p>　　Access_Sever(config-if)#ip access-group 1 i</p><p>　　Access_Sever(config-if)#ip a

89、ccess-group 1 in</p><p><b>　　5.8NAT配置</b></p><p>　　Out_Router(config)#int fa0/1</p><p>　　Out_Router(config-if)#ip nat inside </p><p>　　Out_Router(config-if)

90、#int fa0/2</p><p>　　Out_Router(config)#int fa0/0</p><p>　　Out_Router(config-if)#ip nat inside </p><p>　　Out_Router(config)#int fa1/0</p><p>　　Out_Router(config-if)#ip n

91、at outside</p><p>　　Out_Router(config)#access-list 1 permit any </p><p>　　Out_Router(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload</p><p>　　Out_Router(conf

92、ig)#ip nat inside source static tcp 10.3.1.2 80 12.1.1.2 80</p><p><b>　　5.9VPN配置</b></p><p>　　Out_Router(config)#vpdn enable</p><p>　　Out_Router(config)#vpdn source-ip 1

93、2.1.1.1 </p><p>　　Out_Router(config)#vpdn-group pptp</p><p>　　Out_Router(config-vpdn)# accept-dialin</p><p>　　Out_Router(config-vpdn-acc-in)# protocol pptp</p><p>　　Ou

94、t_Router(config-vpdn-acc-in)# virtual-template 1</p><p>　　Out_Router(config)#int lo0</p><p>　　Out_Router(config-if)#ip add 10.1.1.1 255.255.255.0</p><p>　　Out_Router(config)#interf

95、ace Virtual-Template 1</p><p>　　Out_Router(config-if)# ppp authentication pap</p><p>　　Out_Router(config-if)# ip unnumbered Loopback 0</p><p>　　Out_Router(config-if)# peer default i

96、p address pool vpn_add</p><p>　　Out_Router(config-if)#exi</p><p>　　Out_Router(config)#ip local pool vpn_add 10.1.1.2 10.1.254.254</p><p>　　5.10 802.1X配置</p><p>　　Access

97、_sw1(config-if)#dot1x port-control auto</p><p><b>　　6 實驗測試</b></p><p>　　6.1DHCP驗證:</p><p><b>　　6.2STP驗證</b></p><p>　　Distrib_SW1#sh spanning-tre

98、e </p><p><b>　　VLAN0201</b></p><p>　　Spanning tree enabled protocol ieee</p><p>　　Root ID Priority 32969</p><p>　　Address 0000.0CE8.9A5A</p>

99、<p>　　Cost 19</p><p>　　Port 27(Port-channel 1)</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Bridge ID Priority 32969 (priority

100、 32768 sys-id-ext 201)</p><p>　　Address 0001.973A.C409</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Aging Time 20</p><p>　　Interface

101、 Role Sts Cost Prio.Nbr Type</p><p>　　---------------- ---- --- --------- -------- --------------------------------</p><p>　　Fa0/3 Desg FWD 19 128.3 P2p</p>

102、<p>　　Fa0/4 Desg FWD 19 128.4 P2p</p><p>　　Fa0/5 Desg FWD 19 128.5 P2p</p><p>　　Fa0/6 Desg FWD 19 128.6 P2p</p><p&

103、gt;　　Fa0/7 Desg FWD 19 128.7 P2p</p><p>　　Fa0/8 Desg FWD 19 128.8 P2p</p><p>　　Po1 Root FWD 19 128.27 Shr</p><p><

104、b>　　VLAN0601</b></p><p>　　Spanning tree enabled protocol ieee</p><p>　　Root ID Priority 25177</p><p>　　Address 0000.0CE8.9A5A</p><p>　　Cost 19

105、</p><p>　　Port 27(Port-channel 1)</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Bridge ID Priority 33369 (priority 32768 sys-id-ext 601)</

106、p><p>　　Address 0001.973A.C409</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Aging Time 20</p><p>　　Interface Role Sts Cost Pr

107、io.Nbr Type</p><p>　　---------------- ---- --- --------- -------- --------------------------------</p><p>　　Fa0/3 Desg FWD 19 128.3 P2p</p><p>　　Fa0/4

108、 Desg FWD 19 128.4 P2p</p><p>　　Fa0/5 Desg FWD 19 128.5 P2p</p><p>　　Fa0/6 Desg FWD 19 128.6 P2p</p><p>　　Fa0/7 Desg

109、FWD 19 128.7 P2p</p><p>　　Fa0/8 Desg FWD 19 128.8 P2p</p><p>　　Po1 Root FWD 19 128.27 Shr</p><p><b>　　6.3路由驗證:</b>&l

110、t;/p><p>　　Out_Router#sh ip route </p><p>　　Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP</p><p>　　D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter

111、area</p><p>　　N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2</p><p>　　E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP</p><p>　　i - IS-IS, L1 - IS-IS le

112、vel-1, L2 - IS-IS level-2, ia - IS-IS inter area</p><p>　　* - candidate default, U - per-user static route, o - ODR</p><p>　　P - periodic downloaded static route</p><p>　　Gateway of