醫(yī)院網(wǎng)絡規(guī)劃與設計畢業(yè)論文

1、<p>　　xx市人民醫(yī)院網(wǎng)絡設計與規(guī)劃</p><p>　　姓 名： xxxx </p><p>　　班 級：xxx級網(wǎng)絡工程x</p><p>　　學 號： xxxxxxxxxxx </p><p>　　指導老師： xxxxxx </p><p>　　xx市人民醫(yī)院網(wǎng)絡解

2、決方案</p><p><b>　　摘要</b></p><p>　　醫(yī)療機構信息化是我國信息化的重要組成部分，醫(yī)院網(wǎng)絡建設是我國醫(yī)療機構信息化的基礎。隨著計算機網(wǎng)絡技術的發(fā)展，醫(yī)院網(wǎng)建設已取得了可喜的進展。醫(yī)院網(wǎng)絡系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為現(xiàn)代綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且能提供多種應用服務，使信息能及時、準確地傳送給各個系

3、統(tǒng)。而醫(yī)院網(wǎng)工程建設中主要應用了網(wǎng)絡技術中的重要分支局域網(wǎng)技術來建設與管理的，因此本畢業(yè)設計課題將主要學醫(yī)院局域網(wǎng)絡建設過程可能用到的各種技術及實施方案為設計方向，為醫(yī)院網(wǎng)的建設提供理論依據(jù)和實踐指導。</p><p>　　關鍵詞：局域網(wǎng)、廣域網(wǎng)、交換技術、網(wǎng)絡互聯(lián)、TCP/IP、網(wǎng)絡安全</p><p><b>　　Abstract</b></p>&

4、lt;p><b>　　Abstract</b></p><p>　　Medical institutions information in China an important component of information technology, hospital network construction is the foundation of informatization o

5、f medical institutions in china. With the development of computer network technology, hospital network construction has made great progress. Hospital network system is a very huge but complicated system, it not only for

6、modern integrated information management and office automation applications such as a series of basic operating platform</p><p>　　Key words: local area network, wide area network, exchange technology, Intern

7、et, TCP / IP, network security</p><p><b>　　目 錄</b></p><p><b>　　第1章 概述2</b></p><p>　　1.1.xx市醫(yī)院簡介2</p><p>　　1.2.xx市醫(yī)院新大樓網(wǎng)絡接入簡述3</p>

8、<p>　　1.3.需求分析4</p><p>　　1.3.1安全網(wǎng)絡4</p><p>　　1.3.2可控接入5</p><p>　　1.3.3可管理網(wǎng)絡5</p><p>　　1.3.4高性價比網(wǎng)絡5</p><p>　　1.4.建設內(nèi)容6</p><p>

9、　　第2章 xx市醫(yī)院新大樓網(wǎng)絡建設規(guī)劃7</p><p>　　2.1.網(wǎng)絡建設原則7</p><p>　　2.1.1網(wǎng)絡資源的高可用性8</p><p>　　2.1.2網(wǎng)絡的高可靠性8</p><p>　　2.1.3網(wǎng)絡的高擴展性9</p><p>　　2.1.4網(wǎng)絡的高安全性9</p&g

10、t;<p>　　2.1.5網(wǎng)絡的易管理性11</p><p>　　2.2.xx市醫(yī)院新大樓網(wǎng)絡建議方案簡介12</p><p>　　2.2. 1此次方案設計拓樸如下圖：12</p><p>　　2.3.方案設計思想：12</p><p>　　2.3.1對于xx市醫(yī)院新大樓的核心交換機設計12</p>

11、<p>　　2.3.2接入交換機設計13</p><p>　　2.3.3網(wǎng)絡拓撲的設計14</p><p>　　2.3.4對于服務器系統(tǒng)的接入設計15</p><p>　　2.4.VLAN解決方案15</p><p>　　2.4.1基于端口的VLAN劃分16</p><p>　　2.5

12、.IP地址的規(guī)劃方案設計16</p><p>　　2.5.1地址規(guī)劃的基本思想16</p><p>　　2.5.2IP地址的分配計劃16</p><p>　　2.6.產(chǎn)品選型17</p><p>　　2.6.1核心交換機的選擇17</p><p>　　2.6.2接入交換機的選擇18</p&

13、gt;<p>　　第3章 方案配置及其報價19</p><p>　　第4章 VRRP技術專題介紹34</p><p>　　7.1 VRRP基本概念34</p><p>　　7.2 VRRP的實現(xiàn)36</p><p>　　7.3 VRRP的功能特點39</p><p>　　7.4 組網(wǎng)應用40&

14、lt;/p><p><b>　　7.5 結論42</b></p><p>　　第5章 H3C網(wǎng)絡產(chǎn)品介紹22</p><p>　　5.1 H3C S7500E系列高端多業(yè)務路由交換機22</p><p>　　第6章 成功應用案例42</p><p>　　4.1 行業(yè)成功案例：42</p

15、><p>　　4.2 廣西成功案例43</p><p><b>　　概述</b></p><p><b>　　xx市醫(yī)院簡介</b></p><p>　　xx市醫(yī)院創(chuàng)建于1958年5月，前身是xx市婦幼保健所，1980 年擴大規(guī)模改名為xx市醫(yī)院，1997 年在全區(qū)婦幼衛(wèi)生系統(tǒng)率先通過二級甲等醫(yī)院評審

16、。經(jīng)過約半個世紀的風雨洗禮和幾代婦幼人的不懈努力，現(xiàn)已發(fā)展成為集保健、醫(yī)療、科研、教學為一體的市級婦幼保健?？漆t(yī)院，承擔著xx市（含六縣）婦女兒童的保健、醫(yī)療任務，是全市婦幼保健業(yè)務指導中心。醫(yī)院建筑面積45670.72平方米，編制床位300張，開放床位170張，現(xiàn)有職工619人，其中高級職稱42人、中級職稱137人，設置職能科室9個、保健及臨床業(yè)務科室20個。年門診量逾46萬人次、年收治住院1.3萬余人次，年接產(chǎn)量4000余人，居全區(qū)

17、醫(yī)院產(chǎn)科之首。</p><p>　　醫(yī)院始終堅持婦幼衛(wèi)生工作方針，貫徹一法兩綱，在全市“降消”等項目指導督查、婦幼信息和三網(wǎng)監(jiān)測管理、愛嬰醫(yī)院培訓指導、產(chǎn)科質(zhì)量檢查、推廣適宜技術、健康教育和出生醫(yī)學證明管理、基層人員培訓、集體兒童保健管理等方面充分發(fā)揮了婦幼保健業(yè)務指導中心的作用，為xx市市婦幼保健事業(yè)的發(fā)展做出了較大的貢獻。 醫(yī)院立足于為婦女兒童服務，以群體保健為基礎，以產(chǎn)、兒科為龍頭，不斷拓展業(yè)務內(nèi)涵，加快學

18、科發(fā)展，形成了完整的婚前保健、孕產(chǎn)期保健、產(chǎn)前診斷、產(chǎn)后康復、婦女保健、兒童保健、遺傳優(yōu)生及生殖保健服務體系。臨床婦科、產(chǎn)科、兒科、新生兒科、小兒外科、生殖助孕中心業(yè)務已在桂中地區(qū)形成一定的?？朴绊?，是廣西較有影響的婦科內(nèi)窺鏡應用基地、全區(qū)首家市級產(chǎn)前診斷準入單位、婦幼機構首家PCR實驗室國家認證單位，xx市市唯一通過國家衛(wèi)生部輔助生殖技術資質(zhì)評審的單位、全市婦女疾病治療中心、高危孕產(chǎn)婦治療和危重癥搶救中心及早產(chǎn)兒護理搶救中心、xx市市

19、新生兒篩查中心。開展的生殖助孕技術（試管嬰兒臨床妊娠成功率達42.2%）、小兒先天性心臟病外科手術治療等已走在全區(qū)先進行列。醫(yī)院擁有先進的十六排螺旋CT、中C臂、乳腺鉬靶機、CR、</p><p>　　目前xx市醫(yī)院興建的20層新大樓。需要構建一個新的樓層局域網(wǎng)絡。實現(xiàn)與原有網(wǎng)絡的無縫融合接入。</p><p>　　用戶需求是網(wǎng)絡設計的依據(jù)，建立在確切需求之上的網(wǎng)絡系統(tǒng)才是用戶所真正需要的

20、。在xx市醫(yī)院局域網(wǎng)網(wǎng)絡系統(tǒng)設計中，我們力求做到最細致地了解和分析用戶的需求，量體裁衣，以便針對需求設計出符合xx市醫(yī)院應用特點的網(wǎng)絡系統(tǒng)。</p><p>　　xx市醫(yī)院新大樓網(wǎng)絡接入簡述</p><p>　　根據(jù)xx市醫(yī)院的需求，需要建設一個支持醫(yī)院數(shù)字化、網(wǎng)絡化、自動化的國內(nèi)先進的基礎網(wǎng)絡平臺，滿足數(shù)字化醫(yī)院建設的需要，也滿足醫(yī)院信息化建設的長期要求。</p><

21、p>　　網(wǎng)絡平臺具有較好的服務質(zhì)量、較高安全性、便于管理和維護，能夠支持醫(yī)院的各種辦公、醫(yī)療和科研應用，也支持移動辦公、信息發(fā)布、網(wǎng)上醫(yī)療與醫(yī)學科研合作。</p><p>　　接入層支持百兆到桌面，核心層支持全千兆并且具有向萬兆速率平滑擴容的能力。網(wǎng)絡關鍵節(jié)點能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運行。具有高帶寬、高可靠、高性能、高安全的特性。</p><p><b>　　需求分析&

22、lt;/b></p><p>　　本次工程的總體任務如下：</p><p>　　充分考慮xx市醫(yī)院工作的新需要、新應用，按照相關系統(tǒng)的國家標準，設計出符合本工程實際的建設方案。</p><p>　　方案應以“先進、實用、經(jīng)濟、合理，用管兩便、安全可靠，易于擴展”的指導思想為原則，采用先進成熟的主流技術，充分考慮新建系統(tǒng)的可擴充性和與原有系統(tǒng)的兼容性，并體現(xiàn)科學

23、規(guī)劃、合理布局、預留充分、應用方便的特點，達到現(xiàn)代化、高效、舒適、安全、節(jié)能的人文辦公環(huán)境的要求。</p><p>　　在提出完整可行的建設方案的前提下，有效地組織施工，完成整個xx市醫(yī)院新大樓網(wǎng)絡系統(tǒng)的建設。</p><p>　　網(wǎng)絡系統(tǒng)建設應該符合如下要求：</p><p><b>　　安全網(wǎng)絡</b></p><p&g

24、t;　　醫(yī)院信息化工作的特殊性，對網(wǎng)絡與信息安全提出了很高的要求。由于安全性的要求與投入成正比，并且涉及管理與應用的方方面面，是一個復雜的系統(tǒng)工程，實際上沒有一個絕對安全的系統(tǒng)，安全只是相對而言，所以該原則是充分評估安全風險，制定安全策略，采取必要的安全措施。</p><p>　　其次，局域網(wǎng)內(nèi)部同樣面臨安全威脅，不同部門、不同類型的應用、不同的人員、不同的工作范圍決定了不同的權限，我們需要保障這種不同。VLAN

25、、VPN技術、ACL等網(wǎng)絡技術提供不同形式層次的保護，同時可以將防火墻、IPS/IDS引入，實現(xiàn)更全面的內(nèi)網(wǎng)安全。</p><p>　　第三，接入安全，接入設備可以通過各種認證技術，比如802.1x、RADIUS、EAPOL等，將安全威脅屏蔽在網(wǎng)絡之外。</p><p>　　另外，防病毒也是網(wǎng)絡安全建設必須考慮的重要問題，獨立的防病毒軟件已不能防范在網(wǎng)絡中傳輸?shù)牟《?，只有網(wǎng)絡設備的介入，才

26、能更好的抵御病毒的攻擊，保護信息安全。我們需要安全聯(lián)動解決方案。</p><p>　　H3C公司的安全產(chǎn)品體系完備，可以為xx市醫(yī)院信息化保駕護航。</p><p><b>　　可控接入</b></p><p>　　伴隨著網(wǎng)絡應用技術的快速發(fā)展，網(wǎng)絡信息安全問題也日益突出。病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，已經(jīng)直接影響到醫(yī)院的正常運營。如

27、何應對網(wǎng)絡安全威脅，確保醫(yī)院網(wǎng)絡安全，為醫(yī)院辦公的正常運行提供可靠的網(wǎng)絡保障，已經(jīng)是每一個決策者不得不關注得問題，也是每一個網(wǎng)絡管理員不得不面對的挑戰(zhàn)。</p><p>　　目前，多數(shù)網(wǎng)絡安全事件都是由脆弱的用戶終端和“失控”的網(wǎng)絡使用行為引起。在醫(yī)院網(wǎng)中，用戶終端不及時升級系統(tǒng)補丁和病毒庫的現(xiàn)象普遍存在；私設代理服務器、私自訪問外部網(wǎng)絡、濫用政府禁用軟件等行為也比比皆是?！笆Э亍钡挠脩艚K端一旦接入網(wǎng)絡，就等于給

28、潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴散。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡，對用戶的網(wǎng)絡訪問行為進行有效的控制，是保證醫(yī)院網(wǎng)絡安全運行的前提，也是目前醫(yī)院網(wǎng)絡安全管理急需解決的問題。</p><p><b>　　可管理網(wǎng)絡</b></p><p>　　網(wǎng)絡管理維護網(wǎng)絡建設中非常重要的環(huán)節(jié)，甚至是最重要的環(huán)節(jié)，因為建設網(wǎng)絡的目的最終是為了使用，而網(wǎng)絡

29、管理無疑是保障我們高效、可靠使用網(wǎng)絡的必要手段。隨著技術的進步，網(wǎng)絡管理內(nèi)容和方式已在發(fā)生著變化，除了生成拓撲圖、配置網(wǎng)絡設備、監(jiān)控網(wǎng)絡流量、實時統(tǒng)計和事件報警等基本功能之外，增加了很多新的功能，比如VPN實施，安全認證、安全策略下發(fā)、用戶跟蹤等等。同時，如何靈活、安全地管理網(wǎng)絡，也是網(wǎng)絡管理發(fā)展的重要方向。這一變化使得網(wǎng)絡管理地位更加重要。H3C公司的網(wǎng)絡管理方案，針對不同規(guī)模的網(wǎng)絡、不同應用環(huán)境量身定做，高效管理網(wǎng)絡的同時，可以提高

30、網(wǎng)絡的使用效率，降低網(wǎng)絡維護成本，是醫(yī)院信息化建設的重要組成。</p><p><b>　　高性價比網(wǎng)絡</b></p><p>　　滿足應用的同時，高性價比是網(wǎng)絡建設的不二選擇</p><p>　　最后，我們強調(diào)，系統(tǒng)設計要符合局域網(wǎng)現(xiàn)在和未來3～5年內(nèi)的需求，不能盲目追求大而全，以最少的投資創(chuàng)造實際需要的功能。</p><

31、;p><b>　　建設內(nèi)容</b></p><p>　　xx市醫(yī)院新大樓網(wǎng)絡系統(tǒng)建設，對于總體的系統(tǒng)結構要求必須滿足如下條件：</p><p>　　所有網(wǎng)絡建設都是為了更好服務于客戶的實際應用。</p><p>　　保證如財務管理、各種收費、藥品藥庫管理、OA以及臨床的信息化，如PACS、LIS、手術室、麻醉圖形處理等應用的暢通無阻。&l

32、t;/p><p>　　簡化網(wǎng)絡的管理和維護，將精力專注于應用。</p><p>　　實用性、先進性、擴展性和標準化的結合</p><p>　　面向應用，注重實效，確保網(wǎng)絡建設能夠切合實際，滿足使用要求</p><p>　　網(wǎng)絡體系結構具有開放性，協(xié)議遵循國際標準</p><p>　　具有良好的可擴展性，為系統(tǒng)升級提供一個良

33、好的途徑</p><p>　　系統(tǒng)結構合理、安全可靠</p><p>　　系統(tǒng)結構有良好的分層設計，結構清晰合理</p><p>　　從各種方面綜合保證網(wǎng)絡的可靠性</p><p>　　各種設備易于管理和維護</p><p>　　局域網(wǎng)建成之后應符合以下要求：</p><p>　　充分利用現(xiàn)有計

34、算機網(wǎng)絡設備，保護先期投資，并與新增網(wǎng)絡設備充分結合共同組成一套高效率、高性能、高穩(wěn)定性的網(wǎng)絡系統(tǒng)。</p><p>　　網(wǎng)絡主干采用光纖1000M技術，實現(xiàn)與各樓層、主樓內(nèi)網(wǎng)交換機間的高速連接；實現(xiàn)100/1000M到桌面；實現(xiàn)核心交換機對服務器的1000M連接；內(nèi)網(wǎng)核心交換機采用雙機熱備結構。</p><p>　　網(wǎng)絡中使用的設備和協(xié)議應完全符合國際通用的技術標準，網(wǎng)絡核心支持IPV6

35、協(xié)議； </p><p>　　在網(wǎng)絡中使用網(wǎng)絡管理軟件來管理所有網(wǎng)絡設備，對網(wǎng)絡設備及VLAN等進行直觀、靈活的配置，提供完整的網(wǎng)絡拓撲圖，可以根據(jù)網(wǎng)絡的流量等情況做出分析和建議，內(nèi)外網(wǎng)各設置一套，并可在中心控制室內(nèi)結合綜合控制系統(tǒng)管理和控制整個網(wǎng)絡。</p><p>　　xx市醫(yī)院新大樓網(wǎng)絡建設規(guī)劃</p><p><b>　　網(wǎng)絡建設原則</b&

36、gt;</p><p>　　局域網(wǎng)網(wǎng)絡系統(tǒng)設計將嚴格遵守各種相關的技術原則，遵循各種相關的技術標準和規(guī)范，整個網(wǎng)絡系統(tǒng)設計嚴格按照以下原則進行：</p><p><b>　　先進性和實用性</b></p><p>　　采用先進成熟的技術滿足內(nèi)部應用系統(tǒng)的需求，兼顧其他相關的管理需求，盡可能采用先進的網(wǎng)絡技術以適應更高的數(shù)據(jù)、語音、視頻（多媒體）

37、的傳輸需要，使整個系統(tǒng)在相當一段時期內(nèi)保持技術的先進性，以適應未來信息化的發(fā)展的需要</p><p><b>　　安全性和可靠性</b></p><p>　　為保證各項業(yè)務應用，網(wǎng)絡必須具有高可靠性，盡量避免系統(tǒng)的單點故障。要對網(wǎng)絡結構、網(wǎng)絡設備等各個方面進行高可靠性的設計和建設。在網(wǎng)絡設計上應采用硬件備份、冗余等可靠性技術提高整個網(wǎng)絡系統(tǒng)的可靠性。</p>

38、;<p><b>　　靈活性和可擴展性</b></p><p>　　計算機網(wǎng)絡系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以它必須具有良好的靈活性和可擴展性，能夠根據(jù)不斷深入發(fā)展的需要，方便的擴展網(wǎng)絡覆蓋范圍、擴大網(wǎng)絡容量和提高網(wǎng)絡的各層次節(jié)點的功能。具備支持多種應用系統(tǒng)的能力，提供技術升級、設備更新的靈活性。</p><p><b>　　開放性和互連性<

39、;/b></p><p>　　具備與多種協(xié)議計算機通信網(wǎng)絡互連互通的特性，確保本計算機網(wǎng)絡系統(tǒng)的基礎設施的作用可以充分的發(fā)揮。在結構上真正實現(xiàn)開放，基于開放式標準，包括各種局域網(wǎng)、廣域網(wǎng)等，堅持統(tǒng)一規(guī)范的原則，從而為未來的發(fā)展奠定基礎。</p><p><b>　　可管理性</b></p><p>　　由于內(nèi)部局域網(wǎng)本身具有一定復雜性，隨

40、著業(yè)務的不斷發(fā)展，網(wǎng)絡管理的任務必定會日益繁重。所以在網(wǎng)絡設計中，必須建立一套全面的網(wǎng)絡管理解決方案。網(wǎng)絡設備必須采用智能化，可管理的設備，同時采用先進的網(wǎng)絡管理軟件，實現(xiàn)先進的管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡的運行情況，合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、可以迅速確定網(wǎng)絡故障等。通過先進的管理策略、管理工具提高網(wǎng)絡的運行性能、可靠性，簡化網(wǎng)絡的維護工作，從而為辦公、管理提供最有力的保障。</p><p>&

41、lt;b>　　網(wǎng)絡資源的高可用性</b></p><p>　　網(wǎng)絡的建設關注整體投資回報，網(wǎng)絡資源與應用的實用性是網(wǎng)絡建設的根本，在此基礎上考慮網(wǎng)絡的可靠性、可擴展性、安全性以及可管理性。</p><p>　　從兩個方面考慮網(wǎng)絡的實用性：網(wǎng)絡的整體性能和網(wǎng)絡運營的開銷與回報。</p><p>　　網(wǎng)絡的性能是由應用系統(tǒng)的數(shù)據(jù)流量分布、網(wǎng)絡設備性能及

42、廣域網(wǎng)鏈路帶寬綜合決定的。對應用系統(tǒng)的認真分析是網(wǎng)絡設備選型以及廣域網(wǎng)鏈路帶寬選擇的基礎。在醫(yī)院網(wǎng)絡上運行的應用系統(tǒng)應綜合考慮醫(yī)院的HIS系統(tǒng)、辦公系統(tǒng)、教學系統(tǒng)以及語音及視頻應用，尤其在考慮語音及視頻應用時應注意對鏈路帶寬的影響。在一定的網(wǎng)絡資源條件下，可利用各種技術實施對于關鍵的應用系統(tǒng)的保障。如通過先進的隊列機制進行擁塞控制，對不同等級的數(shù)據(jù)進行不同的處理，包括時延的不同和丟包率的不同；采用具備先期擁塞控制機制的網(wǎng)絡設備，當網(wǎng)絡出

43、現(xiàn)真正的擁塞前就自動采取適當?shù)拇胧?，進行先期擁塞控制，避免瞬間大量的丟包現(xiàn)象；對非常重要的特殊應用，應可以采用保留帶寬資源的方式保證其QoS。</p><p><b>　　網(wǎng)絡的高可靠性</b></p><p>　　醫(yī)院信息網(wǎng)絡由于運行整個醫(yī)院的業(yè)務系統(tǒng)，需要保證網(wǎng)絡的正常運行，不因網(wǎng)絡的故障或變化引起政府業(yè)務的瞬間質(zhì)量惡化甚至內(nèi)部業(yè)務系統(tǒng)的中斷這點十分重要。網(wǎng)絡作為

44、數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心，應充分考慮可靠性。 </p><p>　　網(wǎng)絡的可靠性通過冗余技術實現(xiàn)，包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。</p><p>　　模塊冗余考慮網(wǎng)絡匯接點的主干設備和核心設備的所有關鍵模塊和環(huán)境部件應具備1+1或1：N熱備份的功能，所有模塊具備熱插拔的功能，當某一關鍵模塊出現(xiàn)故障時，可由備份模塊接替其功能。例如在核心交換機S7506R上，配置了1

45、＋1冗余備份的電源模塊，保證在任何一個電源模塊故障的時候，整個網(wǎng)絡仍然能夠正常運行。在主控制引擎方面，也配置了高度可靠的冗余引擎，引擎之間利用狀態(tài)熱備份技術保證故障的快速切換，在同等條件下提供業(yè)界最為快速的故障切換時間。</p><p><b>　　網(wǎng)絡的高擴展性</b></p><p>　　從我國醫(yī)院信息系統(tǒng)的發(fā)展來看，目前隨著門診系統(tǒng)，住院系統(tǒng)、PACS系統(tǒng)以及遠

46、程醫(yī)療的網(wǎng)絡化，應用系統(tǒng)的大規(guī)模使用使得業(yè)務流膨脹是必然的趨勢，網(wǎng)絡系統(tǒng)面臨數(shù)據(jù)流量增大的壓力，在設計醫(yī)院系統(tǒng)信息網(wǎng)絡時應充分考慮系統(tǒng)的可擴展性，從而保護網(wǎng)絡系統(tǒng)投資。</p><p>　　網(wǎng)絡的擴展能力包括設備交換容量的擴展能力、端口數(shù)量的擴展能力、主干帶寬的擴展，以及網(wǎng)絡規(guī)模的擴展能力。</p><p>　　交換容量擴展應具備在現(xiàn)有基礎上繼續(xù)擴充2~4倍容量的能力，以適應IP類業(yè)務急速

47、膨脹的需求。設備的選型應充分考慮包轉(zhuǎn)發(fā)能力以及數(shù)據(jù)交換能力。</p><p>　　端口密度擴展需要認真分析用戶和應用系統(tǒng)的擴展可能性，在具備擴展可能性的信息節(jié)點配置高可擴展性的網(wǎng)絡設備，滿足網(wǎng)絡擴容時對用戶接入以及系統(tǒng)互聯(lián)的需要。 主干設備應具備充足的接口，滿足4~8倍甚至更高的帶寬擴展能力，以適應IP類應用及業(yè)務急速膨脹的需求。</p><p>　　網(wǎng)絡規(guī)模擴展需綜合考慮網(wǎng)絡體系結構、路

48、由協(xié)議的規(guī)劃和設備的CPU路由處理能力，應能滿足網(wǎng)絡擴容時對用戶接入以及數(shù)據(jù)流量變化或增大時處理能力的需要。</p><p><b>　　網(wǎng)絡的高安全性</b></p><p>　　網(wǎng)絡的發(fā)展趨勢是基于Internet Web技術的開放網(wǎng)絡化系統(tǒng)。這不僅帶來了新的巨大的使用方便，同時也帶來了不斷增加的復雜應用及信息技術的挑戰(zhàn)，因而安全是醫(yī)院系統(tǒng)網(wǎng)絡建設中要考慮的一個關

49、鍵因素。</p><p>　　網(wǎng)絡安全在內(nèi)容上主要應考慮以下5個方面：</p><p><b>　　身份鑒別與授權</b></p><p>　　身份包括鑒別和授權。鑒別回答了“你是誰”和“你在哪？”這兩個問題，授權回答“你可以訪問什么”。必須對身份機制謹慎部署，因為如果設施難以使用，即便是最嚴謹?shù)陌踩呗砸灿锌赡鼙槐荛_。</p>

50、<p><b>　　邊界安全</b></p><p>　　邊界安全涉及到防火墻種類的功能，決定網(wǎng)絡的不同區(qū)域允許或拒絕何種業(yè)務，特別是在Internet和園區(qū)網(wǎng)之間或撥入網(wǎng)和園區(qū)網(wǎng)之間。</p><p>　　數(shù)據(jù)的保密性和完整性</p><p>　　數(shù)據(jù)的保密性指確保只有獲準能夠閱讀數(shù)據(jù)的實體以有效的形式閱讀數(shù)據(jù)，而數(shù)據(jù)完整性指確保數(shù)

51、據(jù)在傳輸過程中未被改動。</p><p><b>　　安全監(jiān)測</b></p><p>　　為檢驗安全基礎設施的有效性，應經(jīng)常進行定期的安全審查，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施，可能的特殊問題(拒絕業(yè)務攻擊)以及對安全策略的全面遵守等方面。</p><p><b>　　策略管理</b></p>&

52、lt;p>　　由于網(wǎng)絡安全涉及到以上的多個方面，每一個方面都使用了多種產(chǎn)品和技術，對這些產(chǎn)品進行集中有效的管理可以幫助網(wǎng)絡管理者有效地部署和更新自己的安全策略。</p><p>　　802.1X端口認證</p><p>　　由于現(xiàn)在成熟的認證記費軟件，不斷推陳出新，并且用戶群體的網(wǎng)絡技術水平在不斷提高，如何更好的控制但又不過于限制是目前需要解決的辦法，華為網(wǎng)絡認為采用802.1x的端

53、口認證技術以及靈活的記費解決上述問題，并達到很好的效果。</p><p>　　在網(wǎng)絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內(nèi)容：制定統(tǒng)一的安全策略、購買相應的安全產(chǎn)品實施安全保護、監(jiān)控網(wǎng)絡安全狀況（遇攻擊時可采取安全措施）、主動測試網(wǎng)絡安全隱患、生成網(wǎng)絡安全總體報告并改善安全策略。</p><p><b>　　網(wǎng)絡的易管理性</b></p>

54、<p>　　隨著網(wǎng)絡中設備逐漸增多，網(wǎng)絡技術日趨復雜，網(wǎng)絡管理的重要性越來越明顯——網(wǎng)絡的復雜導致系統(tǒng)運行的不確定因素增加，可靠性降低，“宕機”時間變長且?guī)淼膿p失越來越大，而往往由于平時對網(wǎng)管的忽略，缺乏受過專業(yè)培訓的網(wǎng)絡管理人員，也缺乏綜合的網(wǎng)管解決方案，因而發(fā)生問題時無從下手，這才意識到網(wǎng)管的重要。作為一套考慮完善、可靠性要求極高的系統(tǒng)，當然不希望有“亡羊補牢”的情況發(fā)生，因此網(wǎng)絡管理是網(wǎng)絡設計必不可少的考慮因素之一

55、，從設備本身操作系統(tǒng)所具備的一些網(wǎng)管功能，到簡單的網(wǎng)絡管理工具，甚而功能強大的大型管理系統(tǒng)，用戶可根據(jù)自身的實際網(wǎng)絡應用和資金安排，循序漸進，逐步實現(xiàn)全面網(wǎng)絡管理功能。</p><p>　　與傳統(tǒng)的單一應用網(wǎng)絡不同，醫(yī)院信息網(wǎng)絡是一個集成了視頻和數(shù)據(jù)的新型網(wǎng)絡體系。在這樣的一個集成環(huán)境中，網(wǎng)絡從承載單一的數(shù)據(jù)到多種不同的應用，如何合理利用帶寬資源，保障關鍵性業(yè)務QoS等管理要求成為網(wǎng)絡規(guī)劃管理人員不能回避的問題，

56、網(wǎng)絡管理系統(tǒng)必須提供有效的性能監(jiān)控與流量收集分析的網(wǎng)絡工具幫助網(wǎng)絡管理人員優(yōu)化網(wǎng)絡性能，準確地進行網(wǎng)絡規(guī)劃。多種業(yè)務的集成要求勢必帶來網(wǎng)絡硬件環(huán)境的變化。從單一的路由器與交換機的互連到集合了路由器，交換機，IP PHONE，語音網(wǎng)關，視頻設備等多樣設備的互連，設備管理和配置的直觀性，靈活性對網(wǎng)絡管理的效率至關重要。</p><p>　　Quidview網(wǎng)絡管理軟件是H3C公司對全線數(shù)據(jù)通信設備進行統(tǒng)一管理和維護的

57、網(wǎng)管產(chǎn)品，位于網(wǎng)絡解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理、網(wǎng)絡管理的功能。（可以考慮以后購買）</p><p>　　xx市醫(yī)院新大樓網(wǎng)絡建議方案</p><p>　　2.2. 1此次方案設計拓樸如下圖：</p><p><b>　　方案設計思想：</b></p><p>　　充分考慮醫(yī)院網(wǎng)絡建設的特點，結合xx市醫(yī)院的實際情

58、況。我們建議從下面幾個方面設計來保證xx市醫(yī)院整個網(wǎng)絡的高可靠性，高可用性，易擴展性，開放性，安全性，可管理性和實用性。</p><p>　　對于xx市醫(yī)院新大樓的核心交換機設計</p><p>　　我們推薦使用兩臺H3C公司的高端新款模塊式路由交換機S7502E。該交換機是杭州華三通信技術有限公司（以下簡稱H3C公司）面向融合業(yè)務網(wǎng)絡推出的新一代高端多業(yè)務路由交換機，該產(chǎn)品基于H3C自主

59、知識產(chǎn)權的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡安全、無線、無源光網(wǎng)絡等多種業(yè)務，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可靠技術，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。H3C S75002E符合“限制電子設備有害物質(zhì)標準（RoHS）”，是綠色環(huán)保的路由交換機。S7502E路由交換機以192G整機交換容量，400Gbps的背板容量，143Mpps包轉(zhuǎn)化率等高薪

60、能特性可以實現(xiàn)IPv4/IPv6業(yè)務的線速無阻塞轉(zhuǎn)發(fā)，滿足大容量數(shù)據(jù)的快速交換和轉(zhuǎn)發(fā)。同時支持豐富的業(yè)務協(xié)議。</p><p>　　同時我們采用H3C的VRRP熱備份路由協(xié)議實現(xiàn)兩臺S7502E核心交換機設備以及鏈路的自動冗余。該技術的工作原理主要是將互備路由設備配置在一個VRRP協(xié)議組中，并指定一個虛擬的IP 地址作為網(wǎng)絡系統(tǒng)的缺省網(wǎng)關地址。同時根據(jù)優(yōu)先級方案決定將優(yōu)先級最高的路由器設備定義為默認主動路由（路由

61、器的缺省優(yōu)先級為100），協(xié)議組中的其它路由器則為備份路由器。此時，協(xié)議組將虛擬缺省網(wǎng)關IP地址指向主動路由設備，主動路由設備即成為網(wǎng)絡系統(tǒng)中的缺省網(wǎng)關設備。VRRP協(xié)議技術使用主播、基于UDP的呼叫信號包（HELLO包）來實現(xiàn)同一VRRP組內(nèi)互備路由器之間的通信，即VRRP協(xié)議組中的主、備路由器之間定期向?qū)Ψ桨l(fā)出HELLO包進行端口檢查。當主設備出現(xiàn)故障時，在規(guī)定的一段時間內(nèi)不能發(fā)出HELLO包時，VRRP協(xié)議此時將備用路由設備激活，

62、使其成為網(wǎng)關設備，并將動態(tài)的虛擬網(wǎng)關IP地址指向備用路由設備，備用路由設備立即承擔起網(wǎng)絡系統(tǒng)中的數(shù)據(jù)轉(zhuǎn)發(fā)功能。當主路由設備故障恢復后，VRRP協(xié)議自動將優(yōu)先級高的主路由設備激活，使之成為網(wǎng)絡系統(tǒng)的網(wǎng)關。VRRP協(xié)議組中的主、備路由器之間的動態(tài)熱切換都是自動完成，而且不用修改網(wǎng)</p><p>　　采用了H3C公司的VRRP路由協(xié)議技術后，網(wǎng)絡系統(tǒng)平臺才真正解決了網(wǎng)關設備的動態(tài)熱切換的矛盾，真正作到了網(wǎng)關設備的自動

63、冗余備份，保證了網(wǎng)絡平臺穩(wěn)定可靠的運行，實現(xiàn)了任何一臺核心交換機出現(xiàn)故障或者任意一條鏈路出現(xiàn)故障都不回影響數(shù)據(jù)的正常通信。從而保障了業(yè)務系統(tǒng)的24小時不間斷正常開展。</p><p><b>　　接入交換機設計</b></p><p>　　我們采用H3C的 S3100系列千兆以太網(wǎng)交換機S3100-26C-SI，該產(chǎn)品是H3C公司秉承IToIP理念設計的二層線速智能型

64、可網(wǎng)管以太網(wǎng)交換機產(chǎn)品，具有千兆上行、可堆疊、無風扇靜音設計、完備的安全和QoS控制策略等特點，滿足企業(yè)用戶多業(yè)務融合、高安全、可擴展、易管理的建網(wǎng)需求。S3100-26C-SI通過千兆上行SFP端口保證接入層與核心層實現(xiàn)千兆接入。確保網(wǎng)絡的帶寬，同時實現(xiàn)100M網(wǎng)絡帶寬到桌面。H3C公司生產(chǎn)的S3100-26C-SI千兆交換機支持802.1x認證，在用戶接入網(wǎng)絡時完成必要的身份認證，支持MAC地址和端口等多元組綁定、廣播風暴抑制和端口

65、鎖定功能，保證接入用戶的合法性。    </p><p>　　支持跨交換機的遠程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機7502E上，在核心上啟動網(wǎng)流分析（Netstream）功能，對監(jiān)控端口的業(yè)務和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。</p><p>　　支持DHCP Snooping(偵聽)功能，通過建立和維護DHCP Snoop

66、ing綁定表實現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解決了 DHCP用戶的IP和端口跟蹤定位問題。同時對不符合綁定表項的非法報文（ARP欺騙報文、擅自修改IP地址的報文）直接丟棄，保證DHCP環(huán)境的真實性和一致性。</p><p>　　這樣可以防止目前殺毒軟件不能解決的ARP欺騙攻擊和DDOS攻擊等。確保網(wǎng)絡的安全性。</p><p><b>

67、　　網(wǎng)絡拓撲的設計</b></p><p>　　在網(wǎng)絡的拓撲設計中，我們遵守了如下原則：</p><p><b>　　拓撲可靠性</b></p><p>　　在各網(wǎng)絡的拓撲設計中應遵循N-1的電路可靠性原則。</p><p>　　N-1的電路可靠性：拓撲中去掉任何1條鏈路，不影響節(jié)點的連通性。這就要求每個節(jié)點

68、至少有兩條不相關的鏈路與其他節(jié)點相連。</p><p><b>　　擴展性</b></p><p>　　網(wǎng)絡鏈路和節(jié)點的增加、減少以及修改應不影響網(wǎng)絡的總體拓撲</p><p>　　遵循此原則，本次規(guī)劃設計中采用如下結構：</p><p>　　核心使用兩臺核心交換機S7502E和S7502E，兩者通過千兆GE互連，并做端

69、口核心，做為整個網(wǎng)絡的核心，并互為備份。服務器通過雙網(wǎng)卡分別接入兩臺核心交換機實現(xiàn)單臺核心交換機出現(xiàn)故障不會影響對服務器的訪問。</p><p>　　1樓到5樓樓層接入節(jié)點各使用兩臺S3100-26C-SI交換機做堆疊。作為樓層接入交換機，實現(xiàn)千兆上行接入核心交換機，并使用MSTP二次協(xié)議和VRRP三層路由協(xié)議實現(xiàn)整網(wǎng)冗余和分擔流量。</p><p>　　6樓到20樓樓層接入節(jié)點各使用一臺

70、S3100-26C-SI交換機作為樓層接入交換機，實現(xiàn)千兆上行接入核心交換機。并使用MSTP二層協(xié)議和VRRP三層路由協(xié)議實現(xiàn)整網(wǎng)冗余和分擔流量。</p><p>　　對于服務器系統(tǒng)的接入設計</p><p>　　服務器眾多，且后期需要增加大量服務器，需要有一定的擴展性。因此我們設計把服務器放置在核心交換機一個樓層。此外服務器都使用千兆的雙網(wǎng)卡分別連接兩臺S7502E，使用VRRP作冗余，

71、最大化保障服務器在網(wǎng)絡上的實時在線。同時保證服務器和核心交換機的千兆帶寬接入。</p><p><b>　　VLAN解決方案</b></p><p>　　在現(xiàn)代大型的網(wǎng)絡應用中，為了建立起各類網(wǎng)絡用戶具有安全的、獨立的廣播域或者組播域，我們可以將交換機上的端口組合成一個一個的虛擬局域網(wǎng)（VLAN），通過設置VLAN 我們達到了限制廣播包的傳播范圍和降低廣播包的影響，所

72、有以太網(wǎng)數(shù)據(jù)包，如：點播（unicast）， 組播（multicast ），廣播（broadcast），以及未知（unknown）的數(shù)據(jù)包，都將只在VLAN 內(nèi)傳送，這樣在一定程度上可以提高網(wǎng)絡的安全性。</p><p>　　另外人們也經(jīng)常需要對現(xiàn)有的網(wǎng)絡拓撲結構進行一些簡單的或小量的改變，同時又不需要網(wǎng)絡中的工作站發(fā)生物理上的移動或者網(wǎng)絡線路連接上的變動，我們采用H3C的S7500E核心路由交換機和S3100

73、-26c-SI太網(wǎng)交換機提供的豐富的VLAN 功能，實現(xiàn)對用戶工作站的VLAN 設置改動，就將工作站從一個VLAN移到了另一個VLAN，以達到使網(wǎng)絡節(jié)點的移動變換增加變得非常靈活和容易。</p><p>　　根據(jù)xx市醫(yī)院新大樓網(wǎng)絡系統(tǒng)工程的具體情況，我們建議用戶可以從以下幾個方面進行網(wǎng)絡內(nèi)部VLAN 系統(tǒng)的規(guī)劃和設計：</p><p>　　基于端口的VLAN劃分</p>&

74、lt;p>　　根據(jù)大樓內(nèi)部各個不同的功能區(qū)域現(xiàn)有的網(wǎng)絡用戶分布情況，我們可以采用基于各個接入交換機的物理端口劃分VLAN的解決方案，以一個單獨單位或者一個特定的用戶群為一個VLAN，作為一個子網(wǎng)，從而實現(xiàn)相互之間的隔離。H3C S7502E能支持大量的VLAN數(shù)量劃分，最大到4096個VLAN,對以后的網(wǎng)絡擴容和用戶急劇增加有獨到的處理能力。并且S7502E支持QinQ，即雙層的802.1Q幀。</p><p

75、>　　這樣我們可以配置這兩個連接到骨干網(wǎng)絡的千兆以太網(wǎng)端口是上連端口。于是所有的在這個VLAN里面的廣播包和未知目的地的Unicast包都不會去到VLAN的其他任何端口，它們只會到這個VLAN的上連端口出去，每個客戶都不會收到其他客戶的廣播或者匿名包，這樣就避免的在客戶端的用戶用類似網(wǎng)絡鄰居或者其他廣播的方式發(fā)現(xiàn)對方，也避免了各個單位和接入端所出現(xiàn)的不必要或者惡意的廣播風暴，保護了網(wǎng)絡的安全。</p><p&g

76、t;　　IP地址的規(guī)劃方案設計</p><p>　　網(wǎng)絡核心層由信息中心的骨干交換機組成，未來的網(wǎng)絡建設會以圍繞核心節(jié)點進行擴展，建立各個接入層結構。對于已有的IP地址分配，在新的網(wǎng)絡建設中采用以下原則。</p><p><b>　　地址規(guī)劃的基本思想</b></p><p>　　通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內(nèi)。因此，核心

77、層應象一個區(qū)域或一個節(jié)點一樣，被分配一段連續(xù)的地址。更進一步，連接進某一區(qū)域的節(jié)點的IP地址范圍應集中在該區(qū)域的地址范圍附近。地址規(guī)劃時充分考慮CIDR 和VLSM 的設計思想。保證IP地址的最大利用率的同時方便今后業(yè)務的擴展。</p><p><b>　　IP地址的分配計劃</b></p><p>　　對于原合法地址的分配。建議xx市醫(yī)院分配給新的IP地址段。具體I

78、P地址分配，需要根據(jù)實際申請到的連續(xù)IP地址來劃分。原則為，首先每一個部門為一個段的私有IP地址。例如;192.168.1.0 255.255.255.0 這個段</p><p><b>　　產(chǎn)品選型</b></p><p><b>　　核心交換機的選擇</b></p><p>　　對于xx市醫(yī)院新大樓核心交換機的選擇。我

79、從如下幾個方面考慮：</p><p>　　1. 核心交換機的整機交換容量</p><p>　　2. 核心交換機的背板容量</p><p>　　3. 核心交換機的包轉(zhuǎn)發(fā)率</p><p>　　4. 核心交換機的支持的最大MAC地址數(shù)</p><p>　　5. 核心交換機的可擴張性，先進性和實用性</p>&

80、lt;p>　　6. 核心交換機的可網(wǎng)管性，安全性和QOS等</p><p>　　綜合以上幾個條件，結合xx市醫(yī)院新大樓網(wǎng)絡的實際情況。我們推薦使用H3C公司生產(chǎn)的S7502E路由交換機。該交換機是H3C公司2007年推出的一款新式路由交換機。該產(chǎn)品基于H3C自主知識產(chǎn)權的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡安全、無線、無源光網(wǎng)絡等多種業(yè)務，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種高可

81、靠技術，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。H3C S7500E符合“限制電子設備有害物質(zhì)標準（RoHS）”，是綠色環(huán)保的路由交換機。H3C S7500E采用分布式體系架構，實現(xiàn)IPv4/IPv6業(yè)務的線速無阻塞轉(zhuǎn)發(fā)；H3C S7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認證和IPv6 Ready第二階段金色認證，是成熟商用的IPv6產(chǎn)品。該產(chǎn)品持強大的ACL能力：支持標準和擴展A

82、CL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，每板最大可支持9K條ACL，滿足訪問權限嚴格控制的需求，H3C S7500E采用分布式體系結構、模塊化設計，主控板冗余熱備份、無源背板、冗余</p><p>　　考慮實際運用情況。從性價比最優(yōu)性考慮。S7502E核心路由交換機主控板我們推薦使用H3C S7500E Salience VI交換路由引擎。同時配備一塊H3C S7

83、500E 24端口千兆以太網(wǎng)電接口模塊(RJ45)來提供24個千兆以太網(wǎng)電口，用于服務器的接入。配備一塊H3C S7500E 24端口千兆以太網(wǎng)光接口模塊(SFP,LC)，其中1個千兆光口用于接入原有的S5624P交換機。20個千兆光口用于提供接入交換機的千兆光纖接入。3個千兆光口做冗余備份端口。</p><p><b>　　接入交換機的選擇</b></p><p>

84、　　對于接入交換機的設計，我們從如下幾個方面考慮：</p><p>　　1. 接入層實現(xiàn)交換機接能實現(xiàn)防止ARP地址欺騙，支持MAC與端口綁定，解決外來機器進入內(nèi)網(wǎng)問題。</p><p>　　2．接入層交換機實現(xiàn)到核心交換機千兆上行接入。</p><p>　　3.接入層實現(xiàn)百兆到桌面，無風扇靜音設計</p><p>　　4.接入交換機的具有較

85、大的背板交換容量</p><p>　　5. 接入在支持冗余堆疊的同時，完備的安全和QoS控制策略</p><p><b>　　6.支持可網(wǎng)管。</b></p><p>　　綜合以上條件，我們推薦使用H3C公司生產(chǎn)的S3100-26C-SI。考慮xx市醫(yī)院新大樓1樓到5樓接入點在24到40之間。因此我們建議從1樓到5樓每一樓層部署兩臺S3100-

86、26C-SI交換機做堆疊，這樣有利于管理和可高可靠性。提供48個10/100M的以太網(wǎng)RJ45接口和4個1000M SFP光纖上行端口。6樓到20樓每一層樓的接入點少于24個。因此我們建議從6樓到20樓每一樓層部署一臺S3100-26C-SI交換機。提供24個10/100M的以太網(wǎng)RJ45接口和4個1000M SFP光纖上行端口。實現(xiàn)百兆接入到桌面和千兆上行接入核心交換機。同時也利于以后的擴展。</p><p>

87、　　VRRP技術專題介紹</p><p><b>　　VRRP基本概念 </b></p><p><b>　　1.1 產(chǎn)生背景 </b></p><p>　　隨著Internet的發(fā)展人們對網(wǎng)絡可靠性的要求越來越高特別是對于終端用戶來說能夠時時與網(wǎng)絡其他部分保持通信是非常重要的虛擬路由器冗余協(xié)議VRRP 提供一種解決方案能

88、夠保證終端用戶與網(wǎng)絡的聯(lián)系可靠穩(wěn)定不中斷。 </p><p>　　一般來說主機通過設置默認網(wǎng)關來與外部網(wǎng)絡聯(lián)系因為這樣配置非常簡單如圖1： </p><p>　　網(wǎng)絡上的主機設置了一條缺省路由（10.100.10.1）， 該路由的下一跳指向主機所在網(wǎng)段內(nèi)的一個路由器RouterA ，由RouterA將報文轉(zhuǎn)發(fā)出去。這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往RouterA，

89、從而實現(xiàn)了主機與外部網(wǎng)絡的通信。然而，萬一RouterA出現(xiàn)故障，主機將與外界失去聯(lián)系，陷入孤立的境地。遺憾的是，僅僅在網(wǎng)絡上多加一臺路由器并 不能解決問題。大多數(shù)主機只允許配置一個默認網(wǎng)關；同時，不管網(wǎng)絡上存在多少個路由器，對于目標是其他網(wǎng)絡的報文，主機只能使用已經(jīng)配置好的那個默認網(wǎng)關。有一種解決方案是運行動態(tài)路由協(xié)議，如RIP 、OSPF， 或者是ICMP路由發(fā)現(xiàn)協(xié)議等。但是要想在每一臺主機上都運行動態(tài)路由協(xié)議幾乎是不可能的，這涉及

90、到管理問題、安全問題、平臺對協(xié)議的支持問題等等。 </p><p>　　VRRP的出現(xiàn)使解決這個問題變得簡單，它不改變組網(wǎng)情況，不需要在主機上做任何配置，只需要在相關路由器上配置極少的幾條命令，就能實現(xiàn)下一跳網(wǎng)關的備份，不會給主機帶來任何負擔。和其他方法比較起來，VRRP使用起來簡單方便。 </p><p><b>　　1.2 協(xié)議簡述 </b></p>

91、<p>　　簡單來說，VRRP是一種容錯協(xié)議，它為具有組播或廣播能力的局域網(wǎng)，(如以太網(wǎng))設計，它保證當局域網(wǎng)內(nèi)主機的下一跳路由器出現(xiàn)故障時，可以及時的由另一臺路由器來代替，從而保持通訊的連續(xù)性和可靠性。為了使VRRP工作，要在路由器上配置虛擬路由器號和虛擬IP地址，同時產(chǎn)生一個虛擬MAC地址，這樣在這個網(wǎng)絡中就加入了一個虛擬路由器。而網(wǎng)絡上的主機與虛擬路由器通信，無需了解這個網(wǎng)絡上物理路由器的任何信息。一個虛擬路由器由一個

92、主路由器和若干個備份路由器組成，主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能。當主路由器出現(xiàn)故障時，一個備份路由器將成為新的主路由器接替它的工作。 </p><p>　　VRRP中只定義了一種報文——VRRP報文，這是一種組播報文，封裝在IP報文上，由主路由器定時發(fā)出來通告它的存在，使用這些報文可以檢測虛擬路由器各種參數(shù)，還可以用于主路由器的選舉。 </p><p>　　VRRP還定義了三種狀態(tài)：模型初始狀

93、態(tài)（Initialize）、活動狀態(tài)（Master）、備份狀態(tài)（Backup）。其中只有活動狀態(tài)可以為到虛擬IP地址的轉(zhuǎn)發(fā)請求服務。 </p><p>　　VRRP協(xié)議僅僅適用于IPv4版本的路由器。對于IPv6版本的路由器將會有新的規(guī)范來規(guī)定相關內(nèi)容。 </p><p><b>　　VRRP的實現(xiàn) </b></p><p><b>

94、　　2.1 工作原理 </b></p><p>　　VRRP將局域網(wǎng)的一組路由器（RouterA和RouterB）組織成一個虛擬的路由器。這個虛擬的路由器擁有自己的IP地址10.100.10.1(這個IP地址可以和某個路由器的接口地址相同，被稱為IP地址擁有者) 。當然，物理路由器RouterA 、RouterB也有自己的IP地址（RouterA的IP地址為10.100.10.2，RouterB的IP

95、地址為10.100.10.3）。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1，而并不知道具體的RouterA的IP地址以及RouterB的IP地址，他們將自己的缺省路由設置為該虛擬路由器的IP地址10.100.10.1。于是，網(wǎng)絡內(nèi)的主機就通過這個虛擬的路由器來與其他網(wǎng)絡進行通信。而對于這個虛擬路由器則需要進行如下工作： </p><p>　　1）根據(jù)優(yōu)先級的大小挑選主路由器。優(yōu)先級最大的

96、成為主路由器，狀態(tài)為Master ，若優(yōu)先級相同，則比較接口的主IP地址，主IP地址大的就成為主路由器，由它提供實際的路由服務。 </p><p>　　2）其它路由器作為備份路由器，隨時監(jiān)測主路由器的狀態(tài)。當主路由器正常工作時，它會每隔一段時間發(fā)送一個VRRP組播報文，以通知組內(nèi)的備份路由器主路由器處于正常工作狀態(tài)。如果組內(nèi)的備份路由器長時間沒有接收到來自主路由器的報文，則將自己狀態(tài)轉(zhuǎn)為Master。當組內(nèi)有多臺

97、備份路由器時將有可能產(chǎn)生多個主路由器。這時每一個主路由器就會比較VRRP報文中的優(yōu)先級和自己本地的優(yōu)先級。如果本地的優(yōu)先級小于VRRP報文中的優(yōu)先級，則將自己的狀態(tài)轉(zhuǎn)為Backup，否則保持自己的狀態(tài)不變。通過這樣一個過程，就會將優(yōu)先級最大的路由器選成新的主路由器，完成VRRP的備份功能。 </p><p>　　從上述分析可以看到，對于網(wǎng)絡中的主機來說，它并沒有做任何額外的工作，但是它對外的通信再也不會因為一臺路

98、由器出現(xiàn)故障而受到影響了。 </p><p>　　2.2 虛擬路由器的狀態(tài)模型 </p><p>　　組成虛擬路由器的路由器會有三種狀態(tài)分別是Initialize Master和Backup 下面對這三種狀態(tài)進行說明： </p><p>　　1. Initialize </p><p>　　系統(tǒng)啟動后進入此狀態(tài)，當收到接口startup的消息

99、，將轉(zhuǎn)入Backup（優(yōu)先級不為255時）或Master（狀態(tài)優(yōu)先級為255時）。在此狀態(tài)時，路由器不會對VRRP報文做任何處理。 </p><p>　　2. Master </p><p>　　當路由器處于Master狀態(tài)時它將會做下列工作。 </p><p>　　􀁺 定期發(fā)送VRRP組播報文； </p><p>　　&#

100、1048698; 發(fā)送免費gratuitous ARP報文，以使網(wǎng)絡內(nèi)各主機知道虛擬IP地址所對應的虛擬MAC地址； </p><p>　　􀁺 響應對虛擬IP地址的ARP請求，并且響應的是虛擬MAC地址，而不是接口的真實MAC地址； </p><p>　　􀁺 轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文； </p><p>　　&

101、#1048698; 如果它是這個虛擬IP地址的擁有者，則接收目的IP地址為這個虛擬IP地址的IP報文，否則，丟棄這個IP報文。需要注意的是，由于有這一點要求，所以除非主路由器是IP地址擁有者，否則主機ping虛擬IP地址不能ping通；在Master狀態(tài)中只有接收到比自己的優(yōu)先級大的VRRP報文時，才會轉(zhuǎn)為Backup，只有當接收到接口的Shutdown事件時才會轉(zhuǎn)為Initialize。 </p><p>　　

102、3. Backup </p><p>　　當路由器處于Backup狀態(tài)時它將會做下列工作。 </p><p>　　􀁺 接收Master發(fā)送的VRRP組播報文從中了解Master的狀態(tài)。 </p><p>　　􀁺 對虛擬IP地址的ARP請求，不做響應。 </p><p><b>　　4．</b

103、></p><p>　　丟棄目的MAC地址為虛擬MAC地址的IP報文。 </p><p>　　丟棄目的IP地址為虛擬IP地址的IP報文。 </p><p>　　只有當Backup接收到MASTER_DOWN這個定時器到時的事件時，才會轉(zhuǎn)為Master， 而當接收到比自己的優(yōu)先級小的VRRP報文時，它只是做丟棄這個報文的處理，從而就不對定時器做重置處理，這樣定時

104、器就會在若干次這樣的處理之后到時，于是就轉(zhuǎn)為Master。只有當接收到接口的Shutdown事件時，才會轉(zhuǎn)為Initialize。 </p><p>　　VRRP的功能特點 </p><p>　　VRRP具有以下特點： </p><p>　　(1) IP地址的備份（IP Address Backup） </p><p>　　一個虛擬IP地址被

105、多臺路由器共用，這是VRRP的首要功能，該功能能將網(wǎng)絡黑洞的持續(xù)時間最小化，還可以實現(xiàn)負載分擔。 </p><p>　　(2) 首選路徑確定（Preferred Path Indication） </p><p>　　VRRP用一個簡單方法，從各成員中選舉主路由器，這就是設立優(yōu)先級和搶占方式。備份組中優(yōu)先級最高的路由器，將成為主路由器，當優(yōu)先級相同時將會比較接口的主IP地址。優(yōu)先級的取值范

106、圍為0到255，其中0為系統(tǒng)保留為特殊用途使用，255為系統(tǒng)指定給IP地址擁有者的。用戶可以通過設定優(yōu)先級和搶占方式來指定某一路由器成為Master。 </p><p>　　5．華為產(chǎn)品維護資料 VRRP 技術專題 2004/11/20 </p><p>　　(3) 使不必要的中斷最小化（Minimizaton of Unnecessary Service Disruptions） <

107、;/p><p>　　當主路由器選好后，除了主路由器定時發(fā)送的VRRP組播報文外，主路由器和備份路由器之間沒有多余的通信。任何優(yōu)先級低或相等的備份路由器不能發(fā)起狀態(tài)轉(zhuǎn)換，這樣主路由器可以持續(xù)穩(wěn)定地工作。 </p><p>　　(4) 安全性可擴展（Extensible Security） </p><p>　　對于安全程度不同的網(wǎng)絡環(huán)境，可以在報頭上設定不同的認證方式和認

108、證字。任何沒有通過認證的報文將做丟棄處理。VRRP定義了三種認證方式：無認證（no authentication ）、簡單字符認證（simple clear text passwords） 和 MD5認證（MD5）。 在一個安全的網(wǎng)絡中，可以將認證方式設置為NO ，路由器對要發(fā)送的VRRP報文不進行任何認證處理，而收到VRRP報文的路由器也不進行任何認證就認為是一個真實合法的VRRP報文，這種情況下不需要設置認證字。在一個有可能受到安全

109、威脅的網(wǎng)絡中，可以將認證方式設置為SIMPLE ，則發(fā)送VRRP報文的路由器就會將認證字填入到VRRP報文中，而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較，相同則認為是真實的，合法的VRRP報文，否則認為是一個非法的報文，將會丟棄。在一個非常不安全的網(wǎng)絡中，可以將認證方式設置為MD5，這樣，路由器就會利用Authentication Header 提供的認證方式和MD5算法來對VRRP報文進行認證

110、。 </p><p><b>　　組網(wǎng)應用 </b></p><p>　　VRRP允許一臺路由器為多個虛擬路由器作備份。通過多虛擬路由器設置可以實現(xiàn)負荷分擔。如RouterA作為虛擬路由器1的主路由器，同時又兼職虛擬路由器2的備份路由器，而RouterB正相反，作為虛擬路由器2的主路由器，并兼職虛擬路由器1的備份路由器。一部分主機使用虛擬路由器1作網(wǎng)關，另一部分主機使