課程設(shè)計(jì)---組網(wǎng)與配置綜合實(shí)踐課程設(shè)計(jì)

1、<p><b>　　課程設(shè)計(jì)</b></p><p>　　題目：華山醫(yī)院網(wǎng)絡(luò)組建與配置實(shí)踐</p><p><b>　　作者簽名：</b></p><p>　作者姓名：</p><p>　班 級(jí)：</p><p>　學(xué) 號(hào)：</p><p

2、>　指導(dǎo)教師：</p><p>　日 期：</p><p>　　華山醫(yī)院網(wǎng)絡(luò)組建與配置實(shí)踐</p><p><b>　　摘 要</b></p><p>　　本文完成了華山醫(yī)院網(wǎng)絡(luò)組建的方案設(shè)計(jì)，其中包括網(wǎng)絡(luò)需求分析，IP、VLAN、路由等的規(guī)劃，安全設(shè)計(jì)，完成路由、VLAN、冗余網(wǎng)關(guān)、STP、NAT、ACL等

3、的實(shí)踐配置，對(duì)相關(guān)配置做驗(yàn)證。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)組建、路由、VLAN、IP目 錄</p><p><b>　　1 引言1</b></p><p>　　1.1 項(xiàng)目背景1</p><p>　　1.2 需求現(xiàn)狀1</p><p><b>　　2 需求分析1&l

4、t;/b></p><p>　　2.1.網(wǎng)絡(luò)系統(tǒng)需求分析1</p><p>　　2.2網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性需求2</p><p>　　2.3網(wǎng)絡(luò)傳輸性能需求2</p><p>　　2.4網(wǎng)絡(luò)系統(tǒng)安全性需求2</p><p>　　2.5網(wǎng)絡(luò)系統(tǒng)管理需求2</p><p>　　2.6無(wú)線網(wǎng)

5、絡(luò)需求3</p><p>　　2.7遠(yuǎn)程接入需求3</p><p><b>　　2．8總結(jié)3</b></p><p>　　3 拓?fù)浼癐P和路由規(guī)劃3</p><p>　　3.1 拓?fù)湓O(shè)計(jì)及描述3</p><p>　　3.2 IP和VLAN設(shè)計(jì)6</p><p>

6、　　3.3 路由設(shè)計(jì)8</p><p><b>　　4 安全設(shè)計(jì)9</b></p><p><b>　　5 實(shí)踐配置10</b></p><p>　　5.1實(shí)踐配置拓?fù)鋱D10</p><p>　　5.2基礎(chǔ)配置：11</p><p>　　5.3路由配置11<

7、/p><p>　　5.4生成樹配置:12</p><p>　　5.5冗余網(wǎng)關(guān)配置12</p><p>　　5.6DHCP配置12</p><p>　　5.7ACL配置12</p><p>　　5.8NAT配置12</p><p>　　5.9VPN配置13</p><p

8、>　　5.10 802.1X配置13</p><p><b>　　6 實(shí)驗(yàn)測(cè)試13</b></p><p>　　6.1DHCP驗(yàn)證:13</p><p>　　6.2STP驗(yàn)證13</p><p>　　6.3路由驗(yàn)證:14</p><p>　　6.3驗(yàn)證ACL15</p>

9、;<p>　　5.4驗(yàn)證VRRP15</p><p><b>　　結(jié) 論16</b></p><p><b>　　參考文獻(xiàn)16</b></p><p><b>　　1 引言</b></p><p><b>　　1.1 項(xiàng)目背景</b

10、></p><p>　　華山醫(yī)院是衛(wèi)生部直屬?gòu)?fù)旦大學(xué)（原上海醫(yī)科大學(xué)）附屬的一所綜合性教學(xué)醫(yī)院。建院于1907年，前身是中國(guó)紅十字會(huì)總院，是上海地區(qū)中國(guó)人最早創(chuàng)辦的醫(yī)院，1992年首批通過國(guó)家三級(jí)甲等醫(yī)院評(píng)審，目前已成為一所國(guó)家高層次的醫(yī)療機(jī)構(gòu)，并為全國(guó)醫(yī)療、預(yù)防、教學(xué)、科研相結(jié)合的技術(shù)中心，在國(guó)內(nèi)外享有較高的聲譽(yù)。</p><p>　　隨著醫(yī)療行業(yè)信息化的發(fā)展，為了認(rèn)真貫徹衛(wèi)生部召

11、開的關(guān)于加快醫(yī)衛(wèi)系統(tǒng)信息化建設(shè)及管理的會(huì)議精神，進(jìn)一步推進(jìn)我院的信息化建設(shè)，了解國(guó)際醫(yī)療信息化發(fā)展動(dòng)態(tài)，吸收新的技術(shù)和管理經(jīng)驗(yàn)，提高我院信息化應(yīng)用的管理水平，使我院經(jīng)濟(jì)效益和社會(huì)效益雙豐收，逐步加快醫(yī)院的信息化建設(shè)步伐。</p><p>　　在選取“飛”的翅膀時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。銳捷網(wǎng)絡(luò)公司以其卓越的產(chǎn)品性能、豐富的產(chǎn)品種類和完善的服務(wù)體系，綜合考慮了華山對(duì)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可

12、擴(kuò)展性和高性能的特殊需要，精選出適合華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的解決方案。</p><p><b>　　1.2 需求現(xiàn)狀</b></p><p>　　華山醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從用戶的利益出發(fā)，一個(gè)好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、

13、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。</p><p>　　根據(jù)以上種種特性需求，網(wǎng)絡(luò)設(shè)備核心層、匯聚層、接入層產(chǎn)品，選擇銳捷網(wǎng)絡(luò)。銳捷網(wǎng)絡(luò)是國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)廠商，其對(duì)醫(yī)療行業(yè)有著深刻的了解，其產(chǎn)品、方案與服務(wù)在醫(yī)療行業(yè)有成熟和廣泛的應(yīng)用，而且能通過智能、安全及可靠的網(wǎng)絡(luò)設(shè)備連為一體，來(lái)構(gòu)建網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo)，保障其順利進(jìn)行。</p><p>　　根據(jù)以上描述，結(jié)合實(shí)際建網(wǎng)情況和前

14、期網(wǎng)絡(luò)建設(shè)，在充分研究了目前國(guó)內(nèi)外網(wǎng)絡(luò)界對(duì)園區(qū)網(wǎng)設(shè)計(jì)所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢(shì)后，建議選擇萬(wàn)兆以太網(wǎng)為目標(biāo)，構(gòu)建華山醫(yī)院的網(wǎng)絡(luò)建設(shè)，設(shè)計(jì)“萬(wàn)兆核心、千兆支干、千兆交換桌面”的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)需求分析，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，提出本期網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo)：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網(wǎng)絡(luò)。</p><p>　　醫(yī)療行業(yè)由于其特殊性，對(duì)于各種系統(tǒng)的穩(wěn)定和

15、可靠都有非常高的要求，華山醫(yī)院在穩(wěn)定可靠的基礎(chǔ)上，以實(shí)用為先，應(yīng)用各種網(wǎng)絡(luò)技術(shù)，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸可靠性、安全性、和高效率是目前醫(yī)療行業(yè)應(yīng)用的發(fā)展趨勢(shì)。同時(shí)，也要不斷提高醫(yī)院領(lǐng)導(dǎo)和信息中心對(duì)信息化建設(shè)的基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)建設(shè)的認(rèn)識(shí)。</p><p>　　隨著華山醫(yī)院業(yè)務(wù)的不斷發(fā)展，為了給患者提供更好的服務(wù)，使更多的患者能夠得到及時(shí)有效的醫(yī)療服務(wù)。華山醫(yī)院通過不斷的信息化建設(shè)，逐步的提升自身的信息化水品。隨著信息化建設(shè)

16、的發(fā)展，網(wǎng)絡(luò)應(yīng)用逐漸增多，應(yīng)用模式更為多樣化，網(wǎng)絡(luò)接入信息點(diǎn)數(shù)和接入帶寬不斷增加。原有的網(wǎng)絡(luò)系統(tǒng)已經(jīng)不能滿足華山醫(yī)院醫(yī)療服務(wù)水品的發(fā)展需要，網(wǎng)絡(luò)穩(wěn)定性、網(wǎng)絡(luò)傳輸帶寬、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理等問題日趨嚴(yán)峻，各種醫(yī)院信息系統(tǒng)的開展受到了現(xiàn)有網(wǎng)絡(luò)系統(tǒng)傳輸平臺(tái)的制約，因此，需要通過提升基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的穩(wěn)定性、傳輸帶寬、安全性和可管理性等，促進(jìn)華山醫(yī)院信息化建設(shè)的進(jìn)一步發(fā)展，為到我院就診的患者提供更高質(zhì)量的服務(wù)，同時(shí)，提升我院自身的信息化管理水品，逐步

17、提升我院整體的經(jīng)濟(jì)效益和社會(huì)效益。</p><p><b>　　2 需求分析</b></p><p>　　2.1.網(wǎng)絡(luò)系統(tǒng)需求分析</p><p>　　為了提升華山醫(yī)院的整體醫(yī)療服務(wù)水品，提升醫(yī)院各種醫(yī)療應(yīng)用系統(tǒng)的服務(wù)效率，需要從以下幾個(gè)方面考慮華山醫(yī)院網(wǎng)絡(luò)系統(tǒng)平臺(tái)的建設(shè)。</p><p>　　2.2網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性需求&

18、lt;/p><p>　　醫(yī)療行業(yè)是關(guān)系到病人生命安危的重要行業(yè)，華山醫(yī)院的各種應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)備都要保證超高的穩(wěn)定性，如果系統(tǒng)沒有足夠的穩(wěn)定性，一次小小的系統(tǒng)錯(cuò)誤就可能導(dǎo)致一個(gè)生命的滅亡。系統(tǒng)的穩(wěn)定性（7X24穩(wěn)定、可靠、持續(xù)運(yùn)行）是投入運(yùn)行的醫(yī)療系統(tǒng)的生命線。</p><p>　　由此可見，華山醫(yī)院對(duì)于各種系統(tǒng)的穩(wěn)定性需求是對(duì)所有系統(tǒng)的最高需求也是最根本的需求。而作為基礎(chǔ)設(shè)施的網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定

19、性也就成為華山醫(yī)院信息化建設(shè)的重要指標(biāo)。怎樣的網(wǎng)絡(luò)結(jié)構(gòu)能夠保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定、可靠，保證在單點(diǎn)故障的情況下不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成沖擊，保證核心、骨干設(shè)備在出問題的時(shí)候能夠無(wú)縫的恢復(fù)或切換。這些都是華山醫(yī)院網(wǎng)絡(luò)系統(tǒng)建設(shè)的最根本需要。</p><p>　　2.3網(wǎng)絡(luò)傳輸性能需求</p><p>　　目前華山醫(yī)院的應(yīng)用系統(tǒng)主要是以HMIS（醫(yī)院管理信息系統(tǒng)）和CIS（臨床信息系統(tǒng)）為主，各種系統(tǒng)對(duì)網(wǎng)

20、絡(luò)的性能都有不一樣的需要。</p><p>　　管理信息系統(tǒng)的應(yīng)用主要是以文字、圖表和簡(jiǎn)單的圖形信息為主，雖然信息量不大，但是對(duì)于基礎(chǔ)架構(gòu)的可靠性和安全性需要較高，對(duì)服務(wù)質(zhì)量也有一定的要求。</p><p>　　臨床信息系統(tǒng)的應(yīng)用內(nèi)容則較為豐富。除了一般文字信息外，醫(yī)療應(yīng)用數(shù)據(jù)包含大量的圖形、視頻和語(yǔ)音信息。要求安全、可靠、保證服務(wù)質(zhì)量和高性能，需要同時(shí)支持語(yǔ)音、視頻和數(shù)據(jù)等多種業(yè)務(wù)，又要

21、方便以后的擴(kuò)展。在某些關(guān)鍵應(yīng)用上，對(duì)于服務(wù)質(zhì)量、高性能、高可用性都提出了很高的要求。</p><p>　　以華山醫(yī)院重要的PACS（醫(yī)學(xué)圖像傳輸存儲(chǔ)系統(tǒng)）為例，在建設(shè)了PACS系統(tǒng)之后，堆積如山的膠片、病歷檔案都沒有了，但是在網(wǎng)絡(luò)上的數(shù)據(jù)量卻在急劇增長(zhǎng)。海量存儲(chǔ)和數(shù)據(jù)瀏覽就成為必須解決的問題。在計(jì)算機(jī)中一頁(yè)文字資料僅占幾千字節(jié)（Kb），而一張數(shù)字化的X線片將產(chǎn)生上百萬(wàn)字節(jié)（Mb）的信息量，這就是所謂的“兆字節(jié)問題

22、”；在華山醫(yī)院每天的信息量中，有大量的信息是PACS系統(tǒng)的數(shù)據(jù)，醫(yī)院對(duì)于這些TB數(shù)量級(jí)的數(shù)據(jù)需要經(jīng)常的進(jìn)行調(diào)閱，對(duì)于網(wǎng)絡(luò)系統(tǒng)，必須有強(qiáng)大的數(shù)據(jù)傳輸能力。</p><p>　　2.4網(wǎng)絡(luò)系統(tǒng)安全性需求</p><p>　　華山醫(yī)院信息系統(tǒng)的安全性包括實(shí)體安全、網(wǎng)絡(luò)安全、傳輸安全、用戶安全。衛(wèi)生部新《規(guī)范》重點(diǎn)強(qiáng)調(diào)了系統(tǒng)的可靠性和安全性問題，要求門診系統(tǒng)恢復(fù)時(shí)間在5～10分鐘之內(nèi)，系統(tǒng)支持7&

23、#215;24小時(shí)工作，關(guān)鍵設(shè)備必須有備份系統(tǒng)。一般網(wǎng)絡(luò)和服務(wù)器等硬件設(shè)備在2～3年之內(nèi)不易出現(xiàn)故障，這使人們?nèi)菀仔拇鎯e幸。一旦關(guān)鍵設(shè)備發(fā)生故障，又沒有備用設(shè)備或備用鏈路，將造成重大損失。</p><p>　　目前，網(wǎng)絡(luò)系統(tǒng)中蠕蟲病毒、掃描攻擊、DDOS等攻擊越來(lái)越普遍，而這些攻擊將直接導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓和中斷，給醫(yī)院的正常業(yè)務(wù)開展造成非常嚴(yán)重的影響。例如：?jiǎn)闻_(tái)主機(jī)在進(jìn)行掃描攻擊的時(shí)候，可以瞬間將門診收費(fèi)的主干網(wǎng)絡(luò)

24、設(shè)備的系統(tǒng)資源占滿，造成門診收費(fèi)等系統(tǒng)無(wú)法正常通信，嚴(yán)重時(shí)還將造成全網(wǎng)主干系統(tǒng)數(shù)據(jù)傳輸緩慢或中斷。因此，病毒是目前比較嚴(yán)重的問題，尤其是網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊型病毒，防范十分困難。如何通過有效的手段控制和防御網(wǎng)絡(luò)病毒的攻擊，是華山醫(yī)院在進(jìn)行網(wǎng)絡(luò)建設(shè)時(shí)必須思考的問題。</p><p>　　華山醫(yī)院的內(nèi)部信息主要是以病人的病例、處方和醫(yī)囑等信息為主，而醫(yī)院是有義務(wù)保障病人的信息安全，保證病人的病例、處方和醫(yī)囑信息不被沒有

25、必要的部門或人員查看，同時(shí)也要保證信息不能外傳。華山醫(yī)院的信息必須要被保存7－21年甚至更長(zhǎng)時(shí)間。因此，如何保證整個(gè)系統(tǒng)的保密性、完整性、可用性、可審核性也是華山醫(yī)院信息系統(tǒng)安全性的一部分</p><p>　　2.5網(wǎng)絡(luò)系統(tǒng)管理需求</p><p>　　隨著華山醫(yī)院信息化建設(shè)的不斷完善，醫(yī)院網(wǎng)絡(luò)的規(guī)模也在不斷的擴(kuò)展，如何及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，如有有效的控制網(wǎng)絡(luò)設(shè)備，如何及時(shí)的對(duì)異

26、常網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制，這一些列的網(wǎng)絡(luò)管理和維護(hù)問題都必須在網(wǎng)絡(luò)建設(shè)的初期考慮。</p><p>　　針對(duì)華山醫(yī)院里網(wǎng)絡(luò)技術(shù)人才相對(duì)匱乏的現(xiàn)狀，網(wǎng)絡(luò)建設(shè)在安全可靠的基礎(chǔ)上，盡量降低網(wǎng)絡(luò)的復(fù)雜度，便于日后的管理維護(hù)。</p><p><b>　　2.6無(wú)線網(wǎng)絡(luò)需求</b></p><p>　　無(wú)線局域網(wǎng)的應(yīng)用，使華山醫(yī)院信息網(wǎng)絡(luò)更加靈活，而且能夠

27、經(jīng)濟(jì)、快捷的實(shí)現(xiàn)無(wú)縫覆蓋。在需要頻繁上網(wǎng)設(shè)備的病房，在網(wǎng)絡(luò)終端不固定的會(huì)議室等區(qū)域，無(wú)線網(wǎng)絡(luò)都是理想的選擇。配合無(wú)線掌上電腦，可以實(shí)現(xiàn)很多適合醫(yī)院應(yīng)用的無(wú)線接入服務(wù)。</p><p>　　華山醫(yī)院臨床醫(yī)學(xué)信息系統(tǒng)，突出體現(xiàn)的就是“以病人信息為核心，以病人診療過程為主線”的理念。目前華山醫(yī)院使用的包括：病房醫(yī)生站，門診醫(yī)生站，病房護(hù)士站，病人床旁移動(dòng)信息站（包括醫(yī)生和護(hù)士），臨床檢驗(yàn)分析系統(tǒng)等等），這些信息化系統(tǒng)的

28、配合使用，使得醫(yī)護(hù)人員在醫(yī)院中可以隨時(shí)隨地獲取病人的最新信息，做出快速反應(yīng)處理，緊密跟蹤治療過程，大大提高了醫(yī)院的診療效率和縮短了病人等待的周期。相比原有的醫(yī)院信息化的數(shù)據(jù)整理，采集和錄入以及處理都是建立在固定點(diǎn)的基礎(chǔ)上，“移動(dòng)信息化系統(tǒng)”表現(xiàn)出其靈活，快捷，實(shí)時(shí)等多項(xiàng)優(yōu)勢(shì)，對(duì)固定信息站的工作起到了必不可少的補(bǔ)充作用。</p><p>　　基于“無(wú)線網(wǎng)絡(luò)”的平臺(tái)，讓移動(dòng)信息系統(tǒng)（BMIS）的功能充分的發(fā)揮了出來(lái)，

29、醫(yī)護(hù)人員可以借助它大力協(xié)助自己在病人身邊治療護(hù)理的工作。它是一個(gè)移動(dòng)信息中心，用戶可以隨時(shí)對(duì)數(shù)據(jù)進(jìn)行查閱，瀏覽，記錄，采集，傳輸?shù)忍幚?，還同時(shí)實(shí)現(xiàn)了人機(jī)交流和人人交流。BMIS運(yùn)用科技手段，幫助醫(yī)院節(jié)省大量的人力物力財(cái)力，提高醫(yī)院在病患中的服務(wù)形象和科技形象，真正實(shí)現(xiàn)“無(wú)紙化”，對(duì)醫(yī)院的信息化發(fā)展而言是必不可少，勢(shì)在必行的環(huán)節(jié)。</p><p><b>　　2.7遠(yuǎn)程接入需求</b><

30、/p><p>　　遠(yuǎn)程醫(yī)療和醫(yī)院間的學(xué)術(shù)交流、專家會(huì)診等正在迅猛發(fā)展。我國(guó)的遠(yuǎn)程醫(yī)療近幾年發(fā)展迅速，一些著名的醫(yī)學(xué)院校、醫(yī)院都建立了遠(yuǎn)程會(huì)診中心。通過廣域網(wǎng)的數(shù)據(jù)傳輸，不僅可以讓病人在家中得到及時(shí)診斷，對(duì)于一些重癥病患者，還可以通過遠(yuǎn)程專家會(huì)診等方式提出有效的醫(yī)療方案。</p><p>　　同時(shí)，每個(gè)醫(yī)院都在設(shè)立自己的資源中心，例如：電子書庫(kù)等等。特別是一些醫(yī)藥大學(xué)的附屬醫(yī)院，對(duì)于資源中心的部

31、署作為資源建設(shè)的重點(diǎn)。</p><p>　　但是，對(duì)于一些特殊的醫(yī)學(xué)資源，例如：患者的病歷信息，醫(yī)藥學(xué)文獻(xiàn)，醫(yī)院內(nèi)部的行政信息等等，這些信息在需要被醫(yī)院以外的特殊用戶訪問的同時(shí)，其安全性和保密性要得到最高的保證。因此，如果有效的為醫(yī)院外部特殊用戶提供安全保密的信息是我們?cè)谶M(jìn)行醫(yī)院遠(yuǎn)程網(wǎng)絡(luò)接入中需要考慮的重點(diǎn)。</p><p>　　華山醫(yī)院的廣域網(wǎng)應(yīng)用越來(lái)越多，而怎樣實(shí)現(xiàn)高速安全的廣域網(wǎng)數(shù)據(jù)

32、傳輸是進(jìn)行局域醫(yī)療衛(wèi)生服務(wù)系統(tǒng)（GMIS）建設(shè)的重點(diǎn)。</p><p><b>　　2．8總結(jié)</b></p><p>　　后期華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的目標(biāo)是建設(shè)一個(gè)集各種數(shù)字化醫(yī)療設(shè)備和器械為一體的綜合數(shù)字醫(yī)療系統(tǒng)，而網(wǎng)絡(luò)平臺(tái)作為這些數(shù)字應(yīng)用的基礎(chǔ)設(shè)施，成為數(shù)字化建設(shè)首先考慮的重點(diǎn)，如何建設(shè)一個(gè)穩(wěn)定，可靠，安全，應(yīng)用集中的綜合業(yè)務(wù)網(wǎng)絡(luò)平臺(tái)，是華山醫(yī)院信息化建設(shè)的根本出發(fā)

33、點(diǎn)。</p><p>　　3 拓?fù)浼癐P和路由規(guī)劃</p><p>　　3.1 拓?fù)湓O(shè)計(jì)及描述</p><p>　　醫(yī)院的內(nèi)部局域網(wǎng)非常重要，由于醫(yī)院的所有業(yè)務(wù)均依賴醫(yī)院內(nèi)部局域網(wǎng)運(yùn)行，所以應(yīng)對(duì)內(nèi)部局域網(wǎng)進(jìn)行全面重點(diǎn)設(shè)計(jì)。</p><p>　　華山醫(yī)院的內(nèi)網(wǎng)將能覆蓋醫(yī)院全部功能區(qū)，目前華山醫(yī)院有門診樓、放療、急診樓、和新修大樓等。在本次網(wǎng)絡(luò)建

34、設(shè)中，根據(jù)實(shí)際應(yīng)用和長(zhǎng)遠(yuǎn)設(shè)計(jì)，以保證網(wǎng)絡(luò)的穩(wěn)定性、可靠性、高速、高安全、可擴(kuò)充性為前提，采用三層結(jié)構(gòu)的網(wǎng)絡(luò)，分為核心層、匯聚層和接入層。醫(yī)院內(nèi)部局域網(wǎng)核心交換機(jī)配備萬(wàn)兆雙機(jī)熱備，通過設(shè)備和萬(wàn)兆鏈路的雙冗余備份和負(fù)載均衡實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性和穩(wěn)定性，通過核心與匯聚設(shè)備之間的萬(wàn)兆鏈接提升醫(yī)院網(wǎng)絡(luò)整體性能。各樓層接入交換機(jī)采用單臺(tái)或堆疊的形式，提供10/100/1000M自適應(yīng)的桌面接入能力和1000M上聯(lián)能力,接入交換機(jī)均通過光纖連接所屬樓層

35、的匯聚交換機(jī)或核心交換機(jī)接入醫(yī)院內(nèi)部局域網(wǎng)。并且為了實(shí)現(xiàn)萬(wàn)兆核心、千兆支干、千兆交換桌面以及各樓層直接與一樓的中心機(jī)房經(jīng)過萬(wàn)兆單膜光纖互聯(lián)的需求，在各個(gè)樓層均作為匯聚節(jié)點(diǎn)，雙萬(wàn)兆上聯(lián)到兩臺(tái)核心。同時(shí)為業(yè)務(wù)備份冗余考慮，規(guī)劃組建備份數(shù)據(jù)中心。</p><p>　　3.1.1核心層設(shè)計(jì)</p><p>　　醫(yī)院的網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，向醫(yī)院的應(yīng)用業(yè)務(wù)系統(tǒng)源源不斷的提供安全的信息血液，保證整個(gè)

36、醫(yī)院信息系統(tǒng)的可靠運(yùn)行。因此，作為整個(gè)網(wǎng)絡(luò)平臺(tái)的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證7*24小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的安全。</p><p>　　在網(wǎng)絡(luò)的可靠性和穩(wěn)定性保障方面，網(wǎng)絡(luò)核心設(shè)計(jì)采用2臺(tái)十萬(wàn)兆核心交換機(jī)互為容錯(cuò)備份，并在核心交換機(jī)中采用關(guān)鍵模塊冗余設(shè)計(jì)（如雙電源冗余

37、等），雙核心網(wǎng)絡(luò)設(shè)計(jì)架構(gòu)，為醫(yī)院網(wǎng)絡(luò)提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平臺(tái)，同時(shí)，提供了一種能夠“自愈”網(wǎng)絡(luò)鏈路或設(shè)備的單點(diǎn)故障的網(wǎng)絡(luò)架構(gòu)，保證了醫(yī)院網(wǎng)絡(luò)能夠提供7*24小時(shí)高速穩(wěn)定的數(shù)據(jù)傳輸。為醫(yī)院提供健壯的數(shù)據(jù)傳輸神經(jīng)中樞。同時(shí)，從醫(yī)院業(yè)務(wù)發(fā)展角度考慮，因此對(duì)核心交換機(jī)的性能也有非常高的要求。</p><p>　　根據(jù)可靠性、穩(wěn)定性、擴(kuò)展性、性能上的分析，網(wǎng)絡(luò)核心建議選用兩臺(tái)高性能的銳捷高密度多業(yè)務(wù)IPv6核心

38、路由交換機(jī)RG-S8610，兩臺(tái)核心設(shè)備之間采用雙鏈路千兆鏈接，提供高速通道。</p><p>　　RG-S8610擁有10個(gè)擴(kuò)展槽，提供管理模塊冗余，支持萬(wàn)兆、千兆和百兆模塊線速轉(zhuǎn)發(fā)，未來(lái)可擴(kuò)展十萬(wàn)兆。RG-S8610交換機(jī)高達(dá)3.2T的背板帶寬和1190Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的線速交換，強(qiáng)大的交換路由功能、為醫(yī)院網(wǎng)絡(luò)用戶提供超強(qiáng)的數(shù)據(jù)處理能力。</p><p&g

39、t;　　同時(shí)RG-S8610支持負(fù)載均衡、冗余備份、QOS、ACL、策略路由、防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP欺騙、防IP掃描等強(qiáng)大的功能，同時(shí)板卡支持分布式處理和熱插拔，是醫(yī)院核心交換機(jī)的理想選擇。</p><p>　　3.1.2匯聚層、接入層設(shè)計(jì)</p><p>　　匯聚、接入層采用雙鏈路連接，構(gòu)成一個(gè)環(huán)路架構(gòu)，啟用VRRP或RSTP、MSTP協(xié)議等技術(shù)；VRRP協(xié)議

40、通過在兩臺(tái)互備份的交換機(jī)上對(duì)每個(gè)VLAN用戶提供一個(gè)統(tǒng)一的虛擬網(wǎng)關(guān)IP地址，相應(yīng)VLAN用戶設(shè)置PC網(wǎng)關(guān)地址時(shí)就設(shè)置成為該虛擬網(wǎng)關(guān)IP，用戶工作時(shí)并不用關(guān)心真正負(fù)責(zé)數(shù)據(jù)傳輸?shù)慕粨Q機(jī)，在真正負(fù)責(zé)用戶數(shù)據(jù)傳輸?shù)慕粨Q機(jī)出現(xiàn)故障時(shí)VRRP協(xié)議可以自動(dòng)地把用戶數(shù)據(jù)的轉(zhuǎn)發(fā)工作轉(zhuǎn)移到另一臺(tái)交換機(jī)，不僅實(shí)現(xiàn)了主機(jī)間的備份功能，而且不必更改用戶的網(wǎng)絡(luò)設(shè)置。RSTP、MSTP等技術(shù)在二層上造成網(wǎng)絡(luò)環(huán)路的鏈路將邏輯失效，網(wǎng)絡(luò)環(huán)路被消除；而在負(fù)責(zé)數(shù)據(jù)傳輸?shù)幕顒?dòng)

41、鏈路失效以后又可以激活先前邏輯失效的鏈路，保障數(shù)據(jù)的正常傳輸，提供冗余備份功能。</p><p>　　全網(wǎng)架構(gòu)，核心層雙萬(wàn)兆鏈路交換系統(tǒng)不存在單點(diǎn)故障，是一種高級(jí)別交換完全冗余的容錯(cuò)方案，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短的時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運(yùn)行。</p><p>　　考慮到接入信息點(diǎn)集中，同時(shí)醫(yī)院的應(yīng)用

42、多元化，PACS系統(tǒng)大流量高性能的需求。要求接入層的設(shè)備具有端口高密度和設(shè)備的高性能、高安全、多功能的特點(diǎn)。采用RG-S2900全千兆智能接入交換機(jī)，該系列交換機(jī)支持萬(wàn)兆擴(kuò)展和萬(wàn)兆冗余堆疊，滿足了網(wǎng)絡(luò)流量成倍提高和多媒體業(yè)務(wù)的迅速增長(zhǎng)的需要。在提供高性能、高帶寬的同時(shí)，S2900交換機(jī)提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性，并可以根據(jù)網(wǎng)絡(luò)的實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，

43、控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法的用戶合理化地使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。</p><p>　　RG-S2900系列交換機(jī)特有的CPU保護(hù)控制機(jī)制，對(duì)發(fā)送到CPU的數(shù)據(jù)進(jìn)行帶寬控制，以避免非法者對(duì)CPU的惡意攻擊，充分保障了交換機(jī)的安全。</p><p>　　RG-S2900系列交換機(jī)為方便不同管理員的使用習(xí)慣，提供了多種形式的管理工具，如SNMP、Te

44、lnet、Web和Console口等。</p><p>　　RG-S2900系列交換機(jī)以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供高性能、完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安全策略管理。眾多的功能特別適合在醫(yī)院的應(yīng)用。</p><p>　　RG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬(wàn)兆機(jī)架式多層交換機(jī)。</p><p>　　該系列交換機(jī)

45、接口形式和組合非常靈活，可提供24個(gè)10/100/1000M自適應(yīng)的千兆電口，和靈活復(fù)用的高密度千兆SFP光纖連接，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要。同時(shí)為滿足網(wǎng)絡(luò)的彈性擴(kuò)展，和高帶寬傳輸需要，可靈活彈性擴(kuò)展多種類型的萬(wàn)兆模塊。</p><p>　　特別適合高帶寬、高性能和靈活擴(kuò)展的大型網(wǎng)絡(luò)匯聚層，中型網(wǎng)絡(luò)核心，以及數(shù)據(jù)中心服務(wù)器接入的使用。</p><p>　　RG-S5750可作為門診

46、大樓匯聚交換機(jī)。匯聚大樓內(nèi)所有節(jié)點(diǎn)及數(shù)據(jù)。同時(shí)，采用雙萬(wàn)兆鏈路鏈接醫(yī)院核心交換機(jī)，提供高速通道，為門診大樓的業(yè)務(wù)開展打下堅(jiān)實(shí)的基礎(chǔ)。</p><p>　　3.1.3出口網(wǎng)絡(luò)設(shè)計(jì)</p><p>　　華山醫(yī)院有到醫(yī)保、社保、干保、銀行的業(yè)務(wù)對(duì)接，內(nèi)網(wǎng)在出口處需要強(qiáng)大的路由策略支撐能力和強(qiáng)大的安全防護(hù)能力,配置一臺(tái)RG-RSR50可信多業(yè)務(wù)路由器，實(shí)現(xiàn)完備路由策略支撐能力。為了保障出口安全性，

47、在出口加入一臺(tái)RG-WALL2000防火墻，防火墻工作在透明橋模式，路由器承擔(dān)NAT功能。這種部署方式的優(yōu)點(diǎn)在于防火墻重點(diǎn)任務(wù)是完成過濾規(guī)則的安全訪問控制，而將其工作在透明橋模式，使得網(wǎng)絡(luò)結(jié)構(gòu)更清晰明了，尤其是在網(wǎng)絡(luò)測(cè)試和性能分析是可以臨時(shí)把防火墻撤掉而不用修改網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，也不需要修改其他網(wǎng)絡(luò)設(shè)備的配置，方便管理員的維護(hù)管理。</p><p>　　為了讓遠(yuǎn)程用戶能夠進(jìn)入到內(nèi)網(wǎng)訪問內(nèi)網(wǎng)資源，在出口路由器上需要配

48、置VPN，為了最大程度地達(dá)到安全性，選用IPsecVPN技術(shù)。</p><p>　　3.2 IP和VLAN設(shè)計(jì)</p><p>　　3．2.1VLAN設(shè)計(jì)</p><p>　　在醫(yī)院內(nèi)部網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對(duì)整個(gè)網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點(diǎn)：</p>

49、<p>　　VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點(diǎn)播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進(jìn)行，不會(huì)做無(wú)意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。</p><p>　　VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會(huì)對(duì)其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。<

50、;/p><p>　　網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的IP子網(wǎng)和VLAN，實(shí)現(xiàn)更加安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN 和IP 子網(wǎng)的對(duì)應(yīng)關(guān)系。</p><p>　　提高管理效率，實(shí)現(xiàn)虛擬的工作組，減少站點(diǎn)的移動(dòng)和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問，可以在三層交換機(jī)上實(shí)現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實(shí)行，分流核心交換機(jī)的三層交換，優(yōu)化了組網(wǎng)。&l

51、t;/p><p>　　根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和江都人民醫(yī)院內(nèi)部網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p><p>　　1、方便管理。為了更改得進(jìn)行VLAN規(guī)劃的實(shí)施，因此在網(wǎng)絡(luò)實(shí)施前期，要對(duì)網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進(jìn)行詳細(xì)的規(guī)劃，細(xì)化的第三級(jí)網(wǎng)絡(luò)。方案建議江都人民醫(yī)院內(nèi)部網(wǎng)絡(luò)劃分VLA

52、N方式前進(jìn)行詳盡規(guī)劃，這樣既可以減少?gòu)V播域，又達(dá)到劃分VLAN，方便管理的效果，對(duì)于后期網(wǎng)絡(luò)維護(hù)和升級(jí)具有十分現(xiàn)實(shí)的意義。</p><p>　　2、易于實(shí)施。按群體劃分VLAN在工程實(shí)施中就十分的方便，不會(huì)造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實(shí)施和網(wǎng)絡(luò)中心整體規(guī)劃。</p><p>　　3、VLAN間路由采用三層交換設(shè)備進(jìn)行VLAN路由。以便不同VLAN間進(jìn)行訪問

53、，對(duì)于某些重要網(wǎng)絡(luò)資源，需要進(jìn)行權(quán)限訪問的時(shí)候，建議采用ACL來(lái)進(jìn)行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。</p><p>　　從上述情況分析，建議華山醫(yī)院VLAN劃分以按照業(yè)務(wù)類別加樓層進(jìn)行規(guī)劃，每個(gè)業(yè)務(wù)類別可跨越多個(gè)樓層，各個(gè)樓層之間相互獨(dú)立，即方便管理，有利于匯聚之后做流量管理。VLAN號(hào)由業(yè)務(wù)類別+樓層號(hào)構(gòu)成，比如1樓的門診部為101，1為門診部類的VLAN，01為樓層號(hào)。VLAN規(guī)劃如下表：</

54、p><p>　　3.2.2 IP劃分</p><p>　　IP地址的合理分配及使用是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵，與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由策略有非常密切的關(guān)系，將對(duì)互聯(lián)網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響。</p><p>　　通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個(gè)區(qū)域內(nèi)。因此，IP地址應(yīng)被分配一段連續(xù)的地址。更進(jìn)一步，連接進(jìn)某一區(qū)域的節(jié)點(diǎn)的IP地址

55、范圍應(yīng)集中在該區(qū)域的地址范圍附近。</p><p>　　IP地址規(guī)劃遵循以下原則：</p><p>　?。?）IP地址的規(guī)劃與劃分應(yīng)該考慮到互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，能夠滿足未來(lái)發(fā)展的需要；既要滿足本期工程對(duì)IP地址的需求，同時(shí)又要充分考慮未來(lái)業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段。</p><p>　?。?）IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入的需要。</

56、p><p>　?。?）地址分配應(yīng)由業(yè)務(wù)驅(qū)動(dòng)，按照業(yè)務(wù)量的大小分配各地址段。</p><p>　?。?）IP地址的分配采用VLSM技術(shù)，保證IP地址的利用效率。</p><p>　?。?）采用CIDR技術(shù)，這樣可減小路由器路由表的大小，加快路由器路由的收斂速度，也可減小網(wǎng)絡(luò)中廣播的路由信息的大小。</p><p>　?。?）充分合理利用已申請(qǐng)的地址

57、空間，提高地址的利用效率。</p><p>　?。?）企業(yè)的內(nèi)部可使用內(nèi)部保留地址，不占用共有IP資源；可以采用私有IP地址的實(shí)現(xiàn)的服務(wù)，在地址不足的情況下可使用保留IP地址。規(guī)劃如下表：</p><p><b>　　3.3 路由設(shè)計(jì)</b></p><p>　　3.1.1動(dòng)態(tài)路由協(xié)議</p><p>　　采用OSPF，

58、它是一種鏈路狀態(tài)協(xié)議，區(qū)別于距離矢量協(xié)議(RIP)，OSPF 具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點(diǎn)，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。</p><p><b>　　區(qū)域劃分如下圖：</b></p><p>　　圖8 OSPF區(qū)域劃分圖</p><p>　　兩臺(tái)核心交換機(jī)跟有線匯聚交換機(jī)直連區(qū)域組成了骨干區(qū)域 AREA 0，

59、1至9樓匯聚交換機(jī)劃分為區(qū)域1,11至18樓匯聚交換機(jī)劃分區(qū)域?yàn)閰^(qū)域2，服務(wù)器區(qū)劃分區(qū)域?yàn)閰^(qū)域3，這樣保證了OSPF的區(qū)域合理劃分。 </p><p><b>　　劃分區(qū)域的好處：</b></p><p>　　減少SPF算法的計(jì)算量，使得拓?fù)浒l(fā)生變化的時(shí)候就在本區(qū)域就進(jìn)行SPF計(jì)算，減小了OSPF路由器的LSBD量減小了路由器的資源消耗。并且劃分區(qū)域以后可以在ABR上

60、面匯總路由。使得路由表更加精簡(jiǎn)提升路由器工作效率。</p><p>　　本次方案設(shè)計(jì)的時(shí)候?qū)⒑诵?路由器設(shè)置成OSPF DR，將核心2設(shè)置成BDR，將其余所有的匯聚設(shè)備的OSPF 優(yōu)先級(jí)修改成0，防止匯聚設(shè)備參與DR ，BDR的選擇。將核心A的優(yōu)先級(jí)設(shè)置成254，核心B的優(yōu)先級(jí)設(shè)置成 200.將所有的OSPF的默認(rèn)參考帶寬修改成10GB，不修改任何線路的COST，讓匯聚到核心的時(shí)候通過OSPF實(shí)現(xiàn)了負(fù)載均衡，在一

61、條鏈路出現(xiàn)故障或者是其中一臺(tái)核心設(shè)置出現(xiàn)了故障的時(shí)候通過OSPF自動(dòng)實(shí)現(xiàn)冗余。保證了網(wǎng)絡(luò)的高性能和冗余性。</p><p><b>　　3.3.2靜態(tài)路由</b></p><p>　　核心交換機(jī)需要一條靜態(tài)默認(rèn)路由指向出口路由器，出口路由器需要一條靜態(tài)路由指向核心，在出口路由器上根據(jù)社保、醫(yī)保、干保、銀行四個(gè)VPN的不同IP分別添加相應(yīng)的靜態(tài)路由條目。</p&g

62、t;<p><b>　　4 安全設(shè)計(jì)</b></p><p>　　4.1外聯(lián)出口安全設(shè)計(jì)</p><p>　　為了保障外聯(lián)網(wǎng)出口安全防護(hù)，在方案中，我們采用了銳捷RG-WALL2000 高性能防火墻作為出口安全設(shè)備。</p><p>　　RG-WALL2000能夠全面防御基于TCP、UDP和其他協(xié)議報(bào)文的IP畸形包攻擊、IP假冒、

63、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、Ping flood、UDP Flood等DoS/DDoS攻擊。保障服務(wù)器群不受到來(lái)自internet的DoS/DDoS攻擊。</p><p>　　RG-WALL2000能夠支持2-7層的數(shù)據(jù)流深度檢測(cè)功能，能對(duì)IM（QQ/MSN/雅虎MSN）、P2P（BT/Emule/Edonkey）等協(xié)議提供智能識(shí)別和限制

64、；提供URL、Email、TELNET、FTP等第7層內(nèi)容過濾功能（Active-X、Java Scripts、Java Applet和Cookie）。凈化出口帶寬，保障出口帶寬的有效利用。</p><p>　　4.2服務(wù)器區(qū)安全設(shè)計(jì)</p><p>　　為了保障重要服務(wù)器群的安全，在核心交換機(jī)旁路設(shè)置一臺(tái)RG-IDS2000 高性能入侵檢測(cè)系統(tǒng)，通過分析鏡像服務(wù)器區(qū)的數(shù)據(jù)流量，分析資源中

65、心訪問流量，及時(shí)發(fā)現(xiàn)非法攻擊入侵?jǐn)?shù)據(jù)流并與內(nèi)網(wǎng)安全管理系統(tǒng)GSN中的SMP聯(lián)動(dòng)，通過預(yù)先設(shè)定的策略自動(dòng)的對(duì)相應(yīng)數(shù)據(jù)控制處理。通過旁路IDS的入侵檢測(cè)，不但可以及時(shí)的發(fā)現(xiàn)非法攻擊入侵，同時(shí)低誤報(bào)率不會(huì)影響數(shù)據(jù)交換的正常速度，在最大程度提供對(duì)內(nèi)服務(wù)的同時(shí)，最及時(shí)的對(duì)數(shù)據(jù)中心服務(wù)器群進(jìn)行安全防護(hù)管理。</p><p><b>　　4.3內(nèi)網(wǎng)安全設(shè)計(jì)</b></p><p>

66、　　針對(duì)網(wǎng)絡(luò)漏洞的增加，病毒的頻繁爆發(fā)，如今80％的網(wǎng)絡(luò)安全事件來(lái)自于內(nèi)部安全事件。如何作好網(wǎng)絡(luò)內(nèi)部用戶的安全控制，成了每一個(gè)網(wǎng)絡(luò)安全人員的重大問題。而銳捷網(wǎng)絡(luò)針對(duì)此種情況，推出了GSN（全局安全網(wǎng)絡(luò)解決方案）</p><p>　　GSN由銳捷安全交換機(jī)、銳捷安全客戶端、銳捷安全管理平臺(tái)、銳捷安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素組成，實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)

67、揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過將用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，從而達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件的防范。</p><p>　　RG-S8610、S5750/S2900采用硬件方式提供多種安全防護(hù)能力，例如防DoS攻擊

68、、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響。</p><p>　　RG-S8610、S5750/S2900提供業(yè)界最為強(qiáng)大的ACL特性，基于SPOH技術(shù)提供IP標(biāo)準(zhǔn)、IP擴(kuò)展、MAC擴(kuò)展、時(shí)間、專家級(jí)等豐富的ACL技術(shù)。</p><p>　　RG-S8610、S5750/S2900支持同時(shí)啟用多組的多端口同步監(jiān)控技術(shù)，并且支持靈活的輸入、輸出、

69、雙向數(shù)據(jù)鏡像，滿足靈活的網(wǎng)絡(luò)監(jiān)控需求，提升網(wǎng)絡(luò)監(jiān)控能力。</p><p><b>　　5 實(shí)踐配置</b></p><p>　　5.1實(shí)踐配置拓?fù)鋱D</p><p>　　實(shí)踐采用Cisco Packet Tracer+GNS3（某些配置在Packet Tracer上不能實(shí)現(xiàn)的，使用GNS3實(shí)現(xiàn)），以1樓的設(shè)備為例，拓?fù)鋱D如下：</p>

70、;<p><b>　　5.2基礎(chǔ)配置：</b></p><p>　　配置設(shè)備名稱，配置基本的IP地址和VLAN：</p><p>　　Router(config)#ho Out_Router</p><p>　　Out_Router(config-if)#ip add 10.4.1.1 255.255.255.0</p>

71、;<p>　　Out_Router(config-if)#no sh</p><p>　　Out_Router(config-if)#int fa0/1</p><p>　　Out_Router(config-if)#ip add 10.4.2.1 255.255.255.0</p><p>　　Out_Router(config-if)#no sh&

72、lt;/p><p>　　Distrib_SW1(config)#vlan 201</p><p>　　Distrib_SW1(config-vlan)#name Menzheng</p><p>　　Distrib_SW1(config)#vlan 501</p><p>　　Distrib_SW1(config-vlan)#name Bingf

73、angYisheng</p><p>　　Distrib_SW1(config-vlan)#vlan 601</p><p>　　Distrib_SW1(config-vlan)#name BingFang</p><p>　　Distrib_SW1(config-vlan)#vlan 701</p><p>　　Distrib_SW1(co

74、nfig-vlan)#name voice</p><p>　　Distrib_SW1(config-vlan)#vlan 801 </p><p>　　Distrib_SW1(config-vlan)#name vedio</p><p>　　Distrib_SW1(config)#vlan 400</p><p>　　Distrib_SW

75、1(config-vlan)#name Guanli</p><p><b>　　5.3路由配置</b></p><p>　　Out_Router(config)#router os 1</p><p>　　Out_Router(config-router)#net 10.4.1.1 0.0.0.0 a 0 </p><p&

76、gt;　　Out_Router(config-router)#net 10.4.2.1 0.0.0.0 a 0</p><p>　　Out_Router(config-router)#default-information originate</p><p>　　Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0</p><

77、;p>　　Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0 20</p><p><b>　　5.4生成樹配置:</b></p><p>　　Distrib_SW1(config)#spanning-tree mode rapid-pvst </p><p>　　Distrib_SW1(c

78、onfig)#spanning-tree vlan 201 root primary </p><p>　　Distrib_SW1(config)#spanning-tree vlan 401 root primary </p><p>　　Distrib_SW1(config)#spanning-tree vlan 501 root primary</p><p>

79、;　　Distrib_SW2(config)#spanning-tree mode rapid-pvst </p><p>　　Distrib_SW2(config)#spanning-tree vlan 601 root primary </p><p>　　Distrib_SW2(config)#spanning-tree vlan 701 root primary </p>

80、;<p>　　Distrib_SW2(config)#spanning-tree vlan 801 root primary</p><p><b>　　5.5冗余網(wǎng)關(guān)配置</b></p><p>　　Distrib_SW1(config)#int vlan 400</p><p>　　Distrib_SW1(config-if)

81、#ip address 10.4.0.1 255.255.255.0</p><p>　　Distrib_SW1(config-if)#vrrp 1 ip 10.4.0.1 </p><p>　　Distrib_SW1(config)#int vlan 201</p><p>　　Distrib_SW1(config-if)#ip add 10.2.1.1 255.

82、255.255.0</p><p>　　Distrib_SW1(config-if)#vrpp 1 ip 10.2.1.1 </p><p>　　Distrib_SW1(config-if)#int vlan 501</p><p>　　Distrib_SW1(config-if)#ip add 10.5.1.1 255.255.255.0</p>&

83、lt;p>　　Distrib_SW1(config-if)#vrrp 1 ip 10.5.1.1 </p><p><b>　　5.6DHCP配置</b></p><p>　　Distrib_SW1(config)#ip dhcp pool vlan201</p><p>　　Distrib_SW1(dhcp-config)#netwo

84、rk 10.2.1.0 255.255.255.0</p><p>　　Distrib_SW1(dhcp-config)#dns-server 8.8.8.8</p><p>　　Distrib_SW1(dhcp-config)#default-router 10.2.1.1</p><p>　　Distrib_SW1(config)#ip dhcp exclude

85、d-address 10.2.1.1 </p><p>　　Distrib_SW1(config)#ip dhcp pool vlan501</p><p>　　Distrib_SW1(dhcp-config)#network 10.5.1.0 255.255.255.0</p><p>　　Distrib_SW1(dhcp-config)#dns-server 8

86、.8.8.8</p><p>　　Distrib_SW1(dhcp-config)#default-router 10.5.1.1</p><p>　　Distrib_SW1(config)#ip dhcp excluded-address 10.5.1.1</p><p><b>　　5.7ACL配置</b></p><p

87、>　　Access_Sever(config)#access-list 1 deny 10.2.1.1 0.0.255.255</p><p>　　Access_Sever(config)#access-list 1 permit any </p><p>　　Access_Sever(config)#int fastEthernet 0/1</p><p>

88、　　Access_Sever(config-if)#ip access-group 1 in </p><p>　　Access_Sever(config-if)#int fa0/2</p><p>　　Access_Sever(config-if)#ip access-group 1 i</p><p>　　Access_Sever(config-if)#ip a

89、ccess-group 1 in</p><p><b>　　5.8NAT配置</b></p><p>　　Out_Router(config)#int fa0/1</p><p>　　Out_Router(config-if)#ip nat inside </p><p>　　Out_Router(config-if)

90、#int fa0/2</p><p>　　Out_Router(config)#int fa0/0</p><p>　　Out_Router(config-if)#ip nat inside </p><p>　　Out_Router(config)#int fa1/0</p><p>　　Out_Router(config-if)#ip n

91、at outside</p><p>　　Out_Router(config)#access-list 1 permit any </p><p>　　Out_Router(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload</p><p>　　Out_Router(conf

92、ig)#ip nat inside source static tcp 10.3.1.2 80 12.1.1.2 80</p><p><b>　　5.9VPN配置</b></p><p>　　Out_Router(config)#vpdn enable</p><p>　　Out_Router(config)#vpdn source-ip 1

93、2.1.1.1 </p><p>　　Out_Router(config)#vpdn-group pptp</p><p>　　Out_Router(config-vpdn)# accept-dialin</p><p>　　Out_Router(config-vpdn-acc-in)# protocol pptp</p><p>　　Ou

94、t_Router(config-vpdn-acc-in)# virtual-template 1</p><p>　　Out_Router(config)#int lo0</p><p>　　Out_Router(config-if)#ip add 10.1.1.1 255.255.255.0</p><p>　　Out_Router(config)#interf

95、ace Virtual-Template 1</p><p>　　Out_Router(config-if)# ppp authentication pap</p><p>　　Out_Router(config-if)# ip unnumbered Loopback 0</p><p>　　Out_Router(config-if)# peer default i

96、p address pool vpn_add</p><p>　　Out_Router(config-if)#exi</p><p>　　Out_Router(config)#ip local pool vpn_add 10.1.1.2 10.1.254.254</p><p>　　5.10 802.1X配置</p><p>　　Access

97、_sw1(config-if)#dot1x port-control auto</p><p><b>　　6 實(shí)驗(yàn)測(cè)試</b></p><p>　　6.1DHCP驗(yàn)證:</p><p><b>　　6.2STP驗(yàn)證</b></p><p>　　Distrib_SW1#sh spanning-tre

98、e </p><p><b>　　VLAN0201</b></p><p>　　Spanning tree enabled protocol ieee</p><p>　　Root ID Priority 32969</p><p>　　Address 0000.0CE8.9A5A</p>

99、<p>　　Cost 19</p><p>　　Port 27(Port-channel 1)</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Bridge ID Priority 32969 (priority

100、 32768 sys-id-ext 201)</p><p>　　Address 0001.973A.C409</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Aging Time 20</p><p>　　Interface

101、 Role Sts Cost Prio.Nbr Type</p><p>　　---------------- ---- --- --------- -------- --------------------------------</p><p>　　Fa0/3 Desg FWD 19 128.3 P2p</p>

102、<p>　　Fa0/4 Desg FWD 19 128.4 P2p</p><p>　　Fa0/5 Desg FWD 19 128.5 P2p</p><p>　　Fa0/6 Desg FWD 19 128.6 P2p</p><p&

103、gt;　　Fa0/7 Desg FWD 19 128.7 P2p</p><p>　　Fa0/8 Desg FWD 19 128.8 P2p</p><p>　　Po1 Root FWD 19 128.27 Shr</p><p><

104、b>　　VLAN0601</b></p><p>　　Spanning tree enabled protocol ieee</p><p>　　Root ID Priority 25177</p><p>　　Address 0000.0CE8.9A5A</p><p>　　Cost 19

105、</p><p>　　Port 27(Port-channel 1)</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Bridge ID Priority 33369 (priority 32768 sys-id-ext 601)</

106、p><p>　　Address 0001.973A.C409</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Aging Time 20</p><p>　　Interface Role Sts Cost Pr

107、io.Nbr Type</p><p>　　---------------- ---- --- --------- -------- --------------------------------</p><p>　　Fa0/3 Desg FWD 19 128.3 P2p</p><p>　　Fa0/4

108、 Desg FWD 19 128.4 P2p</p><p>　　Fa0/5 Desg FWD 19 128.5 P2p</p><p>　　Fa0/6 Desg FWD 19 128.6 P2p</p><p>　　Fa0/7 Desg

109、FWD 19 128.7 P2p</p><p>　　Fa0/8 Desg FWD 19 128.8 P2p</p><p>　　Po1 Root FWD 19 128.27 Shr</p><p><b>　　6.3路由驗(yàn)證:</b>&l

110、t;/p><p>　　Out_Router#sh ip route </p><p>　　Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP</p><p>　　D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter

111、area</p><p>　　N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2</p><p>　　E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP</p><p>　　i - IS-IS, L1 - IS-IS le

112、vel-1, L2 - IS-IS level-2, ia - IS-IS inter area</p><p>　　* - candidate default, U - per-user static route, o - ODR</p><p>　　P - periodic downloaded static route</p><p>　　Gateway of