山医院网络组建与配置实践.doc

课程设计题目：华山医院网络组建与配置实践作者姓名：班级：学号：指导教师：日期：作者签名：封面华山医院网络组建与配置实践摘要本文完成了华山医院网络组建的方案设计，其中包括网络需求分析，IP、VLAN、路由等的规划，安全设计，完成路由、VLAN、冗余网关、STP、NAT、ACL等的实践配置，对相关配置做验证。关键词：网络组建、路由、VLAN、IP目录1引言.11.1项目背景.11.2需求现状.12需求分析.12.1.网络系统需求分析.12.2网络系统稳定性需求.22.3网络传输性能需求.22.4网络系统安全性需求.22.5网络系统管理需求.22.6无线网络需求.32.7远程接入需求.328总结.33拓扑及IP和路由规划.33.1拓扑设计及描述.33.2IP和VLAN设计.63.3路由设计.84安全设计.95实践配置.105.1实践配置拓扑图.105.2基础配置：.115.3路由配置.115.4生成树配置:.125.5冗余网关配置.125.6DHCP配置.125.7ACL配置.125.8NAT配置.125.9VPN配置.135.10802.1X配置.136实验测试.136.1DHCP验证:.136.2STP验证.136.3路由验证:.146.3验证ACL.155.4验证VRRP.15结论.16参考文献.16第1页共19页1引言1.1项目背景华山医院是卫生部直属复旦大学（原上海医科大学）附属的一所综合性教学医院。建院于1907年，前身是中国红十字会总院，是上海地区中国人最早创办的医院，1992年首批通过国家三级甲等医院评审，目前已成为一所国家高层次的医疗机构，并为全国医疗、预防、教学、科研相结合的技术中心，在国内外享有较高的声誉。随着医疗行业信息化的发展，为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进我院的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高我院信息化应用的管理水平，使我院经济效益和社会效益双丰收，逐步加快医院的信息化建设步伐。在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。锐捷网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了华山对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合华山医院的网络建设的解决方案。1.2需求现状华山医院的网络系统建设应在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据以上种种特性需求，网络设备核心层、汇聚层、接入层产品，选择锐捷网络。锐捷网络是国内领先的网络厂商，其对医疗行业有着深刻的了解，其产品、方案与服务在医疗行业有成熟和广泛的应用，而且能通过智能、安全及可靠的网络设备连为一体，来构建网络系统的设计目标，保障其顺利进行。根据以上描述，结合实际建网情况和前期网络建设，在充分研究了目前国内外网络界对园区网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后，建议选择万兆以太网为目标，构建华山医院的网络建设，设计“万兆核心、千兆支干、千兆交换桌面”的网络拓扑结构，根据需求分析，结合对应用系统的考虑，提出本期网络系统的设计目标：高性能、高可靠性、高稳定性、高安全性、可管理、可增值的智能安全网络。医疗行业由于其特殊性，对于各种系统的稳定和可靠都有非常高的要求，华山医院在稳定可靠的基础上，以实用为先，应用各种网络技术，提高网络数据传输可靠性、安全性、和高效率是目前医疗行业应用的发展趋势。同时，也要不断提高医院领导和信息中心对信息化建设的基础设施网络系统建设的认识。随着华山医院业务的不断发展，为了给患者提供更好的服务，使更多的患者能够得到及时有效的医疗服务。华山医院通过不断的信息化建设，逐步的提升自身的信息化水品。随着信息化建设的发展，网络应用逐渐增多，应用模式更为多样化，网络接入信息点数和接入带宽不断增加。原有的网络系统已经不能满足华山医院医疗服务水品的发展需要，网络稳定性、网络传输带宽、网络安全、网络管理等问题日趋严峻，各种医院信息系统的开展受到了现有网络系统传输平台的制约，因此，需要通过提升基础网络平台的稳定性、传输带宽、安全性和可管理性等，促进华山医院信息化建设的进一步发展，为到我院就诊的患者提供更高质量的服务，同时，提升我院自身的信息化管理水品，逐步提升我院整体的经济效益和社会效益。2需求分析2.1.网络系统需求分析为了提升华山医院的整体医疗服务水品，提升医院各种医疗应用系统的服务效率，需要从以下几个方面考虑华山医院网络系统平台的建设。第2页共19页2.2网络系统稳定性需求医疗行业是关系到病人生命安危的重要行业，华山医院的各种应用系统和基础设备都要保证超高的稳定性，如果系统没有足够的稳定性，一次小小的系统错误就可能导致一个生命的灭亡。系统的稳定性（7X24稳定、可靠、持续运行）是投入运行的医疗系统的生命线。由此可见，华山医院对于各种系统的稳定性需求是对所有系统的最高需求也是最根本的需求。而作为基础设施的网络系统的稳定性也就成为华山医院信息化建设的重要指标。怎样的网络结构能够保证整个网络的稳定、可靠，保证在单点故障的情况下不会对整个网络造成冲击，保证核心、骨干设备在出问题的时候能够无缝的恢复或切换。这些都是华山医院网络系统建设的最根本需要。2.3网络传输性能需求目前华山医院的应用系统主要是以HMIS（医院管理信息系统）和CIS（临床信息系统）为主，各种系统对网络的性能都有不一样的需要。管理信息系统的应用主要是以文字、图表和简单的图形信息为主，虽然信息量不大，但是对于基础架构的可靠性和安全性需要较高，对服务质量也有一定的要求。临床信息系统的应用内容则较为丰富。除了一般文字信息外，医疗应用数据包含大量的图形、视频和语音信息。要求安全、可靠、保证服务质量和高性能，需要同时支持语音、视频和数据等多种业务，又要方便以后的扩展。在某些关键应用上，对于服务质量、高性能、高可用性都提出了很高的要求。以华山医院重要的PACS（医学图像传输存储系统）为例，在建设了PACS系统之后，堆积如山的胶片、病历档案都没有了，但是在网络上的数据量却在急剧增长。海量存储和数据浏览就成为必须解决的问题。在计算机中一页文字资料仅占几千字节（Kb），而一张数字化的X线片将产生上百万字节（Mb）的信息量，这就是所谓的“兆字节问题”；在华山医院每天的信息量中，有大量的信息是PACS系统的数据，医院对于这些TB数量级的数据需要经常的进行调阅，对于网络系统，必须有强大的数据传输能力。2.4网络系统安全性需求华山医院信息系统的安全性包括实体安全、网络安全、传输安全、用户安全。卫生部新规范重点强调了系统的可靠性和安全性问题，要求门诊系统恢复时间在510分钟之内，系统支持724小时工作，关键设备必须有备份系统。一般网络和服务器等硬件设备在23年之内不易出现故障，这使人们容易心存侥幸。一旦关键设备发生故障，又没有备用设备或备用链路，将造成重大损失。目前，网络系统中蠕虫病毒、扫描攻击、DDOS等攻击越来越普遍，而这些攻击将直接导致网络系统瘫痪和中断，给医院的正常业务开展造成非常严重的影响。例如：单台主机在进行扫描攻击的时候，可以瞬间将门诊收费的主干网络设备的系统资源占满，造成门诊收费等系统无法正常通信，严重时还将造成全网主干系统数据传输缓慢或中断。因此，病毒是目前比较严重的问题，尤其是网络病毒和网络攻击型病毒，防范十分困难。如何通过有效的手段控制和防御网络病毒的攻击，是华山医院在进行网络建设时必须思考的问题。华山医院的内部信息主要是以病人的病例、处方和医嘱等信息为主，而医院是有义务保障病人的信息安全，保证病人的病例、处方和医嘱信息不被没有必要的部门或人员查看，同时也要保证信息不能外传。华山医院的信息必须要被保存721年甚至更长时间。因此，如何保证整个系统的保密性、完整性、可用性、可审核性也是华山医院信息系统安全性的一部分2.5网络系统管理需求随着华山医院信息化建设的不断完善，医院网络的规模也在不断的扩展，如何及时有效的发现网络中的异常流量，如有有效的控制网络设备，如何及时的对异常网络设备进行远程控制，这一些列的网络管理和维护问题都必须在网络建设的初期考虑。针对华山医院里网络技术人才相对匮乏的现状，网络建设在安全可靠的基础上，尽量降第3页共19页低网络的复杂度，便于日后的管理维护。2.6无线网络需求无线局域网的应用，使华山医院信息网络更加灵活，而且能够经济、快捷的实现无缝覆盖。在需要频繁上网设备的病房，在网络终端不固定的会议室等区域，无线网络都是理想的选择。配合无线掌上电脑，可以实现很多适合医院应用的无线接入服务。华山医院临床医学信息系统，突出体现的就是“以病人信息为核心，以病人诊疗过程为主线”的理念。目前华山医院使用的包括：病房医生站，门诊医生站，病房护士站，病人床旁移动信息站（包括医生和护士），临床检验分析系统等等），这些信息化系统的配合使用，使得医护人员在医院中可以随时随地获取病人的最新信息，做出快速反应处理，紧密跟踪治疗过程，大大提高了医院的诊疗效率和缩短了病人等待的周期。相比原有的医院信息化的数据整理，采集和录入以及处理都是建立在固定点的基础上，“移动信息化系统”表现出其灵活，快捷，实时等多项优势，对固定信息站的工作起到了必不可少的补充作用。基于“无线网络”的平台，让移动信息系统（BMIS）的功能充分的发挥了出来，医护人员可以借助它大力协助自己在病人身边治疗护理的工作。它是一个移动信息中心，用户可以随时对数据进行查阅，浏览，记录，采集，传输等处理，还同时实现了人机交流和人人交流。BMIS运用科技手段，帮助医院节省大量的人力物力财力，提高医院在病患中的服务形象和科技形象，真正实现“无纸化”，对医院的信息化发展而言是必不可少，势在必行的环节。2.7远程接入需求远程医疗和医院间的学术交流、专家会诊等正在迅猛发展。我国的远程医疗近几年发展迅速，一些著名的医学院校、医院都建立了远程会诊中心。通过广域网的数据传输，不仅可以让病人在家中得到及时诊断，对于一些重症病患者，还可以通过远程专家会诊等方式提出有效的医疗方案。同时，每个医院都在设立自己的资源中心，例如：电子书库等等。特别是一些医药大学的附属医院，对于资源中心的部署作为资源建设的重点。但是，对于一些特殊的医学资源，例如：患者的病历信息，医药学文献，医院内部的行政信息等等，这些信息在需要被医院以外的特殊用户访问的同时，其安全性和保密性要得到最高的保证。因此，如果有效的为医院外部特殊用户提供安全保密的信息是我们在进行医院远程网络接入中需要考虑的重点。华山医院的广域网应用越来越多，而怎样实现高速安全的广域网数据传输是进行局域医疗卫生服务系统（GMIS）建设的重点。28总结后期华山医院的网络建设的目标是建设一个集各种数字化医疗设备和器械为一体的综合数字医疗系统，而网络平台作为这些数字应用的基础设施，成为数字化建设首先考虑的重点，如何建设一个稳定，可靠，安全，应用集中的综合业务网络平台，是华山医院信息化建设的根本出发点。3拓扑及IP和路由规划3.1拓扑设计及描述医院的内部局域网非常重要，由于医院的所有业务均依赖医院内部局域网运行，所以应对内部局域网进行全面重点设计。第4页共19页华山医院的内网将能覆盖医院全部功能区，目前华山医院有门诊楼、放疗、急诊楼、和新修大楼等。在本次网络建设中，根据实际应用和长远设计，以保证网络的稳定性、可靠性、高速、高安全、可扩充性为前提，采用三层结构的网络，分为核心层、汇聚层和接入层。医院内部局域网核心交换机配备万兆双机热备，通过设备和万兆链路的双冗余备份和负载均衡实现网络的高可靠性和稳定性，通过核心与汇聚设备之间的万兆链接提升医院网络整体性能。各楼层接入交换机采用单台或堆叠的形式，提供10/100/1000M自适应的桌面接入能力和1000M上联能力,接入交换机均通过光纤连接所属楼层的汇聚交换机或核心交换机接入医院内部局域网。并且为了实现万兆核心、千兆支干、千兆交换桌面以及各楼层直接与一楼的中心机房经过万兆单膜光纤互联的需求，在各个楼层均作为汇聚节点，双万兆上联到两台核心。同时为业务备份冗余考虑，规划组建备份数据中心。3.1.1核心层设计医院的网络中心作为全网的心脏，向医院的应用业务系统源源不断的提供安全的信息血液，保证整个医院信息系统的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到终端系统，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。在网络的可靠性和稳定性保障方面，网络核心设计采用2台十万兆核心交换机互为容错备份，并在核心交换机中采用关键模块冗余设计（如双电源冗余等），双核心网络设计架构，为医院网络提供了高稳定性和可靠性的数据传输平台，同时，提供了一种能够“自愈”网络链路或设备的单点故障的网络架构，保证了医院网络能够提供7*24小时高速稳定的数据传输。为医院提供健壮的数据传输神经中枢。同时，从医院业务发展角度考虑，因此对核心交换机的性能也有非常高的要求。根据可靠性、稳定性、扩展性、性能上的分析，网络核心建议选用两台高性能的锐捷高密度多业务IPv6核心路由交换机RG-S8610，两台核心设备之间采用双链路千兆链接，提供高速通道。第5页共19页RG-S8610拥有10个扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，未来可扩展十万兆。RG-S8610交换机高达3.2T的背板带宽和1190Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、为医院网络用户提供超强的数据处理能力。同时RG-S8610支持负载均衡、冗余备份、QOS、ACL、策略路由、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描等强大的功能，同时板卡支持分布式处理和热插拔，是医院核心交换机的理想选择。3.1.2汇聚层、接入层设计汇聚、接入层采用双链路连接，构成一个环路架构，启用VRRP或RSTP、MSTP协议等技术；VRRP协议通过在两台互备份的交换机上对每个VLAN用户提供一个统一的虚拟网关IP地址，相应VLAN用户设置PC网关地址时就设置成为该虚拟网关IP，用户工作时并不用关心真正负责数据传输的交换机，在真正负责用户数据传输的交换机出现故障时VRRP协议可以自动地把用户数据的转发工作转移到另一台交换机，不仅实现了主机间的备份功能，而且不必更改用户的网络设置。RSTP、MSTP等技术在二层上造成网络环路的链路将逻辑失效，网络环路被消除；而在负责数据传输的活动链路失效以后又可以激活先前逻辑失效的链路，保障数据的正常传输，提供冗余备份功能。全网架构，核心层双万兆链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。考虑到接入信息点集中，同时医院的应用多元化，PACS系统大流量高性能的需求。要求接入层的设备具有端口高密度和设备的高性能、高安全、多功能的特点。采用RG-S2900全千兆智能接入交换机，该系列交换机支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要。在提供高性能、高带宽的同时，S2900交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。RG-S2900系列交换机特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了交换机的安全。RG-S2900系列交换机为方便不同管理员的使用习惯，提供了多种形式的管理工具，如SNMP、Telnet、Web和Console口等。RG-S2900系列交换机以极高的性价比为各类型网络提供高性能、完善的端到端的QoS服务质量、灵活丰富的安全策略管理。众多的功能特别适合在医院的应用。RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。该系列交换机接口形式和组合非常灵活，可提供24个10/100/1000M自适应的千兆电口，和灵活复用的高密度千兆SFP光纤连接，满足网络建设中不同介质的连接需要。同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器接入的使用。RG-S5750可作为门诊大楼汇聚交换机。汇聚大楼内所有节点及数据。同时，采用双万兆链路链接医院核心交换机，提供高速通道，为门诊大楼的业务开展打下坚实的基础。3.1.3出口网络设计华山医院有到医保、社保、干保、银行的业务对接，内网在出口处需要强大的路由策略支撑能力和强大的安全防护能力,配置一台RG-RSR50可信多业务路由器，实现完备路由策略支撑能力。为了保障出口安全性，在出口加入一台RG-WALL2000防火墙，防火墙工作在透明桥模式，路由器承担NAT功能。这种部署方式的优点在于防火墙重点任务是完成过滤规则的安全访问控制，而将其工作在透明桥模式，使得网络结构更清晰明了，尤其是在网络测试和性能分析是可以临时把防火墙撤掉而不用修改网络的逻辑结构，也不需要修改其他网络设备的配置，方便管理员的维护管理。第6页共19页为了让远程用户能够进入到内网访问内网资源，在出口路由器上需要配置VPN，为了最大程度地达到安全性，选用IPsecVPN技术。3.2IP和VLAN设计32.1VLAN设计在医院内部网络的整个网络规划当中，VLAN的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：VLAN划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。VLAN划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯