组网与配置综合实践课程设计.doc

指导老师评阅成绩表指导老师评阅成绩表 学习与工作 态度 30 选题的价值与 意义 10 文献综 述 10 研究水平与设 计能力 20 课程设计文档撰写质 量 20 应用创新价值 10 总分 指导老师签名 年 月 日 课程设计答辩记录及评价表课程设计答辩记录及评价表 学生 讲述情况 教师主要 提问记录 学生回答 问题情况 评价参考标准 评分项目 分 值优良中及格差 评分总分 选题的价值与意义 1098764 文献综述 1098764 研究水平与设计能力 201917151310 课程设计说明书 论 文 撰写质量 201917151310 学术水平与创新 1098764 答辩评分 答辩效果 302825221915 是否同意论文 设计 通过答辩 同意 不同意 答辩小组成员签名 答辩小组组长签名 年 月 日 课程设计成绩评定表课程设计成绩评定表 评分项目评分比例分数 课程设计总 分 成绩汇总 指导老师评分 50 课程设计成绩评价表 答辩小组评分 50 课课 程程 设设 计计 题目 校园网络组建与配置实践 作者姓名 作者姓名 班班 级 级 网络网络 081081 学学 号 号 20081210282008121028 指指导导教教师师 日日 期 期 作者签名 封面 校园网络组建与配置实践校园网络组建与配置实践 摘摘 要要 本文完成了校园网络组建的方案设计 其中包括网络需求分析 IP VLAN 路由等的规划 安全设计 完成路由 VLAN 冗余网关 STP NAT ACL 等的实践配置 对相关配置做验证 关键词 网络组建 路由 VLAN IP 目目 录录 1 引言引言 1 1 1 项目背景 1 1 2 需求现状 1 2 需求分析需求分析 1 2 1 网络系统需求分析 1 2 2 网络系统稳定性需求 2 2 3 网络传输性能需求 2 2 4 网络系统安全性需求 2 2 5 网络系统管理需求 2 2 6 无线网络需求 3 2 7 远程接入需求 3 2 8 总结 3 3 拓扑及拓扑及 IP 和路由规划和路由规划 3 3 1 拓扑设计及描述 3 3 2 IP 和 VLAN 设计 6 3 3 路由设计 8 4 安全设计安全设计 9 5 实践配置实践配置 10 5 1 实践配置拓扑图 10 5 2 基础配置 11 5 3 路由配置 11 5 4 生成树配置 12 5 5 冗余网关配置 12 5 6DHCP 配置 12 5 7ACL 配置 12 5 8NAT 配置 12 5 9VPN 配置 13 5 10 802 1X 配置 13 6 实验测试实验测试 13 6 1DHCP 验证 13 6 2STP 验证 13 6 3 路由验证 14 6 3 验证 ACL 15 5 4 验证 VRRP 15 结结 论论 16 参考文献参考文献 16 第 1 页 共 20 页 1 引言引言 1 1 项目背景项目背景 华山医院是卫生部直属复旦大学 原上海医科大学 附属的一所综合性教学医院 建 院于 1907 年 前身是中国红十字会总院 是上海地区中国人最早创办的医院 1992 年首 批通过国家三级甲等医院评审 目前已成为一所国家高层次的医疗机构 并为全国医疗 预防 教学 科研相结合的技术中心 在国内外享有较高的声誉 随着医疗行业信息化的发展 为了认真贯彻卫生部召开的关于加快医卫系统信息化建 设及管理的会议精神 进一步推进我院的信息化建设 了解国际医疗信息化发展动态 吸 收新的技术和管理经验 提高我院信息化应用的管理水平 使我院经济效益和社会效益双 丰收 逐步加快医院的信息化建设步伐 在选取 飞 的翅膀时 计算机网络解决方案的选取是关键 锐捷网络公司以其卓越 的产品性能 丰富的产品种类和完善的服务体系 综合考虑了华山对网络安全 网络管理 可靠性 可管理性 可扩展性和高性能的特殊需要 精选出适合华山医院的网络建设的解 决方案 1 2 需求现状需求现状 华山医院的网络系统建设应在实用的前提下 应当在投资保护及长远性方面做适当考 虑 在技术上系统能力上要保持五年左右的先进性 并且从用户的利益出发 一个好的系 统应当给用户一定的自由度 而不是束缚住他们的手脚 从技术上讲应该采用标准 开放 可扩充的 能与其它厂商产品配套使用的设计 根据以上种种特性需求 网络设备核心层 汇聚层 接入层产品 选择锐捷网络 锐 捷网络是国内领先的网络厂商 其对医疗行业有着深刻的了解 其产品 方案与服务在医 疗行业有成熟和广泛的应用 而且能通过智能 安全及可靠的网络设备连为一体 来构建 网络系统的设计目标 保障其顺利进行 根据以上描述 结合实际建网情况和前期网络建设 在充分研究了目前国内外网络界 对园区网设计所采用的各种网络主干技术 并充分考虑到技术发展的主流和趋势后 建议选 择万兆以太网为目标 构建华山医院的网络建设 设计 万兆核心 千兆支干 千兆交换 桌面 的网络拓扑结构 根据需求分析 结合对应用系统的考虑 提出本期网络系统的设 计目标 高性能 高可靠性 高稳定性 高安全性 可管理 可增值的智能安全网络 医疗行业由于其特殊性 对于各种系统的稳定和可靠都有非常高的要求 华山医院在 稳定可靠的基础上 以实用为先 应用各种网络技术 提高网络数据传输可靠性 安全性 和高效率是目前医疗行业应用的发展趋势 同时 也要不断提高医院领导和信息中心对信 息化建设的基础设施网络系统建设的认识 随着华山医院业务的不断发展 为了给患者提供更好的服务 使更多的患者能够得到 及时有效的医疗服务 华山医院通过不断的信息化建设 逐步的提升自身的信息化水品 随着信息化建设的发展 网络应用逐渐增多 应用模式更为多样化 网络接入信息点数和 接入带宽不断增加 原有的网络系统已经不能满足华山医院医疗服务水品的发展需要 网 络稳定性 网络传输带宽 网络安全 网络管理等问题日趋严峻 各种医院信息系统的开 展受到了现有网络系统传输平台的制约 因此 需要通过提升基础网络平台的稳定性 传 输带宽 安全性和可管理性等 促进华山医院信息化建设的进一步发展 为到我院就诊的 患者提供更高质量的服务 同时 提升我院自身的信息化管理水品 逐步提升我院整体的 经济效益和社会效益 2 需求分析需求分析 2 1 网络系统需求分析网络系统需求分析 为了提升华山医院的整体医疗服务水品 提升医院各种医疗应用系统的服务效率 需 要从以下几个方面考虑华山医院网络系统平台的建设 第 2 页 共 20 页 2 2 网络系统稳定性需求网络系统稳定性需求 医疗行业是关系到病人生命安危的重要行业 华山医院的各种应用系统和基础设备都 要保证超高的稳定性 如果系统没有足够的稳定性 一次小小的系统错误就可能导致一个 生命的灭亡 系统的稳定性 7X24 稳定 可靠 持续运行 是投入运行的医疗系统的生命 线 由此可见 华山医院对于各种系统的稳定性需求是对所有系统的最高需求也是最根本 的需求 而作为基础设施的网络系统的稳定性也就成为华山医院信息化建设的重要指标 怎样的网络结构能够保证整个网络的稳定 可靠 保证在单点故障的情况下不会对整个网 络造成冲击 保证核心 骨干设备在出问题的时候能够无缝的恢复或切换 这些都是华山 医院网络系统建设的最根本需要 2 3 网络传输性能需求网络传输性能需求 目前华山医院的应用系统主要是以 HMIS 医院管理信息系统 和 CIS 临床信息系统 为主 各种系统对网络的性能都有不一样的需要 管理信息系统的应用主要是以文字 图表和简单的图形信息为主 虽然信息量不大 但是对于基础架构的可靠性和安全性需要较高 对服务质量也有一定的要求 临床信息系统的应用内容则较为丰富 除了一般文字信息外 医疗应用数据包含大量 的图形 视频和语音信息 要求安全 可靠 保证服务质量和高性能 需要同时支持语音 视频和数据等多种业务 又要方便以后的扩展 在某些关键应用上 对于服务质量 高性 能 高可用性都提出了很高的要求 以华山医院重要的 PACS 医学图像传输存储系统 为例 在建设了 PACS 系统之后 堆积如山的胶片 病历档案都没有了 但是在网络上的数据量却在急剧增长 海量存储和 数据浏览就成为必须解决的问题 在计算机中一页文字资料仅占几千字节 Kb 而一张 数字化的 X 线片将产生上百万字节 Mb 的信息量 这就是所谓的 兆字节问题 在华 山医院每天的信息量中 有大量的信息是 PACS 系统的数据 医院对于这些 TB 数量级的 数据需要经常的进行调阅 对于网络系统 必须有强大的数据传输能力 2 4 网络系统安全性需求网络系统安全性需求 华山医院信息系统的安全性包括实体安全 网络安全 传输安全 用户安全 卫生部 新 规范 重点强调了系统的可靠性和安全性问题 要求门诊系统恢复时间在 5 10 分钟 之内 系统支持 7 24 小时工作 关键设备必须有备份系统 一般网络和服务器等硬件设 备在 2 3 年之内不易出现故障 这使人们容易心存侥幸 一旦关键设备发生故障 又没有 备用设备或备用链路 将造成重大损失 目前 网络系统中蠕虫病毒 扫描攻击 DDOS 等攻击越来越普遍 而这些攻击将直 接导致网络系统瘫痪和中断 给医院的正常业务开展造成非常严重的影响 例如 单台主 机在进行扫描攻击的时候 可以瞬间将门诊收费的主干网络设备的系统资源占满 造成门 诊收费等系统无法正常通信 严重时还将造成全网主干系统数据传输缓慢或中断 因此 病毒是目前比较严重的问题 尤其是网络病毒和网络攻击型病毒 防范十分困难 如何通 过有效的手段控制和防御网络病毒的攻击 是华山医院在进行网络建设时必须思考的问题 华山医院的内部信息主要是以病人的病例 处方和医嘱等信息为主 而医院是有义务 保障病人的信息安全 保证病人的病例 处方和医嘱信息不被没有必要的部门或人员查看 同时也要保证信息不能外传 华山医院的信息必须要被保存 7 21 年甚至更长时间 因此 如何保证整个系统的保密性 完整性 可用性 可审核性也是华山医院信息系统安全性的 一部分 2 5 网络系统管理需求网络系统管理需求 随着华山医院信息化建设的不断完善 医院网络的规模也在不断的扩展 如何及时有 效的发现网络中的异常流量 如有有效的控制网络设备 如何及时的对异常网络设备进行 第 3 页 共 20 页 远程控制 这一些列的网络管理和维护问题都必须在网络建设的初期考虑 针对华山医院里网络技术人才相对匮乏的现状 网络建设在安全可靠的基础上 尽量 降低网络的复杂度 便于日后的管理维护 2 6 无线网络需求无线网络需求 无线局域网的应用 使华山医院信息网络更加灵活 而且能够经济 快捷的实现无缝 覆盖 在需要频繁上网设备的病房 在网络终端不固定的会议室等区域 无线网络都是理 想的选择 配合无线掌上电脑 可以实现很多适合医院应用的无线接入服务 华山医院临床医学信息系统 突出体现的就是 以病人信息为核心 以病人诊疗过程 为主线 的理念 目前华山医院使用的包括 病房医生站 门诊医生站 病房护士站 病 人床旁移动信息站 包括医生和护士 临床检验分析系统等等 这些信息化系统的配合 使用 使得医护人员在医院中可以随时随地获取病人的最新信息 做出快速反应处理 紧 密跟踪治疗过程 大大提高了医院的诊疗效率和缩短了病人等待的周期 相比原有的医院 信息化的数据整理 采集和录入以及处理都是建立在固定点的基础上 移动信息化系统 表现出其灵活 快捷 实时等多项优势 对固定信息站的工作起到了必不可少的补充作用 基于 无线网络 的平台 让移动信息系统 BMIS 的功能充分的发挥了出来 医护 人员可以借助它大力协助自己在病人身边治疗护理的工作 它是一个移动信息中心 用户 可以随时对数据进行查阅 浏览 记录 采集 传输等处理 还同时实现了人机交流和人 人交流 BMIS 运用科技手段 帮助医院节省大量的人力物力财力 提高医院在病患中的 服务形象和科技形象 真正实现 无纸化 对医院的信息化发展而言是必不可少 势在必 行的环节 2 7 远程接入需求远程接入需求 远程医疗和医院间的学术交流 专家会诊等正在迅猛发展 我国的远程医疗近几年发 展迅速 一些著名的医学院校 医院都建立了远程会诊中心 通过广域网的数据传输 不 仅可以让病人在家中得到及时诊断 对于一些重症病患者 还可以通过远程专家会诊等方 式提出有效的医疗方案 同时 每个医院都在设立自己的资源中心 例如 电子书库等等 特别是一些医药大 学的附属医院 对于资源中心的部署作为资源建设的重点 但是 对于一些特殊的医学资源 例如 患者的病历信息 医药学文献 医院内部的 行政信息等等 这些信息在需要被医院以外的特殊用户访问的同时 其安全性和保密性要 得到最高的保证 因此 如果有效的为医院外部特殊用户提供安全保密的信息是我们在进 行医院远程网络接入中需要考虑的重点 华山医院的广域网应用越来越多 而怎样实现高速安全的广域网数据传输是进行局域 医疗卫生服务系统 GMIS 建设的重点 2 8 总结总结 后期华山医院的网络建设的目标是建设一个集各种数字化医疗设备和器械为一体的综 合数字医疗系统 而网络平台作为这些数字应用的基础设施 成为数字化建设首先考虑的 重点 如何建设一个稳定 可靠 安全 应用集中的综合业务网络平台 是华山医院信息 化建设的根本出发点 3 拓扑及拓扑及 IP 和路由规划和路由规划 3 1 拓扑设计及描述拓扑设计及描述 医院的内部局域网非常重要 由于医院的所有业务均依赖医院内部局域网运行 所以 应对内部局域网进行全面重点设计 第 4 页 共 20 页 华山医院的内网将能覆盖医院全部功能区 目前华山医院有门诊楼 放疗 急诊楼 和新修大楼等 在本次网络建设中 根据实际应用和长远设计 以保证网络的稳定性 可 靠性 高速 高安全 可扩充性为前提 采用三层结构的网络 分为核心层 汇聚层和接 入层 医院内部局域网核心交换机配备万兆双机热备 通过设备和万兆链路的双冗余备份 和负载均衡实现网络的高可靠性和稳定性 通过核心与汇聚设备之间的万兆链接提升医院 网络整体性能 各楼层接入交换机采用单台或堆叠的形式 提供 10 100 1000M 自适应的桌 面接入能力和 1000M 上联能力 接入交换机均通过光纤连接所属楼层的汇聚交换机或核心 交换机接入医院内部局域网 并且为了实现万兆核心 千兆支干 千兆交换桌面以及各楼 层直接与一楼的中心机房经过万兆单膜光纤互联的需求 在各个楼层均作为汇聚节点 双 万兆上联到两台核心 同时为业务备份冗余考虑 规划组建备份数据中心 3 1 1 核心层设计核心层设计 医院的网络中心作为全网的心脏 向医院的应用业务系统源源不断的提供安全的信息 血液 保证整个医院信息系统的可靠运行 因此 作为整个网络平台的神经中枢 网络核 心层是全网数据传输的中心 不仅要保证 7 24 小时的稳定运行 各种应用服务器的数据能 够被稳定可靠的传输到终端系统 同时 还要协调全网的数据流量和访问策略 在提供信 息服务的同时 保证网络中心自身的安全 在网络的可靠性和稳定性保障方面 网络核心设计采用 2 台十万兆核心交换机互为容 错备份 并在核心交换机中采用关键模块冗余设计 如双电源冗余等 双核心网络设计架 构 为医院网络提供了高稳定性和可靠性的数据传输平台 同时 提供了一种能够 自愈 网络链路或设备的单点故障的网络架构 保证了医院网络能够提供 7 24 小时高速稳定的数 据传输 为医院提供健壮的数据传输神经中枢 同时 从医院业务发展角度考虑 因此对 核心交换机的性能也有非常高的要求 根据可靠性 稳定性 扩展性 性能上的分析 网络核心建议选用两台高性能的锐捷 高密度多业务 IPv6 核心路由交换机 RG S8610 两台核心设备之间采用双链路千兆链接 提供高速通道 第 5 页 共 20 页 RG S8610 拥有 10 个扩展槽 提供管理模块冗余 支持万兆 千兆和百兆模块线速转 发 未来可扩展十万兆 RG S8610 交换机高达 3 2T 的背板带宽和 1190Mpps 的二 三层包 转发速率可为用户提供高速无阻塞的线速交换 强大的交换路由功能 为医院网络用户提 供超强的数据处理能力 同时 RG S8610 支持负载均衡 冗余备份 QOS ACL 策略路由 防 DDOS 攻击 非法数据包检测 数据加密 防源 IP 欺骗 防 IP 扫描等强大的功能 同时板卡支持分布 式处理和热插拔 是医院核心交换机的理想选择 3 1 2 汇聚层 接入层设计汇聚层 接入层设计 汇聚 接入层采用双链路连接 构成一个环路架构 启用 VRRP 或 RSTP MSTP 协 议等技术 VRRP 协议通过在两台互备份的交换机上对每个 VLAN 用户提供一个统一的虚 拟网关 IP 地址 相应 VLAN 用户设置 PC 网关地址时就设置成为该虚拟网关 IP 用户工作 时并不用关心真正负责数据传输的交换机 在真正负责用户数据传输的交换机出现故障时 VRRP 协议可以自动地把用户数据的转发工作转移到另一台交换机 不仅实现了主机间的 备份功能 而且不必更改用户的网络设置 RSTP MSTP 等技术在二层上造成网络环路的 链路将逻辑失效 网络环路被消除 而在负责数据传输的活动链路失效以后又可以激活先 前逻辑失效的链路 保障数据的正常传输 提供冗余备份功能 全网架构 核心层双万兆链路交换系统不存在单点故障 是一种高级别交换完全冗余 的容错方案 这样即使其中一条链路断线或一个主干交换机发生故障 都能在用户觉察不 到的极短的时间内启用备份恢复数据传递 从而保证网络系统的高可靠性 稳定性的运行 考虑到接入信息点集中 同时医院的应用多元化 PACS 系统大流量高性能的需求 要求接入层的设备具有端口高密度和设备的高性能 高安全 多功能的特点 采用 RG S2900 全千兆智能接入交换机 该系列交换机支持万兆扩展和万兆冗余堆叠 满足了网络 流量成倍提高和多媒体业务的迅速增长的需要 在提供高性能 高带宽的同时 S2900 交 换机提供智能的流分类 完善的服务质量 QoS 和组播应用管理特性 并可以根据网络 的实际使用环境 实施灵活多样的安全控制策略 有效防止和控制病毒传播和网络攻击 控制非法用户接入和使用网络 保证合法的用户合理化地使用网络资源 充分保障了网络 高效安全 网络合理化使用和运营 RG S2900 系列交换机特有的 CPU 保护控制机制 对发送到 CPU 的数据进行带宽控制 以避免非法者对 CPU 的恶意攻击 充分保障了交换机的安全 RG S2900 系列交换机为方便不同管理员的使用习惯 提供了多种形式的管理工具 如 SNMP Telnet Web 和 Console 口等 RG S2900 系列交换机以极高的性价比为各类型网络提供高性能 完善的端到端的 QoS 服务质量 灵活丰富的安全策略管理 众多的功能特别适合在医院的应用 RG S5750 系列是锐捷网络推出的融合了高性能 高安全 多智能 易用性的新一代万 兆机架式多层交换机 该系列交换机接口形式和组合非常灵活 可提供 24 个 10 100 1000M 自适应的千兆电 口 和灵活复用的高密度千兆 SFP 光纤连接 满足网络建设中不同介质的连接需要 同时 为满足网络的弹性扩展 和高带宽传输需要 可灵活弹性扩展多种类型的万兆模块 特别适合高带宽 高性能和灵活扩展的大型网络汇聚层 中型网络核心 以及数据中 心服务器接入的使用 RG S5750 可作为门诊大楼汇聚交换机 汇聚大楼内所有节点及数据 同时 采用双万 兆链路链接医院核心交换机 提供高速通道 为门诊大楼的业务开展打下坚实的基础 3 1 3 出口网络设计出口网络设计 华山医院有到医保 社保 干保 银行的业务对接 内网在出口处需要强大的路由策 略支撑能力和强大的安全防护能力 配置一台 RG RSR50 可信多业务路由器 实现完备路由 策略支撑能力 为了保障出口安全性 在出口加入一台 RG WALL2000 防火墙 防火墙工 作在透明桥模式 路由器承担 NAT 功能 这种部署方式的优点在于防火墙重点任务是完成 过滤规则的安全访问控制 而将其工作在透明桥模式 使得网络结构更清晰明了 尤其是 在网络测试和性能分析是可以临时把防火墙撤掉而不用修改网络的逻辑结构 也不需要修 改其他网络设备的配置 方便管理员的维护管理 第 6 页 共 20 页 为了让远程用户能够进入到内网访问内网资源 在出口路由器上需要配置 VPN 为了 最大程度地达到安全性 选用 IPsecVPN 技术 3 2 IP 和和 VLAN 设计设计 3 2 1VLAN 设计设计 在医院内部网络的整个网络规划当中 VLAN 的划分是非常重要的部分 很好的利用 VLAN 技术的功能 能起到事半功倍的效果 对整个网络的性能也是事关重要的 主要突 出为以下几点 VLAN 划分 可以避免广播风暴 在骨干网络中尤为突出 在多媒体 视频点播等很 容易引起广播信息 划分之后 VLAN 是广播只在子网中进行 不会做无意义的广播 消 除了广播风暴产生的条件 VLAN 划分 可以增加网络的安全性 在不同的 VLAN 之间不能随意通讯 只限与本 子网间通讯 不会对其他的子网产生干扰 要进行访问 需要通过三层交换 这样信息流 就得到相当好的控制 网络管理系统采用完全独立的 IP 子网和 VLAN 实现更加安全的对所有网络设备进行 管理 建立 VLAN 和 IP 子网的对应关系 提高管理效率 实现虚拟的工作组 减少站点的移动和改变的开销 VLAN 间的子网访问 可以在三层交换机上实现 子网间的通讯也可以在汇聚设备上 实行 分流核心交换机的三层交换 优化了组网 根据以往网络管理经验和江都人民医院内部网络建设的实际情况 方案建议 VLAN 划分规划以 灵活划分 方便管理 为基本原则 以不同的使用群体为 VLAN 范围划分 这样划分 VLAN 的好处有 1 方便管理 为了更改得进行 VLAN 规划的实施 因此在网络实施前期 要对网络 中不同区域的 VLAN 设置进行详细的规划 细化的第三级网络 方案建议江都人民医院内 部网络划分 VLAN 方式前进行详尽规划 这样既可以减少广播域 又达到划分 VLAN 方 便管理的效果 对于后期网络维护和升级具有十分现实的意义 2 易于实施 按群体划分 VLAN 在工程实施中就十分的方便 不会造成 VLAN 划分 复杂失误而使得网络出现不通的现象 便于工程快速实施和网络中心整体规划 3 VLAN 间路由采用三层交换设备进行 VLAN 路由 以便不同 VLAN 间进行访问 对于某些重要网络资源 需要进行权限访问的时候 建议采用 ACL 来进行访问权限设定 保障重要资料不被非法访问 从上述情况分析 建议华山医院 VLAN 划分以按照业务类别加楼层进行规划 每个业 务类别可跨越多个楼层 各个楼层之间相互独立 即方便管理 有利于汇聚之后做流量管 理 VLAN 号由业务类别 楼层号构成 比如 1 楼的门诊部为 101 1 为门诊部类的 VLAN 01 为楼层号 VLAN 规划如下表 vlanvlan 规划规划 业务类别类别 ID楼层 VlanID 远程 VPN 100100 门诊 201201 服务器 301301 01401 02402 03403 设备互联 4 04404 01501 02502 03503 病房医生站 5 04504 病床 601601 第 7 页 共 20 页 02602 03603 04604 01701 02702 03703 语音电话 7 04704 01801 02802 03803 视频会议 8 04804 01901 02902 03903 保留 9 04904 3 2 2 IP 划分划分 IP 地址的合理分配及使用是保证网络顺利运行和网络资源有效利用的关键 与网络拓扑结构 路由策略有非常密切的关系 将对互联网的可用性 可靠性 与有效性产生显著影响 通常合理的地址规划是使连续的地址尽量集中在一个区域内 因此 IP 地 址应被分配一段连续的地址 更进一步 连接进某一区域的节点的 IP 地址范围 应集中在该区域的地址范围附近 IP 地址规划遵循以下原则 1 IP 地址的规划与划分应该考虑到互联网业务的飞速发展 能够满足 未来发展的需要 既要满足本期工程对 IP 地址的需求 同时又要充分考虑未来 业务发展 预留相应的地址段 2 IP 地址的分配需要有足够的灵活性 能够满足各种用户接入的需要 3 地址分配应由业务驱动 按照业务量的大小分配各地址段 4 IP 地址的分配采用 VLSM 技术 保证 IP 地址的利用效率 5 采用 CIDR 技术 这样可减小路由器路由表的大小 加快路由器路由 的收敛速度 也可减小网络中广播的路由信息的大小 6 充分合理利用已申请的地址空间 提高地址的利用效率 7 企业的内部可使用内部保留地址 不占用共有 IP 资源 可以采用私 有 IP 地址的实现的服务 在地址不足的情况下可使用保留 IP 地址 规划如下 表 IPIP 规划规划 业务类别楼层 VlanID 网段网关地址汇总地址 第 8 页 共 20 页 远程 VPN 0010010 1 0 0 2410 1 0 1 2410 1 0 0 16 门诊 0120110 2 1 0 2410 2 1 1 2410 2 0 0 16 服务器 0130110 3 1 0 2410 3 1 1 2410 3 0 0 16 0140110 4 1 0 2410 4 1 1 24 0240210 4 2 0 2410 4 2 1 24 0340310 4 3 0 2410 4 3 1 24 设备互联 0440410 4 4 0 2410 4 4 1 24 10 4 0 0 16 0150110 5 1 0 2410 5 1 1 24 0250210 5 2 0 2410 5 2 1 24 0350310 5 3 0 2410 5 3 1 24 病房医生站 0450410 5 4 0 2410 5 4 1 24 10 5 0 0 16 0160110 6 1 0 2410 6 1 1 24 0260210 6 2 0 2410 6 2 1 24 0360310 6 3 0 2410 6 3 1 24 病床 0460410 6 4 0 2410 6 4 1 24 10 6 0 0 24 0170110 7 1 0 2410 7 1 1 24 0270210 7 2 0 2410 7 2 1 24 0370310 7 3 0 2410 7 3 1 24 语音电话 0470410 7 4 0 2410 7 4 1 24 10 7 0 0 24 0180110 8 1 0 2410 8 1 1 24 0280210 8 2 0 2410 8 2 1 24 0380310 8 3 0 2410 8 3 1 24 视频会议 0480410 8 4 0 2410 8 4 1 24 10 8 0 0 24 0190110 9 1 0 2410 9 1 1 24 0290210 9 2 0 2410 9 2 1 24 0390310 9 3 0 2410 9 3 1 24 保留 0490410 9 4 0 2410 9 4 1 24 10 9 0 0 24 3 3 路由设计路由设计 3 1 1 动态路由协议动态路由协议 采用 OSPF 它是一种链路状态协议 区别于距离矢量协议 RIP OSPF 具有支持大 型网络 路由收敛快 占用网络资源少等优点 在目前应用的路由协议中占有相当重要的 地位 区域划分如下图 第 9 页 共 20 页 图 8 OSPF 区域划分图 两台核心交换机跟有线汇聚交换机直连区域组成了骨干区域 AREA 0 1 至 9 楼汇聚 交换机划分为区域 1 11 至 18 楼汇聚交换机划分区域为区域 2 服务器区划分区域为区域 3 这样保证了 OSPF 的区域合理划分 划分区域的好处 减少 SPF 算法的计算量 使得拓扑发生变化的时候就在本区域就进行 SPF 计算 减小 了 OSPF 路由器的 LSBD 量减小了路由器的资源消耗 并且划分区域以后可以在 ABR 上面 汇总路由 使得路由表更加精简提升路由器工作效率 本次方案设计的时候将核心 1 路由器设置成 OSPF DR 将核心 2 设置成 BDR 将其 余所有的汇聚设备的 OSPF 优先级修改成 0 防止汇聚设备参与 DR BDR 的选择 将核 心 A 的优先级设置成 254 核心 B 的优先级设置成 200 将所有的 OSPF 的默认参考带宽修 改成 10GB 不修改任何线路的 COST 让汇聚到核心的时候通过 OSPF 实现了负载均衡 在一条链路出现故障或者是其中一台核心设置出现了故障的时候通过 OSPF 自动实现冗余 保证了网络的高性能和冗余性 3 3 2 静态路由静态路由 核心交换机需要一条静态默认路由指向出口路由器 出口路由器需要一条静态路由指 向核心 在出口路由器上根据社保 医保 干保 银行四个 VPN 的不同 IP 分别添加相应 的静态路由条目 4 安全设计安全设计 4 1 外联出口安全设计外联出口安全设计 为了保障外联网出口安全防护 在方案中 我们采用了锐捷 RG WALL2000 高性能 防火墙作为出口安全设备 RG WALL2000 能够全面防御基于 TCP UDP 和其他协议报文的 IP 畸形包攻击 IP 假冒 TCP 劫持入侵 SYN flood Smurf Ping of Death Teardorp Land Ping flood UDP Flood 等 DoS DDoS 攻击 保障服务器群不受到来自 internet 的 DoS DDoS 攻 击 RG WALL2000 能够支持 2 7 层的数据流深度检测功能 能对 IM QQ MSN 雅虎 MSN P2P BT Emule Edonkey 等协议提供智能识别和限制 提供 第 10 页 共 20 页 URL Email TELNET FTP 等第 7 层内容过滤功能 Active X Java Scripts Java Applet 和 Cookie 净化出口带宽 保障出口带宽的有效利用 4 2 服务器区安全设计服务器区安全设计 为了保障重要服务器群的安全 在核心交换机旁路设置一台 RG IDS2000 高性能入侵 检测系统 通过分析镜像服务器区的数据流量 分析资源中心访问流量 及时发现非法攻 击入侵数据流并与内网安全管理系统 GSN 中的 SMP 联动 通过预先设定的策略自动的对 相应数据控制处理 通过旁路 IDS 的入侵检测 不但可以及时的发现非法攻击入侵 同时 低误报率不会影响数据交换的正常速度 在最大程度提供对内服务的同时 最及时的对数 据中心服务器群进行安全防护管理 4 3 内网安全设内网安全设计计 针对网络漏洞的增加 病毒的频繁爆发 如今 80 的网络安全事件来自于内部安全事 件 如何作好网络内部用户的安全控制 成了每一个网络安全人员的重大问题 而锐捷网 络针对此种情况 推出了 GSN 全局安全网络解决方案 GSN 由锐捷安全交换机 锐捷安全客户端 锐捷安全管理平台 锐捷安全计费管理系 统 网络入侵检测系统 安全修复系统等多重网络元素组成 实现同一网络环境下的全局 联动 使网络中的每个设备都在发挥着安全防护的作用 构成 多兵种协同作战 的全新 安全体系 GSN 通过将用户入网强制安全 统一安全策略管理 动态网络带宽分配 嵌入 式安全机制集成到一个网络安全解决方案中 达到对网络安全威胁的自动防御 网络受损 系统的自动修复 同时可针对网络环境的变化和新的网络行为自动学习 从而达到对未知 网络安全事件的防范 RG S8610 S5750 S2900 采用硬件方式提供多种安全防护能力 例如防 DoS 攻击 非 法数据包检测 数据加密 防源 IP 地址欺骗等等 避免了传统软件实现方式对整机性能的 影响 RG S8610 S5750 S2900 提供业界最为强大的 ACL 特性 基于 SPOH 技术提供 IP 标 准 IP 扩展 MAC 扩展 时间 专家级等丰富的 ACL 技术 RG S8610 S5750 S2900 支持同时启用多组的多端口同步监控技术 并且支持灵活的 输入 输出 双向数据镜像 满足灵活的网络监控需求 提升网络监控能力 5 实践配置实践配置 5 1 实践配置拓扑图实践配置拓扑图 实践采用 Cisco Packet Tracer GNS3 某些配置在 Packet Tracer 上不能实现的 使用 GNS3 实现 以 1 楼的设备为例 拓扑图如下 第 11 页 共 20 页 5 2 基础配置 基础配置 配置设备名称 配置基本的 IP 地址和 VLAN Router config ho Out Router Out Router config if ip add 10 4 1 1 255 255 255 0 Out Router config if no sh Out Router config if int fa0 1 Out Router config if ip add 10 4 2 1 255 255 255 0 Out Router config if no sh Distrib SW1 config vlan 201 Distrib SW1 config vlan name Menzheng Distrib SW1 config vlan 501 Distrib SW1 config vlan name BingfangYisheng Distrib SW1 config vlan vlan 601 Distrib SW1 config vlan name BingFang Distrib SW1 config vlan vlan 701 Distrib SW1 config vlan name voice Distrib SW1 config vlan vlan 801 Distrib SW1 config vlan name vedio Distrib SW1 config vlan 400 Distrib SW1 config vlan name Guanli 5 3 路由配置路由配置 Out Router config router os 1 Out Router config router net 10 4 1 1 0 0 0 0 a 0 Out Router config router net 10 4 2 1 0 0 0 0 a 0 第 12 页 共 20 页 Out Router config router default information originate Out Router config ip route 0 0 0 0 0 0 0 0 fa1 0 Out Router config ip route 0 0 0 0 0 0 0 0 fa1 0 20 5 4 生成树配置生成树配置 Distrib SW1 config spanning tree mode rapid pvst Distrib SW1 config spanning tree vlan 201 root primary Distrib SW1 config spanning tree vlan 401 root primary Distrib SW1 config spanning tree vlan 501 root primary Distrib SW2 config spanning tree mode rapid pvst Distrib SW2 config spanning tree vlan 601 root primary Distrib SW2 config spanning tree vlan 701 root primary Distrib SW2 config spanning tree vlan 801 root primary 5 5 冗余网关配置冗余网关配置 Distrib SW1 config int vlan 400 Distrib SW1 config if ip address 10 4 0 1 255 255 255 0 Distrib SW1 config if vrrp 1 ip 10 4 0 1 Distrib SW1 config int vlan 201 Distrib SW1 config if ip add 10 2 1 1 255 255 255 0 Distrib SW1 config if vrpp 1 ip 10 2 1 1 Distrib SW1 config if int vlan 501 Distrib SW1 config if ip add 10 5 1 1 255 255 255 0 Distrib SW1 config if vrrp 1 ip 10 5 1 1 5 6DHCP 配置配置 Distrib SW1 config ip dhcp pool vlan201 Distrib SW1 dhcp config network 10 2 1 0 255 255 255 0 Distrib SW1 dhcp config dns server 8 8 8 8 Distrib SW1 dhcp config default router 10 2 1 1 Distrib SW1 config ip dhcp excluded address 10 2 1 1 Distrib SW1 config ip dhcp pool vlan501 Distrib SW1 dhcp config network 10 5 1 0 255 255 255 0 Distrib SW1 dhcp config dns server 8 8 8 8 Distrib SW1 dhcp config default router 10 5 1 1 Distrib SW1 config ip dhcp excluded address 10 5 1 1 5 7ACL 配置配置 Access Sever config access list 1 deny 10 2 1 1 0 0 255 255 Access Sever config access list 1 permit any Access Sever config int fastEthernet 0 1 Access Sever config if ip access group 1 in Access Sever config if int fa0 2 Access Sever config if ip access group 1 i Access Sever config if ip access group 1 in 5 8NAT 配置配置 Out Router config int fa0 1 Out Router config if ip nat inside Out Router config if int fa0 2 Out Router config int fa0 0 Out Router config if ip nat inside Out Router config int fa1 0 Out Router config if ip nat outside Out Router config access list 1 permit any Out Router config ip nat inside source list 1 interface fastEthernet 1 0 overload Out Router config ip nat inside source static tcp 10 3 1 2 80 12 1 1 2 80 第 13 页 共 20 页 5 9VPN 配置配置 Out Router config vpdn enable Out Router config vpdn source ip 12 1 1 1 Out Router config vpdn group pptp Out Router config vpdn accept dialin Out Router config vpdn acc in protocol pptp Out Router config vpdn acc in virtual template 1 Out Router config int lo0 Out Router config if ip add 10 1 1 1 255 255 255 0 Out Router config interface Virtual Template 1 Out Router config if ppp authentication pap Out Router config if ip unnumbered Loopback 0 Out Router config if peer default ip address pool vpn add Out Router config if exi Out Router config ip local pool vpn add 10 1 1 2 10 1 254 254 5 10 802 1X 配置配置 Access sw1 config if dot1x port control auto 6 实验测试实验测试 6 1DHCP 验证验证 6 2STP 验证验证 Distrib SW1 sh spanning tree VLAN0201 Spanning tree enabled protocol ieee Root ID Priority 32969 Address 0000 0CE8 9A5A Cost 19 Port 27 Port channel 1 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32969 priority 32768 sys id ext 201 Address 0001 973A C409 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio Nbr Type Fa0 3 Desg FWD 19 128 3 P2p 第 14 页 共 20 页 Fa0 4 Desg FWD 19 128 4 P2p Fa0 5 Desg FWD 19 128 5 P2p Fa0 6 Desg FWD 19 128 6 P2p Fa0 7 Desg FWD 19 128 7 P2p Fa0 8 Desg FWD 19 128 8 P2p Po1 Root FWD 19 128 27 Shr VLAN0601 Spanning tree enabled protocol ieee Root ID Priority 25177 Address 0000 0CE8 9A5A Cost 19