计算机组网技术毕业论文

浙江教育学院毕业设计I摘要随着医院信息化水平的提高，医院网络用户的数量和网络应用的种类在不断增加，而网络的带宽和安全问题已成为医院信息化发展的瓶颈，如何在现有网络的基础上，构建杭州市二医院第二代高速、安全、可靠的网络系统是本文的主要内容。本文首先对杭州市二医院的网络系统现状进行了分析，提出了现有网络的主要问题及新建网络的设计思想，设计出具体的网络改造实施方案，方案中应用了千兆以太网、第三层交换、VRRP（虚拟冗余路由协议）、负载均衡和虚拟局域网VLAN等技术。然后根据设计方案对医院网络实施了改造，使医院网络主干由百兆升级成千兆，由二层交换的网络架构升级为三层交换。运行结果表明，网络性能达到了预期的设计目标,网络的速度、可靠性和安全性大为提高，网络的扩展能力满足了医院今后较长时间内对网络的需求,极大地支持了医院的信息化建设。关键词网络改造，千兆以太网，第三层交换，VLAN杭州市二医院第二代网络建设IIABSTRACTALONGWITHHOSPITALTHEEXALTATIONOFTHEINFORMATIONBASEDLEVEL,THEQUANTITYANDNETWORKOFTHEHOSPITALNETWORKCUSTOMERTHEAPPLIEDCATEGORYBEINCREASINGCONTINUOUSLY,BUTTHEBANDWIDTHANDSAFEPROBLEMOFTHENETWORKHAVEBECOMEANINFORMATIONBASEDDEVELOPMENTOFHOSPITALOFBOTTLENECK,HOWTHEFOUNDATIONINEXISTINGNETWORK,SETUPHANGZHOUCITYTWOTHEHOSPITALTHENEXTGENERATIONHIGHSPEED,SAFETY,THEDEPENDABLENETWORKSYSTEMISATEXTUALANDMAINCONTENTSTHISTEXTFIRSTTOHANGZHOUCITYTWONETWORKSYSTEMPRESENTCONDITIONOFTHEHOSPITALSCARRIEDONANALYSIS,PUTTINGFORWARDTHEKEYPROBLEMOFTHEEXISTINGNETWORKANDSETTINGUPTHEDESIGNTHOUGHTOFTHENETWORKLATELY,DESIGNINGACONCRETENETWORKREFORMATIONIMPLEMENTPROJECT,APPLYINGTHOUSANDTRILLIONETHERNETSINTHEPROJECT,THETHIRDLAYEREXCHANGE,THEVRRPVIRTUALREDUNDANCYROADFROMAGREEMENT,LOADAREANETVLANINBALANCEDANDVIRTUALBUREAUETCTECHNIQUETHENCARRIEDOUTAREFORMATIONTOTHEHOSPITALNETWORKACCORDINGTOTHEDESIGNPROJECT,MAKETHEHOSPITALNETWORKLORDTHESTEMISGETSTRIPEBY100TRILLIONSTHOUSANDTRILLIONS,THENETWORKSTRUCTUREEXCHANGEBYTWOLAYERSGETSSTRIPETOTHREELAYERSTOEXCHANGECIRCULATETHERESULTENUNCIATION,THENETWORKFUNCTIONCOMESTOANANEXPECTATIONOFDESIGNTARGET,THESPEED,CREDIBILITYANDSAFETYOFTHENETWORKGREATLYINORDERTORAISE,THENETWORKEXPANDEDANABILITYTOSATISFYAHOSPITALTOWILLCOMPARELONGTIMEFROMNOWONINSIDETOTHENEEDOFTHENETWORK,SUPPORTEDTHEINFORMATIONBASEDCONSTRUCTIONOFTHEHOSPITALBIGGESTKEYWORDTHENETWORKREFORMATION,THOUSANDTRILLIONETHERNETS,THETHIRDLAYEREXCHANGE,VLAN浙江教育学院毕业设计III引言杭州市第二人民医院是杭州城北一所融医疗、科研教学、预防保健为一体的三级乙等综合性医院。医院信息化管理始于上世纪90年代，主要经历了三个阶段单机系统；以FOXPRO为开发平台的DOS系统；建立在ORACLE数据库上以WINDONS为界面的现代医院管理系统。虽然信息系统经过了多次升级，但网络结构一直未进行彻底的改造。医院改造前网络拓扑图如图1所示图1改造前医院的网络拓扑图服务器采用双机容错工作方式，并共享磁盘阵列，心跳线相连，相互监测各自的状态，当主服务器不能提供服务时，备份服务器自动接替主服务器工作。医院的网络中心设在门诊大楼的六楼，而综合楼作为中转站通过唯一的一根光纤与中心相连，儿科楼、外科楼、内科楼、药剂楼通过双绞线连到综合楼，药剂楼再通过双绞线与食堂和总务楼相连，外科楼与急诊楼也通过双绞线相连，如此构筑成全院网络。全院均采用非网管10/100兆交换机，信息点有200多个，网杭州市二医院第二代网络建设IV络层次已达到45级。还有部分网络设备为HUB。自从医院开始实施医院信息管理系统后，通过医院管理信息系统（HMIS）的建设和运用，强化医院的管理，提高医疗质量和工作效率，改进医疗服务；同时有助于医院很好地组织和利用医疗信息、管理信息。在体现先进的医院管理思想基础上，加强部门间的协调合作，为医院落实工作计划和决策提供重要依据，并进而建立起一套适应市场经济的现代化医院管理模式，使医院管理水平和医院综合效益得到质的飞跃。医院信息系统在医院的成功的实施离不开硬件平台，一个运行平稳的硬件平台可保证医院日常业务的运作，目前医院的HIS软件运行平台已基本平稳运行了三年多了，但随着医院新业务的扩大、医院规模的扩大、医院数据的膨胀及医院等级评申对IT业的新要求，这些都需要贵院对HIS硬件平台进行升级。医院数据是否安全HIS软件运行是否平稳这都与医院的服务器运行状态及网络设备性能相关，目前医院的服务器采用一台HPLH6000和一台HPML570服务器和一台豪威磁盘柜组成WINNT40集群系统，但随着医院数据的不断膨胀及医院业务不断扩大，豪威磁盘柜的容量及HIS软件运行速度成为医院信息管理系统的运行瓶颈，网络改造迫在眉睫。浙江教育学院毕业设计1第一章医院网络改造的需求分析11网络改造的范围杭州市第二人民医院为更好的适应现代化管理的需要，需建设包括门诊大楼、综合楼、小儿科楼、外科楼、药剂楼、内科楼、急诊楼等区域的计算机局域网系统。改造网络主干，使各主要楼骨干采用光纤，楼层内基本不进行改造，使医院达到主干1000MB，并100MB到桌面。医院各大楼信息点的需求情况如表11所示表11医院各大楼信息点的需求情况楼层从门诊楼到各楼间的距离（米）信息点需求量（个）备注门诊大楼0130计算机中心设在门诊大楼综合楼15020综合楼将部分改建为病房外科楼25045内科楼10025药剂楼20015总务楼30015设备病案临时搬到总务楼新急诊楼20022急诊搬入新楼佳园100022行政搬至佳园合计29412医院网络系统的特点1）稳定性强医院信息管理的应用系统是一种724小时的应用系统，包括挂号、收费、住院等，需要网络设备和服务器能保证724运行。2）系统负载大在医院每天上午病人较多的时候，整个网络系统的信息流量常常是猝发杭州市二医院第二代网络建设2的和巨大的，而这些信息流量中又大都是重要数据。这样的大流量的关键数据对网络设备和计算机设备的性能要求极高。3）安全性要求高医院的资金流量是极大的，因此，网络中所流动的数据都是和资金相关的极其敏感的数据，因此，任何数据的损坏和泄漏都会造成不可弥补的损失。由于这些特点，使得卫生行业的信息中心管理人员一直面临如下严峻的问题A系统可靠性问题服务器会不会当机网络设备会不会瘫痪B数据安全性问题服务器中的数据会不会丢失C灾难恢复问题如果发生服务器当机或磁盘损坏导致数据丢失后该采取何种对策D网络及服务器瓶颈问题当医院业务繁忙的时候，病人或医院工作人员总是抱怨程序太慢，出现人等计算机的现象，该如何解决E系统维护与管理问题随着计算机网络节点的增加和公司对整个网络系统的依赖性日益增强，如何对复杂的网络系统进行日常的维护和管理，及早发现问题、预防系统的灾难性事故。13医院网络系统的设计原则针对医院业务的特殊性，在进行整个业务系统计算机网络系统的设计中，必须考虑到以下几个方面的原则1高度的可靠性在整个网络系统的各个环节，包括网络通讯线路、网络服务器、个人工作站、网络设备、供电设备等都采用高可靠性的产品，对于关键的部件需要采用容错配置，严格避免因硬件故障导致整个系统的不正常运行，防止造成重大经济损失和不良社会影响，并且可以大大降低系统正常运行期间的维护费用。浙江教育学院毕业设计32优良的性能根据用户目前的情形和未来几年之内的发展规划，选择高负载能力的网络服务器和高速高带宽的网络设备，满足目前及未来发展的需要。3先进成熟的产品技术能够与现有的网络共存，保护用户在各个阶段的投资。4灵活性和可扩充性网络系统和服务器可以很容易地根据情况的变化进行调整，并且有充分的发展能力以适应未来网络范围扩大、站点增多以及业务升级的需要。5完善的监控、管理手段便于及早发现问题，及早解决。6高度的可用性容易安装、容易维护。7高性能/价格比杭州市二医院第二代网络建设4第二章医院网络系统相关技术介绍21千兆以太网技术千兆位以太网是以以太网技术发展的第三浪潮，它标志着以太网技术的发展已进入到一个新的阶段。千兆位以太网技术依赖于介质访问控制MAC层，而MAC层会影响网络的最大覆盖范围。1980年颁布的IEEE8023标准定义了10MBPS共享介质以太网的载波侦听多路访问碰撞检测机制（CSMA/CD），主要针对当时网上传输的只不过数据交换这一特点，即不需提供质量服务与服务优先级，网上所有节点访问网络的机会相等。CSMA/CD检测数据碰撞的距离为2公里，这一限制取决于最小尺寸以太帧（64字节）的传输时间与检测碰撞的能力。MAC层在检测到数据冲突后将发送一个拥护信号，通知发送节点重发广播数据。1994年颁布的IEEE8023U100BASET以太网标准与10MBPS相比，帧格式不变，不同是是传输速度提高了10倍。由于以太网技术的发展受限于如上规律数据传输率与传输距离之积为一恒定值。按此规律，100BASET的传输距离下降为200米，千兆位以太网的传输直径只能为20米，这显然不能满足实际需要。因此，千兆位以太网8023Z委员会必须建立一种机制，保证其碰撞域与100BASET相同。故8023Z委员会为千兆位以太网重新定义了MAC层，保证千兆位以太网在两个相距200米的节点同时传输数据时，能够检测碰撞，保证网络稳定可靠地运行。为了达到扩展网络直径的目的，千兆位以太网联盟GEA推出了两种方案，第一种就是载波扩展（CARRIEREXTENSION）技术。所谓载波扩展，即在100MBPS速度下传送64字节的时间内，要求千兆位以太网传输512字节。在此期间内，若千兆位以太网检测到数据碰撞，便发出一个拥挤信号，通知发送节点重发数据。关于千兆位以太网的传输介质目前已有1000BASELX提案标准，多模光纤传输距离为550米，单模光纤传输距离为3公里。8023Z工作组的1000BASELX技术规范为同处一室或同一机架上的低成本千兆位以太网所设计，即短距离铜线传输规范，规定高品质屏蔽双绞线传输距离25100米。千兆位以太网目前使用5类双绞线尚有一些困难，这主要是由于信号反射等问题还未得很好的解决。从理论上来讲，千兆位以太网可在5类铜缆上运行，其前提浙江教育学院毕业设计5是信号传输路径上不能有信号反射。当传输路径上有反射物体如RJ45时，会导致信号反射，在千兆位速度的情况下这种反射干扰会造成数据传输出错，其出错率要比100MBPS以太网高出10倍。当然可以使用高档数字信号处理来消除这种信号的反射，但其造价甚高。从目前来看，光纤仍是千兆位以太网唯一可靠的传输介质。千兆技术仍然是以太技术，它采用了与10M以太网相同的帧格式、帧结构、网络协议、全/半双工工作方式、流控模式以及布线系统。由于该技术不改变传统以太网的桌面应用、操作系统，因此可与10M或100M的以太网很好地配合工作。升级到千兆以太网不必改变网络应用程序、网管部件和网络操作系统，能够最大程度地投资保护，因此该技术的市场前景十分看好。22SPANNINGTREE技术许多交换机都支持SPANINGTREEPROTOCOL（STP），可以利用这一特性实现网络主干热备份。交换机之间有多条链路连接，形成网状结构，利用STP技术可以把网状结构变为树型结构。当主链路失效，备份链路自动切换为主链路，恢复过程只有23秒钟的延时，不影响系统运行。23链路聚合技术链路聚合技术是建立在IEEE8023全双工快速以太网标准之上的，它提供给网络设计和管理者一个可靠的高速骨干网解决方案。链路聚合技术提供以太网200MBPS到800MBPS主干网络带宽的扩展能力，目前已提供对千兆以太网的支持（即千兆光纤技术），这样可使网络主干可高达16G的超高速带宽。在SWITCH与SWITCH之间、SWITCH与ROUTER之间、SWITCH与服务器之间有多条链路连接，这几条链路可设定为一条逻辑链路，增加了网络主干的带宽，提高了端口的容错能力。24第三层交换技术把OSI七层协议中的第三层功能加入到交换机中，使具有路由功能交换机的结构由ASIC模式变为ASICRSIC模式，采用第三层交换技术组建的网状网具有以下特点消除广播风暴；杭州市二医院第二代网络建设6链路容错；最佳路径选择；多条链路可同时工作，做到不同链路间的负载平衡；具有路由器全部局域网功能且交换速度快。25VLAN技术VLAN技术能真正满足用户需求，其具有如下特点增加、移动和改变的简化；即插即用的易用性；广播域的维护；多协议支持；不依赖于局域网技术和拓扑结构；工作站、服务器或路由器接口可同时位于多个VLAN上；完全兼容现有的网卡、集线器、桥、路由器以及交换机；提供向新技术（如ATM）迁移的方法。26网络适配器的冗错和负载平衡技术AFT（ADAPTERFAULTTOLERANCE）技术是一种在服务器和交换机之间建立冗余连接的技术，亦即在服务器上安装两块网卡，一块为主网卡，另一块作为备用网卡，然后用两根网线将两块网卡都连到交换机上。AFT技术的基本工作过程是，当在WINDOWS2000服务器上装配两块网卡后，AFT技术就能把这两块网卡当作一个网卡工作组来对待，一块为主网卡，另一块为备用网卡。当主网卡工作时，智能软件通过备用网卡对主网卡及连接状态时刻进行监测，即采用一种发送特殊设计的“试探包”的方法来进行的监测。若连接失效，“试探包”便无法送达主网卡，智能软件发现此情况后，立即将工作（包括MAC网络地址）移交给备用网卡。由于所有配置信息是在瞬间转到备用网卡上的，网络用户不会察觉到有任何变化，同时也不会对服务器操作系统造成任何压力。AFT技术在服务器和网络之间建立的冗余连接可包括网卡、网线、集线器或交换机端口，一条连接用于服务器正常网络通信工作，另一条连接提供备用，为了提高网卡的可管理性，AFT一旦发现连接中有任何失效，便会发出报警信号，因而AFT具有出错恢复保障的高浙江教育学院毕业设计7可靠性。ALB（ADAPTERLOADBALANCING）技术是一种简单易行的可让服务器更多更快传输数据的好方法。该技术是通过在多块网卡之间平衡数据流量来增加吞吐量的，因为每增加一块网卡，就能增宽100MBPS的通道。另外，ALB还具有AFT同样的容错功能，一旦其中一条链路失效，其他链路仍可保障网络的连接。当服务器网卡成为网络瓶颈时，ALB技术无须划分网段，网络管理员只需在服务器上安装两块具有ALB功能的网卡，并把它们配置成ALB状态，便可迅速、简便地解决通道瓶颈问题。这种方法无需在客户端作任何设置，也不需要通过路由来实现客户之间的通信。另外，服务器上所有网卡之间的通信量是平衡的。与AFT一样，ALB在网卡驱动程序里带有智能软件，为了配合ALB工作，智能软件动态管理ALB网卡组，连续分析服务器各块网卡上的数据流量。对服务器来说，ALB网卡组中一条通道双向通信，其余的只向外发送。ALB可为网络客户提供同样的服务器响应等级。杭州市二医院第二代网络建设8第三章网络改造具体方案设计31网络拓扑结构图现在医院的网络拓扑图如图31所示图31现在医院的网络拓扑图32网络拓扑说明1布线工程改造医院主干网络，使整个主干达到1000MB。A从门诊楼中心机房到佳园相距有1公里，采用单模光纤；B从计算机中心分别引5根多模光纤到病房大楼、综合楼、新急诊楼、内科楼、药剂楼；C光纤均采用八芯，各光纤接入点分别通过双链路分别上行至主核心交换机和备份核心交换机，保证核心交换机与接入层交换机链路冗余。2服务器和交换机之间建立冗余连接的技术，亦即在主从服务器上安装两块千浙江教育学院毕业设计9兆光纤网卡，通过HP公司的网卡智能切换技术，把这两块千兆网卡当作一个网卡工作组来对待，与核心交换机实现1GB的连接速度，消除服务器端与交换机的速度瓶颈；由于两块网卡对外只提供一个IP地址，所有配置信息是在瞬间转移，网络用户不会察觉到有任何变化，同时也不会对服务器操作系统造成任何压力。AFT一旦发现连接中有任何失效，便会发出报警信号，因而AFT具有出错恢复保障的高可靠性，保证服务器与主干交换机724小时的连接。同时把这二块网卡配置成ALB状态，通过在二块网卡之间平衡数据流量来进一步增加吞吐量。3核心交换机采用安奈特SB4008与CLAYMORE9816GB，两台交换机间用二根光纤相连，利用VRRP（虚拟冗余路由协议）技术，将两台交换机组成双机热备系统，任何一台交换机或其中一台核心交换机的某个端口出现故障，另一台交换机均为自动接管原有任务，保证核心交换机724小时工作。4利用VLAN（虚拟局域网）技术对院内的网络进行分段，一个VLAN是一个逻辑网段（IP子网），它不受网络用户物理位置的限制。VLAN可以根据网络用户的业务需求或位置、作用、部门来进行分组。各逻辑子网间广播报文相互隔离并通过第三层的访问控制设置实现可管理的子网间的互相访问。通过划分VLAN，既解决了医院IP地址不够用之苦，又可消除网络风暴在整个网络中的传播，还能通过访问控制列表控制用户的访问权限，从而提高网络整体性能和安全性。5在各光纤接入点根据信息点的需求分别安置安奈特8326GB，8350GB交换机，利用2个GBIC模块与核心交换机进行双上链。门诊楼和病房大楼信息点较为密集，采用8350GB交换机，其余各楼由于信息点较少采用8326GB交换机，这二款交换机均为网管型10/100自适应堆叠交换机，可为将来的网络扩展实现无缝连接。在配置交换机时，可充分利用其基于端口的安全性设计对一些重要的部门（尤其是能上网的科室）进行MAC地址绑定，以确保网络的安全。6防火墙是目前实现网络信息安全的最有效的手段。它通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。它的主要功能是控制内部网络与外部网络的连接。利用它既可以阻止非法的连接和通讯，也可以阻止外部的攻击。本方案在INTERNET网的接入端与核心交换机之间配置防火墙，使其有效地监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的安全。杭州市二医院第二代网络建设1033网络设备功能介绍331核心交换机核心交换机的选择是网络设备中的重中之重。核心交换机要能提供强大的三层路由功能和强大的数据处理能力，能支持系统中所要求的各种新技术的应用，提供冗余电源，模块化设计，可根据实际需要配置相应的模块，并可为将来的扩充提供强有力的保证。我们选择安奈特SB4008多层交换机作为杭州市第二人民医院的核心交换机。安奈特SB4008多层交换机提供10槽机箱，提供了非常灵活广泛的模块接入能力，可支持各种百兆、千兆和万兆接口。提供强大的线速交换性能,在所有类型的端口上无阻塞的转发各种不同长度的L2,L3层数据，可提供高达640GBPS的交换矩阵和288MPPS的包转发速率，每组交换矩阵可支持多达232000条地址存储记录，完全满足目前各行业网络业务高速增长的需求。SB4008还有完善的网络安全策略，支持线速过滤、端口入侵检测、完善的ACL访问控制策略的定制，可以灵活控制用户对网络的访问；对SSH、SSL和SNMPV3的支持可作高度安全管理；可以依据端口、协议、IP子网以及MAC地址等划分VLAN，使得网络能够灵活调整以适应不断变化的安全状况；通过硬件实现对MAC和IP地址、SYN、ACK位的检测，保证了在线速交换的基础上部署全面的安全特性。选用安奈特AT9816GB作为主交换机的备份交换机，全千兆多层核心交换机提供全线速32G的交换矩阵吞吐能力，以24MPPS的包转发速率处理IP/IPX的三层交换，为用户提供了低成本、高性能、扩展性强、灵活简单的最佳解决方案。它提供16个GBIC接口模块，提供无阻塞32GBPS交换能力，24MPPS多层转发能力，提供全线速数据流服务质量控制能力，在主交换机出现故障或某端口出现问题，备份交换机能接纳原主交换机的工作，实现核心交换机冗余，为杭州市第二人民医院的核心设备提供高度的可靠性。332门诊楼、病房大楼交换机目前医院的信息点主要集中在门诊大楼和病房大楼，门诊收费、药房等关健医院业务均在门诊楼，且门诊医生工作站在医院的全面铺开，在门诊楼的局部网络中传输着大量的信息，而即将启动的病区医生工作站也将使病房浙江教育学院毕业设计11大楼的信息点增至40多个，对此我们选用安奈特AT8350GB（48个10/100MBRJ45端口，2个10/100/1000MBRJ45端口，2个GBIC扩展槽）作为门诊楼和病房大楼的接入层交换机，利用其光纤口与核心交换机（主备交换机）实现千兆相连，即解决链路的可靠性，也消除了带宽的瓶颈。安奈特AT8350GB具备346GBPS交换背板，高达13MPPS包转发率，可为门诊楼、病房大楼的工作站提供全线速的、无拥塞数据交换，还可通过后交换机堆叠来实现网络的扩充。333其余各楼的交换机行政楼、综合楼、药剂楼、小儿科楼及外科楼的接入层交换机选用安奈特24端口网管可堆叠快速以太网交换机AT8326GB，带2个1000T端口和2个GBIC口，通过光纤与核心交换机实现双链路千兆上连。安奈特AT8326GB具备173GBPS交换背板，高达65MPPS的包转发率，可为医院各楼的工作站提供全线速的、无拥塞数据交换，还为将来的扩展作好了充分的准备。334防火墙HYF2000广域网防火墙是华依科技的经典防火墙产品，可为医院网络安全提供强有力的保障。它采用专业的硬件，提供多达5个10/100兆以太网接口，配合华依科技公司自主版权的WIBEDAOS操作系统，向用户的网络管理提供火墙、内容过滤、虚拟专用网以及安全管理等功能，使用户获得最佳的网络安全解决方案。HYF2000广域网防火墙第一个提出了基于管理的安全域概念，面向用户的管理现状进行设计，将信任级别结构和安全结构结合，提供复杂网络众多子网之间的安全控制方案。防火墙核心通过预先划分的安全级别域设置访问控制规则，来实现各端口、子网、安全域之间的数据包转发。HYF2000广域网防火墙在基于地址、服务端口的标准包过滤方式基础上，提供了深层次状态检测过滤技术，对网络层的功绩和欺诈行为起到了良好的防范作用，另一方面，也对动态端口的通信和访问控制提供了非常方便的管理手段。防火墙根据以前的状态判断后续报文是一个初始连接报文、响应报文还是非法报文，能够高效的过滤UDP、ICMP协议以及主动FTP协议，防止一些普通协议带来的包过滤安全漏洞。HYF2000广域网防火墙有完备的日志杭州市二医院第二代网络建设12接收、查看及审计功能，提供专用软件对事件、流量、代理、VPN、HA等各种类型日志的分类记录、分析、审计、导出及备份，为网络的维护提供客观的依据，进而辅助用户进行有效的网络安全趋向性分析。浙江教育学院毕业设计13第四章网络规划与配置41网络IP地址规划、VLAN划分在本次的网络建设中很重要的一项工作就是划分VLAN。VLANVIRTUALLOCALAREANETWORK即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成不同的网段，它不受网络用户的物理位置限制而根据用户需求进行网络分段。划分VLAN可以体现出以下的优越性提高网络的安全性。不同VLAN的数据不能自由交流，需要接受第三层的检验，因此在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性；隔离广播信息。划分VLAN后，广播域缩小，有利于改善网络性能，能够将网络风暴控制在一个VLAN内部，同时使网络管理趋于简单；增强网络应用的灵活性。VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制,不论用户结点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何的改变。根据市二医院各科室的功能要求，划分了相应的VLAN。VLAN1属网络管理用VLAN，各交换机管理IP地址，网管工作站均定义在此VLAN及对应的IP网段。SB4008管理IP可定义为20011250/24，其它各楼层交换机管理IP地址可从200111开始，依次递增定义。该VLAN只用于网络管理，只允许本网段内机器访问。中心机房50口交换机可保留少量端口在VLAN1，用于连接网管工作站。VLAN2为服务器VLAN，该VLAN用于连接各服务器，及原连接医保等单位路由器，原门诊大楼内的交换机全部定义在该VLAN，该VLAN只能上内网，VLAN3和VLAN5也同属内网，也就是只能方问VLAN2。VLAN6只能访问INTETNET，不能访问内部其它VLAN。全部接入层交换机可依据实际需求保留部分端口在这个VLAN。VLAN8为管理部门使用VLAN。该VLAN既能上INTERNET网，又可上HIS网，尤其要注意病毒的预防。VLAN10作为连接INTETNETVLAN，该VLAN用于放置连接INTETNET防火墙。杭州市二医院第二代网络建设14VLAN划分如表41所示表41VLAN划分名称功能IP地址子网掩码分布VLAN1网络管理用2001102552552550各交换机管理IP地址，网管工作站VLAN2服务器VLAN200112302552552550各服务器、医保路由器及门诊楼的电脑VLAN3内网2001302552552550内科楼、综合楼、病房大楼等与病房有关的各楼VLAN5内网2001502552552550药剂楼、急诊楼、总务科、食堂等各楼VLAN6只能访问INTERNET200113002552552550电子阅览室等只上外网的部门VLAN8既能上INTERNET网，又可上内网200113602552552550行政管理部门使用VLAN10连接INTERNET10101002552552550连接INTERNET防火墙42交换机的配置421核心交换机的配置根据前面的设计要求，需分别对核心交换机AT4008和AT9816进行配置,配置内容如表42,43所示（具体配置命令见附录）浙江教育学院毕业设计15表42AT4008的配置内容配置项目配置内容SYSTEMCONFIGURATIONSYSTEMNAME4008VLANGENERALCONFIGURATIONCREATEVLAN2,3,5,6,8,10VLANPORTCONFIGURATIONPORT4142为VLAN2，PORT4348,5158为VLAN2,3,5,6,8,10STPGENERALCONFIGURATIONENABLESTP并置PRIORITY100STPPORTCONFIGURATIONPORT4142禁止STP4142为服务器端口CLASSIFIERGENERALCONFIGURATION根据源和目的IP地址定义不同的类SWITCHPOSTVLANCONFIGURATION根据不同的类配置HWFILTER,用来控制不同VLAN的互访，PORT4748为TRUNKIPCONFIGURATION配置各VLAN的IP地址SNMPCONFIGURATION选定TRAPHOST的地址为2001123200INTERFACECONFIGURATION使各VLAN接口LINKTRAPVRRPCONFIGURATION配置VRRP中各VLAN的IP地址表43AT9816的配置内容配置项目配置内容SYSTEMCONFIGURATIONSYSTEMNAME9816GBVLANGENERALCONFIGURATIONCREATEVLAN2,3,5,6,8,10VLANPORTCONFIGURATIONPORT12为VLAN2PORT316为VLAN2,3,5,6,8,10STPGENERALCONFIGURATIONENABLESTP并置PRIORITY200STPPORTCONFIGURATIONPORT12禁止STP12为服务器端口CLASSIFIERGENERALCONFIGURATION根据源和目的IP地址定义不同的类杭州市二医院第二代网络建设16SWITCHPOSTVLANCONFIGURATION根据不同的类配置HWFILTER,用来控制不同VLAN的互访,PORT1516为TRUNKIPCONFIGURATION配置各VLAN的IP地址SNMPCONFIGURATION选定TRAPHOST的地址为2001123200INTERFACECONFIGURATION对每个VLAN定义TRAPVRRPCONFIGURATION配置VRRP中各VLAN的IP地址422接入层交换机的配置核心交换机的配置是命令式的，而接入层交换机的配置是菜单式的，比较简单，需配置的主要内容有定义每个交换机的IP地址、子网掩码、网关、VLAN、TAGGED端口、MAC地址绑定等。43访问控制列表设计按照医院网络配置要求，对不同的VLAN有不同的要求，其中VLAN2,3,5只能访问内网，VLAN6只能访问INTERNET网，VLAN8能访问INTERNET网和内网，VLAN10与INTERNET相连，VALN1只是管理交换机网。安奈特交换机创建的VLAN默认是可互访的，但通过HWFILTER可控制不同VLAN的互访，HWFILTER规则执行如图41所示PACKETHWF1RULEPOSITION1RULEPOSITION2RULEPOSITION3HWF2RULEPOSITION1RULEPOSITION2FORWARDHW过滤器和规则是由上至下以线性次序时行匹配的。第一次匹配时，就会执行相应的操作。如果没有匹配的规则，那么数据包将被传输图41HWFILTER规则执行可定义如下3条类CREATECLASS1IPSA20011300/24IPDA20011360/24浙江教育学院毕业设计17CREATECLASS2IPSA20011230/24IPDA20011300/24CREATECLASS6IPSA20011230/24IPDA1010100/241使用HWFILTERADDSWITCHHWF1CLASS1ACDISDPALL20011300/24的工作站与20011360/24的工作站互相不能PING，也就是第一次匹配生效执行。2使用HWFILTERADDSWITCHHWF2CLASS2ACDISDPALL20011230/24的工作站与20011360/24的工作站互相不能PING，也就是HWF2CLASS2匹配生效执行。3使用HWFILTERADDSWITCHHWF3CLASS6ACDISDPALL20011230/24的工作站与1010100/24的工作站互相不能PING，也就是HWF3CLASS6匹配生效执行。杭州市二医院第二代网络建设18第五章网络系统运行分析51系统安装与调试由于医院是24小时不间断地运行，只能选择病人数相对较少的时间段进行系统切换，停机时间要尽量短，前期工作要准备充分。整个系统工程的安装调试分以下几步走1网络布线工程根据前面的设计，分别从门诊六楼的中心机房拉5根多模光纤到急诊楼、综合楼、病房大楼、内科楼、药剂楼，1根单模光纤到佳园（新的行政楼），在各光纤到达点安装机柜，然后进行光纤熔接并测试通过。布线时一定要做好登记工作，建立详细的档案，方便日后的维护和管理。2交换机调试交换机全部到位后，在中心机房进行调试，先分别配置二台核心交换机和各接入层交换机，然后用笔记本电脑在各接入层交换机的每个不同的VLAN中选择一个端口联线用PING命令测试，以确保每个交换机配置正确，调试通过以后在每个交换机上做好标记，这样到现场安装时不会搞错。3现场安装交换机调试完毕后就可到现场安装了。各接入点交换机装入机柜并通过光纤与主机房机柜内的核心交换机连通，一切就绪后即可准备切换。先让服务器停下来，在每台服务器上安装二块光纤网卡分别连到二台核心交换机上，连通后把原门诊楼的网线全部切换到新的接入层交换机上，保证门诊收费的及时启用（因门诊楼的IP还是保留原来的）。接下来就分头到其余各楼更换交换机，并对每台电脑作相应的IP地址、网关等的修改。4防火墙的安装调试防火墙连接到门诊楼交换机的VLAN10端口，并配置相应的静态路由、包过滤及网络地址的设定等。至此，网络的建设基本完成。浙江教育学院毕业设计1952网络运行性能分析改造后的网络运行到现在，从各部门的反馈来看普遍反映较好，主要表现在以下几个方面1）高速网络速度有了明显的提升，这是大家一致的感觉。原先病区记帐需要2030分钟，要出院的病人只能等在一边，而现在只要一、二分钟就能完成；原先每月的住院明细报表要耗费1个小时的事，现在只要5分钟内就能解决问题了。网络速度的提升使医院各部门的工作效率大大地增加了，对医护人员来说，可以有更多的时间来关心病人，更好地为病人服务。2）可靠医院网络在改造以前已经发生了多次大范围的停机，有计算机中心的交换机故障引起的，也有由于唯一的一对光纤转发器电源故障而造成的，这既延误了病人的救治，又给正常的医疗环境制造了混乱，造成了非常不好的社会影响，同时也给医院造成了不小的经济损失。本次网络改造通过采用硬件上的冗余，包括交换机的冗余、交换机之间链路的冗余和服务器网卡的冗余等，基本实现了网络的高可靠性，消除或部分消除了网络的单点故障。对于这些冗余的配置，我们都作了相应的测试，服务器双网卡中切断一路链接，或关闭一台核心交换机，或是在接入层交换机中去除一对GBIC模块，网络