毕业设计-----医院的网络规划与设计

1、题 目莒南县医院的网络规划与设计 系 （院） 计算机科学技术系 专 业计算机网络技术 班 级2009 级 2 班 学生姓名 学 号 指导教师 职 称讲师 二一二年五月八日 莒南县医院的网络规划与设计 摘 要 随着网络技术，信息通信领域的长足发展，网络经济，知识经济 再不是 IT 等高科技行业的专利。作为传统行业之一的医疗卫生行业， 如何面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生 行业的管理水平和服务质量，是无法回避的问题。随着网络硬件性能 的不断提高，成本不断降低，目前新建的局域网基本上都采用了性能 先进的快速以太网技术，其核心交换机采用三层交换机，能很好地支 持 VLAN。本方

2、案提供了丰富、全面的系统安全设计。整个方案考虑 了用户层面、设备、数据和管理的各个层面的安全需求，并进行了整 体安全的设计。设备方面，采用的各个层次的设备都支持了对自身负 责层面的安全功能，从接入层、汇聚层到核心层，都进行了安全方面 的考虑和设计；如接入层面提供的 VLAN 保护接入层面数据和用户的 安全。防 ARP 功能和常见的蠕虫、冲击波等病毒的防范。数据层面， 对数据在各个系统层面的传输都考虑的安全方面的设计。 关键词：网络性能；网络安全；网络配置；VLAN Network Planning and Design of the Junan County Hospital Abstract

3、 With the rapid development of network technology, information communications, network economy, knowledge economy, not the IT high- tech industry patents. As one of the traditional industries of the health care industry, and how to deal with the impact of the Internet age, how to use network technol

4、ogy to improve the management level and service quality of our health care industry, is an unavoidable problem. The program provides a rich and comprehensive system security design. Equipment, at all levels of equipment support level is responsible for their own security features, from the access la

5、yer, convergence layer to the core layer, all the security considerations and design; such as access level VLAN to protect access to entry-level data and user security. Prevention of the virus of anti-ARP feature, common worms, such as shock waves. Data level, the safety aspects are considered by th

6、e transmission of data in each system level design. Keywords: Network Performance; Network Security; Network Configuration; VLAN 目 录 第一章第一章 绪论绪论.1 1.1 研究的目的和意义.1 1.1.1 研究目的.1 1.1.2 研究意义.2 1.2 国内外研究现状.2 1.2.1 国外研究现状.3 1.2.2 国内研究现状.3 第二章第二章 概述概述.4 2.1 医院的背景 .4 2.2 需求分析 .5 2.2.1 网络稳定.5 2.2.2 网络性能.5 2.2

7、.3 网络安全.5 第三章第三章 网络规划网络规划.7 3.1 医院网络设计目标 .7 3.2 医院网络规划拓扑 .8 3.2.1 结构设计.9 3.2.2VLAN 划分.10 3.3 IP 地址.12 3.3.1IP 地址设计规则 .12 3.3.2IP 地址划分 .13 3.4 网络的简要配置 .14 3.5 网络安全设计 .17 第四章第四章 结论结论.21 4.1 高稳定的网络架构设计 .21 4.2 独立的服务器区域设计.21 4.3 全面的系统安全设计 .21 参考文献参考文献.22 谢辞谢辞.22 第一章第一章 绪论绪论 1.1 研究的目的和意义研究的目的和意义 互联网发展到今天

8、，已经给人们的生活带来了巨大的变化，它为人们构造了一 条信息高速路。但是，这条信息高速路的使用率只有 5%。因此，摆在人们面前的 问题是如何利用互联网的价值。越来越多的人认为，网络作为一种新的理念，新的 技术，新的设施，将会成为互联网的下一个浪潮。网络研究已被列入国家“八六三” 计划和“九七三”项目。1 1.1.1 研究目的研究目的 随着医疗技术的发展，医疗体制改革的不断深入，我国已经开始从公费医疗体 制转向社会保障体制，并通过建立医疗保险制度，将新的医疗保障制度逐步推向社 会。同时，在市场经济的外部环境下，医疗卫生机构如何通过信息化建设完善内部 的管理，降低管理成本，提高对市场的反应速度，占

9、据竞争优势，开发新的、更方 便更快捷的服务项目，为广大人们群众提供优质、卫生、满意的服务，是一个很重 要的课题，是一件利国利民的大事。 随着计算机网络技术的不断发展，简单的内部网络已经不能适用现代的网络技 术发展的要求。医院若要做到面向社会、面向世界，和国际是先进的医疗技术相接 轨，就必须认真贯彻落实国家有关加快医疗系统信息化建设及管理的精神，进一步 推进医疗系统的信息化建设，才能及时了解国际医疗系统的新信息、新发展动态， 吸收国内外新的医疗理念和管理经验，及时提高医院的医疗系统的信息化应用和管 理水平。在对医院内部网络规划中，我将从需求分析、医院网络总体规划、服务器 的配置、网络管理和 网络

10、安全等方面进行规划和实现。在网络建设过程中将尽量 选择稳定和成熟的技术和产品，是医院的网络在开通运行后处于稳定的的状态。在 结构上将采用流行的三层网络结构，及核心层、交换层和接入层，选用星型网络拓 扑结构，通过防火墙来接入骨干网络。考虑到医院的规模较小，信息接点较少，信 息流量小的的特点，实施的的时候，在核心层主要采用硬件与软件技术相结合来实 现其功能，并不仅仅采用昂贵的硬件来实现网络功能，要充分利用现有的资源，不 浪费，不盲目追求设备的高端化。同时考虑到医院的应用环境应建立丰富的应用服 务器，来满足信息共享的需求。同时考虑到医院今后的发展，采用开放式的结构和 技术，一便使医院网络具有良好的扩

11、充能力和开放性，以满足今后医院对网络的发 展要求 1.1.2 研究意义研究意义 网络技术已经对社会，经济和文化各方面产生重大影响，并将改变人们认识世 界，思考世界的观点和方法。作为传统行业之一的医疗卫生行业，如何面对网络时 代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量， 是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管 理的会议精神，进一步推进医疗行业的信息化建设，了解国际医疗信息化发展动态， 吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益 和社会效益双丰收，全国各省都在逐步加快医院的信息化建设步伐。 传统医疗卫生行业

12、正利用其行业特点，汲取网络技术精华，努力创造着医疗卫 生行业的又一个春天。未来是美好的，但现实不可回避。在选取“飞”的翅膀时， 好的网络设计方案对医疗行业网络安全、网络管理、可靠性、可管理性、可扩展性 和高性能的特殊需要，具有深远的意义。 1.2 国内外研究现状国内外研究现状 20世纪90年代末至今，是数字化医院以前所未有的速度发展的时期。发展过程 中，我国医院网络建设已初具规模并取得了长足的进步。2事实证明，医院网络建 设是实现医院现代化的重要任务和标志，也是社会信息化不可缺少的组成部分，更 是医院适应改革的必然选择。 1.2.1 国外研究现状国外研究现状 美国 HIMSS 协会 2006

13、年调查报告显示，美国数字化医院建设投入很大，我国 医院与美国医院在信息化建设投资规模上有着很大的差距。最为突出的就是人才投 入。我国医院 IT 人员编制比例不舍理的问题由来已久，长期困扰医院的信息化建 设。据 CHIMA 调查报告显示，我国各医院信息化部门全职员工人数多为 3 10 人。三级医院信息部门的全职职工规模主要集中在 320 人，占三级医院的 8222 。而三级以下医院则主要集中在 110 人，占三级以下医院总数的 9034 。美国 HIMSS 协会 2006 年医院信息化现状调查中 IT 部门全职员工数据，美国 80 的医院 IT 人员编制在 10 人以上。其中，32 的医院 10

14、24 人，17 的医院 25 50 人，9 的医院 51 75 人，4 的医院 76 100 人。而从业务量的角度看，国内 的大型医院床位数、门诊量、收容量远大于美国医院，人力资源不足的情况与发达 国家医疗行业相比，差距较大。在技术应用方面，也存在较大差距。当前我国各级 各类医院信息技术采用率排在前 3 位的依次是高速以太网( 100M)技术、数据安 全技术、条码技术。CHIMA 样本调查结果显示，采用率第 1 位的是高速以太网 ( 100M)技术，比例高达 7377 ；第 2 位是数据安全技术，比例达 3238 ；第 3 位是条码技术，比例达 2848 。2006 年美国 HIMSS 统计结

15、果显示，美国医院 较流行、较成熟的 IT 技术，主要是高速网络(93 )、无线(84 )、移动(77 )、 Internet(84 )、Extranet(68 )、集成引擎(75 )、条码技术(65 )等从以上对比可以看出， 我国医院目前普遍采用的技术，美国早已采用。我国数字化医院建设的先进技术普 及程度与美国有较大差距。3 1.2.2 国内研究现状国内研究现状 我国传统数字化医院的发展可分为 3 个阶段。首先是单机单用户应用阶段。始 于 20 世纪 70 年代末、80 年代初，这一阶段开始是以小型机为主，采用分时终端 方式，当时只有少数几家大型综合医院和教学医院拥有。80 年代中期进入部门级

16、 系统应用阶段。一些医院开始建立小型的局域网络，并开发出基于部门管理的小型 网络管理系统，但主要用于院内财务管理。90 年代开始进入全院级系统应用阶段。 以军队医院“军卫一号”系统的全面运行为标志，大规模进入全院级系统应用阶段。 快速以太网和大型关系型数据库日益盛行，完整的医院网络管理系统的实现已经成 为可能。4 第二章第二章 概述概述 2.1 医院的背景医院的背景 医院现拥有床位 500 张，科室齐全，人才荟萃。该院在本地区有较大优势的学 科和技术项目主要有：临床设有内、外、妇、眼、耳鼻喉、口腔各科，痤疮专科。 建筑楼群及信息点分布： 综合医疗大楼一幢 该楼在医院的左下，一层有 31 个房间

17、，二层 47 个房，三层 39 个房间，四层 33 个房间，每间房间配有一部电脑。为使信息和资源共享，院方要求每个房间的 办公设备都需要网络连通，同时大楼内的网络与医院的网络连通。 行政办公楼一幢 行政办公楼在综合大楼北面，楼高 6 层，每层有办公室 18 间。每个办公室均 配置有电脑 1 台。 综合住院楼一幢 综合住院楼在办公楼右边，楼高 10 层，每层有一个值班室，每个值班室配置 一电脑，并与医院的网络连接。 物资供应楼一幢 该楼位于综合住院楼右面，楼高 3 层，每层有一个办公室，配置两台电脑，与 医院网络连接。 体检康复楼一幢 体检康复楼在综合大楼右面，楼高 4 层，每层有 20 个房间

18、，每个房间安装一 台电脑。 2.2 需求分析需求分析 2.2.1 网络稳定网络稳定 医疗行业是关系到病人生命安危的重要行业，莒南人民医院的各种应用系统和 基础设备都要保证超高的稳定性，系统的稳定性（7*24 稳定、可靠、持续运行） 是投入运行的医疗系统的生命线。同时，对于门诊等重要区域，由于门诊收费是患 者进入医院的第一站，稳定的网络系统建设是医院各种应用系统开展的根本保障， 是降低医院目前出现问题的根本性措施。5 1）网络本身稳定性。 2）网站的有效性。 3）网络的安全性。 4）具有一定的可扩展性。 5）在满足基本功能的同时，尽量节约资金。 6）办公用户要具有强大的信息传递能力，以保证医院信

19、息畅通。 2.2.2 网络性能网络性能 作为临床信息系统最为重要的 PACS 系统的应用其在传输患者的放射图像信息 时，需要消耗大量的网络传输带宽，虽然目前莒南人民医院仍然采用的是科室级的 PACS 系统，然而，随着医院信息化的发展，毕竟以全院级的 FULL PACS 系统为 发展方向，在建设了 PACS 系统之后，堆积如山的胶片、病例档案都没有了，但是 网络上数据量却在急剧增长。海量存储和数据浏览就成为必须解决的问题。在计算 机中一页文字资料仅占几千字节(Kb)，而一张数字化的 X 线片将产生上百万字节 (Mb)的信息量，这就是所谓“兆字节问题” ；因此，在网络建设初期就需要考虑针 对未来医

20、院 FULL PACS 系统应用传输带宽的考虑。6 2.2.3 网络安全网络安全 网络安全，从其本质上来讲就是网络上的信息安全，广义来说网络系统的硬件、 软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、 泄露、系统连续、可靠、正常地运行，网络服务不中断。而网络安全的主要威胁来 自以下方面： 1）非授权访问； 2）信息泄露； 3）拒绝服务。 对于底层的工作站来说，安全性问题主要来自于计算机病毒的侵扰和使用人员 人为操作造成的系统破坏。为了防止病毒入侵，可以在医院的电脑上只开放最小使 用功能。例如：拆除光驱、软驱、关闭 USB 端口，添加 CMOS 密码，实时监测 病毒，并

21、及时升级病毒代码，隐藏桌面、使用组策略技术，使一般用户无法看到网 上邻居、资源管理器等，只能使用授权的应用程序，而不能进行非授权功能操作， 辅之以多种方法对工作站做限制和监控，将非授权访问事件发生概率降到最低。 普遍来讲，网络安全关键技术主要有：信息包筛选(基于包过滤的防火墙)、应 用中继器(代理技术)和加密技术，一个完整的网络信息安全系统至少包括三类措施： 社会的法律政策、企业的规章制度及网络安全教育等外部环境，技术方面的措施， 如防火墙技术、防病毒、信息加密、身份确认以及授权等7，网络系统安全维护中， 普遍应用的适当、安全的方法： 1）用备份和镜像技术提高数据完整性； 2）病毒检查； 3）

22、补丁程序，修补系统漏洞； 4）提高物理安全； 5）构筑因特网防火墙； 6）仔细阅读日志； 7）加密； 8）执行身份鉴别，口令守则； 9）捕捉闯入者 第三章第三章 网络规划网络规划 3.1 医院网络设计目标医院网络设计目标 通过前两章的需求分析和网络现状分析，从本章开始，将进行逻辑网络分析， 随着社会的发展，企业信息化建设的推进，全国各大中型企业基本上都有了自己的 网络，作为医院的决策者们来说，建立高速的网络，使信息流通更快速，将医院建 成信息化的高效的医院，使医院立于不败之林。由于邳州人民医院的网络业务量并 不大，主要应用是医院内部的信息传递，除此之外，Http、Ftp、Email 便是医院与

23、 Internet 连接的最大流量了。从技术上讲应该采用标准、开放、可扩充的、能与其 它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们 提出网络系统的设计的原则是：可靠的技术选型、标准的体系结构、1000M 骨干网、 安全性较高、运行性能可靠以及遵循面向应用，注重实效，急用先上，逐步完善的 原则。 1）实用性：根椐应用系统的要求确定整个系统的结构，即从系统功能和信息 需求出发，拟建系统的结构必须满足系统的传输能力要求、信息安全要求、人机交 互能力要求、信息处理要求等； 2）先进性：以先进、成熟的网络通信技术进行组网，并能确保网络技术和网 络产品几年内不落后； 3）可靠性

24、：系统必须可靠运行； 4）开放性：选择的产品应具有好的互操作性和可移植性，并符合相关的国际 标准和工业标准； 5）可扩充性：系统是一个逐步发展的应用环境，在系统结构、产品系统、系 统容量与处理能力等方面必须具有升级换代的可能，这种扩充不仅能充分保护原有 资源，而且具有较高的性能价格比,使整个网络系统是可扩展的，便于系统升级， 改装； 6）可伸缩性原则：网络的建设是一项持续性的系统工程项目，坚持网络建设 规模的可伸缩性原则，将使得网络的建设费用降低，避免不必要的浪费，也体现了 网络建设的灵活性； 7）安全性：信息系统安全问题的中心任务是保证信息网络的畅通，确保授权 实体经过该网络安全地获取信息，

25、并保证该信息的完整和可靠。网络系统的每一个 环节都可能造成安全与可靠性问题。 3.2 医院网络规划拓扑医院网络规划拓扑 医院的网络规划如图 3.1 示。 图图 3.1 医院网络拓扑图医院网络拓扑图 3.2.1 结构设计结构设计 通过路由器将整个医院接入 Internet，其接入方式为 10M 的专用光纤方式，同 时为了隔离各用户群，将整个网络划分为 5 个 VLAN，办公用户、科研实验用户、 综合住院用户、门诊用户、服务器区分别处于这五个 VLAN 中。 网络设备选型及配置数量： 网络规划设计时，使用产品制造商提供的自立合理选择 LAN 和 WAN 的硬件 设备也是关键性的一步。 莒南人民医院

26、网络规划采用的是星型拓扑结构，网络总体分为三个层次，即核 心层、汇聚层、接入层。 核心层 核心层包括由核心交换机、路由器、网络服务器等部分组成，主要功能是提供 地理上远程站点之间的广域网连接。核心层作为莒南人民医院的基本信息平台，通 过 CISCO 2620XM 路由器接入 Interent，核心交换机选择为 Cisco WS-C4510R，直 接连接路由器，提供网络信息的核心交换，网络服务器连接在核心交换机上，以提 供高速的网络信息服务。 1CISCO 2620XM 路由器 CISCO 2620XM5 路由器是有思科公司提供的一种主要的集成多业务路由器， 为客户提供高性能的 IP 服务、平台

27、高扩展性和可靠性。CISCO 2620XM 采用了并 行快速转发技术，它采用全硬件冗余、在线接入和拔除及无缝路由等先进技术，除 此之外还具有以下特征： 1)高密度广域网和拨号连接 2)中密度到高密度局域网连接 3)数据上的中密度语音 4)具有闪存能力 2Cisco WS-C4510R 三层核心交换机 思科新推出的 Cisco WS-C4510R 系列交换机是一个创新的产品系列，它结合 业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工 作效率。支持在内部建立虚拟工作组，提供流量管理和第二层交换功能，同时具有 先进的网络管理功能。 这个新的产品系列采用了最新的思科 Stac

28、kWise 技术，不 但实现高达 32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时 集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换 机一样。这代表了堆叠式交换机新的工业技术水平和标准。 基于以上原因，我采用了 Cisco WS-C4510R 作为莒南人民医院网络的三层核 心交换机。 1）汇聚层 各子网络的流量的汇聚采用思科公司的 Cisco Catalyst2950 交换，上行速度为 100Mbps 接入中心交换机 Cisco Catalyst3750，Cisco Catalyst2950 是 24 口 10M/100Mbps 自适应以太端口且带

29、2 个千兆端口的交换机，体系结构采用了一个 10Gbps 和转发速率每秒 750 万个信息包的交换结构。 2）接入层 接入层通常是一个 LAN 或一组 LAN，所以我们所以讨论的的网络设计中，接 入层通常由以太网组成。接入层为用户提供接入访问服务。 接入层采用思科公司的 Cisco Catalyst2600 交换机，该类型交换机具有 24 端口， 快速 10M/100M 自适应的能力为网络提供很好的兼容性以及交换能力。 3.2.2 VLAN 划分划分 随着网络硬件性能的不断提高，成本不断降低，目前新建的局域网基本上都采 用了性能先进的快速以太网技术，其核心交换机采用三层交换机，能很好地支持 V

30、LAN（虚礼局域网） ，所谓 VLAN 是局域网上的一组设备，经配置（用管理软件） 后它们可以加同连接在同一 线路上那样通信，而它们实际上位于不同的局域网段， 它和用户的物理位置没有关系。实验 VLAN 技术的局域网的管理方便、可靠性高、 安全性强，同时由于采用虚拟技术，可以防止广播风暴，提高网络性能。使用 VLAN 具有以下优点： 1）增加了网络连接的灵活性及降低管理成本。 2）有效控制网络中的广播。 3）增强网络的安全性。 4）控制通信活动。 对于交换式快速以太网，如果要对某些用户重新进行网络分段，需要网络管理 员对网络系统的物理结构进行调整，甚至要追加网络设备，增大网络管理的工作量。 而

31、对于采用 VLAN 技术的网络来说，一个 VLAN 可以根据部门职能、对象组或具 体应用将不同地理位置的网络用户划分为一个逻辑网段，在不改变网络物理连接的 情况下，可以任意地将工作站在工作组或子网间移动。利用 VLAN 技术大大减少 了网络管理的负担，降低了网络维护费用。 根据我们前面的分析，根据莒南人民医院的具体情况，可具体划分如下： 1服务器区： 1）包括 Web、FTP、Email 等服务器。 2）VLAN 名称：VLAN10 2行政办公区 1）包括 6 层楼中各办公室的电脑 2）VLAN 名称：VLAN20 3综合医疗大楼 1）包括 4 层诊室中的电脑。 2）VLAN 名称：VLAN3

32、0 4综合住院楼 1）包括 10 层共 10 台 2）VLAN 名称：VLAN40 5物资供应大楼 1）VLAN 名称：VLAN50 6康复大楼 1）VLAN 名称：VLAN60 莒南人民医院 VLAN 划分如表 3.2 所示。 表表 3.2 医院医院 vlan 划分划分 区域信息点VLAN 名称 服务器区5VLAN10 行政办公区108VLAN20 医疗综合大楼150VLAN30 综合住院大楼10VLAN40 物资供应大楼3VLAN50 康复大楼80VLAN60 3.3 IP 地址地址 3.3.1 IP 地址设计地址设计规则规则 IP 地址规划的好坏不仅影响网络路由协议算法的效率、网络性能、

33、网络管理、 网络扩展，还直接影响应用的进一步发展。关于 IP 地址规划应遵循以下原则： 1）IP 地址的唯一性 即 IP 地址是区分网络主机的唯一标识，同一个网络中不能有相同的 IP 地址， 否则就不会有可靠的路由选择方式把包发送到指定的目标地址。 2）IP 地址规划的简单性 IP 地址的规划应本着简单的原则，避免在网络主干采用复杂的网络掩码形式。 3）IP 地址规划的层次性 IP 地址在规划时，应考虑到网络中的子网，以及子网中计算机的数量，这样才 能确定 IP 地址的类型和子网掩码。 4）IP 地址的连续性。 5）IP 地址规划的可扩展性 6）IP 地址规划的灵活性 7）网络的安全性 8）I

34、P 地址根据需要采用静态或动态分配 3.3.2 IP 地址划分地址划分 根据以上原则，结合莒南人民医院的实际情况，IP 地址规划如下： 1）服务器区 IP 地址规划 作用：用于给各个服务器分配 IP 地址。 范围：-54 掩码： 2）办公区 作用：用于给各个办公室电脑分配 IP 地址。 范围：-00 掩码： 3）综合门诊区 作用：用于给各个多媒体教室电脑分配 IP 地址。 范围：-00 掩码：255.255.25

35、5.0 4）科研实验区 作用：用于给各个实验室电脑分配 IP 地址。 范围：-54 掩码： 5）综合住院区 作用：用于给教师电脑分配 IP 地址。 范围：-54 掩码： IP 地址规划如表 3.3 所示 表表 3.3 IP 地址划分地址划分 区域IP 范围子网掩码网关 服务器区： Web 服务器 FTP 服务器 Email 服务器 路由器 54(内) 172.18

36、.1.254（外） 行政办公区-54 医疗综合区-54 体检康复大楼-54 综合住院区-1

37、54 物资供应大楼-54 3.4 网络的简要配置网络的简要配置 1路由器的简要配置 将路由器的 Console 端口利用 Console 线与计算机串口相连，打开计算机启动 超级终端，并为连接取一个名字 Cisco-user，接着选定连接的相关参数，速度设为 9600bps，数据位为 8，奇偶校验为无，停止位为 1，数据流控为无。打开路由器电 源，则进行路由器的初始化界面。关键设置如下： 1）输入路由器的名字 Enter host na

38、meRouter:Router-user 2）配置连接到交换机的路由器接口的 IP 选项 Router-user#config t Router-user(config)#interface fastethernet 0/0 Router-user（config-if）#ip address 54 3）配置路由协议 Router-user(config)#router rip Router-user(config-router)#network 54 Router-user(config-route

39、r)#network 54 4）设置 IP 路由器功能开放 Router-user(config)#ip routing 5）设置 NAT，做动态地址转换 Router-user(config)#ip nat pool mynatpool netmask 2核心交换机的简要配置 将 Cisco Catalyst3750 交换机的 Console 口专用连接线与计算机串口连接。然后 启动交换机，设置好 PC 的超级终端。其关键设置如下： 1）行政为办公区、医疗综合大楼区、综合住院区、体检康复大楼区、物

40、资供 应大楼及其他区、服务器区配置 VLAN Switchconfigure t Switch#hostname Ciscohq Ciscohq(vlan)#vlan database Ciscohq(vlan)#vtp domain hq Ciscohq(vlan)#vlan 2 name vlan10 Ciscohq(vlan)#vlan 3 name vlan20 Ciscohq(vlan)#vlan 4 name vlan30 Ciscohq(vlan)#vlan 5 name vlan40 Ciscohq(vlan)#vlan 6 name vlan50 Ciscohq(vlan)#

41、vlan 7name vlan60 2）为 Catalyst3750 交换机所划发的 VLAN 设置 IP 地址 Ciscohq#conf t Ciscohq(config)#interface vlan 2 Ciscohq(config-if)#ip address 1 /服务器区 Ciscohq(config-if)#no shut Ciscohq(config-if)#exit Ciscohq(config)#interface vlan 3 Ciscohq(config-if)#ip address 255.255

42、.255.0 /行政办公区 Ciscohq(config-if)#no shut Ciscohq(config-if)#exit Ciscohq(config)#interface vlan 4 Ciscohq(config-if)#ip address /医疗综合大楼 Ciscohq(config-if)#no shut Ciscohq(config-if)#exit Ciscohq(config)#interface vlan 5 Ciscohq(config-if)#ip address 255.255.255.

43、0 /体检康复大楼 Ciscohq(config-if)#no shut Ciscohq(config-if)#exit Ciscohq(config)#interface vlan 6 Ciscohq(config-if)#ip address /综合住院区 Ciscohq(config-if)#no shut Ciscohq(config-if)#exit Ciscohq(config)#interface vlan 7 Ciscohq(config-if)#ip address /物资

44、供应大楼 Ciscohq(config-if)#no shut Ciscohq(config-if)#exit 3.5 网络安全设计网络安全设计 由于计算机网络系统的迅猛发展，网络安全已经成为网络发展中的一个重要课 题。国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和 采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原 因遭到破坏、更改和泄露8。由此可以将计算机网络的安全理解为：通过采用各种 技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保 密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会 发生增加、修

45、改、丢失和泄露等。网络安全包括五个基本要素：机密性、完整性、 可用性、可控性、与可审查性。 由于计算机系统本身就存在着种种安全性问题，互联网的安全问题就更为复杂， 网络的安全威胁主要包括在以下几个方面。 1）非授权访问：没有预先经过同意，就使用网络或计算机资源则被看作非授 权访问，如有意避开系统访问控制机制，对网络设备资源进行非正常使用，或擅自 扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进 入网络系统进行违法操作、合法用户以未授权方式进行操作。 2）信息泄漏或丢失:指敏感数据在有意或无意中被除数泄漏出去或丢失，它通 常包括：信息在传输中丢失或泄漏、信息在存储介质中丢

46、失 或泄漏以及通过建立 隐蔽隧道等窃取敏感信息等。如黑客利用电磁泄漏或搭线窃听等方式可截获机密信 息，或通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用信息， 如用户口令、账号等重要信息。 3）破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或 重发某些重要信息，以取得有益于攻击者的响应：恶意添加，修改数据，以干扰用 户的正常使用。 4）拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程， 执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被 排斥而不能进入计算机网络系统或不能得到相应的服务。 5）利用网络传播病毒：通过网络传播计算机

47、病毒，其破坏性大大高于单机系 统，而且用户很难防范。 6）混合威胁是新型的安全攻击，主要表现为一种病毒与黑客程序想结合的新 型蠕虫病毒，可以借助多种用途和路径潜入企业、政府、银行、军队等的网络。混 合威胁的出现说明病毒编写者正在利用大量的系统漏洞将病毒传播的速度最大化。 网络安全设计原则 虽然说越安全的网络，信息的传输效率越差，也没有绝对安全的网络。但是如 果在网络设计之初就能遵守些合理的原则，那么这样设计好的网络的安全和信息的 保密就会有所保障。从网络工程的技术出发，我们应该遵从以下原则： 1网络安全系统的整体性原则 强调安全防护、监测和应急恢复。要求在网络系统发生被攻击的情况下，必须 尽可

48、能快地恢复网络信息中心的服务，减少损失。所以网络安全系统应该包括三种 机制：安全防护机制、安全监测、安全恢复机制。安全防护机制是根据具体系统存 在的各种安全漏洞和安全威胁采取的相应防护措施，避免非法攻击的进行；安全监 测机制系统的运行情况，及时发现和制止系统进行的各种攻击；安全恢复机制是在 安全防护机制失效的情况下，进行应急处理和尽量及时地恢复信息，减少攻击的破 坏程度。 2网络安全系统的有效性与实用性原则 网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提。网络中 的信息安全和信息利用是一对矛盾：一方面，为健全和弥补系统缺陷的漏洞，会采 取多种技术手段和管理措施；另一方面，势必给系

49、统的运行和用户的使用造成负担 和麻烦， “越安全请注意味着使用越不方便”。尤其在网络环境下，实时性要求很高 的业务不能允许安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的 基础上，把安全处理的运算减小或分摊，减少用户的记忆、存储工作和安全服务器 的存储量、计算量，是一个待解决的问题。 3等级性原则 良好的网络安全系统必然是分为不同级别的包括对信息保密程度分级（绝密、 机密、秘密、普密） ；对用户操作权分级（面向个人及面向群组） ，对网络安全程度 分级（安全子网和安全区域） ，对系统实现结构的分级（应用层、网络层、链路层 等） ，从而针对不同级别的安全对象，提供全天候算法和安全体制，以

50、满足网络中 不同层次的各种实际需求9。 4网络安全有价原则 网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性 能价格的平衡，而且不同的网络系统所要求的安全侧重点各不相同。例如国家政府 首脑机关、国际部门计算机网络安全侧重存取控制强度。金融部门侧重于身份论证、 审计、网络容错等功能。交通、民航侧重于网络容错等。国此必须有的放矢，具体 问题全体分析，把有限的经费用在关键领域。 然而 Internet 是一个共享的公共资源，因此不能保证数据在两点之间传递时， 不会被她人窃取。10因此需要对网络信息安全进行设计。 1）确定面临的各种攻击和风险 网络安全系统的设计和实现必须根据具体系统和环境，考察、分析、评估、检 测（包括模拟攻击）和确定系统存在的安全漏洞和安全威胁。 2）明确安全策略 安全策略是网络安全系统设计的目标和原则，是对应用系统完整的安全解决方 案。安全策略要综合以下几方面优化确定： 1) 系统整体安全性，由应用环境和用户需求决定，包括各个安全机制的子系 统的安全目标和性能指