中小型医院网络工程方案设计网络技术课程设计

《中小型医院网络工程方案设计网络技术课程设计》由会员分享，可在线阅读，更多相关《中小型医院网络工程方案设计网络技术课程设计（36页珍藏版）》请在装配图网上搜索。

1、word计算机网络课程设计任务书学 期：2016春季学期部 门：工学二部教 研 室： 计算机教研室指导教师：文娟/马生菊 34 / 36课程设计任务书题 目：学生： 班级： 学号：指导教师：一、可选课程设计题目：某企业网络规划设计 某银行网络规划设计 某医院网络规划设计某校园网网络规划设计某学校学生公寓网络规划设计某酒店网络规划设计注意：其中某单位必须为具体名称，最好是熟悉的；目标网络规模为中等网络。二、课程设计目的：通过该课程设计，使学生熟悉路由器、交换机的配置与相关命令。根据网络案例设计出包括网络拓扑结构图、IP分配与规划、特殊网络应用技术和网络测试与协议分析。从而提高设计方案的分析、设计

2、、论证、实现与文档规书写的能力和解决实际问题的能力。三、设计容完成需求分析；选择确定局域网网络技术；选择传输介质；确定主干网传输方案；划分子网与设定VLAN；确定Internet接入方案；确定中心机房设计方案；绘制网络拓扑图；综合布线方案设计完成设备选型；做出设备报价；完成方案文档课程设计说明书。VPN支持；视频会议；无线局域网；其它弱电系统：音响背景音乐系统、有线电视、LED点阵显示屏、IP、门禁考勤、电子巡更、消防报警、防盗报警、视频监控等。四、设计原如此实用性；先进性；可靠性；可伸缩性；可管理性。五、方案文档课程设计说明书正文主要容1前言2企业案例描述：企业名称，行业，业务，规模，下属部

3、门与分支机构、网上业务，信息流量，包括分支机构的地域分布图决定传输介质与走线，网络建设投资规模。3需求分析：根据企业性质、机构分布、网上业务、信息媒体的类型与流量，确定：带宽核心层、部门层、桌面；子网与VLAN规划；实现的信息服务；应用程序；存储系统分析：数据量、访问流量、DBMS系统与数据安全分析；网间隔离。4拓扑图与方案整体描述和实现：主干网传输方案设计Internet接入方案远程访问支持子网划分与VLAN设定存储方案：双机热备份、RAID、磁盘阵列、存储局域网SAN设备选型：传输介质、路由器、交换机、防火墙、RAS、Modem Pool、服务器普通、机架式、 PC、其它设备中心机房与配线

4、间设备、光传输设备；软件：网络操作系统与 服务、DNS服务、DHCP、FTP服务等配置。5系统主要设备报价。6设计总结、参考文献、致等。六、关于绘制网络拓扑图网络拓扑图可在Word中绘制，亦可在Visio中绘制。如在Word中绘制，提供的参考资料光盘中包含网络拓扑图绘制素材与示例。七、设计完毕时应提交的资料与要求1认真、完整填写的课程设计任务书与说明书蓝皮纸质；2课程设计说明书电子版排版要求：所有一级标题为宋体三号加粗单独一行，居中所有二级标题为宋体四号加粗左对齐所有三级标题为宋体小四加粗左对齐除标题外所有正文为宋体小四，行间距为固定值22磅，每个段落首行缩进2字符目录只显示3级标题3刻盘班长

5、负责以班级为单位刻录光盘一，光盘以班级命名，例如：10级计算机科学与技术1班光盘每人一个文件夹，以学号命名如“10730101 映霞，容包括任务书、设计文档。特别提醒：1每各学生做的设计不能雷同，严禁抄袭。假设出现雷同，成绩直接定为不与格。2认真按照规定为文件命名。八、设计进度计划与时间安排根据教学计划安排，于2016年7月4日 2014年7月15日安排为期二周的实训。周次日期容地点第1周星期一教师讲解设计要求根据任务书准备参考资料教室星期二学生逐个述个人设计目标与企业描述初稿后，讨论，提出修改意见教室星期三计算机网络初步设计方案设计教室星期四计算机网络初步设计方案设计教室星期五计算机网络方案

6、完善教室第2周星期一计算机网络方案完善教室星期二以小组为单位检查设计方案并进一步修改完善教室星期三书写方案文档教室星期四修改方案文档，准备辩论教室星期五辩论教室九、考勤、纪律与须知事项1每日准时教室设计，不得无故缺席、早退。2独立、按时完成课程设计任务，准时上交资料。十、主要参考资料1希仁 编著. 计算机网络(第五版)M.电子工业，2008年1月2吴功宜 编著. 计算机网络应用技术教程第三版M.清华大学，2009年1月3吴企渊 编著. 计算机网络M.清华大学，2004年1月4谭珂、全惠民编著局域网组建与管理实手册M.中国青年，2003年2月5公忠主编现代网络技术教程第2版M.电子工业，2004

7、年1月6正勇编著校园网系统集成技术与应用M.清华大学，2002年6月前言进入二十一世纪，全世界正在掀起全球信息化的浪潮，世界各国都把推进信息化进程，开展信息产业作为推动本国经济开展的新动力。信息化已是世界各国开展经济的共同选择，信息化程度已成为衡量一个国家和地区现代化水平的重要标志。随着信息时代的到来，计算机在各行各业得到了越来越广泛的应用。医院也同样面临着信息时代的巨大挑战，建设现代化的医院，信息管理的计算机化、网络化和数据高度共享化将是必不可少的条件。整个医院网络信息系统起到了辅助管理的职能，为领导决策提供科学的依据，可以随时了解门诊收入和在院应收款等数据指标，而这些在过去手工方式下几乎不

8、可能实现。通过使用医院信息管理系统，规了业务处理流程，堵塞了管理中的漏洞。全院信息通过计算机网络连接成一个整体，实现数据高度共享，降低管理本钱，提高了管理数据的准确性和实时性。目前大多数医院，尤其是中小医院尚处在信息化开展的初级阶段，因此作为医疗体系信息化的立足之本，网络根底设施建设尤为重要。中国医院信息化建设开展经历了20多年的开展历程，从早期的单机单用户应用阶段，到部门级和全院级管理信息系统应用；从以财务、药品和管理为中心，开始向以病人信息为中心的临床业务支持和电子病历应用；从局限在医院部应用，开展到区域医疗信息化应用尝试。特别是最近几年，我国医疗卫生信息化开展正在处于一个加速开展的时期，

9、先进地区的信息化要继续迈进，落后地区的医院正在向领先开展的医院看齐。根据卫生部统计信息中心今年对全国 3765所医院信息化现状调查资料，以费用和管理为中心的全院网络化系统应用已经超过了80%。为了配合卫生部在各级各类医院开展“以病人为中心，以提高医疗服务质量为主题的医院管理年活动，各地医院纷纷加强信息化建设步伐，通过医院信息化系统建设，优化就诊流程，减少患者排队挂号等候时间，实行挂号、检验、交费、取药等一站式、无胶片、无纸化服务，简化看病流程，杜绝“三长一短现象，有效解决了群众“看病难问题。目前，医院信息化已经成为医疗活动必不可少的支撑和手段，人们已经很难想象，没有计算机和网络，门诊和住院业务

10、如何处理。对于一个大型医院，即使是医院信息网络的暂时瘫痪，也会导致医院业务系统的混乱，其产生的社会不良影响，必然成为媒体关注的热点问题。由此，我们可以充分看出，各级医疗机构建设符合形势要求的新一代医疗网络是多么的关键！本文要研讨的就是实现中小型医院网络的组建方案分析与设计。通过加深对网络信息系统和网络规划的认识，深入理解网络建设在医院中的重要应用，并结合国外医院网络建设的新开展与以往前人的成功例子，从而提出一个医院网络建设的新策略，使得中小型医院的网络建设更安全经济，灵活扩展，轻松管理，有利于医院的长期开展。需求分析1. 本次工程的总体任务如下：充分考虑嘉峪关市酒钢医院工作的新需要、新应用，按

11、照相关系统的国家标准，设计出符合本工程实际的建设方案。方案应以“先进、实用、经济、合理，用管两便、安全可靠，易于扩展的指导思想为原如此，采用先进成熟的主流技术，充分考虑新建系统的可扩大性和与原有系统的兼容性，并表现科学规划、合理布局、预留充分、应用方便的特点，达到现代化、高效、舒适、安全、节能的人文办公环境的要求。在提出完整可行的建设方案的前提下，有效地组织施工，完成整个某市医院新大楼网络系统的建设。2. 网络系统建设应该符合如下要求：1) 安全网络医院信息化工作的特殊性，对网络与信息安全提出了很高的要求。由于安全性的要求与投入成正比，并且涉与管理与应用的方方面面，是一个复杂的系统工程，实际上

12、没有一个绝对安全的系统，安全只是相对而言，所以该原如此是充分评估安全风险，制定安全策略，采取必要的安全措施。其次，局域网部同样面临安全威胁，不同部门、不同类型的应用、不同的人员、不同的工作围决定了不同的权限，我们需要保障这种不同。VLAN、VPN技术、ACL等网络技术提供不同形式层次的保护，同时可以将防火墙、IPS/IDS引入，实现更全面的网安全。另外，防病毒也是网络安全建设必须考虑的重要问题，独立的防病毒软件已不能防在网络中传输的病毒，只有网络设备的介入，才能更好的抵御病毒的攻击，保护信息安全。我们需要安全联动解决方案。2) 可控接入伴随着网络应用技术的快速开展，网络信息安全问题也日益突出。

13、病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响到医院的正常运营。如何应对网络安全威胁，确保医院网络安全，为医院办公的正常运行提供可靠的网络保障，已经是每一个决策者不得不关注得问题，也是每一个网络管理员不得不面对的挑战。目前，多数网络安全事件都是由脆弱的用户终端和“失控的网络使用行为引起。在医院网中，用户终端不与时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大围快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进展有效的控制，是保证医院

14、网络安全运行的前提，也是目前医院网络安全管理急需解决的问题。3) 可管理网络网络管理维护网络建设中非常重要的环节，甚至是最重要的环节，因为建设网络的目的最终是为了使用，而网络管理无疑是保障我们高效、可靠使用网络的必要手段。随着技术的进步，网络管理容和方式已在发生着变化，除了生成拓扑图、配置网络设备、监控网络流量、实时统计和事件报警等根本功能之外，增加了很多新的功能，比如VPN实施，安全认证、安全策略下发、用户跟踪等等。同时，如何灵活、安全地管理网络，也是网络管理开展的重要方向。这一变化使得网络管理地位更加重要。H3C公司的网络管理方案，针对不同规模的网络、不同应用环境量身定做，高效管理网络的同

15、时，可以提高网络的使用效率，降低网络维护本钱，是医院信息化建设的重要组成。4) 高性价比网络满足应用的同时，高性价比是网络建设的不二选择最后，我们强调，系统设计要符合局域网现在和未来35年的需求，不能盲目追求大而全，以最少的投资创造实际需要的功能。网络规划局域网网络系统设计将严格遵守各种相关的技术原如此，遵循各种相关的技术标准和规，整个网络系统设计严格按照以下原如此进展：1先进性和实用性采用先进成熟的技术满足部应用系统的需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频多媒体的传输需要，使整个系统在相当一段时期保持技术的先进性，以适应未来信息化的开展的需要2安全

16、性和可靠性为保证各项业务应用，网络必须具有高可靠性，尽量防止系统的单点故障。要对网络结构、网络设备等各个方面进展高可靠性的设计和建设。在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。3灵活性和可扩展性计算机网络系统是一个不断开展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据不断深入开展的需要，方便的扩展网络覆盖围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性。4开放性和互连性具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的根底设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包

17、括各种局域网、广域网等，坚持统一规的原如此，从而为未来的开展奠定根底。5可管理性由于部局域网本身具有一定复杂性，随着业务的不断开展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。6网络资源的高可用性网络的建设关注整体投资回报，网络资源与应用的实用性是网络建设的根本，在

18、此根底上考虑网络的可靠性、可扩展性、安全性以与可管理性。从两个方面考虑网络的实用性：网络的整体性能和网络运营的开销与回报。网络的性能是由应用系统的数据流量分布、网络设备性能与广域网链路带宽综合决定的。对应用系统的认真分析是网络设备选型以与广域网链路带宽选择的根底。在医院网络上运行的应用系统应综合考虑医院的HIS系统、办公系统、教学系统以与语音与视频应用，尤其在考虑语音与视频应用时应注意对链路带宽的影响。在一定的网络资源条件下，可利用各种技术实施对于关键的应用系统的保障。如通过先进的队列机制进展拥塞控制，对不同等级的数据进展不同的处理，包括时延的不同和丢包率的不同；采用具备先期拥塞控制机制的网络

19、设备，当网络出现真正的拥塞前就自动采取适当的措施，进展先期拥塞控制，防止瞬间大量的丢包现象；对非常重要的特殊应用，应可以采用保存带宽资源的方式保证其QoS。7网络的高可靠性医院信息网络由于运行整个医院的业务系统，需要保证网络的正常运行，不因网络的故障或变化引起政府业务的瞬间质量恶化甚至部业务系统的中断这点十分重要。网络作为数据处理与转发中心，应充分考虑可靠性。 网络的可靠性通过冗余技术实现，包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应具备1+1或1：N热备份的功能，所有模块具备热插拔的功能，当某一关键模块出现

20、故障时，可由备份模块接替其功能。例如在核心交换机S7506R上，配置了11冗余备份的电源模块，保证在任何一个电源模块故障的时候，整个网络仍然能够正常运行。在主控制引擎方面，也配置了高度可靠的冗余引擎，引擎之间利用状态热备份技术保证故障的快速切换，在同等条件下提供业界最为快速的故障切换时间。8网络的高扩展性从我国医院信息系统的开展来看，目前随着门诊系统，住院系统、PACS系统以与远程医疗的网络化，应用系统的大规模使用使得业务流膨胀是必然的趋势，网络系统面临数据流量增大的压力，在设计医院系统信息网络时应充分考虑系统的可扩展性，从而保护网络系统投资。 网络的扩展能力包括设备交换容量的扩展能力、端口数

21、量的扩展能力、主干带宽的扩展，以与网络规模的扩展能力。交换容量扩展应具备在现有根底上继续扩大24倍容量的能力，以适应IP类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以与数据交换能力。端口密度扩展需要认真分析用户和应用系统的扩展可能性，在具备扩展可能性的信息节点配置高可扩展性的网络设备，满足网络扩容时对用户接入以与系统互联的需要。 主干设备应具备充足的接口，满足48倍甚至更高的带宽扩展能力，以适应IP类应用与业务急速膨胀的需求。网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力，应能满足网络扩容时对用户接入以与数据流量变化或增大时处理能力的需要。9)网络的高安全

22、性网络的开展趋势是基于Internet Web技术的开放网络化系统。这不仅带来了新的巨大的使用方便，同时也带来了不断增加的复杂应用与信息技术的挑战，因而安全是医院系统网络建设中要考虑的一个关键因素。网络安全在容上主要应考虑以下5个方面：l 身份鉴别与授权身份包括鉴别和授权。鉴别回答了“你是谁和“你在哪？这两个问题，授权回答“你可以访问什么。必须对身份机制慎重部署，因为如果设施难以使用，即便是最严谨的安全策略也有可能被避开。l 边界安全边界安全涉与到防火墙种类的功能，决定网络的不同区域允许或拒绝何种业务，特别是在Internet和园区网之间或拨入网和园区网之间。l 数据的性和完整性数据的性指确保

23、只有获准能够阅读数据的实体以有效的形式阅读数据，而数据完整性指确保数据在传输过程中未被改动。l 安全监测为检验安全根底设施的有效性，应经常进展定期的安全审查，包括新系统安装检查，发现恶意入侵行为的措施，可能的特殊问题(拒绝业务攻击)以与对安全策略的全面遵守等方面。l 策略管理由于网络安全涉与到以上的多个方面，每一个方面都使用了多种产品和技术，对这些产品进展集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。 10)网络的易管理性 随着网络中设备逐渐增多，网络技术日趋复杂，网络管理的重要性越来越明显网络的复杂导致系统运行的不确定因素增加，可靠性降低，“宕机时间变长且带来的损失越来越大

24、，而往往由于平时对网管的忽略，缺乏受过专业培训的网络管理人员，也缺乏综合的网管解决方案，因而发生问题时无从下手，这才意识到网管的重要。作为一套考虑完善、可靠性要求极高的系统，当然不希望有“亡羊补牢的情况发生，因此网络管理是网络设计必不可少的考虑因素之一，从设备本身操作系统所具备的一些网管功能，到简单的网络管理工具，甚而功能强大的大型管理系统，用户可根据自身的实际网络应用和资金安排，循序渐进，逐步实现全面网络管理功能。与传统的单一应用网络不同，医院信息网络是一个集成了视频和数据的新型网络体系。在这样的一个集成环境中，网络从承载单一的数据到多种不同的应用，如何合理利用带宽资源，保障关键性业务QoS

25、等管理要求成为网络规划管理人员不能回避的问题，网络管理系统必须提供有效的性能监控与流量收集分析的网络工具帮助网络管理人员优化网络性能，准确地进展网络规划。多种业务的集成要求势必带来网络硬件环境的变化。从单一的路由器与交换机的互连到集合了路由器，交换机，IP PHONE，语音网关，视频设备等多样设备的互连，设备管理和配置的直观性，灵活性对网络管理的效率至关重要。Quidview网络管理软件是H3C公司对全线数据通信设备进展统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。2.1骨干层网络中心节点与其它核心节点作为医院网络络系统的心脏，必须提供全线速的数据交换，

26、当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个根本要求：1高密度端口情况下，还能保持各端口的线速转发；2关键模块必须冗余，如管理引擎、电源、风扇。由于医院网络建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带

27、宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。在此方案中，校区网络中心采用Cisco公司路由交换机作为核心交换机。核心层交换机跟会聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。2.2接入层接入层网络由楼栋交换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策

28、略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各会聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。2.3出口因为医院网络出口采用以太网，所以采用路由器 + 防火墙的方式，起到如下作用：防火墙提供强有力的服务器、网安全保护、提供IDS等安全特性；路由器提供出口路由功能，数据处理能力强，具有强大的NAT功能。为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。本医院网络设计方案主要由以下四大局部构成：交换

29、模块、广域网接入模块、远程访问模块、服务器群。整个网络系统的拓扑结构图如如如下图所示。医院网络整体拓扑结构图4.VLAN划分与IP编址方案VLAN号VLAN名称IP网段默认网关说明VLAN 1 -管理 VLANVLAN 10 zyb住院部 VLANVLAN 20 hlb护理部VLANVLAN 30 rsb人事部VLANVLAN 40 yyswb医院事务部VLANVLAN 50 wgk五官科VLANVLAN 60 gk骨科VLANVLAN 70 pfk皮肤科VLANVLAN 80 xek小儿科VLANVLAN 90 jsk精神科VLANVLAN 100 cyk传染病科VLANVLAN 200 F

30、WQQ服务器群 VLAN除了表中的容外，拨号用户从192.168.200.0/27中动态取得IP地址。在这里为每个VLAN定义了一个由拼音缩写组成的VLAN名称。主要技术设计的具体配置过程为了简化交换网络设计、提高交换网络的可扩展性，在园区网部数据交换的部署是分层进展的。园区网数据交换设备可以划分为三个层次：访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网Virtual LAN，VL

31、AN的概念。VLAN将广播域限制在单个VLAN部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议Vlan Trunking Protocol，VTP简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。当园区网络的交换机数量增多、交换机间链路增加时，交换网络的复杂性可能会造成交换环路问题，这需要通过在各交换机上运行生成树协议Spanning Tree

32、 Protocol，STP来解决。一个好的医院网络设计应该是一个分层的设计。一般分为三层设计模型。1.访问层交换服务的实现配置访问层交换机访问层为所有的终端用户提供一个接入点。这里的访问层交换机采用的是Cisco Catalyst 2950 24口交换机WS-C2950-24。交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是Cisco的IOS操作系统。我们以如如下图的访问层交换机AccessSwitch1进展设置。1. 配置访问层交换机AccessSwitch1的根本参数Switch(config)#hostname AccessSwitch1AcccessSwitch1(c

33、onfig)# enable secret 123Switch /设置交换机口令AcccessSwitch1(config)#line vty 0 15 /设置登录虚拟终端线时的口令AcccessSwitch1(config-line)#loginAcccessSwitch1(config-line)#password youguess2. 配置访问层交换机AccessSwitch1的管理IP、默认网关AcccessSwitch1(config)#interface vlan 1AcccessSwitch1(config-if)#no shutddown3配置访问层交换机AccessSwitc

34、h1的VLAN与VTPAcccessSwitch1(config)#vtp mode clientAcccessSwitch1(config)#interface range fatchernet 0/1 24AcccessSwitch1(config-if-range)#duplex fullAcccessSwitch1(config)#interface range fatchernet 0/1 24AcccessSwitch1(config-if-range)#specd 1004. 配置访问层交换机AccessSwitch1的访问端口AcccessSwitch1(config)#Int

35、erface range fastchernet 0/1 -10AcccessSwitch1(config-if-range)#switchport mode accessAcccessSwitch1(config-if-range)#switchport access vlan 10AcccessSwitch1(config)#Interface range fastchernet 0/11 -20AcccessSwitch1(config-if-range)#switchport mode accessAcccessSwitch1(config-if-range)#switchport a

36、ccess vlan 20AcccessSwitch1(config)#Interface range fastchernet 0/11 -20AcccessSwitch1(config-if-range)#spanning-tree portfast5. 配置访问层交换机AccessSwitch1的主干道端口AcccessSwitch1(config)#Interface range fastchernet 0/23 -24AcccessSwitch1(config-if-range)#switchport mode trunkAcccessSwitch1(config)#spanning-

37、tree uplinkfast / 冗余设计AcccessSwitch1(config)#spanning-tree Backbonefast / 加快生成树的收敛7配置访问层交换机AccessSwitch2与AccessSwitch1类似2分布层交换服务的实现配置分布层交换机分布层除了负责将访问层交换机进展聚集外，还为整个交换网络提供VLAN间的路由选择功能。这里的分布层交换机采用的是Cisco Catalyst 3550交换机。作为3层交换机，Cisco Catalyst 3550交换机拥有24个10/100Mbps自适应快速以太网端口，同时还有2个1000Mbps的GBIC端口供上连使用

38、，运行的是Cisco的Integrated IOS操作系统。我们以如如下图中的分布层交换机DistributeSwitch1为例进展设置。1 配置分布层交换机DistributeSwitch1的根本参数Switch#configure terminalEnter congifguration mands,one per line End with TL/ZSwitch(config)#hostname DistributeSwitch1DistributeSwitch1(config)#enable secret youguessDistributeSwitch1(config)#line c

39、on 0DistributeSwitch1(config-line)#logging synchronousDistributeSwitch1(config-line)#exec-timeout 5 30DistributeSwitch1(config-line)#line vty 0 15DistributeSwitch1(config-line)#password abcDistributeSwitch1(config-line)#loginDistributeSwitch1(config-line)# exec-timeout 5 30DistributeSwitch1(config-l

40、ine)#exitDistributeSwitch1(config)#no ip domain-lookup2配置分布层交换机DistributeSwitch1的管理IP、默认网关DistributeSwitch1(config)#interface vlan 1DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config-if)#exit3. 配置分布层交换机DistributeSwitch1的VTPDistributeSwitch1(config)#vtp domain nciae /设置VTP管理域的域名Distribu

41、teSwitch1(config)#vtp mode server /设置VTP服务器DistributeSwitch1(config)#vtp pruning /激活VTP剪裁功能4. 在分布层交换机DistributeSwitch1上定义VLANSwitch#configure terminalEnter configuration mands,one per line.End with TL/ZDistributeSwitch1(config)#vlan 10DistributeSwitch1(config-vlan)#name zybDistributeSwitch1(config)#

42、vlan 20DistributeSwitch1(config-vlan)#name hlbDistributeSwitch1(config)#vlan 30DistributeSwitch1(config-vlan)#name rsbDistributeSwitch1(config)#vlan 40DistributeSwitch1(config-vlan)#name yyswbDistributeSwitch1(config)#vlan 50DistributeSwitch1(config-vlan)#name wgkDistributeSwitch1(config)#vlan 60Dis

43、tributeSwitch1(config-vlan)#name gkDistributeSwitch1(config)#vlan 70DistributeSwitch1(config-vlan)#name pfkDistributeSwitch1(config)#vlan 80DistributeSwitch1(config-vlan)#name xekDistributeSwitch1(config)#vlan 90DistributeSwitch1(config-vlan)#name jskDistributeSwitch1(config)#vlan 100DistributeSwitc

44、h1(config-vlan)#name cykDistributeSwitch1(config)#vlan 200DistributeSwitch1(config-vlan)#name FWQQ5. 配置分布层交换机DistributeSwitch1的端口根本参数DistributeSwitch1(config)#interface range fastethernet 0/1 24DistributeSwitch1(config-if-range)#dupex fullDistributeSwitch1(config-if-range)#speed 100DistributeSwitch1

45、(config-if-range)#interface range fastethernet 0/1 10DistributeSwitch1(config-if-range)#switchport mode accessDistributeSwitch1(config-if-range)#switchport access vlan 200DistributeSwitch1(config-if-range)#spanning-tree portfastDistributeSwitch1(config-if-range)#interface range fastethernet 0/23 24D

46、istributeSwitch1(config-if-range)#switchport mode trunkDistributeSwitch1(config-if-range)#interface range gigabitEthernet 0/1 2DistributeSwitch1(config-if-range)#switchport mode trunk6. 配置分布层交换机DistributeSwitch1的3层交换功能DistributeSwitch1(config)#interface vlan 10DistributeSwitch1(config-if)#no shutdow

47、nDistributeSwitch1(config)#interface vlan 20DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config)#interface vlan 30DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config)#interface vlan 40DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config)#interface vlan 50Distrib

48、uteSwitch1(config-if)#no shutdownDistributeSwitch1(config)#interface vlan 60DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config)#interface vlan 70DistributeSwitch1(config-if)#no shutdownDistributeSwitch1(config)#interface vlan 80DistributeSwitch1(config)#interface vlan 90DistributeSwitc

49、h1(config)#interface vlan 100DistributeSwitch1(config)#interface vlan 200DistributeSwitch1(config-if)#no shutdown7配置分布层交换机DistributeSwitch2分布层交换机DistributeSwitch2的端口FastEthernet 0/23、FastEthernet 0/24分别下连到访问层交换机AccessSwitch1的端口FastEthernet 0/24以与访问层交换机AccessSwitch2的端口FastEthernet 0/24。此外，分布层交换机Distr

50、ibuteSwitch2还通过自己的千兆端口GigabitEthernet 0/1上连到核心交换机CoreSwitch1的GigabitEthernet 3/2。为了实现冗余设计，分布层交换机DistributeSwitch2还通过自己的千兆端口GigabitEthernet 0/2连接到分布层交换机DistributeSwitch1的GigabitEthernet 0/2.另外. 为了实现对无类别网络Classless Network以与全零子网Subnet-zero的支持，在充当3层交换机的分布层交换机DistributeSwitch1，还需要进展适当的配置.DistributeSwitc

51、h1(config)#ip classlessDistributeSwitch1(config)#ip subnet-zero/定义对无类别网络以与全零子网的支持.3 核心层交换服务的实现配置核心层交换机核心层将各分布层交换机互连起来进展穿越园区网骨干的高速数据交换本设计中的核心层交换机采用的是Cisco Catalyst 4006交换机，采用了Catalyst 4500 Supervisor II PlusWS-X4013+作为交换机引擎。运行的是Cisco的Integrated IOS操作系统在作为核心层交换机的Cisco Catalyst 4006交换机中，安装了WS-X4306-GBC

52、atalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC)模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G54841000BASE-SXShort WavelengthGBIC (Multimode only)。以如如下图中的核心层交换机CoreSwitch1为例进展设置1配置核心层交换机CoreSwitch1的根本参数Switch#configure terminalEnter configuration mands,one per line.End with TL/ZSwitch(config)#hostname Distribut

53、eSwitch1CoreSwitch1 (config)#enable secret youguessCoreSwitch1 (config)#line con 0CoreSwitch1 (config-line)#logging synchronousCoreSwitch1 (config-line)#exec-timeout 5 30CoreSwitch1 (config-line)#line vty 0 15CoreSwitch1 (config-line)#password abcCoreSwitch1 (config-line)#loginCoreSwitch1 (config-li

54、ne)# exec-timeout 5 30CoreSwitch1 (config-line)#exitCoreSwitch1 (config)#no ip domain-lookup2配置核心层交换机CoreSwitch1的管理IP、默认网关CoreSwitch1(config)#interface vlan 1CoreSwitch1(config-if)#no shutdownCoreSwitch1(config-if)#exit3配置核心层交换机CoreSwitch1的的VLAN与VTPCoreSwith1(config)#vtp mode client4配置核心层交换机CoreSwit

55、ch1的端口参数核心层交换机CoreSwitch1通过自己的端口FastEthernet 4/3同广域网接入模块Internet路由器相连。同时，核心层交换机CoreSwitch1的端口GigabitEthernet 3/1GigabitEthernet 3/2分别下连到分布层交换机DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet 0/1。DistributeSwitch1(config)#interface range fastethernet 0/1 24DistributeSwitch1(config-if-range)#dupe

56、x fullDistributeSwitch1(config-if-range)#speed 100DistributeSwitch1(config-if-range)#switchport mode accessDistributeSwitch1(config-if-range)#switchport access vlan 1DistributeSwitch1(config-if-range)#spanning-tree portfastDistributeSwitch1(config-if-range)#interface range gigabitEthernet 3/1 2Distr

57、ibuteSwitch1(config-if-range)#switchport mode trunk此外，为了提供主干道的吞吐量以与实现冗余设计，在本设计中，将核心层交换机CoreSwitch1的千兆端口GigabitEthernet 2/1、GigabitEthernet 2/2捆绑在一起实现2000Mbps的千兆以太网信道，然后再连接到另一台核心层交换机CoreSwitch2。CoreSwitch1 (config)#interface port-channelCoreSwitch1 (config-if)#switchportCoreSwitch1 (config-if)# inter

58、face gigabitEthernet 2/1 2CoreSwitch1 (config-if)#channel-group 1 mode desiruble non-silentCoreSwitch1 (config-if)#no shutdown5配置核心层交换机CoreSwitch1的路由功能核心层交换机CoreSwitch1通过端口FastEthernet 4/3同广域网接入模块Internet路由器相连。因此，需要启用核心层交换机的路由功能。同时，还需要定义通往Internet的路由。这里使用了一条缺省路由命令。其中，下一跳地址是Internet接入路由器的快速以太网接口FastE

59、thernet 0/0的IP地址。CoreSwitch1(config)#ip routing6其它配置定义对无类别网络以与全零子网的支持CoreSwith1(config)#ip classlessCoreSwith1(config)#ip subnet-zeroCoreSwitch2的配置步骤、命令和CoreSwitch1的配置类似.等级保护建设技术体系设计1.1 物理安全设计1.1.1 机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑。机房场地应防止设在建筑物的高层或地下室，以与用水设备的下层或隔壁。1.1.2 机房管理机房出入口安排专人值守，控制、鉴别和记录进入的人员；需进

60、入机房的来访人员须经过申请和审批流程，并限制和监控其活动围。对机房划分区域进展管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。1.1.3 机房环境合理规划设备安装位置，应预留足够的空间作安装、维护与操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁与天花板应进展外表处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火

61、情、自动报警，并自动灭火；机房与相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，防止互相干扰。对关键设备和磁介质实施电磁屏蔽。1.1.4 设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。对介质进展分类标识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。1.2 计算环境安全设计1.2.1 身份鉴别此次网络登录身份鉴别采用安全认证管理平台RG-SMP 2.X专业版，可实现包括网络安全：结构安全、访问控制、安全审计、边界完整性检查、网络设备防护，