醫(yī)院局域網(wǎng)設(shè)計匯總

1、 醫(yī)院局域網(wǎng)設(shè)計班級：物聯(lián)網(wǎng)141姓名：高全全學(xué)號：目錄一、概述3二、需求分析.31.1用戶需求.31.2設(shè)備需求.3三、技術(shù)調(diào)研.43.1 支持VLAN43.2負(fù)載均衡.43.3 網(wǎng)絡(luò)技術(shù)的使用原則.43.4網(wǎng)絡(luò)傳輸技術(shù)43.5網(wǎng)絡(luò)互連技術(shù)43.6網(wǎng)絡(luò)接入技術(shù)53.7網(wǎng)絡(luò)安全技術(shù)53.8網(wǎng)絡(luò)管理技術(shù)53.9 防火墻系統(tǒng)53.10動態(tài)路由分類5四、網(wǎng)絡(luò)設(shè)計方案64.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).64.2網(wǎng)絡(luò)架構(gòu)描述64.3交換機(jī)、路由器、服務(wù)器、防火墻、VPN等設(shè)備選型64.4IP地址配置方案7五、配置命令及相關(guān)截圖8六、連通測試.16七、心得體會.17一、 概述 選擇一家中規(guī)模的醫(yī)院，首先要選擇一家中規(guī)

2、模的網(wǎng)絡(luò)，通過實地調(diào)查等形式了解醫(yī)院的組織結(jié)構(gòu)、網(wǎng)絡(luò)建設(shè)的背景，明確網(wǎng)絡(luò)需求和網(wǎng)絡(luò)性能的評價標(biāo)準(zhǔn)。具體地，包括網(wǎng)絡(luò)建設(shè)的目的與原則、投資規(guī)模、現(xiàn)有網(wǎng)絡(luò)的問題與不足等；網(wǎng)絡(luò)系統(tǒng)中所包含的信息點的數(shù)量、分布及信息流量、應(yīng)用程序的類型及對QoS的要求、是否需要提供廣域網(wǎng)接入和網(wǎng)絡(luò)安全上的考慮因素等。二、 需求分析1.1 用戶需求某醫(yī)院需建設(shè)兩個相互獨立的網(wǎng)絡(luò)：一個為內(nèi)部網(wǎng)絡(luò)，用于醫(yī)務(wù)管理系統(tǒng)；一個為信息網(wǎng)絡(luò)，連接Internet。每間房間至少布設(shè)兩個信息點，一個為內(nèi)部網(wǎng)，一個為信息網(wǎng)。1.門診大樓1幢（11層），一樓為掛號、藥房、收費等10個窗口科室，每個科室布設(shè)兩個信息點，大廳安裝5臺服務(wù)器終端，

3、一臺用于大屏幕顯示，4臺為觸摸屏式醫(yī)務(wù)服務(wù)導(dǎo)航。2至11樓為診斷科室，每層樓有20間科室，每間科室布設(shè)2個信息點。2.病房大樓1幢（11層），每層有40間病房，4間值班室，每間值班室布設(shè)兩個信息點，每間病房布設(shè)一個信息網(wǎng)的信息點。3.行政大樓1幢（7層），每層10個辦公室，每間辦公室布設(shè)兩個信息點。網(wǎng)絡(luò)中心位于大樓一層，機(jī)房布設(shè)20個信息點。4.應(yīng)用系統(tǒng)支持：醫(yī)院對外發(fā)表信息的網(wǎng)站，內(nèi)部網(wǎng)絡(luò)的醫(yī)務(wù)管理系統(tǒng)，并配備磁盤陣列和數(shù)據(jù)備份系統(tǒng)。在本項目中需要搭建的網(wǎng)絡(luò)是一個先進(jìn)的、高效的、安全的、可靠的、實用的現(xiàn)代化網(wǎng)絡(luò)。 1.2 設(shè)備需求VPN 設(shè)備 1 臺，路由器 5 臺，三層交換機(jī) 1 臺，二層

4、交換機(jī)18臺，大廳服務(wù)器一臺， 觸摸屏式醫(yī)務(wù)服務(wù)導(dǎo)航服務(wù)器 4臺（簡化為1臺服務(wù)器），醫(yī)務(wù)管理服務(wù)器 21臺，數(shù)據(jù)備份服務(wù)器1臺，（簡化為1臺服務(wù)器）PC 若干； 三、 技術(shù)調(diào)研3.1 支持 VLAN有人說過， “網(wǎng)路交換技術(shù)的靈魂是 VLAN” ，因為 VLAN 能帶來諸如廣播控制、網(wǎng)路安全、性能提高、管理容易等優(yōu)點。VLAN 劃分的技術(shù)通常有如下三種方式： Port Basis: 交換機(jī)或路由器的一個或多個端口劃分在一個 VLAN 之中。 Network Address Basis: 這種方式是以網(wǎng)絡(luò)層的地址為劃分 VLAN 的基礎(chǔ)，由此可用不同的網(wǎng)路協(xié)議劃分不同的 VLAN。 3.2 負(fù)

5、載均衡與 LAN 相比，廣域網(wǎng)帶寬遠(yuǎn)小于 LAN，為了充分有效地利用廣域網(wǎng)和局域網(wǎng)的帶寬， 讓數(shù)據(jù)流合理地分配到 2 條線路或兩臺設(shè)備上，是保證該網(wǎng)能成為高速 數(shù)據(jù)傳輸網(wǎng)絡(luò)的關(guān)鍵。3.3 網(wǎng)絡(luò)技術(shù)的使用原則選用的網(wǎng)絡(luò)技術(shù)要具有先進(jìn)性。但也要注意實用成熟和安全可靠。要防止出現(xiàn)網(wǎng)絡(luò)剛剛建成技術(shù)就已落后的情況。同時也要注意防止由于技術(shù)過于先進(jìn)，國內(nèi)外還沒有人用過或應(yīng)用甚少，使得出現(xiàn)問題難以解決。網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)硬件平臺、軟件平臺、開發(fā)工具、應(yīng)用軟件都應(yīng)選擇具有較長的生命周期，保護(hù)用戶的投資效益。網(wǎng)絡(luò)安全性、 易管理易操作性、技術(shù)先進(jìn)性、 標(biāo)準(zhǔn)化、 可擴(kuò)展性 、可用性、 兼容性 、可靠性 、冗余性 、容

6、錯性。3.4網(wǎng)絡(luò)傳輸技術(shù)網(wǎng)絡(luò)傳輸是指用一系列的線路（光纖，雙絞線等）經(jīng)過電路的調(diào)整變化依據(jù)網(wǎng)絡(luò)傳輸協(xié)議來進(jìn)行通信的過程。其中網(wǎng)絡(luò)傳輸需要介質(zhì)，也就是網(wǎng)絡(luò)中發(fā)送方與接收方之間的物理通路，它對網(wǎng)絡(luò)的數(shù)據(jù)通信具有一定的影響。常用的傳輸介質(zhì)有：雙絞線、同軸電纜、光纖、無線傳輸媒介。網(wǎng)絡(luò)協(xié)議即網(wǎng)絡(luò)中（包括互聯(lián)網(wǎng)）傳遞、管理信息的一些規(guī)范。如同人與人之間相互交流是需要遵循一定的規(guī)矩一樣，計算機(jī)之間的相互通信需要共同遵守一定的規(guī)則，這些規(guī)則就稱為網(wǎng)絡(luò)協(xié)議。網(wǎng)絡(luò)協(xié)議通常被分為幾個層次，通信雙方只有在共同的層次間才能相互聯(lián)系。3.5網(wǎng)絡(luò)互連技術(shù)網(wǎng)絡(luò)互聯(lián)是指將兩個以上的計算機(jī)網(wǎng)絡(luò)，通過一定的方法,用一種或多種通信

7、處理設(shè)備相互連接起來，以構(gòu)成更大的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)互聯(lián)的形式有局域網(wǎng)與局域網(wǎng)，局域網(wǎng)與廣域網(wǎng)，局域網(wǎng)與廣域網(wǎng)與局域網(wǎng)，廣域網(wǎng)與廣域網(wǎng)的互聯(lián)四種。網(wǎng)絡(luò)互聯(lián)是將分布在不同地理位置的網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備連接起來，構(gòu)成更大規(guī)模的網(wǎng)絡(luò)系統(tǒng)，以實現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)資源共享。相互連接的網(wǎng)絡(luò)可以是同種類型的網(wǎng)絡(luò)，也可以是運(yùn)行不同網(wǎng)絡(luò)協(xié)議的異型系統(tǒng)。3.6網(wǎng)絡(luò)接入技術(shù)兩個用戶端設(shè)備在發(fā)送和接收數(shù)據(jù)之前，通過網(wǎng)絡(luò)建立的邏輯鏈路虛電路中使用的所謂邏輯鏈接，是在兩個節(jié)點的對等層通信協(xié)議之間建立的一種連接。一旦連接建立之后，就在網(wǎng)絡(luò)中保持已建立的數(shù)據(jù)通路，用戶發(fā)送的已分組數(shù)據(jù)將按順序通過網(wǎng)絡(luò)到達(dá)終點。當(dāng)用戶不需要發(fā)送和接收數(shù)據(jù)時，清

8、楚連接。3.7網(wǎng)絡(luò)安全技術(shù)含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同 VLAN 內(nèi)的報文在傳輸時是相互隔離的，即一個 VLAN 內(nèi)的用戶不能和其它 VLAN 內(nèi)的用戶直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。增強(qiáng)局域網(wǎng)的安全性。3.8網(wǎng)絡(luò)管理技術(shù)網(wǎng)絡(luò)管理員能借助于VLAN技術(shù)輕松管理整個網(wǎng)絡(luò)。例如需要為完成某個項目建立一個工作組網(wǎng)絡(luò)，其成員可能遍及全國或全世界，此時，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令，就能在幾分鐘內(nèi)建立該項目的VLAN網(wǎng)絡(luò)，其成員使用VLAN網(wǎng)絡(luò)，就像在本地使用局域網(wǎng)一樣。3.9 防火墻系統(tǒng)INTERNET

9、的安全技術(shù)，首先是采用防火墻（Firewall） 。防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。3.10動態(tài)路由分類根據(jù)是否在一個自治系統(tǒng)內(nèi)部使用，路由協(xié)議分為內(nèi)部網(wǎng)關(guān)路由協(xié)議和外部路由網(wǎng)關(guān)協(xié)議。內(nèi)部網(wǎng)關(guān)協(xié)議：在自治系統(tǒng)內(nèi)交換路由選擇信息的路由協(xié)議。常用的因特網(wǎng)內(nèi)部網(wǎng)關(guān)協(xié)議有鏈路狀態(tài)協(xié)議和距離矢量協(xié)議。外部網(wǎng)關(guān)協(xié)議：在自治系統(tǒng)之間減緩路由選擇的互聯(lián)網(wǎng)絡(luò)協(xié)議。包括外部網(wǎng)關(guān)協(xié)議，和邊界路由協(xié)議。（四）網(wǎng)絡(luò)設(shè)計方案4.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖4.2網(wǎng)絡(luò)架構(gòu)描述1、把門診大樓交換機(jī)設(shè)為VTP server，1

10、樓、2-11樓的交換機(jī)設(shè)為VTP client，并且要求client 交換機(jī)能學(xué)習(xí)到server 上的vlan。2、在門診大樓路由器上做單臂路由，保證各區(qū)都能相互訪問。3、在門診大樓路由器上做NAT（這里使用PAT），保證內(nèi)部，1樓、2-11樓主機(jī)訪問外部主機(jī)的時候統(tǒng)一使用地址轉(zhuǎn)換。5、在核心交換機(jī)上設(shè)置訪問控制列表，限制門診大樓和病房大樓相互訪問，但它們都可以訪問行政大樓。6、保證內(nèi)部、外部所有主機(jī)都能訪問服務(wù)器。7、 保證內(nèi)部所有主機(jī)都能訪問外部主機(jī)。4.3交換機(jī)、路由器、服務(wù)器、防火墻、VPN等設(shè)備選型核心層為一臺Cisco Catalyst 3560交換機(jī)，內(nèi)部路由模塊與交換引擎提供2

11、Gbit/s的全雙工速率，32端口的10/100兆比特以太網(wǎng)端口提供百兆全雙工通信。匯聚層采用Cisco 2811路由器綁定Catalyst2960交換機(jī)來模擬三層交換的匯聚功能，通過在路由器的百兆口上劃分子接口來提供接入層VLAN間的通信，從而減小接入層的廣播域，提高網(wǎng)絡(luò)的效率。接入層采用Cisco Catalyst 2960交換機(jī)，根據(jù)功能以及位置的不同，面向用戶劃分不同的VLAN，使網(wǎng)絡(luò)變得更加清晰，同時便于管理。邊界通過一臺Cisco Generic路由器連接到外部，這臺路由器上配置了相應(yīng)的策略路由以及訪問控制列表，外部環(huán)境也是由一臺Cisco Generic路由器代替，其快速以太網(wǎng)口

12、直連一臺主機(jī)。服務(wù)器群由一臺與三層交換機(jī)直連的主機(jī)代替，通過在邊界路由器和匯聚層路由器上放置適當(dāng)?shù)脑L問控制列表來控制非友好用戶對服務(wù)器的訪問。本網(wǎng)絡(luò)環(huán)境選用rip作為三層路由協(xié)議，建立相對穩(wěn)定的路由環(huán)境，減少網(wǎng)絡(luò)的收斂時間，采用802.1q VLAN技術(shù)在二層劃分VLAN，減小廣播域，并通過VTP協(xié)議來建立共享式的VLAN環(huán)境，便于VLAN的管理。通過在學(xué)生樓的匯聚點上采用NAT技術(shù)來利用有限的IP地址資源滿足全部學(xué)生上網(wǎng)的需求。而且在適當(dāng)?shù)奈恢眉尤肓嗽L問控制列表，以用來限制部分用戶的訪問權(quán)限，增強(qiáng)網(wǎng)絡(luò)的安全性。4.4IP地址配置方案門診大樓PC機(jī)IP地址：PC1_vlan10 IP：172.

13、19.0.2/24 網(wǎng)關(guān)：172.19.0.1PC2_vlan20 IP：172.19.8.2/24 網(wǎng)關(guān)：172.19.8.1PC9_vlan30 IP：172.19.16.2/24 網(wǎng)關(guān)：172.19.16.1PC10_vlan40 IP：172.19.24.2/24 網(wǎng)關(guān)：172.19.24.1服務(wù)器的IP地址IP：172.19.32.2/24 網(wǎng)關(guān)：172.19.32.1門診大樓路由器端口IP地址f0/0 IP:192.168.2.2/24f0/0.10 IP: 172.19.0.1/24f0/0.20 IP: 172.19.8.1/24f0/0.30 IP: 172.19.16.1/

14、24f0/0.40 IP: 172.19.24.1/24f0/0.50 IP: 172.19.32.1/24病房大樓PC機(jī)IP地址：PC0_vlan10 IP：211.87.184.2/24 網(wǎng)關(guān)：211.87.184.1PC1_vlan20 IP：211.87.185.2/24 網(wǎng)關(guān)：211.87.185.1PC7_vlan30 IP：211.87.182.2/24 網(wǎng)關(guān)：211.87.182.1PC8_vlan40 IP：211.87.183.2/24 網(wǎng)關(guān)：211.87.183.1病房大樓路由器端口IP地址f0/0 IP：192.168.3.2/24 f1/0.10 IP: 211.87

15、.184.1/24f1/0.20 IP: 211.87.185.1/24f1/0.30 IP: 211.87.182.1/24f1/0.40 IP: 211.87.183.1/24行政大樓主機(jī)IP地址PC2_vlan10 IP：210.87.186.2/24 網(wǎng)關(guān)：210.87.186.1PC3_vlan20 IP：210.87.187.2/24 網(wǎng)關(guān)：210.87.187.1PC5_vlan30 IP：210.87.184.2/24 網(wǎng)關(guān)：210.87.184.1PC6_vlan40 IP：210.87.185.2/24 網(wǎng)關(guān)：210.87.185.1行政大樓路由器端口IP地址f 1/0 I

16、P：192.168.3.2/24 f0/0.10 IP: 210.87.186.1/24f0/0.20 IP: 210.87.187.1/24f0/0.30 IP: 210.87.184.1/24f0/0.40 IP: 210.87.185.1/24核心層交換機(jī)的IP地址Vlan 55 IP：211.87.178.65/24Vlan 66 IP：211.87.179.5/24Vlan 100 IP：192.168.2.1/24Vlan 200 IP：192.168.3.1/24Vlan 300 IP：192.168.4.1/24服務(wù)器的IP地址IP:211.87.178.66/24 網(wǎng)關(guān)：21

17、1.87.178.65邊界路由器的IP地址F0/0 IP:211.87.179.6/24 S2/0 IP:190.10.10.5/24外部路由器的IP地址S2/0 IP:190.10.10.6/24F0/0 IP:202.10.10.1/24 外部主機(jī)IP地址IP:202.10.10.2/24 網(wǎng)關(guān)：202.10.10.1五、配置命令及相關(guān)截圖1、用Packet Tracer 5.0 模擬器畫出拓?fù)鋱D 2、為各個設(shè)備添加IP地址3、首先配置VTP（1）VTP原理：VTP(Vlan Trunking Protocol)是VLAN傳輸協(xié)議，在含有多個交換機(jī)的網(wǎng)絡(luò)中，可以將中心交換機(jī)的VLAN信息發(fā)

18、送到下級的交換機(jī)中。中心交換機(jī)設(shè)置為VTP Server，下級交換機(jī)設(shè)置為VTP Client。VTP Client要能學(xué)習(xí)到VTP Server的VLAN信息，要求在同一個VTP域。（也就是說交換機(jī)server創(chuàng)建vlan，client的交換機(jī)全部學(xué)習(xí)得到，主要用于vlan的統(tǒng)一管理）詳細(xì)配置如下：（門診大樓、病房大樓、行政大樓的VTP、單臂路由、NAT配置是一樣的方式，我在這僅介紹門診大樓的配置。）（2） 把門診大樓交換機(jī)設(shè)為server（4）把門診大樓一樓（一樓10個窗口用2個窗口代替了分別為掛號、藥房）、2-11樓（2-11樓用一層樓代替了）的交換機(jī)設(shè)為client （6）把serve

19、r交換機(jī)的所以端口設(shè)置為trunk（7）把client交換機(jī)連接server交換機(jī)的 端口設(shè)為trunk(1-11層門診大樓交換機(jī)配置都一樣這里以一區(qū)為例)（8）在VTP server上創(chuàng)建5個vlan ：vlan10、vlan20、vlan30、vlan40、50（9） 在client交換機(jī)上查看是否學(xué)習(xí)到vlan（11） 把門診大樓一樓掛號 PC 添加到vlan 10 把門診大樓2-11樓診斷科室 PC 添加到vlan 20把門診大樓一樓藥房 PC 添加到vlan 30把門診大樓2-11樓診斷科室 PC 添加到vlan 404、 門診大樓路由器的配置 在該路由器上要配置的有：單臂路由的配置、NAT的配置、ACL訪問控制列表的配置。（1） 先簡單介紹一下這幾種配置的用途:1) 單臂路由的功能是實現(xiàn)不同vlan 間PC的通信2) NAT的功能是局域網(wǎng)所有的PC共用一個外部合法的IP上網(wǎng)3) ACL的功能是限制某臺PC訪問某個網(wǎng)絡(luò)或者某個PC（或者限制某個網(wǎng)絡(luò)訪問某個網(wǎng)絡(luò)或者某個PC）（2） 開始配置單臂路