《A醫(yī)院網(wǎng)絡(luò)的邏輯設(shè)計(jì)案例》4400字

A醫(yī)院網(wǎng)絡(luò)的邏輯設(shè)計(jì)案例綜述目錄TOC\o"1-2"\h\u19222A醫(yī)院網(wǎng)絡(luò)的邏輯設(shè)計(jì)案例綜述 [6]。關(guān)于IP地址規(guī)劃應(yīng)遵循以下原則：（1）IP地址的唯一性（2）IP地址規(guī)劃的簡單性（3）IP地址規(guī)劃的層次性（4）IP地址的連續(xù)性。（5）IP地址規(guī)劃的可擴(kuò)展性（6）IP地址規(guī)劃的靈活性（7）網(wǎng)絡(luò)的安全性（8）IP地址根據(jù)需要采用靜態(tài)配置或動(dòng)態(tài)分配1.4.2IP地址劃分根據(jù)以上原則，結(jié)合300醫(yī)院的實(shí)際情況，IP地址規(guī)劃如下：（1）機(jī)房區(qū)域的IP地址及掩碼：-45、（2）財(cái)務(wù)部的IP地址：-54、（3）行政大樓的IP地址：-54、（4）內(nèi)科住院部的IP地址：-54、（5）內(nèi)科住院部的IP地址：-54、（6）綜合門診大樓的IP地址：-54、IP地址規(guī)劃如表1.3所示表1.3IP地址劃分區(qū)域IP范圍子網(wǎng)掩碼網(wǎng)關(guān)機(jī)房-5454財(cái)務(wù)部-5453行政辦公區(qū)-5453內(nèi)科住院部-5452外科住院部-5452綜合醫(yī)療門診-54521.5冗余規(guī)劃與設(shè)計(jì)醫(yī)院的網(wǎng)絡(luò)屬于中小型企業(yè)網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)中的數(shù)據(jù)流量屬于大型，在網(wǎng)絡(luò)建設(shè)過程中若使用傳統(tǒng)的單一線路、核心設(shè)備單一，則會(huì)使得網(wǎng)絡(luò)冗余度小、易產(chǎn)生時(shí)延、帶寬有限等問題，作為醫(yī)院的網(wǎng)絡(luò)系統(tǒng)需保持高可用性、高性能以滿足日常需求。針對(duì)這些問題，在網(wǎng)絡(luò)建設(shè)時(shí)采用冗余鏈路設(shè)計(jì)，如果設(shè)備之間的某條鏈路出現(xiàn)故障，也能夠使之繼續(xù)正常運(yùn)行，鏈路冗余技術(shù)是保證高可靠性網(wǎng)絡(luò)的重要部分。在醫(yī)院的網(wǎng)絡(luò)架構(gòu)中，核心結(jié)點(diǎn)處使用雙核心交換機(jī)，在兩核心交換機(jī)上使用虛擬路由冗余協(xié)議VRRP，形成網(wǎng)關(guān)冗余，網(wǎng)關(guān)的冗余雖然增大了開銷，但是能夠避免醫(yī)院網(wǎng)絡(luò)的在單網(wǎng)關(guān)出現(xiàn)故障時(shí)網(wǎng)絡(luò)就無法正常運(yùn)行的問題。使用VRRP協(xié)議將兩臺(tái)核心交換機(jī)組成一個(gè)VRRP備份組，一個(gè)備份組可以模擬成單個(gè)虛擬網(wǎng)關(guān)，在一個(gè)VRRP備份組中，只有一臺(tái)交換機(jī)作為主網(wǎng)關(guān)，其余交換機(jī)作為備份網(wǎng)關(guān)。只有主網(wǎng)關(guān)轉(zhuǎn)發(fā)IP分組，當(dāng)主網(wǎng)關(guān)失效后，VRRP選擇備份組中的備份網(wǎng)關(guān)作為主網(wǎng)關(guān)進(jìn)行IP分組的轉(zhuǎn)發(fā)。在兩臺(tái)核心交換機(jī)之間，可使用多條物理網(wǎng)線進(jìn)行設(shè)備的連接。使用鏈路聚合協(xié)議將這些物理鏈路聚合成一條邏輯鏈路，多個(gè)物理端口形成一個(gè)邏輯接口，增加鏈路帶寬、使鏈路傳輸具有彈性。1.6路由協(xié)議的選擇OSPF是廣泛使用的一種動(dòng)態(tài)路由協(xié)議，它屬于鏈路狀態(tài)路由協(xié)議。在A醫(yī)院網(wǎng)絡(luò)中，存在的信息點(diǎn)數(shù)量多，不同的建筑大樓對(duì)應(yīng)不同的網(wǎng)段設(shè)計(jì)，所以在網(wǎng)絡(luò)的路由配置時(shí)選擇使用OSPF協(xié)議，該協(xié)議根據(jù)自己的SPF算法可以使醫(yī)院的大部分網(wǎng)絡(luò)動(dòng)態(tài)創(chuàng)建路由項(xiàng)，而無須網(wǎng)絡(luò)管理員人工配置一條條需指明的靜態(tài)路由條目，而且OSPF協(xié)議在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，可以自動(dòng)計(jì)算、更正路由，極大地方便了網(wǎng)絡(luò)管理。在兩臺(tái)核心交換機(jī)和防火墻上均使用OSPF動(dòng)態(tài)路由協(xié)議，將核心交換機(jī)和防火墻上的接口的網(wǎng)段進(jìn)行宣告，使協(xié)議根據(jù)接口網(wǎng)段計(jì)算和生成路由，從而進(jìn)行數(shù)據(jù)交換。1.7生成樹協(xié)議應(yīng)用生成樹協(xié)議STP，是工作于數(shù)據(jù)鏈路層的通信協(xié)議。在一個(gè)以太網(wǎng)存在冗余路徑時(shí)通常使用該協(xié)議，以避免終端之間產(chǎn)生環(huán)路。在A醫(yī)院網(wǎng)絡(luò)建設(shè)中，為了提高網(wǎng)絡(luò)的高可用性進(jìn)行了冗余設(shè)計(jì)，而冗余設(shè)計(jì)在提高網(wǎng)絡(luò)的可用性的同時(shí)也帶來了產(chǎn)生環(huán)路的風(fēng)險(xiǎn)，為了避免環(huán)路的產(chǎn)生故可使用生成樹協(xié)議中的多生成樹協(xié)議MSTP。MSTP協(xié)議可以基于VLAN構(gòu)建生成樹，且生成樹可以有不同的根交換機(jī)和起作用的物理鏈路。因此，可以通過配置使得VLAN間存在冗余路徑，以及不同VLAN對(duì)應(yīng)不同的根交換機(jī)，且可以通過生成樹協(xié)議實(shí)現(xiàn)容錯(cuò)功能。在醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)中，在所有交換機(jī)上將VLAN10、VLAN20、VLAN30與生成樹實(shí)例instance1綁定、將VLAN40、VLAN50、VLAN60與生成樹實(shí)例instance2綁定，在核心交換機(jī)C-SW1上將生成樹實(shí)例instance1的優(yōu)先值設(shè)置為0，instance2的優(yōu)先值設(shè)置為4096，且生成樹實(shí)例的優(yōu)先值越低，優(yōu)先級(jí)越高，使得核心交換機(jī)C-SW1成為VLAN10、VLAN20、VLAN30的根交換機(jī)，核心交換機(jī)C-SW2與C-SW1相反，調(diào)整優(yōu)先值使得VLAN40、VLAN50、VLAN60的根交換機(jī)為C-SW2。1.8網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)計(jì)前面說到的醫(yī)院的網(wǎng)絡(luò)地址規(guī)劃，醫(yī)院使用的地址是私有IP地址，私有IP地址是不能訪問互聯(lián)網(wǎng)同時(shí)也不能被互聯(lián)網(wǎng)訪問的，要使內(nèi)部網(wǎng)絡(luò)（私網(wǎng)IP）與因特網(wǎng)通信，則可以使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議。在醫(yī)院與外網(wǎng)連接的防火墻上，使用NAT的出接口地址方式(Easy-IP)進(jìn)行地址轉(zhuǎn)換，Easy-IP指的是利用以太網(wǎng)的出接口公網(wǎng)IP地址，作為內(nèi)網(wǎng)IP地址進(jìn)行NAT轉(zhuǎn)換后的地址，在此次網(wǎng)路設(shè)計(jì)中即指防火墻的出接口G1/0/0接口地址。使得內(nèi)網(wǎng)訪問外網(wǎng)時(shí)都用防火墻的出接口G1/0/0地址即進(jìn)行訪問，使用Easy-IP方式，節(jié)約了公網(wǎng)IP地址的使用和相關(guān)費(fèi)用。1.9防火墻的安全設(shè)計(jì)防火墻作為A醫(yī)院連接互聯(lián)網(wǎng)的邊界設(shè)備，出接口配置公網(wǎng)地址，在防火墻上做相應(yīng)的NAT轉(zhuǎn)換，設(shè)計(jì)安全域與不安全域，將于內(nèi)網(wǎng)連接的接口添加到安全域，即防火墻的G0/0/0、G1/0/1、G1/0/2屬于安全域，與外網(wǎng)連接的接口劃分為不安全域，即G1/0/0為不安全域，配置安全策略，進(jìn)行訪問控制，醫(yī)院內(nèi)網(wǎng)拒絕外網(wǎng)的一切訪問。詳細(xì)看網(wǎng)絡(luò)設(shè)備的配置。1.10動(dòng)態(tài)獲取IP地址醫(yī)院建筑中的計(jì)算機(jī)數(shù)量大，若采用人工配置IP地址，大大增加了工作量，在網(wǎng)絡(luò)建設(shè)中選擇采用DHCP協(xié)議，使網(wǎng)絡(luò)中的終端設(shè)備動(dòng)態(tài)獲取IP地址信息。在A醫(yī)院的網(wǎng)絡(luò)設(shè)計(jì)中，采用DHCP動(dòng)態(tài)獲取IP地址的基于接口的模式，DHCP

select

interface，基于接口模式是調(diào)用接口下面的IP信息和網(wǎng)關(guān)，然后自動(dòng)下發(fā)DHCP地址，無需再配置地址池。1.11鏈路聚合技術(shù)鏈路聚合技術(shù)可以將多條物理鏈路聚合形成一條邏輯鏈路，增加網(wǎng)絡(luò)接口的帶寬[]。鏈路的聚合即為接口的聚合，多個(gè)物理接口形成一個(gè)邏輯接口，邏輯接口的帶寬是物理接口帶寬的疊加，故而使邏輯鏈路的帶寬增加。不同的聚合鏈路對(duì)應(yīng)不同的鏈路聚合接口，用編號(hào)唯一標(biāo)識(shí)。鏈路聚合技術(shù)通常在以太網(wǎng)的冗余設(shè)備中使用，常常與VL