医院局域网设计文档格式.docx
《医院局域网设计文档格式.docx》由会员分享,可在线阅读,更多相关《医院局域网设计文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
网络中心位于大楼一层,机房布设20个信息点。
4.应用系统支持:
医院对外发表信息的网站,内部网络的医务管理系统,并配备磁盘阵列和数据备份系统。
在本项目中需要搭建的网络是一个先进的、高效的、安全的、可靠的、实用的现代化网络。
1.2设备需求
VPN设备1台,路由器5台,三层交换机1台,二层交换机18台,大厅服务器一台,触摸屏式医务服务导航服务器4台(简化为1台服务器),医务管理服务器21台,数据备份服务器1台,(简化为1台服务器)PC若干;
三、技术调研
3.1支持VLAN
有人说过,“网路交换技术的灵魂是VLAN”,因为VLAN能带来诸如广播控制、网路安全、性能提高、管理容易等优点。
VLAN划分的技术通常有如下三种方式:
PortBasis:
交换机或路由器的一个或多个端口划分在一个VLAN之中。
NetworkAddressBasis:
这种方式是以网络层的地址为划分VLAN的基础,由此可用不同的网路协议划分不同的VLAN。
3.2负载均衡
与LAN相比,广域网带宽远小于LAN,为了充分有效地利用广域网和局域网的带宽,让数据流合理地分配到2条线路或两台设备上,是保证该网能成为高速数据传输网络的关键。
3.3网络技术的使用原则
选用的网络技术要具有先进性。
但也要注意实用成熟和安全可靠。
要防止出现网络刚刚建成技术就已落后的情况。
同时也要注意防止由于技术过于先进,国内外还没有人用过或应用甚少,使得出现问题难以解决。
网络结构、网络硬件平台、软件平台、开发工具、应用软件都应选择具有较长的生命周期,保护用户的投资效益。
网络安全性、易管理易操作性、技术先进性、标准化、可扩展性、可用性、兼容性、可靠性、冗余性、容错性。
3.4网络传输技术
网络传输是指用一系列的线路(光纤,双绞线等)经过电路的调整变化依据网络传输协议来进行通信的过程。
其中网络传输需要介质,也就是网络中发送方与接收方之间的物理通路,它对网络的数据通信具有一定的影响。
常用的传输介质有:
双绞线、同轴电缆、光纤、无线传输媒介。
网络协议即网络中(包括互联网)传递、管理信息的一些规范。
如同人与人之间相互交流是需要遵循一定的规矩一样,计算机之间的相互通信需要共同遵守一定的规则,这些规则就称为网络协议。
网络协议通常被分为几个层次,通信双方只有在共同的层次间才能相互联系。
3.5网络互连技术
网络互联是指将两个以上的计算机网络,通过一定的方法,用一种或多种通信处理设备相互连接起来,以构成更大的网络系统。
网络互联的形式有局域网与局域网,局域网与广域网,局域网与广域网与局域网,广域网与广域网的互联四种。
网络互联是将分布在不同地理位置的网络、网络设备连接起来,构成更大规模的网络系统,以实现网络的数据资源共享。
相互连接的网络可以是同种类型的网络,也可以是运行不同网络协议的异型系统。
3.6网络接入技术
两个用户端设备在发送和接收数据之前,通过网络建立的逻辑链路虚电路中使用的所谓逻辑链接,是在两个节点的对等层通信协议之间建立的一种连接。
一旦连接建立之后,就在网络中保持已建立的数据通路,用户发送的已分组数据将按顺序通过网络到达终点。
当用户不需要发送和接收数据时,清楚连接。
3.7网络安全技术
含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
增强局域网的安全性。
3.8网络管理技术
网络管理员能借助于VLAN技术轻松管理整个网络。
例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
3.9防火墙系统
INTERNET的安全技术,首先是采用防火墙(Firewall)。
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
3.10动态路由分类
根据是否在一个自治系统内部使用,路由协议分为内部网关路由协议和外部路由网关协议。
内部网关协议:
在自治系统内交换路由选择信息的路由协议。
常用的因特网内部网关协议有链路状态协议和距离矢量协议。
外部网关协议:
在自治系统之间减缓路由选择的互联网络协议。
包括外部网关协议,和边界路由协议。
(四)网络设计方案
4.1网络拓扑结构图
4.2网络架构描述
1、把门诊大楼交换机设为VTPserver,1楼、2-11楼的交换机设为VTPclient,并且要求client交换机能学习到server上的vlan。
2、在门诊大楼路由器上做单臂路由,保证各区都能相互访问。
3、在门诊大楼路由器上做NAT(这里使用PAT),保证内部,1楼、2-11楼主机访问外部主机的时候统一使用地址转换。
5、在核心交换机上设置访问控制列表,限制门诊大楼和病房大楼相互访问,但它们都可以访问行政大楼。
6、保证内部、外部所有主机都能访问服务器。
7、保证内部所有主机都能访问外部主机。
4.3交换机、路由器、服务器、防火墙、VPN等设备选型
核心层为一台CiscoCatalyst3560交换机,内部路由模块与交换引擎提供2Gbit/s的全双工速率,32端口的10/100兆比特以太网端口提供百兆全双工通信。
汇聚层采用Cisco2811路由器绑定Catalyst2960交换机来模拟三层交换的汇聚功能,通过在路由器的百兆口上划分子接口来提供接入层VLAN间的通信,从而减小接入层的广播域,提高网络的效率。
接入层采用CiscoCatalyst2960交换机,根据功能以及位置的不同,面向用户划分不同的VLAN,使网络变得更加清晰,同时便于管理。
边界通过一台CiscoGeneric路由器连接到外部,这台路由器上配置了相应的策略路由以及访问控制列表,外部环境也是由一台CiscoGeneric路由器代替,其快速以太网口直连一台主机。
服务器群由一台与三层交换机直连的主机代替,通过在边界路由器和汇聚层路由器上放置适当的访问控制列表来控制非友好用户对服务器的访问。
本网络环境选用rip作为三层路由协议,建立相对稳定的路由环境,减少网络的收敛时间,采用802.1qVLAN技术在二层划分VLAN,减小广播域,并通过VTP协议来建立共享式的VLAN环境,便于VLAN的管理。
通过在学生楼的汇聚点上采用NAT技术来利用有限的IP地址资源满足全部学生上网的需求。
而且在适当的位置加入了访问控制列表,以用来限制部分用户的访问权限,增强网络的安全性。
4.4IP地址配置方案
门诊大楼PC机IP地址:
PC1_vlan10IP:
172.19.0.2/24网关:
172.19.0.1
PC2_vlan20IP:
172.19.8.2/24网关:
172.19.8.1
PC9_vlan30IP:
172.19.16.2/24网关:
172.19.16.1
PC10_vlan40IP:
172.19.24.2/24网关:
172.19.24.1
服务器的IP地址
IP:
172.19.32.2/24网关:
172.19.32.1
门诊大楼路由器端口IP地址
f0/0IP:
192.168.2.2/24
f0/0.10IP:
172.19.0.1/24
f0/0.20IP:
172.19.8.1/24
f0/0.30IP:
172.19.16.1/24
f0/0.40IP:
172.19.24.1/24
f0/0.50IP:
172.19.32.1/24
病房大楼PC机IP地址:
PC0_vlan10IP:
211.87.184.2/24网关:
211.87.184.1
PC1_vlan20IP:
211.87.185.2/24网关:
211.87.185.1
PC7_vlan30IP:
211.87.182.2/24网关:
211.87.182.1
PC8_vlan40IP:
211.87.183.2/24网关:
211.87.183.1
病房大楼路由器端口IP地址
f0/0IP:
192.168.3.2/24
f1/0.10IP:
211.87.184.1/24
f1/0.20IP:
211.87.185.1/24
f1/0.30IP:
211.87.182.1/24
f1/0.40IP:
211.87.183.1/24
行政大楼主机IP地址
PC2_vlan10IP:
210.87.186.2/24网关:
210.87.186.1
PC3_vlan20IP:
210.87.187.2/24网关:
210.87.187.1
PC5_vlan30IP:
210.87.184.2/24网关:
210.87.184.1
PC6_vlan40IP:
210.87.185.2/24网关:
210.87.185.1
行政大楼路由器端口IP地址
f1/0IP:
210.87.186.1/24
210.87.187.1/24
210.87.184.1/24
210.87.185.1/24
核心层交换机的IP地址
Vlan55IP:
211.87.178.65/24
Vlan66IP:
211.87.179.5/24
Vlan100IP:
192.168.2.1/24
Vlan200IP:
192.168.3.1/24
Vlan300IP:
192.168.4.1/24
IP:
211.87.178.66/24网关:
211.87.178.65
边界路由器的IP地址
F0/0IP:
211.87.179.6/24
S2/0IP:
190.10.10.5/24
外部路由器的IP地址
190.10.10.6/24
202.10.10.1/24
外部主机IP地址
202.10.10.2/24网关:
202.10.10.1
五、配置命令及相关截图
1、用PacketTracer5.0模拟器画出拓扑图
2、为各个设备添加IP地址
3、首先配置VTP
(1)VTP原理:
VTP(VlanTrunkingProtocol)是VLAN传输协议,在含有多个交换机的网络中,可以将中心交换机的VLAN信息发送到下级的交换机中。
中心交换机设置为VTPServer,下级交换机设置为VTPClient。
VTPClient要能学习到VTPServer的VLAN信息,要求在同一个VTP域。
(也就是说交换机server创建vlan,client的交换机全部学习得到,主要用于vlan的统一管理)
详细配置如下:
(门诊大楼、病房大楼、行政大楼的VTP、单臂路由、NAT配置是一样的方式,我在这仅介绍门诊大楼的配置。
)
(2)把门诊大楼交换机设为server
(4)把门诊大楼一楼(一楼10个窗口用2个窗口代替了分别为挂号、药房)、2-11楼(2-11楼用一层楼代替了)的交换机设为client
(6)把server交换机的所以端口设置为trunk
(7)把client交换机连接server交换机的端口设为trunk
(1-11层门诊大楼交换机配置都一样这里以一区为例)
(8)在VTPserver上创建5个vlan:
vlan10、vlan20、vlan30、vlan40、50
(9)在client交换机上查看是否学习到vlan
(11)把门诊大楼一楼挂号PC添加到vlan10
把门诊大楼2-11楼诊断科室PC添加到vlan20
把门诊大楼一楼药房PC添加到vlan30
把门诊大楼2-11楼诊断科室PC添加到vlan40
4、门诊大楼路由器的配置
在该路由器上要配置的有:
单臂路由的配置、NAT的配置、ACL访问控制列表的配置。
(1)先简单介绍一下这几种配置的用途:
1)单臂路由的功能是实现不同vlan间PC的通信
2)NAT的功能是局域网所有的PC共用一个外部合法的IP上网
3)ACL的功能是限制某台PC访问某个网络或者某个PC(或者限制某个网络访问某个网络或者某个PC)
(2)开始配置单臂路由
(4)配置NAT
5、三层交换机的配置
在三层交换机上创建三个vlan:
vlan55、vlan66、vlan100vlan200、vlan300
分别给这三个vlan添加IP地址,最后把接口添加到相应vlan。
双击进入核心层交换机配置模式
(1)、创建vlan并添加IP
(3)、把接口添加到vlan
(4)、给三层交换机添加动态路由协议rip
(6)、在门诊大楼上启用rip路由协议
6、边界路由器和外部路由器的配置
进入边界路由器命令行配置
进入外部路由器命令行配置
用门诊大楼ping应用系统服务器
用外部主机ping应用系统服务器
用门诊大楼ping行政大楼和大厅服务器
验和课余实践操作,掌握了交换机上vlan的划分和路由器上NAT(网络地址转换)配置。
网络设备的配置与管理的难点,应该在原理的理解上,因为要设计一个可以高效安全互连通信的网络,使用什么设备,配置后,错误检查,都需要对各种网络互连设备的工作原理和支持的通信协议有一定的了解。
在实验中就有深刻的体会,错误检查,是一个很麻烦的过程,在你熟悉自己网络中的各设备配置的基础上,还要根据设备工作原理和各种协议的内容作用进行分析,记得最后一堂实验课中给老师检查综合实验时,出错了,自己和同学一起检查了半堂课都没找出什么原因,后来还是自己回去之后,分析才知道是端口的错误配置导致所有PC机之间不能正常通信。
升级会员 