山醫(yī)院網(wǎng)絡組建與配置實踐.doc

課程設計題目：華山醫(yī)院網(wǎng)絡組建與配置實踐作者姓名：班級：學號：指導教師：日期：作者簽名：封面華山醫(yī)院網(wǎng)絡組建與配置實踐摘要本文完成了華山醫(yī)院網(wǎng)絡組建的方案設計，其中包括網(wǎng)絡需求分析，IP、VLAN、路由等的規(guī)劃，安全設計，完成路由、VLAN、冗余網(wǎng)關、STP、NAT、ACL等的實踐配置，對相關配置做驗證。關鍵詞：網(wǎng)絡組建、路由、VLAN、IP目錄1引言.11.1項目背景.11.2需求現(xiàn)狀.12需求分析.12.1.網(wǎng)絡系統(tǒng)需求分析.12.2網(wǎng)絡系統(tǒng)穩(wěn)定性需求.22.3網(wǎng)絡傳輸性能需求.22.4網(wǎng)絡系統(tǒng)安全性需求.22.5網(wǎng)絡系統(tǒng)管理需求.22.6無線網(wǎng)絡需求.32.7遠程接入需求.328總結.33拓撲及IP和路由規(guī)劃.33.1拓撲設計及描述.33.2IP和VLAN設計.63.3路由設計.84安全設計.95實踐配置.105.1實踐配置拓撲圖.105.2基礎配置：.115.3路由配置.115.4生成樹配置:.125.5冗余網(wǎng)關配置.125.6DHCP配置.125.7ACL配置.125.8NAT配置.125.9VPN配置.135.10802.1X配置.136實驗測試.136.1DHCP驗證:.136.2STP驗證.136.3路由驗證:.146.3驗證ACL.155.4驗證VRRP.15結論.16參考文獻.16第1頁共19頁1引言1.1項目背景華山醫(yī)院是衛(wèi)生部直屬復旦大學（原上海醫(yī)科大學）附屬的一所綜合性教學醫(yī)院。建院于1907年，前身是中國紅十字會總院，是上海地區(qū)中國人最早創(chuàng)辦的醫(yī)院，1992年首批通過國家三級甲等醫(yī)院評審，目前已成為一所國家高層次的醫(yī)療機構，并為全國醫(yī)療、預防、教學、科研相結合的技術中心，在國內外享有較高的聲譽。隨著醫(yī)療行業(yè)信息化的發(fā)展，為了認真貫徹衛(wèi)生部召開的關于加快醫(yī)衛(wèi)系統(tǒng)信息化建設及管理的會議精神，進一步推進我院的信息化建設，了解國際醫(yī)療信息化發(fā)展動態(tài)，吸收新的技術和管理經(jīng)驗，提高我院信息化應用的管理水平，使我院經(jīng)濟效益和社會效益雙豐收，逐步加快醫(yī)院的信息化建設步伐。在選取“飛”的翅膀時，計算機網(wǎng)絡解決方案的選取是關鍵。銳捷網(wǎng)絡公司以其卓越的產品性能、豐富的產品種類和完善的服務體系，綜合考慮了華山對網(wǎng)絡安全、網(wǎng)絡管理、可靠性、可管理性、可擴展性和高性能的特殊需要，精選出適合華山醫(yī)院的網(wǎng)絡建設的解決方案。1.2需求現(xiàn)狀華山醫(yī)院的網(wǎng)絡系統(tǒng)建設應在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上系統(tǒng)能力上要保持五年左右的先進性。并且從用戶的利益出發(fā)，一個好的系統(tǒng)應當給用戶一定的自由度，而不是束縛住他們的手腳，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。根據(jù)以上種種特性需求，網(wǎng)絡設備核心層、匯聚層、接入層產品，選擇銳捷網(wǎng)絡。銳捷網(wǎng)絡是國內領先的網(wǎng)絡廠商，其對醫(yī)療行業(yè)有著深刻的了解，其產品、方案與服務在醫(yī)療行業(yè)有成熟和廣泛的應用，而且能通過智能、安全及可靠的網(wǎng)絡設備連為一體，來構建網(wǎng)絡系統(tǒng)的設計目標，保障其順利進行。根據(jù)以上描述，結合實際建網(wǎng)情況和前期網(wǎng)絡建設，在充分研究了目前國內外網(wǎng)絡界對園區(qū)網(wǎng)設計所采用的各種網(wǎng)絡主干技術,并充分考慮到技術發(fā)展的主流和趨勢后，建議選擇萬兆以太網(wǎng)為目標，構建華山醫(yī)院的網(wǎng)絡建設，設計“萬兆核心、千兆支干、千兆交換桌面”的網(wǎng)絡拓撲結構，根據(jù)需求分析，結合對應用系統(tǒng)的考慮，提出本期網(wǎng)絡系統(tǒng)的設計目標：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網(wǎng)絡。醫(yī)療行業(yè)由于其特殊性，對于各種系統(tǒng)的穩(wěn)定和可靠都有非常高的要求，華山醫(yī)院在穩(wěn)定可靠的基礎上，以實用為先，應用各種網(wǎng)絡技術，提高網(wǎng)絡數(shù)據(jù)傳輸可靠性、安全性、和高效率是目前醫(yī)療行業(yè)應用的發(fā)展趨勢。同時，也要不斷提高醫(yī)院領導和信息中心對信息化建設的基礎設施網(wǎng)絡系統(tǒng)建設的認識。隨著華山醫(yī)院業(yè)務的不斷發(fā)展，為了給患者提供更好的服務，使更多的患者能夠得到及時有效的醫(yī)療服務。華山醫(yī)院通過不斷的信息化建設，逐步的提升自身的信息化水品。隨著信息化建設的發(fā)展，網(wǎng)絡應用逐漸增多，應用模式更為多樣化，網(wǎng)絡接入信息點數(shù)和接入帶寬不斷增加。原有的網(wǎng)絡系統(tǒng)已經(jīng)不能滿足華山醫(yī)院醫(yī)療服務水品的發(fā)展需要，網(wǎng)絡穩(wěn)定性、網(wǎng)絡傳輸帶寬、網(wǎng)絡安全、網(wǎng)絡管理等問題日趨嚴峻，各種醫(yī)院信息系統(tǒng)的開展受到了現(xiàn)有網(wǎng)絡系統(tǒng)傳輸平臺的制約，因此，需要通過提升基礎網(wǎng)絡平臺的穩(wěn)定性、傳輸帶寬、安全性和可管理性等，促進華山醫(yī)院信息化建設的進一步發(fā)展，為到我院就診的患者提供更高質量的服務，同時，提升我院自身的信息化管理水品，逐步提升我院整體的經(jīng)濟效益和社會效益。2需求分析2.1.網(wǎng)絡系統(tǒng)需求分析為了提升華山醫(yī)院的整體醫(yī)療服務水品，提升醫(yī)院各種醫(yī)療應用系統(tǒng)的服務效率，需要從以下幾個方面考慮華山醫(yī)院網(wǎng)絡系統(tǒng)平臺的建設。第2頁共19頁2.2網(wǎng)絡系統(tǒng)穩(wěn)定性需求醫(yī)療行業(yè)是關系到病人生命安危的重要行業(yè)，華山醫(yī)院的各種應用系統(tǒng)和基礎設備都要保證超高的穩(wěn)定性，如果系統(tǒng)沒有足夠的穩(wěn)定性，一次小小的系統(tǒng)錯誤就可能導致一個生命的滅亡。系統(tǒng)的穩(wěn)定性（7X24穩(wěn)定、可靠、持續(xù)運行）是投入運行的醫(yī)療系統(tǒng)的生命線。由此可見，華山醫(yī)院對于各種系統(tǒng)的穩(wěn)定性需求是對所有系統(tǒng)的最高需求也是最根本的需求。而作為基礎設施的網(wǎng)絡系統(tǒng)的穩(wěn)定性也就成為華山醫(yī)院信息化建設的重要指標。怎樣的網(wǎng)絡結構能夠保證整個網(wǎng)絡的穩(wěn)定、可靠，保證在單點故障的情況下不會對整個網(wǎng)絡造成沖擊，保證核心、骨干設備在出問題的時候能夠無縫的恢復或切換。這些都是華山醫(yī)院網(wǎng)絡系統(tǒng)建設的最根本需要。2.3網(wǎng)絡傳輸性能需求目前華山醫(yī)院的應用系統(tǒng)主要是以HMIS（醫(yī)院管理信息系統(tǒng)）和CIS（臨床信息系統(tǒng)）為主，各種系統(tǒng)對網(wǎng)絡的性能都有不一樣的需要。管理信息系統(tǒng)的應用主要是以文字、圖表和簡單的圖形信息為主，雖然信息量不大，但是對于基礎架構的可靠性和安全性需要較高，對服務質量也有一定的要求。臨床信息系統(tǒng)的應用內容則較為豐富。除了一般文字信息外，醫(yī)療應用數(shù)據(jù)包含大量的圖形、視頻和語音信息。要求安全、可靠、保證服務質量和高性能，需要同時支持語音、視頻和數(shù)據(jù)等多種業(yè)務，又要方便以后的擴展。在某些關鍵應用上，對于服務質量、高性能、高可用性都提出了很高的要求。以華山醫(yī)院重要的PACS（醫(yī)學圖像傳輸存儲系統(tǒng)）為例，在建設了PACS系統(tǒng)之后，堆積如山的膠片、病歷檔案都沒有了，但是在網(wǎng)絡上的數(shù)據(jù)量卻在急劇增長。海量存儲和數(shù)據(jù)瀏覽就成為必須解決的問題。在計算機中一頁文字資料僅占幾千字節(jié)（Kb），而一張數(shù)字化的X線片將產生上百萬字節(jié)（Mb）的信息量，這就是所謂的“兆字節(jié)問題”；在華山醫(yī)院每天的信息量中，有大量的信息是PACS系統(tǒng)的數(shù)據(jù)，醫(yī)院對于這些TB數(shù)量級的數(shù)據(jù)需要經(jīng)常的進行調閱，對于網(wǎng)絡系統(tǒng)，必須有強大的數(shù)據(jù)傳輸能力。2.4網(wǎng)絡系統(tǒng)安全性需求華山醫(yī)院信息系統(tǒng)的安全性包括實體安全、網(wǎng)絡安全、傳輸安全、用戶安全。衛(wèi)生部新規(guī)范重點強調了系統(tǒng)的可靠性和安全性問題，要求門診系統(tǒng)恢復時間在510分鐘之內，系統(tǒng)支持724小時工作，關鍵設備必須有備份系統(tǒng)。一般網(wǎng)絡和服務器等硬件設備在23年之內不易出現(xiàn)故障，這使人們容易心存僥幸。一旦關鍵設備發(fā)生故障，又沒有備用設備或備用鏈路，將造成重大損失。目前，網(wǎng)絡系統(tǒng)中蠕蟲病毒、掃描攻擊、DDOS等攻擊越來越普遍，而這些攻擊將直接導致網(wǎng)絡系統(tǒng)癱瘓和中斷，給醫(yī)院的正常業(yè)務開展造成非常嚴重的影響。例如：單臺主機在進行掃描攻擊的時候，可以瞬間將門診收費的主干網(wǎng)絡設備的系統(tǒng)資源占滿，造成門診收費等系統(tǒng)無法正常通信，嚴重時還將造成全網(wǎng)主干系統(tǒng)數(shù)據(jù)傳輸緩慢或中斷。因此，病毒是目前比較嚴重的問題，尤其是網(wǎng)絡病毒和網(wǎng)絡攻擊型病毒，防范十分困難。如何通過有效的手段控制和防御網(wǎng)絡病毒的攻擊，是華山醫(yī)院在進行網(wǎng)絡建設時必須思考的問題。華山醫(yī)院的內部信息主要是以病人的病例、處方和醫(yī)囑等信息為主，而醫(yī)院是有義務保障病人的信息安全，保證病人的病例、處方和醫(yī)囑信息不被沒有必要的部門或人員查看，同時也要保證信息不能外傳。華山醫(yī)院的信息必須要被保存721年甚至更長時間。因此，如何保證整個系統(tǒng)的保密性、完整性、可用性、可審核性也是華山醫(yī)院信息系統(tǒng)安全性的一部分2.5網(wǎng)絡系統(tǒng)管理需求隨著華山醫(yī)院信息化建設的不斷完善，醫(yī)院網(wǎng)絡的規(guī)模也在不斷的擴展，如何及時有效的發(fā)現(xiàn)網(wǎng)絡中的異常流量，如有有效的控制網(wǎng)絡設備，如何及時的對異常網(wǎng)絡設備進行遠程控制，這一些列的網(wǎng)絡管理和維護問題都必須在網(wǎng)絡建設的初期考慮。針對華山醫(yī)院里網(wǎng)絡技術人才相對匱乏的現(xiàn)狀，網(wǎng)絡建設在安全可靠的基礎上，盡量降第3頁共19頁低網(wǎng)絡的復雜度，便于日后的管理維護。2.6無線網(wǎng)絡需求無線局域網(wǎng)的應用，使華山醫(yī)院信息網(wǎng)絡更加靈活，而且能夠經(jīng)濟、快捷的實現(xiàn)無縫覆蓋。在需要頻繁上網(wǎng)設備的病房，在網(wǎng)絡終端不固定的會議室等區(qū)域，無線網(wǎng)絡都是理想的選擇。配合無線掌上電腦，可以實現(xiàn)很多適合醫(yī)院應用的無線接入服務。華山醫(yī)院臨床醫(yī)學信息系統(tǒng)，突出體現(xiàn)的就是“以病人信息為核心，以病人診療過程為主線”的理念。目前華山醫(yī)院使用的包括：病房醫(yī)生站，門診醫(yī)生站，病房護士站，病人床旁移動信息站（包括醫(yī)生和護士），臨床檢驗分析系統(tǒng)等等），這些信息化系統(tǒng)的配合使用，使得醫(yī)護人員在醫(yī)院中可以隨時隨地獲取病人的最新信息，做出快速反應處理，緊密跟蹤治療過程，大大提高了醫(yī)院的診療效率和縮短了病人等待的周期。相比原有的醫(yī)院信息化的數(shù)據(jù)整理，采集和錄入以及處理都是建立在固定點的基礎上，“移動信息化系統(tǒng)”表現(xiàn)出其靈活，快捷，實時等多項優(yōu)勢，對固定信息站的工作起到了必不可少的補充作用?；凇盁o線網(wǎng)絡”的平臺，讓移動信息系統(tǒng)（BMIS）的功能充分的發(fā)揮了出來，醫(yī)護人員可以借助它大力協(xié)助自己在病人身邊治療護理的工作。它是一個移動信息中心，用戶可以隨時對數(shù)據(jù)進行查閱，瀏覽，記錄，采集，傳輸?shù)忍幚?，還同時實現(xiàn)了人機交流和人人交流。BMIS運用科技手段，幫助醫(yī)院節(jié)省大量的人力物力財力，提高醫(yī)院在病患中的服務形象和科技形象，真正實現(xiàn)“無紙化”，對醫(yī)院的信息化發(fā)展而言是必不可少，勢在必行的環(huán)節(jié)。2.7遠程接入需求遠程醫(yī)療和醫(yī)院間的學術交流、專家會診等正在迅猛發(fā)展。我國的遠程醫(yī)療近幾年發(fā)展迅速，一些著名的醫(yī)學院校、醫(yī)院都建立了遠程會診中心。通過廣域網(wǎng)的數(shù)據(jù)傳輸，不僅可以讓病人在家中得到及時診斷，對于一些重癥病患者，還可以通過遠程專家會診等方式提出有效的醫(yī)療方案。同時，每個醫(yī)院都在設立自己的資源中心，例如：電子書庫等等。特別是一些醫(yī)藥大學的附屬醫(yī)院，對于資源中心的部署作為資源建設的重點。但是，對于一些特殊的醫(yī)學資源，例如：患者的病歷信息，醫(yī)藥學文獻，醫(yī)院內部的行政信息等等，這些信息在需要被醫(yī)院以外的特殊用戶訪問的同時，其安全性和保密性要得到最高的保證。因此，如果有效的為醫(yī)院外部特殊用戶提供安全保密的信息是我們在進行醫(yī)院遠程網(wǎng)絡接入中需要考慮的重點。華山醫(yī)院的廣域網(wǎng)應用越來越多，而怎樣實現(xiàn)高速安全的廣域網(wǎng)數(shù)據(jù)傳輸是進行局域醫(yī)療衛(wèi)生服務系統(tǒng)（GMIS）建設的重點。28總結后期華山醫(yī)院的網(wǎng)絡建設的目標是建設一個集各種數(shù)字化醫(yī)療設備和器械為一體的綜合數(shù)字醫(yī)療系統(tǒng)，而網(wǎng)絡平臺作為這些數(shù)字應用的基礎設施，成為數(shù)字化建設首先考慮的重點，如何建設一個穩(wěn)定，可靠，安全，應用集中的綜合業(yè)務網(wǎng)絡平臺，是華山醫(yī)院信息化建設的根本出發(fā)點。3拓撲及IP和路由規(guī)劃3.1拓撲設計及描述醫(yī)院的內部局域網(wǎng)非常重要，由于醫(yī)院的所有業(yè)務均依賴醫(yī)院內部局域網(wǎng)運行，所以應對內部局域網(wǎng)進行全面重點設計。第4頁共19頁華山醫(yī)院的內網(wǎng)將能覆蓋醫(yī)院全部功能區(qū)，目前華山醫(yī)院有門診樓、放療、急診樓、和新修大樓等。在本次網(wǎng)絡建設中，根據(jù)實際應用和長遠設計，以保證網(wǎng)絡的穩(wěn)定性、可靠性、高速、高安全、可擴充性為前提，采用三層結構的網(wǎng)絡，分為核心層、匯聚層和接入層。醫(yī)院內部局域網(wǎng)核心交換機配備萬兆雙機熱備，通過設備和萬兆鏈路的雙冗余備份和負載均衡實現(xiàn)網(wǎng)絡的高可靠性和穩(wěn)定性，通過核心與匯聚設備之間的萬兆鏈接提升醫(yī)院網(wǎng)絡整體性能。各樓層接入交換機采用單臺或堆疊的形式，提供10/100/1000M自適應的桌面接入能力和1000M上聯(lián)能力,接入交換機均通過光纖連接所屬樓層的匯聚交換機或核心交換機接入醫(yī)院內部局域網(wǎng)。并且為了實現(xiàn)萬兆核心、千兆支干、千兆交換桌面以及各樓層直接與一樓的中心機房經(jīng)過萬兆單膜光纖互聯(lián)的需求，在各個樓層均作為匯聚節(jié)點，雙萬兆上聯(lián)到兩臺核心。同時為業(yè)務備份冗余考慮，規(guī)劃組建備份數(shù)據(jù)中心。3.1.1核心層設計醫(yī)院的網(wǎng)絡中心作為全網(wǎng)的心臟，向醫(yī)院的應用業(yè)務系統(tǒng)源源不斷的提供安全的信息血液，保證整個醫(yī)院信息系統(tǒng)的可靠運行。因此，作為整個網(wǎng)絡平臺的神經(jīng)中樞，網(wǎng)絡核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證7*24小時的穩(wěn)定運行，各種應用服務器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時，還要協(xié)調全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務的同時，保證網(wǎng)絡中心自身的安全。在網(wǎng)絡的可靠性和穩(wěn)定性保障方面，網(wǎng)絡核心設計采用2臺十萬兆核心交換機互為容錯備份，并在核心交換機中采用關鍵模塊冗余設計（如雙電源冗余等），雙核心網(wǎng)絡設計架構，為醫(yī)院網(wǎng)絡提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平臺，同時，提供了一種能夠“自愈”網(wǎng)絡鏈路或設備的單點故障的網(wǎng)絡架構，保證了醫(yī)院網(wǎng)絡能夠提供7*24小時高速穩(wěn)定的數(shù)據(jù)傳輸。為醫(yī)院提供健壯的數(shù)據(jù)傳輸神經(jīng)中樞。同時，從醫(yī)院業(yè)務發(fā)展角度考慮，因此對核心交換機的性能也有非常高的要求。根據(jù)可靠性、穩(wěn)定性、擴展性、性能上的分析，網(wǎng)絡核心建議選用兩臺高性能的銳捷高密度多業(yè)務IPv6核心路由交換機RG-S8610，兩臺核心設備之間采用雙鏈路千兆鏈接，提供高速通道。第5頁共19頁RG-S8610擁有10個擴展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉發(fā)，未來可擴展十萬兆。RG-S8610交換機高達3.2T的背板帶寬和1190Mpps的二/三層包轉發(fā)速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、為醫(yī)院網(wǎng)絡用戶提供超強的數(shù)據(jù)處理能力。同時RG-S8610支持負載均衡、冗余備份、QOS、ACL、策略路由、防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP欺騙、防IP掃描等強大的功能，同時板卡支持分布式處理和熱插拔，是醫(yī)院核心交換機的理想選擇。3.1.2匯聚層、接入層設計匯聚、接入層采用雙鏈路連接，構成一個環(huán)路架構，啟用VRRP或RSTP、MSTP協(xié)議等技術；VRRP協(xié)議通過在兩臺互備份的交換機上對每個VLAN用戶提供一個統(tǒng)一的虛擬網(wǎng)關IP地址，相應VLAN用戶設置PC網(wǎng)關地址時就設置成為該虛擬網(wǎng)關IP，用戶工作時并不用關心真正負責數(shù)據(jù)傳輸?shù)慕粨Q機，在真正負責用戶數(shù)據(jù)傳輸?shù)慕粨Q機出現(xiàn)故障時VRRP協(xié)議可以自動地把用戶數(shù)據(jù)的轉發(fā)工作轉移到另一臺交換機，不僅實現(xiàn)了主機間的備份功能，而且不必更改用戶的網(wǎng)絡設置。RSTP、MSTP等技術在二層上造成網(wǎng)絡環(huán)路的鏈路將邏輯失效，網(wǎng)絡環(huán)路被消除；而在負責數(shù)據(jù)傳輸?shù)幕顒渔溌肥б院笥挚梢约せ钕惹斑壿嬍У逆溌罚Ｕ蠑?shù)據(jù)的正常傳輸，提供冗余備份功能。全網(wǎng)架構，核心層雙萬兆鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺察不到的極短的時間內啟用備份恢復數(shù)據(jù)傳遞，從而保證網(wǎng)絡系統(tǒng)的高可靠性、穩(wěn)定性的運行?？紤]到接入信息點集中，同時醫(yī)院的應用多元化，PACS系統(tǒng)大流量高性能的需求。要求接入層的設備具有端口高密度和設備的高性能、高安全、多功能的特點。采用RG-S2900全千兆智能接入交換機，該系列交換機支持萬兆擴展和萬兆冗余堆疊，滿足了網(wǎng)絡流量成倍提高和多媒體業(yè)務的迅速增長的需要。在提供高性能、高帶寬的同時，S2900交換機提供智能的流分類、完善的服務質量（QoS）和組播應用管理特性，并可以根據(jù)網(wǎng)絡的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡攻擊，控制非法用戶接入和使用網(wǎng)絡，保證合法的用戶合理化地使用網(wǎng)絡資源，充分保障了網(wǎng)絡高效安全、網(wǎng)絡合理化使用和運營。RG-S2900系列交換機特有的CPU保護控制機制，對發(fā)送到CPU的數(shù)據(jù)進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分保障了交換機的安全。RG-S2900系列交換機為方便不同管理員的使用習慣，提供了多種形式的管理工具，如SNMP、Telnet、Web和Console口等。RG-S2900系列交換機以極高的性價比為各類型網(wǎng)絡提供高性能、完善的端到端的QoS服務質量、靈活豐富的安全策略管理。眾多的功能特別適合在醫(yī)院的應用。RG-S5750系列是銳捷網(wǎng)絡推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。該系列交換機接口形式和組合非常靈活，可提供24個10/100/1000M自適應的千兆電口，和靈活復用的高密度千兆SFP光纖連接，滿足網(wǎng)絡建設中不同介質的連接需要。同時為滿足網(wǎng)絡的彈性擴展，和高帶寬傳輸需要，可靈活彈性擴展多種類型的萬兆模塊。特別適合高帶寬、高性能和靈活擴展的大型網(wǎng)絡匯聚層，中型網(wǎng)絡核心，以及數(shù)據(jù)中心服務器接入的使用。RG-S5750可作為門診大樓匯聚交換機。匯聚大樓內所有節(jié)點及數(shù)據(jù)。同時，采用雙萬兆鏈路鏈接醫(yī)院核心交換機，提供高速通道，為門診大樓的業(yè)務開展打下堅實的基礎。3.1.3出口網(wǎng)絡設計華山醫(yī)院有到醫(yī)保、社保、干保、銀行的業(yè)務對接，內網(wǎng)在出口處需要強大的路由策略支撐能力和強大的安全防護能力,配置一臺RG-RSR50可信多業(yè)務路由器，實現(xiàn)完備路由策略支撐能力。為了保障出口安全性，在出口加入一臺RG-WALL2000防火墻，防火墻工作在透明橋模式，路由器承擔NAT功能。這種部署方式的優(yōu)點在于防火墻重點任務是完成過濾規(guī)則的安全訪問控制，而將其工作在透明橋模式，使得網(wǎng)絡結構更清晰明了，尤其是在網(wǎng)絡測試和性能分析是可以臨時把防火墻撤掉而不用修改網(wǎng)絡的邏輯結構，也不需要修改其他網(wǎng)絡設備的配置，方便管理員的維護管理。第6頁共19頁為了讓遠程用戶能夠進入到內網(wǎng)訪問內網(wǎng)資源，在出口路由器上需要配置VPN，為了最大程度地達到安全性，選用IPsecVPN技術。3.2IP和VLAN設計32.1VLAN設計在醫(yī)院內部網(wǎng)絡的整個網(wǎng)絡規(guī)劃當中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術的功能，能起到事半功倍的效果，對整個網(wǎng)絡的性能也是事關重要的。主要突出為以下幾點：VLAN劃分，可以避免廣播風暴，在骨干網(wǎng)絡中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN是廣播只在子網(wǎng)中進行，不會做無意義的廣播，消除了廣播風暴產生的條件。VLAN劃分，可以增加網(wǎng)絡的安全性，在不同的VLAN之間不能隨意通訊