组网与配置综合实践课程设计.doc

1、医院网络组建与配置实践摘 要本文完成了华山医院网络组建的方案设计，其中包括网络需求分析，IP、VLAN、路由等的规划，安全设计，完成路由、VLAN、冗余网关、STP、NAT、ACL等的实践配置，对相关配置做验证。关键词：网络组建、路由、VLAN、IP目 录1 引言11.1 项目背景11.2 需求现状12 需求分析12.1.网络系统需求分析12.2网络系统稳定性需求22.3网络传输性能需求22.4网络系统安全性需求22.5网络系统管理需求22.6无线网络需求32.7远程接入需求328总结33 拓扑及IP和路由规划33.1 拓扑设计及描述33.2 IP和VLAN设计63.3 路由设计84 安全设计

2、95 实践配置105.1实践配置拓扑图105.2基础配置：115.3路由配置115.4生成树配置:125.5冗余网关配置125.6DHCP配置125.7ACL配置125.8NAT配置125.9VPN配置135.10 802.1X配置136 实验测试136.1DHCP验证:136.2STP验证136.3路由验证:146.3验证ACL155.4验证VRRP15结 论16参考文献16 1 引言1.1 项目背景华山医院是卫生部直属复旦大学（原上海医科大学）附属的一所综合性教学医院。建院于1907年，前身是中国红十字会总院，是上海地区中国人最早创办的医院，1992年首批通过国家三级甲等医院评审，目前已成

3、为一所国家高层次的医疗机构，并为全国医疗、预防、教学、科研相结合的技术中心，在国内外享有较高的声誉。随着医疗行业信息化的发展，为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进我院的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高我院信息化应用的管理水平，使我院经济效益和社会效益双丰收，逐步加快医院的信息化建设步伐。在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。锐捷网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了华山对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合华山医院的网络建设的解决

4、方案。1.2 需求现状华山医院的网络系统建设应在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据以上种种特性需求，网络设备核心层、汇聚层、接入层产品，选择锐捷网络。锐捷网络是国内领先的网络厂商，其对医疗行业有着深刻的了解，其产品、方案与服务在医疗行业有成熟和广泛的应用，而且能通过智能、安全及可靠的网络设备连为一体，来构建网络系统的设计目标，保障其顺利进行。根据以上描述，结合实际建网情况和前期网

5、络建设，在充分研究了目前国内外网络界对园区网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后，建议选择万兆以太网为目标，构建华山医院的网络建设，设计“万兆核心、千兆支干、千兆交换桌面”的网络拓扑结构，根据需求分析，结合对应用系统的考虑，提出本期网络系统的设计目标：高性能、高可靠性、高稳定性、高安全性、可管理、可增值的智能安全网络。医疗行业由于其特殊性，对于各种系统的稳定和可靠都有非常高的要求，华山医院在稳定可靠的基础上，以实用为先，应用各种网络技术，提高网络数据传输可靠性、安全性、和高效率是目前医疗行业应用的发展趋势。同时，也要不断提高医院领导和信息中心对信息化建设的基础设施网

6、络系统建设的认识。随着华山医院业务的不断发展，为了给患者提供更好的服务，使更多的患者能够得到及时有效的医疗服务。华山医院通过不断的信息化建设，逐步的提升自身的信息化水品。随着信息化建设的发展，网络应用逐渐增多，应用模式更为多样化，网络接入信息点数和接入带宽不断增加。原有的网络系统已经不能满足华山医院医疗服务水品的发展需要，网络稳定性、网络传输带宽、网络安全、网络管理等问题日趋严峻，各种医院信息系统的开展受到了现有网络系统传输平台的制约，因此，需要通过提升基础网络平台的稳定性、传输带宽、安全性和可管理性等，促进华山医院信息化建设的进一步发展，为到我院就诊的患者提供更高质量的服务，同时，提升我院自

7、身的信息化管理水品，逐步提升我院整体的经济效益和社会效益。2 需求分析2.1.网络系统需求分析为了提升华山医院的整体医疗服务水品，提升医院各种医疗应用系统的服务效率，需要从以下几个方面考虑华山医院网络系统平台的建设。2.2网络系统稳定性需求医疗行业是关系到病人生命安危的重要行业，华山医院的各种应用系统和基础设备都要保证超高的稳定性，如果系统没有足够的稳定性，一次小小的系统错误就可能导致一个生命的灭亡。系统的稳定性（7X24稳定、可靠、持续运行）是投入运行的医疗系统的生命线。由此可见，华山医院对于各种系统的稳定性需求是对所有系统的最高需求也是最根本的需求。而作为基础设施的网络系统的稳定性也就成为

8、华山医院信息化建设的重要指标。怎样的网络结构能够保证整个网络的稳定、可靠，保证在单点故障的情况下不会对整个网络造成冲击，保证核心、骨干设备在出问题的时候能够无缝的恢复或切换。这些都是华山医院网络系统建设的最根本需要。2.3网络传输性能需求目前华山医院的应用系统主要是以HMIS（医院管理信息系统）和CIS（临床信息系统）为主，各种系统对网络的性能都有不一样的需要。管理信息系统的应用主要是以文字、图表和简单的图形信息为主，虽然信息量不大，但是对于基础架构的可靠性和安全性需要较高，对服务质量也有一定的要求。临床信息系统的应用内容则较为丰富。除了一般文字信息外，医疗应用数据包含大量的图形、视频和语音信

9、息。要求安全、可靠、保证服务质量和高性能，需要同时支持语音、视频和数据等多种业务，又要方便以后的扩展。在某些关键应用上，对于服务质量、高性能、高可用性都提出了很高的要求。以华山医院重要的PACS（医学图像传输存储系统）为例，在建设了PACS系统之后，堆积如山的胶片、病历档案都没有了，但是在网络上的数据量却在急剧增长。海量存储和数据浏览就成为必须解决的问题。在计算机中一页文字资料仅占几千字节（Kb），而一张数字化的X线片将产生上百万字节（Mb）的信息量，这就是所谓的“兆字节问题”；在华山医院每天的信息量中，有大量的信息是PACS系统的数据，医院对于这些TB数量级的数据需要经常的进行调阅，对于网络

10、系统，必须有强大的数据传输能力。2.4网络系统安全性需求华山医院信息系统的安全性包括实体安全、网络安全、传输安全、用户安全。卫生部新规范重点强调了系统的可靠性和安全性问题，要求门诊系统恢复时间在510分钟之内，系统支持724小时工作，关键设备必须有备份系统。一般网络和服务器等硬件设备在23年之内不易出现故障，这使人们容易心存侥幸。一旦关键设备发生故障，又没有备用设备或备用链路，将造成重大损失。目前，网络系统中蠕虫病毒、扫描攻击、DDOS等攻击越来越普遍，而这些攻击将直接导致网络系统瘫痪和中断，给医院的正常业务开展造成非常严重的影响。例如：单台主机在进行扫描攻击的时候，可以瞬间将门诊收费的主干网

11、络设备的系统资源占满，造成门诊收费等系统无法正常通信，严重时还将造成全网主干系统数据传输缓慢或中断。因此，病毒是目前比较严重的问题，尤其是网络病毒和网络攻击型病毒，防范十分困难。如何通过有效的手段控制和防御网络病毒的攻击，是华山医院在进行网络建设时必须思考的问题。华山医院的内部信息主要是以病人的病例、处方和医嘱等信息为主，而医院是有义务保障病人的信息安全，保证病人的病例、处方和医嘱信息不被没有必要的部门或人员查看，同时也要保证信息不能外传。华山医院的信息必须要被保存721年甚至更长时间。因此，如何保证整个系统的保密性、完整性、可用性、可审核性也是华山医院信息系统安全性的一部分2.5网络系统管理

12、需求随着华山医院信息化建设的不断完善，医院网络的规模也在不断的扩展，如何及时有效的发现网络中的异常流量，如有有效的控制网络设备，如何及时的对异常网络设备进行远程控制，这一些列的网络管理和维护问题都必须在网络建设的初期考虑。针对华山医院里网络技术人才相对匮乏的现状，网络建设在安全可靠的基础上，尽量降低网络的复杂度，便于日后的管理维护。2.6无线网络需求无线局域网的应用，使华山医院信息网络更加灵活，而且能够经济、快捷的实现无缝覆盖。在需要频繁上网设备的病房，在网络终端不固定的会议室等区域，无线网络都是理想的选择。配合无线掌上电脑，可以实现很多适合医院应用的无线接入服务。华山医院临床医学信息系统，突

13、出体现的就是“以病人信息为核心，以病人诊疗过程为主线”的理念。目前华山医院使用的包括：病房医生站，门诊医生站，病房护士站，病人床旁移动信息站（包括医生和护士），临床检验分析系统等等），这些信息化系统的配合使用，使得医护人员在医院中可以随时随地获取病人的最新信息，做出快速反应处理，紧密跟踪治疗过程，大大提高了医院的诊疗效率和缩短了病人等待的周期。相比原有的医院信息化的数据整理，采集和录入以及处理都是建立在固定点的基础上，“移动信息化系统”表现出其灵活，快捷，实时等多项优势，对固定信息站的工作起到了必不可少的补充作用。基于“无线网络”的平台，让移动信息系统（BMIS）的功能充分的发挥了出来，医护人

14、员可以借助它大力协助自己在病人身边治疗护理的工作。它是一个移动信息中心，用户可以随时对数据进行查阅，浏览，记录，采集，传输等处理，还同时实现了人机交流和人人交流。BMIS运用科技手段，帮助医院节省大量的人力物力财力，提高医院在病患中的服务形象和科技形象，真正实现“无纸化”，对医院的信息化发展而言是必不可少，势在必行的环节。2.7远程接入需求远程医疗和医院间的学术交流、专家会诊等正在迅猛发展。我国的远程医疗近几年发展迅速，一些著名的医学院校、医院都建立了远程会诊中心。通过广域网的数据传输，不仅可以让病人在家中得到及时诊断，对于一些重症病患者，还可以通过远程专家会诊等方式提出有效的医疗方案。同时，

15、每个医院都在设立自己的资源中心，例如：电子书库等等。特别是一些医药大学的附属医院，对于资源中心的部署作为资源建设的重点。但是，对于一些特殊的医学资源，例如：患者的病历信息，医药学文献，医院内部的行政信息等等，这些信息在需要被医院以外的特殊用户访问的同时，其安全性和保密性要得到最高的保证。因此，如果有效的为医院外部特殊用户提供安全保密的信息是我们在进行医院远程网络接入中需要考虑的重点。华山医院的广域网应用越来越多，而怎样实现高速安全的广域网数据传输是进行局域医疗卫生服务系统（GMIS）建设的重点。28总结后期华山医院的网络建设的目标是建设一个集各种数字化医疗设备和器械为一体的综合数字医疗系统，而

16、网络平台作为这些数字应用的基础设施，成为数字化建设首先考虑的重点，如何建设一个稳定，可靠，安全，应用集中的综合业务网络平台，是华山医院信息化建设的根本出发点。3 拓扑及IP和路由规划3.1 拓扑设计及描述医院的内部局域网非常重要，由于医院的所有业务均依赖医院内部局域网运行，所以应对内部局域网进行全面重点设计。华山医院的内网将能覆盖医院全部功能区，目前华山医院有门诊楼、放疗、急诊楼、和新修大楼等。在本次网络建设中，根据实际应用和长远设计，以保证网络的稳定性、可靠性、高速、高安全、可扩充性为前提，采用三层结构的网络，分为核心层、汇聚层和接入层。医院内部局域网核心交换机配备万兆双机热备，通过设备和万

17、兆链路的双冗余备份和负载均衡实现网络的高可靠性和稳定性，通过核心与汇聚设备之间的万兆链接提升医院网络整体性能。各楼层接入交换机采用单台或堆叠的形式，提供10/100/1000M自适应的桌面接入能力和1000M上联能力,接入交换机均通过光纤连接所属楼层的汇聚交换机或核心交换机接入医院内部局域网。并且为了实现万兆核心、千兆支干、千兆交换桌面以及各楼层直接与一楼的中心机房经过万兆单膜光纤互联的需求，在各个楼层均作为汇聚节点，双万兆上联到两台核心。同时为业务备份冗余考虑，规划组建备份数据中心。3.1.1核心层设计医院的网络中心作为全网的心脏，向医院的应用业务系统源源不断的提供安全的信息血液，保证整个医

18、院信息系统的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到终端系统，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。在网络的可靠性和稳定性保障方面，网络核心设计采用2台十万兆核心交换机互为容错备份，并在核心交换机中采用关键模块冗余设计（如双电源冗余等），双核心网络设计架构，为医院网络提供了高稳定性和可靠性的数据传输平台，同时，提供了一种能够“自愈”网络链路或设备的单点故障的网络架构，保证了医院网络能够提供7*24小时高速稳定的数据传输。为医院提供健壮的

19、数据传输神经中枢。同时，从医院业务发展角度考虑，因此对核心交换机的性能也有非常高的要求。根据可靠性、稳定性、扩展性、性能上的分析，网络核心建议选用两台高性能的锐捷高密度多业务IPv6核心路由交换机RG-S8610，两台核心设备之间采用双链路千兆链接，提供高速通道。RG-S8610拥有10个扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，未来可扩展十万兆。RG-S8610交换机高达3.2T的背板带宽和1190Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、为医院网络用户提供超强的数据处理能力。同时RG-S8610支持负载均衡、冗余备份、QOS、ACL

20、、策略路由、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描等强大的功能，同时板卡支持分布式处理和热插拔，是医院核心交换机的理想选择。3.1.2汇聚层、接入层设计汇聚、接入层采用双链路连接，构成一个环路架构，启用VRRP或RSTP、MSTP协议等技术；VRRP协议通过在两台互备份的交换机上对每个VLAN用户提供一个统一的虚拟网关IP地址，相应VLAN用户设置PC网关地址时就设置成为该虚拟网关IP，用户工作时并不用关心真正负责数据传输的交换机，在真正负责用户数据传输的交换机出现故障时VRRP协议可以自动地把用户数据的转发工作转移到另一台交换机，不仅实现了主机间的备份功能，而且不

21、必更改用户的网络设置。RSTP、MSTP等技术在二层上造成网络环路的链路将逻辑失效，网络环路被消除；而在负责数据传输的活动链路失效以后又可以激活先前逻辑失效的链路，保障数据的正常传输，提供冗余备份功能。全网架构，核心层双万兆链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。考虑到接入信息点集中，同时医院的应用多元化，PACS系统大流量高性能的需求。要求接入层的设备具有端口高密度和设备的高性能、高安全、多功能的特点。采用RG-S2900全

22、千兆智能接入交换机，该系列交换机支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要。在提供高性能、高带宽的同时，S2900交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。RG-S2900系列交换机特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了交换机的安全。RG-S2900系列交换机为方便不同管

23、理员的使用习惯，提供了多种形式的管理工具，如SNMP、Telnet、Web和Console口等。RG-S2900系列交换机以极高的性价比为各类型网络提供高性能、完善的端到端的QoS服务质量、灵活丰富的安全策略管理。众多的功能特别适合在医院的应用。RG-S5750系列是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。该系列交换机接口形式和组合非常灵活，可提供24个10/100/1000M自适应的千兆电口，和灵活复用的高密度千兆SFP光纤连接，满足网络建设中不同介质的连接需要。同时为满足网络的弹性扩展，和高带宽传输需要，可灵活弹性扩展多种类型的万兆模块。特别适合高带

24、宽、高性能和灵活扩展的大型网络汇聚层，中型网络核心，以及数据中心服务器接入的使用。RG-S5750可作为门诊大楼汇聚交换机。汇聚大楼内所有节点及数据。同时，采用双万兆链路链接医院核心交换机，提供高速通道，为门诊大楼的业务开展打下坚实的基础。3.1.3出口网络设计华山医院有到医保、社保、干保、银行的业务对接，内网在出口处需要强大的路由策略支撑能力和强大的安全防护能力,配置一台RG-RSR50可信多业务路由器，实现完备路由策略支撑能力。为了保障出口安全性，在出口加入一台RG-WALL2000防火墙，防火墙工作在透明桥模式，路由器承担NAT功能。这种部署方式的优点在于防火墙重点任务是完成过滤规则的安

25、全访问控制，而将其工作在透明桥模式，使得网络结构更清晰明了，尤其是在网络测试和性能分析是可以临时把防火墙撤掉而不用修改网络的逻辑结构，也不需要修改其他网络设备的配置，方便管理员的维护管理。为了让远程用户能够进入到内网访问内网资源，在出口路由器上需要配置VPN，为了最大程度地达到安全性，选用IPsecVPN技术。3.2 IP和VLAN设计32.1VLAN设计在医院内部网络的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：VLAN 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频

26、点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备上实行，分流核心交换机的三层交换，优化了组网。 根

27、据以往网络管理经验和江都人民医院内部网络建设的实际情况，方案建议VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：1、方便管理。为了更改得进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的VLAN设置进行详细的规划，细化的第三级网络。方案建议江都人民医院内部网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。2、易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施

28、和网络中心整体规划。3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问，对于某些重要网络资源，需要进行权限访问的时候，建议采用ACL来进行访问权限设定，保障重要资料不被非法访问。从上述情况分析，建议华山医院VLAN划分以按照业务类别加楼层进行规划，每个业务类别可跨越多个楼层，各个楼层之间相互独立，即方便管理，有利于汇聚之后做流量管理。VLAN号由业务类别+楼层号构成，比如1楼的门诊部为101，1为门诊部类的VLAN，01为楼层号。VLAN规划如下表：vlan规划业务类别类别ID楼层VlanID远程VPN100100门诊201201服务器301301设备互联40140

29、1024020340304404病房医生站501501025020350304504病床601601026020360304604语音电话701701027020370304704视频会议801801028020380304804保留9019010290203903049043.2.2 IP划分IP地址的合理分配及使用是保证网络顺利运行和网络资源有效利用的关键，与网络拓扑结构、路由策略有非常密切的关系，将对互联网的可用性、可靠性与有效性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此，IP地址应被分配一段连续的地址。更进一步，连接进某一区域的节点的IP地址范围应集中在该

30、区域的地址范围附近。IP地址规划遵循以下原则：（1）IP地址的规划与划分应该考虑到互联网业务的飞速发展，能够满足未来发展的需要；既要满足本期工程对IP地址的需求，同时又要充分考虑未来业务发展，预留相应的地址段。（2）IP地址的分配需要有足够的灵活性，能够满足各种用户接入的需要。（3）地址分配应由业务驱动，按照业务量的大小分配各地址段。（4）IP地址的分配采用VLSM技术，保证IP地址的利用效率。（5）采用CIDR技术，这样可减小路由器路由表的大小，加快路由器路由的收敛速度，也可减小网络中广播的路由信息的大小。（6）充分合理利用已申请的地址空间，提高地址的利用效率。（7）企业的内部可使用内部保留

31、地址，不占用共有IP资源；可以采用私有IP地址的实现的服务，在地址不足的情况下可使用保留IP地址。规划如下表：IP规划业务类别楼层VlanID网段网关地址汇总地址远程VPN0010010.1.0.0/2410.1.0.1/2410.1.0.0/16门诊0120110.2.1.0/2410.2.1.1/2410.2.0.0/16服务器0130110.3.1.0/2410.3.1.1/2410.3.0.0/16设备互联0140110.4.1.0/2410.4.1.1/2410.4.0.0/160240210.4.2.0/2410.4.2.1/240340310.4.3.0/2410.4.3.1/2

32、40440410.4.4.0/2410.4.4.1/24病房医生站0150110.5.1.0/2410.5.1.1/2410.5.0.0/160250210.5.2.0/2410.5.2.1/240350310.5.3.0/2410.5.3.1/240450410.5.4.0/2410.5.4.1/24病床0160110.6.1.0/2410.6.1.1/2410.6.0.0/240260210.6.2.0/2410.6.2.1/240360310.6.3.0/2410.6.3.1/240460410.6.4.0/2410.6.4.1/24语音电话0170110.7.1.0/2410.7.1.

33、1/2410.7.0.0/240270210.7.2.0/2410.7.2.1/240370310.7.3.0/2410.7.3.1/240470410.7.4.0/2410.7.4.1/24视频会议0180110.8.1.0/2410.8.1.1/2410.8.0.0/240280210.8.2.0/2410.8.2.1/240380310.8.3.0/2410.8.3.1/240480410.8.4.0/2410.8.4.1/24保留0190110.9.1.0/2410.9.1.1/2410.9.0.0/240290210.9.2.0/2410.9.2.1/240390310.9.3.0/

34、2410.9.3.1/240490410.9.4.0/2410.9.4.1/243.3 路由设计3.1.1动态路由协议采用OSPF，它是一种链路状态协议，区别于距离矢量协议(RIP)，OSPF 具有支持大型网络、路由收敛快、占用网络资源少等优点，在目前应用的路由协议中占有相当重要的地位。区域划分如下图：图8 OSPF区域划分图两台核心交换机跟有线汇聚交换机直连区域组成了骨干区域 AREA 0，1至9楼汇聚交换机划分为区域1,11至18楼汇聚交换机划分区域为区域2，服务器区划分区域为区域3，这样保证了OSPF的区域合理划分。 划分区域的好处：减少SPF算法的计算量，使得拓扑发生变化的时候就在本区

35、域就进行SPF计算，减小了OSPF路由器的LSBD量减小了路由器的资源消耗。并且划分区域以后可以在ABR上面汇总路由。使得路由表更加精简提升路由器工作效率。本次方案设计的时候将核心1路由器设置成OSPF DR，将核心2设置成BDR，将其余所有的汇聚设备的OSPF 优先级修改成0，防止汇聚设备参与DR ，BDR的选择。将核心A的优先级设置成254，核心B的优先级设置成 200.将所有的OSPF的默认参考带宽修改成10GB，不修改任何线路的COST，让汇聚到核心的时候通过OSPF实现了负载均衡，在一条链路出现故障或者是其中一台核心设置出现了故障的时候通过OSPF自动实现冗余。保证了网络的高性能和冗

36、余性。3.3.2静态路由核心交换机需要一条静态默认路由指向出口路由器，出口路由器需要一条静态路由指向核心，在出口路由器上根据社保、医保、干保、银行四个VPN的不同IP分别添加相应的静态路由条目。4 安全设计4.1外联出口安全设计 为了保障外联网出口安全防护，在方案中，我们采用了锐捷RG-WALL2000 高性能防火墙作为出口安全设备。RG-WALL2000能够全面防御基于TCP、UDP和其他协议报文的IP畸形包攻击、IP假冒、TCP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、Ping flood、UDP Flood等DoS/DDoS攻击。保

37、障服务器群不受到来自internet的DoS/DDoS攻击。RG-WALL2000能够支持2-7层的数据流深度检测功能，能对IM（QQ/MSN/雅虎MSN）、P2P（BT/Emule/Edonkey）等协议提供智能识别和限制；提供URL、Email、TELNET、FTP等第7层内容过滤功能（Active-X、Java Scripts、Java Applet和Cookie）。净化出口带宽，保障出口带宽的有效利用。4.2服务器区安全设计为了保障重要服务器群的安全，在核心交换机旁路设置一台RG-IDS2000 高性能入侵检测系统，通过分析镜像服务器区的数据流量，分析资源中心访问流量，及时发现非法攻击

38、入侵数据流并与内网安全管理系统GSN中的SMP联动，通过预先设定的策略自动的对相应数据控制处理。通过旁路IDS的入侵检测，不但可以及时的发现非法攻击入侵，同时低误报率不会影响数据交换的正常速度，在最大程度提供对内服务的同时，最及时的对数据中心服务器群进行安全防护管理。4.3内网安全设计针对网络漏洞的增加，病毒的频繁爆发，如今80的网络安全事件来自于内部安全事件。如何作好网络内部用户的安全控制，成了每一个网络安全人员的重大问题。而锐捷网络针对此种情况，推出了GSN（全局安全网络解决方案）GSN由锐捷安全交换机、锐捷安全客户端、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统

39、等多重网络元素组成，实现同一网络环境下的全局联动，使网络中的每个设备都在发挥着安全防护的作用，构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，从而达到对未知网络安全事件的防范。RG-S8610、S5750/S2900采用硬件方式提供多种安全防护能力，例如防DoS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。RG-S8610、S5750/S2900提

40、供业界最为强大的ACL特性，基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术。RG-S8610、S5750/S2900支持同时启用多组的多端口同步监控技术，并且支持灵活的输入、输出、双向数据镜像，满足灵活的网络监控需求，提升网络监控能力。5 实践配置5.1实践配置拓扑图实践采用Cisco Packet Tracer+GNS3（某些配置在Packet Tracer上不能实现的，使用GNS3实现），以1楼的设备为例，拓扑图如下：5.2基础配置：配置设备名称，配置基本的IP地址和VLAN：Router(config)#ho Out_RouterOut_Router(

41、config-if)#ip add 10.4.1.1 255.255.255.0Out_Router(config-if)#no shOut_Router(config-if)#int fa0/1Out_Router(config-if)#ip add 10.4.2.1 255.255.255.0Out_Router(config-if)#no shDistrib_SW1(config)#vlan 201Distrib_SW1(config-vlan)#name MenzhengDistrib_SW1(config)#vlan 501Distrib_SW1(config-vlan)#name

42、BingfangYishengDistrib_SW1(config-vlan)#vlan 601Distrib_SW1(config-vlan)#name BingFangDistrib_SW1(config-vlan)#vlan 701Distrib_SW1(config-vlan)#name voiceDistrib_SW1(config-vlan)#vlan 801 Distrib_SW1(config-vlan)#name vedioDistrib_SW1(config)#vlan 400Distrib_SW1(config-vlan)#name Guanli5.3路由配置Out_Ro

43、uter(config)#router os 1Out_Router(config-router)#net 10.4.1.1 0.0.0.0 a 0 Out_Router(config-router)#net 10.4.2.1 0.0.0.0 a 0Out_Router(config-router)#default-information originateOut_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0 205.4生成树配置:Distrib_SW

44、1(config)#spanning-tree mode rapid-pvst Distrib_SW1(config)#spanning-tree vlan 201 root primary Distrib_SW1(config)#spanning-tree vlan 401 root primary Distrib_SW1(config)#spanning-tree vlan 501 root primaryDistrib_SW2(config)#spanning-tree mode rapid-pvst Distrib_SW2(config)#spanning-tree vlan 601

45、root primary Distrib_SW2(config)#spanning-tree vlan 701 root primary Distrib_SW2(config)#spanning-tree vlan 801 root primary5.5冗余网关配置Distrib_SW1(config)#int vlan 400Distrib_SW1(config-if)#ip address 10.4.0.1 255.255.255.0Distrib_SW1(config-if)#vrrp 1 ip 10.4.0.1 Distrib_SW1(config)#int vlan 201Distr

46、ib_SW1(config-if)#ip add 10.2.1.1 255.255.255.0Distrib_SW1(config-if)#vrpp 1 ip 10.2.1.1 Distrib_SW1(config-if)#int vlan 501Distrib_SW1(config-if)#ip add 10.5.1.1 255.255.255.0Distrib_SW1(config-if)#vrrp 1 ip 10.5.1.1 5.6DHCP配置Distrib_SW1(config)#ip dhcp pool vlan201Distrib_SW1(dhcp-config)#network 10.2.1.0 255.255.255.0Distrib_SW1(dhcp-config)#dns-server 8.8.8.8Distrib_SW1(dhcp-config)#default-router 10.2.1.1Distrib_SW1(config)#ip dhcp excluded-address 10.2.1.1 Distrib_SW1(config)#ip dhcp pool vlan501Distrib_SW1(dhcp-config)#network 10.5.1.0 255.255.255.0Distrib_SW1(dhcp-c