计算机网络课程设计构建医院局域网

1课程设计（大作业）报告课程名称： 计算机算机网络 设计题目： 构建医院局域网 院 系： 信息技术学院 班 级：计算机科学与技术 2 班设 计 者： 郭彩丁 学 号： 201011010205 指导教师： 王武 设计时间： 2012.6.19-23 信 息 技 术 学 院2昆明学院课程设计（大作业）任务书姓 名：郭彩丁 院（系）：信息技术学院专 业：计算机科学与技术 学 号：201011010205任务起止日期：2012.6.19-23课程设计题目：构建医院局域网课程设计要求：1、根据要求对指定园区建网进行需求分析，提交需求分析报告； 2、在需求分析的基础上进行系统设计、技术选型，规划、设计网络的逻辑拓扑方案、布线设计等，划分子网，设计子网地址、掩码和网关，为每个子网中的计算机指定 IP 地址，绘制网络结构拓扑图；3、接入互联网方案选择；4、根据条件进行设备选型，决定各类硬件和软件的配置方案；5、构建工作型局域网，在指定计算机内安装网络接口卡，动手制作双绞线网线，把计算机与集线器（交换机）相连；在工作组中指定的基于计算机上分别安装操作系统、TCP/IP 协议，配置 IP 地址、掩码和网关等参数，并测试网络的连通性，设置资源共享，例如，设置网络内打印机的共享；6、创建一个简单的 Web 服务器，并制作一些网页，放入 WEB 服务器内，进行 Web 服务的测试，在此基础上，创建一个 FTP 服务器，实现文件的上、下传。7、创建局域网内的 DNS 服务器，配置相关文件，可以对局域网内的主机作域名解析。8、创建局域网内的 DHCP 服务器，配置相关文件，可以对局域网内的主机进行动态 IP 地址的分配。工作计划及安排：1 需求分析设计2 网络系统的方案设计3 各楼的 IP 地址分配4 LAN 设计与服务器配置5 主要设备的选用指导教师签字 年 月 日 3课程设计（大作业）成绩学号：201011010205 姓名：郭彩丁 指导教师：王武课程设计题目：构建医院局域网总结：通过搭建医院局域网，根据所需条件得到最优方案。搭建小型的网络，划分子网，创建局域网内的 Web 服务器、DNS 服务器、DHCP 服务器、 Mail 服务器，使医院的网络能够正常运转起来，提高医院的服务效率。也是我们能够了解局域网的构建，并初步的能够运用。指导教师评语：成绩：填表时间： 指导教师签名：4课程设计（大作业）报告目录1、需求分析 .51.1 实施背景 .51.2 网络应用需求 .52、总体设计 .52.1、采集信息 .52.2、根据信息点距中心信息点的距离选择传输介质和器材 .62.3、子网划分 .62.4、安全性 .83、接入互联网技术选择 .93.1、分析 .93.2、选择合理的接入方式 .93.2.1、光纤接入的优势 .93.2.2、规划的基本原则 .104、根据条件进行设备选型，决定各类硬件和软件的配置方案 .104.1、护士呼叫系统 .104.2、病人监控系统 .114.3、医院应急指挥系统 .114.4、医院网络示教系统 .124.5、 医院办公通讯、培训以及会议系统: .124.6、统一通信解 .124.6.1、统一通信方案系统构成 .134.6.2、 统一通信方案架构优势 .134.6.3、部署方式优势 .155、构建工作型局域网 .155.1、制作网线 .156、创建一个简单的 Web 和 FTP 服务器 .156.1、创建 Web 服务器骤如下： .156.2、创建 FTP 服务器实现文件的上传和下载 .157、创建局域网内的 DHCP 服务器 .297.1、 基于 Windows Server 2003 的 DHCP 的实现和应用 .297.2、设备清单 .307.3、实施步骤 .308、架设单位内部 DNS 并提供域名解析服务 .368.1、在 windows sever 2003 上实现 DNS.368.2、材料清单和设备 .378.3、实施过程 .3751、需求分析1.1 实施背景医院为构建管理信息建设，需要建设一个高性能、安全可靠的医院网络，医院网建成后，要求能够实现医院内部各种信息服务功能，实现与信息中心的无阻碍连通。医院网的构建分为门诊大楼、住院部、办公楼，网络中心机房位于办公楼内。1.2 网络应用需求医院网的组成大体分为门诊大楼、住院部、办公楼这三个方面。在这三个大楼中的网络设计应考虑稳定、扩展、安全问题；办公、服务等带宽是要着重考虑的方面。所以医院应根据自己的实际情况来考虑网络的结构以及安全问题。医院在信息服务与应用方面应满足以下几个方面的需求：1.医院主页。医院应建立独立的 WWW 服务器，包括医院简介、器械设备、医师团队、服务区等。2.文件传输服务。考虑到医院各部门之间共享软件，医院网应该提供文件传输服务（ftp） 。文件传输服务器上存放着各种各样自由软件和驱动程序，部门间可根据自己需要随时下载并把它们装在本机上。3.多媒体辅助和远程治疗系统：医院网要求具有数据、图像、语音、视屏等多媒体实时通讯能力；并在 主干网上提供足够的带宽和可保证的服务质量，满足大量的用户对带宽的基本需要，并保留一定的余量供临时的数据传输使用，最大可能地降低网络传输的延迟。4.网络的访问。医院各部门能访问互联网，且不造成网络拥堵。1.3 网络性能需求性能需求：有服务效率、服务质量、网络吞吐率、网络响应时间、数据传输速度、资源利用率、可靠性、性能/性价比等；对于网络主干，数据通信介质全部使用光纤，语音通信主干使用大对数电缆；光缆和大对数电缆均留有余量；对于其他系统数据传输，可采用超 5 类双绞线或专用电缆。2、总体设计2.1、采集信息：信息点 距中心信息点的距离门诊大楼 180 500m一栋区 200 700m二栋区 200 750m住院楼 三栋区 200 800m办公大楼 250 500m2.2、根据信息点距中心信息点的距离选择传输介质和器材从信息中心到信息点用光纤来作为传输介质，主干线也是用光纤，从信息点到桌面用6超 5 类双绞线（因为在医院里面有大量的数据要传输，因此到桌面用超 5 类双绞线也可以传输千兆）架构模型模块化，多层架构 - 核心层、汇聚层和接入层架构与 核心和接入层架构相结合 - 双核心交换机（热备或冷备） - 单汇聚交换机（增加单点故障）和双汇聚交换机相结合 核心层具有路由功能，部分汇聚层具有路由功能 汇聚层或核心层负载均衡 少量 VLAN 跨越（部分网络没有划分 VLAN） 千兆和百兆相结合2.3、子网划分子网范围 子网掩码 路由器接内网的 IP门诊部 00 办公楼 05 一栋 05 二栋 05 住院部三栋 54 2.3 总体设计图形如下:网络架构如下图所示。网络设计为包括核心层、汇聚层和接入层的多层模块化架构，网络骨干为部分万兆或千兆，百兆到桌面，部分千兆到桌面，关键部位采用冗余结构，核心交换机和汇聚交换机双备份。核心层和汇聚层均有路由功能，接入层具有交换或路由功能，实施负载均衡和冗余备份，VLAN 尽量终结在本地以缩小故障域，整个网络万兆、千兆和百兆相结合。这种设计建议来自 美国总部的顾问工程师小组的实验室研究和用户最佳实践的结果，这种架构的主要优势在于其层次结构和模块性，模块化设计允许您通过推行确定性的流量模式来轻松扩展、了解并排除网络故障。7I n t e r n e t路由器W e b 服务器 F T P 服务器D N S 服务器D H C P 服务器汇聚层交换机汇聚层交换机接口层交换机工作站防火墙汇聚层交换机核心交换机汇聚层交换机汇聚层交换机接口层交换机接口层交换机接口层交换机门诊大楼住院部办公室数据库服务器在层次化设计中，特定设备的容量、特性和功能均针对其网络位置和作用进行了优化，以提高可扩展性及稳定性。当流量通过层次化结构中的收敛点，沿着接入层-汇聚层-核心层传输时，流量数量及其相关的带宽要求都随之增加。层次化设计每一层的功能都很分明，无需全部网络节点互联的全网状网络。模块化网络的组件易于复制、重新设计并扩展，无需每次添加或拆除模块时都重新设计整个网络。您可以运行或中断任何组件的运行，而不会影响网络的其他部分。这种功能可促进排障、故障隔离和网络管理。仅仅把网络按照以上架构连接起来是远远不够的，还需要网络架构中的每个节点设备都具有高可靠的内在品质，网络设备在各个对可靠性要求比较高。同时在不同层次的设备上还需要有基于国际标准的，以及保证医疗业务高可靠运行的网络功能。在典型的层次化模式中，组件间通过核心层互联，核心用作网络骨干。鉴于各组件都依赖核心进行连接，因此，核心必须速度很快且永续性极高。现在的硬件加速系统具备以线速提供复杂业务的潜能。然而，应在网络核心采用“越简单越好”的方法。最简洁的的核心配置可降低配置复杂性，从而减少出现运行错误的几率。虽然通过全网状或高度网状拓扑也可实现冗余，但此类设计在链路或节点发生故障时不容易提供一致的收敛。同时，全网状设计也存在对等和邻接问题，使路由难以配置和扩展。此外，随着网络的增长或变化，大量的端口也增加了不必要的成本和复杂性。以下是需要谨记的其他主要设计问题： 将核心层设计为只使用硬件加速业务的高速第 3 层(L3) 交换环境。第 3 层核心 设计优于第 2 层和其他设计，因为它：- 在发生链路或节点故障时提供更快的收敛速度。- 通过减少路由邻接关系和网状拓扑提高了可扩展性。- 提高了带宽利用率。 尽量在核心中使用冗余的点到点 L3 互联（三角形，不是正方形） ，因为这种设计可产生最快速、最确定的收敛结果。 避免 L2 环路和 L2 冗余的复杂性，如生成树协议(STP) 和 L3 组件对等体之间的间接故障检测。 采用模块化的操作系统，使得局部的软件故障不会影响整机的运行。软件的升级也可以在局部软件模块进行，而不必为升级软件等维护工作是核心交换机停止工作，影响全网的运行。8核心层（两台）- 6500 系列交换机 4500 系列交换机 汇聚层（两台或者一台）- 4500 系列交换机 3750 系列交换机 3560 系列交换机 接入层（若干台）- 3750 系列交换机 3560 系列交换机 2960 系列交换机 数据中心交换机（两台或者多台）：- Catalyst 4900 交换机 Catalyst 3750 交换机 Catalyst 3560 交换机2.4、安全性现阶段，医院信息系统正在变成医疗体系结构中不可或缺的基础架构。该架构的网络安全和数据可用性变得异常重要。任何的网络不可达或数据丢失轻则降低患者的满意度，影响医院的信誉，重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样，医疗信息系统在日常运行中面临各种安全风险带来的安全应用事故。各医院在网络和应用系统保护方面分别采取了很多安全措施，例如在每个网络、应用系统分别部署了防火墙、访问控制设备，采取了备份、负载均衡、硬件冗余等安全措施；也可能实现了区域性的集中防病毒，实现了病毒库的升级和防病毒客户端的监控和管理；采用系统账号管理、防病毒等方面具有一定流程。但在网络安全管理方面的流程相对比较薄弱，需要进一步进行加强；另外主要业务应用人员安全意识有待加强，日常业务处理中存在一定非安全操作情况，终端使用和接入情况复杂。这可以说是现阶段具有代表性的网络安全建设和使用的现状，不仅仅是在医院。从另一个角度来看，单纯依靠网络安全技术的革新，不可能完全解决网络安全的隐患，很难从根本上克服网络安全问题，我们首先来分析目前医院网络环境所面临的安全威胁究竟是什么，这也是我们最关心的安全问题： 网络安全管理体系不完善，需要通过实施策略对流程进行细化，其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距，在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。 防病毒系统没有实现整体统一，存在防病毒的局部能力不足。 历史原因造成网络自身安全防护不足，大量的第二层的攻击（如 MAC 地址泛洪、DHCP 服务器欺骗、ARP 欺骗、IP/MAC 欺骗）让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。而传统的 IP/MAC/Port 绑定技术复杂而且效率较低。 没有部署针对服务器/主机的安全保护，而大量的基于 Web 的应用导致病毒或非法攻击，甚至于非法 copy 等，无法保护业务数据的安全。而针对医院来说，业务数据就是核心，这点尤其重要。 网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施，但安全产品之间无法实现联动，安全信息无法挖掘，安全防护效果低，投资重复，存在一定程度的安全孤岛现象。另外，安全产品部署不均衡，各个系统部署了多个安全产品，但在系统边界存在安全空白，没有形成纵深的安全防护。 对终端管理没有统一策略，操作系统版本、操作系统补丁等没有统一的标准和管理。 没有应急响应流程和业务持续性计划，发生安全事件后的处理和恢复流程不足，对可能造成的业务中断没有紧急预案。综上所述，网络安全问题越演越烈，不仅仅是一个单独的设备能防御的，在技术上也陷入了被动应付的局面。为医院网络安全提供了由低级到高级不断发展、演进的解决方案。网络设备集成了独特的安全功能，以及各个安全设备的联动并主动进行防护。就像人体一样，9IT 基础设施和网络像“活”的系统一样运行。在人所处的环境中，病毒是永远存在的不争事实，我们携带着病毒，我们从各种接触中感染病毒。人体虽然携带着病毒和病原体，但人体机能仍可正常运行，因为人具有自体免疫功能。自体免疫概念就是 安全构想与战略的构建基础对于医院网络来说，除了考虑网络本身的安全外，怎样保护敏感数据，防止敏感数据从各种途径传播出去。同时要保证只有授权用户,授权应用或授权的网络范围才可以访问数据。需要有详细的安全控制，以确保证医疗数据安全。采用安全代理（Security Agent，SA） ，可以保护重要的医疗应用服务器和客户端，实现零升级的结构。思路是，不采用特征码，而是依靠行为规则，减少漏洞修补管理的费用，防止攻击。由于采用统一的安全代理，所以容易管理。安全代理 SA 构成通过推出安全代理终端安全软件，可以为它的客户提供最全面的网络安全威胁防范产品保护敏感数据，以保护医院网络。其主要可实现的功能如下： 防止敏感数据从各种途径传播出去，(USB 盘、光驱、电子邮件、网络共享路径) 防止文件被复制、被拷屏、被 copy/paste 泄漏出去. 授权用户才能访问 授权应用才可以访问数据 授权的网络范围才可以访问 详细的 audit：文件名、用户名、操作等3、接入互联网技术选择3.1、分析跟 Internet 连接一般会选择 ISDN、DDN 专线或城域网等三种连接方式的一种。其中ISDN 方式最多能提供 128KBPS 连接，价格相对较低，但是因为没有固定的 IP 地址，院内只能访问外部的信息，而外部用户很难访问院内的资源。而 DDN 专线和城域网方式都有自己的固定 IP 地址，因此使用更方便。DDN 目前是一种过渡连接方式，一般的速度在64Kbps 到 2Mbps 之间，但是价格相对较高，目前暂不推荐使用。使用 ISDN 方式时，一般只需要一台 PC 机，安装 ISDN 拨号设备，加上相应的代理软件，如 Sygate、Wingate 之类就可以了。推荐使用 Sygate，安装和使用都很方便，用户端不需要任何修改。使用 DDN 专线时，必须要使用路由器接在园网和线路中间来处理广域网的数据。一般常用 Cisco2600 系列路由器，该路由器具有简单的防火墙功能，可以提高网络的安全性。使用城域网方式时，如果有防火墙设备，则不必要路由器，否则也必须采用路由器。防火墙设备可以是专用的，也可以用 PC 机安装相应的软件来代替。此外，为了方在家中使用园网，也可以设置拨号服务器。只要在路由器上添加 MODEM即可组成拨号服务器。一个 MODEM 在某一时刻只能接受一个用户的拨入，需要同时支持多人拨入的，可以设置多个 MODEM。3.2、选择合理的接入方式考虑到医院里面要传输大量的数据，因此，我么选择光纤接入。3.2.1、光纤接入的优势与传统的铜缆接入网系统相比，光纤接入网系统具有非常明显的优势：1. 扩大交换区域，解决远端用户接入问题2. 减少损耗，增加带宽3. 消除大对数电缆的接入所带来的一系列问题：管道利用率低、故障率高、维护费用大、建设周期长、工程成本不断增加等。4. 为用户提供多种接口，支持多种业务。如：普通电话业务（模拟二线音频接口和租用10线业务） ，分组数据业务，ISDN 基本速率接入（BRA） ， ISDN 一次群速率接入（PRA） ，N64kbit/s 接入， 2Mbit/s 速率接入，还可以支持宽带接入（如 CATV 业务） 。3.2.2、规划的基本原则ONU的覆盖范围和容量大小要适度，覆盖范围一般按1平方公里考虑，在实