计算机网络基础 辽工医院网络规划.doc

此文档收集于网络，如有侵权，请联系网站删除辽 宁 工 业 大 学 计算机网络基础 实训报告题目： 辽工医院网络规划 院（系）: 软件学院 专业班级： 软件技术000 学 号： 001404000 学生姓名： 000000 指导教师： 霍彩侠 教师职称： 助 教 起止时间： 2009.6.22-2009.7.5 实训任务及评语院（系）：软件学院 教研室：网络教研室学 号000404000 学生姓名0000 专业班级软件技术000实训题目辽工医院网络规划实训任务实训任务及要求：1、掌握基本网络的组建方法2、掌握子网划分的方法。3、了解WEB、FTP服务器的用途。实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。指导教师评语及成绩成绩： 指导教师签字： 2009 年 7 月 8日此文档仅供学习与交流目 录第1章 实训目的与要求11.1 实训目的11.2 实训环境11.3 实训的预备知识11.4 实训要求1第2章 实训内容22.1网络总体设计22.2网络详细设计32.3网络管理软件的应用10第3章 实训日记15第4章 实训总结16参考资料17第1章 实训目的与要求1.1 实训目的 本实训要求学生能够对网络进行子网划分，掌握WEB、FTP服务器的组建方法，了解WEB、FTP服务器的用途及测试方法。1.2 实训环境 网络环境下，多媒体计算机一台（每人）。1.3 实训的预备知识 该实训安排在计算机网络基础课程结束后进行，学生已经掌握了一定的网络基础知识。1.4 实训要求实训过程中，要严格遵守实训的时间安排，听从指导教师的指导。正确地完成上述内容，记录实习日记，规范完整地撰写出实训报告。第2章 实训内容2.1 网络总体设计1、背景描述我要对辽工医院楼的网络进行规划。医院楼的网络对整个网络性能不用要求太高。只要保证能够正常的通信就可以了，另外很多时候会看到医院的工作人员为了获得一点信息而弄得焦头乱额，这就是不够信息化的原因，如果够信息化了，则只需敲几下电脑什么信息都会出现在你的面前，哪怕是相隔千里之外的其他医院。现在已经21世纪了，属于信息化的年代了，现在大多数的大中型的企业都信息化俄，不管是学校也好，还是中百也好，更不用说政府了，当然医院也不类外，为了辽工医院能够更好的发展，所以我要为它进行网络规划。此次规划后主要要解决的问题是，首先要让整个医院的网络变的更顺畅，以便提高工作效率，其次将整个医院楼划分到一个局域网，以便于医院的所有工作人员可以共享一些东西！是医院中信息可以传播的更加的迅速化，另外要解决IP地址不够用的问题！这个可以通过对子网的划分以解决。除此之外，也要考虑到整个网络的安全问题，虽然说医院不是信息局要绝对保密，但也有自己的隐私，所以也要保证通信的安全。 经过规划以后要实现，网络更顺畅，院内的人可以进行资源共享，院内的工作人员也不用为了些资料而记得焦头乱额，只需要敲几下电脑可以查到任何所需的信息，同时也可以把自己所掌握的有用的重要性息进行资源共享，让院里的所有工作人员都可以看到，另外以后如果医院有什么通知，也不许一个一个的通知，只需在网络上发一条通知，就足够了，这样可以节省下来医院中的工作人员许多不必要浪费的时间。而且经过规划以后，可以通过子网的划分解决IP地址的不够用的问题，另外彼此不同的科室也可以分别设在两个不同的网段中，而达到彼此的安全的目的。另外通过添加安全系统可以让医院更放心的与外界交流，而不用担心会有什么重要的信息会发生泄漏，比如什么重要的研究成果什么的。2、网络拓扑图辽工医院网络拓扑图如图2.1所示：图2.1校园网与学院系统网络拓扑图3、网络拓扑说明交换机seitch1是内科集线设备，交换机seitch2是外科集线设备, 交换机seitch1是妇科集线设备，seitch3是口腔科集线设备，seitch4是五官科集线设备，交换机seitch5是痤疮科集线设备，其主要功能是物理编址、网络拓扑结构、错误校验、帧序列以及流控。另外防火墙以及路由器为整个局域网服务。防火墙，顾名思义为了防止外界的病毒流入，所以它要放在整个网络的最外层，而路由器则是为了连同不同的网络，以及智能的选择信息传送的径路，以便节省网络资源。2.2网络详细设计1、IP分配(1) 选用C类(2) 医院所分到的网络IP地址为我设计了8个子网每个科室一个子网，剩下的两个留着以后医院扩充时用。1.6enable 进入特权模式Wsq#configure terminal 进入全局模式Wsq (config)#interface vlan 1 进入交换机管理接口配置模式Wsq (config-if)#no shutdown 开启交换机管理端口Wsq (config-if)#ip address 配置交换机管理接口IP地址。Wsq (config-if)#endWsq(config)#enable secret level 1 0 star ！配置远程登陆密码 Wsq (config)#enable secret level 15 0 star ！配置进入特权模式密码在PC机上TELNET管理交换机：图2.5 PC机上TELNET管理交换机图2.6 PC机上TELNET管理交换机（2）vlan划分Wsqenable （进入交换机特权模式）Wsq#configure terminal （进入交换机全局模式）Wsq（config）#vlan 10 （创建vlan10）Wsq（config-vlan）#name aaa （将vlan10命名为aaa）Wsq（config-vlan）#exit（退出vlan模式）Wsq（config）#vlan 20（创建vlan20）Wsq（config-vlan）#name bbb（将vlan20命名为bbb）Wsq（config-vlan）#exitWsq（config）#exitWsq#show vlanWsq#configure terminalWsq（config）#interface f0/5 （进入f0/5的接口配置模式）Wsq（config-if）#wsq access vlan 10 （将f0/5端口加入vlan10中）Wsq（config-if）#exitWsq（config）#interface f0/15（进入f0/15的接口配置模式）Wsq（config-if）#wsq access vlan 20（将f0/15端口加入vlan20中）Wsq#show vlan验证配置信息Wsq# show vlanVLAN Name Status Ports- - - -1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23,Fa0/244 VLANaaa active Fa0/55 VLANbbb active Fa0/15PC1 Ping PC2（ping不通，隔离成功）。（3）配置路由器远程登录Wsqenable 进入特权模式Wsq# configure terminal ！进入全局配置模式Wsq(config)# interface fastethernet 1/0 ！进入路由器接口配置模式Wsq(config-if)# ip address ！配置路由器管理接口IP地址Wsq(config-if)# no shutdown ！开启路由器f 1/0接口Wsq(config)#show ip interface fastethernet 1/0 ！验证接口fastethernet 1/0的IP地址已经配置和开启Wsq(config)# line vty 0 4 ！进入路由器线路配置模式Wsq(config-line)# login ！配置远程登录Wsq(config-line)# password star ！设置路由器远程登录密码为 “star” Wsq(config-line)#endWsq(config)# enable secret star ！设置路由器特权模式密码为 “star” 或者 Wsq(config)# enable password star在主机DOS命令行下输入： telnet 图2.7 输入命令输入telnet密码和特权密码即可进入到路由器的配置界面。图2.8登陆4、网络安全在校园医院网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计。在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机。管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。4.2网络保护分析物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限，从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。2.3网络管理软件应用HP 软件：OpenView网络管理中心，网管工具支持领域广泛、多款实用功能集成。软件的特色为提供用户灵活的设置功能、提供丰富的应用程序接口，方便用户开发自己的网络管理程序。HPOpenView最初为网络管理设计的，其最基础的产品是NNM，它是网络和系统管理的基础和平台，NNM与第三方的管理应用集成在一起，可以形成强大的综合的管理环境。目前HP网络和系统管理工具可以涉及到：系统资源和资产管理，数据库管理，故障和事件管理，Internet业务管理，应用管理，PC机桌面管理，性能管理，网络结构管理，存储管理，用户账号管理，安全管理，软件分发管理等多方面。广泛的支持领域让此款网络管理系统具备突出的管理性能。HPOpenView网管工具采用开放式网络管理标准，不仅 OpenView内部各个产品可以相互集成共同操作，而且目前有近几百家网络和软件系统厂商提供在HP OpenView上的集成产品。软件提供丰富的图形操作界面，能动态反映网络的拓扑结构，包括网络各种资源变化的自动监测，方便操作人员的网络运行状况监控。OpenView网络管理中心如下图2.9所示：图2.9 HPIBM软件：Tivoli Netview：数以十项的网络监控与管理功能、IBM企业管理软件的口碑。软件特色：基于策略的管理、Cisco集成、自动化的事件响应以及路由器故障隔离等。此套管理软件的特色之一就是它本身除了可用于提供全面的网络管理功能外，还可与其它Tivoli hteIprise产品实现集成，提供扩展功能。比如通过与Tivoli Enterprise Console的集成，可以对企业事件（包括网络事件）进行整合并执行关联处理；通过与Tivoli Inventory的集成，可以将网络设备信息添加到Tivoli 清单数据库之中。Tivoli Netview如下图2.10所示：图2.10 Tivoli NetviewABS终端计费软件：ABS终端计费系统是由上海傲威通信技术有限公司推出的一套基于H323、SIP标准的IP电话超市的计费管理软件，同时也能使用与企业VOIP接入，其主要特点如下：操作方便、支持所有的网络接入模式、支持动态IP地址、支持NAT透传、支持现场计费功能、支持所有的符合H323协议标准的网关、完善的认证体系、无损话音质量，改善网络环境、支持备份系统。安装后运行，我们可以在界面上看到不断滚动的、以曲线图方式显示的实时网络状态，其中中间部分为网络进出的流量及总量，右边为受到攻击的历史图表。下面显示的是系统中运行的程序哪些正在访问网络，具体信息包括协议、监听状态、本机和远程的端口以及IP地址等。去掉“隐藏WINDOWS服务”选项前的勾，还可以查看到所有的服务。单击下方的“Show Message Console”按钮可以显示软件的操作记录，ABS终端计费软件如图2.11所示：图2.11 ABS终端计费软件更加强大的应用程序规则：Sygate Personal Firewall Pro是以应用程序为中心的防火墙，所以它的应用程序规则设置更加强大。单击工具栏上的“Applications”按钮，列表中显示的是访问过网络的所有程序名称、路径以及规则设置，每点击一次最左边的图标，将在允许、禁止和询问间进行切换。选择一个程序点击下面的“高级”按钮，可以进行更详细的设置。例如规定它所使用的协议、端口以及IP地址段;勾选“启用时间安排”还可以设定它每天开始运行的时间以及持续的时间，超时后会自动终止它访问网络的权力。限制网络邻居通信：目前有许多病毒通过局域网以及网络共享进行传播，在“工具/选项/网络邻居”中可以设置禁止本机别人浏览和共享你的文件和打印机。然后再到“常规”标签下勾选“在屏保模式时禁止网络邻居通讯”和“通知前发出声音提示”两项，以便在你离开时不会受到攻击。你还可以设置安全密码，防止别人篡改设置。更多的安全保护：Sygate Personal Firewall Pro在“工具/选项/安全”中还有更多的安全设置选项，你可以选择开启入侵监测和端口扫描检测，并打开驱动程序级保护、NETBIOS保护，这样当受到攻击例如特洛伊木马恶意下载、拒绝服务(DoS)攻击等，它能够自动切断与对方主机的连接，你可以设置中断与这一IP连接的持续时间，单位为秒，默认为10分钟。另外你还可开启隐身模式浏览、反IP欺骗、反MAC欺骗等选项，以防止黑客获得你的计算机信息。安全测试方法：Sygate Personal Firewall Pro还提供了在线安全测试功能，点击工具栏上的“TEXT”按钮，打开测试网页，左边列出了6种不同方式的在线安全测试：Quick scan:常规快速扫描，包括计算机端口，协议，服务和特洛伊木马等。速度比较快，一般不超过一分钟。Quickscan完成后，操作将被记入Sygate Personal Firewall Pro安全日志中。Stealth scan 使用特别的偷听技巧扫描，它模仿合法的计算机通讯来检测计算机的存在。速度与第一项差不多。Trojan scan:扫描计算机上所有的65535个端口，来寻找活动的特洛伊木马程序。Trojan scan至少要耗时10分钟才能完成，网站上有常见特洛伊木马的列表。TCP scan:检测为TCP服务预留的1024个端口，比如即时消息服务等，获知那些端口是打开的。打开的端口暗示着安全漏洞，这些漏洞可以被恶意的黑客利用。UDP scan:使用不同的方法和协议探测UDP的开放端口。将扫描路由器和用户上网代理服务器等类似设备，耗时大约10分钟。 所有动作将被记录到Sygate Personal Firewall安全日志中。当进行扫描时请关闭包括Sygate Personal Firewall在内的所有防火墙，否则可能所有的扫描都将会被阻止，每项扫描完成后会显示出结果和可入侵性评估。Sygate Personal Firewall还具有自动在线升级、电子邮件到达通知等功能。第3章 实训日记时间任务第1单元分组及公布实训题目，布置任务第2-3单元通过网络或图书获得所采用技术的功能第4-6单元通过网络或图书获得所采用技术的详细步骤及相关代码第7-8单元实验室调试所采用的技术并抓图第9-10单元根据总体设计划出拓扑图（可上网查询）第10-12单元根据拓扑图对所用设备，材料的选择并预算，并生成表格（需上网查询）第13-14单元查询与实训相关资料，准备论文内容第15-16单元生成实训说明书（论文）第4章 实训总结在当今21世纪的社会很多方面都开始信息化了，比如商场，政府，学校等一些场所，自然医院也是，很多时候都会发现医院中的工作人员为了取资料，从二楼跑到一楼，完后在从这头跑到那头，为了让辽工医院能够更好的发展，工作人员们更舒服的工作，我对其进行了网络规划，利用对网络的划分以实现医院的迅速信息化。 以便更好的发展。医院的网络划分具体是这样的：首先我先去选购了一下交换机，考虑到每个科室人数都不是很多，所以端口并不需要太多，经过综合的考虑，最终我选择了CISCO WS-C2960-24TC-L这款交换机， 24个端口，全双工/半双工自适应传输模式，有效的提高了数据的传输速率。所以我觉得这款交换机很适合，另外它的价钱也很合适，其次考虑到了网络的安全所以我就又去寻找一款合适的防火墙，最后我