版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
xx队组网大赛方案设计书二零一零年八月目录TOC\o"1-5"\h\z一、 需求分析 3\o"CurrentDocument"1.1工程项目概况 3\o"CurrentDocument"1.2需求分析 3\o"CurrentDocument"二、 方案设计原则 4\o"CurrentDocument"三、 网络方案设计 5\o"CurrentDocument"3.1网络拓扑结构介绍 5\o"CurrentDocument"3.2网络拓扑图 6\o"CurrentDocument"3.3方案项目建设重点问题处理 6\o"CurrentDocument"3.4网络设计 7\o"CurrentDocument"3.4.1广域网互连设计 7\o"CurrentDocument"3.4.2骨干核心层网络设计 8\o"CurrentDocument"3.4.3汇聚层网络设计 8\o"CurrentDocument"3.4.4接入层网络设计 83.4.5网络安全设计 9\o"CurrentDocument"3.4.6冗余/负载均衡设计 9\o"CurrentDocument"3.4.6.1线路冗余 10\o"CurrentDocument"设备冗余/负载均衡设计 11\o"CurrentDocument"服务器冗余设计 11\o"CurrentDocument"3.4.10IP地址规划原则 12\o"CurrentDocument"四、 网络安全及管理机制 13\o"CurrentDocument"完善的安全机制 13\o"CurrentDocument"GSN全局安全网络 14\o"CurrentDocument"解决安全威胁 14\o"CurrentDocument"VPN(虚拟专用网) 14\o"CurrentDocument"六、 配置清单 15\o"CurrentDocument"七、 方案的扩展性考虑 15
需求分析、需求分析工程项目概况华山医院是卫生部直属复旦大学(原上海医科大学)附属的一所综合性教学医院。建院于1907年,前身是中国红十字会总院,是上海地区中国人最早创办的医院,1992年首批通过国家三级甲等医院评审,目前已成为一所国家高层次的医疗机构,并为全国医疗、预防、教学、科研相结合的技术中心,在国内外享有较高的声誉。随着医疗行业信息化的发展,为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神,进一步推进我院的信息化建设,了解国际医疗信息化发展动态,吸收新的技术和管理经验,提高我院信息化应用的管理水平,使我院经济效益和社会效益双丰收,逐步加快医院的信息化建设步伐。在选取“飞”的翅膀时,计算机网络解决方案的选取是关键。你所代表的网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系,综合考虑了华山对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要,精选出适合华山医院的网络建设的解决方案。具体要求:1) 网络设计采用先进、可靠、成熟、高性能、可扩展的网络架构及技术,从硬件设备、软件策略控制两个方面来保证核心、骨干网络的高可靠、高性能及易维护性;2) 网络设计充分考虑该医院网络的特殊性,以及不同业务、不同部门之间的数据安全,综合考虑网络设计的逻辑结构以及区域划分;3) 网络设计充分考虑避免环路;4) 网络设计要解决校内用户对外部网络的访问需求,且要实现社保局、医保、银行、干保四条vpn出口;5) 网络设计需对DoS攻击、ARP欺骗/攻击、广播风暴等网络攻击行为有较强的防范能力;需求分析华山医院的网络系统建设应在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上系统能力上要保持五年左右的先进性。并且从用户的利益出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据以上种种特性需求,网络设备核心层、汇聚层、接入层产品,选择锐捷网络。锐捷网络是国内领先的网络厂商,其对医疗行业有着深刻的了解,其产品、方案与服务在医疗行业有成熟和广泛的应用,而且能通过智能、安全及可靠的网络设备连为一体,来构建网络系统的设计目标,保障其顺利进行。根据以上描述,结合实际建网情况和前期网络建设,在充分研究了目前国内外网络界对园区网设计所采用的各种网络主干技术,并充分考虑到技术发展的主流和趋势后,建议选择万兆以太网为目标,构建华山医院的网络建设,设计“万兆核心、千兆支干、千兆交换桌面”的网络拓扑结构,根据需求分析,结合对应用系统的考虑,提出本期网络系统的设计目标:高性能、高可靠性、高稳定性、高安全性、可管理、可增值的智能安全网络。二、 方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该医院的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:实用性和集成性系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应医院信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。标准性和开往性只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块三、网络方案设计3.1网络拓扑结构介绍在此次医疗网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。在大中型校园网设计中,使用层次化模型有许多好处,列举如下:1、 节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。2、 易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。3、 易于扩展在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。4、 易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
3.2网络拓扑图说.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理万兆锁路\art-Vie»-干疝疑路,■3.2网络拓扑图说.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理万兆锁路\art-Vie»-干疝疑路,■银行于保图1网络拓扑图3.3方案项目建设重点问题处理本方案很好地解决了用户要求的五个问题,即网络高可靠、高性能问题,安全问题,带宽问题,稳定性问题,兼容性、可扩充性问题问题。网络高可靠、高性能、稳定性问题处理:由于该网络为承载新医院数字化运行的基础骨干,核心、骨干设备一旦出现问题会影响到全网,使的网络效率下降,甚至造成全网的宕机。因此,我们采用:(1) 双出口+策略路由+链路互备+VRRP的技术;双出口:核心层运用双核心结构,减少了核心层交换机各自的负担,提高了网络流量的控制管理度和安全度。策略路由:在内部网络通往广域网上,运用策略路由技术使内部不同的用户通过不同的路有器出口出去,减少了核心路由器的负载,使整个网络更加顺畅流通。链路互备:整个网络各层链路都采用了链路备份,既提高了设备的利用率,也保证了各个网络的管理、安全、顺畅。VRRP+MSTP:这种技术让路由器组提供了一个冗余网关地址,它保证网络的主路由器失效时,可以及时的由备分来实现路由器来替代,从而保持通讯的连续性和可靠性。(2) Qos服务体系:提高网络通信质量、保障关键应用,使整个网络运营畅通。网络安全问题处理:(1)采用GSN系统:GSN全局安全网络中运用SMP(安全管理平台)、SAM(安全认证管理)、SEP(安全修复平台)、CA服务系统等等安全管理系统大大提高了整个网络的安全管理,并且能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控,同时在核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力,且NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响,SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁。(2) 采用了RG-IDS入侵检测设备:本方案还分别在核心交换机和服务器群旁应采用了RG-IDS入侵检测设备。这种设计不但保证了外部与内部数据安全的传输,同时也为服务器群提供了良好的工作环境,从而保证了内部局域网和外部网络在不同的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。(3) 防火墙HA技术:在通往广域网上采用两个防火墙〃双机热备〃,"双机互备〃技术,大大提高了整个网络的安全性和可靠性。(4) 防病毒服务器和防火墙/VPN网关:入侵检测、攻击预警、网络病毒防范、访问控制、用户监控、安全邮件代理等多种网络安全及网络管理功能,同时集成了IPSecVPN模块,为企业建立远程内部网络提供了完善的一体化解决方案。管理计费问题:统一认证,针对校园网开放式的信息点造成的安全隐患,全网接入采用统一认证技术。(1) 基于端口的认证就是将AAA认证与端口保护相结合,保证了只有合法授权的用户才能使用网络或外部网络,而且还能对网络的使用情况进行审计。(2) RG-NTD配合日志审计服务器还可以方便的实现基于用户身份的网络访问行为的日志、设备日志、应用日志的管理与分析,为安全事件的审计提供准确可信的数据支持带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。•兼容性、开放性和可扩充性问题:锐捷网络系列交换机遵循所有的国际标准,其核心交换机采用模块化设计,完全满足与其它厂商硬件、软件的兼容性要求,只需简单地添加相应的端口模块即可实现网络的扩容,从而满足校园网不断增长的应用需求,使用户投资得到充分利用。核心层使用的锐捷网络RS-8606E路由交换机有良好的扩展性,可以为将来的网络实现轻松扩展。3.4网络设计3.4.1广域网互连设计RG-WALL1600E防火墙采用锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WAL1600E在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。RG-WALL1600E支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持PPTP、L2TP、IPSec和SSL等多种全面的VPN业务,可以构建多种形式的VPN;提供强大的路由能力,支持静态/RIP/OSPF/路由策略及策略路由;支持双机状态热备,支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性,充分满足客户对网络高可靠性的要求。3.4.2骨干核心层网络设计RG-S8606是高性能、大容量的级核心路由交换机,其采用世界最先进的硬件技术,使其能够提供100G平台高速包处理技术来增强海量业务处理能力,从业务驱动的角度实现IP核心网络质的飞跃。同时强大的安全稳定保障:关键部件的安全稳定;采用硬件方式提供多种病毒和攻击防护。设备管理安全提供NFPP、CPP、防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。优秀的接入安全功能,使得RG-S8606核心路由交换机成为了核心层网络的不二选择。在骨干核心层中,我们采用两台锐捷RG-S8606核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层环网中可以采用VRRP(虚拟路由器冗余协议)和动态负载均衡技术。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主一备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。3.4.3汇聚层网络设计汇聚层网络主要完成各楼层和相关部门的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用锐捷网络的RG-S5750交换机多层交换机作为汇聚层面的交换机。RG-S5750交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。网络时间协议保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理。Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理。3.4.4接入层网络设计以往传统医院网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。RG-S2951XG是一款全线速可堆叠千兆智能交换机,提供智能的流分类和完善的服务质量(QoS)以及组播管理特性,并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安
全、智能的医院网新需求。3.4.5网络安全设计RG-IDS入侵检测设备本方案分别在核心交换机和服务器群旁应用7RG-IDS入侵检测设备。这种设计不但保证了外部与内部数据安全的传输,同时也为服务器群提供了良好的工作环境,从而保证了内部局域网和外部网络的正常运行。RG-WALL1600千兆防火墙/VPN网关RG-WALL2000是一种针对大型园区网、医院网与电信服务运营商而设计的业界领先的集成多种安全功能的千兆线速硬件防火墙。它可以在提供强大的安全功能并维持300万个并发连接地情况下,依然能够对不同大小的包保持千兆线速吞吐能力。其功能包括防火墙、基于IPsec的VPN、内容过滤、应用代理等。这些特性使得它可以为医院和服务提供商的网络提供安全防护服务。GSN全局安全解决方案GSN全局安全网络中运用SMP(安全管理平台)、SAM(安全认证管理)、SEP(安全修复平台)、CA服务系统等等安全管理系统大大提高了整个网络的安全管理,并且能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。GSN自动学习GSN功能:自育(网络行为,安全策略的自学习)安席.策略服务器隔离区域用户搂入网络
安席.策略服务器隔离区域安全客户端会将用户的制陌安全客户端会将用户的制陌网培访间行为自动通知安全管理平台①B、通过邮件,每日安全管理呼白I志报煎关■醒气建员RG-SA锐捷安全客户端RG-SMPRG-SA锐捷安全客户端RG-SMP安全管理平台SG-RES(安全修筮蔡统)囱自、妾全管理呼台自动进行网络环境泠③安生臆略的自学习,针时相同的玄全行为计安全信息将自动四配相同的安全策略3.4.6冗余/负载均衡设计冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分医院网络在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。线路冗余在医院网骨干核心层,医院网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用100GE线路对两台医院网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100/1000M自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍链路聚合:DEC链路聚合IEEE802.3ad示意如图:衬嗟?斧忸j'衬嗟?斧忸j'AggregaieLink图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高冗余保证:链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络100GE拓展的方式作为其链路选择及备份选择。设备冗余/负载均衡设计负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务解决网络拥塞问题,服务就近提供,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了两台锐捷网络的RG-S8606高密度多业务IPV6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块,我们都采用了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块,我采用了多台锐捷网络的RG-S5750和STAR-S4909多层交换机做到冗余与负载均衡。在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。立怏旧肆I双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。服务器冗余设计医院网中服务器、大型机,如网络存储服务器,SQLServer服务器,其存储的数据对于医院来说致关重要,一些核心数据被视为医院的生命。一方面它对医院重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此,我们采用的是双机热备技术,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。
Server1Server2Server1Server2服务器双机热备技术具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。本网络中应具有多台服务器设备,包括DBSERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。3.4.10IP地址规划原则我们在对医院网IP地址编址设计和分配利用时,遵循了以下几个原则:1) 、自治:整个医疗网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。2) 、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。我们在编址设计选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-DownNetworkDesign)方法。3) 、可持续性:考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时我们为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。4) 、可聚合:在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。5) 、尽量节约IPv4地址:由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约°IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。6) 、闲置IP地址回收利用:对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。此次方案的设计,我们决定采用一个内部私有C类地址()对医院的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对ip地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。位置信息点VLAN编号IP地址段默认网关网络管理中心2008/2454/24一楼15010/2454/24二楼20020/2454/24三楼20030/2454/24四楼20040/2454/24五楼20050/2454/24六楼15060/2454/24七楼10070/2454/24八楼10080/2454/24九楼10090/2454/24十楼100100/2454/24十一楼100110/2454/24十二楼100120/2454/24十三楼220130/2454/24十四楼330140/2354/23十五楼320150/2354/23十六楼300160/2354/23十七楼260170/2354/23十八楼100180/2454/24四、网络安全及管理机制5.1 完善的安全机制医院各楼层交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等等,满足医院网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交换设备设置由硬件实现ACL,对病毒进行过滤,我们选用的汇聚、核心交换设备都支持SPOH,所以在使用ACL时将不会影响整个交换机的性能。硬件实现端口与MAC地址和用户IP地址的绑定,严格限定端口上用户接入;通过PrivateVLAN可以在交换机的同一VLAN中提供端口之间的通讯或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因传统802.1QVLAN造成全网VID资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同组用户之间通讯的功能,充分保护用户隐私;支持业界特有的IGMP源端口检查,有效杜绝非法组播源播放和大量占用大量网络带宽,提高网络安全性;提供极为有效的PortBlocking功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户PC更高效安全地运行;基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;提供加密传输SecureShell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;可灵活控制2-7层数据报文,使得任何一个用户PC上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。GSN全局安全网络GSN系统能够对全网的所有安全事件、网络病毒攻击行为、用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测,可以在第一时间内将网络异常现象通过接入层隔离出网络,使得网络异常现象完全不影响核心网络;在发现安全问题后能自动对用户进行安全事件告警,并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流。这一方案目前在包括集美大学在内的各医院取得了较好的应用效果,例证之一就是:盛极一时并造成巨大影响的熊猫烧香病毒,在这些学校都悄然无声。此外,通过部署GSN全局安全,还能轻松的进行主机信息获取;实现主机完整性(HI)规则(通过一系列规则的定义,约定了对用户主机的准入标准);利用先进的“免疫性”ARP防病毒防攻击技术,彻底解决ARP木马等病毒/攻击带来的网络中断事故的影响。解决安全威胁在医院网络已经成为公司生产运营的重要组成部分的今天,现代医院网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证医院网络的稳定运行。防冲击波病毒随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保卫校园网络安全。IDS只能根据预先定义的策略进行检测,对新的攻击方式无能为力,或者当IDS侦测到某终端用户感染病毒后,只能将相关信息形成报告通知网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了校园网络的各个角落。来自网络内部的恶意或误操作攻击据相关数字显示,目前,网络遭受的恶意攻击90%以上是来自于内部,诸如窃取他人密码等重要信息、盗打IP电话、校园一卡通金额被盗等事件时有发生。对此,如果仅仅倚靠被动的监测方式,就给事后追查“嫌疑人”的网管人员制造了难以逾越的瓶颈。VPN(虚拟专用网)虚拟专用网(virtualpr
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 鄂尔多斯市党校图书馆纸质文献资源查询平台使用说明教学课件
- 公文办理规范与勘误
- 《肠内肠外营养概述》课件
- 这个撞色年终总结
- 国际会议中心木地板翻新施工合同
- 电影院防疫承诺书
- 中药库房防鼠措施
- 舞台设备材料招投标模板
- 婚庆设备租赁协议书
- 乡村安全:枪支弹药管理办法
- 西安长安相府豪宅项目营销推广全案第10稿【260p】课件
- 新人教版四年级上册《道德与法治》期末试卷【带答案】
- MOOC 计算机网络与应用-北京联合大学 中国大学慕课答案
- (2024年)中华人民共和国环境保护法全
- 建筑美学智慧树知到期末考试答案2024年
- 2024平安保险测评题库
- 商会成立筹备方案
- 2024年小学三年级英语家长会课件-(带附加条款)
- 廉洁应征承诺书
- 第22课+现代科技革命和产业发展(新教材课件)【中职专用】《世界历史》(高教版2023基础模块)
- 司法鉴定规范化与新司法鉴定程序通则课件
评论
0/150
提交评论