1、<p><b>　　二〇一二年五月八日</b></p><p>　題 目xx醫(yī)院的網絡規(guī)劃與設計</p><p>　系 （院）計算機科學技術系</p><p>　專 業(yè)計算機網絡技術</p><p>　班 級2009級2班</p><p>　學生姓名</p>

2、<p>　學 號</p><p>　指導教師</p><p>　職 稱講師</p><p>　　莒南縣醫(yī)院的網絡規(guī)劃與設計</p><p><b>　　摘 要</b></p><p>　　隨著網絡技術，信息通信領域的長足發(fā)展，網絡經濟，知識經濟再不是IT等高科技行業(yè)

3、的專利。作為傳統(tǒng)行業(yè)之一的醫(yī)療衛(wèi)生行業(yè)，如何面對網絡時代帶來的沖擊，如何利用網絡技術提高我們醫(yī)療衛(wèi)生行業(yè)的管理水平和服務質量，是無法回避的問題。隨著網絡硬件性能的不斷提高，成本不斷降低，目前新建的局域網基本上都采用了性能先進的快速以太網技術，其核心交換機采用三層交換機，能很好地支持VLAN。本方案提供了豐富、全面的系統(tǒng)安全設計。整個方案考慮了用戶層面、設備、數據和管理的各個層面的安全需求，并進行了整體安全的設計。設備方面，采用的各個層次

4、的設備都支持了對自身負責層面的安全功能，從接入層、匯聚層到核心層，都進行了安全方面的考慮和設計；如接入層面提供的VLAN保護接入層面數據和用戶的安全。防ARP功能和常見的蠕蟲、沖擊波等病毒的防范。數據層面，對數據在各個系統(tǒng)層面的傳輸都考慮的安全方面的設計。</p><p>　　關鍵詞：網絡性能；網絡安全；網絡配置；VLAN</p><p>　　Network Planning and De

5、sign of the Junan County Hospital</p><p><b>　　Abstract</b></p><p>　　With the rapid development of network technology, information communications, network economy, knowledge economy,

6、not the IT high-tech industry patents. As one of the traditional industries of the health care industry, and how to deal with the impact of the Internet age, how to use network technology to improve the management level

7、and service quality of our health care industry, is an unavoidable problem. The program provides a rich and comprehensive system security design. Equipment, at all le</p><p>　　Keywords: Network Performance;

8、 Network Security; Network Configuration; VLAN目 錄</p><p><b>　　第一章 緒論1</b></p><p>　　1.1 研究的目的和意義1</p><p>　　1.1.1 研究目的1</p><p>　　1.1.2 研究意義2</p&g

9、t;<p>　　1.2 國內外研究現狀2</p><p>　　1.2.1 國外研究現狀3</p><p>　　1.2.2 國內研究現狀3</p><p><b>　　第二章 概述4</b></p><p>　　2.1醫(yī)院的背景4</p><p><b>　　2.2

10、需求分析5</b></p><p>　　2.2.1網絡穩(wěn)定5</p><p>　　2.2.2網絡性能5</p><p>　　2.2.3網絡安全5</p><p>　　第三章 網絡規(guī)劃7</p><p>　　3.1醫(yī)院網絡設計目標7</p><p>　　3.2醫(yī)院網絡規(guī)劃拓

11、撲8</p><p>　　3.2.1結構設計9</p><p>　　3.2.2VLAN劃分10</p><p>　　3.3 IP地址12</p><p>　　3.3.1IP地址設計規(guī)則12</p><p>　　3.3.2IP地址劃分13</p><p>　　3.4網絡的簡要配置14

12、</p><p>　　3.5網絡安全設計17</p><p><b>　　第四章 結論21</b></p><p>　　4.1高穩(wěn)定的網絡架構設計21</p><p>　　4.2 獨立的服務器區(qū)域設計21</p><p>　　4.3全面的系統(tǒng)安全設計21</p><p

13、><b>　　參考文獻22</b></p><p><b>　　謝辭22</b></p><p><b>　　第一章 緒論</b></p><p>　　1.1 研究的目的和意義</p><p>　　互聯(lián)網發(fā)展到今天，已經給人們的生活帶來了巨大的變化，它為人們構造了一條

14、信息高速路。但是，這條信息高速路的使用率只有5%。因此，擺在人們面前的問題是如何利用互聯(lián)網的價值。越來越多的人認為，網絡作為一種新的理念，新的技術，新的設施，將會成為互聯(lián)網的下一個浪潮。網絡研究已被列入國家“八六三”計劃和“九七三”項目。[1]</p><p>　　1.1.1 研究目的</p><p>　　隨著醫(yī)療技術的發(fā)展，醫(yī)療體制改革的不斷深入，我國已經開始從公費醫(yī)療體制轉向社會保障體

15、制，并通過建立醫(yī)療保險制度，將新的醫(yī)療保障制度逐步推向社會。同時，在市場經濟的外部環(huán)境下，醫(yī)療衛(wèi)生機構如何通過信息化建設完善內部的管理，降低管理成本，提高對市場的反應速度，占據競爭優(yōu)勢，開發(fā)新的、更方便更快捷的服務項目，為廣大人們群眾提供優(yōu)質、衛(wèi)生、滿意的服務，是一個很重要的課題，是一件利國利民的大事。</p><p>　　隨著計算機網絡技術的不斷發(fā)展，簡單的內部網絡已經不能適用現代的網絡技術發(fā)展的要求。醫(yī)院若要

16、做到面向社會、面向世界，和國際是先進的醫(yī)療技術相接軌，就必須認真貫徹落實國家有關加快醫(yī)療系統(tǒng)信息化建設及管理的精神，進一步推進醫(yī)療系統(tǒng)的信息化建設，才能及時了解國際醫(yī)療系統(tǒng)的新信息、新發(fā)展動態(tài)，吸收國內外新的醫(yī)療理念和管理經驗，及時提高醫(yī)院的醫(yī)療系統(tǒng)的信息化應用和管理水平。在對醫(yī)院內部網絡規(guī)劃中，我將從需求分析、醫(yī)院網絡總體規(guī)劃、服務器的配置、網絡管理和 網絡安全等方面進行規(guī)劃和實現。在網絡建設過程中將盡量選擇穩(wěn)定和成熟的技術和產品，是

17、醫(yī)院的網絡在開通運行后處于穩(wěn)定的的狀態(tài)。在結構上將采用流行的三層網絡結構，及核心層、交換層和接入層，選用星型網絡拓撲結構，通過防火墻來接入骨干網絡?？紤]到醫(yī)院的規(guī)模較小，信息接點較少，信息流量小的的特點，實施的的時候，在核心層主要采用硬件與軟件技術相結合來實現其功能，并不僅僅采用昂貴的硬件來實現網絡功能，要充分利用現有的資源，不浪費，不盲目追求設備的高端化。同時考慮到醫(yī)院的應用環(huán)境應建立豐富的應用服務器，來滿足信息共享的需求。同時考慮到

18、醫(yī)院今后的發(fā)展，采用開放式的結</p><p>　　1.1.2 研究意義</p><p>　　網絡技術已經對社會，經濟和文化各方面產生重大影響，并將改變人們認識世界，思考世界的觀點和方法。作為傳統(tǒng)行業(yè)之一的醫(yī)療衛(wèi)生行業(yè)，如何面對網絡時代帶來的沖擊，如何利用網絡技術提高我們醫(yī)療衛(wèi)生行業(yè)的管理水平和服務質量，是無法回避的問題。為了認真貫徹衛(wèi)生部召開的關于加快醫(yī)衛(wèi)系統(tǒng)信息化建設及管理的會議精神，

19、進一步推進醫(yī)療行業(yè)的信息化建設，了解國際醫(yī)療信息化發(fā)展動態(tài)，吸收新的技術和管理經驗，提高醫(yī)衛(wèi)系統(tǒng)信息化應用的管理水平，使醫(yī)院經濟效益和社會效益雙豐收，全國各省都在逐步加快醫(yī)院的信息化建設步伐。</p><p>　　傳統(tǒng)醫(yī)療衛(wèi)生行業(yè)正利用其行業(yè)特點，汲取網絡技術精華，努力創(chuàng)造著醫(yī)療衛(wèi)生行業(yè)的又一個春天。未來是美好的，但現實不可回避。在選取“飛”的翅膀時，好的網絡設計方案對醫(yī)療行業(yè)網絡安全、網絡管理、可靠性、可管理性

20、、可擴展性和高性能的特殊需要，具有深遠的意義。</p><p>　　1.2 國內外研究現狀</p><p>　　20世紀90年代末至今，是數字化醫(yī)院以前所未有的速度發(fā)展的時期。發(fā)展過程中，我國醫(yī)院網絡建設已初具規(guī)模并取得了長足的進步。[2]事實證明，醫(yī)院網絡建設是實現醫(yī)院現代化的重要任務和標志，也是社會信息化不可缺少的組成部分，更是醫(yī)院適應改革的必然選擇。</p><p

21、>　　1.2.1 國外研究現狀</p><p>　　美國HIMSS協(xié)會2006年調查報告顯示，美國數字化醫(yī)院建設投入很大，我國醫(yī)院與美國醫(yī)院在信息化建設投資規(guī)模上有著很大的差距。最為突出的就是人才投入。我國醫(yī)院IT人員編制比例不舍理的問題由來已久，長期困擾醫(yī)院的信息化建設。據CHIMA 調查報告顯示，我國各醫(yī)院信息化部門全職員工人數多為3～ 10人。三級醫(yī)院信息部門的全職職工規(guī)模主要集中在3～20人，占三級

22、醫(yī)院的82．22 。而三級以下醫(yī)院則主要集中在1～10人，占三級以下醫(yī)院總數的90．34 。美國HIMSS協(xié)會2006年醫(yī)院信息化現狀調查中IT部門全職員工數據，美國80 的醫(yī)院IT人員編制在10人以上。其中，32 的醫(yī)院10～24人，17 的醫(yī)院25～ 50人，9 的醫(yī)院51～ 75人，4 的醫(yī)院76～ 100人。而從業(yè)務量的角度看，國內的大型醫(yī)院床位數、門診量、收容量遠大于美國醫(yī)院，人力資源不足的情況與發(fā)達國家醫(yī)療行業(yè)相比，差距較大

23、。在技術應用方面，也存在較大差距。當前我國各級各類醫(yī)院信息技術采用率排在前3位的依次是高速以太網(≥ 100M)技術、數據安全技術、條碼技術。CHIMA 樣本調查結果顯示，采用率第1位的是高速以太網(≥</p><p>　　1.2.2 國內研究現狀</p><p>　　我國傳統(tǒng)數字化醫(yī)院的發(fā)展可分為3個階段。首先是單機單用戶應用階段。始于20世紀70年代末、80年代初，這一階段開始是以小型

24、機為主，采用分時終端方式，當時只有少數幾家大型綜合醫(yī)院和教學醫(yī)院擁有。80年代中期進入部門級系統(tǒng)應用階段。一些醫(yī)院開始建立小型的局域網絡，并開發(fā)出基于部門管理的小型網絡管理系統(tǒng)，但主要用于院內財務管理。90年代開始進入全院級系統(tǒng)應用階段。以軍隊醫(yī)院“軍衛(wèi)一號”系統(tǒng)的全面運行為標志，大規(guī)模進入全院級系統(tǒng)應用階段?？焖僖蕴W和大型關系型數據庫日益盛行，完整的醫(yī)院網絡管理系統(tǒng)的實現已經成為可能。[4]</p><p>

25、<b>　　第二章 概述</b></p><p><b>　　2.1醫(yī)院的背景</b></p><p>　　醫(yī)院現擁有床位500張，科室齊全，人才薈萃。該院在本地區(qū)有較大優(yōu)勢的學科和技術項目主要有：臨床設有內、外、婦、眼、耳鼻喉、口腔各科，痤瘡?？?。</p><p>　　建筑樓群及信息點分布：</p><

26、;p><b>　　綜合醫(yī)療大樓一幢</b></p><p>　　該樓在醫(yī)院的左下，一層有31個房間，二層47個房，三層39個房間，四層33個房間，每間房間配有一部電腦。為使信息和資源共享，院方要求每個房間的辦公設備都需要網絡連通，同時大樓內的網絡與醫(yī)院的網絡連通。</p><p><b>　　行政辦公樓一幢</b></p>&

27、lt;p>　　行政辦公樓在綜合大樓北面，樓高6層，每層有辦公室18間。每個辦公室均配置有電腦1臺。</p><p><b>　　綜合住院樓一幢</b></p><p>　　綜合住院樓在辦公樓右邊，樓高10層，每層有一個值班室，每個值班室配置一電腦，并與醫(yī)院的網絡連接。</p><p><b>　　物資供應樓一幢</b>

28、;</p><p>　　該樓位于綜合住院樓右面，樓高3層，每層有一個辦公室，配置兩臺電腦，與醫(yī)院網絡連接。</p><p><b>　　體檢康復樓一幢</b></p><p>　　體檢康復樓在綜合大樓右面，樓高4層，每層有20個房間，每個房間安裝一臺電腦。</p><p><b>　　2.2需求分析</b

29、></p><p><b>　　2.2.1網絡穩(wěn)定</b></p><p>　　醫(yī)療行業(yè)是關系到病人生命安危的重要行業(yè)，莒南人民醫(yī)院的各種應用系統(tǒng)和基礎設備都要保證超高的穩(wěn)定性，系統(tǒng)的穩(wěn)定性（7*24穩(wěn)定、可靠、持續(xù)運行）是投入運行的醫(yī)療系統(tǒng)的生命線。同時，對于門診等重要區(qū)域，由于門診收費是患者進入醫(yī)院的第一站，穩(wěn)定的網絡系統(tǒng)建設是醫(yī)院各種應用系統(tǒng)開展的根本保障

30、，是降低醫(yī)院目前出現問題的根本性措施。[5]</p><p>　　1）網絡本身穩(wěn)定性。</p><p><b>　　2）網站的有效性。</b></p><p><b>　　3）網絡的安全性。</b></p><p>　　4）具有一定的可擴展性。</p><p>　　5）在滿足

31、基本功能的同時，盡量節(jié)約資金。</p><p>　　6）辦公用戶要具有強大的信息傳遞能力，以保證醫(yī)院信息暢通。</p><p><b>　　2.2.2網絡性能</b></p><p>　　作為臨床信息系統(tǒng)最為重要的PACS系統(tǒng)的應用其在傳輸患者的放射圖像信息時，需要消耗大量的網絡傳輸帶寬，雖然目前莒南人民醫(yī)院仍然采用的是科室級的PACS系統(tǒng)，然

32、而，隨著醫(yī)院信息化的發(fā)展，畢竟以全院級的FULL PACS系統(tǒng)為發(fā)展方向，在建設了PACS系統(tǒng)之后，堆積如山的膠片、病例檔案都沒有了，但是網絡上數據量卻在急劇增長。海量存儲和數據瀏覽就成為必須解決的問題。在計算機中一頁文字資料僅占幾千字節(jié)(Kb)，而一張數字化的X線片將產生上百萬字節(jié)(Mb)的信息量，這就是所謂“兆字節(jié)問題”；因此，在網絡建設初期就需要考慮針對未來醫(yī)院FULL PACS系統(tǒng)應用傳輸帶寬的考慮。[6]</p>

33、<p><b>　　2.2.3網絡安全</b></p><p>　　網絡安全，從其本質上來講就是網絡上的信息安全，廣義來說網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護、不受偶然的或者惡意的原因而遭到破壞、更改、泄露、系統(tǒng)連續(xù)、可靠、正常地運行，網絡服務不中斷。而網絡安全的主要威脅來自以下方面：</p><p><b>　　1）非授權訪問；<

34、/b></p><p><b>　　2）信息泄露；</b></p><p><b>　　3）拒絕服務。</b></p><p>　　對于底層的工作站來說，安全性問題主要來自于計算機病毒的侵擾和使用人員人為操作造成的系統(tǒng)破壞。為了防止病毒入侵，可以在醫(yī)院的電腦上只開放最小使用功能。例如：拆除光驅、軟驅、關閉USB 端口

35、，添加CMOS 密碼，實時監(jiān)測病毒，并及時升級病毒代碼，隱藏桌面、使用組策略技術，使一般用戶無法看到網上鄰居、資源管理器等，只能使用授權的應用程序，而不能進行非授權功能操作，輔之以多種方法對工作站做限制和監(jiān)控，將非授權訪問事件發(fā)生概率降到最低。</p><p>　　普遍來講，網絡安全關鍵技術主要有：信息包篩選(基于包過濾的防火墻)、應用中繼器(代理技術)和加密技術，一個完整的網絡信息安全系統(tǒng)至少包括三類措施：社會

36、的法律政策、企業(yè)的規(guī)章制度及網絡安全教育等外部環(huán)境，技術方面的措施，如防火墻技術、防病毒、信息加密、身份確認以及授權等[7]，網絡系統(tǒng)安全維護中，普遍應用的適當、安全的方法：</p><p>　　1）用備份和鏡像技術提高數據完整性；</p><p><b>　　2）病毒檢查；</b></p><p>　　3）補丁程序，修補系統(tǒng)漏洞；</p

37、><p><b>　　4）提高物理安全；</b></p><p>　　5）構筑因特網防火墻；</p><p><b>　　6）仔細閱讀日志；</b></p><p><b>　　7）加密；</b></p><p>　　8）執(zhí)行身份鑒別，口令守則；</p

38、><p><b>　　9）捕捉闖入者</b></p><p><b>　　第三章 網絡規(guī)劃</b></p><p>　　3.1醫(yī)院網絡設計目標</p><p>　　通過前兩章的需求分析和網絡現狀分析，從本章開始，將進行邏輯網絡分析， 隨著社會的發(fā)展，企業(yè)信息化建設的推進，全國各大中型企業(yè)基本上都有了自己

39、的網絡，作為醫(yī)院的決策者們來說，建立高速的網絡，使信息流通更快速，將醫(yī)院建成信息化的高效的醫(yī)院，使醫(yī)院立于不敗之林。由于邳州人民醫(yī)院的網絡業(yè)務量并不大，主要應用是醫(yī)院內部的信息傳遞，除此之外，Http、Ftp、Email便是醫(yī)院與Internet連接的最大流量了。從技術上講應該采用標準、開放、可擴充的、能與其它廠商產品配套使用的設計。根據用戶的總體需求，結合對應用系統(tǒng)的考慮，我們提出網絡系統(tǒng)的設計的原則是：可靠的技術選型、標準的體系結構

40、、1000M骨干網、安全性較高、運行性能可靠以及遵循面向應用，注重實效，急用先上，逐步完善的原則。</p><p>　　1）實用性：根椐應用系統(tǒng)的要求確定整個系統(tǒng)的結構，即從系統(tǒng)功能和信息需求出發(fā)，擬建系統(tǒng)的結構必須滿足系統(tǒng)的傳輸能力要求、信息安全要求、人機交互能力要求、信息處理要求等；</p><p>　　2）先進性：以先進、成熟的網絡通信技術進行組網，并能確保網絡技術和網絡產品幾年內不

41、落后；</p><p>　　3）可靠性：系統(tǒng)必須可靠運行；</p><p>　　4）開放性：選擇的產品應具有好的互操作性和可移植性，并符合相關的國際標準和工業(yè)標準；</p><p>　　5）可擴充性：系統(tǒng)是一個逐步發(fā)展的應用環(huán)境，在系統(tǒng)結構、產品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級換代的可能，這種擴充不僅能充分保護原有資源，而且具有較高的性能價格比,使整個網絡

42、系統(tǒng)是可擴展的，便于系統(tǒng)升級，改裝；</p><p>　　6）可伸縮性原則：網絡的建設是一項持續(xù)性的系統(tǒng)工程項目，堅持網絡建設規(guī)模的可伸縮性原則，將使得網絡的建設費用降低，避免不必要的浪費，也體現了網絡建設的靈活性；</p><p>　　7）安全性：信息系統(tǒng)安全問題的中心任務是保證信息網絡的暢通，確保授權實體經過該網絡安全地獲取信息，并保證該信息的完整和可靠。網絡系統(tǒng)的每一個環(huán)節(jié)都可能造成

43、安全與可靠性問題。</p><p>　　3.2醫(yī)院網絡規(guī)劃拓撲</p><p>　　醫(yī)院的網絡規(guī)劃如圖3.1示。</p><p>　　圖3.1 醫(yī)院網絡拓撲圖</p><p><b>　　3.2.1結構設計</b></p><p>　　通過路由器將整個醫(yī)院接入Internet，其接入方式為10M的

44、專用光纖方式，同時為了隔離各用戶群，將整個網絡劃分為5個VLAN，辦公用戶、科研實驗用戶、綜合住院用戶、門診用戶、服務器區(qū)分別處于這五個VLAN中。</p><p>　　網絡設備選型及配置數量：</p><p>　　網絡規(guī)劃設計時，使用產品制造商提供的自立合理選擇LAN和WAN的硬件設備也是關鍵性的一步。</p><p>　　莒南人民醫(yī)院網絡規(guī)劃采用的是星型拓撲結構

45、，網絡總體分為三個層次，即核心層、匯聚層、接入層。</p><p><b>　　核心層</b></p><p>　　核心層包括由核心交換機、路由器、網絡服務器等部分組成，主要功能是提供地理上遠程站點之間的廣域網連接。核心層作為莒南人民醫(yī)院的基本信息平臺，通過CISCO 2620XM路由器接入Interent，核心交換機選擇為Cisco WS-C4510R，直接連接路由

46、器，提供網絡信息的核心交換，網絡服務器連接在核心交換機上，以提供高速的網絡信息服務。</p><p>　　1．CISCO 2620XM路由器</p><p>　　CISCO 2620XM5路由器是有思科公司提供的一種主要的集成多業(yè)務路由器，為客戶提供高性能的IP服務、平臺高擴展性和可靠性。CISCO 2620XM 采用了并行快速轉發(fā)技術，它采用全硬件冗余、在線接入和拔除及無縫路由等先進技術

47、，除此之外還具有以下特征：</p><p>　　1)高密度廣域網和撥號連接</p><p>　　2)中密度到高密度局域網連接</p><p>　　3)數據上的中密度語音</p><p><b>　　4)具有閃存能力</b></p><p>　　2．Cisco WS-C4510R三層核心交換機<

48、;/p><p>　　思科新推出的Cisco WS-C4510R系列交換機是一個創(chuàng)新的產品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網中的工作效率。支持在內部建立虛擬工作組，提供流量管理和第二層交換功能，同時具有先進的網絡管理功能。 這個新的產品系列采用了最新的思科StackWise技術，不但實現高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶

49、建立一個統(tǒng)一、高度靈活的交換系統(tǒng)--就好像是一整臺交換機一樣。這代表了堆疊式交換機新的工業(yè)技術水平和標準。</p><p>　　基于以上原因，我采用了Cisco WS-C4510R 作為莒南人民醫(yī)院網絡的三層核心交換機。</p><p><b>　　1）匯聚層</b></p><p>　　各子網絡的流量的匯聚采用思科公司的Cisco Catal

50、yst2950交換，上行速度為100Mbps接入中心交換機Cisco Catalyst3750，Cisco Catalyst2950是24口10M/100Mbps自適應以太端口且?guī)?個千兆端口的交換機，體系結構采用了一個10Gbps和轉發(fā)速率每秒750萬個信息包的交換結構。</p><p><b>　　2）接入層</b></p><p>　　接入層通常是一個LAN或一

51、組LAN，所以我們所以討論的的網絡設計中，接入層通常由以太網組成。接入層為用戶提供接入訪問服務。</p><p>　　接入層采用思科公司的Cisco Catalyst2600交換機，該類型交換機具有24端口，快速10M/100M自適應的能力為網絡提供很好的兼容性以及交換能力。</p><p>　　3.2.2 VLAN劃分</p><p>　　隨著網絡硬件性能的不斷提

52、高，成本不斷降低，目前新建的局域網基本上都采用了性能先進的快速以太網技術，其核心交換機采用三層交換機，能很好地支持VLAN（虛禮局域網），所謂VLAN是局域網上的一組設備，經配置（用管理軟件）后它們可以加同連接在同一 線路上那樣通信，而它們實際上位于不同的局域網段，它和用戶的物理位置沒有關系。實驗VLAN技術的局域網的管理方便、可靠性高、安全性強，同時由于采用虛擬技術，可以防止廣播風暴，提高網絡性能。使用VLAN具有以下優(yōu)點：</

53、p><p>　　1）增加了網絡連接的靈活性及降低管理成本。</p><p>　　2）有效控制網絡中的廣播。</p><p>　　3）增強網絡的安全性。</p><p><b>　　4）控制通信活動。</b></p><p>　　對于交換式快速以太網，如果要對某些用戶重新進行網絡分段，需要網絡管理員對網

54、絡系統(tǒng)的物理結構進行調整，甚至要追加網絡設備，增大網絡管理的工作量。而對于采用VLAN技術的網絡來說，一個VLAN可以根據部門職能、對象組或具體應用將不同地理位置的網絡用戶劃分為一個邏輯網段，在不改變網絡物理連接的情況下，可以任意地將工作站在工作組或子網間移動。利用VLAN技術大大減少了網絡管理的負擔，降低了網絡維護費用。</p><p>　　根據我們前面的分析，根據莒南人民醫(yī)院的具體情況，可具體劃分如下：<

55、;/p><p><b>　　1．服務器區(qū)：</b></p><p>　　1）包括Web、FTP、Email等服務器。</p><p>　　2）VLAN名稱：VLAN10</p><p><b>　　2．行政辦公區(qū)</b></p><p>　　1）包括6層樓中各辦公室的電腦<

56、/p><p>　　2）VLAN名稱：VLAN20</p><p><b>　　3．綜合醫(yī)療大樓</b></p><p>　　1）包括4層診室中的電腦。</p><p>　　2）VLAN名稱：VLAN30</p><p><b>　　4．綜合住院樓</b></p>&

57、lt;p>　　1）包括10層共10臺</p><p>　　2）VLAN名稱：VLAN40</p><p><b>　　5．物資供應大樓</b></p><p>　　1）VLAN名稱：VLAN50</p><p><b>　　6．康復大樓</b></p><p>　　1）

58、VLAN名稱：VLAN60</p><p>　　莒南人民醫(yī)院VLAN劃分如表3.2所示。</p><p>　　表3.2 醫(yī)院vlan劃分</p><p><b>　　3.3 IP地址</b></p><p>　　3.3.1 IP地址設計規(guī)則</p><p>　　IP地址規(guī)劃的好壞不僅影響網絡路由

59、協(xié)議算法的效率、網絡性能、網絡管理、網絡擴展，還直接影響應用的進一步發(fā)展。關于IP地址規(guī)劃應遵循以下原則：</p><p>　　1）IP地址的唯一性</p><p>　　即IP地址是區(qū)分網絡主機的唯一標識，同一個網絡中不能有相同的IP地址，否則就不會有可靠的路由選擇方式把包發(fā)送到指定的目標地址。</p><p>　　2）IP地址規(guī)劃的簡單性</p>&

60、lt;p>　　IP地址的規(guī)劃應本著簡單的原則，避免在網絡主干采用復雜的網絡掩碼形式。</p><p>　　3）IP地址規(guī)劃的層次性</p><p>　　IP地址在規(guī)劃時，應考慮到網絡中的子網，以及子網中計算機的數量，這樣才能確定IP地址的類型和子網掩碼。</p><p>　　4）IP地址的連續(xù)性。</p><p>　　5）IP地址規(guī)劃的

61、可擴展性</p><p>　　6）IP地址規(guī)劃的靈活性</p><p><b>　　7）網絡的安全性</b></p><p>　　8）IP地址根據需要采用靜態(tài)或動態(tài)分配</p><p>　　3.3.2 IP地址劃分</p><p>　　根據以上原則，結合莒南人民醫(yī)院的實際情況，IP地址規(guī)劃如下：&

62、lt;/p><p>　　1）服務器區(qū)IP地址規(guī)劃</p><p>　　作用：用于給各個服務器分配IP地址。</p><p>　　范圍：192.168.0.1-192.168.4.254</p><p>　　掩碼：255.255.255.0</p><p><b>　　2）辦公區(qū)</b></p&g

63、t;<p>　　作用：用于給各個辦公室電腦分配IP地址。</p><p>　　范圍：192.168.2.1-192.168.2.200</p><p>　　掩碼：255.255.255.0</p><p><b>　　3）綜合門診區(qū)</b></p><p>　　作用：用于給各個多媒體教室電腦分配IP地址。&

64、lt;/p><p>　　范圍：192.168.2.1-192.168.2.100</p><p>　　掩碼：255.255.255.0</p><p><b>　　4）科研實驗區(qū)</b></p><p>　　作用：用于給各個實驗室電腦分配IP地址。</p><p>　　范圍：192.168.3.1-1

65、92.168.3.254</p><p>　　掩碼：255.255.255.0</p><p><b>　　5）綜合住院區(qū)</b></p><p>　　作用：用于給教師電腦分配IP地址。</p><p>　　范圍：192.168.4.1-192.168.4.254</p><p>　　掩碼：255

66、.255.255.0</p><p>　　IP地址規(guī)劃如表3.3所示</p><p>　　表3.3 IP地址劃分</p><p>　　3.4網絡的簡要配置</p><p>　　1．路由器的簡要配置</p><p>　　將路由器的Console端口利用Console線與計算機串口相連，打開計算機啟動超級終端，并為連接取

67、一個名字Cisco-user，接著選定連接的相關參數，速度設為9600bps，數據位為8，奇偶校驗為無，停止位為1，數據流控為無。打開路由器電源，則進行路由器的初始化界面。關鍵設置如下：</p><p>　　1）輸入路由器的名字</p><p>　　Enter host name[Router]:Router-user</p><p>　　2）配置連接到交換機的路由

68、器接口的IP選項</p><p>　　Router-user#config t</p><p>　　Router-user(config)#interface fastethernet 0/0</p><p>　　Router-user（config-if）#ip address 192.168.0.254 255.255.255.0</p><

69、p><b>　　3）配置路由協(xié)議</b></p><p>　　Router-user(config)#router rip</p><p>　　Router-user(config-router)#network 192.168.0.254 255.255.0.0</p><p>　　Router-user(config-router)#

70、network 172.18.1.254 255.255.255.0</p><p>　　4）設置IP路由器功能開放</p><p>　　Router-user(config)#ip routing </p><p>　　5）設置NAT，做動態(tài)地址轉換</p><p>　　Router-user(config)#ip nat pool my

71、natpool 172.1.1.1 netmask 255.255.255.0</p><p>　　2．核心交換機的簡要配置</p><p>　　將Cisco Catalyst3750交換機的Console口專用連接線與計算機串口連接。然后啟動交換機，設置好PC的超級終端。其關鍵設置如下：</p><p>　　1）行政為辦公區(qū)、醫(yī)療綜合大樓區(qū)、綜合住院區(qū)、體檢康復大

72、樓區(qū)、物資供應大樓及其他區(qū)、服務器區(qū)配置VLAN</p><p>　　Switch>configure t</p><p>　　Switch>#hostname Ciscohq</p><p>　　Ciscohq(vlan)#vlan database</p><p>　　Ciscohq(vlan)#vtp domain hq&l

73、t;/p><p>　　Ciscohq(vlan)#vlan 2 name vlan10</p><p>　　Ciscohq(vlan)#vlan 3 name vlan20</p><p>　　Ciscohq(vlan)#vlan 4 name vlan30</p><p>　　Ciscohq(vlan)#vlan 5 name vlan40&l

74、t;/p><p>　　Ciscohq(vlan)#vlan 6 name vlan50</p><p>　　Ciscohq(vlan)#vlan 7name vlan60</p><p>　　2）為Catalyst3750交換機所劃發(fā)的VLAN設置IP地址</p><p>　　Ciscohq#conf t</p><p>

75、　　Ciscohq(config)#interface vlan 2</p><p>　　Ciscohq(config-if)#ip address 192.168.0.11255.255.255.0 //服務器區(qū)</p><p>　　Ciscohq(config-if)#no shut</p><p>　　Ciscohq(config-if)#exit</p

76、><p>　　Ciscohq(config)#interface vlan 3</p><p>　　Ciscohq(config-if)#ip address 192.168.0.2 255.255.255.0 //行政辦公區(qū)</p><p>　　Ciscohq(config-if)#no shut</p><p>　　Ciscohq(confi

77、g-if)#exit</p><p>　　Ciscohq(config)#interface vlan 4</p><p>　　Ciscohq(config-if)#ip address 192.168.1.1 255.255.255.0 //醫(yī)療綜合大樓</p><p>　　Ciscohq(config-if)#no shut</p><p&g

78、t;　　Ciscohq(config-if)#exit</p><p>　　Ciscohq(config)#interface vlan 5</p><p>　　Ciscohq(config-if)#ip address 192.168.2.1 255.255.255.0 //體檢康復大樓</p><p>　　Ciscohq(config-if)#no shut&l

79、t;/p><p>　　Ciscohq(config-if)#exit</p><p>　　Ciscohq(config)#interface vlan 6</p><p>　　Ciscohq(config-if)#ip address 192.168.3.1 255.255.255.0 //綜合住院區(qū)</p><p>　　Ciscohq(conf

80、ig-if)#no shut</p><p>　　Ciscohq(config-if)#exit </p><p>　　Ciscohq(config)#interface vlan 7</p><p>　　Ciscohq(config-if)#ip address 192.168.4.1 255.255.255.0 //物資供應大樓</p><p

81、>　　Ciscohq(config-if)#no shut</p><p>　　Ciscohq(config-if)#exit </p><p><b>　　3.5網絡安全設計</b></p><p>　　由于計算機網絡系統(tǒng)的迅猛發(fā)展，網絡安全已經成為網絡發(fā)展中的一個重要課題。國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數據處理系

82、統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露[8]。由此可以將計算機網絡的安全理解為：通過采用各種技術和管理措施，使網絡系統(tǒng)正常運行，從而確保網絡數據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發(fā)生增加、修改、丟失和泄露等。網絡安全包括五個基本要素：機密性、完整性、可用性、可控性、與可審查性。 </p><p&g

83、t;　　由于計算機系統(tǒng)本身就存在著種種安全性問題，互聯(lián)網的安全問題就更為復雜，網絡的安全威脅主要包括在以下幾個方面。</p><p>　　1）非授權訪問：沒有預先經過同意，就使用網絡或計算機資源則被看作非授權訪問，如有意避開系統(tǒng)訪問控制機制，對網絡設備資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作。</p

84、><p>　　2）信息泄漏或丟失:指敏感數據在有意或無意中被除數泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏、信息在存儲介質中丟失 或泄漏以及通過建立隱蔽隧道等竊取敏感信息等。如黑客利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推測出有用信息，如用戶口令、賬號等重要信息。</p><p>　　3）破壞數據完整性：以非法手段竊得對數據的使用

85、權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應：惡意添加，修改數據，以干擾用戶的正常使用。</p><p>　　4）拒絕服務攻擊：它不斷對網絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統(tǒng)或不能得到相應的服務。</p><p>　　5）利用網絡傳播病毒：通過網絡傳播計算機病毒，其

86、破壞性大大高于單機系統(tǒng)，而且用戶很難防范。</p><p>　　6）混合威脅是新型的安全攻擊，主要表現為一種病毒與黑客程序想結合的新型蠕蟲病毒，可以借助多種用途和路徑潛入企業(yè)、政府、銀行、軍隊等的網絡?；旌贤{的出現說明病毒編寫者正在利用大量的系統(tǒng)漏洞將病毒傳播的速度最大化。</p><p><b>　　網絡安全設計原則</b></p><p>

87、;　　雖然說越安全的網絡，信息的傳輸效率越差，也沒有絕對安全的網絡。但是如果在網絡設計之初就能遵守些合理的原則，那么這樣設計好的網絡的安全和信息的保密就會有所保障。從網絡工程的技術出發(fā)，我們應該遵從以下原則：</p><p>　　1．網絡安全系統(tǒng)的整體性原則</p><p>　　強調安全防護、監(jiān)測和應急恢復。要求在網絡系統(tǒng)發(fā)生被攻擊的情況下，必須盡可能快地恢復網絡信息中心的服務，減少損失。

88、所以網絡安全系統(tǒng)應該包括三種機制：安全防護機制、安全監(jiān)測、安全恢復機制。安全防護機制是根據具體系統(tǒng)存在的各種安全漏洞和安全威脅采取的相應防護措施，避免非法攻擊的進行；安全監(jiān)測機制系統(tǒng)的運行情況，及時發(fā)現和制止系統(tǒng)進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量及時地恢復信息，減少攻擊的破壞程度。</p><p>　　2．網絡安全系統(tǒng)的有效性與實用性原則</p><p

89、>　　網絡安全應以不能影響系統(tǒng)的正常運行和合法用戶的操作活動為前提。網絡中的信息安全和信息利用是一對矛盾：一方面，為健全和彌補系統(tǒng)缺陷的漏洞，會采取多種技術手段和管理措施；另一方面，勢必給系統(tǒng)的運行和用戶的使用造成負擔和麻煩，“越安全請注意味著使用越不方便”。尤其在網絡環(huán)境下，實時性要求很高的業(yè)務不能允許安全連接和安全處理造成的時延和數據擴張。如何在確保安全性的基礎上，把安全處理的運算減小或分攤，減少用戶的記憶、存儲工作和安全服務

90、器的存儲量、計算量，是一個待解決的問題。</p><p><b>　　3．等級性原則</b></p><p>　　良好的網絡安全系統(tǒng)必然是分為不同級別的包括對信息保密程度分級（絕密、機密、秘密、普密）；對用戶操作權分級（面向個人及面向群組），對網絡安全程度分級（安全子網和安全區(qū)域），對系統(tǒng)實現結構的分級（應用層、網絡層、鏈路層等），從而針對不同級別的安全對象，提供全天

91、候算法和安全體制，以滿足網絡中不同層次的各種實際需求[9]。</p><p>　　4．網絡安全有價原則</p><p>　　網絡系統(tǒng)的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網絡系統(tǒng)所要求的安全側重點各不相同。例如國家政府首腦機關、國際部門計算機網絡安全側重存取控制強度。金融部門側重于身份論證、審計、網絡容錯等功能。交通、民航側重于網絡容錯等。國此

92、必須有的放矢，具體問題全體分析，把有限的經費用在關鍵領域。</p><p>　　然而Internet是一個共享的公共資源，因此不能保證數據在兩點之間傳遞時，不會被她人竊取。[10]因此需要對網絡信息安全進行設計。</p><p>　　1）確定面臨的各種攻擊和風險</p><p>　　網絡安全系統(tǒng)的設計和實現必須根據具體系統(tǒng)和環(huán)境，考察、分析、評估、檢測（包括模擬攻擊

93、）和確定系統(tǒng)存在的安全漏洞和安全威脅。</p><p><b>　　2）明確安全策略</b></p><p>　　安全策略是網絡安全系統(tǒng)設計的目標和原則，是對應用系統(tǒng)完整的安全解決方案。安全策略要綜合以下幾方面優(yōu)化確定：</p><p>　　1) 系統(tǒng)整體安全性，由應用環(huán)境和用戶需求決定，包括各個安全機制的子系統(tǒng)的安全目標和性能指標；</

94、p><p>　　2) 對原系統(tǒng)的運行造成的負荷和影響（如網絡通信時延、數據擴展等）；</p><p>　　3) 便于網絡管理人員進行控制、管理和配置；</p><p>　　4) 可擴展的編程接口，便于更新和升級；</p><p>　　5) 用戶界面的友好性和使用方便性；</p><p>　　6) 投資總額和工程時間等<

95、;/p><p>　　通過以上分析，結合醫(yī)院實際情況CISCO PIX525防火墻適用于企業(yè)和服務提供商，尺寸是2RU,處理器是600M hz,RAM是128256MB,FLASH是16MB。它支持8個10/100M bit/s 快速以太網和千兆以太網接口，具有370M bit/s 的測試吞吐量，能夠處理280000個并發(fā)會話。分別在網絡的制定位置安裝CheckPoint FireWall－1的防火墻模塊、狀態(tài)檢測模塊

96、、VPN模塊。并通過以下指令主要指令達到安全目的</p><p>　　deny tcp any any eq 27665 </p><p>　　#Tribal Flood Network,Trinoo</p><p>　　#Tribe Flood Network與trinoo一樣，使用一個master程序與位于多個網絡上的攻擊代理進行通訊。TFN可以并行發(fā)動數不

97、勝數的DoS攻擊，類型多種多樣，而且還可建立帶有偽裝源IP地址的信息包?？梢杂蒚FN發(fā)動的攻擊包括：UDP沖擊、TCP SYN沖擊、ICMP回音請求沖擊以及 ICMP 廣播。TFN2K是TFN的一個更高級的版本。</p><p>　　deny tcp any any eq 16660</p><p>　　#Stacheldraht (DDoS)</p><p>　

98、　deny tcp any any eq 65000</p><p>　　#Devil, DDoS</p><p>　　deny tcp any any eq 33270</p><p>　　#新的分布式拒絕服務工具Trinity v3</p><p>　　deny tcp any any eq 9996</p><

99、p><b>　?。湎x</b></p><p>　　deny tcp any any eq 3332</p><p><b>　?。鹗幉ㄇ宄?lt;/b></p><p>　　deny tcp any any eq 1068</p><p><b>　　／／震蕩波</b&

100、gt;</p><p><b>　　第四章 結論</b></p><p>　　4.1高穩(wěn)定的網絡架構</p><p>　　在這樣的架構下，任何一臺核心設備和骨干鏈路出現故障，都不會影響網絡的正常運行?？梢源_保醫(yī)院業(yè)務7*24小時安全可靠。充分保障骨干設備在醫(yī)院復雜應用環(huán)境下的進行大流量處理的穩(wěn)定性。</p><p>　

101、　硬件CPP提供對骨干設備CPU的保護功能，確保醫(yī)院網絡系統(tǒng)在掃描、DOS攻擊等病毒攻擊情況下，骨干設備仍然能夠正常運行，提供強大的病毒防護能力，充分提升骨干網絡的穩(wěn)定性。確保骨干設備在網絡流量異?；蛄髁抗舡h(huán)境下設備的多層面防護，提升骨干網絡系統(tǒng)的高可靠性。</p><p>　　一個網絡穩(wěn)定與否，與其所用的設備的穩(wěn)定與否有直接關系。如果一個設備都不夠穩(wěn)定，那么網絡也就無穩(wěn)定可言。</p><

102、p>　　4.2 獨立的服務器區(qū)域</p><p>　　考慮到服務器區(qū)域的重要性，把服務器區(qū)域單獨隔離，構建數據中心。確保核心和服務器區(qū)域的穩(wěn)定與安全。這種設計方式有以下好處：1、可以確保核心設備的性能；2、可以確保核心設備有更多的擴展性；3、可以在服務器區(qū)域單獨部署策略，確保服務器區(qū)域的安全。</p><p>　　4.3全面的系統(tǒng)安全</p><p>　　本方

103、案提供了豐富、全面的系統(tǒng)安全設計。整個方案考慮了用戶層面、設備、數據和管理的各個層面的安全需求，并進行了整體安全的設計。</p><p>　　設備方面，采用的各個層次的設備都支持了對自身負責層面的安全功能，從接入層、匯聚層到核心層，都進行了安全方面的考慮和設計；如接入層面提供的VLAN保護接入層面數據和用戶的安全。防ARP功能和常見的蠕蟲、沖擊波等病毒的防范。</p><p>　　數據層面

104、，對數據在各個系統(tǒng)層面的傳輸都考慮的安全方面的設計。</p><p><b>　　參考文獻</b></p><p>　　[1] 段水福,段煉,張元睿.計算機網絡規(guī)劃與設計[M].杭州:浙江大學出版社,2005-06:26.</p><p>　　[2] 王達.網管員必讀——網絡應用[M].北京:電子工業(yè)出版社,2004-09:17-18.<

105、/p><p>　　[3] 李剛榮.國內外數字化醫(yī)院建設現狀與發(fā)展趨勢[J].重慶醫(yī)學,2009年7月第38卷第13期.</p><p>　　[4] 李卓玲.網絡安全技術[M].西安:西安電子科技大學,2011-07-01:50-53.</p><p>　　[5] 銀石動力.實戰(zhàn)局域網架設[M].北京:北京郵電出版社,2005-01-01:45.</p>&

106、lt;p>　　[6] 胡道元.計算機網絡[M].北京:清華大學出版社,2005-03:25.</p><p>　　[7] 雷震甲.網絡工程師教程[M].北京:清華大學出版社,2009-06:60-62.</p><p>　　[8] 蔡苗土.我院醫(yī)院信息系統(tǒng)的現狀和今后發(fā)展方向[J].醫(yī)療裝備,2002年第7期.</p><p>　　[9] 許懷湘.美國區(qū)域衛(wèi)生

107、信息組織的發(fā)展和啟示[J].電子政務,2008-08:119.</p><p>　　[10] 李展,刑博特.防火墻與VPN原理與實踐[M].清華大學出版社,2008-12:231.</p><p><b>　　謝 辭</b></p><p>　　在幾個月的學習生活和課題研究過程中，本人始終得到指導老師：xx老師的親切關懷和精心指導，該老師嚴謹

108、的治學風范、勤奮的工作精神、事實求是的科研作風一直激勵著我克服學習和研究中的重重困難，使我比較順利地完成了學習任務和課題研究。</p><p>　　在論文的完成過程中從課題的研究、論文的選題、章節(jié)的安排到論文的多次修改和審閱都得到了xx老師的精心指導。在此論文完成之際，謹向x老師表示我深深的謝意。在設計過程中，我還得到不少同學的大力幫助和不吝賜教，感謝他們?yōu)槲业脑O計所做的辛苦工作，和提出了大量寶貴的意見。另外，感