組網(wǎng)與配置綜合實踐課程設(shè)計--校園網(wǎng)絡(luò)組建與配置實踐

1、<p><b>　　課程設(shè)計</b></p><p>　　題目：校園網(wǎng)絡(luò)組建與配置實踐</p><p><b>　　作者簽名：</b></p><p>　作者姓名：</p><p>　班 級：網(wǎng)絡(luò)081</p><p>　學(xué) 號：</p>&l

2、t;p>　指導(dǎo)教師：</p><p>　日 期：</p><p>　　校園網(wǎng)絡(luò)組建與配置實踐</p><p><b>　　摘 要</b></p><p>　　本文完成了校園網(wǎng)絡(luò)組建的方案設(shè)計，其中包括網(wǎng)絡(luò)需求分析，IP、VLAN、路由等的規(guī)劃，安全設(shè)計，完成路由、VLAN、冗余網(wǎng)關(guān)、STP、NAT、ACL等的

3、實踐配置，對相關(guān)配置做驗證。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)組建、路由、VLAN、IP目 錄</p><p><b>　　1 引言1</b></p><p>　　1.1 項目背景1</p><p>　　1.2 需求現(xiàn)狀1</p><p><b>　　2 需求分析1<

4、;/b></p><p>　　2.1.網(wǎng)絡(luò)系統(tǒng)需求分析1</p><p>　　2.2網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性需求2</p><p>　　2.3網(wǎng)絡(luò)傳輸性能需求2</p><p>　　2.4網(wǎng)絡(luò)系統(tǒng)安全性需求2</p><p>　　2.5網(wǎng)絡(luò)系統(tǒng)管理需求2</p><p>　　2.6無線網(wǎng)絡(luò)

5、需求3</p><p>　　2.7遠程接入需求3</p><p><b>　　2．8總結(jié)3</b></p><p>　　3 拓撲及IP和路由規(guī)劃3</p><p>　　3.1 拓撲設(shè)計及描述3</p><p>　　3.2 IP和VLAN設(shè)計6</p><p>　

6、　3.3 路由設(shè)計8</p><p><b>　　4 安全設(shè)計9</b></p><p><b>　　5 實踐配置10</b></p><p>　　5.1實踐配置拓撲圖10</p><p>　　5.2基礎(chǔ)配置：11</p><p>　　5.3路由配置11</

7、p><p>　　5.4生成樹配置:12</p><p>　　5.5冗余網(wǎng)關(guān)配置12</p><p>　　5.6DHCP配置12</p><p>　　5.7ACL配置12</p><p>　　5.8NAT配置12</p><p>　　5.9VPN配置13</p><p&

8、gt;　　5.10 802.1X配置13</p><p><b>　　6 實驗測試13</b></p><p>　　6.1DHCP驗證:13</p><p>　　6.2STP驗證13</p><p>　　6.3路由驗證:14</p><p>　　6.3驗證ACL15</p>

9、<p>　　5.4驗證VRRP15</p><p><b>　　結(jié) 論16</b></p><p><b>　　參考文獻16</b></p><p><b>　　1 引言</b></p><p><b>　　1.1 項目背景</b&

10、gt;</p><p>　　華山醫(yī)院是衛(wèi)生部直屬復(fù)旦大學(xué)（原上海醫(yī)科大學(xué)）附屬的一所綜合性教學(xué)醫(yī)院。建院于1907年，前身是中國紅十字會總院，是上海地區(qū)中國人最早創(chuàng)辦的醫(yī)院，1992年首批通過國家三級甲等醫(yī)院評審，目前已成為一所國家高層次的醫(yī)療機構(gòu)，并為全國醫(yī)療、預(yù)防、教學(xué)、科研相結(jié)合的技術(shù)中心，在國內(nèi)外享有較高的聲譽。</p><p>　　隨著醫(yī)療行業(yè)信息化的發(fā)展，為了認真貫徹衛(wèi)生部召開

11、的關(guān)于加快醫(yī)衛(wèi)系統(tǒng)信息化建設(shè)及管理的會議精神，進一步推進我院的信息化建設(shè)，了解國際醫(yī)療信息化發(fā)展動態(tài)，吸收新的技術(shù)和管理經(jīng)驗，提高我院信息化應(yīng)用的管理水平，使我院經(jīng)濟效益和社會效益雙豐收，逐步加快醫(yī)院的信息化建設(shè)步伐。</p><p>　　在選取“飛”的翅膀時，計算機網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。銳捷網(wǎng)絡(luò)公司以其卓越的產(chǎn)品性能、豐富的產(chǎn)品種類和完善的服務(wù)體系，綜合考慮了華山對網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴

12、展性和高性能的特殊需要，精選出適合華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的解決方案。</p><p><b>　　1.2 需求現(xiàn)狀</b></p><p>　　華山醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)在實用的前提下，應(yīng)當(dāng)在投資保護及長遠性方面做適當(dāng)考慮，在技術(shù)上系統(tǒng)能力上要保持五年左右的先進性。并且從用戶的利益出發(fā)，一個好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開

13、放、可擴充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。</p><p>　　根據(jù)以上種種特性需求，網(wǎng)絡(luò)設(shè)備核心層、匯聚層、接入層產(chǎn)品，選擇銳捷網(wǎng)絡(luò)。銳捷網(wǎng)絡(luò)是國內(nèi)領(lǐng)先的網(wǎng)絡(luò)廠商，其對醫(yī)療行業(yè)有著深刻的了解，其產(chǎn)品、方案與服務(wù)在醫(yī)療行業(yè)有成熟和廣泛的應(yīng)用，而且能通過智能、安全及可靠的網(wǎng)絡(luò)設(shè)備連為一體，來構(gòu)建網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)，保障其順利進行。</p><p>　　根據(jù)以上描述，結(jié)合實際建網(wǎng)情況和前期

14、網(wǎng)絡(luò)建設(shè)，在充分研究了目前國內(nèi)外網(wǎng)絡(luò)界對園區(qū)網(wǎng)設(shè)計所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢后，建議選擇萬兆以太網(wǎng)為目標(biāo)，構(gòu)建華山醫(yī)院的網(wǎng)絡(luò)建設(shè)，設(shè)計“萬兆核心、千兆支干、千兆交換桌面”的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，根據(jù)需求分析，結(jié)合對應(yīng)用系統(tǒng)的考慮，提出本期網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網(wǎng)絡(luò)。</p><p>　　醫(yī)療行業(yè)由于其特殊性，對于各種系統(tǒng)的穩(wěn)定和可

15、靠都有非常高的要求，華山醫(yī)院在穩(wěn)定可靠的基礎(chǔ)上，以實用為先，應(yīng)用各種網(wǎng)絡(luò)技術(shù)，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸可靠性、安全性、和高效率是目前醫(yī)療行業(yè)應(yīng)用的發(fā)展趨勢。同時，也要不斷提高醫(yī)院領(lǐng)導(dǎo)和信息中心對信息化建設(shè)的基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)建設(shè)的認識。</p><p>　　隨著華山醫(yī)院業(yè)務(wù)的不斷發(fā)展，為了給患者提供更好的服務(wù)，使更多的患者能夠得到及時有效的醫(yī)療服務(wù)。華山醫(yī)院通過不斷的信息化建設(shè)，逐步的提升自身的信息化水品。隨著信息化建設(shè)的

16、發(fā)展，網(wǎng)絡(luò)應(yīng)用逐漸增多，應(yīng)用模式更為多樣化，網(wǎng)絡(luò)接入信息點數(shù)和接入帶寬不斷增加。原有的網(wǎng)絡(luò)系統(tǒng)已經(jīng)不能滿足華山醫(yī)院醫(yī)療服務(wù)水品的發(fā)展需要，網(wǎng)絡(luò)穩(wěn)定性、網(wǎng)絡(luò)傳輸帶寬、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理等問題日趨嚴峻，各種醫(yī)院信息系統(tǒng)的開展受到了現(xiàn)有網(wǎng)絡(luò)系統(tǒng)傳輸平臺的制約，因此，需要通過提升基礎(chǔ)網(wǎng)絡(luò)平臺的穩(wěn)定性、傳輸帶寬、安全性和可管理性等，促進華山醫(yī)院信息化建設(shè)的進一步發(fā)展，為到我院就診的患者提供更高質(zhì)量的服務(wù)，同時，提升我院自身的信息化管理水品，逐步提

17、升我院整體的經(jīng)濟效益和社會效益。</p><p><b>　　2 需求分析</b></p><p>　　2.1.網(wǎng)絡(luò)系統(tǒng)需求分析</p><p>　　為了提升華山醫(yī)院的整體醫(yī)療服務(wù)水品，提升醫(yī)院各種醫(yī)療應(yīng)用系統(tǒng)的服務(wù)效率，需要從以下幾個方面考慮華山醫(yī)院網(wǎng)絡(luò)系統(tǒng)平臺的建設(shè)。</p><p>　　2.2網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性需求&l

18、t;/p><p>　　醫(yī)療行業(yè)是關(guān)系到病人生命安危的重要行業(yè)，華山醫(yī)院的各種應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)備都要保證超高的穩(wěn)定性，如果系統(tǒng)沒有足夠的穩(wěn)定性，一次小小的系統(tǒng)錯誤就可能導(dǎo)致一個生命的滅亡。系統(tǒng)的穩(wěn)定性（7X24穩(wěn)定、可靠、持續(xù)運行）是投入運行的醫(yī)療系統(tǒng)的生命線。</p><p>　　由此可見，華山醫(yī)院對于各種系統(tǒng)的穩(wěn)定性需求是對所有系統(tǒng)的最高需求也是最根本的需求。而作為基礎(chǔ)設(shè)施的網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性

19、也就成為華山醫(yī)院信息化建設(shè)的重要指標(biāo)。怎樣的網(wǎng)絡(luò)結(jié)構(gòu)能夠保證整個網(wǎng)絡(luò)的穩(wěn)定、可靠，保證在單點故障的情況下不會對整個網(wǎng)絡(luò)造成沖擊，保證核心、骨干設(shè)備在出問題的時候能夠無縫的恢復(fù)或切換。這些都是華山醫(yī)院網(wǎng)絡(luò)系統(tǒng)建設(shè)的最根本需要。</p><p>　　2.3網(wǎng)絡(luò)傳輸性能需求</p><p>　　目前華山醫(yī)院的應(yīng)用系統(tǒng)主要是以HMIS（醫(yī)院管理信息系統(tǒng)）和CIS（臨床信息系統(tǒng)）為主，各種系統(tǒng)對網(wǎng)絡(luò)

20、的性能都有不一樣的需要。</p><p>　　管理信息系統(tǒng)的應(yīng)用主要是以文字、圖表和簡單的圖形信息為主，雖然信息量不大，但是對于基礎(chǔ)架構(gòu)的可靠性和安全性需要較高，對服務(wù)質(zhì)量也有一定的要求。</p><p>　　臨床信息系統(tǒng)的應(yīng)用內(nèi)容則較為豐富。除了一般文字信息外，醫(yī)療應(yīng)用數(shù)據(jù)包含大量的圖形、視頻和語音信息。要求安全、可靠、保證服務(wù)質(zhì)量和高性能，需要同時支持語音、視頻和數(shù)據(jù)等多種業(yè)務(wù)，又要方

21、便以后的擴展。在某些關(guān)鍵應(yīng)用上，對于服務(wù)質(zhì)量、高性能、高可用性都提出了很高的要求。</p><p>　　以華山醫(yī)院重要的PACS（醫(yī)學(xué)圖像傳輸存儲系統(tǒng)）為例，在建設(shè)了PACS系統(tǒng)之后，堆積如山的膠片、病歷檔案都沒有了，但是在網(wǎng)絡(luò)上的數(shù)據(jù)量卻在急劇增長。海量存儲和數(shù)據(jù)瀏覽就成為必須解決的問題。在計算機中一頁文字資料僅占幾千字節(jié)（Kb），而一張數(shù)字化的X線片將產(chǎn)生上百萬字節(jié)（Mb）的信息量，這就是所謂的“兆字節(jié)問題”

22、；在華山醫(yī)院每天的信息量中，有大量的信息是PACS系統(tǒng)的數(shù)據(jù)，醫(yī)院對于這些TB數(shù)量級的數(shù)據(jù)需要經(jīng)常的進行調(diào)閱，對于網(wǎng)絡(luò)系統(tǒng)，必須有強大的數(shù)據(jù)傳輸能力。</p><p>　　2.4網(wǎng)絡(luò)系統(tǒng)安全性需求</p><p>　　華山醫(yī)院信息系統(tǒng)的安全性包括實體安全、網(wǎng)絡(luò)安全、傳輸安全、用戶安全。衛(wèi)生部新《規(guī)范》重點強調(diào)了系統(tǒng)的可靠性和安全性問題，要求門診系統(tǒng)恢復(fù)時間在5～10分鐘之內(nèi)，系統(tǒng)支持7&#

23、215;24小時工作，關(guān)鍵設(shè)備必須有備份系統(tǒng)。一般網(wǎng)絡(luò)和服務(wù)器等硬件設(shè)備在2～3年之內(nèi)不易出現(xiàn)故障，這使人們?nèi)菀仔拇鎯e幸。一旦關(guān)鍵設(shè)備發(fā)生故障，又沒有備用設(shè)備或備用鏈路，將造成重大損失。</p><p>　　目前，網(wǎng)絡(luò)系統(tǒng)中蠕蟲病毒、掃描攻擊、DDOS等攻擊越來越普遍，而這些攻擊將直接導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓和中斷，給醫(yī)院的正常業(yè)務(wù)開展造成非常嚴重的影響。例如：單臺主機在進行掃描攻擊的時候，可以瞬間將門診收費的主干網(wǎng)絡(luò)設(shè)

24、備的系統(tǒng)資源占滿，造成門診收費等系統(tǒng)無法正常通信，嚴重時還將造成全網(wǎng)主干系統(tǒng)數(shù)據(jù)傳輸緩慢或中斷。因此，病毒是目前比較嚴重的問題，尤其是網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊型病毒，防范十分困難。如何通過有效的手段控制和防御網(wǎng)絡(luò)病毒的攻擊，是華山醫(yī)院在進行網(wǎng)絡(luò)建設(shè)時必須思考的問題。</p><p>　　華山醫(yī)院的內(nèi)部信息主要是以病人的病例、處方和醫(yī)囑等信息為主，而醫(yī)院是有義務(wù)保障病人的信息安全，保證病人的病例、處方和醫(yī)囑信息不被沒有必

25、要的部門或人員查看，同時也要保證信息不能外傳。華山醫(yī)院的信息必須要被保存7－21年甚至更長時間。因此，如何保證整個系統(tǒng)的保密性、完整性、可用性、可審核性也是華山醫(yī)院信息系統(tǒng)安全性的一部分</p><p>　　2.5網(wǎng)絡(luò)系統(tǒng)管理需求</p><p>　　隨著華山醫(yī)院信息化建設(shè)的不斷完善，醫(yī)院網(wǎng)絡(luò)的規(guī)模也在不斷的擴展，如何及時有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，如有有效的控制網(wǎng)絡(luò)設(shè)備，如何及時的對異常

26、網(wǎng)絡(luò)設(shè)備進行遠程控制，這一些列的網(wǎng)絡(luò)管理和維護問題都必須在網(wǎng)絡(luò)建設(shè)的初期考慮。</p><p>　　針對華山醫(yī)院里網(wǎng)絡(luò)技術(shù)人才相對匱乏的現(xiàn)狀，網(wǎng)絡(luò)建設(shè)在安全可靠的基礎(chǔ)上，盡量降低網(wǎng)絡(luò)的復(fù)雜度，便于日后的管理維護。</p><p><b>　　2.6無線網(wǎng)絡(luò)需求</b></p><p>　　無線局域網(wǎng)的應(yīng)用，使華山醫(yī)院信息網(wǎng)絡(luò)更加靈活，而且能夠經(jīng)

27、濟、快捷的實現(xiàn)無縫覆蓋。在需要頻繁上網(wǎng)設(shè)備的病房，在網(wǎng)絡(luò)終端不固定的會議室等區(qū)域，無線網(wǎng)絡(luò)都是理想的選擇。配合無線掌上電腦，可以實現(xiàn)很多適合醫(yī)院應(yīng)用的無線接入服務(wù)。</p><p>　　華山醫(yī)院臨床醫(yī)學(xué)信息系統(tǒng)，突出體現(xiàn)的就是“以病人信息為核心，以病人診療過程為主線”的理念。目前華山醫(yī)院使用的包括：病房醫(yī)生站，門診醫(yī)生站，病房護士站，病人床旁移動信息站（包括醫(yī)生和護士），臨床檢驗分析系統(tǒng)等等），這些信息化系統(tǒng)的配

28、合使用，使得醫(yī)護人員在醫(yī)院中可以隨時隨地獲取病人的最新信息，做出快速反應(yīng)處理，緊密跟蹤治療過程，大大提高了醫(yī)院的診療效率和縮短了病人等待的周期。相比原有的醫(yī)院信息化的數(shù)據(jù)整理，采集和錄入以及處理都是建立在固定點的基礎(chǔ)上，“移動信息化系統(tǒng)”表現(xiàn)出其靈活，快捷，實時等多項優(yōu)勢，對固定信息站的工作起到了必不可少的補充作用。</p><p>　　基于“無線網(wǎng)絡(luò)”的平臺，讓移動信息系統(tǒng)（BMIS）的功能充分的發(fā)揮了出來，醫(yī)

29、護人員可以借助它大力協(xié)助自己在病人身邊治療護理的工作。它是一個移動信息中心，用戶可以隨時對數(shù)據(jù)進行查閱，瀏覽，記錄，采集，傳輸?shù)忍幚?，還同時實現(xiàn)了人機交流和人人交流。BMIS運用科技手段，幫助醫(yī)院節(jié)省大量的人力物力財力，提高醫(yī)院在病患中的服務(wù)形象和科技形象，真正實現(xiàn)“無紙化”，對醫(yī)院的信息化發(fā)展而言是必不可少，勢在必行的環(huán)節(jié)。</p><p><b>　　2.7遠程接入需求</b></

30、p><p>　　遠程醫(yī)療和醫(yī)院間的學(xué)術(shù)交流、專家會診等正在迅猛發(fā)展。我國的遠程醫(yī)療近幾年發(fā)展迅速，一些著名的醫(yī)學(xué)院校、醫(yī)院都建立了遠程會診中心。通過廣域網(wǎng)的數(shù)據(jù)傳輸，不僅可以讓病人在家中得到及時診斷，對于一些重癥病患者，還可以通過遠程專家會診等方式提出有效的醫(yī)療方案。</p><p>　　同時，每個醫(yī)院都在設(shè)立自己的資源中心，例如：電子書庫等等。特別是一些醫(yī)藥大學(xué)的附屬醫(yī)院，對于資源中心的部署

31、作為資源建設(shè)的重點。</p><p>　　但是，對于一些特殊的醫(yī)學(xué)資源，例如：患者的病歷信息，醫(yī)藥學(xué)文獻，醫(yī)院內(nèi)部的行政信息等等，這些信息在需要被醫(yī)院以外的特殊用戶訪問的同時，其安全性和保密性要得到最高的保證。因此，如果有效的為醫(yī)院外部特殊用戶提供安全保密的信息是我們在進行醫(yī)院遠程網(wǎng)絡(luò)接入中需要考慮的重點。</p><p>　　華山醫(yī)院的廣域網(wǎng)應(yīng)用越來越多，而怎樣實現(xiàn)高速安全的廣域網(wǎng)數(shù)據(jù)傳

32、輸是進行局域醫(yī)療衛(wèi)生服務(wù)系統(tǒng)（GMIS）建設(shè)的重點。</p><p><b>　　2．8總結(jié)</b></p><p>　　后期華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的目標(biāo)是建設(shè)一個集各種數(shù)字化醫(yī)療設(shè)備和器械為一體的綜合數(shù)字醫(yī)療系統(tǒng)，而網(wǎng)絡(luò)平臺作為這些數(shù)字應(yīng)用的基礎(chǔ)設(shè)施，成為數(shù)字化建設(shè)首先考慮的重點，如何建設(shè)一個穩(wěn)定，可靠，安全，應(yīng)用集中的綜合業(yè)務(wù)網(wǎng)絡(luò)平臺，是華山醫(yī)院信息化建設(shè)的根本出發(fā)點

33、。</p><p>　　3 拓撲及IP和路由規(guī)劃</p><p>　　3.1 拓撲設(shè)計及描述</p><p>　　醫(yī)院的內(nèi)部局域網(wǎng)非常重要，由于醫(yī)院的所有業(yè)務(wù)均依賴醫(yī)院內(nèi)部局域網(wǎng)運行，所以應(yīng)對內(nèi)部局域網(wǎng)進行全面重點設(shè)計。</p><p>　　華山醫(yī)院的內(nèi)網(wǎng)將能覆蓋醫(yī)院全部功能區(qū)，目前華山醫(yī)院有門診樓、放療、急診樓、和新修大樓等。在本次網(wǎng)絡(luò)建設(shè)

34、中，根據(jù)實際應(yīng)用和長遠設(shè)計，以保證網(wǎng)絡(luò)的穩(wěn)定性、可靠性、高速、高安全、可擴充性為前提，采用三層結(jié)構(gòu)的網(wǎng)絡(luò)，分為核心層、匯聚層和接入層。醫(yī)院內(nèi)部局域網(wǎng)核心交換機配備萬兆雙機熱備，通過設(shè)備和萬兆鏈路的雙冗余備份和負載均衡實現(xiàn)網(wǎng)絡(luò)的高可靠性和穩(wěn)定性，通過核心與匯聚設(shè)備之間的萬兆鏈接提升醫(yī)院網(wǎng)絡(luò)整體性能。各樓層接入交換機采用單臺或堆疊的形式，提供10/100/1000M自適應(yīng)的桌面接入能力和1000M上聯(lián)能力,接入交換機均通過光纖連接所屬樓層的

35、匯聚交換機或核心交換機接入醫(yī)院內(nèi)部局域網(wǎng)。并且為了實現(xiàn)萬兆核心、千兆支干、千兆交換桌面以及各樓層直接與一樓的中心機房經(jīng)過萬兆單膜光纖互聯(lián)的需求，在各個樓層均作為匯聚節(jié)點，雙萬兆上聯(lián)到兩臺核心。同時為業(yè)務(wù)備份冗余考慮，規(guī)劃組建備份數(shù)據(jù)中心。</p><p>　　3.1.1核心層設(shè)計</p><p>　　醫(yī)院的網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，向醫(yī)院的應(yīng)用業(yè)務(wù)系統(tǒng)源源不斷的提供安全的信息血液，保證整個醫(yī)

36、院信息系統(tǒng)的可靠運行。因此，作為整個網(wǎng)絡(luò)平臺的神經(jīng)中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行模粌H要保證7*24小時的穩(wěn)定運行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可靠的傳輸?shù)浇K端系統(tǒng)，同時，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務(wù)的同時，保證網(wǎng)絡(luò)中心自身的安全。</p><p>　　在網(wǎng)絡(luò)的可靠性和穩(wěn)定性保障方面，網(wǎng)絡(luò)核心設(shè)計采用2臺十萬兆核心交換機互為容錯備份，并在核心交換機中采用關(guān)鍵模塊冗余設(shè)計（如雙電源冗余等

37、），雙核心網(wǎng)絡(luò)設(shè)計架構(gòu)，為醫(yī)院網(wǎng)絡(luò)提供了高穩(wěn)定性和可靠性的數(shù)據(jù)傳輸平臺，同時，提供了一種能夠“自愈”網(wǎng)絡(luò)鏈路或設(shè)備的單點故障的網(wǎng)絡(luò)架構(gòu)，保證了醫(yī)院網(wǎng)絡(luò)能夠提供7*24小時高速穩(wěn)定的數(shù)據(jù)傳輸。為醫(yī)院提供健壯的數(shù)據(jù)傳輸神經(jīng)中樞。同時，從醫(yī)院業(yè)務(wù)發(fā)展角度考慮，因此對核心交換機的性能也有非常高的要求。</p><p>　　根據(jù)可靠性、穩(wěn)定性、擴展性、性能上的分析，網(wǎng)絡(luò)核心建議選用兩臺高性能的銳捷高密度多業(yè)務(wù)IPv6核心路

38、由交換機RG-S8610，兩臺核心設(shè)備之間采用雙鏈路千兆鏈接，提供高速通道。</p><p>　　RG-S8610擁有10個擴展槽，提供管理模塊冗余，支持萬兆、千兆和百兆模塊線速轉(zhuǎn)發(fā)，未來可擴展十萬兆。RG-S8610交換機高達3.2T的背板帶寬和1190Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的線速交換，強大的交換路由功能、為醫(yī)院網(wǎng)絡(luò)用戶提供超強的數(shù)據(jù)處理能力。</p><p>

39、;　　同時RG-S8610支持負載均衡、冗余備份、QOS、ACL、策略路由、防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP欺騙、防IP掃描等強大的功能，同時板卡支持分布式處理和熱插拔，是醫(yī)院核心交換機的理想選擇。</p><p>　　3.1.2匯聚層、接入層設(shè)計</p><p>　　匯聚、接入層采用雙鏈路連接，構(gòu)成一個環(huán)路架構(gòu)，啟用VRRP或RSTP、MSTP協(xié)議等技術(shù)；VRRP協(xié)議通

40、過在兩臺互備份的交換機上對每個VLAN用戶提供一個統(tǒng)一的虛擬網(wǎng)關(guān)IP地址，相應(yīng)VLAN用戶設(shè)置PC網(wǎng)關(guān)地址時就設(shè)置成為該虛擬網(wǎng)關(guān)IP，用戶工作時并不用關(guān)心真正負責(zé)數(shù)據(jù)傳輸?shù)慕粨Q機，在真正負責(zé)用戶數(shù)據(jù)傳輸?shù)慕粨Q機出現(xiàn)故障時VRRP協(xié)議可以自動地把用戶數(shù)據(jù)的轉(zhuǎn)發(fā)工作轉(zhuǎn)移到另一臺交換機，不僅實現(xiàn)了主機間的備份功能，而且不必更改用戶的網(wǎng)絡(luò)設(shè)置。RSTP、MSTP等技術(shù)在二層上造成網(wǎng)絡(luò)環(huán)路的鏈路將邏輯失效，網(wǎng)絡(luò)環(huán)路被消除；而在負責(zé)數(shù)據(jù)傳輸?shù)幕顒渔?/p>

41、路失效以后又可以激活先前邏輯失效的鏈路，保障數(shù)據(jù)的正常傳輸，提供冗余備份功能。</p><p>　　全網(wǎng)架構(gòu)，核心層雙萬兆鏈路交換系統(tǒng)不存在單點故障，是一種高級別交換完全冗余的容錯方案，這樣即使其中一條鏈路斷線或一個主干交換機發(fā)生故障，都能在用戶覺察不到的極短的時間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證網(wǎng)絡(luò)系統(tǒng)的高可靠性、穩(wěn)定性的運行。</p><p>　　考慮到接入信息點集中，同時醫(yī)院的應(yīng)用多

42、元化，PACS系統(tǒng)大流量高性能的需求。要求接入層的設(shè)備具有端口高密度和設(shè)備的高性能、高安全、多功能的特點。采用RG-S2900全千兆智能接入交換機，該系列交換機支持萬兆擴展和萬兆冗余堆疊，滿足了網(wǎng)絡(luò)流量成倍提高和多媒體業(yè)務(wù)的迅速增長的需要。在提供高性能、高帶寬的同時，S2900交換機提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性，并可以根據(jù)網(wǎng)絡(luò)的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控

43、制非法用戶接入和使用網(wǎng)絡(luò)，保證合法的用戶合理化地使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng)絡(luò)合理化使用和運營。</p><p>　　RG-S2900系列交換機特有的CPU保護控制機制，對發(fā)送到CPU的數(shù)據(jù)進行帶寬控制，以避免非法者對CPU的惡意攻擊，充分保障了交換機的安全。</p><p>　　RG-S2900系列交換機為方便不同管理員的使用習(xí)慣，提供了多種形式的管理工具，如SNMP、Tel

44、net、Web和Console口等。</p><p>　　RG-S2900系列交換機以極高的性價比為各類型網(wǎng)絡(luò)提供高性能、完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安全策略管理。眾多的功能特別適合在醫(yī)院的應(yīng)用。</p><p>　　RG-S5750系列是銳捷網(wǎng)絡(luò)推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。</p><p>　　該系列交換機接

45、口形式和組合非常靈活，可提供24個10/100/1000M自適應(yīng)的千兆電口，和靈活復(fù)用的高密度千兆SFP光纖連接，滿足網(wǎng)絡(luò)建設(shè)中不同介質(zhì)的連接需要。同時為滿足網(wǎng)絡(luò)的彈性擴展，和高帶寬傳輸需要，可靈活彈性擴展多種類型的萬兆模塊。</p><p>　　特別適合高帶寬、高性能和靈活擴展的大型網(wǎng)絡(luò)匯聚層，中型網(wǎng)絡(luò)核心，以及數(shù)據(jù)中心服務(wù)器接入的使用。</p><p>　　RG-S5750可作為門診大

46、樓匯聚交換機。匯聚大樓內(nèi)所有節(jié)點及數(shù)據(jù)。同時，采用雙萬兆鏈路鏈接醫(yī)院核心交換機，提供高速通道，為門診大樓的業(yè)務(wù)開展打下堅實的基礎(chǔ)。</p><p>　　3.1.3出口網(wǎng)絡(luò)設(shè)計</p><p>　　華山醫(yī)院有到醫(yī)保、社保、干保、銀行的業(yè)務(wù)對接，內(nèi)網(wǎng)在出口處需要強大的路由策略支撐能力和強大的安全防護能力,配置一臺RG-RSR50可信多業(yè)務(wù)路由器，實現(xiàn)完備路由策略支撐能力。為了保障出口安全性，在

47、出口加入一臺RG-WALL2000防火墻，防火墻工作在透明橋模式，路由器承擔(dān)NAT功能。這種部署方式的優(yōu)點在于防火墻重點任務(wù)是完成過濾規(guī)則的安全訪問控制，而將其工作在透明橋模式，使得網(wǎng)絡(luò)結(jié)構(gòu)更清晰明了，尤其是在網(wǎng)絡(luò)測試和性能分析是可以臨時把防火墻撤掉而不用修改網(wǎng)絡(luò)的邏輯結(jié)構(gòu)，也不需要修改其他網(wǎng)絡(luò)設(shè)備的配置，方便管理員的維護管理。</p><p>　　為了讓遠程用戶能夠進入到內(nèi)網(wǎng)訪問內(nèi)網(wǎng)資源，在出口路由器上需要配置

48、VPN，為了最大程度地達到安全性，選用IPsecVPN技術(shù)。</p><p>　　3.2 IP和VLAN設(shè)計</p><p>　　3．2.1VLAN設(shè)計</p><p>　　在醫(yī)院內(nèi)部網(wǎng)絡(luò)的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN 的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點：</p>

49、<p>　　VLAN 劃分，可以避免廣播風(fēng)暴，在骨干網(wǎng)絡(luò)中尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN 是廣播只在子網(wǎng)中進行，不會做無意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。</p><p>　　VLAN 劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。<

50、/p><p>　　網(wǎng)絡(luò)管理系統(tǒng)采用完全獨立的IP子網(wǎng)和VLAN，實現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè)備進行管理。建立VLAN 和IP 子網(wǎng)的對應(yīng)關(guān)系。</p><p>　　提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。</p><p>　　VLAN 間的子網(wǎng)訪問，可以在三層交換機上實現(xiàn)，子網(wǎng)間的通訊也可以在匯聚設(shè)備上實行，分流核心交換機的三層交換，優(yōu)化了組網(wǎng)。<

51、;/p><p>　　根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗和江都人民醫(yī)院內(nèi)部網(wǎng)絡(luò)建設(shè)的實際情況，方案建議VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為VLAN范圍劃分。這樣劃分VLAN的好處有：</p><p>　　1、方便管理。為了更改得進行VLAN規(guī)劃的實施，因此在網(wǎng)絡(luò)實施前期，要對網(wǎng)絡(luò)中不同區(qū)域的VLAN設(shè)置進行詳細的規(guī)劃，細化的第三級網(wǎng)絡(luò)。方案建議江都人民醫(yī)院內(nèi)部網(wǎng)絡(luò)劃分VLAN

52、方式前進行詳盡規(guī)劃，這樣既可以減少廣播域，又達到劃分VLAN，方便管理的效果，對于后期網(wǎng)絡(luò)維護和升級具有十分現(xiàn)實的意義。</p><p>　　2、易于實施。按群體劃分VLAN在工程實施中就十分的方便，不會造成VLAN劃分復(fù)雜失誤而使得網(wǎng)絡(luò)出現(xiàn)不通的現(xiàn)象，便于工程快速實施和網(wǎng)絡(luò)中心整體規(guī)劃。</p><p>　　3、VLAN間路由采用三層交換設(shè)備進行VLAN路由。以便不同VLAN間進行訪問，

53、對于某些重要網(wǎng)絡(luò)資源，需要進行權(quán)限訪問的時候，建議采用ACL來進行訪問權(quán)限設(shè)定，保障重要資料不被非法訪問。</p><p>　　從上述情況分析，建議華山醫(yī)院VLAN劃分以按照業(yè)務(wù)類別加樓層進行規(guī)劃，每個業(yè)務(wù)類別可跨越多個樓層，各個樓層之間相互獨立，即方便管理，有利于匯聚之后做流量管理。VLAN號由業(yè)務(wù)類別+樓層號構(gòu)成，比如1樓的門診部為101，1為門診部類的VLAN，01為樓層號。VLAN規(guī)劃如下表：</p

54、><p>　　3.2.2 IP劃分</p><p>　　IP地址的合理分配及使用是保證網(wǎng)絡(luò)順利運行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵，與網(wǎng)絡(luò)拓撲結(jié)構(gòu)、路由策略有非常密切的關(guān)系，將對互聯(lián)網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響。</p><p>　　通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內(nèi)。因此，IP地址應(yīng)被分配一段連續(xù)的地址。更進一步，連接進某一區(qū)域的節(jié)點的IP地址范

55、圍應(yīng)集中在該區(qū)域的地址范圍附近。</p><p>　　IP地址規(guī)劃遵循以下原則：</p><p>　?。?）IP地址的規(guī)劃與劃分應(yīng)該考慮到互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，能夠滿足未來發(fā)展的需要；既要滿足本期工程對IP地址的需求，同時又要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段。</p><p>　　（2）IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入的需要。</p

56、><p>　?。?）地址分配應(yīng)由業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地址段。</p><p>　?。?）IP地址的分配采用VLSM技術(shù)，保證IP地址的利用效率。</p><p>　　（5）采用CIDR技術(shù)，這樣可減小路由器路由表的大小，加快路由器路由的收斂速度，也可減小網(wǎng)絡(luò)中廣播的路由信息的大小。</p><p>　　（6）充分合理利用已申請的地址空

57、間，提高地址的利用效率。</p><p>　?。?）企業(yè)的內(nèi)部可使用內(nèi)部保留地址，不占用共有IP資源；可以采用私有IP地址的實現(xiàn)的服務(wù)，在地址不足的情況下可使用保留IP地址。規(guī)劃如下表：</p><p><b>　　3.3 路由設(shè)計</b></p><p>　　3.1.1動態(tài)路由協(xié)議</p><p>　　采用OSPF，它

58、是一種鏈路狀態(tài)協(xié)議，區(qū)別于距離矢量協(xié)議(RIP)，OSPF 具有支持大型網(wǎng)絡(luò)、路由收斂快、占用網(wǎng)絡(luò)資源少等優(yōu)點，在目前應(yīng)用的路由協(xié)議中占有相當(dāng)重要的地位。</p><p><b>　　區(qū)域劃分如下圖：</b></p><p>　　圖8 OSPF區(qū)域劃分圖</p><p>　　兩臺核心交換機跟有線匯聚交換機直連區(qū)域組成了骨干區(qū)域 AREA 0，1

59、至9樓匯聚交換機劃分為區(qū)域1,11至18樓匯聚交換機劃分區(qū)域為區(qū)域2，服務(wù)器區(qū)劃分區(qū)域為區(qū)域3，這樣保證了OSPF的區(qū)域合理劃分。 </p><p><b>　　劃分區(qū)域的好處：</b></p><p>　　減少SPF算法的計算量，使得拓撲發(fā)生變化的時候就在本區(qū)域就進行SPF計算，減小了OSPF路由器的LSBD量減小了路由器的資源消耗。并且劃分區(qū)域以后可以在ABR上面

60、匯總路由。使得路由表更加精簡提升路由器工作效率。</p><p>　　本次方案設(shè)計的時候?qū)⒑诵?路由器設(shè)置成OSPF DR，將核心2設(shè)置成BDR，將其余所有的匯聚設(shè)備的OSPF 優(yōu)先級修改成0，防止匯聚設(shè)備參與DR ，BDR的選擇。將核心A的優(yōu)先級設(shè)置成254，核心B的優(yōu)先級設(shè)置成 200.將所有的OSPF的默認參考帶寬修改成10GB，不修改任何線路的COST，讓匯聚到核心的時候通過OSPF實現(xiàn)了負載均衡，在一條

61、鏈路出現(xiàn)故障或者是其中一臺核心設(shè)置出現(xiàn)了故障的時候通過OSPF自動實現(xiàn)冗余。保證了網(wǎng)絡(luò)的高性能和冗余性。</p><p><b>　　3.3.2靜態(tài)路由</b></p><p>　　核心交換機需要一條靜態(tài)默認路由指向出口路由器，出口路由器需要一條靜態(tài)路由指向核心，在出口路由器上根據(jù)社保、醫(yī)保、干保、銀行四個VPN的不同IP分別添加相應(yīng)的靜態(tài)路由條目。</p>

62、;<p><b>　　4 安全設(shè)計</b></p><p>　　4.1外聯(lián)出口安全設(shè)計</p><p>　　為了保障外聯(lián)網(wǎng)出口安全防護，在方案中，我們采用了銳捷RG-WALL2000 高性能防火墻作為出口安全設(shè)備。</p><p>　　RG-WALL2000能夠全面防御基于TCP、UDP和其他協(xié)議報文的IP畸形包攻擊、IP假冒、T

63、CP劫持入侵、SYN flood、Smurf、Ping of Death、Teardorp、Land、Ping flood、UDP Flood等DoS/DDoS攻擊。保障服務(wù)器群不受到來自internet的DoS/DDoS攻擊。</p><p>　　RG-WALL2000能夠支持2-7層的數(shù)據(jù)流深度檢測功能，能對IM（QQ/MSN/雅虎MSN）、P2P（BT/Emule/Edonkey）等協(xié)議提供智能識別和限制；

64、提供URL、Email、TELNET、FTP等第7層內(nèi)容過濾功能（Active-X、Java Scripts、Java Applet和Cookie）。凈化出口帶寬，保障出口帶寬的有效利用。</p><p>　　4.2服務(wù)器區(qū)安全設(shè)計</p><p>　　為了保障重要服務(wù)器群的安全，在核心交換機旁路設(shè)置一臺RG-IDS2000 高性能入侵檢測系統(tǒng)，通過分析鏡像服務(wù)器區(qū)的數(shù)據(jù)流量，分析資源中心

65、訪問流量，及時發(fā)現(xiàn)非法攻擊入侵數(shù)據(jù)流并與內(nèi)網(wǎng)安全管理系統(tǒng)GSN中的SMP聯(lián)動，通過預(yù)先設(shè)定的策略自動的對相應(yīng)數(shù)據(jù)控制處理。通過旁路IDS的入侵檢測，不但可以及時的發(fā)現(xiàn)非法攻擊入侵，同時低誤報率不會影響數(shù)據(jù)交換的正常速度，在最大程度提供對內(nèi)服務(wù)的同時，最及時的對數(shù)據(jù)中心服務(wù)器群進行安全防護管理。</p><p><b>　　4.3內(nèi)網(wǎng)安全設(shè)計</b></p><p>　

66、　針對網(wǎng)絡(luò)漏洞的增加，病毒的頻繁爆發(fā)，如今80％的網(wǎng)絡(luò)安全事件來自于內(nèi)部安全事件。如何作好網(wǎng)絡(luò)內(nèi)部用戶的安全控制，成了每一個網(wǎng)絡(luò)安全人員的重大問題。而銳捷網(wǎng)絡(luò)針對此種情況，推出了GSN（全局安全網(wǎng)絡(luò)解決方案）</p><p>　　GSN由銳捷安全交換機、銳捷安全客戶端、銳捷安全管理平臺、銳捷安全計費管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素組成，實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮

67、著安全防護的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。GSN通過將用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機制集成到一個網(wǎng)絡(luò)安全解決方案中，達到對網(wǎng)絡(luò)安全威脅的自動防御，網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)，同時可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動學(xué)習(xí)，從而達到對未知網(wǎng)絡(luò)安全事件的防范。</p><p>　　RG-S8610、S5750/S2900采用硬件方式提供多種安全防護能力，例如防DoS攻擊、

68、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實現(xiàn)方式對整機性能的影響。</p><p>　　RG-S8610、S5750/S2900提供業(yè)界最為強大的ACL特性，基于SPOH技術(shù)提供IP標(biāo)準(zhǔn)、IP擴展、MAC擴展、時間、專家級等豐富的ACL技術(shù)。</p><p>　　RG-S8610、S5750/S2900支持同時啟用多組的多端口同步監(jiān)控技術(shù)，并且支持靈活的輸入、輸出、雙

69、向數(shù)據(jù)鏡像，滿足靈活的網(wǎng)絡(luò)監(jiān)控需求，提升網(wǎng)絡(luò)監(jiān)控能力。</p><p><b>　　5 實踐配置</b></p><p>　　5.1實踐配置拓撲圖</p><p>　　實踐采用Cisco Packet Tracer+GNS3（某些配置在Packet Tracer上不能實現(xiàn)的，使用GNS3實現(xiàn)），以1樓的設(shè)備為例，拓撲圖如下：</p>

70、<p><b>　　5.2基礎(chǔ)配置：</b></p><p>　　配置設(shè)備名稱，配置基本的IP地址和VLAN：</p><p>　　Router(config)#ho Out_Router</p><p>　　Out_Router(config-if)#ip add 10.4.1.1 255.255.255.0</p>

71、<p>　　Out_Router(config-if)#no sh</p><p>　　Out_Router(config-if)#int fa0/1</p><p>　　Out_Router(config-if)#ip add 10.4.2.1 255.255.255.0</p><p>　　Out_Router(config-if)#no sh&l

72、t;/p><p>　　Distrib_SW1(config)#vlan 201</p><p>　　Distrib_SW1(config-vlan)#name Menzheng</p><p>　　Distrib_SW1(config)#vlan 501</p><p>　　Distrib_SW1(config-vlan)#name Bingfa

73、ngYisheng</p><p>　　Distrib_SW1(config-vlan)#vlan 601</p><p>　　Distrib_SW1(config-vlan)#name BingFang</p><p>　　Distrib_SW1(config-vlan)#vlan 701</p><p>　　Distrib_SW1(con

74、fig-vlan)#name voice</p><p>　　Distrib_SW1(config-vlan)#vlan 801 </p><p>　　Distrib_SW1(config-vlan)#name vedio</p><p>　　Distrib_SW1(config)#vlan 400</p><p>　　Distrib_SW1

75、(config-vlan)#name Guanli</p><p><b>　　5.3路由配置</b></p><p>　　Out_Router(config)#router os 1</p><p>　　Out_Router(config-router)#net 10.4.1.1 0.0.0.0 a 0 </p><p&g

76、t;　　Out_Router(config-router)#net 10.4.2.1 0.0.0.0 a 0</p><p>　　Out_Router(config-router)#default-information originate</p><p>　　Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0</p><

77、p>　　Out_Router(config)#ip route 0.0.0.0 0.0.0.0 fa1/0 20</p><p><b>　　5.4生成樹配置:</b></p><p>　　Distrib_SW1(config)#spanning-tree mode rapid-pvst </p><p>　　Distrib_SW1(co

78、nfig)#spanning-tree vlan 201 root primary </p><p>　　Distrib_SW1(config)#spanning-tree vlan 401 root primary </p><p>　　Distrib_SW1(config)#spanning-tree vlan 501 root primary</p><p>

79、　　Distrib_SW2(config)#spanning-tree mode rapid-pvst </p><p>　　Distrib_SW2(config)#spanning-tree vlan 601 root primary </p><p>　　Distrib_SW2(config)#spanning-tree vlan 701 root primary </p>

80、<p>　　Distrib_SW2(config)#spanning-tree vlan 801 root primary</p><p><b>　　5.5冗余網(wǎng)關(guān)配置</b></p><p>　　Distrib_SW1(config)#int vlan 400</p><p>　　Distrib_SW1(config-if)#

81、ip address 10.4.0.1 255.255.255.0</p><p>　　Distrib_SW1(config-if)#vrrp 1 ip 10.4.0.1 </p><p>　　Distrib_SW1(config)#int vlan 201</p><p>　　Distrib_SW1(config-if)#ip add 10.2.1.1 255.2

82、55.255.0</p><p>　　Distrib_SW1(config-if)#vrpp 1 ip 10.2.1.1 </p><p>　　Distrib_SW1(config-if)#int vlan 501</p><p>　　Distrib_SW1(config-if)#ip add 10.5.1.1 255.255.255.0</p>&l

83、t;p>　　Distrib_SW1(config-if)#vrrp 1 ip 10.5.1.1 </p><p><b>　　5.6DHCP配置</b></p><p>　　Distrib_SW1(config)#ip dhcp pool vlan201</p><p>　　Distrib_SW1(dhcp-config)#networ

84、k 10.2.1.0 255.255.255.0</p><p>　　Distrib_SW1(dhcp-config)#dns-server 8.8.8.8</p><p>　　Distrib_SW1(dhcp-config)#default-router 10.2.1.1</p><p>　　Distrib_SW1(config)#ip dhcp excluded

85、-address 10.2.1.1 </p><p>　　Distrib_SW1(config)#ip dhcp pool vlan501</p><p>　　Distrib_SW1(dhcp-config)#network 10.5.1.0 255.255.255.0</p><p>　　Distrib_SW1(dhcp-config)#dns-server 8.

86、8.8.8</p><p>　　Distrib_SW1(dhcp-config)#default-router 10.5.1.1</p><p>　　Distrib_SW1(config)#ip dhcp excluded-address 10.5.1.1</p><p><b>　　5.7ACL配置</b></p><p&

87、gt;　　Access_Sever(config)#access-list 1 deny 10.2.1.1 0.0.255.255</p><p>　　Access_Sever(config)#access-list 1 permit any </p><p>　　Access_Sever(config)#int fastEthernet 0/1</p><p>　

88、　Access_Sever(config-if)#ip access-group 1 in </p><p>　　Access_Sever(config-if)#int fa0/2</p><p>　　Access_Sever(config-if)#ip access-group 1 i</p><p>　　Access_Sever(config-if)#ip ac

89、cess-group 1 in</p><p><b>　　5.8NAT配置</b></p><p>　　Out_Router(config)#int fa0/1</p><p>　　Out_Router(config-if)#ip nat inside </p><p>　　Out_Router(config-if)#

90、int fa0/2</p><p>　　Out_Router(config)#int fa0/0</p><p>　　Out_Router(config-if)#ip nat inside </p><p>　　Out_Router(config)#int fa1/0</p><p>　　Out_Router(config-if)#ip na

91、t outside</p><p>　　Out_Router(config)#access-list 1 permit any </p><p>　　Out_Router(config)#ip nat inside source list 1 interface fastEthernet 1/0 overload</p><p>　　Out_Router(confi

92、g)#ip nat inside source static tcp 10.3.1.2 80 12.1.1.2 80</p><p><b>　　5.9VPN配置</b></p><p>　　Out_Router(config)#vpdn enable</p><p>　　Out_Router(config)#vpdn source-ip 12

93、.1.1.1 </p><p>　　Out_Router(config)#vpdn-group pptp</p><p>　　Out_Router(config-vpdn)# accept-dialin</p><p>　　Out_Router(config-vpdn-acc-in)# protocol pptp</p><p>　　Out

94、_Router(config-vpdn-acc-in)# virtual-template 1</p><p>　　Out_Router(config)#int lo0</p><p>　　Out_Router(config-if)#ip add 10.1.1.1 255.255.255.0</p><p>　　Out_Router(config)#interfa

95、ce Virtual-Template 1</p><p>　　Out_Router(config-if)# ppp authentication pap</p><p>　　Out_Router(config-if)# ip unnumbered Loopback 0</p><p>　　Out_Router(config-if)# peer default ip

96、 address pool vpn_add</p><p>　　Out_Router(config-if)#exi</p><p>　　Out_Router(config)#ip local pool vpn_add 10.1.1.2 10.1.254.254</p><p>　　5.10 802.1X配置</p><p>　　Access_

97、sw1(config-if)#dot1x port-control auto</p><p><b>　　6 實驗測試</b></p><p>　　6.1DHCP驗證:</p><p><b>　　6.2STP驗證</b></p><p>　　Distrib_SW1#sh spanning-tree

98、 </p><p><b>　　VLAN0201</b></p><p>　　Spanning tree enabled protocol ieee</p><p>　　Root ID Priority 32969</p><p>　　Address 0000.0CE8.9A5A</p>

99、<p>　　Cost 19</p><p>　　Port 27(Port-channel 1)</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Bridge ID Priority 32969 (priority

100、32768 sys-id-ext 201)</p><p>　　Address 0001.973A.C409</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Aging Time 20</p><p>　　Interface

101、 Role Sts Cost Prio.Nbr Type</p><p>　　---------------- ---- --- --------- -------- --------------------------------</p><p>　　Fa0/3 Desg FWD 19 128.3 P2p</p>

102、<p>　　Fa0/4 Desg FWD 19 128.4 P2p</p><p>　　Fa0/5 Desg FWD 19 128.5 P2p</p><p>　　Fa0/6 Desg FWD 19 128.6 P2p</p><p&g

103、t;　　Fa0/7 Desg FWD 19 128.7 P2p</p><p>　　Fa0/8 Desg FWD 19 128.8 P2p</p><p>　　Po1 Root FWD 19 128.27 Shr</p><p><b

104、>　　VLAN0601</b></p><p>　　Spanning tree enabled protocol ieee</p><p>　　Root ID Priority 25177</p><p>　　Address 0000.0CE8.9A5A</p><p>　　Cost 19&

105、lt;/p><p>　　Port 27(Port-channel 1)</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Bridge ID Priority 33369 (priority 32768 sys-id-ext 601)</p

106、><p>　　Address 0001.973A.C409</p><p>　　Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec</p><p>　　Aging Time 20</p><p>　　Interface Role Sts Cost Pri

107、o.Nbr Type</p><p>　　---------------- ---- --- --------- -------- --------------------------------</p><p>　　Fa0/3 Desg FWD 19 128.3 P2p</p><p>　　Fa0/4

108、 Desg FWD 19 128.4 P2p</p><p>　　Fa0/5 Desg FWD 19 128.5 P2p</p><p>　　Fa0/6 Desg FWD 19 128.6 P2p</p><p>　　Fa0/7 Desg F

109、WD 19 128.7 P2p</p><p>　　Fa0/8 Desg FWD 19 128.8 P2p</p><p>　　Po1 Root FWD 19 128.27 Shr</p><p><b>　　6.3路由驗證:</b><

110、;/p><p>　　Out_Router#sh ip route </p><p>　　Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP</p><p>　　D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter a

111、rea</p><p>　　N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2</p><p>　　E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP</p><p>　　i - IS-IS, L1 - IS-IS lev

112、el-1, L2 - IS-IS level-2, ia - IS-IS inter area</p><p>　　* - candidate default, U - per-user static route, o - ODR</p><p>　　P - periodic downloaded static route</p><p>　　Gateway of