《計算機科學與技術專業(yè)畢業(yè)論文局域網的建設》由會員分享，可在線閱讀，更多相關《計算機科學與技術專業(yè)畢業(yè)論文局域網的建設（34頁珍藏版）》請在裝配圖網上搜索。

1、 題 目 __石景山衛(wèi)生局局域網的建設___ 專業(yè)名稱 計算機科學與技術 學生姓名 指導教師 畢業(yè)時間 畢 業(yè) 設計論文 任 務 書 一、 題目： 石景山衛(wèi)生局局域網的建設。 二、 指導思想和目的要求： 廣泛查閱有關計算機網絡的專著及論文等資料，充分了解計算機網絡在現在石景山衛(wèi)生局管理中的作用，了解

2、計算機網絡的主要技術及在實施過程中的技術指標，并在現有研究成果的基礎上獨立思考。觀察石景山衛(wèi)生局目前的運作流程，了解石景山衛(wèi)生局對與網絡的需求，根據計算機網絡的專業(yè)知識結合石景山衛(wèi)生局的需求設計出符合石景山衛(wèi)生局實際計算機網絡并實施的。通過論文的寫作，培養(yǎng)學生獨立思考、解決實際問題的能力。 論文所提出的網絡設計及實施應從功能、網絡拓撲結構、選用設備及實施中的注意事項等不同方面論述，論文應具有一定的實踐價值。 三、 主要技術指標： 網絡系統(tǒng)的基本任務是提供先進的辦公、數據共享、信息傳播和學術交流手段，實現各系統(tǒng)之間的信息交流和信息資源共享，實現內部局域網與Internet以及區(qū)衛(wèi)生所專網的連

3、接。支持辦公自動化、信息傳播、疾病控制和有關智能化系統(tǒng)等運行平臺。 四、 進度與要求： 08/12/21- 08/12/31 確定題目和設計方案； 09/01/01- 09/01/15 根據確定的論文題目收集并分析有關資料，進行技術準備； 09/01/16- 09/02/15 撰寫學位論文初稿； 09/02/16- 09/02/28 論文修改、定稿； 09/03/01- 09/03/13 論文批閱； 09/03/14- 09/03/22 論文答辯。 五、 主要參考書及參考資料： [1] 計算機網絡（第五版） 謝希仁 電子工業(yè)出版社 P10

4、-220 [2] 網管從業(yè)寶典—交換機·路由器·防火墻 劉曉輝 重慶大學出版社 P77-P412 [3] 網管員必讀—網絡組建（第2版） 王達 電子工業(yè)出版社 P1-79 [4] 交換機/路由器及其配置（第二版） 石碩 電子工業(yè)出版社 P14-159 [5] CCNA學習指南 （美）Todd Lammle 電子工業(yè)出版社 P1-137 學習中心： 班 級： ?！　I(yè)： 計算機科學與技術 學 生： 　　 指導教師

5、：　　　　 　　　　 　　　　　　　　 摘 要 隨著網絡的逐步普及，辦公網絡的建設是各企業(yè)單位、事業(yè)單位、政府機關向信息化發(fā)展的必然選擇。本畢業(yè)設計中石景山衛(wèi)生局局域網系統(tǒng)是一個非常龐大而復雜的系統(tǒng)，它不僅為綜合信息管理和辦公自動化等一系列應用提供基本操作平臺，而且能提供多種應用服務，使信息能及時、準確地傳送給各個系統(tǒng)。而石景山衛(wèi)生局局域網工程建設中主要應用了網絡技術中的重要分支局域網技術來建設與管理的，因此本畢業(yè)設計課題將主要以石景山衛(wèi)生局局域網建設過程可能用到的各種技術及實施方案為設計方向，為石景山衛(wèi)生局局域網的建設提供理論依據和實踐指導。 關鍵字：局域網、

6、Internet、計算機網絡、網絡協議、服務器、防火墻 ABSTRACT With the gradual popularization of networks, office networks are all business units, institutions, government agencies to the development of information inevitable choice. The Graduation Project Shijingshan Health Bureau LAN systems are a very large and compl

7、ex system, which not only comprehensive information management and office automation applications, such as a series of basic operating platform, but also provides a wide range of applications, so that information can be timely and accurate to send to each system. The Shijingshan Health Bureau LAN co

8、nstruction of the main applications of network technology to the important branch of local area network technology to the construction and management, So this graduation project topics will be mainly to Shijingshan Health Bureau LAN construction process may use a variety of technical and implementat

9、ion options for the design direction for the Shijingshan Health Bureau building LAN and provide a theoretical basis and practical guidance. Keywords: LAN, Internet, computer networks, network protocols, server, firewall。 目錄 前 言 1 第一章 計算機局域網概述 2 一. 計算機局域網 2 1. 計算機網絡的分類 2 2. 計算機網絡的拓撲結構

10、3 二. 計算機網絡的相關技術 4 1. 網絡結構層次 4 2. IP地址和MAC地址 5 3. 網絡協議 7 4. IEEE局域網系列標準 8 三. 傳輸介質及網絡設備 9 1. 網卡 9 2. 交換機 9 3. 路由器 10 4. 傳輸介質 10 第二章 石景山衛(wèi)生局局域網的建設 12 一. 項目背景 12 二. 需求分析 12 三. 設計思路 13 1. 總體設計原則 13 2. 總體功能 14 四. 網絡建設 14 1. 網絡拓撲圖 14 2. 網絡層次 15 3. 交換機的具體部署 16 4. 局域網中其他設備及軟件 17 5. VLAN

11、劃分 18 6. IP地址規(guī)劃 18 7. 設備選型 19 結 論 26 參考文獻 27 致 謝 28 前 言 當今時代是一個以信息技術（Information Technology,簡稱IT）為代表的知識經濟時代，計算機技術和信息科技的發(fā)展更是日新月異，從各個方面影響和改變著我們的生活，而其中的計算機網絡技術的發(fā)展更為迅速，已經滲透到了我們生活的各個方面，人們已經離不開計算機網絡，并且隨著因特網的迅速普及，給我們的學習與生活條件帶來更大的方便，我們與外部世界的聯系將更加的緊密和快速。 隨著人們對于信息資源共享以及信息交流的迫切需求，促使網絡技術的產生和快速發(fā)

12、展，計算機網絡的產生和使用為人類信息文明的發(fā)展帶來了革命性的變化。隨著計算機網絡管理功能的強化，計算機硬件技術和軟件技術都與網絡技術融合到一起，近幾年來應用程序的開發(fā)更發(fā)展到以WEB門戶網站為界面，以與后臺網絡分布式數據庫和實時交互操作的程序庫，共同組成網絡環(huán)境下的三層架構模式，這成了計算機應用程序開發(fā)模式的主流趨勢。 本次石景山衛(wèi)生局網絡建設項目是以局域網為依托，架構辦公自動化、信息傳播、疾病控制和有關智能化系統(tǒng)等運行平臺，為用戶提供先進的辦公、數據共享、信息傳播和學術交流手段，實現各系統(tǒng)之間的信息交流和信息資源共享，實現內部局域網與Internet以及區(qū)衛(wèi)生所專網的連接。 第一

13、章 計算機局域網概述 系統(tǒng)的理解網絡理論對于掌握網絡技術是十分必要的，本論文中僅對于相關技術作簡單的介紹，便于讀者閱讀。 一. 計算機局域網 “網絡就是計算機”，計算機網絡已經在企業(yè)、事業(yè)、學校、政府機關等地方成為不可缺少的工具。對網絡的進一步定義是： “至少有兩個具有共享需求的個體；至少有一種方法或通路使其個體互連；至少有一種規(guī)則使兩個或兩個以上個體相互傳信?！眰€體指計算機硬件和軟件、方法或通路指連接與傳輸媒介、規(guī)則指網絡通信協議。網絡在不同的階段有不同的含義，定義也會被修改，但幾十年的變遷有一點始終不改，那就是“資源”的共享，包括軟件資源、硬件資源、數據和服務資源的共享，它是組網

14、的原始動力。 1. 計算機網絡的分類 網絡按照傳輸距離可以分為一下3種： 1) 局域網（Local Area Networks，簡稱LAN）。 局域網的傳輸距離較短一般從幾米到幾公里，往往用于一個單位，比如一個公司、一個政府部門等。局域網的優(yōu)點是傳輸速率高，往往可以達到百兆或千兆，局域網的另一個優(yōu)點是傳輸信號質量高，誤碼率低，傳輸時延小。 2) 廣域網（Wide Area Networks，簡稱WAN）。 廣域網也成為遠程網，傳輸距離為幾百公里甚至更遠，一般跨城市甚至國家。廣域網往往會用多種通信介質，比如光纖、微波中繼、衛(wèi)星通信與電力載波等。如何在廣域網上保證網絡訪問的安全，是目前

15、網絡技術的關鍵和核心技術領域之一。 3) 城域網（Metropolitan Area Network，簡稱MAN）。 城域網介于LAN和WAN之間，傳輸距離由幾公里到十幾公里，“城域網”可以理解為一個城市范圍內的網絡，事實上目前的城域網通常以高速環(huán)網為核心架構一個城市的主干高速通信網。 2. 計算機網絡的拓撲結構 網絡拓撲就是網絡中計算機、纜線以及其他通信部件構成的幾何布局。計算機網絡的拓撲有多種類型，并且是隨著網絡技術的不斷發(fā)展而不斷涌現與完善。 1) 總線型（Bus） 將各節(jié)點的設備用同一根網線連接起來，所有主機共享同一通信介質，拓撲結構如圖1.1。在總線電纜上任何一處的松動和

16、脫離都會引起網絡無法運行，且由于布線問題故障的定位及修復比較困難，維護比較困難 圖1.1 總線型網絡拓撲結構 2) 星形（Star） 星型拓撲網絡以中央節(jié)點為中心，由中央節(jié)點與其他節(jié)點相連接組成，如圖1.2所示。中央節(jié)點機一般為集線器或交換機，除了中心節(jié)點之外的任何節(jié)點故障或節(jié)點的增減都不影響網絡中的其他節(jié)點工作，從而實現了網絡便于維護、便于管理的優(yōu)越性。 圖1.2 星型網絡拓撲結構 3) 樹形（Tree） 當一臺集線器或交換機的端口數量不足以連接所有的計算機或者需要聯網的計算機分布比較分散，可以再串聯第二級星型網絡，如圖1.3所示，這就是樹形拓撲結構。 圖1

17、.3 樹形網絡拓撲結構 4) 環(huán)形（Ring） 網絡中各節(jié)點通過環(huán)路接口，鏈接到一條首尾相連的閉合環(huán)形通信線路中，如圖1.4所示。環(huán)網上的任何一個節(jié)點的故障都會影響整個網絡傳輸。 圖1.4 環(huán)形網絡拓撲結構 二. 計算機網絡的相關技術 1. 網絡結構層次 國際標準化組織未來連接不同設備的網絡體系結構，于1984年提出開放系統(tǒng)互聯參考模型OSI（Open System Interconnection）。它被分成7層，這7個層次分別定義了不同的功能。幾乎所有的網絡都是基于這種體系結構的模型進行改進并定義的，這些層次從上到下分別是應用層、表示層、會話層、運輸層、網絡層，數據鏈路層和物

18、理層，其中物理層是位于體系結構的最低層，它定義了OSI網絡中的物理特性和電氣特性。OSI參考模型及工作過程如圖1.5所示。 圖1.5 OSI七層體系結構及數據流說明 TCP/IP（Transmission Control Protocol/Internet Protocol,傳輸控制協議和互連網協議）縮寫，TCP/IP體系結構是當前應用于Internet網絡中的體系結構，它是由OSI結構演變來的，它沒有表示層，只有應用層、運輸層，互聯層和網絡接口層。 2. IP地址和MAC地址 2.1 IP地址 1) IP地址 網絡地址唯一指定了每一個網絡，同一網絡中的每臺計算機都共享相同的網絡

19、地址，并用它作為自己IP地址的一部分。例如，在IP地址172.16.30.56中，172.16就是這個網絡地址。 主機地址是在一個網絡中用來標識每臺計算機的，它是一個唯一的標識符。在IP地址為172.16.30.56的這個例子中，30.56就是這個主機的地址。 IP地址分為A、B、C、D、E五類，圖1.6解釋了這5個網絡的類別關系，表1.1說明了這幾類地址的范圍及掩碼。 圖1.6 IP地址分類 掩碼 A類 0.0.0.0-126.255.255.255 255.0.0.0 B類 128.0.0.0-191.255.255.

20、255 255.255.0.0 C類 192.0.0.0.-223.255.255.255 255.255.255.0 D類 224.0.0.0-239.255.255.255 E類 240.0.0.0-255.255.255.255 表1.1 IP地址范圍 2) 私有IP地址 私有地址可以被用于私有網絡，只是它們不可以路由通過Internet，這個設計主要是為了滿足廣泛需要的安全目的，同時也很有效地節(jié)省了寶貴的IP地址空間，表1.2是被保留的私有IP地址列表。 地址類 被保留的地址空間 A類 10.0.0.0-10.255.255.255 B類 1

21、72.16.0.0-172.31.255.255 C類 192.168.0.0-192.168.255.255 表1.2 私有地址列表 3) 特殊IP地址 在IP地址中除了定義了私有IP地址外，還定義了如下IP地址在網絡通信時所表示的特殊意義，這些地址不可用于一般的IP地址配置。 0.0.0.0：表示所有網絡，在路由表中指向默認網關。 255.255.255.255：在路由表中表明IP廣播地址。 127.0.0.1：本地回送地址，既指向本機。 2.2 MAC地址 每塊網卡出廠時，就被賦予唯一的物理地址作為標識，這樣的物理地址稱為MAC地址。MAC地址由6個字節(jié)組成，用1

22、6進制數表示，6個字節(jié)中前3個為制造網卡廠商的標識，后3個字節(jié)為網卡序列號，因此每一個網卡的MAC地址在全球是獨一無二的。 3. 網絡協議 網絡協議是通信雙方共同遵守的約定和規(guī)范，網絡設備必須安裝或設置各種網絡協議之后才能完成數據的傳輸和發(fā)送，在校園局域網上用到的協議主要有，ICP/IP協議、IPX/SPX協議等。 3.1 TCP/IP協議 TCP/IP協議是目前在網絡中應用得最廣泛的協議，ICP/IP實際上是一個關于Internet的標準，并隨著的Internet廣泛應用而風靡全球，它也成為局域網的首選協議。TCP/IP是一種分層協議，它共被分為個4層次，大約包含近期100個非專有

23、協議，通過這些協議，可以高效和可靠地實現計算機系統(tǒng)之間的互連。TCP/IP協議中的核心協議有TCP（傳輸控制協議）、UDP（用戶數據報協議）和IP（因特網協議）。TCP/IP協議組模型如圖1.7： 圖1.7 TCP/IP協議組 1) TCP協議 TCP協議可以在網絡用戶啟動的軟件應用進程之間建立通信會話，并實現數據流量控制和錯誤檢測，這樣就可以在不可靠的網絡上提供可靠的端到端數據傳輸。UDP協議是一種無連接的協議，它在傳輸數據之前不建立連接，也不提供良好的可靠性和差錯檢查，只僅僅依賴于校驗來保證可靠性。UDP不進行流量控制，沒有序列或者確認，因此它處理和傳輸數據的速度快，還被用來傳輸關

24、鍵的網絡狀態(tài)消息。 2) IP協議 IP協議的基本功能是提供數據傳輸、數據包編址、數據包路由，分段等。通過IP編址約定，可以成功地將數據通過路由傳輸到正確的網絡或者子網。每個網絡站點具有一個32位的IP地址，它和48位MAC地址一起協作，完成網絡通信，IP協議也是一種無連接的協議。 3) Telnet協議 Telnet協議允許一個用戶在遠程客戶端采用虛擬終端的方式訪問另一臺機器上的資源。 4) FTP協議 文件傳輸協議(FTP)實際上就是傳輸文件的協議，它可以應用在任意兩臺主機之間，它不僅僅是一個協議，它同時也是一個程序。FTP允許執(zhí)行對目錄和文件的訪問，并且可以完成特定類型的目錄

25、操作，例如將文件重新定位到不同的目錄中。 5) SMTP協議 簡單郵件傳輸協議(wsmtp)對應于我們普遍使用的被稱為E-mail的應用，它描述了郵件投遞中的假脫機、排列及方法。SMTP用來發(fā)送郵件，POP3用來接收郵件。 6) DNS協議 域名解析服務(DNS)將計算機域名與其IP地址一一對應，從而建立起具有嚴密邏輯關系的域名服務系統(tǒng)，就是把人工輸入的計算機網絡和主機的名字翻譯為IP地址，然后利用網絡軟件根據IP地址實線各種網絡功能。 7) DHCP協議 動態(tài)主機配置協議（DHCP）可以為接入網絡的客戶計算機動態(tài)分配IP地址，它可以工作在小型甚至超大型網絡環(huán)境中，并使得對這些網絡

26、的管理和操作更為簡單、更為容易。 4. IEEE局域網系列標準 IEEE802系列標準是由美國電子和電器工程師學會（IEEE）制定的，這個標準的大部分內容已經成為計算機網絡技術的國際標準。隨著局域網技術的發(fā)展，IEEE802系列標準在不斷的擴大和發(fā)展，目前已經定義并發(fā)布如下標準。 IEEE802.1標準：定義了局域網體系結構和網絡互聯，網絡管理和性能測量。 IEEE802.2標準：定義了OSI的數據鏈路層的兩個子層的功能。 IEEE802.3標準：定義了CDMA/CD總線MAC子層和物理層規(guī)范。 IEEE802.4標準：定義了令牌總線MAC子層和物理層規(guī)范。 IEEE802.5標

27、準：定義了令牌環(huán)網MAC子層和物理層規(guī)范。 IEEE802.6標準：定義了城域網MAC子層和物理層規(guī)范。 IEEE802.7標準：定義了寬帶網技術。 IEEE802.8標準：定義了光纖傳輸技術。 IEEE802.9標準：定義了綜合語音和數據局域網技術。 IEEE802.10標準：定義了可互操作的局域網安全規(guī)范。 IEEE802.11標準：定義了無線局域網技術。 IEEE802.12標準：定義了新型高速局域網技術。 三. 傳輸介質及網絡設備 網絡設備主要是指硬件系統(tǒng)，各種網絡設備之間是有著相互關聯而不是相互獨立的，每一部分在網絡中有著不同的作用，缺一不可，只有把這些設備通過一定

28、的形式連起來才能組成一個完整的網絡系統(tǒng)，網絡設備主要包括網卡、集線器、交換機、路由器、傳輸介質等。 1. 網卡 網卡（簡稱NIC），也網絡適配卡或網絡接口卡，網卡作為計算機與網絡連接的接口，是不可缺少的網絡設備之一。無論是雙絞線網絡、同軸電纜網絡還是光纜網絡，都必須借助于相應類型的網卡才能實現與計算機的連接，是計算機與局域網相互連接的惟一接口。每塊網卡上都有一個世界惟一的ID號，也就是MAC（Media Access Control）地址，計算機在連入網絡之后，就是依靠這個ID號才能實現在不同計算機之間的通信和信息交換。網卡有很多種，不同類型的網絡需要使用不同種類的網卡，不同速度的網絡需

29、求也要使用不同的網卡。如根據帶寬來分的話，有10Mbit/s網卡、10/100Mit/s自適應網卡和1000Mbit/s網卡；如按總線分，有ISA總線、PCI總線、PCMCIA總線網卡等。 2. 交換機 交換機，也稱交換式集線器，是專門設計的，使各計算機能夠相互高速通信的獨享帶寬的網絡設備。作為高性能的集線設備，隨著價格的不斷降低，交換機已逐步取代了集線器而成為集線設備的首選。由交換機構建的交換式網絡系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時很小，使得信息的傳輸效率大大提高，適合于大數據量并且使用非常頻繁的網絡通信，被廣泛應用于各種類型的多媒體和數據傳輸網絡。交換機具有很強的網絡管理功能，

30、它能自動根據網絡通信的使用情況來動態(tài)管理網絡，因為交換機采用了獨享網絡帶寬的設計。 3. 路由器 路由器除了有連接不同的網絡物理分支和不同的通信媒介、過濾和隔離網絡數據流及建立路由表，還有控制和管理復雜的路徑、控制流量、分組分段、防止網絡風暴及在網絡分支之間提供安全屏障層等到功能。根據路由設備的組成可以分為軟路由和硬路由。根據路由表的設置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網絡層，因此它可以在網絡層交換和路由數據幀，訪問的是對方的網絡地址。當數據幀到達路由器后，路由器查看數據幀的目標地址，并在路由表查看到達目標地址的路徑，根據路徑的代價，選擇一條最佳的路徑，然后把數據幀沿這條

31、路徑發(fā)送給目標地址。 4. 傳輸介質 網絡要求把各個獨立的計算機連接起來的，這樣就必然要求有一種介質將計算機連接起來，這就是傳輸介質，局域網的傳輸介質可分為有線介質和無線介質兩種，一般情況下都是用有線介質的，因為它的穩(wěn)定性高，連接可靠，無線介質只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質主要有以下幾類。 4.1 同軸電纜 同軸電纜以硬銅線為芯，外包一層絕緣材料。這層絕緣材料用密織的網狀導體環(huán)繞，網外又覆蓋一層保護性材料。同軸電纜有許多種不同的規(guī)格，最常用是細同軸電纜和粗同軸電纜。細同軸電纜主要用于建筑物內的網絡連接，而粗同軸電纜則常用于建筑物間相連。它們的區(qū)別在于粗同軸電纜屏蔽更

32、好，能傳輸更遠的距離。 4.2 雙絞線 雙絞線是綜合布線工程中最常用的一種傳輸介質。雙絞線由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質相比，雙絞線在傳輸距離、信道寬度和數據傳輸速度等方面均受到一定限制，但價格較為低廉。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。 根據電氣性能以及產品推出的先后順序，雙絞線分為三類、四類、五類、超五類、六類、七類等，最常用的是五類UTP雙絞線，傳輸速率可達100Mbit/s。 4.3 光纖

33、 光纖是一種直接為50~100um的柔軟的、能傳導光波的介質，一般由玻璃制造。光纖分為：傳輸點模數類分單模光纖(Single Mode Fiber)和多模光纖(Multi Mode Fiber)。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。多模光纖是在給定的工作波長上，能以多個模式同時傳輸的光纖，與單模光纖相比，多模光纖的傳輸性能較差。 第二章 石景山衛(wèi)生局局域網的建設 一. 項目背景 石景山衛(wèi)生局新辦公樓為多層建筑群，地上5層、地下1層。是以信息傳播和疾病控制為主的信息交流中心和區(qū)內各所的交流的中心。網

34、絡系統(tǒng)的基本任務是為用戶提供先進的辦公、數據共享、信息傳播和學術交流手段，實現各系統(tǒng)之間的信息交流和信息資源共享，實現內部局域網與Internet以及區(qū)衛(wèi)生所專網的連接。支持辦公自動化、信息傳播、疾病控制和有關智能化系統(tǒng)等運行平臺。 二. 需求分析 石景山衛(wèi)生局局域網建成后將以局域網為基礎，承載衛(wèi)生局內部OA系統(tǒng)、衛(wèi)生應急指揮系統(tǒng)、疾病控制與疾病信息傳遞系統(tǒng)、視頻監(jiān)控系統(tǒng)、視頻會議系統(tǒng)、遠程教學系統(tǒng)、IT服務與管理系統(tǒng)及對外網站。該網絡建成后需要與互聯網連接同時要與石景山政務網連接，并下帶18個下屬機構（下屬機構不在本次考慮中）。系統(tǒng)結構如圖2.1 圖2.1 衛(wèi)生部信息系統(tǒng)結構圖

35、鑒于以上用戶需求，此次局域網建設需達到一下要求： s 確保網絡的高可用性、高可靠性和高效率，核心交換機和匯聚層交換機具有高交換速率、大吞吐量，保證衛(wèi)生局的各項工作穩(wěn)定正常。 s 著力于網絡的安全性，禁止非法接入，構筑一道全方位的立體安全屏障。 s 確保為用戶提供針對不同信息系統(tǒng)和網絡安全等級需要的綜合性企業(yè)安全策略和計劃。 s 確保采用的產品符合中華人民共和國有關信息安全的法律和規(guī)范。 三. 設計思路 1. 總體設計原則 網絡系統(tǒng)的建設和設計，要從石景山衛(wèi)生局信息化建設的實際需要出發(fā)，緊緊圍繞衛(wèi)生醫(yī)療業(yè)務系統(tǒng)的應用需求和發(fā)展；采用成熟的先進技術，把握主流技術的發(fā)展方向，不僅要考慮

36、到將來的需求，還將為系統(tǒng)的擴充留有余地。這兩者的完善結合是在設計本系統(tǒng)方案時的思考和遵循的原則，即：滿足用戶需求、照顧長遠利益、保護用戶的投資，以及促進與適應石景山衛(wèi)生局的信息化發(fā)展?；谝陨峡紤]我們在網絡設計時遵循以下原則： 1.1 先進性原則 為保證衛(wèi)生局網絡建設方案適應信息化的發(fā)展，達到規(guī)劃的預期目的，必須保證技術的先進性，特別是核心交換機和匯聚層交換機具有很高的交換速率和大吞吐量，必須保證石景山衛(wèi)生局的各項工作穩(wěn)定正常。 1.2 實用性原則 在保證技術先進的前提下，還應強調系統(tǒng)的應用性和性價比，針對衛(wèi)生局的網絡現狀和發(fā)展趨勢，做出最切合實際、最符合的網絡建設方案。 1.3 安

37、全性原則 安全是網絡的基礎，也是保障正常工作的前提，所以網絡建設方案的核心是安全第一，本次網絡建設應著力于網絡的安全性，如禁止非法接入、雙機熱備、負載均衡、VLAN的設置等，在網絡設計及產品選擇上注重安全性，構筑一道全方位的立體安全屏障。 1.4 擴展性原則 考慮到信息化的發(fā)展，此系統(tǒng)應具有很強的開放性與擴展性，選擇開放式設計的產品或技術，滿足信息交互的需要，同時充分考慮產品的可擴展性，滿足不斷發(fā)展變化的業(yè)務和技術需求。 2. 總體功能 1.網絡采用以太網的三級星形拓撲結構。 2.路由器要求支持靜態(tài)路由、RIP、OSPF等路由協議，支持多條撥號訪問、多種接入方式。有接通Inter

38、net公網和區(qū)衛(wèi)生系統(tǒng)專網的端口。 3.防火墻要求：配置100M防火墻，吞吐量不低于100Mbps，具備NAS、VPN（吞吐量不低于40Mbps），圖形化配置方式，有日志管理功能。 4.該計算機網絡系統(tǒng)應建設成為具有高帶寬、具備傳輸語音、視頻、數據的三網合一功能，因此需要較高的QoS性能； 5.本網絡能支持多媒體教學、會議和學術交流、辦公自動化、物業(yè)管理、互聯網應用(諸如遠程教學、流媒體應用、音視頻會議、FTP以及遠程信息交換)及文體娛樂等方面的應用。 6.網絡信息中心機房用于放置衛(wèi)生局局域網核心網絡設備、服務器、數據、語音總配線架等。涉及的網絡功能包括網絡運行管理、網絡信息管理、網絡

39、安全管理、局域網數據中心四個方面。網絡中心機房電源由變電所提供兩路380V~/50Hz電源，在機房經雙電源自動切換裝置由兩路40KVA 在線式UPS不間斷電源供給,一路供給核心網絡設備及服務器存儲集群,另一路專門供給兩臺一主一備的精密制冷空調。并要預留80kva電源線纜以備日后擴容需要。 7．網絡信息中心機房中服務器存儲系統(tǒng)要求加入KVM切換系統(tǒng),與新加裝機柜配套配置KVM切換器,要求帶顯示設備及輸入設備,可控制該機柜內所有服務器設備.并將多個KVM連接入環(huán)境監(jiān)測系統(tǒng),使得我信息中心操作人員可在管理區(qū)直接進行服務器操作,而不用進入設備區(qū). 四. 網絡建設 局域網作為網絡的數據交互中心，其

40、擴展的重要性、安全性、冗余性、可靠性以及所承載的巨大數據流量的轉發(fā)性能對網絡的拓撲結構、、設備選擇和技術實施等方面要求非常高，必需全面體現出該網絡結構的高可靠性、高擴展性、高安全性，從而確保網絡的穩(wěn)定運轉，滿足業(yè)務處理的需求。 1. 網絡拓撲圖 圖2.2 網絡拓撲圖 2. 網絡層次 整個石景山衛(wèi)生局局域網可劃分為以下二部分： 2.1 核心層 選用思科4507交換機作為核心交換機，使用光纖連接到匯聚層交換機，以實現核心設備的高冗余性、高可靠性及網絡的高擴展性的需求。 核心層功能：核心層是網絡的高速骨干必需最大現代的實現數據線性轉發(fā)并具備高可靠性。 設備選擇：選用思科4507交

41、換機作為構成局域網的核心，以達到高可靠性的連接，配備11個光纖模塊與接入交換機相連。 2.2 接入層 石景山衛(wèi)生局新樓投入使用后，每個信息點通過相鄰的接入交換機接入局域網，各樓層的接入交換機通過匯聚交換機相連形成一個統(tǒng)一的、便于管理的、高速的獨立傳輸單元。 接入層功能：承載終端設備所有數據流量的轉發(fā)及與中心設備的數據交互。 設備選擇：接入層交換機采用思科2960設備，9臺48口交換機，2臺24口交換機，每臺交換機配備1個光模塊，通過光纖與匯聚層交換機連接。 3. 交換機的具體部署 3.1 信息點分布 序號 樓層 數據信息點 實際使用點數 光纖點 北辦公樓 1 4F

42、 94 46 1 2 3F 94 46 1 3 2F 94 46 1 4 1F 94 46 1 5 -1F 10 10 1 南辦公樓 1 5F 62 40 1 2 4F 62 40 1 3 3F 62 40 1 4 2F 62 40 1 5 1F 69 40 1 6 -1F 3 3 1 合計數據點 706 397 11 表2.1 信息點分布 3.2 交換機部署 1) 網絡機柜 在南樓、北樓每層豎井內各放置一架標準19英寸網絡機柜，機柜內放置100端口配線架。 2) 接

43、入交換機 在北樓1、2、3、4層，南樓1、2、3、4、5層豎井內網絡機柜中各安裝1臺48口思科2960交換機，每臺交換機配備1個單模光模塊與核心交換機連接，滿足每層信息點數量的需求。 在南、北樓地下一層豎井內網絡機柜中各安裝1臺24口思科2960交換機，每臺交換機配備1個單模光模塊與核心交換機連接，滿足每層信息點數量的需求。 3) 核心交換機 在網絡機房（位于南樓2層）安裝思科4507設備作為核心交換機，選擇單模光口，分別與大樓豎井內的二層交換機連接，同時為網絡中心的服務器提供接入。 4. 局域網中其他設備及軟件 其他網絡設備包括路由器、防火墻、服務器及相關軟件等，均放置在南樓2層

44、網絡機房內 4.1 路由器 路由器采用思科2821設備最為局域網的出口，支持靜態(tài)路由、RIP、OSPF等路由協議，支持多條撥號訪問、多種接入方式。配置4各快速以太網接口，與Internet及石景山政務網連接。 4.2 防火墻 采用ASA5520設備作為網絡防火墻，配置100M防火墻，吞吐量不低于100Mbps，具備NAS、VPN（吞吐量不低于40Mbps），圖形化配置方式，有日志管理功能。 4.3 服務器 共設置7臺服務器滿足石景山局域網內各種業(yè)務系統(tǒng)的支撐，分別為DHCP/FTP服務器、WWW/DNS服務器、OA服務器、電子郵件服務器、網絡管理服務器、會議錄播服務器、防病毒服務器

45、。服務器采用惠普ML150設備。 4.4 軟件 每臺服務器上均安裝相應的功能軟件，操作系統(tǒng)統(tǒng)一采用windows server 2003，殺毒軟件采用與石景山政務網統(tǒng)一的KILL系統(tǒng)。 5. VLAN劃分 在網絡內進行VLAN劃分的目的主要是為了抑制廣播風暴，提高網絡運行效率，同時還可以根據需求對不同的類型的用戶進行隔離，配合相應的地址分配策略，提高網絡安全性。為進一步加強網絡的安全性和可管理性，需要指定嚴格的整體網絡VLAN劃分方案，使網絡具有管理、身份認證、控制網絡流量、IP地址綁定等功能。 5.1 VLAN劃分的四種策略 1) 基于端口的VLAN劃分 基于端口的VLAN劃分

46、是最簡單、最有效的VLAN劃分方法。該方法只需要網絡管理員針對網絡設備的交換端口進行重新分配租戶在不同的邏輯網段中即可。 2) 基于MAC地址的VLAN 基于MAC地址的VLAN劃分其實就是基于工作站、服務器的VLAN組合。適用于較小的網絡規(guī)模。 3) 基于路由的VLAN劃分 路由協議工作在七層協議的第三層-網絡層，即基于IP和IPX協議的轉發(fā)。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。 4) 基于策略的VLAN劃分 基于策略的VLAN劃分是一種比較有效直接的方式。這主要取決于在VLAN劃分中所采用的策略。 5.2 石景山衛(wèi)生局VLAN劃分 1) 公共

47、區(qū)域，例如圖書館、會客室、教室、會議室、多功能廳等，根據端口進行VLAN劃分； 2) 辦公區(qū)域根據不同的部門劃入為不同的VLAN； 3) 為敏感部門和個人，如財務部、酒店管理人員等劃分獨立VLAN； 4) 核心機房中的服務器等設備根據各自的MAC地址劃分VLAN。 6. IP地址規(guī)劃 石景山衛(wèi)生局的IP地址分配建議采用動態(tài)地址分配（DHCP）方式和靜態(tài)IP地址分配結合的方式，公共區(qū)域部分的網絡建議采用DHCP方式，做到即插即用。匯聚交換機起三層功能，可以根據VLAN不同的IP 地址池，這樣每個VLAN對應一個IP地址段，不同VLAN的用戶IP地址不在同一個子網；也可以多個V

48、LAN共用一個IP地址池。 辦公區(qū)域網絡建議采用靜態(tài)IP地址方式，這種方式便于管理和維護。每個員工分配固定的IP地址和賬號/密碼，對于固定位置的用戶，還可以采用IP地址/MAC地址和交換機端口綁定的方式，提高安全性。 辦公區(qū)域和公共區(qū)域采用不同的IP地址段，以便在三層交換機上實現基于IP地址的訪問控制，實現不同區(qū)域的隔離。 7. 設備選型 7.1 核心交換機 思科4500系列交換機將無阻塞第二到第四層交換與最優(yōu)控制相集成，有助于部署關鍵業(yè)務應用的大型企業(yè)、中小型企業(yè)和城域以太網客戶提供業(yè)務永久性。思科4500系列交換機提供多種智能服務，其中包括先進的服務質量(QOS)、可預測性能、告

49、警安全性和全面的管理。它提供帶集成永久性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網絡停用時間，有助于確保員工的效率。它的模塊化架構、介質靈活性和可擴展性減少了重復運營開支。 圖2.3 思科4507 1) 思科4507設備的優(yōu)勢 性能：提供了帶寬可隨端口的添加二擴展的高級交換解決方案，提供線速第二到第三層10/100/1000M位交換。第二層交換可擴展到136Gbps、102mpps,第三到第四層交換也可擴展到136Gbps、102mpps。 端口密度：可達到一個機箱中384個以太網端口，支持10/100/1000自動檢測，自動協商千兆以太網連接

50、，可選萬兆以太網上行鏈路接口。 高級安全性：支持802.1x、訪問控制列表（ACL）、SSH協議、動態(tài)ARP檢測(DAI)、源IP防護和VLAN等安全特性。 功能透明的線卡：只需要添加一個新的交換管理引擎即可輕松地將所有系統(tǒng)端口升級到更高層的交換功能，而無需更換現有線卡和布線。 到桌面的千兆連接：采用自動檢測技術的10/100/1000BASE-T三速線卡和端口模塊，無需更換線卡即可將快速以太網升速到1000M。 基于硬件的組播：采用協議獨立型組播(PIM)\密集和疏松模式、互聯網小組管理協議(IGMP)和思科群組管理協議支持基于標準和經思科技術增強的高效多媒體聯網，且對性能無影響。

51、 Cisco NetFlow服務：用于Supervisor Engine IV和V的Cisco NetFlow服務卡支持硬件中的統(tǒng)計數據獲取，用于基于流量和基于VLAN的統(tǒng)計監(jiān)控。 針對關鍵任務應用的帶寬保護：當部署Supervisor Engine IV、V或V-10GE時，在實施Qos或安全特性時不會降低轉發(fā)性能，繼續(xù)一全線速轉發(fā)分組。 到桌面的光纖連接：24和48端口線卡提供了光纜設計的安全性和永續(xù)性，使之極適于有距離限制、入侵漏洞或RF干擾的網絡。 2) 思科4507的主要性能指標 傳輸速率 10Mbps/100Mbps/1000Mbps 網絡標準 IEEE 802

52、.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE 802.3ab、IEEE 802.1Q、IEEE 802.1D、IEEE 802.1w、IEEE 802.1s、IEEE 802.1x、IEEE 802.3af 端口數量 240 接口介質 100BASE-TX、10/100/1000Base-T、1000BASE-SX、 1000BASE-LX/LH、1000BASE-ZX 傳輸模式 支持全雙工 背板帶寬 100Gbps VLAN支持 支持 MAC地址表 32k 模塊化插槽數 7 指示面板 風扇制冷：包含在

53、熱插入/熱取出單元中；良好：綠色（良好）；故障：紅色（錯誤）；支持SNMP MIB 尺寸(mm) 439.7×317×487.4 重量(Kg) 20.07 其他技術參數 7個總插槽數：2個交換管理引擎插槽；超級引擎冗余性（只限Supervisor Engine II-Plus,IV和V）；支持的交換管理引擎 Supervisor Engine II-Plus，IV，V；5個線路卡插槽；2個電源機架數量；支持交流輸入電源 ；支持直流輸入電源；集成PoE（IP電話和無線接入點）支持 ；1個風扇機架；19英寸機架安裝位置 7.2 接入交換機 Cisco Catalyst 296

54、0系列智能以太網交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網和10/100/1000千兆以太網連接，可為入門級企業(yè)、中型市場和分支機構網絡提供增強LAN服務。 Cisco Catalyst 2960提供： s 集成安全特性，包括網絡準入控制(NAC) s 高級服務質量(QoS)和永續(xù)性 s 為網絡邊緣提供智能服務 圖2.4 思科2960 Cisco Catalyst 2960系列智能以太網交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網和10/100/1000千兆以

55、太網連接，適用于入門級企業(yè)、中型市場和分支機構網絡，有助于提供增強LAN服務。Catalyst 2960系列具有集成安全特性，包括網絡準入控制(NAC)、高級服務質量(QoS)和永續(xù)性，可為網絡邊緣提供智能服務。 該系列還包括一系列針對網絡管理員所作的硬件改進，包括雙介質（或有線）千兆以太網上行鏈路配置，允許網絡管理員使用銅纜端口或光纖上行鏈路端口。另外，它包括一款24端口千兆以太網交換機，可加速網絡中的桌面千兆位(GTTD)傳輸。 特性 指標 轉發(fā)帶寬（Gbps） 13.6 每秒分組數(Mpps) 10.1 支持的MAC地址 8000 內存 64M 千兆端口（SFP/

56、GBIC）密度 0 10/100/1000M端口密度 2 10/100M密度 48 供電模式 交流 功耗 45W 設備規(guī)格（長×寬×高） 23.6×44.5×4.4厘米 表2.2 思科2960的主要技術指標 7.3思科2821路由器 模塊化Cisco? 2800系列集成多業(yè)務路由器建立在思科20年的領先地位及創(chuàng)新技術的基礎之上，智能地將數據、安全性和話音服務內嵌于單一永續(xù)系統(tǒng)，能快速、可擴展地提供關鍵任務業(yè)務應用。Cisco 2800系列的獨特集成系統(tǒng)架構提供了最高業(yè)務靈活性和投資保護。Cisco 2800系列能以線速為多條T1/E1/xDSL連接提供多種高質量并發(fā)

57、服務。這些路由器提供了內嵌加密加速和主板話音數字信號處理器（DSP）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網絡擴展和高級應用。 圖2.5 思科2821路由器 產品架構 DRAM 缺省: 256 MB 最大: 1 GB 固定USB 1.1 端口 2 板載 LAN端口 2–10/100/1000 板載AIM (內部) 插槽 2 接口卡插槽 4個插槽， 每個插槽可支持 HWIC， WIC， VIC， 或VWIC 模塊 網絡模塊插槽

58、 1個插槽， 支持 NM， NME 和 NME-X 模塊 擴展話音模塊插槽 1 主板上的PVDM 插槽 3 基于硬件的集成加密 有 VPN硬件加速 (在主板上) DES， 3DES， AES 128， AES 192， 和 AES 256 可選集成饋線電源 (PoE) 有，需要AC-IP電源 控制臺端口(高達115.2 kbps) 1 輔助端口(高達 115.2 kbps) 1 機架安裝 19和23英寸選項 電源要求 交流輸入電壓 100-240 VAC，自動調節(jié) 交流輸入頻率 47–63 Hz 交流

59、輸入電流 3A (110V)；2A (230V) 交流輸入電涌電流 最大50A，1個周期 (包括–48V電源) AC-IP最大饋線配電 240W AC-IP輸入電流 8A (110V)；4A (230V) AC-IP輸入電涌電流 最大50A，1個周期 (包括–48V電源) 直流輸入電壓 24-60 VDC， 正負自動調節(jié) 直流輸入電流 12A (24V)；5A (60V)；起始電流50A<10 ms 功耗—交流，無IP電話支持 280W (955 BTU/hr) 功耗—直流 300W (1024 BTU/hr) 環(huán)境參數

60、 工作溫度 32-104°F (0-40°C) 工作濕度 5-95%，非冷凝 非工作溫度 –4°-149°F (–20°- 65°C) 工作高度 (每1000 ft降低1.5C) 27.5°C @ 15 kft ；35°C @ 3km/10 kft ；40°C @海平面 尺寸 (H x W x D) 3.5 x 17.25 x 16.4 in. (88.9 x 438.2 x 416.6 mm) 機架高度 2RU 重量 (全配置) 25 lb (11.4 kg) 噪音級別(最低/最高) 44 dBA，正常工作溫度(<90°F/3

61、2.2°C) 53 dBA (@最大風扇速度) 表2.3 思科2821的主要技術指標 7.4 ASA5520防火墻 Cisco ASA 5200系列自適應安全設備將最佳的安全服務、VPN服務與Cisco創(chuàng)新性的自適應識別和緩解（AIM）架構結合，是一套高度靈活的解決方案。Cisco ASA 5200系列是思科自防御網絡技術的關鍵產品，可以有效防止網絡攻擊的擴散，控制網絡行為和應用流量，并提供靈活的VPN連接。因此，它的出現為用戶提供了一個強大的多功能網絡安全設備家族，可以有效地保護中小型企業(yè)的網絡和業(yè)務，同時幫助企業(yè)縮減總體部署和運營成本，避免全面的安全保障所可能導致的復雜性。 C

62、isco ASA 5500系列在單一平臺上集成了多種主流技術，支持在更多的網絡環(huán)境中經濟可靠地部署廣泛的安全服務。它提供多功能的安全配置，幫助用戶規(guī)避了在平衡強大的安全保護能力和在多個地點運營多個設備所需的成本時所面臨的困難和風險。 圖2.6 思科ASA5520防火墻 特性 描述 防火墻吞吐量 300 Mbps 并發(fā)威脅緩解吞吐量（防火墻＋Anti-x服務） AIP-SSM-10情況下為150 Mbps VPN吞吐量 170 Mbps 并發(fā)會話 32

63、,000/64,000* IPSec VPN端點數 50/150* WEBVPN端點數 50/150* 安全上下文 不支持 接口 3個快速以太網端口+ 1個管理端口/5個快速以太網端口* 虛擬接口（VLAN） 0/10* 高可用性 不支持/主用/備用* 表2.4 思科ASA5520的主要技術指標 7.5惠普ML150服務器 HP ProLiant ML150 G5 是一款高性能入門級服務器，可輕松滿足您 IT 預算的要求，并且可以隨著您企業(yè)的發(fā)展而不斷擴展。部署全新的英特爾架構處理器 ML150G5 — 一款具有卓越性價比的立式服務器。擁有遠程站點的公司可充分利用

64、可用的 Lights-Out 100c 遠程管理卡，以降低服務器/公司的停機時間，提高生產率。 處理器、操作系統(tǒng)和內存 處理器類型 AL559A / AL557A: 英特爾? 至強? E5405 四核處理器 2GHz AL558A: 英特爾? 至強? E5410 四核處理器 2.33GHz 處理器速度 AL558A: 2.33GHz；AL559A / AL557A: 2GHz 處理器數 1 個處理器 處理器升級 可升級至雙處理器 可用的處理器核數 四核 內置高速緩存 集成 2 x 6MB 二級高速緩存 系統(tǒng)總線 1333MHz 前端總線 標配內存 1GB 標

65、配內存 最大內存 16GB 內存類型 PC2-5300 寄存式緩沖 DIMM (DDR2-667) 內存插槽 6 個 DIMM 插槽 內置驅動器 內置硬盤驅動器 AL559A: 250GB SATA 非熱插拔 3.5 英寸硬盤 AL558A / AL557A: 標配配置不包括硬盤驅動器 硬盤驅動器速度 AL559A: 7200 rpm 硬盤控制器 AL558A / AL557A: HP SC40Ge 4 內置端口 SATA/SAS 主機總線適配器 AL559A: HP 嵌入式 SATA RAID 控制器 內置驅動器機架 AL559A: 4 個非熱插拔 SATA 硬

66、盤托架 AL558A / AL557A: 4/8 個熱插拔 SAS/SATA 光驅 16 倍速 SATA DVD-ROM 光驅 系統(tǒng)特性 機箱類型 5U 立式 芯片組 英特爾? 5100 芯片組 網絡接口 嵌入式 HP NC105i PCI Express 千兆服務器適配器 10/100/1000 WOL（局域網喚醒） 外置 I/O 端口 1 個串口、1 個定位設備（鼠標，PS2）接口、1 個顯卡接口、1 個鍵盤接口 (PS2)、共 8 個 USB 2.0 專用端口（4 個背面、2 個前面板、2 個內置 — 其中 1 個用于 USB 磁帶連接）；1 個 RJ-45 網絡接口（以太網，10/100/1000 Gb/秒）；遠程管理：1 個通過可選的 HP ProLiant 100 G5 Lights-Out 100c 遠程管理卡 (10/100) 接口 擴展槽 6 個擴展插槽：兩 (2) 個 PCI-Express x8、三 (3) 個 PCI-Express x4（x8 接口）和一 (1) 個 PCI（32 位/33MHz）。單插槽設計用于可選的 HP ProL