网络工程课程实训
重庆第二人民医院内部网络接入
设计
学 生 签 名: 李 聪
指导教师签名: 岳守春
2009 年 4 月
第一章 需求分析
当前国内医疗事业急剧发展,医院也需要信息化建设络化,在当代科技和医疗事业发展至今,人们更需要科学合理的医疗条件和设施,实现网络和医疗的互联,可以更好的解决当前的重大技术突破,比如说网络专家会诊等,所以,为医院建立完整的网络互联成为充分的必要。
1.1设计目标
为了与时俱进,满足广大人民的医疗要求,合理利用网络优势是很有必要,同时可以在当前的科技和医疗结合下更好的利用和服务与人们。 现代远程医疗已经能为更多的人提供医疗帮助和需求。我们要建立起医院更加互联化和信息化的完备网络接入体系。
1.2总体需求
1.2.1项目概述
重庆市第二人民医院是一所集医疗、急救、教学和科研为一体的综合性医院,在当地的医疗系统中具有较大的影响力。随着医院各项业务的不断发展,重庆市第二人民医院迫切需要实现医疗办公、医疗管理、资源调配、对外交流的信息化建设,为用户提供流畅的挂号、划价、取药、分诊、咨询以及远程医疗等一体化服务,实现医院药品、病房、人力等资源的合理调配和利用,通过建立一个高效、稳定的网络平台为医院的发展提供可靠的支持。
1.2.2用户需求
为了配合国家医疗卫生行业信息化建设,D-Link先后在济南、武汉、杭州、南京、上海、北京等地举行医疗卫生行业研讨会,并得到了广大系统集成商的大力支持以及医疗卫生行业专家们的关注。D-Link兼顾标准化与定制化的双重趋势,将医疗行业用户的需求特点与主流的千兆网络技术相结合,以一系列高性价比的解决方案服务医疗行业用户,树立了良好的行业口碑,成为中国医疗行业信息化建设的积极推动力量。
1.2.3技术需求
从技术角度考虑。一个好的网络应该从它多提供的服务和网络的安全性。在设计网络时服务方面至少应具备以下几点:
(1)资源共享功能
网络内的各个桌面用户可以共享数据库。共享、打印机,实现办公自动化系统中的所有功能。
(2)通信服务功能
用户能过通过代理服务器和广域网连接进行电子邮件的收发,实现web服务,接入互联网。进行安全的数据访问。
(3)多媒体功能
支持视频点播和视频会议并具有教好的质量保证。
(4)通过VPN隧道访问医院内部资源
1.3设计原则及设计目标
目前,重庆市第二人民医院有住院部、门诊部、行政部、外科楼、内科楼、实验楼等多所功能不同的建筑物,全部需要接入网络,并要求实现以下功能:
•实现设备共享,减少重复投资;
•通过WEB发布,实现INTERNET信息查询;
•通过远程拨号实现远程医疗;
•实现病房及办公室实时监控,实时掌握病人病情变化及医生值班情况;
•信息共享及统一管理,医院的各种文件可以通过电子邮件或FTP等形式快速收发;
•建立多功能指挥厅,便于医院领导统一指挥。
一个系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,有效的利用现有的资源,并且从用户的利益出发,一个好的系统应当给用户一定的自由度,而不是束缚住他们的手脚,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的设计目标:可靠的技术选型、标准的体系结构、高的带宽容量、安全的流控设计、用户互操作性、运行性能以及可扩展性 。
第二章 接入方法的分析和选择
网络接入方式的结构,统称为网络的接入技术,其发生在连接网络与用户的最后一段路程,网络的接入部分是目前最有希望大幅提高网络性能的环节。对本地环路网来说这是一个瓶颈,全球拥有上亿条用户接入线,因其功能有限阻碍着网络用户业务的发展,而与用户线路另一端的高性能设备形成了鲜明的反差。随着电子技术和光电技术的迅速发展,数字电子系统(从个人计算机到网络交换机或路由器)以及信息传输设备性能都在快速稳步的增长,为解决这一环路瓶颈提供了广阔的发展前景。由于在本地环路铜线上传输的仍然是模拟信号,人们仍然使用着狭窄的无线电频道穿越拥挤的无线电频谱。目前如何大规模拓宽网络接入的瓶颈为全球现有的7.5亿条接入线提供超宽频带,已是当前网络技术发展的焦点,瓶颈是相对的,一对金属线可以提供支持双向交谈的足够容量,但传统的铜线所能提供的带宽,对高性能的数据网络的因特网来说的确有些勉为其难,数据用户不仅希望与对方交谈,而希望通过视频会议系统看到对方的虚拟影象,所以对传统的接入技术(接入方式、接入布线)提出高性能的要求,以突破网络接入环节的瓶颈。以增加网络最后一段路程中的带宽,在大范围达到并满足用户在家庭或小型办公室的通信要求的基本前提。而局部环路的瓶颈是由今天提供的较低比特率造成的,事实上,除了本地环路的带宽外,当前的数据网络技术已足以保证提供运动图像和其它高带宽服务。
数字用户线路(DSL)用户在两个方向并非需要同等的带宽,相反他们希望更多的带宽用于接收视频或因特网服务,为满足这一非对称的接入要求,工业界已开发出非对称数字用户线路技术(ADSL)。在现时中,为了满足电视会议或建立Web主机的需求,对数据服务要求不多的用户也可能仍需求对称的高速支持。采用ATM无源光纤网(PON0)的光纤到家庭(FTTH),以及无线接入回路等多种接入拓扑结构。AnyMedia的设计允许随意将一个应用插入应用框架内,并具有以下多种强化接入功能:
1.内置宽带容量,允许系统采用ATM技术支持目前的高速数据网和因特网及视频接入。
2.ADSL功能,可将系统配置在现有远程交换或其它接入系统,提供基于ATM宽带能力的数字用户专用线接入多路复用器(DSLAM)。
3.可缩扩性能,用户可灵活构建从可容20-40网络单元的小型网络到可容多达600个单元的大型网络。
4.语音内和数据分离,系统可将先融入ATM业务流的语音与ADSL数据分离开来,并在不同的信道上将其路由,以减少网络的阻塞。
AnyMedia接入系统是面对未来基于ATM宽带服务提供基础的同时,又支持低成本窄带服务,为用户的应用提供了最大的灵活性。PathStar接入服务器PathStar接入服务器是为AnyMedia接入系统提供的特性与优势分组交换方案需求而开发的技术创新产品,其独特的设计可在IP网上提供低价可靠的本地和远程服务。PathStar接入服务器是建立在AIP接入接口平台上的,将诸如Inferno操作系统和Line Card操作系统等贝尔软件与朗讯的互联接入技术集成为一体。PathStar接入服务器满足了对集成化的语音及数据网的用户接入的需求,将传统电路交换的功能和特点与高级分组路由技术相互集成,使端对端数据解决方案与IP上的语音解决方案(VOIP)同时得以实现。PathStar接入服务器是一种完全的多功能装置,它可终止本地用户回路,处理呼叫、路由,包括语音和数据的TCP/IP分组,提供路由与交换功能,交互连接数据和语音网络。
2.1网络接入分析和比较
2.1.1 XDSL
一、 xDSL技术概述
xDSL是各种类型DSL(Digital Subscribe Line)数字用户线路)的总称,包括ADSL、RADSL、VDSL、SDSL、IDSL和HDSL等。xDSL是一种新的传输技术,在现有的铜质电话线路上采用较高的频率及相应调制技术,即利用在模拟线路中加入或获取更多的数字数据的信号处理技术来获得高传输速率(理论值可达到52Mbps)。各种DSL技术最大的区别体现在信号传输速率和距离的不同,以及上行信道和下行信道的对称性不同两个方面。
下面以ADSL为例说明xDSL的接入方式,其它xDSL技术与ADSL相似。
ADSL设备连接分为两端:用户端设备和服务提供端设备。其中用户端设备包括POTS(Plain Old Telephone Service)分流器和ADSL调制解调器(MODEM)。POTS分流器用于将话音和数据传输分开,使得将话音传向电话机,将数据送到ADSL MODEM,以便同时传输话音和数据。ADSL MODEM用于将需接收和发送的数据转换成相应的传输码,以获得高速率和远距离传输,它必须与网络服务接入端的MEDEM兼容。
2.1.2 HFC
HFC网(光纤同轴电缆混合接入)是从有线电视(CATV)网发展起来的。有线电视网经过近年来的升级改造,正逐步从传统的同轴电缆网升级到以光纤为主干的双向HFC网。利用HFC网络大大提高了网络传输的可靠性、稳定性,而且扩展了网络传输带宽。HFC数字通信系统通过电缆调制解调器 (Cable Modem)系统实现Internet的高速接入。
卫星通讯和计算机等一系列新的技术发展,使一种新的VSAT系统实现构架成为现实,这种新构架称作Direct to PC或称PCVSAT,卫星通过点到多点连接方式将ISP服务器直连到用户计算机,使各种公司无论大小,甚至个人用户均可利用空间数据通讯的强大功能。国际上,单向卫星Internet接入在中小企业和家庭应用比较成功,美国的Direct PC公司、日本的Direct Internet、加拿大Telesat、澳大利亚Telstra、印度的NIC India等都在本国及周边国家采用DirePC系统提供这种业务。德国也推出了类似的称作skyDSL的服务。随着这些著名公司的大力推动,卫星联网服务逐渐开始成为一种上网的新选择。
宽带卫星通信市场今后十年将会有快速的增长,会给业务提供商带来巨额收入。卫星是通信系统的特殊单元,具有特殊的优点,特别是在多点宽带接入和分布式业务方面。对于宽带接入,卫星提供可支持Gbps速率传输基本带宽。
主要优势:使用灵活、方便。
2.1.3 ISDN
ISDN是综合业务数字网的英文缩略词,它以纯数字方式进行语音、数据、图像的传输,可在一条普通电话线上提供以Kbps速率为基础的端到端的数字连接,可开展上网、打电话、视频会议等多种业务,是传统电话的升级换代产品。
虽然ISDN有着众多的技术优势,但由于其设备较复杂和昂贵,速度上与56Kbps调制解调器的竞争优势也不大,而且ISDN的适配器无法同普通调制解调器互联,从而使其不能得到较大范围的应用。
2.1.4 ADSL接入
非对称数字用户线路(ADSL)是一种利用现有电话传输线路以高带宽传输数字信息的技术,其最高速率下行信号(从端局到用户)为8Mbit/s,上行信号(从用户到端局)为1Mbit/s。现有市话铜线网用户数目十分庞大,而ADSL能充分利用现有市话铜线。ADSL在干线传输层可以利用原有SDH传输系统进行数据传送,也可以与原有窄带业务共用传输系统,另外,也可以通过在线升级和扩容原有设备实现传输。ADSL能够在现有普通电话线上提供高达8Mbps的高速下行速率,远高于ISDN速率,而上行速率有1Mbps,传输距离达3km~5km。其优势在于可以充分利用现有的铜缆网络(电话线网络),在线路两端加装ADSL设备即可为用户提供高宽带服务,由于不需要重新布线,降低了成本,进而减少用户上网的费用。
2.1.5 以太网接入
以太网是一种计算机局域网组网技术。IEEE制定的IEEE 802.3标准给出了以太网技术标准。它规定包括物理层连线、电信号和介质访问层协议的内容。在光纤到大楼或小区后采用以太网接入(即FTTx+LAN)是被广泛看好的宽带接入手段。以太网因接入系统构造简易、扩展灵活且速度能不断提升,成为构建企业网络首选技术之一。
采用以太网作为企事业用户接入手段的另一个主要原因是,已有巨大的网络基础和长期的经验知识、目前所有流行的操作系统和应用等都与以太网兼容。目前全球企事业用户90%以上都采用以太网接入,已成为企事业用户主导接入方式。然而,由于认证计费、服务质量、可管理性、信息安全、可靠性和实装率低等多种因素影响,以太网接入方式尚需进一步改讲。
2.1.6数字数据网(DDN,Digital Data Network)
DDN是利用数字通道提供半永久性连接电路,向用户提供端到端的中高速率、高质量的数字专用电路,全程实现数字信号透明传输的数据传输网。
DDN可以在两个端点之间建立一条专用的数字通道,通道的带宽可以是n×bps,一般0 (1)本地传输系统。主要包括用户设备、用户环路(用户线和用户接入单元)。根据接入DDN的方式(结点机)的不同,用户接入单元可以是频带型或基带型数据传输设备,也可以是多路复用器。如在远程局域网互联时,通常使用基带Modem和路由器。 (2)复用与交叉连接系统。DDN的复用方式可采用频分多路复用(FDM,Frequency Division Multiplexing)或时分多路复用(TDM,Time Division Multiplexing),目前多采用TDM。交叉连接是指节点内部对复用数字码流通过交叉连接矩阵,以kbps为单元进行设定的交叉连接。 (3)局间传输与同步系统。局间利用高速数字中继传送信息,通常设置迂回路由,以提高系统的可靠性。 (4)网络管理系统。DDN分为干线网和本地网,为便于管理,干线网又分为几个等级。各级通常均要设置网管中心,以对网络进行配置、监控、计费、管理与维护。 DDN目前仍然是许多单位用于实现WAN连接的手段,尤其对于要求持续、稳定、可靠、安全的信息流传输的应用环境更是如此。但对于突发性信息流传输,专用线路或者处于过载状态,或者带宽利用率只达到20%~30%时,其经济性稍差一些。 2.2 医院内部网络接入选择 综上所述,在重庆市第二人民医院内部网络接入设计中,我选用数字数据网(DDN)接入互联网,因为DDN有以下几个特点: 2.2.1 DDN专线的优点 (1)传输速率高: 在DDN网内的数字交叉连接复用设备能提供2Mbps或N×Kbps(≤2M)速率的数字传输信道。 (2)传输质量较高: 数字中继大量采用光纤传输系统,用户之间专有固定连接,网络时延小。 (3)协议简单: 采用交叉连接技术和时分复用技术,由智能化程度较高的用户端设备来完成协议的转换,本身不受任何规程的约束,是全透明网,面向各类数据用户。 (4)灵活的连接方式: 可以支持数据、语音、图像传输等多种业务,它不仅可以和用户终端设备进行连接,也可以和用户网络连接,为用户提供灵活的组网环境。 (5)电路可靠性高: 采用路由迂回和备用方式,使电路安全可靠。 (6)网络运行管理简便: 采用网管对网络业务进行调度监控,业务的迅速生成。 2.2.2 DDN专线的特点 DDN专线接入向用户提供的是永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点;DDN专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通所需带宽的线路,信道容量的分配和接续均在计算机控制下进行,具有极大的灵活性和可靠性,使用户可以开通各种信息业务,传输任何合适的信息,因此,DDN专线接入在多种接入方式中深受用户的青睐。 DDN的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道,既可用于计算机之间的通信,也可用于传送数字化传真,数字话音,数字图像信号或其它数字化信号。 (1)其主要特点: ·传输质量高,信道利用率高。 ·传输速率高,网络时延小。 ·数据信息传输透明度高,可支持任何规程,可传输语音、数据、传真、图象等多种业务。 ·适用于数据信息流量大的场合。 ·网络运行管理简便,对数据终端的数据传输速率没有特殊要求。 (2)其主要优点: ·能提供高性能的点到点通信。 ·通信保密性强,特别适合金融、保险等保密性要求高的客户需要。 ·传输质量高,网络时延小,通信速率可根据用户需要按N*Kbps选择。 ·信道固定分配,充分保证了通信的可靠性,保证用户的带宽不会受其他用户的影响。 ·用户通过这条高速的国际互联网通道,可构筑自己的Internet、E-mail等应用系统。 ·用户网络的整体接入使局域网内的PC均可共享互联网资源。 ·用户可免费得到多个Internet 合法IP地址及域名。 ·用户可实现每天24小时全天候的信息发布,即用户可建立自己的Web站点,向国际互联网发布自己的信息或提供信息服务。 ·用户可通过防火墙等技术保护内部网络免受不良侵害。 ·用户可通过VPN(Virtual Private Network)虚拟私用网络功能,利用首创网络综合信息平台实惠安全、可靠的企业网的国际网络互联,从而构建起企业的国际专用互联网络。 (3)接入方案: 1、 利用DDN组建专用网络,可节约客户投资,并可以使用专用网最大限度地覆盖全国各地,同可充分利用DDN的特殊业务功能(如语音压缩,帧中继)进行数据通信,一劳多得。 2、 时间就是金钱,效率就是生命,利用DDN组建专网,可以大大减少专用的建设周期,早投产快收益。 3、 利用DDN组建网络,可降低客户的日常运行维护费用,特别是线路的维护费用。 4、 可节约客户技术力量的投入。 2.2.3 DDN网络的应用 (1)DDN网络在计算机联网中的应用 DDN作为计算机数据通信联网传输的基础,提供点对点、一点对多点的大容量信息传送通道。如利用全国DDN网组成的海关、外贸系统网络。各省的海关、外贸中心首先通过省级DDN网,出长途中继,到达国家DDN网骨干核心节点。由国家网管中心按照各地所需通达的目的地分配路由,建立一个灵活的全国性海关外贸数据信息传输网络。并可通过国际出口局,与海外公司互通信息,足不出户就可进行外贸交易。 通过DDN线路进行局域网互连的应用也较广泛。一些海外公司设立在全国各地的办事处在本地先组成内部局域网络,通过路由器、网络设备等经本地、长途DDN与公司总部的局域网相连,实现资源共享和文件传送、事务处理等业务。 (2)DDN网在医院的应用 DDN网不仅适用于气象、、铁路、医院等行业,也涉及到证券业、银行、金卡工程等实时性较强的数据交换。 通过DDN网将银行的自动提款机(ATM)连接到银行系统大型计算机主机。银行一般租用Kbps DDN线路把各个营业点的ATM机进行全市乃至全国连网。在用户提款时,对用户的身份验证、提取款额、余额查询等工作都是由银行主机来完成的。这样就形成一个可靠、高效的信息传输网络。 通过DDN网发布证券行情,也是许多券商采取的方法。证券公司租用DDN专线与证券交易中心实行联网,大屏幕上的实时行情随着证券交易中心的证券行情变化而动态地改变,而远在异地的股民们也能在当地的证券公司同步操作,来决定自己的资金投向。 (3)DDN网在其它领域中的应用 DDN网作为一种数据业务的承载网络,不仅可以实现用户终端的接入,而且可以满足用户网络的互连,扩大信息的交换与应用范围。在各行各业、各个领域中的应用也是较广泛的。如无线移动通信网利用DDN联网后,提高了网络的可靠性和快速自愈能力。七号信令网的组网,高质量的电视电话会议,今后增值业务的开发,都是以DDN网为基础的。 2.2.4 DDN网络的发展方向 网络设备在不断地更新换代,人们对新技术的应用不仅仅停留在单一网络的话音或数据传输平台。多媒体通信的应用正在普及。视频点播(IP/TV)、电子商务(E-Business)、IP-Phone、电子购物等新应用正在推广。DDN独享资源,信道专用将会造成一部分网络资源的浪费,并且对于这些新技术的应用又会带来带宽显得太窄等问题。因此,DDN网络技术也要不断地向前发展。从建立现代化网的需要来看,现有DDN的功能应逐步予以增强。如为用户提供按需分配带宽的能力;为适应多种业务通信与提高信道利用率,应考虑统计复用;提高网管系统的开放性及用户与网络的交互作用能力;可以采用提高中继速率的办法,提高目前节点之间2Mbps的中继速率;相应的用户接入层速率也可大大提高,以适应新技术在DDN网络中的高带宽应用;可以使DDN网络平台成为一个多业务平台。除了目前已有的帧中继延伸业务和话音交换、G3传真业务外,还要采用最先进的设备和技术不断改造和完善DDN网,引入传输与交换、传输与接入等方面的变革,产生出具有交换型虚电路的DDN设备。积极地开展增值网服务,如数据库检索、可视图文等服务。由简单的电路或端口出租型向信息传递服务转变,为信息社会的发展做出更深层次的贡献。 第三章 接入设计 3.1医院网络系统设计 根据医院网络建设的需求,我们从技术与实用两方面考虑,并结合公司将来的发展,采用数字数据网技术以满足网络的整体性能需求。在网络的设计过程中,我们采用三级结构,依层次划分为核心层、汇聚层和接入层。并与部门的不同职能结合起来,使网络结构性强,层次清晰,整个系统的运行和应用有各自的相对性,又具有合理的数据流向,组成具有层次和结构化特征的统一体,既结构化网络。 在搭建网络信息平台时,我们遵循IEEE802.3标准,按照C/S体系结构建立各层次的网络应用。采用TCP/IP和IPX/SPX网络组建协议,将网络服务器,通信设备,网络安全设备等整合在一起,应用网间互连、路由、网络管理、防火墙、远程接入方案,虚拟专用网(VPN)、子网划分、数据可靠传输、端口冗于、CA认证等技术,同时包容公司专门开发的应用软件系统,支持上网应用软件等软件的运行,建立起稳固、可靠、安全、先进和开放的网络应用平台。 3.2 网络操作系统选择 基于现在市场上大多用户的使用习惯,本设计采用WINDOWS系列操作系统,服务器采用成熟的Windows 2000 sever,工作站可根据用户使用习惯选用windows 2000和windows XP,在本设计中工作站采用windows 2000 professinal操作系统。个别采用windows XP系统。 3.3 拓朴结构设计 根据重庆市第二人民医院现有的楼层结构、分部情况,我们采用D-Link公司的产品来实现整个网络的部署,其拓扑结构和产品如下所示: 图3.1重庆第二人民医院内部网络拓扑结构图 3.4 IP地址规划 在网络规划的过程中,我们考虑的IP分配表包含连接不同网段的各种网络设备的信息,如路由器、网桥、网关的位置、IP地址,并用相应的网络地址标注各网段。重庆第二人民医院有四层楼,分别为一楼:门诊部,住院部;二楼:行政部;三楼:外科部、内科部;四楼:院长办公室。有80台PC,充分考虑到将来的需要,内网互联采用192.168.0.1~192.168.255.254来扩展。现根据医院的组织结构图和网络拓扑结构图确定IP地址分配表,具有IP地址分配清单: 网络中心:192.168.0.1~192.168.0.n 一楼交换机:192.168.1.1 二楼交换机:192.168.2.1 三楼交换机:192.168.3.1 四楼交换机:192.168.4.1 部门 IP地址 子网掩码 网关 门诊部:192.168.1.2~192.168.1.31 255.255.255.0 192.168.1.1 住院部:192.168.1.31~192.168.1.63 255.255.255.0 192.168.1.1 行政部:192.168.2.2~192.168.2.31 255.255.255.0 192.168.2.1 外科部:192.168.2.31~192.168.2.63 255.255.255.0 192.168.2.1 内科部:192.168.3.2~192.168.3.31 255.255.255.0 192.168.3.1 院长办公室:192.168.4.31~192.168.4.63 255.255.255.0 192.168.4.1 3.5布线系统设计 布线系统是建筑或建筑群内的网络, 是实现智能化的基础。它不仅使建筑物内语音和数据通信设备、交换设备和其它信息管理系统彼此相通,而且是连接这些设备与建筑物外部的通信网络。 在信息时代的今天,建筑物的布线不再是一项基本的公共设施,它不仅能够提供电讯服务,而且已成为整个通讯网络的一部分, 为昂贵的高科技系统传播各种系统信号,具有更宽的频带和更高的速率,满足日益增长的对资讯共享的需求。 由于传统的布线系统对不同应用系统采用不同的布线,由不同的人员负责实施和维护,其灵活性及扩充性不够。传统布线的不足主要表现在:不同应用系统(电话、计算机系统、局域网、楼宇自控系统等)的布线各自,不同的设备采用不同的传输线缆构成各自的网络。同时,连接线缆的插座、模块及配线架的结构和生产标准不同,相互之间达不到共用的目的,加上施工时期不同,致使形成的布线系统存在极大差异,难以互换通用。因此无法满足智能化的要求等。 3.6结构化综合布线系统的标准 美国电子工业协会/通信工业协会EIA/TIA568A工业标准,美国电子工业协会/通信工业协会EIA/TIA569 美国电子工业协会/通信工业协会EIA/TIA606美国电子工业协会/通信工业协会EIA/TIA607美国电子工业协会/通信工业协会EIA/TIA-TSB36/40/67CCITT ISDN电气及电子工程师学会IEE802.3Z标准。 3.7基本测试 在网络正式投入使用前进行一些基本测试,将现在运行中的隐患及时排除,就显得非常重要了。先进行以下几项测试: (1) 耐冲击力测试 是指网络在高流量状态下的致瘫指数,即网络抗瘫痪能力,要求流量在92%以上时网络不会瘫痪,97%以上为优秀。 (2) 通道测试 通道测试主要验证设计或租用的通道是否符合预定指标,分为路由通道测试和桥通道测试。 (3) 重要网络设备的承载能力测试 对交换机、服务器、路由器加载40%流量后验证流通性和速度,应基本上感觉不到网络变慢,使用美国福禄克网络公司网络综合测试仪的ICMP测试功能,ICMP的Ping测试在LAN内小于2ms合格,50%加载,感觉网络速度变慢;ICMP的Ping测试小于4ms,60%加载,感觉网络速度明显变慢。 (4) 网络协议统计和用户统计 繁忙时对网络的应用协议进行统计,清理不合格的协议,标注发送和接收数据包最多的用户,统计其占用的带宽。 (5) 基准测试 记录网络流量、碰撞、广播、错误等的长期数据,分析网络流量变化规律,帮助优化网络性能和故障诊断。 (6) 单机联通性测试 测试网卡的工作协议和物理参数;在40%加载条件下测试单机网络速度,若链路流量由30%增加到40%时主观评测速度基本不变,则链路验收合格。 (7) 网卡、集线器、交换机端口测试 测试信号波形和抖动等,测试工作协议,判断协议匹配状况,100%匹配为合格。 (8) 网络备案测试是对网络设备进行文档备案,包括名称、IP、MAC和拓扑结构图。 (9) 网络设备的工作性能参数监测 暂时只推荐80%加载条件下的链路联通性测试、观察错误、碰撞指数、布线系统没有经过测试就不能通过验收一样,网络系统应进行基本测试,通过验收,才可以投入使用。 第四章 网络安全 4.1网络安全的基本概念 由于计算技机网络系统的迅猛发展,网络安全已经成为网络发展中的一个重要课题。国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。 4.2网络信息安全设计与实施步骤 4.2.1确定面临的各种攻击和风险 网络安全系统的设计和实现必须根据具体系统和环境,考察、分析、评估、检测(包括模拟攻击)和确定系统存在的安全漏洞和安全威胁。 4.2.2明确安全策略 安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。安全策略要综合以下几方面优化确定: (1) 系统整体安全性,由应用环境和用户需求决定,包括各个安全机制的子系统的安全目标和性能指标。 (2) 对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等)。 (3) 便于网络管理人员进行控制、管理和配置。 (4) 可扩展的编程接口,便于更新和升级。 (5) 用户界面的友好性和使用方便性。 (6) 投资总额和工程时间等。 4.3网络的安全管理 安全技术是配合安全管理的辅助措施。我们建立了一套企业网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。 为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现,另一方面从技术上建立高效的管理平台(包括网络管理和安全管理)。安全管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。 4.3.1网络管理 管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理,同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描,分析他们的安全漏洞,并采取相应的措施。 4.3.2安全管理 安全管理的主要功能指对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令管理(如*作员的口令鉴权),对无权*作人员进行控制;密钥管理:对于与密钥相关的服务器,应对其设置密钥生命期、密钥备份等管理功能;冗余备份:为增加网络的安全系数,对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术实现两个方面来实现。安全管理产品尽可能的支持统一的中心控制平台。 第五章 网络测试和维护 5.1网络测试 在整个网络组建完成后,应马上进行完善的网络测试。此处所谓的网络测试并不是网络系统在投入使用前很少有用户进行严谨的测试,许多用户看见设备的灯亮了,进行几次PING测试,再在PC之间传输一下文档,就认为网络系统已通过验收,可放心使用了这样敷衍了事。这种做法其实是不慎重的,一旦先期安装中的隐患发作,就会令网管人员措手不及。 因此在网络系统投稿使用前,这里有几种测试方法: 1.网络速度测试:利用网络测试仪对网络的连接速度进行测试,尽量使网络速度稳定、高效,利用率达到最大,及时的修复网络中存在的不足,减少网络出现故障的频率,以及发生故障时修复所需要的时间,从而减少公司因为网络故障而不能应用产生的损失。 2.企业主干网络与Internet的测试:通过企业的计算机,对Internet进行访问,并开放和屏蔽一定的端口,达到外部能访问到企业网页和阻止黑客对企业进行恶意破坏的效果。 3.企业网络内部网络测试:该公司的内部划分主要采用了VLAN技术,设置各部门互访权限.测试各部门访问是否达到预期效果,使内部资料能在LAN中快速传输,个别保密部门的资料又能得到安全的保护。 4.网络协议统计和用户统计。繁忙时对网络的应用协议进行统计,清理不合格的协议,标注发送和接收数据包最多的用户,统计其占用的带宽。 5.基准测试。记录网络流量、碰撞、广播、错误等的长期数据,分析网络流量变化规律,帮助优化网络性能和故障诊断。 6.单机联通性测试。测试网卡的工作协议和物理参数;在40%加载条件下测试单机网络速度,若链路流量由30%增加到40%时主观评测速度基本不变,则链路验收合格。 7.网卡、集线器、交换机端口测试。测试信号波形和抖动等,测试工作协议,判断协议匹配状况,100%匹配为合格。 8.网络备案测试。对网络设备进行文档备案,包括名称、IP、MAC和拓扑结构图。 9.网络设备的工作性能参数监测。暂时只推荐80%加载条件下的链路联通性测试,观察错误、碰撞指数。 10.七层流量统计分析。对各层流量进行统计分析。 网络系统应进行基本测试,通过验收,才可以投入使用,将来由于更新、扩容、改动而发生问题时,用户也能快速发现、诊断和隔离故障,直到将故障排除。 5.2网络维护 5.2.1网络维护安全风险分析 1.内部办公网之间的安全隐患 由于该公司办公网络除了有正常的办公功能以外还与其他主机相连接,如果办公网络遭到恶意攻击,直接会影响到其他主机的安全性。比如:(1)入侵者使用Sniffer等嗅探程序通过网络探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放的TCP端口、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。(2)入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。(3)入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。 2.内部局域网带来安全威胁。在已知的网络维护安全事件中,约70%的攻击是来自内部网。首先,各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统Windows XP/2000,其网络维护共享的数据便是局域网所有用户都可读甚至可写,这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏。另外,内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息;泄漏内部网的网络维护结构以及重要信息的分布情况,甚至存在内部人员编写程序通过网络进行传播,或者故意把黑客程序放在共享资源目录做个陷阱,乘机控制并入侵他人主机。因此,网络安全不仅要防范外部网,同时更防范内部网。 3.电子邮件应用安全。电子邮件是最为广泛的网络应用之一。内部网用户可能通过拔号或其它方式进行电子邮件发送和接收。这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等。由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。 4.网上浏览应用安全网上浏览也是网络系统被入侵的一个不安全因素。我们都知道,网络具有地域广、自由度大等特点,同时上网的有各种各样的人,网上浏览不安全因素如从网上下载资料可能带来病毒程序或者是特洛伊木马程序;还有利用假冒手段骗取你的关键信息,只是第一次信息已经被入侵者传送到他的邮箱中去了,你也就因此泄漏了你的用户名及口令字。这将对你的主机受到攻击埋下的安全隐患。 5.2.2网络维护方案 维护一个网络时,应该记录所有的升级和修改,还有实施改变前后网络的变化,这就应该把由于维护或升级引起的网络变化记录在变化管理系统中,这些信息会使你的同事注意到所发生的变化,并且当你实施计划时帮你记住它们,测量和记录网络当前工作状态的操作叫基准线,基准线测量将包括主干网上的利用率,每小时/天的用户量,网络 上的协议数,错误的状态,网络应用程序被使用的频率;对占用大量带宽的用户的标识。 升级时,必须考虑到实际网络问题,流量、软件、硬件和地址、必要性,适合性、交换机和路由器、主干网、技术档案,并为用户提供一份详细清单。 对网络软件升级,首先考虑其必要性,由于本医院正处于发展阶段,其医院的规模将扩大,人员增多,对网络升级是一种必然性。其次是适用范围,客户服务中心是医院的核心部分,现有48台PC机,对它的安全管理具有重要意义,将采用二层交换机,提高传输速度,现公司采用DDN接入方式,对主干网的升级,将考虑本医院的需求和当地电信局新推出的各项目而定。各办事处的人员将减少,医院人员增多,在升级时备份好当前的系统或软件,以提高整个网络的性能。 结 论 经过两个月的努力和老师的帮助,我完成了《重庆第二人民医院内部网接入设计》。基本可以实现医院对网络的需求,从而也学到了内部网络接入的基本技术,在组网方面学到了更多,通过对医院网络体系的更深层次了解,知道了,现代网络发展趋势,从各个层次的局部发展,人们已经越来越能更好的利用网络了.在网络发展的今天,我们要更好的适应于自身生活,就要更好的学习和利用资源.下载本文
