目录
**
**
1 . 概述
某医院需建设两个相互独立的网络:一个为内部网络,用于医务管理系统;一个为信息网络,连接Internet。每间房间至少布设两个信息点,一个为内部网,一个为信息网。
-
门诊大楼1幢(11层),一楼为挂号、药房、收费等10个窗口科室,每个科室布设两个信息点,大厅安装5台服务器终端,一台用于大屏幕显示,4台为触摸屏式医务服务导航。2至11楼为诊断科室,每层楼有20间科室,每间科室布设2个信息点。
-
病房大楼1幢(11层),每层有40间病房,4间值班室,每间值班室布设两个信息点,每间病房布设一个信息网的信息点。
-
行政大楼1幢(7层),每层10个办公室,每间办公室布设两个信息点。网络中心位于大楼一层,机房布设20个信息点。
应用系统支持:医院对外发表信息的网站,内部网络的医务管理系统,并配备磁盘阵列和数据备份系统。考虑无线接入的需求。
网络安全支持:配备防火墙,防病毒系统网络版,上网行为管理系统。
2. 需求分析
网络作为智慧医院信息化建设的基础设施,高品质智慧医院建设对智慧医院网络提出 了更高的要求。结合智慧医院发展趋势和国内多家三甲医院的现状调研发现,面向未来的智慧医院网络建设仍存在以下问题。
2.1 网络需求
医院的网络需求可能比一般家庭或办公室更高,因为医院需要支持大量的医疗设备、计算机系统、监控系统等。因此,可能需要更多的网络端口来满足这些设备的需求。
2.2 冗余设计:
为了确保网络的稳定性和可靠性,可以考虑设计冗余网络端口,这样即使一个端口出现问题,还有其他端口可以使用。
2.3 未来扩展:
随着技术的发展和医院业务的扩展,未来可能会有新的设备和系统需要接入网络。因此,设计时可以考虑预留一些额外的网络端口,以便于未来的扩展。
2.4 无线网络:
(1)大流量接入。门诊人员流动大、排队时间长,无线网络需要满足满意与互联网大流量应用(如语音、视频)。虽然每个房间都有网络端口,但无线网络也是现代医院不可或缺的一部分。无线网络可以提供更大的灵活性和便利性,特别是在移动设备和便携式医疗设备越来越普及的情况下。
(2)高密接入。医院各楼层候诊区空间大、人员密度高,对无线AP并发要求同时满足所有人上网。
(3)低时延需求。移动导诊、网上缴费、配送/消毒机器人等业务应用对网络低时延需求。
(4)多类型终端接入。患者及家属流动性强,存在对多种终端兼容、系统优化、安全管控等问题。
2.5 电源需求:
除了网络端口,每个房间的电源插座数量和布局也需要根据实际需求进行设计。例如,一些医疗设备可能需要专用的电源插座,或者需要更多的插座来满足多个设备的电力需求。
2.6 安全和隐私:
医院的网络系统需要考虑数据安全和隐私保护的要求,特别是涉及到患者数据和医疗记录的时候。因此,网络设计需要符合相关的安全标准和法规要求。
2.7 维护和升级:
网络系统的设计还需要考虑维护和升级的便利性。例如,网络线缆的布线方式、网络设备的安装位置等,都需要便于未来的维护和升级工作。
3 . 技术调研
3.1网络设备厂商
国内主流的网络设备厂商包括华为、新华三(H3C)、中兴通讯、锐捷网络、迈普技术等。这些厂商在交换机、路由器、无线接入点等网络设备的研发和生产方面具有较强的实力和市场影响力。
华为是中国最大的通信设备制造商,提供全面的网络设备解决方案,包括数据中心、企业网络、宽带网络等。新华三(H3C)是紫光集团旗下的公司,专注于提供数字化解决方案,其产品线涵盖服务器、存储、网络设备等多个领域。中兴通讯是全球领先的通信设备制造商之一,提供包括无线、有线、核心网设备在内的全系列通信设备。锐捷网络则以其创新的网络设备和解决方案在教育、医疗、企业市场等领域有着广泛的应用。迈普技术则专注于宽带网络设备的研发和生产。
3.2网络传输技术
(1)光电PoE 传统PoE(Power over Ethernet,以太网供电)通过以太链路供电。随着PACS医疗 影像数据上传下载对带宽要求的不断提升,以太线缆的代际更换也被迫加快,施工布线和购买线缆的成本较高。同时,以太链路在 PoE 协议下的最长供电距离仅 100 米,限制了供电覆盖范围。因此,智慧医院园区网络解决方案应用创新极简架构,通过光电复合缆和光电模块相结合的方式,解决高速数据传输和供电距离限制问题,满 足医疗场景下的高速数据传输需求。 光电 PoE 是业界领先的创新特性,通过独家光电协同技术配套光电混合缆实现超远 距 PoE++,让接入设备(远端模块/AP)的部署变得更为灵活,彻底摆脱本地取电难 题,让网络真正具备平滑提速演进能力。光电混合缆描述如图3-1所示,主要特点如下: ⚫ 光电混合缆通过光纤介质完成数据传输。基于当前光纤介质的带宽支持能力,布 线后10~15年无需更换,节省重布线成本。 ⚫ 创新性光电模块支持300米、90W 的 PoE++供电能力,供电距离远,输出功率 高。 ⚫ 光电混合缆支持标准PoE供电,支持弱电施工,易于安装交付。
【 图3-1 光电混合缆示意图 】
3.3网络接入技术
(1)Wi-Fi 6。 Wi-Fi 6 也被称为 802.11ax,是继 Wi-Fi 5(802.11ac)之后的最新一代 Wi-Fi 标 准。如图 3-2 所示,通过引入一系列新技术,Wi-Fi 6 性能实现了跨越式提升,主要 体现在以下几个方面: ⚫ 大带宽:速率提升一直是 Wi-Fi 标准迭代的重要目标之一。经过 20 多年的发 展,Wi-Fi 6 在160MHz信道频宽下的理论最大速率已经达到9.6Gbps。 ⚫ 低时延:Wi-Fi 6 在提升频谱利用率的同时减少同频干扰,满足典型音视频业务 的低时延要求,支撑 VR/AR 阅片、MDT、远程超声等传输时延敏感类业务发 展。 ⚫ 高并发:Wi-Fi 6 引入一系列全新的多用户技术,进一步提升频谱利用率,相比 于Wi-Fi 5 并发用户数提升4倍。 ⚫ 低耗电:随着IoT 设备广泛应用,在提升终端速率的同时,Wi-Fi 6 也更加关注 终端的耗电情况。应用按需唤醒终端Wi-Fi 等各项节能新技术,终端功耗可降低 30%。
【 图3-2 Wi-Fi 6性能示意图 】
(2) 敏捷分布式WLAN典型组网:
在酒店房间、校园宿舍、医院病房等多房间的场景中,由于墙体等室内建筑物的阻隔,无线信号的衰减现象较为严重,普通的室内放装型AP和室内分布式AP无法完全满足低成本、高性能的无线覆盖需求。在这类场景下,可采用敏捷分布式WLAN组网架构部署网络满足此类需求。
【图3-3 敏捷分布式WLAN组网图】
3.4网络安全技术
(1)文件行为检测。,安全沙箱采用多层次化恶意文件行为检测机制,使用信誉体系,通过 API 启发式行为检测和虚拟执行环境行为模拟技术深入检测未知文件,基于恶意文件 行为,能有效发现新型或变种的勒索病毒。
(2)DLP 系统的主要目标是防止数据外泄,这可以通过多种方式发生,包括但不限于通过电子邮件或即时消息传输机密数据、将数据复制到外部存储设备、未经授权地将数据上传到公共云、外部攻击者窃取数据,以及员工可能无意中将包含敏感信息的电子邮件转发给外部人员。
DLP 解决方案的工作原理包括监控数据流、识别敏感信息、执行安全策略、用户行为分析等。它们使用深度数据包检测(DPI)、关键字匹配、模式识别等技术来识别数据流中的敏感信息,并实施安全策略以防止未经授权的数据共享或传输。
DLP 解决方案的关键组件包括内容发现和分类、数据监控和检查、策略执行、事件响应和报告。这些组件协同工作来识别、监控和保护敏感数据。
DLP 的部署模型包括基于网络的 DLP 和端点 DLP。基于网络的 DLP 专注于监控和保护网络中传输的数据,而端点 DLP 保护设备上的数据。
3.5网络管理技术
(1)数字地图功能。提供了医院园区网络运维和优化的统一入口,通过多维数据统一治理, 分别从网络物理层、应用层、用户/终端层多个层面呈现园区网络的拓扑能力,同时 集成大屏、分层拓扑、体验可视、流量监控、告警日志、诊断工具、配置管理的多维 互视等能力,如图3-4所示。
【 图3-4 数字地图功能 】
数字地图可分为网络数字地图、用户数字地图和业务数字地图,其基本功能如下。 网络数字地图:提供设备拓扑展示,支持拓扑折叠,支持拓扑中集成运维操作。提供 查看设备详情,包括设备面板接口信息、告警、性能等,支持设备故障的诊断。 用户数字地图:基于空间维度呈现指定用户的体验旅程,提供用户终端信息查看、体验异常分析、访问应用列表等用户体验相关状态呈现、用户体验质差告警,常见故障 自闭环等能力。 业务数字地图:支持指定应用,基于 iPCA 随流检测结果,在网络物理拓扑上呈现指定应用的路径。通过业务数字地图可以基于站点粒度查看指定应用的所有流信息,以 及每条流的逐跳质量信息(丢包、时延)。
4. 网络设计方案
4.1总体网络拓扑
【 图4-1 网络拓扑 】
4.2网络架构描述
(1)采用星型拓扑结构,因为这种结构易于维护管理,重新配置灵活,故障隔离和检测容易。所有信息通信都要经过中心节点来支配,因此在维护时比较容易操作,适应性强。
(2)该网络架构由核心层,汇聚层和接入层组成。核心层的防火墙和核心交换机都采用双活部署,实现双机热备负载均衡,防火墙到出口路由使用了链路聚合技术,双链路实现负载均衡和链路冗余。核心交换机连接无线控制器AC。汇聚层由各楼栋的汇聚交换机组成,并连接了中心AP,接入层由各办公室的接入交换机组成,并连接了远端单元RU实现无线组网分布式部署。此外,在门诊楼一楼分配了3台服务终端,在网络中心部署了3台服务器用于实现医院对内(包括身份认证)和对外的系统以及监控和系统备份。
4.3布线方案
整个项目的综合布线系统由中心机房MDF和分配线间IDF (各楼层内)组成,每幢楼房设立一个汇聚配线间,相应楼层配线间作为接入层配线间,每两到三层设一个IDF管理该楼层的信息点。考虑到综合布线设计时需预留一牝例的冗余,短期内并非所有数据信息点都会启用,因此用户跳线的数量按照配置数据信息点的50%进行配置。
以下为具体的设计方案:
(1)信息点设置:
信息点的设置应符合医院信息网络的发展规划,护理单元的护士站、主任及护士长办公室、医生办公室等关键位置都应设置足够数量的信息插座,以满足不同区域的功能需求。如手术区、ICU等采用高密度(10个信息点以上);门诊部采用中等密度(4-10个信息点);病房和行政部采用中低密度(2-4个信息点)。
(2)网口(电脑+固定电话)+电源插座:
1、科主任办2个点,护士长办2个点。会议室2个点。网络中心机房2个点。
2、护士值班室2个点,护士工作站1个点。医生值班室2个点。病房1个点(每间)。
3、弱电间机房2个点。
4.医生办公室2个点。
(5)布线管理:在医院建筑中,对于传染病隔离区、手术区及ICU区等,可能需要采取特殊的布线管理措施,如采用特殊颜色进行管理,或者采用屏蔽或光纤到桌面的解决方案,以保证医疗设备及信息的安全性 。 (6)安全性:医院布线系统应使用安全的线缆,如低烟无卤阻燃线缆,以减少火灾风险 。 (7)灵活性和扩展性:医院的布线系统设计应考虑到未来的扩展需求,预留足够的信息点和空间,以便在需求发生变化时可以快速扩容 。
4.2网络设备的安装位置
(1)核心交换机应放置在医院的中心位置,以便于连接到各个部门的汇聚层交换机 。
(2)汇聚层交换机应安装在接近接入层交换机的位置,以减少数据传输的延迟。
(3)接入层交换机应安装在靠近终端设备的位置,如病房、诊室和办公室,以提供稳定的网络连接。
(4)无线接入点(AP)应根据医院的具体布局进行分布,以确保无线信号的全面覆盖,特别是在人员密集的候诊区和流动性强的区域。
医院候诊处一般环境相对空旷,阻隔物较少,吸顶式AP在空旷环境中覆盖直径20-30米,可根据规模酌情确定使用数量,布点点位均匀分布,如下图所示:
【 图4-2 候诊处AP部署 】
可将吸顶式AP安装于走廊,覆盖范围约为半径10-12米,可根据实际环境酌情确定使用数量。如下图所示:
【图4-3 门诊部,行政部,住院部AP布局 】
4.3设备选型
数据主干采用多模62. 5/125um光纤连接,语音主干采用5类大对数非屏蔽双绞线,水平系统采用超五类屏蔽双绞线,信息模块采用超五类RJ-45标准信息插座。
汇聚配线间到主机房室外连接采用12芯多模万兆光缆,接入配线间到汇聚配线间室内连接采用6芯万兆多模光缆,终端设备到接入配线间连接采用6跳线。
假设一共20个部门。医生办公室(门诊)共210个,候诊厅20个。医生值班室(住院)共22间,护士值班室(住院 )共22间,440间病房,护士工作站11个。共行政楼(科主任办+护士长办+会议室)共70间。每4个房间一个AP连接到接入层交换机(弱电箱)。每两层楼一个接入层弱电间。监控大约需要960个。
具体设备如下表:
【 表4-1 设备清单 】
4.4 VLAN划分
【 表4-2 VLAN划分 】
| VLAN | 设备tag端口 | 设备untag端口(Trunk) | Vlan名称(所连设备) |
|---|---|---|---|
| 210 | 科室1交换机的1口 | 4、8口 | AP业务数据 |
| 220 | 科室2交换机的1口 | 4、8口 | AP业务数据 |
| 230 | 网络中心交换机的1口 | 4、8口 | AP业务数据 |
| 100 | H1的G0/0/3口 | / | AC管理数据流 |
| 101 | AC和核心交换机连接口 | / | AP管理数据流 |
| 10 | 其余端口 | 4、8 | 打印等内网设备 |
| 20 | 其余端口 | 4、8 | 打印等内网设备 |
| 30 | 其余端口 | 4、8 | 打印等内网设备 |
| 410 | 机房交换机的3口 | 6、8口 | 内部系统服务器 |
| 420 | 机房交换机的4口 | 6、8口 | 对外系统服务器 |
| 410 | 机房交换机的5口 | 6、8口 | 备份(内部)系统服务器、监控系统 |
这里的科室是指一个部门,这个科室的地点包括门诊楼的办公室、和住院楼的值班室、各科病房、行政楼的办公室,都属于同一个vlan。内网从vlan10开始,vlan号依次加10。外网的vlan划分同理,从vlan210开始,vlan号依次加10。
内网VLAN:不同科室部门的打印等联网设备通过有线连接到交换机的内网VLAN端口。这个VLAN通常用于访问医院内部系统,如电子病历(EMR)、影像存储传输系统(PACS)等。这些端口通常会被配置为不允许路由到外网,确保内部数据的安全。监控通过连接AP获取内网地址,所有监控都在vlan411
外网VLAN:无线接入点(AP)连接到交换机的外网VLAN端口。当医生或其他用户需要访问互联网时,他们可以通过连接到医院的Wi-Fi网络来获取一个外网VLAN的IP地址。这个IP地址通常会被配置为允许访问互联网,但不允许访问内网系统。
4.5 IP地址划分
【表4-3 IP地址划分 】
| IP网段 | 描述 |
|---|---|
| 内网IP | 有线设备通过交换机分配,办公电脑通过无线获取IP |
| 192.168.0.0/24 | 监控(vlan410 |
| 192.168.1.0/24 | 监控 |
| 192.168.2.0/24 | 监控 |
| 192.168.3.0/24 | 监控 |
| 192.168.4.1/24 | 内部服务器网关H2(vlan411 |
| 192.168.4.2/24 | 内部服务器web+ftp |
| 192.168.4.3/24 | 备份、监控服务器 |
| 192.168.4.4/24 | 服务器终端 |
| 192.168.4.5/24 | 内部服务器网关H1 |
| 192.168.5.0/26 | Vlan10,科室1内网 |
| 192.168.5.1/26 | H2的vlan10网关 |
| 192.168.5.2/26 | H1的vlan10网关 |
| 192.168.5.64/26 | Vlan20,科室2内网 |
| 192.168.5.65/26 | H2的vlan20网关 |
| 192.168.5.66/26 | H1的vlan20网关 |
| 192.168.5.128/26 | Vlan30,科室3内网 |
| 192.168.5.129/26 | H2的vlan30网关 |
| 192.168.5.130/26 | H1的vlan30网关 |
| 外网IP | 有线设备通过交换机分配, |
| 100.10.10.1/29 | F1连路由的口、对外web服务器NAT地址 |
| 100.10.10.2/29 | F2连路由的口 |
| 100.10.10.4/29 | R1的eth-trunk接口 |
| 172.16.0.1/30 | F1心跳口 |
| 172.16.0.2/30 | F2心跳口 |
| 172.16.1.1/24 | H1连接防火墙 |
| 172.16.2.1/24 | H2连接防火墙 |
| 172.16.1.2/24 | F1连接H1的口 |
| 172.16.1.6/24 | F1连接H1口虚拟ip |
| 172.16.2.2/24 | F1连接H2的口 |
| 172.16.2.6/24 | F1连接H2口虚拟ip |
| 172.16.1.3/24 | F2连接H1的口 |
| 172.16.2.6/24 | F2连接H1的口虚拟IP |
| 172.16.2.3/24 | F2连接H2的口 |
| 172.16.2.6/24 | F2连接H2的口虚拟IP |
| 172.16.3.1/24 | F1连接dmz的口 |
| 172.16.3.2/24 | 对外服务器地址 |
| 172.16.4.0/26 | Vlanif210,科室1外网终端 |
| 172.16.4.64/26 | Vlanif220,科室2外网终端 |
| 172.16.4.128/26 | Vlanif230,科室3外网终端 |
| 172.16.5.1/24 | Vlanif100 ,H2 |
| 172.16.5.2/24 | Vlanif100 ,AC |
| 172.16.5.3/24 | Vlanif100 ,H1 |
| 172.16.6.1/24 | Vlanif101,H2 |
| 172.16.6.2/24 | Vlanif101,J3 |
| 172.16.6.3/24 | Vlanif101,J4 |
| 172.16.6.4/24 | Vlanif101,H1 |
172.16.0.0/12为外网网段,192.168.0.0/16为内网网段,每个科室以/26为掩码,可分配62个可用地址。预留该网段的前5个可用地址作为vlan网关。向运营商申请了100.10.10.0/29网段的公网地址,共6个可分配的公网IP地址。
4.6其他考虑因素:
(1)确保网络设备和线缆的安装符合医疗环境的特殊要求,如抗菌处理或过电压保护 。
(2)考虑使用模块化的布线系统,以便于未来的扩展和维护 。
(3)确保网络设计有足够的冗余,以提高系统的可靠性和容错能力。
(4)和普通的商业楼宇不同,医院建筑提供的是关系到人民生活及生命安全的基本服务。通信服务的中断(如急救中心等)将造成非常严重的后果,TIA1179对线路冗余和备份有明确的要求:在EF(EntranceFacility)部分,尤其是急救中心需要有多个电信接入点、并且路径不能相同;楼层配线/设备间至少要大于12m2,,并且主配线间通往急救和重症监护区楼层设备间的骨干链路必须有两条以上的路径。
(5)
【图4-4 医院应用系统】
(6)内外网隔离措施:
对于办公电脑: 使用外包VPN服务,外包VPN服务提供商会负责搭建和管理VPN基础设施,包括服务器、证书、密钥管理等。那么办公电脑只需要下载VPN客户端,然后通过身份验证即可连接VPN。步骤为: 电脑首先通过无线AP获取外网IP访问互联网,然后启动VPN客户端,通过专用的用户名和密码连接VPN,VPN服务端就会分配一个能够访问内网的IP给电脑,并建立VPN加密隧道,管理员可以通过VPN客户端配置网络策略,指定哪些流量经过VPN传输,哪些直接通过外网IP传输,比如通过指定应用程序或指定网段来配置网络策略。这样一来,即使一台设备既能访问外网又能访问内网,访问内网的数据也会被加密,从而实现内外网隔离。
对于防火墙: 连接互联网的防火墙部署DLP系统,抓包检测数据内容,通过对比关键字等技术,拦截有可能泄露的重要信息。部署SSL VPN用于给员工连接内网。
对于监控: 总监控大屏在网络中心,只有管理员可以查看,总监控大屏、监控服务器要和其他监控在同一个VLAN,不需要配置监控的网关。
对于服务器: 连接外网的终端不能访问内部服务器,只能访问对外服务器。连接内网的既可以访问内部服务器,也可以访问对外服务器。内部服务器本身也不可以访问外网
对于打印机等其他医疗设备: 只通过有线连接直接连接到内网,并且不通过Wi-Fi或VPN连接到外网,那么它们确实实现了内网与外网的隔离。这是因为这些设备只能访问内网资源,而无法直接访问或被外网访问。
4. 配置命令和相关截图
由于办公室比较多,且交换机大部分配置都相同,有些技术只列举了某个科室的配置,实际配置时要根据具体的科室部门的vlan和ip来配置。
5.1 vlan配置
( 1 ) 具体命令如下:
接入层交换机:
[s1]vlan batch 10 20 30 210 220 230 410 420
[s1]port-group 1
[s1-port-group-1]group-menber e0/0/4
[s1-port-group-1]group-menber e0/0/8
[s1-port-group-1]port link-type trunk
[s1-port-group-1]port trunk allow-pass vlan all
[s1]port-group 2
[s1-port-group-2]group-menber e0/0/5 to e0/0/7
[s1-port-group-2]group-menber e0/0/2 to e0/0/3
[s1-port-group-2]port link-type access
[s1-port-group-2]port default vlan 10
interface Ethernet0/0/1
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan all
核心层交换机:
[ H1 ]
vlan batch 10 20 30 210 220 230 410 420 100 101 411
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 430
port trunk allow-pass vlan all
interface GigabitEthernet0/0/5
port link-type access
port default vlan 430
port trunk pvid vlan 430
port trunk allow-pass vlan all
Int vlanif 430
ip address 172.16.1.1 255.255.255.248
Port-group 1
Group-member g0/0/1 to g0/0/3
Group-member g0/0/6 to g0/0/24
port link-type trunk
port trunk allow-pass vlan all
[H2]
vlan batch 10 20 30 210 220 230 410 420 100 101 411
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 431
port trunk allow-pass vlan all
interface GigabitEthernet0/0/5
port link-type trunk
port trunk pvid vlan 431
port trunk allow-pass vlan all
interface Vlnaif 431
ip address 172.16.2.1 255.255.255.248
Port-group 1
Group-member g0/0/1 to g0/0/3
Group-member g0/0/6 to g0/0/24
port link-type trunk
port trunk allow-pass vlan all
汇聚层交换机:
[J3]
interface Vlanif431
ip address 172.16.2.4 255.255.255.248
interface Vlanif430
ip address 172.16.1.4 255.255.255.248
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 431
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 430
port trunk allow-pass vlan 2 to 4094
port-group 1
group-menber g0/0/3 to g0/0/24
port link-type trunk
port trunk allow-pass vlan all
5.2 无线组网
( 1)具体命令:
[H2]
vlan batch 10 20 30 210 220 230 410 420 100 101 411
interface Vlanif210
ip address 172.16.4.1 255.255.255.192
dhcp select interface
interface Vlanif230
ip address 172.16.4.129 255.255.255.192
dhcp select interface
interface Vlanif220
ip address 172.16.4.65 255.255.255.192
dhcp select interface
interface GigabitEthernet0/0/8
port link-type access
port default vlan 100
interface GigabitEthernet0/0/6
port link-type trunk
port trunk pvid vlan 431
port trunk allow-pass vlan 2 to 4094
traffic-filter outbound acl 3000
interface Vlanif411
ip address 192.168.4.1 255.255.255.240
[AC]
vlan batch 100 to 101
interface Vlanif100
ip address 172.16.5.1 255.255.255.0
interface Vlanif101
shutdown
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
ip route-static 172.16.6.0 255.255.255.0 172.16.5.2
capwap source interface vlanif100
wlan
traffic-profile name default
security-profile name employ
security wpa2 psk pass-phrase %^%#4__r<!mltR,bpGVM)[5S;uPb$0eV4US|9OYT(I5O%^%# aes
security-profile name default
*ecurity-profile name monitor
security wpa2 psk pass-phrase %^%#L@H{6iM^q<_b,+U$GqA.}:js=Eba6HJ'!XOp-b*7%^%# aes
security-profile name default-wds
security-profile name default-mesh
ssid-profile name dept1
ssid dept1user
ssid-profile name dept2
ssid dept2user
ssid-profile name dept3
ssid dept3user
ssid-profile name default
ssid-profile name monitor
ssid monitors
vap-profile name dept1
service-vlan vlan-id 210
ssid-profile dept1
security-profile employ
vap-profile name dept2
service-vlan vlan-id 220
ssid-profile dept2
security-profile employ
vap-profile name dept3
service-vlan vlan-id 230
ssid-profile dept3
security-profile employ
vap-profile name default
vap-profile name monitor
service-vlan vlan-id 410
ssid-profile monitor
security-profile monitor
ap whitelist mac 00e0-fc4f-19c0
ap whitelist mac 00e0-fc0c-65a0
ap whitelist mac 4c1f-cc52-3b29
ap whitelist mac 00e0-fc6e-7ad8
ap whitelist mac 00e0-fc56-3e20
ap whitelist mac 00e0-fc65-0e10
ap whitelist mac 00e0-fcb1-6f40
ap whitelist mac 00e0-fcf3-72b0
ap-group name user
regulatory-domain-profile domain1
ap-group name dept1
radio 0
vap-profile dept1 wlan 1
vap-profile monitor wlan 2
vap-profile dept3 wlan 1
radio 1
vap-profile dept1 wlan 1
vap-profile dept3 wlan 1
vap-profile monitor wlan 2
radio 2
vap-profile dept1 wlan 1
vap-profile monitor wlan 2
ap-group name dept3
vap-profile dept3 wlan 1
ap-group dept3
(2)测试 :
【图5-1 AP成功上线】
【图5-2 wifi正常连接】
【图5-3 监控获取IP正确】
【图5-4 终端获取IP正确】
5.3 DHCP配置
(1)具体命令:
[ H 1]
dhcp enable(全局使能dhcp)
interface Vlanif10
ip address 172.16.0.65 255.255.255.192
dhcp select interface
interface Vlanif20
ip address 172.16.0.129 255.255.255.192
dhcp select interface
interface Vlanif30
ip address 172.16.0.193 255.255.255.192
dhcp select interface
[H2]
interface Vlanif10
ip address 172.16.0.66 255.255.255.192
dhcp select interface
interface Vlanif20
ip address 172.16.0.130 255.255.255.192
dhcp select interface
interface Vlanif30
ip address 172.16.0.194 255.255.255.192
dhcp select interface
(2) 测试:
【图5-5 监控连接监控大屏】
5.4 服务器、客户端配置
( 1)说明:
【图5-6 医院对外服务器】
【图5-7 外网客户端】
【图5-8 内部医务系统】
【图5-9 监控和备份系统】
【图5-10 监控客户端大屏】
】
【图5-12 外网终端登录医院对外服务器】
【图5-13 医院对外服务器网页打开正常】
【图5-14 监控数据上传监控系统】
【图5-15 内部终端登录内网服务器】
【图5-16 内部终端获取内网ftp资源】
5.5 VLAN间通信
( 1)说明: 办公电脑连接外网时,彼此间可以通信,也可以和打印等设备通信,办公电脑连接内网时,可以和服务器通信,打印等医疗设备也可以和服务器通信,监控不需要和其他vlan通信。
(2)汇聚层交换机配置如下:
[J4]
interface Vlanif431
ip address 172.16.2.4 255.255.255.248
Ip route-static 0.0.0.0 0 172.16.2.1
[J5]
interface Vlanif431
ip address 172.16.2.5 255.255.255.248
Ip route-static 0.0.0.0 0 172.16.2.4
( 3 ) 测试:
【图5-17 内外网设备通信】
5.6 ACL配置
( 1)说明: 内部服务器不允许访问外网,也不能和对外服务器通信。这样做的目的是使得办公电脑只有通过身份验证和VPN获取内网IP,才可以访问内部服务器,增加安全性。
命令如下:
[H2]
Advanced ACL 3000, 1 rule
Acl's step is 5
rule 5 deny ip source 172.16.0.0 0.0.255.255 destination 192.168.4.0 0.0.0.15
interface GigabitEthernet0/0/6
port link-type trunk
port trunk pvid vlan 431
port trunk allow-pass vlan 2 to 4094
traffic-filter outbound acl 3000
( 2 )测试:
【图5-18 使用外网ip无法连接内网服务器】
【图5-19 使用内网ip可以连接内网服务器】
5.7 核心交换机双活配置
说明: BFD(Bidirectional Forwarding Detection)是一种用于快速检测链路故障的技术。通过配置BFD,可以在几毫秒内检测到链路故障,并进行相应的故障恢复操作。
( 1)H1配置如下:
[h1]
interface Vlanif10
dhcp select global(启用dhcp全局地址池)
vrrp vrid 10 virtual-ip 172.16.0.65(设置虚拟网关地址)
vrrp vrid 10 priority 120(设置该虚拟网关的优先级为120)
interface Vlanif20
dhcp select global
vrrp vrid 20 virtual-ip 172.16.0.129
vrrp vrid 20 priority 120
interface Vlanif30
dhcp select global
vrrp vrid 30 virtual-ip 172.16.0.193
vrrp vrid 20 priority 120
[h2]
interface Vlanif10
dhcp select global(启用dhcp全局地址池)
vrrp vrid 10 virtual-ip 172.16.0.65(设置虚拟网关地址)
interface Vlanif20
dhcp select global
vrrp vrid 20 virtual-ip 172.16.0.129
interface Vlanif30
dhcp select global
vrrp vrid 30 virtual-ip 172.16.0.193
(4) 测试:
【图5-20 H1故障后仍可ping通网关】
5.8 防火墙行为控制和出口路由R1配置
( 1)配置如下:
【 F1】
interface GigabitEthernet1/0/1
ip address 100.10.10.1 255.255.255.248
service-manage all permit (放通所有协议)
interface GigabitEthernet1/0/0
ip address 172.16.3.1 255.255.255.240
service-manage all permit
interface GigabitEthernet1/0/3
ip address 172.16.1.2 255.255.255.248
service-manage all permit
interface GigabitEthernet1/0/4
ip address 172.16.2.2 255.255.255.248
service-manage all permit
interface GigabitEthernet1/0/2
ip address 172.16.0.1 255.255.255.252
service-manage all permit
firewall zone trust(进入信任区域)
add interface GigabitEthernet1/0/3(添加接口)
add interface GigabitEthernet1/0/4
firewall zone untrust(进入非信任区域)
add interface GigabitEthernet1/0/1
firewall zone dmz(进入服务器区域)
add interface GigabitEthernet1/0/0
firewall zone name hrp(建立hrp区域)
add interface GigabitEthernet1/0/2
set priority 51
security-policy(配置安全策略)
rule name trust_to_un
source-zone trust(设置数据的源为信任区域)
destination-zone untrust(设置数据的出方向为非信任区域)
source-address 172.16.0.0 12(设置数据的源网段)
action permit(允许通过)
rule name inip_to_dmz
source-zone trust
destination-zone dmz
source-address 192.16.0.0 mask 255.255.0.0
action permit
rule name dmz_to_inip
source-zone dmz
destination-zone trust
destination-address 192.16.0.0 mask 255.255.0.0
action permit
rule name outip_to_server
source-zone trust
destination-zone dmz
source-address 172.16.0.0 mask 255.240.0.0
destination-address 100.10.10.0 mask 255.255.255.248
action permit
rule name un_to_server
source-zone untrust
destination-zone dmz
destination-address 100.10.10.0 mask 255.255.255.248
action permit
【F2】
interface GigabitEthernet1/0/1
ip address 100.10.10.2 255.255.255.248
service-manage all permit (放通所有协议)
interface GigabitEthernet1/0/4
ip address 172.16.2.3 255.255.255.248
service-manage all permit
interface GigabitEthernet1/0/3
ip address 172.16.1.3 255.255.255.248
service-manage all permit
interface GigabitEthernet1/0/2
ip address 172.16.0.2 255.255.255.252
service-manage all permit
firewall zone trust(进入信任区域)
add interface GigabitEthernet1/0/3(添加接口)
add interface GigabitEthernet1/0/4
firewall zone untrust(进入非信任区域)
add interface GigabitEthernet1/0/1
firewall zone name hrp(建立hrp区域)
add interface GigabitEthernet1/0/2
set priority 51
【R1】
interface eth-trunk 1
Undo portswitch
Ip add 100.10.10.4 29
interface GigabitEthernet0/0/0
Eth-trunk 1
interface GigabitEthernet0/0/1
Eth-trunk 1
(2) 测试:
【图5-21 内部主机使用外网ip访问互联网】
5.9 防火墙NAT和出口路由R1配置
(1)配置如下:
[F1]、[F2]
nat-policy(配置nat策略)
rule name nat
source-zone trust
destination-zone untrust
source-address 172.16.0.0 12
action source-nat easy-ip(设置地址转换使用easy-ip)
(2) 测试:
【图5-22 NAT转换内部主机IP为公网地址】
5.10 防火墙双机热备
( 1)配置如下:
【F1】
interface GigabitEthernet1/0/1
vrrp vrid 1 virtual-ip 100.10.10.6 active(设置该虚拟网关地址,并且该接口为主接口)
interface GigabitEthernet1/0/4
vrrp vrid 4 virtual-ip 172.16.2.6 active
interface GigabitEthernet1/0/3
vrrp vrid 3 virtual-ip 172.16.1.6 active
hrp enable(启动双机热备)
hrp interface GigabitEthernet1/0/2 remote 172.16.0.2(设置双机热备的接口和对端IP地址)
【F2]
interface GigabitEthernet1/0/1
vrrp vrid 1 virtual-ip 100.10.10.6 standby(设置该虚拟网关地址,并且该接口为主接口)
interface GigabitEthernet1/0/4
vrrp vrid 4 virtual-ip 172.16.2.6 standby
interface GigabitEthernet1/0/3
vrrp vrid 3 virtual-ip 172.16.1.6 standby
hrp enable(启动双机热备)
hrp interface GigabitEthernet1/0/2 remote 172.16.0.1(设置双机热备的接口和对端IP地址)
(2) 测试如下:
【图5-23 F2的hrp state】
【图5-24 F2的hrp statisttic】
【图5-25 F1的hrp state】
【图5-26 F1的hrp statisttic】
5 . 11 静态路由
【图5-27 h2的路由表】
【图5-28 路由器的路由表】
【图5-29 防火墙F1的路由表】
【图5-30 J3的路由表】
【图5-31 J4的路由表】
【图5-32 AC的路由表】
6 总结
6 . 1 遇到的问题以及如何解决
1、 对医院搭建局域网做需求分析,由于医院是假设的规模信息不充足,信息点位只能通过上网查找各大医院的网络方案来参考,最后结合题目所给信息设计了信息点的布设方案。
2、 根据内外网隔离的需求进行网络设计和规划。参考其他医院的方案,从物理和逻辑上分别实现隔离,保证访问内网稳定和安全,访问外网稳定而便利。
3、 布线方案也参考了其他医院的方案,分别设计接入、汇聚、核心层的弱电间。
4、 在配置无线组网的功能时,原本用的是AC+中心AD+RU的组网,但中心AD上线不稳定,认为是模拟器带不动,最后换回了传统的AC+AP上线。
5、 在划分IP时,根据不浪费原则和灵活扩展的需求,起初在防火墙使用了/29掩码的网段,但在后续配置时,发现防火墙vlan不只是用于直连防火墙的设备,所以/29是远不够的,重新划分了/24的网段。
6 .2 收获和体会
1、 通过本次实习,了解了内外网隔离的多种方案。
2、 熟悉了医院局域网的大致方案。
3、 通过设备选型了解了许多网络设备厂商,以及多种型号设备的价格差异。
4、 认识了行业组网的新技术,如mesh无线组网,零漫游分布组网等。
5、 巩固了网络配置的知识和命令。
6、 对设计和部署中小型局域网的整体流程和方案有了初步认识,补充了许多工作上的细节。
