【正文】 澳洋醫(yī)院辦公樓及綜合樓網(wǎng)絡(luò)方案澳洋醫(yī)院辦公樓及綜合樓網(wǎng)絡(luò)方案目錄第一章．概述 3 建筑群網(wǎng)絡(luò)建設(shè)背景 3 建網(wǎng)需求分析 3 一般建網(wǎng)需求 3 網(wǎng)絡(luò)安全需求分析和對策 4第二章．總體網(wǎng)絡(luò)設(shè)計(jì)和網(wǎng)絡(luò)特點(diǎn) 7 網(wǎng)絡(luò)設(shè)計(jì)的原則 7 網(wǎng)絡(luò)拓?fù)?8 方案說明 8 10 路由規(guī)劃 10 IP地址規(guī)劃 11 無線方案 12 12 12 13 13 14 15 AP防盜設(shè)計(jì) 15 多SSID接入 16 AP射頻和SSID控制 16 網(wǎng)絡(luò)設(shè)備選型 16 16 防火墻 16 核心交換機(jī) 17 IPS插卡（入侵檢測） 17 ACG插卡（流控設(shè)備） 18 匯聚交換機(jī) 18 接入交換機(jī) 18 無線控制器(AC) 18 無線接入點(diǎn)（AP） 19 網(wǎng)管系統(tǒng) 19第三章．網(wǎng)絡(luò)設(shè)備集中統(tǒng)一管理解決方案 21 網(wǎng)絡(luò)管理概述 21 網(wǎng)絡(luò)管理需求分析 21 網(wǎng)絡(luò)管理總體設(shè)計(jì) 22澳洋醫(yī)院辦公樓及綜合樓網(wǎng)絡(luò)方案第一章．概述 建筑群網(wǎng)絡(luò)建設(shè)背景 當(dāng)前，人類社會(huì)正處于一個(gè)偉大的轉(zhuǎn)折時(shí)期，社會(huì)信息化的程度已被看作是一個(gè)國家現(xiàn)代化水平和綜合國力的重要標(biāo)志。在這個(gè)信息時(shí)代，各個(gè)單位各個(gè)部門的信息技術(shù)建設(shè)是極其重要的。因此在信息社會(huì)的今天，網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)尤其重要。網(wǎng)絡(luò)系統(tǒng)建成后，將為辦公大樓提供高效率的辦公環(huán)境，實(shí)現(xiàn)無紙化協(xié)同辦公。網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須兼顧先進(jìn)性、高可靠性、容錯(cuò)性、靈活性與安全性，提供一套可監(jiān)控、易管理、可擴(kuò)展、易升級的高效網(wǎng)絡(luò)系統(tǒng)。實(shí)現(xiàn)主干千兆，并且千兆交換到桌面的高效網(wǎng)絡(luò)系統(tǒng)。本次組網(wǎng)是按照下面幾點(diǎn)大的目標(biāo)來考慮的，在一個(gè)健全成熟的網(wǎng)絡(luò)體系中，這幾個(gè)點(diǎn)是必備的。因此本次組網(wǎng)力爭做到下面幾個(gè)方面：1. 建成較完善的局域網(wǎng)管理信息網(wǎng)絡(luò)體系。實(shí)現(xiàn)局域網(wǎng)內(nèi)部的可靠連接，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部各部門、各人員信息的交流與資源的共享。2. 建立高效的網(wǎng)絡(luò)管理中心，整個(gè)公司網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心交換機(jī)、服務(wù)器、利用高效的網(wǎng)管軟件、安全策略，可對整個(gè)公司網(wǎng)絡(luò)實(shí)施管理和監(jiān)控。3. 建立高可靠性的網(wǎng)絡(luò)系統(tǒng)，保證網(wǎng)絡(luò)運(yùn)行不間斷。4．建立高效協(xié)同的辦公環(huán)境，保證各部分的的工作人員可以有良好的交流環(huán)境，使其相互之間的協(xié)作更加緊密，更利于發(fā)揮自己的潛能，為公司創(chuàng)造更多的價(jià)值。5．進(jìn)行策略控制，嚴(yán)格控制內(nèi)網(wǎng)用戶的操作權(quán)限，給不同的人員分配不同的權(quán)限。6．根據(jù)不同的部門劃分不同的VLAN，保證各個(gè)部門之間的獨(dú)立性，控制各個(gè)VALN之間的訪問。經(jīng)過這樣的設(shè)計(jì)后，建設(shè)后的網(wǎng)絡(luò)是一個(gè)高效的、功能完善的、安全的、可管理的網(wǎng)絡(luò)。對網(wǎng)絡(luò)的性能也做了優(yōu)化，選用良好的設(shè)備，保證系統(tǒng)的高可用性。 建網(wǎng)需求分析 一般建網(wǎng)需求辦公網(wǎng)網(wǎng)絡(luò)在實(shí)際的建設(shè)過程當(dāng)中，應(yīng)當(dāng)充分考慮到本次組網(wǎng)的多業(yè)務(wù)以及本企業(yè)的特點(diǎn)等應(yīng)用需求，如：員工對服務(wù)器的訪問，公網(wǎng)用戶對服務(wù)器的訪問，涉及到基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺(tái)建設(shè)兩個(gè)不同的層面。此處主要分析辦公網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)運(yùn)營方面相關(guān)的內(nèi)容，主要有以下幾方面的特點(diǎn)： 對Internet的訪問需求：將根據(jù)辦公大樓實(shí)際需要，選擇出口網(wǎng)絡(luò)的帶寬，通過ISP接入Internt。從而可以滿足企業(yè)員工的上網(wǎng)需求，可以滿足外網(wǎng)訪問公司W(wǎng)EB、FTP、MAIL等服務(wù)器，利于公司做好對外宣傳和服務(wù)。 用戶管理的需求：。對用戶帶寬進(jìn)行控制的需求，要求設(shè)備能對用戶的帶寬進(jìn)行控制，辟如限制為64K 、256K、512K、1M、2M、5M、10M等等級。 網(wǎng)絡(luò)管理的需求：整個(gè)網(wǎng)絡(luò)的關(guān)鍵設(shè)備,如中心交換機(jī)、服務(wù)器、利用高效的網(wǎng)管軟件、安全策略，可對整個(gè)公司網(wǎng)絡(luò)實(shí)施管理和監(jiān)控。 安全管理的需求：1) 在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，如何保障辦公網(wǎng)絡(luò)的安全成為各個(gè)公司在組建網(wǎng)時(shí)不得不考慮的問題，目前主要攻擊手段有DOS、DDOS、IP欺騙、未授權(quán)訪問等。2) 利用高性能的網(wǎng)絡(luò)安全防御設(shè)備，在網(wǎng)絡(luò)的出口處屏蔽掉病毒及黑客的攻擊，保護(hù)內(nèi)網(wǎng)數(shù)據(jù)的安全。 組播業(yè)務(wù)的需求隨著多種業(yè)務(wù)的融合，特別是可控組播的需求將隨著企業(yè)信息化的深入而體現(xiàn)出來。 網(wǎng)絡(luò)安全需求分析和對策隨著以網(wǎng)絡(luò)為核心的信息技術(shù)目新月異的發(fā)展，尤其是Internet/Intranet在全球的迅速普及，網(wǎng)絡(luò)安全問題正日益成為人們關(guān)注的頭號焦點(diǎn)。對于本企業(yè)網(wǎng)絡(luò)來說，內(nèi)部信息網(wǎng)絡(luò)系統(tǒng)的安全涉及到兩個(gè)方面的問題：l 如何有效防止來自外網(wǎng)的非法攻擊；l 如何有效防止來自于網(wǎng)絡(luò)內(nèi)部，包括管理人員的誤操作以及某些惡意的內(nèi)部攻擊；對于后者往往是信息主管的重視程度往往不足。首先應(yīng)該鼓勵(lì)公司網(wǎng)絡(luò)內(nèi)部的互訪，以使資源得到最大限度的共享。但同時(shí)安全意識(shí)不能丟。一般情況下，內(nèi)部攻擊所造成的危外部入侵要大得多，這是因?yàn)閮?nèi)部入侵者不像外部黑客，很少是因?yàn)楹闷嫘内厔菟麄冞M(jìn)絡(luò)攻擊行為，其中隱藏著較復(fù)雜的與內(nèi)部有關(guān)的動(dòng)機(jī)。他們一般非常熟悉網(wǎng)絡(luò)內(nèi)部環(huán)境，攻擊手段隱秘。如果辦公網(wǎng)絡(luò)內(nèi)部的重要核心資源不加以有效的保護(hù)，那么內(nèi)部惡性入侵成的危害比外部非法入侵還要大。從辦公網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)來看，主要存在的危險(xiǎn)有以下幾點(diǎn)： 數(shù)據(jù)竊聽；數(shù)據(jù)竊聽是一種軟件應(yīng)用，它可以捕獲通過某個(gè)沖突域的所有網(wǎng)絡(luò)數(shù)據(jù)。通常我們利用數(shù)據(jù)竊聽功能進(jìn)行網(wǎng)絡(luò)故障的排除或進(jìn)行流量分析。但黑客可以利用它獲取一些非常有用且敏感的信息，比如用戶名和密碼等。 IP欺騙；當(dāng)位于網(wǎng)絡(luò)內(nèi)部或外部的黑客主機(jī)模仿成為一臺(tái)可信賴的計(jì)算機(jī)時(shí)，就稱其進(jìn)行了IP欺騙。黑客可通過兩種方式達(dá)到上述目的：l 可以使用一個(gè)位于可靠網(wǎng)絡(luò)IP地址范圍內(nèi)的IP地址；l 可以使用一個(gè)既可靠又能夠訪問網(wǎng)絡(luò)上特定資源的授權(quán)外部IP址； 拒絕服務(wù)(DoS)； 拒絕服務(wù)攻擊(DoS) 的目的通常并不是進(jìn)入某個(gè)網(wǎng)絡(luò)或獲取其中的信息。這種攻擊的主要目的是使某種服務(wù)不能被正常使用，而且這種攻擊通常是通過破壞網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用程序,來致使某些服務(wù)不能被正常使用 。 密碼攻擊；黑客可以采用幾種不同的方法實(shí)施密碼攻擊，包括暴力破解，特洛伊木馬方式，IP欺騙與數(shù)據(jù)竊聽方式等。一旦他們擁有了用戶的賬號和密碼，他們就擁有了和該用戶完全相同的權(quán)利。 中間人攻擊；進(jìn)行中間人攻擊要求黑客能夠訪問在網(wǎng)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。黑客通常是通過使用網(wǎng)絡(luò)數(shù)據(jù)竊聽以及路由和傳輸協(xié)議進(jìn)行這種攻擊的。這種攻擊的主要目的是竊取信息、截獲正在傳輸中的會(huì)話以便訪問專用網(wǎng)絡(luò)資源、進(jìn)行流量分析以獲取關(guān)于一個(gè)網(wǎng)絡(luò)及其用途的信息、拒絕服務(wù)、破壞傳輸數(shù)據(jù)以及在網(wǎng)絡(luò)會(huì)話中插入新的信息。 應(yīng)用層攻擊； 黑客可以通過幾種不同的方法實(shí)施應(yīng)用層攻擊。最常用的一種方法是利用服務(wù)器上普通軟件的常見弱點(diǎn)，包括郵件發(fā)送、超文本傳輸協(xié)議(HTTP)以及FTP。利用這些弱點(diǎn)，黑客能夠獲得合法的帳號，從而得以訪問計(jì)算機(jī)。與應(yīng)用層攻擊相關(guān)的一個(gè)主要問題是這些攻擊經(jīng)常使用被允許穿越安全設(shè)備的端口。應(yīng)用層攻擊永遠(yuǎn)不可能被完全消除，因?yàn)樾碌囊资芄酎c(diǎn)總會(huì)不斷出現(xiàn)，但可以部署更智能的設(shè)備減少非法攻擊。 信任關(guān)系利用；指非授權(quán)用戶利用網(wǎng)絡(luò)內(nèi)部的某種信任關(guān)系進(jìn)行攻擊的行為。典型的一個(gè)例子是公司的周邊網(wǎng)絡(luò)連接，另外一個(gè)例子是位于安全設(shè)備外側(cè)的系統(tǒng)與位于安全設(shè)備內(nèi)側(cè)的系統(tǒng)之間有信任關(guān)系。當(dāng)外部系統(tǒng)被破壞時(shí)，它可以利用這種信任關(guān)系攻擊內(nèi)部的系統(tǒng)。 未授權(quán)訪問；未授權(quán)訪問不是指某種具體的攻擊，而是指