【文章內(nèi)容簡(jiǎn)介】 將會(huì)分以下幾部分禪述:? XX 網(wǎng)絡(luò)核心骨干連接部分。? 接入層和匯聚層網(wǎng)絡(luò)部分。? 數(shù)據(jù)中心部分。? 網(wǎng)絡(luò)出口部分。? 網(wǎng)絡(luò)管理部分。 核心骨干連接部分 核心層負(fù)責(zé)數(shù)據(jù)的路由，在 XX 衛(wèi)生廳的廣域網(wǎng)的設(shè)計(jì)中，由于 ISP 的運(yùn)營商給 XX 衛(wèi)生廳提供的是 10M 的光纖鏈路，并且采用的是點(diǎn)對(duì)點(diǎn)(PPP)的協(xié)議方式，所以在自治區(qū)中心的路由器是整個(gè)網(wǎng)絡(luò)的中心路由的核心。如圖所示： 20 由于路由器是廣域網(wǎng)的邊界連接設(shè)備，在整個(gè)衛(wèi)生廳的網(wǎng)絡(luò)中包含了、視頻會(huì)議、醫(yī)療衛(wèi)生檢測(cè)數(shù)據(jù)、VOIP 等數(shù)據(jù)流，不同的業(yè)務(wù)對(duì)網(wǎng)絡(luò)的帶寬和響應(yīng)時(shí)間的要求也不一樣，所以在帶寬的關(guān)鍵控制上要區(qū)分開來，并且對(duì)于一些影響數(shù)據(jù)傳輸?shù)膽?yīng)用要屏蔽掉。因此在路由器上做 QOS(質(zhì)量保證)技術(shù)和一些 IP地址的屏蔽是不可少的。 接入層和匯聚層網(wǎng)絡(luò)部分如圖所示： 21如上圖所示，接入層和匯聚層屬于各級(jí)衛(wèi)生部門的內(nèi)部網(wǎng)絡(luò)，在路由器的邊界區(qū)域，對(duì)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量和行為做控制策略，對(duì)于關(guān)鍵性的業(yè)務(wù)（醫(yī)療衛(wèi)生監(jiān)測(cè)數(shù)據(jù)、視頻會(huì)議等）采用 QOS 方式，而對(duì)于用戶訪問自治區(qū)中心的關(guān)鍵數(shù)據(jù)（數(shù)據(jù)庫、OA、財(cái)務(wù)等）采用 POLICY CONTROL 策略控制的方式控制用戶的權(quán)限和訪問方式。內(nèi)部核心交換機(jī)，使用 VLAN（虛擬局域網(wǎng)）的方式對(duì)內(nèi)部的不同用戶群體進(jìn)行邏輯局域網(wǎng)的劃分，將業(yè)務(wù)用戶與其他用戶劃分開來，優(yōu)先保證業(yè)務(wù)用戶的正常工作。 數(shù)據(jù)中心部分XX 衛(wèi)生廳的衛(wèi)生醫(yī)療網(wǎng)核心層（數(shù)據(jù)中心）是整個(gè)網(wǎng)絡(luò)的業(yè)務(wù)中心，未來所有的監(jiān)測(cè)監(jiān)控?cái)?shù)據(jù)中心、衛(wèi)生廳 OA\應(yīng)急指揮系統(tǒng)\財(cái)務(wù)等數(shù)據(jù)中心以及公開訪問資源數(shù)據(jù)中心， 22根據(jù) XX 衛(wèi)生廳業(yè)務(wù)的安全性要求不同，數(shù)據(jù)中心服務(wù)器群可以劃分為三個(gè)部分:安全監(jiān)控?cái)?shù)據(jù)群、衛(wèi)生廳應(yīng)急指揮系統(tǒng)數(shù)據(jù)群、公開資源數(shù)據(jù)群。安全監(jiān)控?cái)?shù)據(jù)群具有較高安全級(jí)別，需要做安全措施使用防火墻或入侵檢測(cè)等安全設(shè)備，用于和外部系統(tǒng)的安全隔離，包括數(shù)據(jù)中心其他服務(wù)器也無法隨意訪問；衛(wèi)生廳應(yīng)急指揮系統(tǒng)系統(tǒng)數(shù)據(jù)安全級(jí)別要求也較高，通過內(nèi)置在交換機(jī)中的策略進(jìn)行安全保護(hù)；公開資源部分不需要高級(jí)別的安全保護(hù)，所有用戶均可以直接訪問。由于生產(chǎn)安全監(jiān)控區(qū)具有很高級(jí)別的安全要求和可靠性要求，這樣就要求在這個(gè)區(qū)域的網(wǎng)絡(luò)設(shè)備具備良好的智能性和多種功能的融合性，確保為生產(chǎn)安全監(jiān)控服務(wù)器群提供可靠、完全、高性能的保證。故在服務(wù)器群區(qū)采用入侵防御設(shè)備，保證服務(wù)器數(shù)據(jù)的安全性和完整性。 網(wǎng)絡(luò)出口部分本次項(xiàng)目建設(shè)的 XX 衛(wèi)生廳的數(shù)據(jù)網(wǎng)絡(luò)除了進(jìn)行生產(chǎn)監(jiān)測(cè)監(jiān)控和相關(guān)的 OA辦公業(yè)務(wù)外，還要接入 Inter，訪問豐富的外網(wǎng)資源，同時(shí)出差員工等移動(dòng)用戶有在外安全的接入 XX 衛(wèi)生廳數(shù)據(jù)網(wǎng)絡(luò)的需求。網(wǎng)絡(luò)出口示意圖：互聯(lián)網(wǎng)出口上，一方面有大容量 NAT 的需求，另外一方面在有多 ISP 出口的情況下，路由網(wǎng)關(guān)需要考慮策略路由器、負(fù)載均衡等功能。為了防止外網(wǎng)對(duì)內(nèi)網(wǎng)的各種攻擊和提供 VPN 移動(dòng)辦公和遠(yuǎn)程辦公功能，互聯(lián)網(wǎng)出口處選擇高性能、高可靠安全的設(shè)備、選擇防火墻和入侵防御系統(tǒng)設(shè)備可保證用戶上網(wǎng)的安全，并且能阻擋外部的病毒和各種非法授權(quán)行為的攻擊。 23 網(wǎng)絡(luò)管理網(wǎng)絡(luò)中如果存在各種不同廠家的網(wǎng)絡(luò)設(shè)備，必將造出網(wǎng)絡(luò)的管理分散，不同的設(shè)備無法在統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)中進(jìn)行統(tǒng)一管理，甚至無法看到整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。而本次網(wǎng)絡(luò)方案中為衛(wèi)生合作醫(yī)療網(wǎng)絡(luò)建設(shè)提供了統(tǒng)一管理平臺(tái)。本次方案中配置的網(wǎng)絡(luò)管理軟件是一種基于拓?fù)浼?jí)的管理軟件，采用開放的設(shè)計(jì)思想，不僅實(shí)現(xiàn)對(duì) IP 設(shè)備的管理，而且可以與其他廠家的設(shè)備管理軟件進(jìn)行兼容，實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備統(tǒng)一管理。 網(wǎng)絡(luò)路由及 IP 地址設(shè)計(jì) 路由設(shè)計(jì)原則（1）網(wǎng)絡(luò)的可靠性：通過動(dòng)態(tài)路由協(xié)議的實(shí)施，在網(wǎng)絡(luò)拓?fù)涞呐浜舷?，避免網(wǎng)絡(luò)中出現(xiàn)的單故障點(diǎn)，提高網(wǎng)絡(luò)的生存能力。（2）流量的負(fù)載分擔(dān)：必須使網(wǎng)絡(luò)的流量能夠比較合理地分布在各條電路上。（3）網(wǎng)絡(luò)的擴(kuò)展性：使得網(wǎng)絡(luò)的擴(kuò)展可以在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上通過簡(jiǎn)單的增加設(shè)備和提高電路帶寬的方法來解決。（4）對(duì)業(yè)務(wù)流量模型變化的適應(yīng)性：未來網(wǎng)絡(luò)的業(yè)務(wù)流量模型將會(huì)隨業(yè)務(wù)的發(fā)展而不斷發(fā)生變化，因此路由策略可以根據(jù)流量變化方便地進(jìn)行調(diào)整。 24（5）降低管理復(fù)雜程度：路由協(xié)議應(yīng)使得故障定位和流量的調(diào)整的難度和復(fù)雜性降低。目前，可以用于大規(guī)模的 ISP 同時(shí)又基于標(biāo)準(zhǔn)的 IGP 的路由協(xié)議有 OSPF和 ISIS。兩種路由協(xié)議均是基于鏈路狀態(tài)計(jì)算的最短路徑路由協(xié)議，采用同一種最短路徑算法(Dijkstra)。兩種協(xié)議在實(shí)現(xiàn)方法、網(wǎng)絡(luò)結(jié)構(gòu)上均相似，在大型 ISP 網(wǎng)絡(luò)中都有成功案例。ISIS 和 OSPF 有著許多相同的特征：? 通過維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫，使用基于 Dijkstra 的 SPF 路由算法。? 使用 Hello 包來建立和維護(hù)路由器之間的鄰接關(guān)系。? 使用區(qū)域(area)來建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)洹? 具有域間路由聚合的能力。? 都是無類別（Classless）協(xié)議。? 通過選舉指派路由器（Designed Router）來代替網(wǎng)絡(luò)廣播。? 都具有認(rèn)證的能力。但是 ISIS 就應(yīng)用的廣泛性沒有 OSPF 廣泛，同時(shí) OSPF 協(xié)議比 ISIS 具有更加良好的開放型，各廠家在 OSPF 的標(biāo)準(zhǔn)性支持上面都實(shí)現(xiàn)的非常好，互通性不存在問題。故在實(shí)際網(wǎng)絡(luò)應(yīng)用中，采用 OSPF 動(dòng)態(tài)路由協(xié)議更為廣泛。綜合分析，我們推薦 XX 衛(wèi)生廳數(shù)據(jù)網(wǎng)絡(luò)采用 OSPF 動(dòng)態(tài)路由協(xié)議，XX 衛(wèi)生廳數(shù)據(jù)網(wǎng)整個(gè)大網(wǎng)使用一個(gè)統(tǒng)一的 AS，全網(wǎng)實(shí)現(xiàn)信息點(diǎn)最優(yōu)連通，通過采用OSPF 路由協(xié)議使路由全網(wǎng)可達(dá)。 25 OSPF 協(xié)議介紹OSPF(Open Shortest Path First)是一個(gè)自治系統(tǒng)內(nèi)部路由協(xié)議，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)計(jì)算產(chǎn)生路由。與 RIP 等距離向量路由協(xié)議不同的是，OSPF 是基于鏈路狀態(tài)的路由協(xié)議。它能夠在網(wǎng)絡(luò)鏈路變化時(shí)快速產(chǎn)生新路由，并能管理比 RIP 范圍更大的網(wǎng)絡(luò)自治系統(tǒng)。OSPF 協(xié)議從命名上看，顯然它有兩個(gè)基本特點(diǎn)。首先它是開放的，區(qū)別于CISCO 的 IGRP，EIGRP 協(xié)議，所以它被更廣泛的應(yīng)用。第二個(gè)特點(diǎn)就是 OSPF 協(xié)議使用最短路徑優(yōu)先（SPF）算法進(jìn)行路由計(jì)算工作。也就是我們所說的Dijkstra 算法。 OSPF 是自治系統(tǒng)內(nèi)部使用的鏈路狀態(tài)路由協(xié)議，OSPF 通過路由器之間通告鏈路狀態(tài)信息（LSA） ，來建立鏈路狀態(tài)數(shù)據(jù)庫，然后就可以根據(jù)SPF 算法計(jì)算出到每個(gè)結(jié)點(diǎn)的最短路徑樹了，進(jìn)而計(jì)算出路由。它的工作方式與我們熟悉的 RIP 和 IGRP 協(xié)議不同，OSPF 只須發(fā)送當(dāng)前結(jié)點(diǎn)到相鄰結(jié)點(diǎn)的路由結(jié)構(gòu)信息，而 RIP 和 IGRP 需要結(jié)點(diǎn)把自己保留的路由表或路由表的一部分全部發(fā)送到相鄰結(jié)點(diǎn)，相鄰結(jié)點(diǎn)根據(jù)這些信息更新自己的路由表，顯然 OSPF 協(xié)議發(fā)送的信息量少，而 RIP 發(fā)送的信息量較多。在通告的鏈路狀態(tài)結(jié)構(gòu)中，OSPF協(xié)議支持 IP 子網(wǎng)結(jié)構(gòu)。另外，OSPF 屬于鏈路狀態(tài)路由協(xié)議，是基于開放式的 26最短路徑優(yōu)先的算法，沒有環(huán)路問題，不會(huì)出現(xiàn)類似 RIP 等協(xié)議的分割問題帶來的效率影響后果。OSPF 使用 Hello 協(xié)議向相鄰的路由器定期發(fā)送一個(gè)問候包，缺省是 10 秒，并接收相鄰路由器發(fā)來的 hello 信息。這個(gè) hello 包不但可以幫助路由器在初始工作時(shí)了解相鄰結(jié)構(gòu)，而且可以在運(yùn)行中了解相鄰路由器的工作情況，如果相鄰的路由器關(guān)機(jī)了，或鏈路不通了，就不會(huì)從相應(yīng)鄰居那里收到回應(yīng) hello信息了, 從而能夠很快知道哪些路由器不能工作了，能夠?qū)W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化做到快速反應(yīng)。如果網(wǎng)絡(luò)支持多個(gè)路由器，通過 Hello 協(xié)議可以實(shí)現(xiàn)在一個(gè)網(wǎng)段的諸多 OSPF 路由器中選擇一個(gè)主控路由器 DR 和一個(gè)備份路由器 BDR，在進(jìn)行鏈路數(shù)據(jù)庫同步時(shí)，由主控路由器向整個(gè)網(wǎng)絡(luò)發(fā)送 LSA，以減少流量開銷。OSPF 允許將自治系統(tǒng)內(nèi)的網(wǎng)絡(luò)劃分成區(qū)域來管理。域間傳輸更加抽象的鏈路狀態(tài)宣告 LSA。這樣可以進(jìn)一步減少網(wǎng)絡(luò)開銷。由此 OSPF 路由器可分為： 內(nèi)部路由器：所有端口在同一區(qū)域的路由器，維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫。 區(qū)域邊界路由器(ABR)：具有連接多區(qū)域端口的路由器，一般作為一個(gè)區(qū)域的出口。ABR 為每一個(gè)所連接的區(qū)域建立鏈路狀態(tài)數(shù)據(jù)庫，負(fù)責(zé)將所連接區(qū)域的路由摘要信息發(fā)送到主干區(qū)域，而主干區(qū)域上的 ABR 則負(fù)責(zé)將這些信息發(fā)送到各個(gè)區(qū)域。 自治系統(tǒng)邊界路由器(ASBR)：至少擁有一個(gè)連接外部自治域網(wǎng)絡(luò)（如非 OSPF 的網(wǎng)絡(luò)）端口的路由器，負(fù)責(zé)將非 OSPF 網(wǎng)絡(luò)信息傳入 OSPF 網(wǎng)絡(luò)。OSPF 路由器之間交換的鏈路狀態(tài)公告(LSA)信息也相應(yīng)分為：LSA TYPE 1,router lsa：由每臺(tái)路由器為所屬的區(qū)域產(chǎn)生的 LSA，描述本區(qū)域路由器鏈路到該區(qū)域的狀態(tài)和代價(jià)。一個(gè)邊界路由器可能產(chǎn)生多個(gè)LSA TYPE 1。LSA TYPE 2,work lsa：由DR產(chǎn)生，含有連接某個(gè)區(qū)域路由器的鏈路狀態(tài)和代價(jià)信息。只有DR可以監(jiān)測(cè)該信息。LSA TYPE 3, summary ABR lsa：由ABR產(chǎn)生，含有ABR與本地內(nèi)部路由器連接信息，可以描述本區(qū)域到主干區(qū)域的鏈路信息。它通常傳送匯總的 27OSPF信息給其他網(wǎng)絡(luò)。LSA TYPE 4, summary ASBR lsa：由ABR產(chǎn)生，由主干區(qū)域發(fā)送到其他ABR, 含有ASBR的鏈路信息，與LSA TYPE 3的區(qū)別在于TYPE 4描述到OSPF網(wǎng)絡(luò)的外部路由，而TYPE 3則描述區(qū)域內(nèi)路由。LSA TYPE 5：由ASBR產(chǎn)生，含有關(guān)于自治域外的鏈路信息。除了存根區(qū)域（stub區(qū)域） ，LSA TYPE 5在整個(gè)網(wǎng)絡(luò)中發(fā)送。OSPF 的區(qū)域由骨干區(qū)域(域 0)連接，所有區(qū)域都必須在邏輯上連接。對(duì)于物理上分開的區(qū)域，我們提供虛連接 virtual link 來使域間具有邏輯上的連通性。virtual link 的兩端必須都是 ABR。OSPF 編址和路由匯總在OSPF網(wǎng)中最大化地址空間，有助于減少資源的占用和最大化路由匯總。設(shè)計(jì)一個(gè)OSPF網(wǎng)最有效的方式是一個(gè)層次式的編址模式，OSPF支持V L S M，這使得它成為層次網(wǎng)絡(luò)地址空間的規(guī)范。利用V L S M路由匯總可以在主干和A B R路由器發(fā)揮最大效力，定義OSPF網(wǎng)最優(yōu)路由匯總的指導(dǎo)原則是：■ 在子網(wǎng)范圍內(nèi)用一個(gè)連續(xù)區(qū)域定義網(wǎng)絡(luò)地址?！?使用VLSM尋址達(dá)到最大化地址空間。■ 定義的網(wǎng)絡(luò)地址空間允許膨脹的區(qū)域有進(jìn)一步的增長空間?！?設(shè)計(jì)網(wǎng)絡(luò)時(shí)要有為將來增加新的OSPF路由器的準(zhǔn)備。路由匯總增加了OSPF網(wǎng)絡(luò)的穩(wěn)定性，并且只在一個(gè)區(qū)域內(nèi)改變路由表。當(dāng)用路由器在OSPF網(wǎng)上工作時(shí)，路由匯總必須明確說明，這種說明需要以下信息：■ 決定主干網(wǎng)需要每一個(gè)區(qū)域的信息。■ 決定每一個(gè)區(qū)域需要的主干網(wǎng)和其他區(qū)域的路由信息。OSPF路由匯總發(fā)生在ABR，利用VLSM和位邊界匯總，可以對(duì)一個(gè)區(qū)域的網(wǎng)絡(luò)或子網(wǎng)地址匯總。由于OSPF路由匯總是明確的，網(wǎng)絡(luò)設(shè)計(jì)必須利用匯總定義為每一個(gè)OSPF的A B R進(jìn)行路由匯總。OSPF區(qū)域提供四種類型路由信息：■ 缺?。―efault）：報(bào)文的缺省路由在路由表中不能找到，報(bào)文的目標(biāo)為I P網(wǎng)或子網(wǎng)。 28■ 區(qū)域內(nèi)路由（Intraarea routes）：在一個(gè)給定區(qū)域內(nèi)的對(duì)于網(wǎng)絡(luò)或子網(wǎng)的路由。■ 區(qū)域間路由(Interarea routes）：此信息提供了在一個(gè)OSPF的自治系統(tǒng)中的不同區(qū)域，區(qū)域間有明確的從這個(gè)網(wǎng)或子網(wǎng)到另一網(wǎng)或子網(wǎng)的路由器?！?外部路由(External routes）：在自治系統(tǒng)之間交換路由信息從而得到的路由，這些路由被送往OSPF自治系統(tǒng)之外。OSPF 路由選擇OSPF的路由選擇標(biāo)準(zhǔn)是花費(fèi)cost，而cost的計(jì)算標(biāo)準(zhǔn)是帶寬。在OSPF下，介質(zhì)的帶寬由所用介質(zhì)類型決定，并且只用輸出接口的流量來計(jì)算花費(fèi)。對(duì)一個(gè)鏈路的帶寬度量值是和鏈路所用介質(zhì)支持的帶寬相反，帶寬的刻度是以100Mbps介質(zhì)的度量為標(biāo)準(zhǔn)1。對(duì)于一條給定的路由的總體的度量值是這一路由上所用的所有鏈路的帶寬度量值的和。介質(zhì)支持帶寬超過100Mbps時(shí)缺省情況度量值為1。當(dāng)一個(gè)配置的連接到路由器上的介質(zhì)，其提供的速度高于100Mbps，一個(gè)比1要大的參考值就要定義，這樣可以指出更高速率的介質(zhì)類型， OSPF路由匯總用這個(gè)標(biāo)準(zhǔn)作為選擇匯總的路由當(dāng)中最好的路由，并且把這一度量值作為匯總的入口。OSPF的外部路由被分為類型1或類型2，對(duì)于外部路由類型1的度量標(biāo)準(zhǔn)是OSPF內(nèi)部和外部度量值之和，對(duì)于外部路由類型2的度量標(biāo)準(zhǔn)只是外部度量值。這種類型的度量標(biāo)準(zhǔn)提供了一個(gè)連接到外部資源的更真實(shí)的度量值。有效性高的網(wǎng)絡(luò)設(shè)計(jì)需要冗余路徑和冗余路由器，當(dāng)用等代價(jià)路徑去做高級(jí)的負(fù)載平衡時(shí)，冗余是非常有用的。港灣設(shè)備支持多條路徑的負(fù)載均擔(dān)。OSPF 收斂性由于OSPF是基于鏈路狀態(tài)的路由協(xié)議，當(dāng)網(wǎng)絡(luò)拓?fù)渥兓瘯r(shí)，它可以快速調(diào)整。OSPF檢測(cè)拓?fù)渥兓峭ㄟ^接口狀態(tài)，或者在一個(gè)給定的時(shí)間內(nèi)沒有收到所連接的鄰居的一個(gè)響應(yīng)OSPF HELLO報(bào)文。OSPF在一個(gè)廣播的網(wǎng)內(nèi)（如 L A N）定義的缺省時(shí)間為4 0 s，對(duì)于非廣播網(wǎng)（如WA N）定義的缺省時(shí)間為2 m i n。當(dāng)路由器發(fā)現(xiàn)了一個(gè)鏈路失效，并且向一個(gè)區(qū)域內(nèi)的所有路由器發(fā)送鏈路狀態(tài)報(bào)文，然后路由開始重計(jì)算，這時(shí)每一個(gè)路由器都要計(jì)算它路由表中的所有路 29由。OSPF 可擴(kuò)展性O(shè)SPF中