【正文】 手段，實現(xiàn)各系統(tǒng)之間的信息交流和信息資源共享，實現(xiàn)內(nèi)部局域網(wǎng)與 Inter 以及區(qū)衛(wèi)生所專網(wǎng)的連接。一 . 計 算 機 局 域 網(wǎng)“網(wǎng)絡(luò)就是計算機” ，計算機網(wǎng)絡(luò)已經(jīng)在企業(yè)、事業(yè)、學(xué)校、政府機關(guān)等地方成為不可缺少的工具。 ”個體指計算機硬件和軟件、方法或通路指連接與傳輸媒介、規(guī)則指網(wǎng)絡(luò)通信協(xié)議。1. 計算機網(wǎng)絡(luò)的分類網(wǎng)絡(luò)按照傳輸距離可以分為一下 3 種：1) 局域網(wǎng)（Local Area Networks，簡稱 LAN） 。局域網(wǎng)的優(yōu)點是傳輸速率高，往往可以達(dá)到百兆或千兆，局域網(wǎng)的另一個優(yōu)點是傳輸信號質(zhì)量高，誤碼率低，傳輸時延小。廣域網(wǎng)也成為遠(yuǎn)程網(wǎng)，傳輸距離為幾百公里甚至更遠(yuǎn)，一般跨城市甚至國家。如何在廣域網(wǎng)上保證網(wǎng)絡(luò)訪問的安全，是目前網(wǎng)絡(luò)技術(shù)的關(guān)鍵和核心技術(shù)領(lǐng)域之一。城域網(wǎng)介于 LAN 和 WAN 之間，傳輸距離由幾公里到十幾公里， “城域網(wǎng)”可以理解為一個城市范圍內(nèi)的網(wǎng)絡(luò)，事實上目前的城域網(wǎng)通常以高速環(huán)網(wǎng)為核3心架構(gòu)一個城市的主干高速通信網(wǎng)。計算機網(wǎng)絡(luò)的拓?fù)溆卸喾N類型，并且是隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展而不斷涌現(xiàn)與完善。在總線電纜上任何一處的松動和脫離都會引起網(wǎng)絡(luò)無法運行，且由于布線問題故障的定位及修復(fù)比較困難，維護(hù)比較困難圖 總線型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)2) 星形（Star）星型拓?fù)渚W(wǎng)絡(luò)以中央節(jié)點為中心，由中央節(jié)點與其他節(jié)點相連接組成，如圖 所示。圖 星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3) 樹形（Tree ）4當(dāng)一臺集線器或交換機的端口數(shù)量不足以連接所有的計算機或者需要聯(lián)網(wǎng)的計算機分布比較分散，可以再串聯(lián)第二級星型網(wǎng)絡(luò)，如圖 所示，這就是樹形拓?fù)浣Y(jié)構(gòu)。環(huán)網(wǎng)上的任何一個節(jié)點的故障都會影響整個網(wǎng)絡(luò)傳輸。它被分成 7 層，這 7 個層次分別定義了不同的功能。OSI 參考模型及工作過程如圖 所示。2. IP 地址和 MAC 地址 IP 地址1) IP 地址網(wǎng)絡(luò)地址唯一指定了每一個網(wǎng)絡(luò)，同一網(wǎng)絡(luò)中的每臺計算機都共享相同的網(wǎng)絡(luò)地址，并用它作為自己 IP 地址的一部分。主機地址是在一個網(wǎng)絡(luò)中用來標(biāo)識每臺計算機的，它是一個唯一的標(biāo)識符。IP 地址分為 A、B、C 、D 、E 五類，圖 解釋了這 5 個網(wǎng)絡(luò)的類別關(guān)系，6表 說明了這幾類地址的范圍及掩碼。地址類 被保留的地址空間A 類 B 類 C 類 表 私有地址列表3) 特殊 IP 地址在 IP 地址中除了定義了私有 IP 地址外，還定義了如下 IP 地址在網(wǎng)絡(luò)通信時所表示的特殊意義，這些地址不可用于一般的 IP 地址配置。網(wǎng) 絡(luò) 網(wǎng) 絡(luò)網(wǎng) 絡(luò)網(wǎng) 絡(luò)網(wǎng) 絡(luò)網(wǎng) 絡(luò) 主 機 主 機主 機主 機主 機主 機8位 8位8位8位A類E類D類C類B類 組 播研 究7：在路由表中表明 IP 廣播地址。 MAC 地址每塊網(wǎng)卡出廠時，就被賦予唯一的物理地址作為標(biāo)識，這樣的物理地址稱為 MAC 地址。3. 網(wǎng)絡(luò)協(xié)議網(wǎng)絡(luò)協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡(luò)設(shè)備必須安裝或設(shè)置各種網(wǎng)絡(luò)協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送，在校園局域網(wǎng)上用到的協(xié)議主要有，ICP/IP 協(xié)議、IPX/SPX 協(xié)議等。TCP/IP 是一種分層協(xié)議，它共被分為個 4 層次，大約包含近期 100個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實現(xiàn)計算機系統(tǒng)之間的互連。TCP/IP 協(xié)議組模型如圖 ：應(yīng)用層T e l n e t網(wǎng)絡(luò)接口互聯(lián)層傳輸層S M T PF T P D N S S N M PR I PT C P U D PA R PI PI C M PI G M PE t h e r n e t A T MT o k e n R i n g F r a m e R e l a yT C P / I P p r o t o c o l s u i t e圖 TCP/IP 協(xié)議組1) TCP 協(xié)議TCP 協(xié)議可以在網(wǎng)絡(luò)用戶啟動的軟件應(yīng)用進(jìn)程之間建立通信會話，并實現(xiàn)數(shù)據(jù)流量控制和錯誤檢測，這樣就可以在不可靠的網(wǎng)絡(luò)上提供可靠的端到端數(shù)據(jù)傳輸。UDP 不進(jìn)行流量控制，沒有序列或者確認(rèn)，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關(guān)鍵的網(wǎng)絡(luò)狀態(tài)消息。通過 IP 編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網(wǎng)絡(luò)或者子網(wǎng)。3) Tel 協(xié)議Tel 協(xié)議允許一個用戶在遠(yuǎn)程客戶端采用虛擬終端的方式訪問另一臺機器上的資源。FTP 允許執(zhí)行對目錄和文件的訪問，并且可以完成特定類型的目錄操作，例如將文件重新定位到不同的目錄中。SMTP 用來發(fā)送郵件，POP3 用來接收郵件。7) DHCP 協(xié)議動態(tài)主機配置協(xié)議（DHCP）可以為接入網(wǎng)絡(luò)的客戶計算機動態(tài)分配 IP 地址，它可以工作在小型甚至超大型網(wǎng)絡(luò)環(huán)境中，并使得對這些網(wǎng)絡(luò)的管理和操作更為簡單、更為容易。隨著局域網(wǎng)技術(shù)的發(fā)展，IEEE802 系列標(biāo)準(zhǔn)在不斷的擴(kuò)大和發(fā)展，目前已經(jīng)定義并發(fā)布如下標(biāo)準(zhǔn)。 標(biāo)準(zhǔn)：定義了 OSI 的數(shù)據(jù)鏈路層的兩個子層的功能。 標(biāo)準(zhǔn)：定義了令牌總線 MAC 子層和物理層規(guī)范。 標(biāo)準(zhǔn)：定義了城域網(wǎng) MAC 子層和物理層規(guī)范。 標(biāo)準(zhǔn)：定義了光纖傳輸技術(shù)。 標(biāo)準(zhǔn)：定義了可互操作的局域網(wǎng)安全規(guī)范。 標(biāo)準(zhǔn)：定義了新型高速局域網(wǎng)技術(shù)。1. 網(wǎng)卡 網(wǎng)卡（簡稱 NIC） ，也網(wǎng)絡(luò)適配卡或網(wǎng)絡(luò)接口卡，網(wǎng)卡作為計算機與網(wǎng)絡(luò)連接的接口，是不可缺少的網(wǎng)絡(luò)設(shè)備之一。每塊網(wǎng)卡上都有一個世界惟一的 ID 號，也就是 MAC（Media Access Control ）地址，計算機在連入網(wǎng)絡(luò)之后，就是依靠這個ID 號才能實現(xiàn)在不同計算機之間的通信和信息交換。如根據(jù)帶寬來分的話，有 10Mbit/s 網(wǎng)卡、10/100Mit/s 自適應(yīng)網(wǎng)卡和 1000Mbit/s網(wǎng)卡；如按總線分，有 ISA 總線、PCI 總線、PCMCIA 總線網(wǎng)卡等。作為高性能的集線設(shè)備，隨著價格的不斷降低，交換機已逐步取代了集線器而成為集線設(shè)備的首選。交換機具有很強的網(wǎng)絡(luò)管理功能，它能自動根據(jù)網(wǎng)絡(luò)通信的使用情況來動態(tài)管理網(wǎng)絡(luò)，因為交換機采用了獨享網(wǎng)絡(luò)帶寬的設(shè)計。根據(jù)路由設(shè)備的組成可以分為軟路由和硬路由。路由器工作在網(wǎng)絡(luò)層，因此它可以在網(wǎng)絡(luò)層交換和路由數(shù)據(jù)幀，訪問的是對方的網(wǎng)絡(luò)地址。4. 傳輸介質(zhì) 網(wǎng)絡(luò)要求把各個獨立的計算機連接起來的，這樣就必然要求有一種介質(zhì)將計算機連接起來，這就是傳輸介質(zhì)，局域網(wǎng)的傳輸介質(zhì)可分為有線介質(zhì)和無線介質(zhì)兩種，一般情況下都是用有線介質(zhì)的，因為它的穩(wěn)定性高，連接可靠，無線介質(zhì)只是在特殊環(huán)境下才使用的傳輸方式。 同軸電纜同軸電纜以硬銅線為芯，外包一層絕緣材料。同軸電纜有許多種不同的規(guī)格，最常用是細(xì)同軸電纜和粗同軸電纜。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠(yuǎn)的距離。雙絞線由兩根具有絕緣保護(hù)層的銅導(dǎo)線組成。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。 光纖 光纖是一種直接為 50~100um 的柔軟的、能傳導(dǎo)光波的介質(zhì)，一般由玻璃制造。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。12第 二 章 景 山 衛(wèi) 生 局 局 域 網(wǎng) 的 建 設(shè)一 . 項 目 背 景景山衛(wèi)生局新辦公樓為多層建筑群，地上 5 層、地下 1 層。網(wǎng)絡(luò)系統(tǒng)的基本任務(wù)是為用戶提供先進(jìn)的辦公、數(shù)據(jù)共享、信息傳播和學(xué)術(shù)交流手段，實現(xiàn)各系統(tǒng)之間的信息交流和信息資源共享，實現(xiàn)內(nèi)部局域網(wǎng)與 Inter 以及區(qū)衛(wèi)生所專網(wǎng)的連接。二 . 需 求 分 析景山衛(wèi)生局局域網(wǎng)建成后將以局域網(wǎng)為基礎(chǔ)，承載衛(wèi)生局內(nèi)部 OA 系統(tǒng)、衛(wèi)生應(yīng)急指揮系統(tǒng)、疾病控制與疾病信息傳遞系統(tǒng)、視頻監(jiān)控系統(tǒng)、視頻會議系統(tǒng)、遠(yuǎn)程教學(xué)系統(tǒng)、IT 服務(wù)與管理系統(tǒng)及對外網(wǎng)站。系統(tǒng)結(jié)構(gòu)如圖 綜合布線局域網(wǎng)絡(luò)O A系統(tǒng)衛(wèi)生應(yīng)急指揮系統(tǒng)疾病控制與疾病信息傳遞系統(tǒng)視頻監(jiān)控系統(tǒng)視頻會議系統(tǒng)遠(yuǎn)程教學(xué)系統(tǒng)I T服務(wù)與管理系統(tǒng)對外網(wǎng)站圖 衛(wèi)生部信息系統(tǒng)結(jié)構(gòu)圖鑒于以上用戶需求，此次局域網(wǎng)建設(shè)需達(dá)到一下要求：? 確保網(wǎng)絡(luò)的高可用性、高可靠性和高效率，核心交換機和匯聚層交換機13具有高交換速率、大吞吐量，保證衛(wèi)生局的各項工作穩(wěn)定正常。? 確保為用戶提供針對不同信息系統(tǒng)和網(wǎng)絡(luò)安全等級需要的綜合性企業(yè)安全策略和計劃。三 . 設(shè) 計 思 路1. 總體設(shè)計原則網(wǎng)絡(luò)系統(tǒng)的建設(shè)和設(shè)計，要從景山衛(wèi)生局信息化建設(shè)的實際需要出發(fā)，緊緊圍繞衛(wèi)生醫(yī)療業(yè)務(wù)系統(tǒng)的應(yīng)用需求和發(fā)展；采用成熟的先進(jìn)技術(shù)，把握主流技術(shù)的發(fā)展方向，不僅要考慮到將來的需求，還將為系統(tǒng)的擴(kuò)充留有余地?；谝陨峡紤]我們在網(wǎng)絡(luò)設(shè)計時遵循以下原則： 先進(jìn)性原則為保證衛(wèi)生局網(wǎng)絡(luò)建設(shè)方案適應(yīng)信息化的發(fā)展，達(dá)到規(guī)劃的預(yù)期目的，必須保證技術(shù)的先進(jìn)性，特別是核心交換機和匯聚層交換機具有很高的交換速率和大吞吐量，必須保證景山衛(wèi)生局的各項工作穩(wěn)定正常。 安全性原則安全是網(wǎng)絡(luò)的基礎(chǔ)，也是保障正常工作的前提，所以網(wǎng)絡(luò)建設(shè)方案的核心是安全第一，本次網(wǎng)絡(luò)建設(shè)應(yīng)著力于網(wǎng)絡(luò)的安全性，如禁止非法接入、雙機熱備、負(fù)載均衡、VLAN 的設(shè)置等，在網(wǎng)絡(luò)設(shè)計及產(chǎn)品選擇上注重安全性，構(gòu)筑一道全方位的立體安全屏障。2. 總體功能。有接通 Inter 公網(wǎng)和區(qū)衛(wèi)生系統(tǒng)專網(wǎng)的端口。、具備傳輸語音、視頻、數(shù)據(jù)的三網(wǎng)合一功能，因此需要較高的 QoS 性能；、會議和學(xué)術(shù)交流、辦公自動化、物業(yè)管理、互聯(lián)網(wǎng)應(yīng)用(諸如遠(yuǎn)程教學(xué)、流媒體應(yīng)用、音視頻會議、FTP 以及遠(yuǎn)程信息交換)及文體娛樂等方面的應(yīng)用。涉及的網(wǎng)絡(luò)功能包括網(wǎng)絡(luò)運行管理、網(wǎng)絡(luò)信息管理、網(wǎng)絡(luò)安全管理、局域網(wǎng)數(shù)據(jù)中心四個方面。并要預(yù)留 80kva 電源線纜以備日后擴(kuò)容需要。151. 網(wǎng)絡(luò)拓?fù)鋱D圖 網(wǎng)絡(luò)拓?fù)鋱D2. 網(wǎng)絡(luò)層次整個景山衛(wèi)生局局域網(wǎng)可劃分為以下二部分： 核心層選用思科 4507 交換機作為核心交換機，使用光纖連接到匯聚層交換機，以實現(xiàn)核心設(shè)備的高冗余性、高可靠性及網(wǎng)絡(luò)的高擴(kuò)展性的需求。16設(shè)備選擇：選用思科 4507 交換機作為構(gòu)成局域網(wǎng)的核心，以達(dá)到高可靠性的連接，配備 11 個光纖模塊與接入交換機相連。接入層功能：承載終端設(shè)備所有數(shù)據(jù)流量的轉(zhuǎn)發(fā)及與中心設(shè)備的數(shù)據(jù)交互。3. 交換機的具體部署 信息點分布序號 樓層 數(shù)據(jù)信息點 實際使用點數(shù) 光纖點北辦公樓1 4F 94 46 12 3F 94 46 13 2F 94 46 14 1F 94 46 15 1F 10 10 1南辦公樓1 5F 62 40 12 4F 62 40 13 3F 62 40 14 2F 62 40 15 1F 69 40 16 1F 3 3 1合計數(shù)據(jù)點 706 397 11表 信息點分布 交換機部署1) 網(wǎng)絡(luò)機柜17在南樓、北樓每層豎井內(nèi)各放置一架標(biāo)準(zhǔn) 19 英寸網(wǎng)絡(luò)機柜，機柜內(nèi)放置100 端口配線架。在南、北樓地下一層豎井內(nèi)網(wǎng)絡(luò)機柜中各安裝 1 臺 24 口思科 2960 交換機，每臺交換機配備 1 個單模光模塊與核心交換機連接，滿足每層信息點數(shù)量的需求。4. 局域網(wǎng)中其他設(shè)備及軟件其他網(wǎng)絡(luò)設(shè)備包括路由器、防火墻、服務(wù)器及相關(guān)軟件等，均放置在南樓2 層網(wǎng)絡(luò)機房內(nèi) 路由器路由器采用思科 2821 設(shè)備最為局域網(wǎng)的出口，支持靜態(tài)路由、RIP、OSPF等路由協(xié)議，支持多條撥號訪問、多種接入方式。 防火墻采用 ASA5520 設(shè)備作為網(wǎng)絡(luò)防火墻，配置 100M 防火墻，吞吐量不低于100Mbps，具備 NAS、VPN（吞吐量不低于 40Mbps） ，圖形化配置方式，有日志管理功能。服務(wù)器采用惠普 ML150 設(shè)備。5. VLAN 劃分在網(wǎng)絡(luò)內(nèi)進(jìn)行 VLAN 劃分的目的主要是為了抑制廣播風(fēng)暴，提高網(wǎng)絡(luò)運行效率，同時還可以根據(jù)需求對不同的類型的用戶進(jìn)行隔離，配合相應(yīng)的地址分配策略，提高網(wǎng)絡(luò)安全性。 VLAN 劃分的四種策略1) 基于端口的 VLAN 劃分基于端口的 VLAN 劃分是最簡單、最有效的 VLAN 劃分方法。2) 基于 MAC 地址的 VLAN基于 MAC 地址的 VLAN 劃分其實就是基于工作站、服務(wù)器的 VLAN 組合。3) 基于路由的 VLAN 劃分路由協(xié)議工作在七層協(xié)議的第三層網(wǎng)絡(luò)層，即基于 IP 和 IPX 協(xié)議的轉(zhuǎn)發(fā)。4) 基于策略的 VLAN 劃分基于策略的 VLAN 劃分是一種比較有效直接的方式。 景山衛(wèi)生局 VLAN 劃分1) 公共區(qū)域，例如圖書館、會客室、教室、會議室、多功能廳等，根據(jù)端口進(jìn)行 VLAN 劃分；2) 辦公區(qū)域根據(jù)不同的部門劃入為不同的 VLAN；3) 為敏感部門和個人，如財務(wù)部、酒店管理人員等劃分獨立 VLAN；194) 核心機房中的服務(wù)器等設(shè)備根據(jù)各自的 MAC 地址劃分 VLAN。匯聚交換機起三層功能，可以根據(jù) VLAN 不同的 IP 地址池，這樣每個 VLAN 對應(yīng)一個 IP 地址段，不同 VLAN 的用戶 IP 地址不在同一個子網(wǎng)；也可以多個 VLAN 共用一個 IP 地址池。每個員工分配固定的 IP 地址和賬號/密碼，對于固定位置的用戶，還可以采用 IP 地址/MAC 地址和交換機端口綁定的方式，提高安全性。7. 設(shè)備選型 核心交換機思科 4500 系列交換機將無阻塞第二到第四層交換與最優(yōu)控制相集成，有助于部署關(guān)鍵業(yè)務(wù)