1、本页为作品封面,下载后可以自由编辑删除,欢迎下载! 精 品文档1【精品word文档、可以自由编辑!】网络工程实习医院局域网设计方案班级:网络12-1班姓名:向丽学号:3120757134目录一、概述3二、需求分析.31.1用户需求.31.2设备需求.3三、技术调研.43.1 支持VLAN43.2负载均衡.43.3 网络技术的使用原则.43.4网络传输技术43.5网络互连技术43.6网络接入技术53.7网络安全技术53.8网络管理技术53.9 防火墙系统53.10动态路由分类5四、网络设计方案64.1 网络拓扑结构.64.2网络架构描述64.3交换机、路由器、服务器、防火墙、VPN等设备选型64
2、.4IP地址配置方案7五、配置命令及相关截图8六、连通测试.16七、心得体会.17一、 概述 选择一家中规模的医院,首先要选择一家中规模的网络,通过实地调查等形式了解医院的组织结构、网络建设的背景,明确网络需求和网络性能的评价标准。具体地,包括网络建设的目的与原则、投资规模、现有网络的问题与不足等;网络系统中所包含的信息点的数量、分布及信息流量、应用程序的类型及对QoS的要求、是否需要提供广域网接入和网络安全上的考虑因素等。二、 需求分析1.1 用户需求某医院需建设两个相互独立的网络:一个为内部网络,用于医务管理系统;一个为信息网络,连接Internet。每间房间至少布设两个信息点,一个为内部
3、网,一个为信息网。1.门诊大楼1幢(11层),一楼为挂号、药房、收费等10个窗口科室,每个科室布设两个信息点,大厅安装5台服务器终端,一台用于大屏幕显示,4台为触摸屏式医务服务导航。2至11楼为诊断科室,每层楼有20间科室,每间科室布设2个信息点。2.病房大楼1幢(11层),每层有40间病房,4间值班室,每间值班室布设两个信息点,每间病房布设一个信息网的信息点。3.行政大楼1幢(7层),每层10个办公室,每间办公室布设两个信息点。网络中心位于大楼一层,机房布设20个信息点。4.应用系统支持:医院对外发表信息的网站,内部网络的医务管理系统,并配备磁盘阵列和数据备份系统。在本项目中需要搭建的网络是
4、一个先进的、高效的、安全的、可靠的、实用的现代化网络。 1.2 设备需求VPN 设备 1 台,路由器 5 台,三层交换机 1 台,二层交换机18台,大厅服务器一台, 触摸屏式医务服务导航服务器 4台(简化为1台服务器),医务管理服务器 21台,数据备份服务器1台,(简化为1台服务器)PC 若干; 三、 技术调研3.1 支持 VLAN有人说过, “网路交换技术的灵魂是 VLAN” ,因为 VLAN 能带来诸如广播控制、网路安全、性能提高、管理容易等优点。VLAN 划分的技术通常有如下三种方式: Port Basis: 交换机或路由器的一个或多个端口划分在一个 VLAN 之中。 Network A
5、ddress Basis: 这种方式是以网络层的地址为划分 VLAN 的基础,由此可用不同的网路协议划分不同的 VLAN。 3.2 负载均衡与 LAN 相比,广域网带宽远小于 LAN,为了充分有效地利用广域网和局域网的带宽, 让数据流合理地分配到 2 条线路或两台设备上,是保证该网能成为高速 数据传输网络的关键。3.3 网络技术的使用原则选用的网络技术要具有先进性。但也要注意实用成熟和安全可靠。要防止出现网络刚刚建成技术就已落后的情况。同时也要注意防止由于技术过于先进,国内外还没有人用过或应用甚少,使得出现问题难以解决。网络结构、网络硬件平台、软件平台、开发工具、应用软件都应选择具有较长的生命
6、周期,保护用户的投资效益。网络安全性、 易管理易操作性、技术先进性、 标准化、 可扩展性 、可用性、 兼容性 、可靠性 、冗余性 、容错性。3.4网络传输技术网络传输是指用一系列的线路(光纤,双绞线等)经过电路的调整变化依据网络传输协议来进行通信的过程。其中网络传输需要介质,也就是网络中发送方与接收方之间的物理通路,它对网络的数据通信具有一定的影响。常用的传输介质有:双绞线、同轴电缆、光纤、无线传输媒介。网络协议即网络中(包括互联网)传递、管理信息的一些规范。如同人与人之间相互交流是需要遵循一定的规矩一样,计算机之间的相互通信需要共同遵守一定的规则,这些规则就称为网络协议。网络协议通常被分为几
7、个层次,通信双方只有在共同的层次间才能相互联系。3.5网络互连技术网络互联是指将两个以上的计算机网络,通过一定的方法,用一种或多种通信处理设备相互连接起来,以构成更大的网络系统。网络互联的形式有局域网与局域网,局域网与广域网,局域网与广域网与局域网,广域网与广域网的互联四种。网络互联是将分布在不同地理位置的网络、网络设备连接起来,构成更大规模的网络系统,以实现网络的数据资源共享。相互连接的网络可以是同种类型的网络,也可以是运行不同网络协议的异型系统。3.6网络接入技术两个用户端设备在发送和接收数据之前,通过网络建立的逻辑链路虚电路中使用的所谓逻辑链接,是在两个节点的对等层通信协议之间建立的一种
8、连接。一旦连接建立之后,就在网络中保持已建立的数据通路,用户发送的已分组数据将按顺序通过网络到达终点。当用户不需要发送和接收数据时,清楚连接。3.7网络安全技术含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同 VLAN 内的报文在传输时是相互隔离的,即一个 VLAN 内的用户不能和其它 VLAN 内的用户直接通信,如果不同 VLAN 要进行通信,则需要通过路由器或三层交换机等三层设备。增强局域网的安全性。3.8网络管理技术网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几
9、条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。3.9 防火墙系统INTERNET 的安全技术,首先是采用防火墙(Firewall) 。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。3.10动态路由分类根据是否在一个自治系统内部使用,路由协议分为内部网关路由协议和外部路由网关协议。内部网关协议:在自治系统内交换路由选择信息的路由协议。常用的因特网内部网关协议有链路状态协议和距离矢量协议。外部网关协议:在自治系统之间减缓路由选择的互联网络协议。包括外
10、部网关协议,和边界路由协议。(四)网络设计方案4.1 网络拓扑结构图4.2网络架构描述1、把门诊大楼交换机设为VTP server,1楼、2-11楼的交换机设为VTP client,并且要求client 交换机能学习到server 上的vlan。2、在门诊大楼路由器上做单臂路由,保证各区都能相互访问。3、在门诊大楼路由器上做NAT(这里使用PAT),保证内部,1楼、2-11楼主机访问外部主机的时候统一使用地址转换。5、在核心交换机上设置访问控制列表,限制门诊大楼和病房大楼相互访问,但它们都可以访问行政大楼。6、保证内部、外部所有主机都能访问服务器。7、 保证内部所有主机都能访问外部主机。4.3
11、交换机、路由器、服务器、防火墙、VPN等设备选型核心层为一台Cisco Catalyst 3560交换机,内部路由模块与交换引擎提供2Gbit/s的全双工速率,32端口的10/100兆比特以太网端口提供百兆全双工通信。汇聚层采用Cisco 2811路由器绑定Catalyst2960交换机来模拟三层交换的汇聚功能,通过在路由器的百兆口上划分子接口来提供接入层VLAN间的通信,从而减小接入层的广播域,提高网络的效率。接入层采用Cisco Catalyst 2960交换机,根据功能以及位置的不同,面向用户划分不同的VLAN,使网络变得更加清晰,同时便于管理。边界通过一台Cisco Generic路由
12、器连接到外部,这台路由器上配置了相应的策略路由以及访问控制列表,外部环境也是由一台Cisco Generic路由器代替,其快速以太网口直连一台主机。服务器群由一台与三层交换机直连的主机代替,通过在边界路由器和汇聚层路由器上放置适当的访问控制列表来控制非友好用户对服务器的访问。本网络环境选用rip作为三层路由协议,建立相对稳定的路由环境,减少网络的收敛时间,采用802.1q VLAN技术在二层划分VLAN,减小广播域,并通过VTP协议来建立共享式的VLAN环境,便于VLAN的管理。通过在学生楼的汇聚点上采用NAT技术来利用有限的IP地址资源满足全部学生上网的需求。而且在适当的位置加入了访问控制列
13、表,以用来限制部分用户的访问权限,增强网络的安全性。4.4IP地址配置方案门诊大楼PC机IP地址:PC1_vlan10 IP:172.19.0.2/24 网关:172.19.0.1PC2_vlan20 IP:172.19.8.2/24 网关:172.19.8.1PC9_vlan30 IP:172.19.16.2/24 网关:172.19.16.1PC10_vlan40 IP:172.19.24.2/24 网关:172.19.24.1服务器的IP地址IP:172.19.32.2/24 网关:172.19.32.1门诊大楼路由器端口IP地址f0/0 IP:192.168.2.2/24f0/0.10
14、 IP: 172.19.0.1/24f0/0.20 IP: 172.19.8.1/24f0/0.30 IP: 172.19.16.1/24f0/0.40 IP: 172.19.24.1/24f0/0.50 IP: 172.19.32.1/24病房大楼PC机IP地址:PC0_vlan10 IP:211.87.184.2/24 网关:211.87.184.1PC1_vlan20 IP:211.87.185.2/24 网关:211.87.185.1PC7_vlan30 IP:211.87.182.2/24 网关:211.87.182.1PC8_vlan40 IP:211.87.183.2/24 网关
15、:211.87.183.1病房大楼路由器端口IP地址f0/0 IP:192.168.3.2/24 f1/0.10 IP: 211.87.184.1/24f1/0.20 IP: 211.87.185.1/24f1/0.30 IP: 211.87.182.1/24f1/0.40 IP: 211.87.183.1/24行政大楼主机IP地址PC2_vlan10 IP:210.87.186.2/24 网关:210.87.186.1PC3_vlan20 IP:210.87.187.2/24 网关:210.87.187.1PC5_vlan30 IP:210.87.184.2/24 网关:210.87.184
16、.1PC6_vlan40 IP:210.87.185.2/24 网关:210.87.185.1行政大楼路由器端口IP地址f 1/0 IP:192.168.3.2/24 f0/0.10 IP: 210.87.186.1/24f0/0.20 IP: 210.87.187.1/24f0/0.30 IP: 210.87.184.1/24f0/0.40 IP: 210.87.185.1/24核心层交换机的IP地址Vlan 55 IP:211.87.178.65/24Vlan 66 IP:211.87.179.5/24Vlan 100 IP:192.168.2.1/24Vlan 200 IP:192.16
17、8.3.1/24Vlan 300 IP:192.168.4.1/24服务器的IP地址IP:211.87.178.66/24 网关:211.87.178.65边界路由器的IP地址F0/0 IP:211.87.179.6/24 S2/0 IP:190.10.10.5/24外部路由器的IP地址S2/0 IP:190.10.10.6/24F0/0 IP:202.10.10.1/24 外部主机IP地址IP:202.10.10.2/24 网关:202.10.10.1五、配置命令及相关截图1、用Packet Tracer 5.0 模拟器画出拓扑图 2、为各个设备添加IP地址3、首先配置VTP(1)VTP原理
18、:VTP(Vlan Trunking Protocol)是VLAN传输协议,在含有多个交换机的网络中,可以将中心交换机的VLAN信息发送到下级的交换机中。中心交换机设置为VTP Server,下级交换机设置为VTP Client。VTP Client要能学习到VTP Server的VLAN信息,要求在同一个VTP域。(也就是说交换机server创建vlan,client的交换机全部学习得到,主要用于vlan的统一管理)详细配置如下:(门诊大楼、病房大楼、行政大楼的VTP、单臂路由、NAT配置是一样的方式,我在这仅介绍门诊大楼的配置。)(2) 把门诊大楼交换机设为server(4)把门诊大楼一楼
19、(一楼10个窗口用2个窗口代替了分别为挂号、药房)、2-11楼(2-11楼用一层楼代替了)的交换机设为client (6)把server交换机的所以端口设置为trunk(7)把client交换机连接server交换机的 端口设为trunk(1-11层门诊大楼交换机配置都一样这里以一区为例)(8)在VTP server上创建5个vlan :vlan10、vlan20、vlan30、vlan40、50(9) 在client交换机上查看是否学习到vlan(11) 把门诊大楼一楼挂号 PC 添加到vlan 10 把门诊大楼2-11楼诊断科室 PC 添加到vlan 20把门诊大楼一楼药房 PC 添加到v
20、lan 30把门诊大楼2-11楼诊断科室 PC 添加到vlan 404、 门诊大楼路由器的配置 在该路由器上要配置的有:单臂路由的配置、NAT的配置、ACL访问控制列表的配置。(1) 先简单介绍一下这几种配置的用途:1) 单臂路由的功能是实现不同vlan 间PC的通信2) NAT的功能是局域网所有的PC共用一个外部合法的IP上网3) ACL的功能是限制某台PC访问某个网络或者某个PC(或者限制某个网络访问某个网络或者某个PC)(2) 开始配置单臂路由(4)配置NAT5、三层交换机的配置在三层交换机上创建三个vlan: vlan 55、vlan66、vlan100 vlan200、vlan300
21、分别给这三个vlan 添加IP地址,最后把接口添加到相应vlan。双击进入核心层交换机配置模式(1)、创建vlan并添加IP(3)、把接口添加到vlan(4)、给三层交换机添加动态路由协议rip(6)、在门诊大楼上启用rip 路由协议6、边界路由器和外部路由器的配置进入边界路由器命令行配置进入外部路由器命令行配置用门诊大楼ping应用系统服务器用外部主机ping应用系统服务器用门诊大楼ping行政大楼和大厅服务器用病房大楼ping外部主机和应用系统服务器六、 心得体会通过本课程的学习中,我主要了解了交换机和路由器的有关配置。主要通过 实验和课余实践操作, 掌握了交换机上 vlan 的划分和路由器上 NAT (网络地址转 换)配置。网络设备的配置与管理的难点,应该在原理的理解上,因为要设计一 个可以高效安全互连通信的网络,使用什么设备,配置后,错误检查,都需要对 各种网络互连设备的工作原理和支持的通信协议有一定的了解。 在实验中就有深刻的体会,错误检查,是一个很麻烦的过程,在你熟悉自己网 络中的各设备配置的基础上, 还要根据设备工作原理和各种协议的内容作用进行 分析,记得最后一堂实验课中给老师检查综合实验时,出错了,自己和同学一起 检查了半堂课都没找出什么原因,后来还是自己回去之后,分析才知道是端口的 错误配置导致所有机之间不能正常通信。- 20 -