A醫院網絡的邏輯設計案例綜述目錄TOC\o"1-2"\h\u19222A醫院網絡的邏輯設計案例綜述 [6]。關于IP地址規劃應遵循以下原則：（1）IP地址的唯一性（2）IP地址規劃的簡單性（3）IP地址規劃的層次性（4）IP地址的連續性。（5）IP地址規劃的可擴展性（6）IP地址規劃的靈活性（7）網絡的安全性（8）IP地址根據需要采用靜態配置或動態分配1.4.2IP地址劃分根據以上原則，結合300醫院的實際情況，IP地址規劃如下：（1）機房區域的IP地址及掩碼：-45、（2）財務部的IP地址：-54、（3）行政大樓的IP地址：-54、（4）內科住院部的IP地址：-54、（5）內科住院部的IP地址：-54、（6）綜合門診大樓的IP地址：-54、IP地址規劃如表1.3所示表1.3IP地址劃分區域IP范圍子網掩碼網關機房-5454財務部-5453行政辦公區-5453內科住院部-5452外科住院部-5452綜合醫療門診-54521.5冗余規劃與設計醫院的網絡屬于中小型企業網絡建設，網絡中的數據流量屬于大型，在網絡建設過程中若使用傳統的單一線路、核心設備單一，則會使得網絡冗余度小、易產生時延、帶寬有限等問題，作為醫院的網絡系統需保持高可用性、高性能以滿足日常需求。針對這些問題，在網絡建設時采用冗余鏈路設計，如果設備之間的某條鏈路出現故障，也能夠使之繼續正常運行，鏈路冗余技術是保證高可靠性網絡的重要部分。在醫院的網絡架構中，核心結點處使用雙核心交換機，在兩核心交換機上使用虛擬路由冗余協議VRRP，形成網關冗余，網關的冗余雖然增大了開銷，但是能夠避免醫院網絡的在單網關出現故障時網絡就無法正常運行的問題。使用VRRP協議將兩臺核心交換機組成一個VRRP備份組，一個備份組可以模擬成單個虛擬網關，在一個VRRP備份組中，只有一臺交換機作為主網關，其余交換機作為備份網關。只有主網關轉發IP分組，當主網關失效后，VRRP選擇備份組中的備份網關作為主網關進行IP分組的轉發。在兩臺核心交換機之間，可使用多條物理網線進行設備的連接。使用鏈路聚合協議將這些物理鏈路聚合成一條邏輯鏈路，多個物理端口形成一個邏輯接口，增加鏈路帶寬、使鏈路傳輸具有彈性。1.6路由協議的選擇OSPF是廣泛使用的一種動態路由協議，它屬于鏈路狀態路由協議。在A醫院網絡中，存在的信息點數量多，不同的建筑大樓對應不同的網段設計，所以在網絡的路由配置時選擇使用OSPF協議，該協議根據自己的SPF算法可以使醫院的大部分網絡動態創建路由項，而無須網絡管理員人工配置一條條需指明的靜態路由條目，而且OSPF協議在網絡拓撲發生變化時，可以自動計算、更正路由，極大地方便了網絡管理。在兩臺核心交換機和防火墻上均使用OSPF動態路由協議，將核心交換機和防火墻上的接口的網段進行宣告，使協議根據接口網段計算和生成路由，從而進行數據交換。1.7生成樹協議應用生成樹協議STP，是工作于數據鏈路層的通信協議。在一個以太網存在冗余路徑時通常使用該協議，以避免終端之間產生環路。在A醫院網絡建設中，為了提高網絡的高可用性進行了冗余設計，而冗余設計在提高網絡的可用性的同時也帶來了產生環路的風險，為了避免環路的產生故可使用生成樹協議中的多生成樹協議MSTP。MSTP協議可以基于VLAN構建生成樹，且生成樹可以有不同的根交換機和起作用的物理鏈路。因此，可以通過配置使得VLAN間存在冗余路徑，以及不同VLAN對應不同的根交換機，且可以通過生成樹協議實現容錯功能。在醫院網絡結構中，在所有交換機上將VLAN10、VLAN20、VLAN30與生成樹實例instance1綁定、將VLAN40、VLAN50、VLAN60與生成樹實例instance2綁定，在核心交換機C-SW1上將生成樹實例instance1的優先值設置為0，instance2的優先值設置為4096，且生成樹實例的優先值越低，優先級越高，使得核心交換機C-SW1成為VLAN10、VLAN20、VLAN30的根交換機，核心交換機C-SW2與C-SW1相反，調整優先值使得VLAN40、VLAN50、VLAN60的根交換機為C-SW2。1.8網絡地址轉換設計前面說到的醫院的網絡地址規劃，醫院使用的地址是私有IP地址，私有IP地址是不能訪問互聯網同時也不能被互聯網訪問的，要使內部網絡（私網IP）與因特網通信，則可以使用NAT網絡地址轉換協議。在醫院與外網連接的防火墻上，使用NAT的出接口地址方式(Easy-IP)進行地址轉換，Easy-IP指的是利用以太網的出接口公網IP地址，作為內網IP地址進行NAT轉換后的地址，在此次網路設計中即指防火墻的出接口G1/0/0接口地址。使得內網訪問外網時都用防火墻的出接口G1/0/0地址即進行訪問，使用Easy-IP方式，節約了公網IP地址的使用和相關費用。1.9防火墻的安全設計防火墻作為A醫院連接互聯網的邊界設備，出接口配置公網地址，在防火墻上做相應的NAT轉換，設計安全域與不安全域，將于內網連接的接口添加到安全域，即防火墻的G0/0/0、G1/0/1、G1/0/2屬于安全域，與外網連接的接口劃分為不安全域，即G1/0/0為不安全域，配置安全策略，進行訪問控制，醫院內網拒絕外網的一切訪問。詳細看網絡設備的配置。1.10動態獲取IP地址醫院建筑中的計算機數量大，若采用人工配置IP地址，大大增加了工作量，在網絡建設中選擇采用DHCP協議，使網絡中的終端設備動態獲取IP地址信息。在A醫院的網絡設計中，采用DHCP動態獲取IP地址的基于接口的模式，DHCP

select

interface，基于接口模式是調用接口下面的IP信息和網關，然后自動下發DHCP地址，無需再配置地址池。1.11鏈路聚合技術鏈路聚合技術可以將多條物理鏈路聚合形成一條邏輯鏈路，增加網絡接口的帶寬[]。鏈路的聚合即為接口的聚合，多個物理接口形成一個邏輯接口，邏輯接口的帶寬是物理接口帶寬的疊加，故而使邏輯鏈路的帶寬增加。不同的聚合鏈路對應不同的鏈路聚合接口，用編號唯一標識。鏈路聚合技術通常在以太網的冗余設備中使用，常常與VL