xx医院网络构建方案

xx医院网络构建方案内容摘要：

rough 双绞线 ? 支持端口单通链路检测 (Unidirectional link detection)，以避免可能导致的 spanning tree loops 问题 13 ? 支持网络准入控制，以防止不健康的和有毒的计算机接入网络而传毒 ? 支持 IEEE 、 IEEE ? 支持网络时间管理协议，以统一网络设备的时间和方便网络管理 ? 支持 SNMPv RMON、 Syslog、 SSH V2 ? 支持 RSPAN 和 SPAN ? 支持 VLAN 内的计算机隔离 ? 支持基于时间、 L L L4 的 ACL ? 支持 Voice VLAN。 支持 IGMP V3 Snooping ? 支持广播风暴抑制、 Port Security、 DHCP Option 82 等等安全功能 ? 支持 ARP过滤和限制技术，预防 ARP欺骗和假冒的 MAC地址攻击 ? 支持 IP Source Guard 或类似技术以防止假冒的 IP 地址 ? 支持 DHCP Snooping 和 DHCP 假应答控制，预防以假冒 DHCP服务为手段的网络攻击 ? 支持 RADIUS 和 TACACS+ ? 支持 IEEE 认证和动态 VLAN ID 和 ACL(访问控制列表 )分配；同时允许非 客户接入 Guest VLAN ? 支持 L2 Trace Route,即基于 MAC 地址的 ping ? 支持大型帧（ Jumbo frame)，可达 9018 字节 14 （ 3）无线 局域网 WLAN 产品 作为接入层的补充， WLAN 产品应用也非常广泛 ,我们提供的方案里 建议采用 Cisco 先进集中式的瘦 AP 解决方案 ，在瘦 AP 架构下，不需要对瘦 AP 一个一个地配置，所有和无线网络相关的配置均在 WLAN控制器上集中进行， 这能大大地提高网络部署效率和降低网络维护成本。 只需增加 WLAN 控制 器 、无线瘦 AP、 PoE 模块 （插在核心交换机或汇聚交换机 上 ，占一个槽 ）或 PoE交换机即可 实现 WLAN，如下图。 Cisco 的瘦 AP 同时支持 ，且同时支持内外置天线，支持WPA/WPA2 最强的加密强度 ，支持 认证，支持一次性登陆 SSO等 ； Cisco 的 WLAN 控制器产品很全面 ， 如支持 12 个瘦 AP、 25 个瘦AP、 50 个瘦 AP、 100 个瘦 AP 等 ，也可以采用在 6506E 系列交换机上插入 Wism 模块的方式对瘦 AP进行管理，出于 对 AP 数量的考虑，本次方案我们采用独立的无线控制器， WLC440225 无线 控制器支持 25个 CISCO1242 A/B/G AP 的接入。 15 经过测试， Cisco 的无线 LAN 是对医疗设备没有任何干扰的。 在2020 年，思科就联合卫生部在中日友好医院进行了无线设备对医疗设备无干扰测试。 思科是通过该测试的厂商。 思科日前宣布，其无线网络产品赢得了美国医院协会 (AHA)的独家认可，过去几个月，美国医院协会的子公司 AHA Solutions对为医疗保健市场提供服务的多家著名无线网络产品供应商提交的备选产品和系统进行了认 证评估，最终，思科无线网络产品凭借卓越的安全性、可靠性、业界领先的客户支持以及对医院环境适应的总体部署战略脱颖而出。 Cisco的无线产品在国内医院有多个实际成功案例，确实对医疗设备无干扰和可以高效地在医院里使用： 下面是已经成功使用 CISCO无线解决方案的医院举例： 16 中山小榄人民医院 解放军 301 医院 北京大学人民医院 中日友好医院 北京协和医院 北京广安门医院 北京天坛医院 首都儿科研究所上海瑞金医院 上海长宁区中心医院 昆山宗仁卿纪念医院 哈尔滨医科大学第一临床医学院 三 、 网络安全 方面的 考虑 建立了网络，必然会有人对它进行攻击，目前网络的安全主要受到两方面的威胁，一个是来自黑客的诸如 DoS 之类的攻击和黑客入侵，另外一个是有可能被病毒感染，例如 2020 年造成很多局域网交换机和路由器瘫痪的 SQL 蠕虫病毒等。 最有效的解决安全的方法是部署 防火墙 和利用网络设备内置的安全功能。 Cisco 交换机内置的安全功能 及安全攻击防范方法 交换机必须 能 保护与之相连的用户和服务器。 不同于那些可对网络产生影响的攻击，很多针对用户和服务器的攻击都是检测不到的。 这些常称为“中间人”攻击的攻击采用的是 可从互联网上下载的 17 常用工具。 这些工具采用多种不同的机制，可以被恶意用户利用来窥探其他网络用户，这可导致机密信息的失窃以及违反保密政策。 思科公司的交换机提供了很多内置的安全特性，这些特性可保护 LAN 里的重要信息。 （ 1） 通过生成树增强特性防止非法交换机连接 两种生成树增强机制： BPDU Guard，当一个 BPDU 从某端口进入网络时，可立刻禁用该访问端口，这可防止非法交换机连接到网络并对生成树设计造成潜在的破坏。 对于那些可能导致对根网桥进行重新计算的所有分组， RootGuard 会让该端口拒绝接收。 （ 2） DHCP 监听 / DHCP Snooping 多数企业网络都是依靠 DHCP来进行 IP地址分配的。 而 DHCP并不是安全的协议，因此就使得与某个网络相连的错误配置或恶意设备能很容易地对 DHCP请求作出响应，并向 DHCP客户机提供错误或恶意的信息 ， 网络袭击者通常使用恶意 DHCP服务器发出 IP主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。 因此，这种袭击也称为中间人攻击。 此外，在互联网上有一些工具会大量耗用某个 DHCP 范围内的所有可用 IP地址，并可导 致所有合法主机都不能获取 IP地址，进而导致网络不可用。 DHCP Snooping 可同时提供针对这两种情况的保护。 它可建立端口的可信 /不可信状态，因此可使网络管理员能确定应允许哪些端口（和相关设备）作为 DHCP 服务器，并拒绝所有其他端口 18 上的 DHCP 服务器活动。 此外， DHCP Snooping 可对 DHCP 分组进行调查，并确保发送 DHCP请求的设备相关的物理 MAC地址能匹配该 DHCP请求内部的 MAC 地址。 与端口安全相结合， DHCP Snooping 不允许耗用地址工具利用 DHCP内在的不安全。 在很多情况下， DHCP Snooping是与 DHCP Option 82 一起使用的，后者可使交换机在 DHCP 分组中插入有关它自己的信息。 可以插入的最常见信息就是 DHCP 请求的物理端口 ID。 这可通过将 IP地址关联到某个具体交换机上的某个具体端口，为网络提供很强的智能性，从而防止恶意设备和服务器的连接。 （ 3）动态 ARP 检测 地址解析协议（ ARP）的最基本的功能是允许两个站点在 LAN 网段上通信。 攻击者可能会发送带假冒源地址的 ARP 包，希望默认网关或其它主机能够承认该地址，并将其保存在 ARP表中。 ARP协议不执行任何验证或 过滤就会在目标主机中为这些恶意主机生成记录项，从而提高了网络易损性。 目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。 攻击者不但可以窃取密码和数据，还可以偷听 IP 电话内容。 ARP（地址解析协议）是另一种本身不安全的网络服务 ，可从互联网上下载 Ettercap 等 软件来实现ARP欺骗， 可使恶意用户利用这一行为并成为中间人，进而访问他们不应访问的机密信息 ， Ettercap 是一种“智能化嗅探器”，它可使有点或毫无技术能力的恶意用户 实时 收集 网络里正在传输的的 用户 19 名 和 密码信息 等。 与 DHCP Snooping一起使用时， Dynamic ARP Inspection 可防止某个主机在 DHCP 服务器没有为其分配的 IP 地址的情况下，发送未经请求的 ARP。 这种保护可防止 ettercap 等工具利用 ARP 内在的不安全。 动态 ARP 检测（ DAI）能够保证接入交换机只传输“合法”的 ARP 请求和答复。 DAI 能够截获交换机上的每个ARP包，检查 ARP信息，然后再更新交换机 ARP高速缓存，或者将其转发至相应的目的地。 利用 ARP 协议的攻击是目前局域网中非常频繁威胁非常大的一种攻击方式。 （ 4） IP Source Guard IP 地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗。 互联网蠕虫可以使用欺骗技术隐藏攻击原发地的 IP地址。 利用 IP源防护特性，攻击者将无法冒用合法用户的 IP 地址发动攻击，该特性只允许转发有合法源地址的包。 某个主机还可通过故意 配。