医院网络解决方案.docx

《医院网络解决方案.docx》由会员分享，可在线阅读，更多相关《医院网络解决方案.docx（67页珍藏版）》请在课桌文档上搜索。

1、XXXXX医院网络解决方案技术建议书HBCITOlP解决方案专家杭州华三通信技术有限公司2014年7月6日第1章概述51.1 医院网络建设需求5内网需求51.2 网络平安需求7第2章XXXXX医院网络系统81. 1网络设计原则9核心层需求分析.11接入层需求分析.12链路层需求分析.132. 2XXXXX医院新门诊大楼内网规划设计14第3章整网平安防护设计163. 1基础网络防护设计16地址扫描攻击防护实力16DoS/DDoS攻击防护实力16广播/组播报文速率限制.17MAC地址表容量攻击防护实力17静态MAC地址表项和ARP表项绑定实力18强大的ACL实力18URPF（单播反向路径查找）检查

2、实力193.2限制信令层面的平安实力19ARP协议攻击防护实力19地址冲突检测实力20TC/TCN攻击防护实力20地址盗用防护实力21路由协议攻击防护实力213. 3设备管理层面的平安实力22管理用户分级分权22支持平安的远程管理.22支持平安审计22平安接入限制.23SFTP服务233. 4ARP攻击简介25仿冒网关25欺瞒网关26欺瞒终端用户26“中间人”攻击27ARP报文泛洪攻击273. 5ARP攻击防卫28DHCPSnooping功能28ARP入侵检测功能29ARP报文限速功能29第4章无线应用设计303.1 无线业务需求分析303.2 整体无线建网原则314. 3WLAN组网关键问题

3、解决324. 4频率规划及负载均衡354. 5切换及漫游374.6AP供电38第5章智能管理中心设计385. 1网络管理解决方案39系统平安管理.40资源管理.42拓扑管理.44故障(告警/事务)管理48性能管理.54设备管理组件575.2无线业务管理解决方案585.3用户接入认证管理解决方案(EAD)63严格的用户权限限制.65第1章概述1.1医院网络建设需求1、为HIS、PACS等应用系统供应一个强有力的网络支撑平台；2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时须要具有最灵敏的适应、扩展实力；3、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP为基础的统一的一体化网

4、络平台，支持多协议、多业务、平安策略、流量管理、服务质量管理、资源管理；4、数据存储平安:医院信息系统的数据存储须要具有存储量大、扩充性强的特点。5、医疗信息的平安爱惜，也是组要的环节，网络的设计不仅要考虑用户及服务器之间的互联互通，更要爱惜关键服务器的平安和内部用户的平安。1.1.1 内网需求内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，系统应稳定、好用和平安，具有高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级的条件。网络设计要求：1、实现万兆主干，桌面接入实现100/100OM自适应（传输图像的桌面干脆实现IOooM接入）；

5、2、配备的网管软件应供应可视的形象化的图形界面，对整个网络中网络产品的全部端口进行监视和管理；3、交换机互连接受多条链路捆绑，防止链路瓶颈，并供应链路冗余。由于医疗行业的特殊性，医护人员和病患者之间须要频繁地在院内移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络须要留出足够余地扩容而不影响医院正常的工作。网络应用设计要求：1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的运用。2、新建的网络系统应充分考虑

6、跟现有网络系统的平滑接入，不影响现有系统的正常运行，并考虑和现有网络系统实现网络冗余。3、住院病区考虑到无线查房的须要，须要部署无线网络。4、传输动态图像的部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA.B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。5、医保（包括省医保、市医保、区医保以及市公费医疗）是专线接入。须配置医院内网及专线网的接口。6、为了更好地服务于医疗科研工作，须要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在须要时，可随时还原。因此，须考虑将医院

7、全部的监护仪器和大型设备都联网。1.2网络平安需求为了应对现在层出不穷的网络平安问题，在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测等设备以及和杀毒软件的协作运用,解决医院目前现有系统及新建系统的网络平安问题。基本要做到：故障解除、灾难复原、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等。1、故障解除：要求做到一旦网络出现异样，如无法访问网络，网络访问异样等，要能供应刚好、有效的服务，在短的时间内复原网络应用。2、灾难复原：要求做到设备遇到物理损害网络应用异样时通过备品备件，快速复原网络硬件环境;通过备份文件的复原，尽快复原网络的电子资源；在最短的时间内复原整个网络应用

8、。3、查找攻击源：要求做到发觉网络遭到攻击，须要通过日志文件等信息，确定攻击的来源，为进一步实行措施供应依据。4、实时检索日志文件：要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。假如攻击强度超出网络能够承受的范围，可实行进一步措施进行防范。5、即时查杀病毒：要求做到网络中出现病毒，通过刚好有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，复原网络应用。6、即时网络监控：要求通过网络监控，尽可能发觉网络中存在的前期网络故障，在故障扩大化以前刚好进行防治。第2章XXXXX医院网络系统目前，随着HIS系统在医院的普及，许多传统业务都慢慢迁移到网络上，对网络的性能、平安和稳

9、定提出了很高的要求，主要体现在以下几个方面：D牢靠快速的响应以供应更好的医疗服务一般大医院每天的门诊量很大，最多可达到5000人/天，一般大型医院平均门诊达到100O2000人/天，HIS系统每天对后台数据库的调用特殊频繁，会产生很大的数据流量，假如这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严峻的社会后果，因此医院对网络的访问性能有很高的要求。2）平安的业务数据保证医院正常对外服务在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都特殊关键，须要严格保密，因此如何爱惜这些数据，对医院有着重大的意义。3）高效的管理推动系统的稳定，提高维护的效果

10、HIS经过几年的建设，已经初具规模。如何管好整个新门诊楼的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。4）医院数据的平安存储医院须要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的平安性和扩展性要求特殊高。5）区域医疗的建设为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切须要医院之间的资源共享。2.1网络设计原则基于XXXXX医院目前网络现状和将来业务发展的要求，在XXXXX医院网络设计构建中，应始终坚持以下建网原则：1、好用性：整个网络系统具有较高的好用性；2、时效性：网络应保证各类业务数据流

11、的刚好传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、牢靠性：网络系统的稳定牢靠是应用系统正常运行的关键保证，在网络设计中选用高牢靠性网络产品，合理设计网络架构，制订牢靠的网络备份策略，保证网络具有故障自愈的实力，最大限度地支持医院各业务系统的正常运行。必需满意724365小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满意全网范围统一的实施平安策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络；5、技术先进性和好用性一保证满意医院应用系统业务的同时，又要体现出网络系统的先

12、进性。在网络设计中要把先进的技术及现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及将来技术和业务发展趋势。6、高性能一医院网络性能是医院整个网络良好运行的基础，设计中必需保障网络及设备的高吞吐实力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。7、标准开放性一支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证及其它网络（如公共数据网、金融网络、外联机构其它网络）之间的平滑连接互通，以及将来网络的扩展。8、灵敏性及可扩展性一依据将来业务的增长和变更，网络可以平滑地扩充和升级，削减最大程度的削减对网络架构和

13、现有设备的调整。网络要具有面对将来的良好的伸缩性能，既能满意当前的需求，又能支持将来业务网点、业务量、业务种类的扩展和及其它机构或部门的连接等对网络的扩充性要求。9、可管理性一对网络实行集中监测、分权管理，并统一支配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可供应故障自动报警。10、平安性一制订统一的骨干网平安策略，整体考虑网络平台的平安性。能有效防止网络的非法访问，爱惜关键数据不被非法窃取、篡改或泄漏，使数据具有极高的平安性；IK爱惜现有投资一在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，用作骨干网外联的接入设备，网络的投资应随着网络

14、的伸缩能够持续发挥作用，爱惜现有网络的投资，充分发挥网络投资的最大效益。2.1.1 核心层需求分析XXXXX医院新门诊大楼内网核心设备担负着整个新大楼的核心层，在整个新门诊楼的网络也是日后比较重要的汇聚层。由于核心层设备担负着整个网络的流量。在网络核心层的流量是特殊巨大的，全部的服务器均在网络的核心层供应相关的服务。对网络核心层的压力特殊巨大。同时网络对平安性、稳定性的要求极高，由于网络也基本是一个金字塔的形态，那么最须要稳定的就是金字塔的顶端，即网络的核心层。网络核心层同时须要对网络的接入层供应不同的网络层的路由规划和信息转发的功能，同时还须要保证不同级别的网络QoS,对于服务器的关键业务通

15、过链路级和网络级的协议实现严格的限制和优先级的保证。对于网络级的爱惜通常时间是特殊长的，那么对一些关键业务，我们就必需通过结合二层快速收敛的协议一起来完成对网络平安性的提升和网络的自愈实力。设备必需支持对不同部门的规划，照实现全网统一VLAN的规划等。对每个系统支配不同的VLAN并且针对不同VLAN实现不同的平安和限制的策略等。但是在自身的网络核心层须要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作，不建议全网全部接受统一网络协议进行规划，建议接受二层和三层协议相结合的方式共同实现网络的规划工作。在核心层的规划中，主要应当接受结构稳定并且能够进行详细路由查找的三层路由协议来进行规划

16、。并且在网络中还要能够及医院原来的思科核心交换机互联实现网络通信。不过，由于原来的旧网络中，全部网络是运用的三层网络架构并且运用的是思科的EIGRP私有协议。所以，在这个部分的修改及运用上，在网络上须要做确定的修改。2.1.2 接入层需求分析网络的接入是对用户干脆进行数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的说明。对本次的接入层的主要需求的分析如下：(1)、接入层用户数量的大干脆产生大量的数据报文，干脆通过三层的数据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，干脆影响接入质量。(2)、接入层用户数量大，而所应用的数据

17、种类繁多，多种网络业务流量的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。(3)、网络的访问终结于共享数据的特定位置，因为接入层用户须要通过网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器，就须要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的奢侈。并且依据网络流量的分析得出用户的访问方向是不规则的，网络确定会出现闲置的带宽的现象，如何规划路由将特殊重要。(4)、网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入，接入层网络的通常是以新2/8原则来划分的，其中有2

18、0%的流量是在接入层交换机的内部进行交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向干脆造成网络对于流量和流向所产生的网络瓶颈。(5)、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的平安性限制更是由为重要，同时各个不同的机关对本机关内部流通的部分文件是要求要有确定的平安性的，对其他部门的用户的访问是分为许多的不同的级别的。2.1.3 链路层需求分析对于XXXXX医院这样的网络来说，各项业务的需求，对于网络的稳定性的需求就不言而喻。网络核心层的接受星型的设计思路，通过以太网的方式同样须要保证毫秒级的

19、链路爱惜功能。对于链路级的爱惜能够实现对一些基本的链路进行备份起到冗余的特性，以便保证在某个物理链路断掉的时候还能保证用户的数据的传输功能，同时能够针对用户的关键的链路放置一条专有的链路实现备份功能，保证关键业务的不间断的连接。通过针对网络级的爱惜须要针对不同的网络设备接受不同的网络级的爱惜协议来实现，针对整体的网络架构供应爱惜，将网络的稳定性和平安性供应更高的平安性。对于网络级的爱惜主要是通过网络的协议来实现的。并且网络的冗余技术有许多不同的实现方式，对于网络核心层的影响也不尽相同。同时网络的稳定结构同样也须要网络设备自身的稳定性和自身的冗余的特性来保证，例照实现网络设备电源的冗余、网络限制

20、板的冗余、无源背板、业务板件热拔插等。这样可以让设备出现问题的时候不至于会造成网络设备的瘫痪，可以通过在线更换背板、更换电源以及更换主控网板等方式来实现业务的不中断运行。同时可以通过网络主控板件和业务板件的业务热切换功能实现网络设备不停机。由于本次的网络设备选购中分为了内网及专网两个部分，但是内网核心交换机只有一台，所以在实现双机热备上须要日后另行选购一台核心交换机实现核心交换机的双机热备。2.2XXXXX医院新门诊大楼内网规划设计内网是整个新门诊楼的核心网络，开展医院日常重要的医疗业务，对网络的牢靠性、稳定性要求特殊高，本次设计的网络依据万兆交换平台、万兆骨干网络、千兆到桌面设计，内网核心交

21、换机双机冗余、负载分担。在新大楼的网络建设中主要是二层网络架构，即：核心层及接入层。核心层位于新门诊楼机房网络的中心，负责大楼全网的路由交换，并及各服务器、存储等核心医院应用相连；新大楼接入层及核心层之间实现千兆光纤连接。新门诊大楼内网网络拓扑图在接入层，选用的千兆接入交换机(S5120-48P-EI)具备48个101001000Base-T以太网端口和4个复用的IoooBaSe-XSFP千兆以太网端口(Combo),依据网络的点位把接入层设备堆叠以扩展设备端口。千兆位以太网慢慢延长到桌面已经成为最迫切的须要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追

22、求终端用户的满意度，基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新供应了一个崭新高效能工作平台。医院初期规划有多台服务器的容量，服务器接入交换机的运用则是通过两台S5120-52SC-HI做IRF实现两机热备及负载分担，一方面分区建立特地的服务器区，爱惜医院重要资源的平安，另一方面，有利于今后医院业务的扩展，干脆增加服务器而不必对网络结构和核心设备配置产生影响,从而构建具备高牢靠性、易扩展性和易管理性的新型智能网络。医院的无线覆盖空间主要包括：病房、护士站、医生办公室、会议室等；一般医院病房每间的空间不是特殊的大，同时病房之间不是承重墙，建议无线的覆盖方案的原则

23、是：以本着节约、全覆盖的原则，每隔1520米左右布放IjAP。将AP放置在过道可以满意覆盖每一个房间。同时，将无线限制器业务插卡(AC)安装于核心交换机上，内部接口增加网络的牢靠性。在核心机房部署网络管理系统：智能管理中心iMC,具备网络拓扑、网络性能、网络配置、网络平安、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，配置无线业务管理(WSM)组件，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上,为管理员供应无线网络管理实力。管理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，及有线管理平台统一部署，节约用户投入，节约维护成本

24、。第3章整网平安防护设计3.1 基础网络防护设计3.1.1 地址扫描攻击防护实力地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变更的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还须要发送目的主机不行达报文。假如直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。H3C网络设备实现了地址扫描攻击的防护实力。当交换机收到目的IP是直连网段的报文时，假如该目的IP的ARP表项不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项，以防止后续报文持续冲击CPUo假如有ARP应答，则立刻删

25、除相应的丢弃表项，并添加正常的ARP表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。Comware网络系统平台供应相应的配置叮嘱，用于限制设备的地址扫描攻击防护功能是否启用。3.1.2 DoS/DDoS攻击防护实力DoS攻击，即拒绝服务攻击(DoS,DenialofService),是指向设备发送大量的连接请求，占用设备本身的资源，严峻的状况会造成设备瘫机,一般状况下也会使设备的功能无法正常运行。因为主要是针对服务器的，目的是使服务器拒绝合法用户的请求，所以叫拒绝服务攻击。随着攻击技术的发展，DOS攻击也出现了升级，攻击者限制

26、多台主机同时发起DOS攻击，也就是所谓的分布式拒绝服务攻击(DDOS,DistributedDenialofService)攻击，它的规模更大，破坏性更强。核心交换机能够抵抗IPSPOofing、LandSmUrf等常见DoS攻击，确保某种协议遭受攻击时不会影响到其他协议的正常运行和业务的正常转发。同时，当攻击源对下挂在网络设备的服务器进行DoS攻击时，可以利用核心交换机的ACL功能，下发特定的ACL规则对攻击报文进行过滤，保障下挂的主机和服务器正常运行。3.1.3 广播/组播报文速率限制网络中存在大量的广播或者组播报文，会占用宝贵的网络带宽，从而严峻影响网络设备的转发性能。而且当网络中某台设

27、备存在环路时，广播和组播报文会在网络中泛滥，导致整网的瘫痪。H3C交换机具有强大的广播和组播报文过滤功能。可以依据确定数值限制端口允许通过的广播和组播报文速率，也可以依据端口速率的百分比来限制端口允许通过的广播和组播报文速率。同时，还可以通过AeL规则设置特定端口广播、组播和未知单播报文允许通过的速率。3.1.4 MAC地址表容量攻击防护实力所谓MAC地址表容量攻击，是指攻击源发送源MAC地址不断变更的报文，网络设备在收到这种报文后，会进行源MAC地址学习。由于MAC地址表容量是有限的，当MAC地址表项达到最大容量后，正常报文的MAC地址学习将无法完成。在进行二层转发时，这些报文将会在VLAN

28、内广播，严峻影响网络带宽，同时也会对网络设备下挂主机造成冲击。H3C交换机供应设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以依据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目，防止一个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最高校习数目时，还可以选择超过部分是否转发，防止未知单播报文VLAN内广播，对其他设备造成冲击。3.1.5 静态MAC地址表项和ARP表项绑定实力H3C交换机供应配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项，保证二层数据报文正确的转发；用户还可以通过配

29、置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。3.1.6 强大的ACL实力在困难的网络环境中，存在各种各样的攻击报文，可能攻击网络设备，也可能攻击网络设备下挂的主机。H3C核心交换机供应强大而丰富的ACL功能，能够对报文的数据链路层、网络层、传输层各字段进行识别、限流和过滤。通过ACL功能，管理者可以对非法流量进行有效的过滤。管理者可以在端口、VLAN或者全局模式下设置相应的ACL规则，以满意不同的须要。H3C核心交换机的ACL规则，不但可以依据ICMP、IGMPTCP端口号、UDP端口号、IP地址、MAC地址等常用字段对报文进行过滤或者限流，还可以依据TTL、BT

30、-FLAG、VLAN_ID、EXP等字段对报文进行过滤和限流。3.1.7 URPF（单播反向路径查找）检查实力所谓URPF,即单播反向路径查找，主要用于防止基于源地址欺瞒的网络攻击行为。一般状况下，路由交换机针对目的地址查找路由，假如找到了就转发报文，否则丢弃该报文。在URPF功能启动后，通过获得报文的源地址和入接口，交换机以源地址为目的地址在转发表中查找路由，假如查到的路由出接口和接收该报文的入接口不匹配，交换机认为该报文的源地址是伪装的，丢弃该报文。通过URPF特性，交换机就能有效地防范网络中通过修改源地址而进行的恶意攻击行为。3.2 限制信令层面的平安实力3.2.1 ARP协议攻击防护实

31、力ARP协议没有任何验证方式，而ARP在数据转发中又是至关重要的，攻击者常伪造ARP报文进行攻击。H3C交换机能够检测并且防范ARP报文的攻击。当攻击者接受某个或者某几个固定的攻击源，向设备发送大量的ARP报文进行攻击时,H3C交换机能够检测并且防范这种ARP协议报文的攻击。H3C交换机收到ARP报文时，会依据报文源MAC地址进行HASH,并且记录单位时间收到的ARP报文数目。当检测到单位时间内CPU收包出现丢包且某些固定源MAC地址的主机超出确定限度，认为该主机在进行ARP攻击。假如用户启用ARP防攻击功能，则会打印提示信息并记录到日志信息中，且下发一条源MAC地址丢弃的表项，对该攻击源进行

32、屏蔽。3.2.2 地址冲突检测实力所谓地址冲突，是指网络设备下挂的主机或者对接的其他网络设备设置的IP地址和该网络设备的接口IP地址冲突，网络设备假如无法检测到地址冲突，该网络设备下挂的其他主机的网关ARP地址有可能会被更新,导致下挂主机无法正常上网。H3C交换机支持地址冲突检测功能。当H3C交换机收到ARP报文时，会推断该报文的源IP地址和本网段接口IP地址是否相同。假如发觉地址相同，则H3C交换机会立刻发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备，该地址已经被占用；免费ARP广播报文，是通知本网段内其他主机和网络设备，订正本网段内其他主机或者网络设备的ARP

33、表项，防止ARP表项指向错误的MAC地址。同时，H3C交换机会上报地址冲突的告警信息并同时记录日志，以便维护人员能够刚好了解设备遭受的攻击。3.2.3 TC/TCN攻击防护实力在启用STP状况下，当网络中某台设备端口的STP状态发生变更，会产生TC（网络拓扑变更）或者TCN（网络拓扑变更通知）报文。网络中其他设备收到TC或者TCN时，发觉网络拓扑发生变更，须要删除MAC地址和ARP等转发表项，以防止这些表项学习在错误的端口，影响报文正常转发。但是当网络中TC或者TCN报文许多，频繁删除MAC地址表和ARP表项，会导致二层转发报文在VLAN内广播，三层转发报文出现丢包，也会影响业务正常运行。H3

34、C交换机能够防范TC/TCN攻击报文对业务产生的影响。在收到TC/TCN报文时，设备会删除MAC地址表项，但不会删除ARP表项。当设备重新学习MAC地址时，会依据MAC地址查询ARP表项，假如该MAC地址对应有相应的ARP,干脆修改ARP表项中的出端口信息。通过MAC地址修改ARP表项，能够防止三层转发时出现的丢包现象。网络拓扑频繁变更，会严峻影响网络内全部设备的稳定运行。H3C交换机考虑到网络频繁变更的特殊状况，在收到第一个网络拓扑变更消息时，会进行相应处理。后续收到TC/TCN报文，并不立刻处理，而是等待一段时间后再推断这段时间内是否收到TC/TCN报文，不管这段时间收到多少个TC/TCN

35、报文，在超时后只处理一次MAC地址删除操作，起到爱惜设备稳定运行的作用。3.2.4 地址盗用防护实力所谓地址盗用，是指一个非法用户仿冒合法用户的IP地址，盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项，影响合法用户的正常上网。H3C交换机具有防范非法用户盗用地址上网的实力。只须要在交换机上面配置MAC地址和IP地址绑定的平安地址表项，交换机在学习ARP表项时会依据该平安地址表项进行检查，满意条件则学习ARP表项，不满意条件不学习。3.2.5 路由协议攻击防护实力路由协议攻击是指向不进行路由认证的路由器发送错误的路由更新报文，使路由表中出现错误的路由，严峻的状况可以造成网络瘫痪

36、，超群的攻击者可以用来进行更深层次的攻击实施。H3C交换机基于Comware路由通用平台，能够对收到的各种路由协议进行认证。1) OSPF协议，支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证；2) ISTS协议，支持接口间LeVeIT明文/MD5认证、接口LeVeI-2明文/MD5认证、ISTS区域内明文/MD5认证和ISTS路由域上的明文/MD5认证；3) BGP协议，支持邻居路由器之间和BGP区域内的MD5认证；4) RIPv2协议，支持邻居路由器之间的明文/MD5认证3.3设备管理层面的平安实力3.3.1 管理用户分级分权H3C交换机对登录用户实行分级机制,权限从

37、低到高分为四级，依次为:访问级、监视级、系统级、管理级。对用户密码接受加密算法进行保存,并限制一次连接登录不成功的次数来防止口令被穷举得到，并在设备上设置警示性的登录提示。3.3.2 支持平安的远程管理H3C交换机支持SSH协议。通过运用SSH协议进行设备管理，可以保证远程管理的平安性。3.3.3 支持平安审计H3C交换机供应基本的平安审计功能。包括供应平安告警日志以及用户操作日志的实力。3.3.4 平安接入限制H3C交换机支持802.Ix认证功能，能够基于端口或者MAC方式进行接入限制，实现局域网络的平安接入。在用户的平安接入上我们建议在有线网络运用802.Ix认证，而日后的无线网络平台则可

38、以通过portal认证方式实增加内部网络的平安性。在运用地址的支配上，不论运用静态IP地址，还是运用DHCP进行动态支配，我们可以通过H3C的EAD平安策略管理组件进行限制，将用户的MAC地址、IP地址进行绑定，甚至可以将他绑定在某台交换机下或者交换机对应端口下。而现在网络中，还有大部分是由于用户的存储介质里的病毒传播到计算机网络中，所以我们在平安的限制上可以通过EAD进相应的介质进行识别，保证刚问网络的平安。3.3.5 SFTP月艮务所谓SFTP,是SeCUreFTP的简称，它使得用户可以从远端平安的登入交换机设备进行文件管理，这样使远程系统升级等须要进行文件传送的地方，增加了数据传输的平安

39、性。同时，由于供应了Client功能，可以在本设备上平安登录到远程设备，进行文件的平安传输。H3C交换机支持SFTP服务，可以保证文件传输的平安性。攻击类型攻击行为交换机平安特性资源耗尽型攻击MAC表攻击端口MAC数限制禁止某个VLAN的MAC地址学习+静态MAC表端口平安MAC+IP+端口绑定，DHCPDOS攻击DHCPRelayOption82DHCPSnoopingOption82DIICP报文限速CPU恶意冲击RP限速防范攻击的其它特性广播风暴抑制环路检测EAD特性802.Ix端口平安特性假冒伪装型攻击ARP欺瞒攻击ARP入侵检测端口隔离IsoIate-User-VLANMAC/IP欺

40、瞒攻击DHCPrelaySecurityIP源地址爱惜DHCP服务器欺瞒攻击DHCPSnoopingTrust根桥伪装攻击STP根爱惜BPDU爱惜TCN攻击TC-BPDU报文非立刻处理机制路由源伪装攻击OSPF/RlP路由MD5验证设备限制权攻击用户信息嗅探SSH2.OSNMPv3SFTP管理人员泄密远程管理终端限制（TelnetVTY配置ACL）用户分级暴力尝试攻击远程管理终端限制（TeInetVTY配置ACL）3.4ARP攻击简介许多网络都出现了A即攻击现象。严峻者甚至造成大面积网络不能正常访问外网，许多单位深受其害。依据ARP攻击的特点，我们在办公网络中给出I）HCP监控模式下的防A即攻

41、击解决方案，可以有效的防卫“仿冒网关”、“欺瞒网关”、“欺瞒终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等园区网中常见的ARP攻击方式；且不须要终端用户安装额外的客户端软件，简化网络配置。依据ARP协议设计，一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以削减网络上过多的ARP数据通信，但也为“ARP欺瞒”创建了条件。在园区网中，常见的ARP攻击有如下几种形式：3.4.1 仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP

42、表中网关IP地址及MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。“仿冒网关”攻击示意图3.4.2 欺瞒网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址及MAC地址的对应关系。这样一来，网关发给该用户的全部数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。“欺瞒网关”攻击示意图3.4.3 欺瞒终端用户攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地

43、址的ARP报文给同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址及MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的全部数据都被重定向到错ateway“欺瞒终端用户”攻击示意图3.4.4 “中间人”攻击ARP“中间人”攻击，又称为ARP双向欺瞒。如图所示，HostA和HOStC通过SWitCh进行通信。此时,假如有恶意攻击者(HoStB)想探听HOStA和HostC之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使HostA和HostC用MAJB更新自身ARP映射表中及对方IP地址相应的表项。此后，HostA和HOStC之间看似“干脆”的通信，事实上都

44、是通过黑客所在的主机间接进行的，即HostB担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。ARP“中间人”攻击示意图3.4.5 ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。3.5ARP攻击防卫H3C公司依据园区网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案。通过接入交换机上开启DHCPSnooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防卫常见的ARP攻击，如表Io表1常见网

45、络攻击和防范比照表攻击方式防卫方法动态获得IP地址的用户进行“仿冒网关”、“欺瞒网关”、“欺瞒终端用户”、“ARP中间人攻击”配置DHCPSnoopingARP入侵检测功能手工配置IP地址的用户进行“仿冒网关”、“欺瞒网关”、“欺瞒终端用户”、“ARP中间人攻击”配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能3.5.1 DHCPSnOoPing功能DHCPSnooping是运行在二层接入设备上的一种DHCP平安特性。通过监听DHCP报文,记录DHCP客户端IP地址及MAC地址的对应关系;通过设置DHCPSnooping信任端口，保证客户端从合法的服务器获得IP地址

46、。 信任端口正常转发接收到的DHCP报文，从而保证了DHCP客户端能够从DHCP服务器获得IP地址。 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文，从而防止了DHCP客户端获得错误的IP地址。3.5.2 ARP入侵检测功能H3C接入交换机支持将收到的ARP（请求及回应）报文重定向到CPU,结合DHCPSnooping平安特性来推断ARP报文的合法性并进行处理。当ARP报文中的源IP地址及源MAC地址的绑定关系及DHCPSnooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN及DHCPSnoOPing表项或者手工

47、配置的IP静态绑定表项一样，则为合法ARP报文，进行转发处理。否则视为非法ARP报文，干脆丢弃。3.5.3 ARP报文限速功能H3C接入交换机支持端口ARP报文限速功能，使受到攻击的端口短暂关闭，来避开此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，假如每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态。此时，交换机将关闭该端口，使其不再接收任何报文，从而避开大量ARP报文攻击设备。同时，设备支持配置端口状态自动复原功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动复原为开启状态。1.1 无线应用设计1.2 无线业务需求分析大多数医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，在将来的医院网络趋于实时、数字化网络，同时还可以为医院的病人供应增值服务。也可以利用无线局域网技术的移动性、灵敏性和高效率在护理点获得实时的患者信息或者搜寻决策支持信息。这种系统使医护人员可以更加精确、快速和高效地