《XX医院IT基础架构建设-解决方案v2》由会员分享,可在线阅读,更多相关《XX医院IT基础架构建设-解决方案v2(52页珍藏版)》请在金锄头文库上搜索。
1、XXXIT基础架构建设解决方案目录1整体架构设计31.1综述31.2内网架构设计41.3外网架构设计61.4无线网络架构设计71.5信息点统计表72网络及安全方案设计92.1网络虚拟化设计92.2安全虚拟化设计102.3虚拟交换机设计122.4数据库审计设备132.5防火墙设备142.6入侵防御设备152.7运维堡垒机162.8互联网出口173业务系统虚拟化方案设计183.1刀片服务器设计183.2计算虚拟化设计203.3数据中心管理设计314综合管理系统设计334.1网络管理设计334.2业务监控设计404.3终端管理设计415无线系统设计455.1无线标准选择455.2无线医疗业务455.
2、3病房区域无线覆盖设计485.4门诊区域无线覆盖设计485.5内网认证方式495.6外网认证方式496产品清单491 整体架构设计1.1 综述如上图所示,为本次项目整体架构示意图。分为内外及外网两个部分。两张网络之间通过H3C SecPath F1070综合安全网关进行隔离防护,只允许有权限的业务访问。内外主要用于医院内部业务系统的支撑,包括网络设备,存储系统,服务器设备。外网主要用于医院进行对互联网的访问以及连接省市医保专线。内网设计原则为千兆到桌面,万兆骨干的方式。外网设计原则为千兆到桌面,千兆骨干的方式。内外之间通过千兆以太网链路连接到综合安全网关。设计方案将依据XXX信息化系统建设要求
3、及河南省数字化医院评审标准进行设计。原则上符合上述两个文件的指导精神。1.2 内网架构设计内部网络核心交换机为两台H3C S7506E核心交换机,单台配置冗余主控,冗余电源模块,3块16端口万兆以太网光接口模块,1块24端口千兆以太网电接口+4端口万兆以太网光接口模块,配置相应光模块及连接电缆。万兆链路用于连接楼宇接入交换机,连接刀片服务器系统,连接存储系统。通过万兆链路实现IRF2虚拟化互联,支持跨设备的链路聚合技术。通过千兆以太网电接口连接H3C F1070综合安全网关。楼宇接入交换机为H3C S5130-EI系列交换机。根据弱电分布图(见本章节末统计表)的统计情况,本次项目共计34个弱电
4、井,每个弱电井对应的信息点不尽相同。共计使用H3C S5130-52S-EI交换机15台,H3C S5130-28S-EI交换机26台。每个弱电井内部署1台上行交换机,采用两个万兆以太网光接口分别上联至两台核心交换机。通过跨设备的链路聚合技术,达到上行链路带宽20G,故障切换时间200ms的最佳冗余配置。H3C S5130-52S-EI交换机单台提供48个千兆以太网电接口,4个万兆以太网光接口。H3C S5130-28S-EI交换机单台提供24个千兆以太网电接口,4个万兆以太网光接口。配置相应数量光模块。每个弱电井其余交换机均采用万兆电缆连接至上行交换机业务服务器采用1台H3C UIS 800
5、0刀片式服务器,搭载4台B390服务器和2台B590服务器。B390服务器单台配置2个E5-2620v3 CPU(主频2.4GHz,6核心),64GB高性能内存,2块300GB-10K硬盘,2个10GE Flex Fabric网卡。Fabric网卡支持1:4链路虚拟化技术,可以将物理网卡随意划分为指定带宽。B590服务器单台配置2个E5-4620v3 CPU(主频2.2GHz,8核心),32GB高性能内存,2块300GB-10K硬盘,2个10GE Flex Fabric网卡。Fabric网卡支持1:4链路虚拟化技术,可以将物理网卡随意划分为指定带宽。B390服务器配合H3C CAS虚拟化系统,
6、完成医疗应用业务的承载,B590服务器配合H3C CAS虚拟化系统,完成应用数据库业务的承载。H3C UIS 8000刀片服务器机箱搭载两块OA管理模块,10个航空级冗余风扇模块,6个航空级冗余电源模块,1+1冗余管理模块,2个FlexFabric 10 24端口刀片系统的VC模块。VC模块配置有8个万兆上行端口和16个万兆下行端口。上行端口直接连接到核心交换机,下行端口通过无源背板连接到刀片服务器。2个VC模块之间通过内部端口互联,实现冗余保障。VC模块支持1:4链路虚拟化技术,可以将物理网卡随意划分为指定带宽,实现灵活的业务链路部署。存储系统为一套H3C FlexStorage P5730
7、 IP存储系统。配置有25个900GB 10000转SAS硬盘,4个千兆以太网电接口,2个万兆以太网光接口。可用空间为22.5TB。存储系统用于实现核心业务数据的存储以及虚拟化业务系统的共享存储。存储系统通过万兆以太网链路直接连接到核心交换机,实现同业务系统之间的数据交互。业务系统承载于H3C CAS 虚拟化管理系统之上。H3C CAS虚拟化管理系统融合了计算、网络、存储资源的虚拟化,形成弹性的数据中心资源池,实现资源的自动化调度,更好地为上层应用服务。通过虚拟化后,虚机之间为完全隔离状态,具有独立CPU、内存、磁盘I/O、网络I/O,即任何一个虚机发生故障时,同一物理机上的其他虚机不受其影响
8、,每个虚机具有独立的用户管理权限,可安装独立操作系统,不同虚机间操作系统可以异构。完全基于B/S架构的管理控制台,不仅让您轻松组织和快速部署整个IT环境,而且还能对包括CPU、内存、磁盘I/O、网络I/O等重要资源在内的关键元件进行全面的性能监测,为管理员实施合理的资源规划提供详尽的数据资料。H3C CAS虚拟化管理系统为虚拟机中运行的应用程序提供简单易用、成本效益高的高可用性功能。硬件故障导致的服务器或虚拟机宕机再也不会造成灾难性的后果,H3C CAS提供的资源智能调度能力会自动重新为这些服务器或虚拟机选择最佳的运行位置。认证管理方案,采用H3C EIA终端智能接入组件为内网用户提供接入认证
9、。限制用户随意进入内网,符合等保要求。本次项目中,认证系统采用Portal认证方式,Portal网关部署于核心交换机。为每用户提供账号与口令,绑定IP地址,绑定MAC地址,实现统一接入认证。Portal认证方式也非常适合于无线医疗终端接入到网络中,为日后医院实现无线医疗全覆盖打好基础。为保证内网信息化安全,符合数字化医院对于信息安全建设要求,为内网部署堡垒机以及数据库审计系统。通过千兆以太网电接口的方式直连核心交换机。堡垒机用于日常运维审计管理平台,记录运维行为,统一对账号进行管理。数据库审计系统用于对数据库的操作进行安全防护及记录审计。上述两套系统配合使用,实现医院日常业务管理的同时,可以兼
10、顾“反统方”工作的开展。1.3 外网架构设计外网核心交换机为1台H3C S7506E-S核心交换机。单台配置冗余电源模块,冗余主控模块,1块48端口千兆以太网电接口模块,1块48端口千兆以太网光接口模块,配置相应的光模块。通过千兆以太网光接口连接外网楼宇接入交换机,通过千兆以太网电接口连接综合安全网关,医保前置机,出口安全网关,防火墙等设备。外网接入交换机为H3C S5110系列千兆交换机。外网信息点较为分散,故所有接入交换机均通过千兆以太网光接口上行到核心交换机。通过对信息点的统计分析,配置有H3C S5110-28P接入交换机12台,H3C S5110-52P接入交换机18台。配置相应光模
11、块。H3C S5110-28P接入交换机单台配置有24个千兆以太网电接口,4个千兆以太网光接口,H3C S5110-52P接入交换机单台配置有48个千兆以太网电接口,4个千兆以太网光接口。外网互联网出口部署一台H3C ACG-1000-M出口安全网关。单台配置有16个千兆以太网电接口,4个复用的千兆以太网光接口,冗余电源模块。提供3年特征库升级服务。提供管理软件。出口安全网关提供全院NAT功能,支持链路负载均衡,能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、智能阻断、智能路由等技术,配合创新的社交网络行为管理功能、
12、清晰易管理日志等功能,可以提供业界最全面、完善的上网行为管理解决方案。从而保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,为用户全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。满足公安部82号令的同时,实现对网络流量的精细化管理。部署一台H3C F1050综合安全网关用于连接省市医保专线。提供16个千兆以太网电接口,8个千兆以太网光接口,支持2个扩展槽位。支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等。采用了先进的最新64位多核高性能处理器和高速存储器。支持H3C SCF虚拟化技术,可将
13、多台设备虚拟化为一台逻辑设备,对外呈现为一个网络节点,资源统一管理,完成业务备份同时提高系统整体性能。支持吞吐量为5GB。部署一台H3C F1070综合安全网关作为内外网隔离屏障。搭载防病毒功能,提供3年特征库升级。提供16个千兆以太网电接口,8个千兆以太网光接口,2个万兆以太网光接口。支持2个扩展槽位。支持多维一体化安全防护,可从用户、应用、时间、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络的安全。支持吞吐量为8GB。1.4 无线网络架构设计本次无线网络的设计将采用同一套AP,分别连接内网和外网的部署方式。内网部署PoE交换机,提供无线AP供电。要
14、求无线AP具备有两个独立的千兆以太网电接口,可以分别连接内网和外网。通过两个端口分别分配给不同的VLAN,实现对内网和外网的隔离。同一个AP提供不同的SSID,通过认证系统保证内网用户不能够接入外网SSID,外网用户不能够接入内网的SSID。无线医疗业务主要应用范围在住院病房,主要应用包括无线查房,无线输液,无线医嘱等内容,相对而言,公网应用较少。对于门诊部分和人员较为密集的大厅,主要应用是公网应用。医院不应当允许陪护人员可以随意访问公网,这并不符合数字化医院的要求,只能够访问到医院指定的微信平台或是公网业务平台。无线网络的详细设计将在后文展现。1.5 信息点统计表内网信息点统计表楼宇西南弱电井东南弱电井西北弱电井东北弱电井24口交换机48口交换机1F9276443062F4286630143F64442440144F52701826155F162226F22027F2622118F2622119F26221110F26221111F26221112F26221113F162211屋顶21总计2502762823221526外网信息点统计表楼宇西南弱电井东南弱电井西北弱电井东北弱电井24口交换机48口交换机1F44332F33433F3424F12435F651126F
