《第四章、大型医院计算机网络系统施工技术方案》由会员分享,可在线阅读,更多相关《第四章、大型医院计算机网络系统施工技术方案(33页珍藏版)》请在金锄头文库上搜索。
1、第四章、大型医院计算机网络系统施工技术方案4.1 系统描述XXXX市立医院智能化工程计算机网络系统需建设一个技术先进、扩展性强、 能覆盖所有功能区域的主干网络,将XXXX市立医院各楼内的各种PC机、工作站、 终端设备和局域网连接起来,并与广域网络连接,形成结构合理、内外沟通的计 算机网络系统,并在此基础上建立能满足办公和管理需要的软硬件环境,开发并 运行各类信息库和应用系统,使楼内各部门综合运用现代信息网络与现代数字技 术,转变传统工作模式,实现办公、商务、事务一体化管理与运行。本方案要求支持多种网络应用,高起点、高标准、长远规划考虑,能适应今 后新技术业务的发展。本方案中选择的原则如下:实行
2、有效的配置管理、资源管理、安全管理、性能管理,建立以认证、授权、 审计为中心的网络安全管理系统;建立以信息交换、信息发布和查询应用为主的机栓机网络应用基础环境。遵循系统的建设方针,以设计一个实用、可靠、经济、先进、安全、高效、 易管理的网络系统,从分考虑网络运行管理和安全管理,配置完善的管理系统和 相关设备。分为两个独立的网络系统,实现不同数据、语音、视频的网络系统。4.2 设计原则XXXX市立医院智能化工程计算机网络系统建设应体现“统一规划、总体设计、 注重实用”的原则, 遵循高起点、高标准、规范化、易管理、可扩充、安全、稳 定和经济、实用的设计思想。高性能随着网络技术的发展,网络业务的更加
3、丰富,同时网络业务所要求的数据量 也在不断增长,这些不断增长的需求促使网络设备也不断地提升性能以满足用户 业务需要。除了在技术方面不断以新技术提升网络可用性外,还通过设备所具备 的高性能,满足用户对数据量、对数据业务种类的严格要求。考虑到在实际网络 中,大量运行的信息是数据量比较大的图象信息,而且使用用户多,数据调用频 繁,使用时间相对集中,这就要求网络设备,特别是核心设备具备大数据量处理 能力,同时能提供线速的数据交换能力,保障网络核心的高效处理性能。除了具 备先进性以外,同时也要兼顾技术的成熟性,保障设备能稳定地提供先进的业务。高可靠网络中所涉及的网络设备,采用了电信级的高可靠设计。内网核
4、心交换机采 用双核心架构,每台核心交换机配置了双引擎双电源,确保网络应用不会出现中 断。外网采用单核心设计,也配置了双引擎双电源,实现高可靠。安全性网络路由信息交换安全策略:包含路由器的认证,路由信息过滤,多种动态 路由协议信息交换控制等。易管理维护由于采用 TCP/IP 协议这种非面向连接的网络层互连协议,网络的管理重点 在于网络的结构化设计。整个网络的服务提供均建立在一层次化方式,也就是当 新的用户接入到网络之中不会影响网络的骨干,管理人员只需在相应接入设备做 相应的配置即可,因此网络管理简单、高效。可靠性和自愈能力网络具备良好的运行可靠性和自愈能力。(1)链路冗余在主干连接(主干设备之间
5、及其与汇接设备之间的连接)具备可靠的线路冗 余方式。建议支持采用负载均衡的冗余方式,即通常情况下两条连接均提供数据 传输,并互为备份。主线路切换到备份线路的时间应小于50ms,以充分体现采用光纤技术的优越性。这种高速的网络自愈特性应可以保证不会引起IP路由的重新计算,不会引起业务的瞬间质量恶化,更不会引起业务的中断。(2)模块冗余主干设备(核心层设备和汇聚层设备)的所有模块和环境部件应具备1+1或1: N热备份的功能,切换时间小于3秒。(3)部件冗余在电信级的核心设备上为了提高其运行的稳定程度,都要求关键部件,如电 源、散热等部件的冗余备份工作能力,保障设备不会因为部件的故障导致业务停 顿或性
6、能下降。(4)拥塞控制与服务质量保障拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样,网络的数据流量突发是不可避免的, 因此,网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。4.3 设计目标XXXX市立医院需要为信息系统的应用提供一个安全、可靠、可管理、共享的 网络平台,满足医院内医护人员和患者信息共享、应用互通的需要。XXXX市立医 院计算机网络系统设计,将达到以下目标:能保证网络核心层的可靠运行;可提供全网络的QOS保障视频会议等重要应用的实施; 网络平台为视频会议系统的不间断服务提供保证;外网实现In ter net出
7、口,保证医护人员通畅访问公网和对外信息服务发 布的需要,并可以通过VP N接入实现医护人员的远程移动办公需要; 实现一个覆盖全院区域的无线网络,保证移动计算机设备接入网络的需 要;实现统一身份认证机制,保证有线、无线及VPN客户端接入的合法性; 实现可靠的安全保障措施(如入侵检测保护等),防止病毒、黑客对网络内部资源的侵害;能够利用全网络的访问控制策略,保障网络的安全性;实现全网络的监控; 实现网络的统一和分级管理。 实现网络的高带宽、链路冗余和全方位安全; 外网采用核心和接入二层拓扑架构,实现核心层万兆交换,主干千兆, 接入层上行千兆主干,下行百兆接入办公用电脑; 内网采用核心、汇聚和接入三
8、层拓扑架构,核心交换具备高性能高可靠 的双核心双机热备。汇聚层实现万兆交换,万兆主干上行接入核心,下 行千兆主干到接入交换机。接入交换机百兆接入办公用电脑,千兆上行 接入汇聚层。4.4 系统设计4.4.1 网络划分及整体设计网络系统为XXXX市立医院基础网络平台,整体设计满足如下功能:为His、PACS应用系统提供一个强有力的网络支撑平台; 适应当前网络多业务服务的发展趋势,同时具有最灵活的适应、扩展能 力; 一体化网络平台:整合数据、语音和图像等多业务的端到端、以IP为 基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量 管理、服务质量管理、资源管理; 数据安全:网络系统平台提供
9、对外服务、对内用户接入的全面安全性, 保障医院医疗信息系统稳定运行。整个基础网络共分为内网、外网两个部分,两套网络物理隔离。内网内网主要承载着医院0A系统、MIS系统、HIS系统、PACS等与医院工作相关业 务数据。采用三层网络结构:核心层、汇聚层与接入层,核心层至汇聚层采用万 兆骨干,汇聚层至接入层采用千兆骨干,接入层百兆到桌面,核心层设置采用核 心交换机。外网外网主要作用为INTERNET接入,满足内部工作人员与住院人员访问互联网等 业务的需求。网络设备支持组播、QOS等技术。网络结构采用二层网络结构:接 入层与核心层,千兆骨干,百兆到桌面。无线接入无线网络主要作用为移动计算机设备接入网络
10、提供平台,无线AP采用胖AP 方式,现场直接供电。4.4.2 系统拓扑结构及层次XXXX市立医院计算机网络系统按照目前国际标准的以太局域网设计规范,各 个网络系统均采用星形网络拓扑结构。采用三层网络结构:核心层、汇聚层与接入层,核心层至汇聚层采用万兆骨 干,汇聚层至接入层采用千兆骨干,接入层百兆到桌面,核心层采用双核心交换尢桂汇聚愤云袅A网骨中心咳心交抿大搂汇聚楼层按入褛层接入网络架构示意图(内网)内网采用二层网络结构:接入层与核心层,千兆骨干,百兆到桌面。核心层采用 单核心交换机。X网管中心网络结构示意图(外网)核心交换楼层接入楼层按入4.4.3 网管系统设计网络管理体系是保障XXXX市立医
11、院计算机网络稳定、安全运行的必要条件。网络管理体系是网络管理系统和网络规章制度的有机结合。其中,网络管理系统 是一套网络管理工具,其基本功能为配置管理、性能管理、故障管理、安全管理 和应用管理;好的网络管理系统可以帮助用户在很大程度上优化网络结构,预防 和及时排除故障,减少网络的维护费用。而一套切实完善的网络管理规章制度, 则是达到网络管理目标的行政手段。在网络管理体系的建设中,二者不能缺少。4.4.4 网络安全设计通过配置硬件防火墙、IPS入侵检测系统以及防病毒等系统来增加XXXX市立医院的互联网接入网络和远程会诊网络的安全。对于内部网络和保安视频监控系 统局域网应建立内网安全管理系统。4.
12、4.4.1防火墙通过在网络边界部署防火墙可以实现以下作用:根据IP、端口、服务、协议、数据包标识等进行过滤,切断不必要的服 务连接; 网卡/网段绑定,防火墙内网、外网网卡可分别与所对应的网段绑定, 防止IP地址欺骗; 用户身份的识别; 网络地址转换; 内容安全的管理; VPN加密数据通信;流量控制,控制In ter net对外网服务器的访问流量;常见攻击防范:只允许某些类型(如回应请求类型)的ICMP数据报文通 过等,抵制ping of death攻击; 访问日志记录、备份、查询,向管理员提供入侵行为的审计记录。 4.4.4.2入侵检测系统在边界访问控制机制中我们采用了属于被动防御的防火墙技术
13、,它们可以为XXXX市立医院网络系统提供良好的边界安全,但从整体安全的角度考虑仅仅有防 火墙远远不够。因为: 防火墙只能抵制一些普通的基于网络的攻击,对于很多特定的基于主机操 作系统、基于应用的攻击防火墙无能为力。 防火墙不能完全抵制来自所防护内网的攻击。因此需要在XXXX市立医院网络系统内部部署主动监控的安全机制,通过与传 统的被动防御防火墙技术共同使用,达到提高网络和系统的安全防护水平的目的入侵检测技术就是目前比较流行主动监控技术,它是通过从计算机网络或计 算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到袭击的迹象的一种安全技术。通过入侵检
14、测系统, 可以实时检测到各种攻击,同时实时做出各种预先定义的响应,力求作到在黑客 造成破坏之前发现问题,解决问题。4.4.4.3 网络安全管理系统网络安全管理系统主要包括以下几部分:终端管理系统、补丁管理系统和文 件保密管理系统组成,终端管理系统可帮助用户实现桌面行为监管、外设和接口 管理、准入控制、非法外联监控和终端资产管理功能;补丁管理系统能帮助用户 实现系统漏洞分析、补丁自动分发、分发策略管理和分发流量控制功能;文件保 密管理系统则能帮助用户实现对文件、目录、磁盘和U盘的保密管理功能。4.4.5 组网技术设备的备份:消除单点故障,核心设备的主要部件均为双冗余配置,保证网 络及业务的不间断
15、性;互连线路的备份:避免单路故障,提高网络路径冗余,线路应尽可能使用不 同服务商线路,并考虑异构线路;路由备份:自动选路和迂回,做到当某部分网络出现意外而发生通路切换时, 这些操作对上层业务主机是透明的。4.4.6QoS 支持能力核心交换机需提供丰富的Diffserv/QoS支持,提供多种规则组合条件下的流 映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调 度和输出流整形等功能,真正做到业务区分并保证带宽/时延/抖动在限定的范围 之内,可以为用户提供具有不同服务质量等级的服务保证,使骨干网真正成为同 时承载数据、语音和视频业务的综合网络。4.5主要产品描述4.5.1核心交换机H3C S750OE系列高端多业务路由交换机核心交换机产品概述H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面 向融合业务网络的高端多业务路由交换机,该产品基于 H3C 自主知识产权的 Comware V5操作系统,以 IRF2 (Intelligent Resilient Framework 2 第二代 智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、 网络安全、无线、
