《某医院网络建设方案详细》由会员分享,可在线阅读,更多相关《某医院网络建设方案详细(13页珍藏版)》请在金锄头文库上搜索。
1、.目录一医院网络建设需求.21.1 整体需求概述.21.2 内网需求.21.3 外网需求.3二医院业务应用分析.42.1 医院业务划分.42.2 医院业务系统的需求.4三医院网络组建.63.1 网络拓扑.63.2 网络组建分析.63.3 核心层设计 .73.4 接入层设计 .73.5 网络可扩展性.7四 产品概述.74.1S7500E 产品概述 .74.2S5120-24P-EI 产品概述.101 / 13.一一医院网络建设需求医院网络建设需求1.11.1 整体需求概述整体需求概述1、为 HIS、PACS等应用系统提供一个强有力的网络支撑平台;2、网络设计不仅要体现当前网络多业务服务的发展趋势
2、 ,同时需要具有最灵活的适应、扩展能力;3、一体化网络平台:整合数据、语音和图像等多业务的端到端、以 IP 为基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理;4、数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。5、医疗信息的安全保护,也是组要的环节,网络的设计不仅要考虑用户与服务器之间的互联互通,更要保护关键服务器的安全和内部用户的安全。1.21.2 内网需求内网需求内网是医院核心网络系统,用于开展日常医疗业务HIS、LIS、PACS、财务、体检系统等的内部局域网,系统应稳定、实用和安全,具有高宽带、大容量和高速率等特点,并具备
3、将来扩容和带宽升级的条件。网络设计要求:1、主干网络一台 7503E,全局 MSTP 链路冗余,千兆接入交换机实现千兆到桌面。2、配备的网管软件应提供可视的形象化的图形界面 ,对整个网络中网络产品的全部端口进行监视和管理;可选3、交换机互连采用多条链路捆绑,防止链路瓶颈,并提供链路冗余。由于医疗行业的特殊性,医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息,要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加,网络需要留2 / 13.出足够余地扩容而不影响医院正常的工作。网络应用设计要求:1、院内核心网络系统 HIS、PACS和 LIS、体检系统等应用分别单独组网。以
4、子网的形式组成医院的整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。2、新建的网络系统应充分考虑跟现有网络系统的平滑接入 ,不影响现有系统的正常运行,并考虑和现有网络系统实现网络冗余。4、传输动态图像的部门有:放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室ICU、CCU 等、手术室、麻醉科、视频示教室和会议室等。5、医保是专线接入。须配置医院内网与专线网的接口。6、为了更好地服务于医疗科研工作 ,需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采
5、集并且保存下来 ,在需要时,可随时还原。因此,须考虑将医院所有的监护仪器和大型设备都联网。1.31.3 外网需求外网需求外网原则上是指除医院内网之外的所有网络系统,包括 INTERNET、银联系统、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、电视监控信号传输、BA、安防监控、视频会议系统、公共区域无线上网等。以上系统建议分别单独组网,以子网的形式组成整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。3 / 13.二二医院业务应用分析医院业务应用分析2.12.1 医院业务划分医院业务划分医院的业务系统有很多,而且不同的专科
6、医院业务系统也有很大区别,但以下一些业务系统是医院都具有的:门诊系统住院系统体检系统PACS系统医院管理经济系统区域医疗系统2.22.2 医院业务系统的需求医院业务系统的需求1 1 门诊系统门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等,门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和 QoS 的要求。2 2 住院系统住院系统住院业务是医院的另一个主要组成部分,是医院经济收入的主要来源,同时还直接关系到重病患者的生命安全,具有以下几个特点:住院业务的网络上流动着
7、重症病人生命数据和各种新业务数据;住院业务保存有患者病案数据和住院费用数据;医生移动查房;4 / 13.病人呼叫系统;网上视频监控系统;针对住院业务的以上特点 ,住院业务对网络提出了高可靠性 、安全存储、QoS 和无线局域网、VoIP和视频会议系统的需求。3 3 体检系统体检系统现在很多医院建立专门的体检大楼,以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单,它对网络的需求主要体现在安全性上,如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。4PACS4PACS系统系统医院的 PACS 系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理
8、,并在全院范围内进行共享,由于是各种图形图像数据,因此具有存储量大的特点,为了更好的服务于医院业务,PACS 业务对支撑系统提出以下要求 :存储量大、扩展性强、数据快速存储、数据容灾、高带宽5 5 管理经济系统管理经济系统医院管理经济系统主要是人、财、物的管理,包括人事、财务管理、药品药库管理等,因此它最大的需求是数据在服务器端和网络上的安全,保证这些数据不会泄露。6 6 区域医疗系统区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用,另一方面充分利用各家医院的特色科室的力量,区域医疗把这些资源进行共享和整合,这需要稳定的广域网连接。根据初步的需求,我们按照内外网分离的原则,建成后的南扩大楼的
9、新机房将成为以后医院的核心,原有机房成为备份冗余机房。5 / 13.三三医院网络组建医院网络组建3.13.1 网络拓扑网络拓扑3.23.2 网络组建分析网络组建分析本次拓扑使用的是光纤连接接入交换机 ,现在大多部分公司全部使用光纤连接接入交换机,因为光纤传输距离远、速度快、抗干扰能力强、传输数据流量较大、损耗低、工作性能可靠。双绞线,传输过长信号衰减 ,抗干扰能力比光纤弱 ,传输数据流量比光纤少。为了保证网络的安全性于稳定性,本次方案使用光纤连接。并通过利用防火墙插卡手段来访问内外网 ,可为内外网的整体防护提供安全措施。网络应用设计要求:1、院内核心网络系统 HIS、PACS和 LIS、体检系
10、统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。2、新建的网络系统应充分考虑跟现有网络系统的平滑接入 ,不影响现有系统的正常运行,并考虑和现有网络系统实现网络冗余。4、传输动态图像的部门有 :放射影像科、PET/CT、核磁共振 MRI、介入放射科 DSA、B 超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室ICU、CCU 等、手术室、麻醉科、视频示教室和会议室等。5、医保是专线接入。须配置医院内网与专线网的接口。6、为了更好地服务于医疗科研工作 ,需要将各类监护治疗仪器上的
11、各项生6 / 13.命体征等信息以数字化手段采集并且保存下来 ,在需要时,可随时还原。因此,须考虑将医院所有的监护仪器和大型设备都联网。3.33.3 核心层设计核心层设计核心网络设计通过采用华三网络基于万兆平台的核心交换机,完成全网的数据转发的和控制,接入层设备上联至一台 S7503E 核心交换机.3.43.4 接入层设计接入层设计接入层采用华三网络 S5120接入层设备。有效防止 ARP 欺骗,证网络安全。3.53.5 网络可扩展性网络可扩展性本次拓扑考虑到网络的扩展性,核心采用 S7503E 考虑到未来医院网络扩展性,S7503E支持IPV6,如果未来计算机网络采用了IPV6协议,医院不用
12、花高昂的经费购买新设备。未来三到五年发展会增加新业务,S7503E 完全能承载新的业务量,接入能力扩展性强,未来可能会增加网络信息点,S7503E 完全能承载大量信息点交换。未来增加接入层交换机数量便可实现 ,不用增加核心交换机 。S7503E处理能力,不会因为增加网络点,新业务造成网络大面积瘫痪。四四产品概述产品概述4.14.1S7500ES7500E 产品概述产品概述H3C S7500E 系列产品是 XX 华三通信技术以下简称 H3C 公司面向融合业务网络的高端多业务路由交换机,该产品基于 H3C 自主知识产权的 Comware V5操作系统,以 IRF2Intelligent Resil
13、ient Framework 2, 第二代智能弹性架构技术为系统基石的虚拟化软件系统,进一步融合 MPLS VPN、IPv6、网络安全、无线、7 / 13.无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本TCO。H3C S7500E 符合限制电子设备有害物质标准RoHS,是绿色环保的路由交换机。H3C S7500E 系列包括 S7510E12 槽、S7506E8 槽、S7506E-V垂直 8槽、H3C S7506E-S8 槽、S7503E5 槽、7503E-S3 槽和 S7
14、502E7 款产品,除了 7503E-S 所有产品均支持冗余主控 。H3C S7500E 可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。产品特点产品特点基于 IRF2第二代智能弹性架构技术的虚拟化架构。H3C S7500E 面向数据中心技术的演进,推出了 IRF2 为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF2 不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2 所提供的高可靠性和无缝升级、扩展能力,也成为 H3C 用户增值服务的重要组成部分。全面的 M
15、PLS、VPLS 业务能力。H3C S7500E 所有产品均支持 Multi-VRF 特性,可以作为MCE 设备使用 ;支持三层的MPLS VPN 和二层的MPLS VPNMartini、Kompella;支持 MPLS OAM 特性,方便用户的管理和维护;与 H3CMPLS VPN Manager 配合,实现图形化的 MPLS 部署与维护。全面支持 VPLS,VLL,支持 1K VPLS 实例,4K VLL,还支持分层 VPLS 以及QINQ+VPLS 接入方式,提供端到端 2 层 VPN 接入方案,支持 MPLS/VPLS 全线速转发,满足 VPLS 规模部署要求。8 / 13.高性能 I
16、Pv4/IPv6 业务能力。H3C S7500E 支持 IPv4/IPv6 双协议栈,支持多种隧道技术,支持 IPv4/IPv6 的组播技术,为用户提供完善的 IPv4/IPv6 解决方案;H3C S7500E 采用分布式体系架构,实现 IPv4/IPv6 业务的线速无阻塞转发;H3CS7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段认证,是成熟商用的 IPv6 产品EAD 端点准入防护技术,H3C S7500E 支持大容量的 Portal 认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任
17、汇聚 /核心设备的同时 ,为学生宿舍区的认证计费提供 Portal 认证功能。全方位的安全保障,抵御多种网络安全威胁,三平面安全保障机制。H3C S7500E 提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止 TCN、ARP 等协议报文攻击,OSPF/BGP/IS-IS 路由协议采用 MD5 验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3 网管协议,SSH V2,基于 802.1x、AAA/Radius 的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面 ,支持 IP、VLAN 、MAC 和
18、端口等多种组合精细绑定 ;支持uRPF 单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。有线无线全面支持 EAD,H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分,S7500E 可以动态的接收来自安全策略服务器的控制策略 ,根据终端的安全状态给予下发相应的访问权限。H3C S7500E 既支持有线终端用户的 EAD,9 / 13.也支持无线终端用户的 EAD,能够做到终端安全防范无漏洞。增强的 ACL 特性,H3C S7500E 系列产品支持
19、强大的 ACL 能力:支持标准和扩展 ACL;支持基于 VLAN 的 ACL,方便用户配置,节省 ACL 资源;支持出方向和入方向的 ACL,满足金融等行业访问权限严格控制的需求。4.24.2S5120-24P-EIS5120-24P-EI 产品概述产品概述产品概述产品概述H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的 IRF智能弹性架构功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入 ,同时还可以用于数据中心服务器
20、群的连接。产品特点产品特点高扩展性保护投资,随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条 10GE 链路将是我们的未来发展方向。S5120-EI 系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的 10GE 扩展模块,在实现千兆汇聚或接入时保留进一步支持 10GE 的扩展能力,尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能,并可以实现基于硬件的IPv4和 IPv6 的全线速转发。同时支持 IPv6 的 ACL、QoS、组播和网管,实现 IPv4 到IPv6 的平滑升级。智能弹性架构,H3C S5120-EI 系列交换机支持 IRF2
21、第二代智能弹性架构技术,就是把多台物理设备互相连接起来 ,使其虚拟为一台逻辑设备 ,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF 可以为用户带来以下10 / 13.好处: 简化管理 IRF 架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF 形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就
22、可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展 ,保证用户投资。并且新增的设备加入或离开 IRF 架构时可以实现热插拔,不影响其他设备的正常运行。 高可靠 IRF 的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF 系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF 系统由多台成员设备组成,一旦 Master 设备故障,系统会迅速自动选举新的 Master,以保证通过系统的业务不中断,从而实现了设备级的 1:N 备份;IRF 系统会有实时的协议热备
23、份功能负责将协议的配置信息备份到其他所有成员设备,从而实现 1:N 的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而 IRF 系统的性能和端口密度是 IRF 内部所有设备性能和端口数量的总和。因此,IRF 技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。完备的安全控制策略,H3C S5120-EI 系列交换机支持 EAD端点准入防御功11 / 13.能,配合后台系统可以将终端防病毒 、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系 ,通过对网络接入终端的检查、隔离、修复、管理和
24、监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5120-EI系列交换机支持对试图接入网络的用户进行 802.1x 认证。可以在交换机上对 802.1x 客户端的版本和有效性进行验证 ,防止非法用户登录网络。支持集中式 MAC 地址认证,可以基于端口和 MAC 地址对用户的网络访问权限进行控制的认证方法 ,它不需要用户安装任何客户端软件 ,而且可以同时运行802.1x 认证和基于 MAC 地址认证。提供 Guest Vlan 功能,使得为被授权的访问端只能接入访问特定的资源,并且会采取相应的策略
25、,例如可以获得 802.1x 客户端、升级客户端或者获得其他的升级程序等等。支持 Secure Shell V2SSH V2特性可以提供安全的信息保障和强大的认证功能 ,以保护以太网交换机不受诸如IP 地址欺诈、明文密码截取等等攻击。丰富的 QoS 策略,H3C S5120-EI 系列交换机支持支持 L2Layer 2L4Layer4 包过滤功能,提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、TCP/UDP 端口号、协议类型、VLAN 的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持 SP、WRR、SP+WRR 三种模式。支持CAR 功能
26、,粒度最小达 64Kbps。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。出色的管理性 ,H3C S5120-EI 系列交换机支持SNMPv1/v2/v3Simple12 / 13.Network Management Protocol,可支持 Open View 等通用网管平台以及 iMC智能管理中心。支持 CLI 命令行,Web 网管,TELNET,HGMPv2 集群管理,使设备管理更方便,并且支持 SSH2.0 等加密方式,使得管理更加安全。H3C S5120-EI 系列交换机支持基于 MAC 地址划分 VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和 VLAN 下发 ACL 策略,在简化用户配置的同时,也大幅节约了硬件资源。13 / 13
