医院网络设计方案

微信扫码，打开到小程序

-- 第一章:需求分析 1.1 项目背景 1.2 用需求分析 1.3 信息点分布 第二章：总体设计 ２.1 设计原则与思路 ２．2 设计目标 2.3 网络拓扑图 2.4 ＩＰ地址规划 2．5 VLA Ｎ划分 第三章：详细设计 3．１核心层设计 3．2 汇聚层设计 3.3 接入层设计 3．4 数据中心设计 3.5 互联网接入设计 第四章:设计方案技术 4.1 冗余与负载均衡设计 -- -- 4.2 路由设计 4.3 网络安全设计 ４.4 网络管理与维护设计 4.5 虚拟专用网 4.6 在网络中部署Ｑ oS 4.７可扩展性设计 第五章：网络设备选型 第六章：总结与鸣谢 前言 大多数医院信息化建设发展经历了从早期的单机单用户应用阶段,到部门级和全院级管 理信息系统应用;从以财务、药品和管理为中心，开始向以病人信息为中心的临床业务支持 和电子病历应用;从局限在医院内部应用,发展到区域医疗信息化应用尝试。 近几年,随着以“以病人为中心,以提高医疗服务质量为主题”的医院管理年活动,各地医院 纷纷加强信息化建设步伐。根据权威机构对医院信息化现状调查显示,以费用和管理为中心 的全院网络化系统应用已经超过了８ 0%。住院医生工作站系统,电子病历、全院Ｐ ACS、 无线查房、腕带技术、RFID、万兆网络、服务器集群、数据虚拟容灾等先进的系统和网络 技术已经开始应用。 医院通过信息化系统建设，优化就诊流程,减少患者排队挂号等候时间,实行挂号、检验、 -- -- 交费、取药等一站式、无胶片、无纸化服务,简化看病流程，杜绝“三长一短”现象，有效解 决了群众“看病难”问题。 现在中国医院信息化的发展,到了一个新的关口。200 ９ 年新医改方案公布,方案中把 信息技术明确的列为支持医改成功实现的八个主要支柱之一，这是从未有过的事情,我国医 疗卫生信息化面临从未有过的机遇与挑战。方案还明确要求启动建立居民健康档案和电子 病历，实现医疗信息的整合、共享和交换，以缓解医疗信息化发展的不平衡，系统分割独 立、连续性和协调性差,业务流程不统一等问题。 医疗行业信息化正在走向如何利用信息化技术减少医疗差错,如何利用信息化技术进行 医疗服务的创新,如何将分散的医疗资源整合，为患者提供更完善的服务的方向。 锐捷网络作为国内领先的网络设备及解决方案供应商，始终致力于推动医疗信息化的 发展，为促进我国公共卫生事业贡献自己的力量。在过去的几年中，锐捷网络在医院信息 化建设,区域卫生信息化建设领域专注研究、探索、实践,不断完善产品及解决方案,使之服 务于全国数百家大中型医院及医疗服务机构，定制的方案、可靠地产品、优质的服务得到 了广大用户的认可和支持。 第一章 需求分析 1．１项目背景 本次院方新建了一栋 6 层的门诊大楼,我公司承担了新建大楼的内网部署，使之达到如 -- -- 今医疗系统对网络的普遍要求,网络整体高速稳定的运行，易于管理且安全可靠、实现了海 量数据的高速传输以及可扩展性等。此外还要求建立医院与社保、医保、银行机构、干保 系统的Ｖ PN 连接。 1.2 用户需求分析 （1）网络系统稳定性需求：能够保证整个网络的稳定、可靠，保证在单点故障的情况下 不会对整个网络造成冲击，保证核心、骨干设备在出问题的时候能够无缝的恢复或切换。 （2）网络传输性能需求：能够通过有效的网络带宽控制技术和服务质量保证技术,来满足 医院对于不同数据传输的需要。 （3）网络系统安全性需求:能够保证整个系统的保密性、完整性、可用性、可审核性。关 键设备必须有备份系统且能够通过有效的手段控制和防御网络病毒的攻击。 （4）网络系统管理维护需求：能够及时有效的发现网络中的异常流量,有效的控制网络设 备,及时的对异常网络设备进行远程控制且操作简单、方便管理与维护。 （5)远程接入需求:能够为医院外部特殊用户提供安全保密的信息,实现高速安全的广域网数 据传输。 1.3 信息点分布 新建楼栋(６层门诊大楼)信息点分布如下表。 层数 信息点数量 1 楼 2 楼 ３楼 4 楼 5 楼 6 楼 表 1－1 新建门诊大楼信息点 -- -- 第二章 总体设计 ２.1 设计原则与思路 (1)先进性 世界上计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充分注意 先进性,选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。 网络设计要考虑通信发展要求。 （2)可靠性 系统能长时间稳定可靠地运行，并保证系统安全，防止非法用户的非法访问。系统不 能出现故障，或者说即使有设备出现故障，对网络和网上的数据不构成大的威胁,要有设备 对数据作备份。 （3）实用性 系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上 追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适 应企业的内部需求,员工的工作特性等。 （4)安全性 企业计算机网络都与外部网络互连互通日益增加,都直接或间接与国际互连网连接。企 业的商业机密，员工资料，市场和销售信息等敏感信息关系到企业生存利害。因此,在系统 方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。 （5)可扩充性 系统规模及档次要易于扩展,可以方便地进行设备扩充和适应工程的变化,以及灵活进行 软件版本的更新和升级,保护用户的投资。为将来系统的升级、扩展打下良好的基础。 2.2 设计目标 (1）各楼层直接与？?楼的中心机房经过万兆单膜光纤互联，要求实现万兆骨干,千兆到桌面 -- -- 的全网设计； （2）网络核心，要求考虑采用双核心架构，万兆互联，充分考虑网络的稳定性与冗余,以 及灾难恢复。 (3)数据中心，位于门诊楼?？楼,拥有各类型的服务器??台,要求配置一台专门的高端核心交 换机／数据中心交换机,且双万兆链路与核心互联。 （4）网络出口设计需要考虑四条出口,一是社保局的Ｖ PN 出口，二是医保Ｖ PN 出口,三是 银行机构Ｖ PN 出口、四是干保 VPN 出口,且各条Ｖ P Ｎ出口均是独立的电信或者联通线路。 出口设计要求安全、可控。 2.3 网络拓扑图 网络设计依照“万兆核心、千兆支干、千兆交换桌面”的要求采用三层结构，重要部分 双链路冗余,双设备冗余，核心层采用两台 RG-Ｓ 86 １０系列交换机，门诊大楼汇聚层采 用两台 R Ｇ-Ｓ 6 ５ 06 系列交换机,门诊大楼各层接入层采用 R Ｇ－S ２ 90 ０系列可堆叠交 换机,在数据中心部分采用两台 RG-S ５ 750 系列交换机,除接入层到终端使用千兆以太网链 路外，其他全部使用万兆光纤链路。除接入层到终端不进行冗余外,其他部分均有冗余。汇 聚层、核心层互联均使用双万兆光纤聚合,数据中心到核心层链路也使用双万兆光纤聚合， 整个网络使用锐捷 S Ａ M 进行身份认证,S ｔ ar-Ｖ i ｅ w 进行网络设备管理。 核心层旁部署 RG-ID Ｓ２ 000 用于审计整个网络,为各种事件提供证据。其数据也作为 当前网络运行状况与后续网络扩充的参考。 -- -- 表 2－１ 网络拓扑图 ２.４ IP 地址规划 在网络 IP 规划中，网络设备（交换机、路由器等）使用 192.168.0.０／24 这个地址 块，医院使用整个１０．0.0.０／８私有地址块,应用服务器,验证和管理系统使用１０.0.０. ０-1 ０．1 ０.25 ５．２ 55 这个网络块, IP 地址池 10.11.0.0-10.90．2 ５ 5．２５ 5 均用 于本地网络，按部门分配使用,多余部分保留,IP 地址池 1 ０．９ 1.0.0-10．100.255.255 用 于无线网络，对于可能的分院建设,预留 10.１０ 1.0.０-1 ０.15 ０.2 ５ 5.2 ５５用于分院的 IP,分院 IP 和总院 I Ｐ统一编址，可实现通过 VPN 的站点到站点完全互访，即分院与总院在 逻辑上就是一个大的整体网络。对于远程接入用户，使用 10.151.0.0-10.１６ 0．２ 55.25 ５网段。总体如下表所示: IP 段 用途 192.１６ 8.0.0/２４ 网络设备(交换机、路由器等） 10.０．０.0-１ 0.10.２ 55.２ 55 应用服务器 10.1 １.0.0－1 ０.90.２ 55．255 医院本地网络（按部门分配） １ 0.91.0.０－１ 0.100．2 ５ 5.255 医院本地无线接入设备 1 ０.101．0.0-１ 0．150.25 ５.255 医院分院建设 10.１ 51．0．０－10.1 ６ 0.2 ５ 5.2 远程接入用户 -- -- ５ 5 表２-2 医院 I Ｐ段规划 在汇聚层交换机上建立Ｉ P 池,开启 DHC Ｐ Se ｒ ver，根据终端所属 VLAN，动态分配 楼栋各层的设备的 I Ｐ。对于需要静态ＩＰ的设备,由管理员根据 IP 规划表手动配置。 对于数据中心中需要被外部访问的设备的 IP 划分，需要被其他系统访问的设备均使用 唯一的外网 IP，在出口处不添加这些 IP 的路由，这样外网无法访问到这些设备,对于 VPN 连 接进入的用户和站点到站点的 VP Ｎ额外添加路由，使这些设备能被访问。 医院拥有 218.78.5.0/24 这个外网 IP 块。按如下表单分配 IP 地址。 设备名 地址 出口路由 218.78.5.1/24 出口防火墙 2 １ 8．７８.5．5/２ 4 …… …… Web 服务器 218.7 ８.5.１ 1/24 F Ｔ P 服务器 2 １８.７ 8．5．1 ２/２ 4 邮件服务器 218.78．5．１ 3/24 …… …… VPN(IP Sec) 2 １ 8.78．5.10 １／2 ４ VP Ｎ(SSL） 2 １８．７ 8.5.１０５／24 … … 表２-3 外网可访问设备 I Ｐ规划 2.５ VLA Ｎ划分 Vla ｎ划分原则根据用户的工作部门划分ｖ lan 部门 Ｖ LAN ID 网络地址 子网掩码 网关 服务器群 Ｖ LA Ｎ １ 10．１.0.0 ｜ 1 ０.1.255．２ 5 ５ 2 ５ 5.2 ５ 5．0.0 1 ０.1.0.1 -- -- … … … … … 门诊部 VLAN １ 0 10．１ 0．０． ０ | 10．1 ０．2 ５ 5.２ 55 255．255.0.0 1 ０.１０.0.１ 住院部 VLAN 1 １ 10.1 １.0.０ ︳ １ 0.1 １.255.255 2 ５ 5.255.0.0 １ 0．１ 1．0.1 … … … … … 网络设备 Ｖ LAN 520 19 ２.１ 68.０.0 ︳ 192．1 ６ 8.255.255 2 ５ 5.25 ５.0.０ １９ 2.１ 6 ８. ０.１ … … … … … 表 2-3 VLAN 规划 第三章 详细设计 3.1 核心层设计 大型医院网络的核心网主要完成整个医院内部不同部门之间的高速数据路由转发，以 及维护全网路由的计算。鉴于大型医院的用户数量众多,业务复杂，QO Ｓ要求较高、以及 对链接线缆和模块数量等要求较高的这些特点。本方案中核心部分采用两台Ｒ G-S8610 交 换机,通过两条万兆光纤互联,与楼栋汇聚层、数据中心、出口、IDS 均采用万兆光纤互联且 有冗余链路，保证了网络的高速与稳定。 I ＤＳ采用 RG-I ＤＳ 2000S,RG-IDS2 ０ 0 ０Ｓ以旁路的方式在网络中部署，实时监测 网络运行状况与网络安全。 -- -- ３．２汇聚层设计 汇聚层网络主要完成医院内各部门内接入交换机的汇聚及数据交换和ＶＬＡ N 终结以 及实施与安全、流量负载和路由相关的策略，在本方案中汇聚层采用两台 RG－S650 ６交 换机,各楼层接入层交换机都通过万兆光纤分别与这两台交换机相连,实现冗余。汇聚层交换 机同时与核心层两台交换机万兆光纤互联。实现高速 ３．3 接入层设计 接入层网络主要完成为局域网接入广域网或者终端用户访问网络提供接入,在本方案中 采用 RG-S ２ 9 ０ 0 交换机。根据不同楼层可能的信息点增加情况，按该楼层整体接入点 的 10%-３０%进行接口预留，用于扩充，若进行更大规模的信息点增加,则需购置新的模 块或设备。接入层交换机同时与一楼两台汇聚层交换机通过万兆光纤相连。实现高速、稳 定。 RG-S2 ９ 51XG 每台有 48 个千兆以太网口。一楼共？？个信息点，除去？？台各种服 务器之后剩余？？个信息点，经计算各楼层需要的交换机数量如下表。 表 3-1 各楼层所需交换机数量 ３．4 数据中心设计 门诊大楼数据中心汇聚在Ｒ G－Ｓ 5750,外连Ｒ G－WALL1600 后到网络核心层,数据 中心流量较大，因此通过双万兆链路与核心层相连，且有冗余链路。使用了两台 W ＡＬ L1600 防火墙保证数据中心的高安全。 数据中心有各种应用服务器,Ｓ A Ｍ身份认证系统，Ｓ T Ａ RT－Ｖ I Ｅ W 设备管理系 统，R Ｇ－WS5708 无线控制器，同时有一套存储系统。 -- 楼 层 １ 2 3 4 5 6 数 量 -- ３.5 互联网接入设计 出口处使用了 RSR ５ 0 路由器与 RG-WA Ｌ L1600 防火墙。出口处仅使用了一个防火 墙，若万一设备故障，此级防火墙防护失效,但数据中心防护仍在,网络数据中心的安全性不 会降低,且网络有其他安全策略，仍旧保证了整个网络有足够的安全性。 出口做策略路由，出口网通流量走网通线路,其他出口流量走电信线路，配置到１ 0.０． 0．0/8、到医院应用服务器 IP 的路由,在出口处路由处配置 N Ａ T,将源地址为１ 0.0．0.0 ／8 的包映射到外网。 第四章 设计方案技术 4.1 冗余与负载均衡设计 冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。在此方案中， 采用 G Ｅ C 链路聚合（I Ｅ E Ｅ８ 02.3a ｄ）实现端口级冗余,以克服某个端口或线路引起的 故障。也可采用生成树协议（IE Ｅ E802.1d)提供设备级的冗余连接。在网络的每个关键结 点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用 了一台锐捷网络的 RG－S86 １ 0 高密度多业务 IPV6 核心路由交换机和Ｒ G-S8 ６ 10 核心交 换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最 大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的区块，我们采用的两台锐 捷网络的核心多业务 IPV6 核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块， 我们采用了两台锐捷网络的 R Ｇ-S6 ５ 0 ６交换机多层交换机做到冗余与负载均衡。 4.2 路由设计 网络不需要运行动态路由协议。在核心层添加各个楼栋 VL ＡＮ,无线接入用户ＶＬ AN 到数据中心 VLAN 相互之间的路由，添加到出口设备的默认路由。添加出口路由到需要被 外网访问的服务器的路由，添加 V Ｐ N 接入用户到应用服务器群的路由。 -- -- ４.3 网络安全设计 (１）网络整体安全性:内网出口处有防火墙，选用锐捷 RG-W Ａ LL1600E 防火墙,可为内网的 整体防护提供安全措施。数据中心也设置了防火墙，让数据中心始终拥有很高的安全性。 (2)防范Ａ R Ｐ攻击:网内除终端设备外,所有设备的ＡＲ P 表有可信的第三方发布（位于数据 中心的安全设备),该 A ＲＰ表绑定所有重要设备Ｍ A Ｃ与 I Ｐ。 （3)控制网络病毒:在汇聚、核心交换设备设置由硬件实现 A Ｃ L,对病毒进行过滤,我们选用 的汇聚、核心交换设备都支持 SPOH（同步式硬件处理)，所以在使用Ａ CL 时将不会影响整 个交换机的性能。SP Ｏ H（s ｙ n ｃ hro ｎ i ｚ at ｉ on ｐ rocess o ｖｅ r hardw ａ r ｅ)即 ＂同步式硬件处理"，通过最新的硬件芯片技术，让交换机每个端口都具备独立的数据处理 能力,实现了端口级的数据同步交换,达到在高效应用 Q0S 和 A Ｃ L 功能同时，交换机仍然保 持海量数据的全线速转发，有效解决了网络的拥堵和安全问题。 （４）D Ｈ CP：开启接入层交换机的 DH Ｃ P S ｎｏ o ｐ i ｎｇ功能，仅汇聚层交换机的 D Ｈ C Ｐ通过,其他 D Ｈ CP 包会被过滤掉。 (５)抵御网络攻击：结合网络攻击的检测系统，能够抵御日益增多的内部网络攻击，并且 自动对用户做出相应的控制动作,保证网络安全。 (6）安全认证：采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网 时身份唯一，并且避免了 I Ｐ冲突。除不需身份认证的设备外,其他设备入网均需一次身份 认证，根据认证结果发放权限，同时某些重要应用服务器可能还需要进一步的身份认证。 (7）I Ｄ S:入侵检测系统以旁路的方式在网络中部署，并且实时检测数据包并从中发现攻击 行为或可疑行为。在此选用锐捷ＲＧ-Ｉ DS ２００ 0 Ｓ，RG-IDS 在网络中能够阻止来自外 部或内部的蠕虫、病毒和攻击带来的安全威胁,确保企业信息资产的安全,能够检测因为各种 IM 即时通讯软高效、全面的事件统计分析，能迅速定位网络故障,提高网络稳定运行时件、 P ２ P 下载等网络资源滥用行为，保证重要业务的正常运转，能够间。 4.4 网络管理与维护设计 为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管 理的效率,采用锐捷网络基于 RIIL 平台的“业务运行健康管理中心”(RG-RII Ｌ-BMC)实现对网 络和业务应用系统的集中智能管理,可以让有限的 I Ｔ运维人员精力和Ｉ T 预算投入到最关 键的资源的维护和保障中,切实降低复杂 IT 环境的管理难度，更轻松地把握支撑关键业务 -- -- 的网络和系统的运行状态，并不断提升关键业务系统的运行服务质量水平,提升用户满意度。 系统能对每个客户上下行的带宽上限加以限定,防止个别客户占用过多网络资源。还能对不 同的用户数据设定业务优先级, 以保证重要数据能得到更好的服务。 锐捷网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使 用的特点。而且具有强大的运行维护能力，能有效降低运营商的运维成本。支持 R Ｓ-232 本地管理口及 Telnet、Ｗ EB、ＳＮ MP 代理，远程监控（RMON 1~3，９组)可根据运营商 的不同要求，使用不同的管理方案，支持 SNMP 协议的全网集中网管。交换机能够提供全 中文菜单或图形配置方式,为交换机的管理和配置提供了极大的便利。