《县人民医院网络设计方案(共82页).doc》由会员分享,可在线阅读,更多相关《县人民医院网络设计方案(共82页).doc(83页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上目 录专心-专注-专业1 医院网络概述1.1 概述1.1.1 业务挑战随着医院信息化水平的提高,正逐步建立统一高效、资源整合、互联互通、信息共享、透明公开、使用便捷的医院信息系统。而我国各大医院在医院信息化发展过程中,业务系统面临的安全威胁也日益增长。如:因网络访问控制和终端准入控制不力导致的对核心业务的威胁;医院的统计信息、孕妇新生儿信息被打包出售等较为恶性的数据安全事件;由于蠕虫、病毒的入侵导致的系统故障等信息安全事件等。同时,随着医疗改革的逐步深入,医保卡的使用使得医疗机构与银行、社保等机构需要更多的数据交换及实时结算。在这种情况下,如何保证信息安全是医院信息化
2、建设必须解决的关键问题之一。因此,按照等级保护要求进行符合国家及行业政策规范的信息安全体系建设,符合医院信息化建设的根本利益。1.1.2 政策驱动信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度增长。为贯彻落实国家信息安全等级保护制度,规范和指导全国卫生行业信息安全等级保护工作,按照公安部关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)要求,国家卫生部结合卫生行业实际,研究制定了卫生行业信息安全等级保护工作的指导意见(卫办发201185号)。意见指
3、出,国家、省、地市三级卫生信息平台的安全保护等级原则上不低于3级。1.1.3 解决方案我们长期密切跟踪国家等级保护相关政策,参与了等级保护标准制定与研讨、国家项目等多项相关工作,熟悉各行业的安全需求和特点,熟悉等级保护的具体要求。通过深入分析用户业务的安全性,对用户的业务安全现状进行客观的评价,结合用户需求,制定等级保护定级方案、整改和安全建设方案。方案内容如下(图1:系统设计):图1:系统设计1.1.4 等级保护服务方案信息系统安全等级保护基本要求(GB/T22239-2008)中,为基本技术要求和基本管理要求两大类,其中技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性
4、和保密性保护、边界防护、恶意代码防范、密码技术应用等,以及物理环境和设施安全保护要求。物理安全要求中,主要包括了物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等10个方面,比较全面地提出了在物理安全方面的基本安全要求。网络安全要求中,主要包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等7个方面,主要涉及业务处理能力冗余、技术隔离、访问控制、日志审计及报表、私自内联与外联、入侵检测与防范、恶意代码防范与系统升级更新、设备访问的身份认证等方面。主机安全要求中,主要包括身份鉴别、访问控制、安全审计、
5、剩余信息保护、入侵防范、恶意代码防范、资源控制等7个方面,主要考虑了主机、操作系统、数据库系统的各种安全防护措施。应用安全要求包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等9个方面,以保障应用系统的安全。数据安全及备份恢复要求,主要包括数据完整性、数据保密性、备份和恢复等3个方面,通过采用加密、数据备份等手段,保障数据安全。1.2 项目背景本项目为县人民医院信息化基础设施建设项目,医院的HIS、RIS、LIS、PACS、EMR等信息化系统的运行要求,提供这些系统运行的信息化硬件基础设施,主要涉及医疗网络建设、网络安全建设。根据医院建筑楼宇的
6、分布布局情况,2做住院楼,1做门诊楼和1座行政楼。行政楼有6个楼层,信息中心机房位于行政楼5楼。老住院楼有6个楼层,新住院楼有12个楼层,门诊楼有3个楼层。1.2.1 项目需求现代化数字医院建设需要结合业界先进的网络技术、信息技术,为医院信息化应用及发展做全面、整体的规划。项目主要包含下面三类需求。1.2.1.1 有线网络建设需求固定网络覆盖:各楼层全覆盖,万兆骨干,千兆到桌面,骨干设备做热备。医疗核心业务系统互通:包括HIS、RIS、LIS、PACS、EMR系统等。支持与医疗专网互通,包括与社保与公卫互通,未来与区域卫生平台互通等。支撑外部用户对医疗门户网站的访问。1.2.1.2 网络整体安
7、全需求医院网络安全面临诸多挑战,既要保障各系统的连通性,也要实现严格的安全防范。包括:l 避免非授权的人员使用终端(如收费系统、医生工作站);l 防止信息泄露,如医院的关键资产(防统方)及病人隐私数据;l 确保网络能避免来自网络的各种攻击:如黑客、病毒等;整体按医院三级等保要求设计,医护内网与对外访问的外网安全隔离;不同部门及业务之间安全隔离;提供给院内员工与外部来访人员的网络访问隔离。运维需求因医院的IT人员编制较少,常常是几个人就需要维持几千人的医院信息网络7*24小时正常运行,因此网络的可管理、易维护非常重要;不仅是减轻运维人员压力,更重要的是保障网络及各应用系统的稳定可靠、安全的运行。
8、2 医院网络总体设计方案2.1 医院总体网络架构2.1.1 医院总体网络设计原则医院网络是医院业务系统关键的基础平台,承担着医院所有信息化业务的通信传输,对医院业务稳定运营至关重要,应本着以下原则进行建设:l 稳定性、可靠性、可用性可靠性是医院网络最基本的关键诉求,包括:关键设备冗余、链路/网络冗余和重要业务模块冗余。关键设备冗余,包括支持单板热拔插、冗余控制模块、冗余电源。冗余网络设计,包括双机热备,链路冗余、链路聚合。数字医院网络提供多种冗余技术,以及高效、负载均衡的备份机制。l 安全性安全性是医院网络的基本诉求,包括物理空间的安全控制及网络的安全控制。除了专业的安全设备提供的专业安全防护
9、,基础的网络设备也需要具备一定的网络安全能力,如防ARP攻击、防MAC等。一方面通过安全部署保护医院内部信息安全,一方面满足等保要求帮助医院通过等级测评。l 先进性、可扩展性与实用性结合医院网络不但需要能够满足当前需要,随着后续业务发展,未来网络也需要承载更多丰富业务及提供更优质的服务。所以,网络的可扩展性是网络前期规划的重点。同时,采用先进的网络设备,保证一次建成后长期的平滑升级,保护投资; 不追求过分超前,避免造成投资浪费。为此,在网络建设中,需注意超前性与实用性结合,确保投资有效。在实用的前提下,系统尽可能地满足各类未来演进需求,适应主流技术的变化,以确保系统的先进性。l 可维护、可管理
10、性网络可管理性是医院网络易于运维的基础。医院运维管理人员应该从繁杂的运维工作中抽出身来,更多的关注业务应用和创新。提供低成本、简单有效的统一网管,对院内有线无线网络进行统一管理,提供可视化的网络拓扑、网络状态监控、故障事件实时预警和告警、网络流量统计等。2.1.2 医院网络架构医院总体网络逻辑构架医院网络分为2张网,分别是办公网和视频监控网:办公网:主要承载医疗核心业务,如RIS、LIS、PACS、EMR等业务数据传输,要求高宽带、大容量和高速率,并需考虑未来扩容、带宽升级。同时,作为行政办公、对外发布、互联网医学资料查询的主要平台,稳定性和保密性要求低于内网,且接入终端及数据流特点也更为复杂
11、。视频监控网:主要承载IPTV,IP广播系统,视频监控,病房语音呼叫等业务。根据分层次、分模块的设计思路,结合医院实际业务需求设计整体网络架构,提供可靠安全,有线无线深度融合的网络,实现医院网络的便捷运维。l 分区设计思路由于医疗网络涉及到的业务复杂,且安全性和可靠性要求比较高,所以设计为按照不同的功能和业务将网络进行区域划分。例如服务器区域、网络接入区,视频监控区域等。功能区域的划分,能最大程度上保证各功能之间的相对独立性,以便更加方便、更加可靠的对其进行管理和维护,保证各项正常业务的不间断运行。l 分层设计思路医院网络内部节点众多,且分布不均,为了提高数据交互速度和效率,易于管理和维护,整
12、网按分层模型进行搭建和管理。核心层:核心层负责整个内部网络的高速互联,不部署具体的业务。核心网络需要实现带宽的高利用率和网络故障的快速收敛。接入层:负责将各种终端节点接入到内部网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备等。接入层交换机,通常部署在楼层配线间。2.2 办公网设计方案办公网是医院核心网络系统,是用于开展日常医疗业务(HIS、LIS、PACS、财务、体检系统等)的内部局域网,将医院网络按病房,PACS和门急诊等进行功能分区。网络逻辑分区按照分权分域的原则,将内网分为专网出口区,应用服务区,安全管理区,数据备份区,网络接入区,核心交换
13、区每个区域设定不同的互访权限。在不同的分区分别配置防火墙进行区域访问控制。在核心交换区域旁挂入侵检测设备,实时检测各种入侵攻击行为。在安全管理区部署防病毒软件,网管软件,访问控制软件,实现对内网的安全管理。同时部署数据库审计软件,对HIS,EMR等系统进行审计,满足医院等级保护要求。2.3 视频监控网设计方案视频监控网,主要承载门禁,楼控,监控,考勤和安防广播等业务。这几张网都属于设备网,但业务属性又各自不同,鉴于其接入点较少,建议采用虚拟化技术,一张物理网络虚拟出多张设备子网,将门禁,楼控,视频监控等不同的业务系统进行逻辑隔离,互不干扰,实现一网多用。设备网全部采用二层架构,接入交换机直接上
14、联到外网核心交换机。设备网连接的基本都是低速设备,采用百兆电口接入,千兆光纤上行,单核心设计。视频监控网3 医院便捷运维解决方案 3.1 统一网管EsighteSight是新一代面向园区和分支网络的管理系统,实现对资源、业务、用户的统一管理以及智能联动。eSight支持对IT&IP以及第三方设备的统一管理,同时对网络流量、接入认证角色等进行智能分析,自动调整网络控制策略,全方位保证医院网络安全。同时eSight提供灵活的开放平台,为医院量身打造自己的智能管理系统提供基础。eSight提供多种应用,包括:多厂商的设备管理;资源统一管理;可视化的统一视图;全方位的故障监控;机房精细化监控;辅助智能
15、楼宇安防监控;网络监控性能管理;分权-分域-分时的用户管理。3.2 SVF虚拟交换机S12708支持SVF超级虚拟交换网,创新实现不仅将盒式交换机虚拟为框式交换机板卡,而且将AP虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。SVF超级虚拟化3.3 iPCA网络包守恒算法,实现精准化运维:创新的发明了iPCA网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外开销;检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。3.4 医院网络带宽设计
16、方案医院流量主要包含PACS影像流量,视频会议/会诊流量,IPTV流量,视频监控流量。3.4.1 PACS影像部分带宽需求病人做PACS检测,首先由PACS设备将数据通过DICOM网关发往PACS服务器,然后有放射科的医生调阅PACS数据,给出病情描述,最后由门诊医生调阅PACS图像结合病人的实际情况进行诊断。这中间涉及PACS数据的原始写入,放射科医生的调阅和门诊医生的调阅三个环节。医学影像的上传和下载需要高速的网络带宽来保证流畅的感受,避免等待成为瓶颈。一般用户对于交互性的操作有严格的时间要求,避免感受到不畅。从用户感受出发,一般要求单次请求点击到系统完成响应到呈现应在3秒以内,最优体验应
17、该在1秒以内;这里假设系统的处理时间极短,那么网络最长的响应时间即为1秒。PACS检测中,以CT为例,单个病人一次大概产生80张CT图像,平均大小为0.5MB/张,网络利用率70%,完成数据写入的端到端的网络带宽要求为:(80*0.5MB*8bit/B) / (1s) /70%= 457Mbps;一般DR影像为16MB/张,数据写入的网络带宽要求为:(16MB*8bit/B) / (1s) /70%= 183Mbps; 单个CR约8MB/张,数据写入的带宽需求约为(8MB*8bit/B) / (1s) /70%=91Mbps;其他胃肠镜、B超等影像一般1MB/张,但使用频率更高,按满足1秒的响
18、应速度算,则单次数据写入的带宽要求为(1MB*8bit/B) / (1s) /70%=11Mbps。假设最为极端的情况下影像科设备同时上传数据到PACS服务器,放射科医生同时查看PACS影像数据,门诊医生同时调阅PACS影像数据。这些终端在同时发起上传和下载的请求,那么这些流量最终会汇聚到核心交换机之上,在这种严格条件下:一般情况下,假设医院有约4台CT设备,约5台DR设备,5台CR设备,其他设备约50台,放射科医生工作站10台,门诊工作站100台(平均看病50人,门诊量约5000)。放射科影像设备上传带宽= A台CT*457Mbps+B台DR*183Mbps +C台CR*91Mbps +D台
19、B超等*11Mbps= 4*457 Mbps +5*183 Mbps +5*91 Mbps +50*11 Mbps= 1828Mbps+915Mbps+455Mbps+550 Mbps =3748Mbps;放射科影像调阅带宽分析:按照经验,以医院使用最多的CT设备为例,一般CT产生40M数据/每人次,网络利用率70%,1秒完成PACS图像调阅所需带宽为= (40*8) /70%=457Mbps。放射科医生需要使用阅片工作站调阅PACS图片进行病情诊断,通常是多级阅片(2级到3级),假设同时有4个放射科医生并行进行图片调阅,P ACS调阅带宽为=457Mbps*4=1828Mbps。门诊医生影像
20、调阅带宽分析:门诊医生需要调阅PACS诊断信息进行病情分析,假设调阅的阳性数据占整个数据总量的20%,假设同时有8个门诊医生进行PACS调阅,网络利用率70%,则门诊医生的调阅带宽为= 8*(40*8*20%) /70%=8*91=728Mbps。移动应用调阅带宽分析:移动医疗业务中占用带宽最大的应用对移动PACS应用,平均每人次PACS数据量50M计算,假设移动PACS需要调阅其中20%的图片信息进行查看,网络利用率70%,则一次调阅需要的带宽为= (50*8*20%) /70%=114Mbps,假设同时有2个医生进行移动PACS调阅,则需要的带宽为=114Mbps*2=228Mbps。3.
21、4.2 视频会议/会诊带宽需求假设全院当前建设的视频会议/会诊终端设备约100个,由于终端资源宝贵,工作时间占有率很高,特别是远程会诊等长期占用。按80%设备同时占用计算,每终端使用8Mbps高清视频。则对核心交换设备的流量诉求为100*0.8*8 = 640Mbps3.4.3 电视流量/IPTV带宽需求假设为全院45个标清频道,10个高清频道;采用直播(组播),暂不提供点播;标清4Mbps,高清8Mbps。500个病房,20%- 30%点播(运营商经验数据),网络利用率70%。则叠加于接入交换机以上到数据中心网络的每条链路的固定占用带宽为:(45*4+10*8 +500*30%*8)/70%
22、=( 260Mbps+1200Mbps)/70%=2085Mbps。3.4.4 视频监控网带宽需求对于视频监控部分,则网络流量相对简单。假设全院1000个标清摄像头,较为均匀的分布在各楼层各位置;每个带宽2Mbps,则:核心段流量为2Gbps。3.5 网络方案亮点概括3.5.1 网络安全深度融合,由点及面的全网安全协防与主动防御全面的安全产品:提供全面丰富的安全产品(防火墙,上网行为管理,VPN网关,入侵检测,Web应用防火墙,终端访问控制和数据库审计等),帮助医院网络满足等保对网络安全,主机安全,应用安全和数据安全的要求。完善的医疗信息外泄防护:在数据中心提供数据库审计功能对医疗信息的使用进
23、行严格审计,提供堡垒机对数据中心的所有网管维护行为进行审计;对固定终端进行安全管控,禁止USB口等外设使用;对移动终端提供安全沙箱功能,所有医疗信息进行加密存储,终端丢失不会导致信息泄露。全网安全协防:改变传统的单点防护模式,对全网安全事件采集,从大量无序的安全事件来关联分析出全网的安全威胁; 可对安全威胁事件采取告警、阻断或引流至安全设备中进行清洗或过滤;全网安全策略下发,控制中心下发调整后的安全策略至全网相关设备。3.5.2 高可靠的设备级和网络级可靠性方案从设备到组网的高可靠性设计:首先通过部件的冗余设计来保证单个设备的高可靠性,比如接入设备采用双电源设计;其次通过高可靠的组网模式来提升
24、网络健壮性,比如采用核心双上行设计,利用堆叠技术和集群技术完成快速故障收敛,具备业界唯一的硬件集群交换机(可以实现集群系统中只要保证任意一框的一个主控板运行正常,业务即不受任何影响)。3.5.3 智能、简单的运维管理超级虚拟交换网(SVF),设备统一管理。将有线无线网络虚拟成一台设备进行管理。业界首创有线无线采用相同的协议一致管理, AP虚拟成无线端口进行管理,接入交换机像AP一样即插即用,接入交换机和AP设备的开局、升级和更换全“零”人工参与;iPCA,实现精准化运维。方案支持iPCA网络包守恒算法,改变了传统利用模拟流量做故障定位的检测模型,可对任意业务流随时随地逐点检测网络质量,无需额外
25、开销;检测直接精准到故障端口,实现从“粗放式运维”到“精准化运维”的大转变。3.5.4 可软件定义的敏捷交换机快速适应业务发展灵活性:利用可编程模块,可以灵活适应未来网络变化,承载各种新业务; 开放性:可以更好的兼容其它厂家设备,实现互通,根据客户需求定制化开发,更好的适应客户网络环境; 实效性:将原本客户需求落地时间由三年缩短到几个月,满足客户实时动态变化的业务需求;低成本: 在快速实现网络需求的同时,不引入新硬件成本,更好的保护了客户投资,降低成本。4 医院网络技术方案4.1 医院网络可靠性设计规划医院网络的可靠性由三方面来保证,首先是设备级可靠性,其次是通过集群技术进行可靠组网,最后结合
26、医院的实际情况,配合业务系统和灾备软件进行可靠的业务部署,通过多层次的手段来提高医院网络的整体可靠性。4.2 设备可靠性对设备的可靠性要求,除了对设备元器件的基本可靠性要求以外,更多的是指单台设备的硬件冗余,一般有主控冗余、交换网冗余、单板热插拔和电源风扇冗余等,使用冗余部件可以在单个部件可靠性一定的情况下,提高整个设备的可用性。4.2.1 可靠组网方案4.2.1.1 传统可靠性方案传统的可靠性方案是STP(Spanning Tree Protocol),该方案通过阻塞环路中的某条链路来实现二层数据帧的无环转发。现代网络中很多应用对中断时间极为敏感,而且带宽极大,这种传统的可靠性方案已经不适用
27、于现代网络。收敛时间传统的STP技术收敛速度慢,在故障发生时,故障收敛时间10秒;虽然采用RSTP进行优化,但收敛时间任是秒级,秒级的业务中断,无法适应现在的很多网络应用。链路利用率低由于有一个上行链路被阻塞,此链路的带宽无法利用,总带宽利用率只有50%;虽然MSTP基于VLAN进行优化,但使用MSTP又会导致配置复杂,日常维护非常困难。配置维护复杂,网络故障率高每个接入交换机和汇聚交换机都需要运行STP协议,随着接入交换机的增加,交换机需要处理的STP也越来越复杂,会导致可靠性问题。4.2.1.2 集群+堆叠的无环网络方案基于STP方案有以上这些缺点,我们推荐采用集群+堆叠的无环网络方案来替
28、代传统方案。数字医院可靠组网方案当前,核心层交换机使用VRRP技术,以后扩展至CSS(Cluster Switch System)技术,配置交换机集群,从逻辑上组合成一台交换机;接入层的两台交换机使用iStack(Intelligent Stack)技术,配置交换机堆叠,从逻辑上组合成一台交换机。将接入层交换机和汇聚层交换机之间的多条链路捆绑,用来传输数据。相对传统方案,这个方案有以下优势:高可靠性堆叠系统的成员设备之间冗余备份;堆叠支持跨设备的链路聚合功能,实现跨设备的链路冗余备份。简化配置和管理交换机集群或堆叠形成后,两台物理交换机虚拟成为一台逻辑交换机,用户可以通过任何一台成员设备登录堆
29、叠系统,对堆叠系统所有成员设备进行统一配置和管理。逻辑网络也变得简洁,不再需要配置和维护STP等协议。快速的故障收敛链路故障收敛时间可以控制在10ms以下,大大降低了网络链路/节点的故障对业务的影响。带宽利用率高采用链路Trunk的方式,带宽利用率可以达到100%。扩容方便、保护投资随着业务的增加,当用户进行网络升级时,只需要增加新设备,而不需要更改网络配置。平滑扩容,很好的保护了投资。4.3 4.3医院网络安全性设计规划医院网络一般分为三张网,分别是内网,外网和设备网,三张网上分别运行了不同的业务,对应的网络安全性需求也有不同。同时,这三张网的隔离方式也有两种隔离方式,分别是物理隔离和逻辑隔
30、离:内网,外网和设备网物理隔离优点:三张网不共用设备和链路,各自独立互不影响,最大程度保证内网安全。缺点:三张网络单独建设,投资规模增大,灵活性弱,需要管理多张网络,增加管理成本。内网,外网和设备网逻辑隔离优点:采用防火墙、二层VLAN划分、三层访问控制列表实现隔离,网络服务互不影响;减少投资;终端同时访问多张网能力可配置。管理成本低、多张网的应用互联容易实现。缺点:外网对设备的攻击可能引起内网故障。具体项目推荐使用逻辑隔离方案。4.3.1 逻辑隔离网络安全设计医院有线网络规划还应考虑区域医疗是发展趋势,两网隔离的同时也造成了互联成本的增加。网上挂号、医疗结算、远程医疗等业务,必然涉及内外网业
31、务联动、电子病历共享。内外两张物理网络主要通过网闸实现信息共享,但网闸技术仅能提供静态数据共享,有时还需额外开发数据交换模块,且难支持交互式访问。同时,网络设备本身可靠、冗余、隔离技术在不断提升,所以建议医院采用内外网物理融合,逻辑隔离,如下图所示:逻辑离网络设计按照分权分域的设计原则,将网络分为为Internet出口区,专网出口区,外网应用区,内网应用区,安全管理区,数据备份区,外网接入区,每个区域设定不同的互访权限。将用户分为内网用户,外网用户,内外网用户,网管用户,不同的用户组具有不同的权限。外网用户只能访问外网应用区和Internet出口,内网用户只能访问内网应用区,网管用户可以访问多
32、个区域。在Internet出口区部署防火墙设备,防范来自internet的网络攻击。部署上网行为管理设备,实现上网带宽管理,URl过滤以及上网行为审计等功能;部署VPN网关设备,提供远程接入能力,可以方便院领导远程办公,网管人员也可以远程接入实现网络故障处理。在外网应用区部署Web应用防火墙,防范来自internet的Web应用攻击。在专网出口区部署防火墙设备,通过虚拟化技术分别虚拟多个防火墙对应不同的专网,降低配置难度,提高安全性。在核心交换区域旁挂入侵检测设备,实时检测各种入侵攻击行为。在安全管理区部署防病毒软件,网管软件,访问控制软件,实现对内外网的安全管理。同时部署数据库审计软件,满足
33、医院等级保护要求。4.3.2 访问控制方案设计医院网络分为多个区域,每个区域有不同的互访需求。医院网络的使用人员也分为:病患用户、内网用户、外网用户、网管用户等,不同用户对不同区域有不同的访问权限。所以访问控制方案需要从用户身份认证和区域访问控制两个方案来实现。用户身份认证方案用户可以通过MAC、802.1X和Web等多种方式进行认证,有线无线实现统一认证。系统支持内置账号和外部数据源方式。系统内置账号包括普通账号、MAC账号,外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方的用户系统中同步账号,实现终端的网络准入前的身份认证过程。区域访问控制方案常用的区域划分手段包括VLAN等方
34、式。可以将内外网用户分别划分为多个VLAN,形成内外网用户VLAN组,将内外网业务也分别划分为多个VLAN,所有VLAN可以在核心层进行终结,通过在核心层自动配置访问控制策略实现多个VLAN组的互访。4.4 VLAN规划4.4.1 VLAN概述VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。VLAN的出现可以将网络故障限制在VLAN范围内,增强了网络的健壮性。4.4.2 VLAN功能划分在医院网络中,可以按功能将VL
35、AN划分为以下几种:管理VLAN网络中的交换机需要划分管理VLAN,在管理VLAN中配置IP地址,以便日常维护。管理VLAN要与用户VLAN严格区分。用户VLAN用户VLAN指为终端接入用户划分的VLAN,医院网络中建议按地理位置或用户的逻辑结构划分VLAN。这样有利于用户之间互访的东西向流量尽量下沉,避免对上层设备的冲击。Voice VLANVoice VLAN是为用户的语音数据流划分的VLAN,用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN,可以使语音数据集中在Voice VLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保
36、证通话质量。Guest VLAN网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即Guest VLAN),用户访问该VLAN内的资源不需要认证,只能访问有限的网络资源。用户从处于Guest VLAN的服务器上可以获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:防病毒软件、操作系统补丁程序等)。认证成功后,端口离开Guest VLAN加入用户VLAN,用户可以访问其特定的网络资源。Multicast VLANMulticast VLAN即组播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。组播VLAN主要是用来解决当客户端处于
37、不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。目前医院网络中尚未遇到组播需求。4.4.3 VLAN规划原则VLAN划分的基本原则如下:要严格区分业务VLAN和管理VLAN。按照不同的管理区域划分VLAN,不仅方便隔离用户,也方便日常维护。统一区域也要按照不同的业务类型来划分VLAN,比如按照不同的接入方式来划分VLAN。VLAN需连续分配,以保证VLAN资源合理利用。预留一定数目VLAN方便后续扩展。4.4.4 VLAN规划建议可以根据多种原则划分VLAN:按照地理区域划分门诊大楼:每层一个VLAN,整幢楼使用VLAN 500510住院大楼:每层
38、一个VLAN,整幢楼使用VLAN 10001020按照业务种类划分管理VLAN 5060,为了设备之间互访方便,多台网络设备可划分同一个VLAN。普通终端用户VLAN100499,公共场所的无线终端用户使用VLAN 40004094,如果需要细分VLAN内用户的访问权限,可以使用MUX VLAN提供的二层流量隔离的机制。4.4.5 IP规划4.4.5.1 划分IP地址在医院网络中,以管理为目标划分IP地址。医院网络的DMZ和数据中心区域有少量设备使用公网IP,医院网络内部用户使用私网IP。4.4.5.2 IP地址规划原则IP地址规划的基本原则如下:唯一性一个IP网络中不能有两个主机采用相同的I
39、P地址。连续性连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生意”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备4.4.5.3 医院网络IP地址分类Loopback地址为了方便管理,会为每一台有路由功能的设备创建一个Loopback接口,并在该接口上单独指定一个IP地址作为管理地址。Loopback地址务必使用32位掩码的地址。互联地址互联地址是指两台网络设备相互连接的接口所需要的地址,设备互联的网段一般聚合后发布,而且没有必要
40、发布给终端用户。业务地址数据中心和DMZ区域中,服务器可能部分使用公网IP地址,需要将这些网段发布到公网。医院网络用户使用私网IP地址,可以通过在DHCP Server上配置不同地址池来决定用户使用的IP地址。医院网络用户中,为医生和护士等人使用的终端使用DHCP地址池自动分配的IP地址和DNS,;为医疗设备、打印机、IP电话等哑终端分配固定IP地址,为了防止非法接入,可在接入交换机上将设备的MAC地址和IP地址绑定,或使用MAC认证功能;为网络设备划分固定IP地址,与终端用户的IP地址严格区分。NAT规划在出口路由器NE20/40E上需要提供NAT地址转换功能,使学生和教师等人可以访问公网。
41、4.5 可靠性规划4.5.1.1 设备可靠性设备本身要具有电信级5个9的可靠性,需要网络设备支持:主控1:1备份交换网1+1/1:1两种方式DC电源1+1备份;AC电源1+1/2+2备份模块化的风扇设计,高端配置支持单风扇失效无源背板,高可靠性独立的设备监控单元,和主控解耦所有模块支持热插拔完善的告警功能设备管理1:1备份单设备是通过部件的冗余设计来保证高可靠性。对于设备本身的节点故障,一般通过网络协议感知故障点后进行动态调整,实现流量的快速切换,提高可靠性,但是切换的时间比较长。支持框式交换机的集群CSS(Cluster Switch System)和盒式交换机的堆叠iStack技术,能够把
42、多台物理设备连接在一起,对外表现为一台逻辑设备,从功能和管理方面,都可以作为一台设备来看待。单节点物理设备的故障,逻辑设备能够快速感知,并快速将流量切换到UP状态的链路上,减少丢包时间,具有更高的可靠性。采用S12708交换机CSS技术,对医院网络核心网络,有如下优势:简化管理和配置首先,集群后需要管理的设备节点减少一半以上。其次,组网变得简洁,不需要配置复杂的协议,包括STP/SmartLink/VRRP等。快速的故障收敛链路故障收敛时间可以控制在10ms,大大降低了网络链路/节点的故障对业务的影响。带宽利用率高链路采用Trunk的方式,带宽利用率可以达到100%。扩容方便随着业务的增加,当
43、网络需要扩容时,如果采用集群方式,只需要增加新设备即可,不需要更改网络配置。能做到平滑扩容,很好的保护了用户投资。采用S5700系列交换机iStack技术,对医院接入/汇聚网络,有如下优势:简化管理堆叠设备的角色分为Master和Slave。通过对Master设备的配置达到管理整个iStack堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化网络运行iStack形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。强大的网络扩展
44、能力通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。高可靠性堆叠的高可靠性体现在多个方面,比如:成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:N备份。高性能由于iStack设备是由多个支持iStack特性的单机设备堆叠而成的,iStack设备的交换容量和端口数量
45、就是iStack内部所有单机设备交换容量和端口数量的总和。因此,iStack技术能够通过多个单机设备的堆叠,轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。4.5.1.2 网络可靠性典型园区网二层可靠性组网设计方案有:口字型组网、三角型组网、U字型组网。口字型组网如上图所示接入交换机与汇聚交换机之间是二层网络,汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层Trunk链路互连,多台接入交换机与两台汇聚交换机之间组成口字型二层环网,并且通过部署STP/RSTP/MSTP/RRPP/SEP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRR
46、P(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连的Trunk链路上收发。口字型组网方案的优点是:园区网各个楼层接入交换机可以串在一起,与汇聚交换机组成二层环网,汇聚交换机统一为各楼层接入交换机下的用户分配IP地址,实现医院不同楼层的用户可以共用同一个IP地址网段。该组网方案的缺点是:接入层网络需要部署较为复杂的二层环网协议,网络配置和维护较为复杂。口字型组网方案是园区网中非常经典的可靠性设计方案,适合各种规模的园区网应用场景。三角型组网汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层链路互连,每台接入交换机上行有两条链路接入到两台汇聚交换机,接入交换机上行两条
47、链路的主备关系由运行的SmartLink协议确定。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连链路上收发。三角型组网中的破环协议也可以使用xSTP协议,在配置上会稍微复杂,故障倒换保护速率比SmartLink慢。三角型组网方案的优点是:SmartLink破环协议部署配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP)简单;SmartLink故障检测和保护倒换速度快(50ms);支持园区网医院不同楼层的用户可以共用同一个IP地址网段。三角型组网方案的缺点是:每台接入交换机上行需要部署主备两条链路,增加了布线成本,对汇聚交换机的端口密度有较高要求。U字型组网U字型组网中,汇聚交换机之间通过纯三层链路互连,无直连二层链路。汇聚交换机作为园区用户网关,与接入交换机组成二层网络,汇聚交换机的主备通过VRRP(BF