2022年某医院的计算机网络系统总体方案设计书实施方案书.docx

精品学习资源* 学院附属医院运算机网络系统总体设计方案（版本号： Beta 1）* 网络系统有限公司* Network System Co. Ltd.目录其次章 系统建设的总体目标第一章 序言4. 4欢迎下载精品学习资源2.1. 用户需求42.2. 系统建设范畴52.3. 主要技术路线5第三章 系统总体设计方案63.1. 系统设计原就63.2. 设计依据73.3. 设计目标83.4. 网络系统总体设计93.4.1. 网络技术选型93.4.2. 网络产品的选型143.4.2.1. 园区主干网络设计143.4.2.2. 网络中心173.5. 网络安全与治理193.5.1. 安全治理措施193.5.2. 网络治理193.5.3. 网络安全203.6. 方案特点（以 CISCO 产品为例）214. 技术培训244.1. 现场培训244.2. 理论培训244.3. 有用技术培训245. 工程实施方案255.1. 工程实施原就255.2. 工程组织结构及职责255.3. 工程实施进度方案266. 售后服务与技术支持267. 系统设备清单及报价288.附件29附录一、 * 网络系统有限公司简介29附录二、 CISCO 公司及产品介绍311CISCO 公司简介312 主要产品简介32欢迎下载精品学习资源1. 概述* 工学院附属医院（简称：医院），是 * 开发区内唯独的高等院校的附属医院，位于开发区中心地带，始建于 1997 年；随着开发区经济建设和社会进展步伐的不断加快，如今的医院已进展成为一所设备先进、技术力气雄厚，具有庞大进展潜力的集医疗、教案、科研、预防、保健、社区卫生服务等于一体的综合性三级甲等医院，也是 * 首家爱婴医院；一九九七年医院使用 Accton 公司的交换机组建了干线 100M，10M交换到桌面的局域网络系统，系统目前掩盖了CT楼、门诊大楼及内外科大楼，为附院实现信息治理系统供应了初步的网络平台；随着学院的乔迁，医院规模和业务的不断进展，已有的网络系统已逐步不能适应现有应用的需求；为了提高网络的掩盖率，使更多的人可以利用网络的便利性，以及为了在网络上可以支持更多的新一代的应用系统（如多媒体教 案、科研、医学影象处理、网上医疗服务、资源高度共享等），在原有的基础上建设新的园区网络系统已事在必行；* 网络系统有限公司在仔细细致的听取和明白医院其他相关部门的介绍欢迎下载精品学习资源以及经过实地考察及分析后，把医院的运算机网络系统建设需求分析归纳如下：2. 系统建设的总体目标2.1. 用户需求医院的运算机网络系统建设需求归纳如下：1) 网络连接掩盖整个医院园区内的医院、教授楼、成人学院及生活区等，为医生、老师、同学及职工供应网络服务；2) 使用千兆以太网作为网络主干，构建能够供应服务质量保证和多媒体应用支持的新一代的园区网络系统；3) 供应接入 Internet 的手段，并在网络中设置的专用安全区域放置Web服务器、 E-mail 等公共服务器；4) 在网络上供应高效牢靠的安全治理构架和安全策略，确保网络资源的安全使用；5) 网络系统设计要具备高度的敏捷性和扩展性，能够满意将来进展的需求；6) 建立新的系统时要考虑爱护前期投资、不能造成铺张；7) 建立网络系统运行治理中心，建立统一集中式的网络治理，实行有效的配置治理、失效治理、安全治理及性能治理；8) 统一进行子网划分和 IP 地址安排；9) 实 现 企 业 内 部 网 与 Internet的 互 联 ， 建 立 企 业 内 部 网（INTRANET ）；10) 信息资源实行集中掌握与分布配置相结合的策略，合理规划，分布实施；11) 建立以 Windows NT 为平台的企业系统治理平台，对信息资源进行有效治理；12) 在 NT 平台上建立 Exchange邮件系统，实现员工之间、以及对外的信息沟通；欢迎下载精品学习资源2.2. 系统建设范畴本方案供应的医院的网络系统解决方案的工程实施范畴包括：医院企业网络系统（ Intranet）的组成构架，建立基础的信息系统平台，供应整体企业级安全防护策略；2.3. 主要技术路线医院园区网络系统建设的主要技术路线如下：1) 采纳成熟 /先进的网络技术；2) 统一技术规范、标准和方案，统一设备选型，统一组织实施；3) 通过高速交换技术、虚拟网（ VLAN ）技术组网；4) 以 TCP/IP 为主要协议，采纳统一的电子邮件系统供应邮件服务；5) 以标准化为基础实现系统的开发型、可扩展性，增强与异种机、议购网的互联才能；6) 留意防止显现瓶颈效应，重要路由要有备份，保证网络每天24 小时牢靠运行；7) 留意通信保密和数据安全，建立完善的网络安全治理系统；8) 采纳牢靠、先进、高效、功能丰富的网络治理设备和完善、合理的规章制度；3. 系统总体设计方案3.1. 系统设计原就医院运算机网络系统建设工程是一项重要的系统工程，其设计的高牢靠 行、先进性、合理性将对于今后医院信息化建设的进展产生极为重要的影响；系统设计总原就如下：为医院的信息建设供应一个先进、牢靠、稳固的网络系统平台；充分重视网络系统和信息的安全，建立先进的网络治理系统和安全治理系统，建立完整的信息掌握和授权治理机制；欢迎下载精品学习资源在限定的时间和规模内，努力降低费用支出，提高系统的性能价格比；采纳成熟的先进技术，兼顾将来的进展趋势，既量力而行，又适当超前，留有进展余地；充分发挥各方面的积极性，保证各项工作有序按时进行；为此，我们在进行方案设计时将遵循以下几个性能指标：安全牢靠性要求整个系统采纳具有高牢靠性的总体设计，在关键节点考虑采纳备份设计，在关键的网络设备和主机设备上努力排除单点失效；设计中所选用的设备本身应具有较高的安全牢靠性；在系统软件和应用软件方面必需留意系统的安全保密工作，采纳具有较高安全级别的系统软件， 引入具有牢靠功能专用网络安全产品；在对后期培训工作的支配中，加强对有关工作人员系统安全学问培训及处理突发故障才能的培训；先进性保证所采纳的设备和技术属世界主流产品，在相应的应用领域占有较的用户市场，在相关运算机技术及网络技术方面处于领先位置；考虑到网络建成后较在很长一段时间内使用，所以在挑选网络技术的时候应具有肯定超前意识；有用性系统的性能指标应能够满意住处网络内各项业务对处理才能的要求；整个系统的性能应当是牢靠的，便于治理的；所采纳的设备应当是易于配置爱护；从客户的角度动身，在完全满意网络应用要求的条件 下，尽量压缩设备所需费用，争取达到最优的性能价格比；开放性在网络和主机方面应支持符合国际标准和工业标准的相关接口，能够与各接入单位网络、 ISP 的网络以及其它相关系统实现牢靠的互联； 在支持标准的应用开发平台方面，系统软硬平台应具有良好的移植能 力，在硬件升级后保持二进制级兼容性；在网络协议的挑选方面，应挑选广泛应用的标准协议，同时支持局域网内部的其他协议；欢迎下载精品学习资源可扩充性和敏捷性在网络和主机设备的挑选方面，应具有良好的可扩充才能，可以依据信息网络暂时需要对系统进行必要的调整、扩充，这包括储备容量和网络规模等方面的扩充；在网络全面升级的情形下，能够最大限度地爱护现有投资；3.2. 设计依据1) 医院网络系统建设需求说明书2) 医院综合布线设计方案3) ITU 相关标准4) IETF RFC相关文件5) 中华人民共和国运算机信息网络国际互联网治理暂行规定3.3. 设计目标医院的数据网络工程分为医院园区网络建设、工学院园区网络建设、工学院新校址园区网络建设、医院生活区网络建设和系统整合以及整体的网路安全解决方案几个主要部分；医院网络系统建设总体目标如下：1) 采纳先进网络技术，同时留意该技术的成熟性，要求挑选的技术符合国际标准；能够与主要网络厂商的产品及网络技术较为便利的实现互联；2) 采纳的技术及设备应当具有易升级及可扩展性，最大程度上爱护投资；3) 适应桌面运算机处理、 I/O 才能大幅度提高的现状，发挥桌面机的网络性能，提高桌面的拜访带宽；4) 适应联网规模大、总流量大的情形，合理分布流量，实现有效的安全拜访掌握和运行治理；5) 供应对应用服务器的特殊支持；6) 适应部门多、层次复杂的特点，合理进行网络划分，实现有效的安欢迎下载精品学习资源全拜访掌握和运行治理；7) 能够向将来的高速网络技术和不断显现的新应用过渡；8) 实现网络互联，解决互联网络带来的安全和治理问题；9) 适应数据集中型的应用进展趋势，为客户/ 服务器的应用环境供应支撑；10) 增加网络系统的运行牢靠性，降低故障隐患，供应系统的可治理性；11) 适应机构建制和工作流程，供应多层次的安全保证；3.4. 网络系统总体设计3.4.1. 网络技术选型对于医院公司这样一个掩盖15 栋楼宇的大型园区网络系统来说，挑选一种既能供应一个抱负的高速多媒体网络主干，又具有现实性的网络技术方案极 富现实意义；第一，我们从网络系统的继承性方面考虑, 在这方面千兆以太网的有着很强优势；以太网技术遍布全球各地，依据IDC 的统计报告，在已安装的网络中以太网所占的比例超过 80%，这意味着有超过 12 亿台 PC、工作站和服务器之间是以太网连接的；剩余的部分网络是令牌环、 FDDI 、ATM 和其他；很多闻名的操作系统和应用程序都兼容以太网，大多数高层协议也支持以太网；同时以太网有着众多的网络治理工具和诊断工具，从简洁的指示灯式仪器到复杂的图形化分析仪；范畴很广；现今绝大多数运算机系统都是采纳以太网设备，从投资爱护和技术的相容性方面考虑，采纳千兆以太网技术对于公司目前现有的运算机及网络设备而言有着良好的兼容性和适用性；其次，我们要考虑的最重要的一点就是网络系统的牢靠性，这是我们进行网络技术选型中应当最为优先考虑的原就；高度牢靠的运算机网络对于企业的胜利来说是至关重要的，没有牢靠性作欢迎下载精品学习资源保证的网络系统是更本无法应用的；因此，必需对各种网络技术的实现方法和 以后的技术支持等问题作审慎的考虑；自从1986 年显现星形布线结构的10BaseT 技术以来，结构化的布线系统使得集线器和交换机的牢靠性越来越高；如今，以太网已经比其前辈- 电话网技术更加牢靠，并且易于懂得和管理；今日的千兆以太网无论是在稳固性方面，仍是服务质量保证（QoS）方面都达到了一个崭新的高度；第三，费用低廉，具有较高的性能价格比；以太网和快速以太网每端口的平均价格在快速下降，而且相互间的差距月 来越小；千兆位以太网的每端口价格目前已经比ATM622M 的价格低很多，其将来的进展过程也将类似于快速以太网；在现有技术条件和同等端口密度下，一般来说千兆方案要比ATM 方案廉价三分之一以上；除了直接的投资费用之外，网络支持和爱护费用是一个不容忽视的问题；如今已有很多成熟和专业的工具来爱护以太网，使其以最好的性能运作；千兆位以太网爱护了这方面的投资，千兆位以太网帧格式拓扑结构都是相同的，仅需要对网络分析工具的速度进行升级，而所需的专业培训将会减低到最少；相对于技术极为复杂，需要大量培训和爱护费用的ATM 网络技术而言，千兆网技术有着其无法比拟的优势；第四，从网络的进展性的角度考虑，千兆技术是一种很好的挑选；当新的和现有的网络应用程序进展到包括高质量的图形应用程序、视频和 其他大数据量的多媒体应用程序的应用环境时，桌面PC、服务器、集线器和交换机都面临着增加网络带宽的压力；随着这类的应用程序不断地增加和网络用户数量的增加，人们对高带宽网络设备的需求越来越迫切；随着LAN 上信息的飞速增长，网络治理员被迫去查找更高速的网络技术可以解决带宽的要求；他们现有的网络多为以太网或FDDI 主干，可以挑选不同的升级方法，虽然各种方法都有自己不同的形式，然而仍是有一些通用的标准或要求来挑选高速的网 络技术，包括：简洁实现的、无间断的升级技术可以扩展至更高的性能低成本，包括设备的成本和技术支持、爱护的成本欢迎下载精品学习资源支持新的应用程序和数据形式在 Internet 应用中，迫切需要迁移至新的数据类型，包括视频和音频；以前人们认为视频数据需要在特地的网络上传送，然而现在它也可以在以太网上传输，由于：通过交换技术，使网络带宽的安排增加到100M 或 1000M新的网络协议如 RSVP，支持带宽的安排和保留新的标准如 802.1Q/p, 支持专有 VLAN 功能和网络数据包专用标识功能广泛应用的视频压缩技术 , 如 MPEG2这些技术和协议的组合运用使得以太网成为传送视频和多媒体数据应用的极好的解决方案；最终,有人可能会问，我们为何不选用ATM技术？以下我们将对千兆与ATM技术的进行一个比较，分析一下两者在园区网技术上的优劣；ATM 技术采纳信元和端到端连接机制，能够对流量进行特别精确的控制，但它主要是一种广域技术；事实上ATM 进展的动力源自电话公司想给数据联网重新定义；想法是对数据、话音和视频采纳不同的协议；端到端连接的 一个关键因素是它们能够记录数据流量，从而进行计费、收费工作；ATM 技术进入 LAN 的市场开头于 1993 年，当时 ATM 行业宣称 ATM 是联网技术的将来，能够扩展、可以进行交换、支持视频等等，仍把 IP 和以太网看作老式网络；由于当时市场上迫切需要高带宽的局域网络设备和技术，而当时快速以太网在带宽上仍不能和ATM 竞争，所以 ATM 在 LAN 的市场中取得了一席之地；但到今日千兆以太网这种更高带宽的以太网技术显现后，ATM 的高带宽优势已荡然无存；今日人们已经意识到，事实上，IP 才是全部人都环绕的网络协议，而且IP 完全独立于底层网络技术；它与以太网共同进展起来，也可以运行在令牌环、 FDDI ，但是在 ATM 上让 IP 工作起来就比较困难，需要采纳 LANE 、Classical IP、MPOA 等复杂的技术，而且降低了 ATM 的效率，丢失了 ATM 的应用优势；千兆位以太网比ATM 仍有一个固有的优点，就是在网络上的流量在协议方面的开销要ATM 少很多， ATM 的开销大约是千兆位以太网的两倍；另外如我们在前面一再指出的，千兆以太网相对ATM技术有着价格、爱护费用、使用便利性、结构敏捷性和易治理性上有着一系列的优势；欢迎下载精品学习资源而且在目前的 Internet 上，实现将来纯 ATM 端到端网络的情形已经不符合新的应用要求；显现这种情形的主要问题是由于ATM 是面对连接的；在能够发送数据前用户必需建立起一条端到端的连接；而IP 是动态链接协议，采纳路由器来转发数据包，没有端到端连接的建立；而在Internet上，半数的数据流量是与 Web 有关的；每次用户点中一个链接，就打开了与另一个服务器的连接；平均每个 http 传输的数据量大约为 2K 字节，依据每秒 155 兆比特的速率，大约需要 100 微秒的时间；而Fore 最先进的 ASX1000 交换机的连接建立时间是10 毫秒，因此连接建立时间占了吞吐量的99%，这意味着实际吞吐量为1.5 兆而不是 155 兆比特，与 T1 线路相差无几；整个连接建立的概念从根本上就与动态化日益加剧的 IP 环境无法兼容；就 ATM 技术本身来讲，它的特点为高带宽（ 155Mbps 以上），并且它具有 QoS 等级服务来供应不同的电信服务，如图像、话音及数据；但是QoS 是ATM 在不配置成局域网仿真时成立；换句话说，当您的大楼局域网采纳ATM 局域网仿真（ LANEmulation）时，也就是仿真以太网时，您就无法使用到 ATM 技术在城域网（ MAN ）或广域网（ WAN）上全部的 QoS；ATM 局域网仿真是技术进展过程中的一种过渡，这是由于前几年千兆以太网（GE）仍未成熟，所以 ATM 局域网仿真才被采纳；但是ATM 到桌面不太现实，由于它需要主机操作系统、驱动程序、网卡的全面一样化，才能实现真正的ATM 到桌面；所以只能采纳 ATM 局域网仿真（而不是真正的端到端ATM ）来解决网络互联的实际需求；尽管 ATM 仍占据着大部分园区主干网，但在园区局域网内ATM 高带宽的优势随着近年来千兆以太网的成熟而失去优势，加上其技术复杂性、价格弱势以及一些其它因素，人们在园区网络技术的挑选越来越倾向于千兆（GE）以太网技术，而基于 IP 的多媒体应用也正在快速被广泛采纳；以下是千兆位以太网Gigabit Ethernet与 ATM 两种主干技术的对比比较表：Gigabit EthernetATM欢迎下载精品学习资源标准IEEE802.z尽管已有多项标准出台，但由于 ATM 技术的复杂性，欢迎下载精品学习资源标准的制定仍在进行中，需要时间完善带宽1000Mbps155Mbps 或 622Mbps竞争才能，厂家提欢迎下载精品学习资源交的交换机数目， 各种 NIC 服务每端口的价格媒质支持学习曲线，技术的几十家，成为技术型公司的新增长点交换机端口与 NIC 组合，一起可达 3000多美元；STP，UTP5，多模光纤，单模光纤主要有十几家ATM-155 对于交换机端口及NIC 组合为 2000 美元左右， ATM-622 为这个价格的数倍ATM-622M 及更高速的只在光纤上运行欢迎下载精品学习资源复杂性与现在的各种数据简洁复杂，较难学习与现有的 LAN 协同工作技欢迎下载精品学习资源应用 程序及网络的兼容性Qos保证不同类型应用多厂家产品的互操作性VLAN的支持无需作任何改动RSVP，RTP， PTCP，802.1p 等新的技术协议以及Cisco 等公司在 IP 优先级方面的一系列技术基于标准的互联与快速以太网一样，但同样的 VLAN 连接与组成标准能简洁地掩盖以太网快速以太网及千兆位以太网术复杂且效率低在 LANE 的情形下，需要SVCs或 IETF 正在制定的RSVP 的复杂映射来解决高层的互操作性，如交换机到交换机信令，经过 ATM 的多协议仍无保证，标准仍在改进能映像基于 LAN 的发布领域，而与 ATM 的可互操作性是既枯燥又复杂的欢迎下载精品学习资源依据以上我们对当前主要的园区网技术的细致比较，并参照目前网络系统的实际进展情形和医院建筑的分布和应用情形，我们最终确定采纳千兆以太网作为医院主干网络技术；采纳千兆技术不仅可以很好地满意客户机服务器模式对网络主干的庞大需求，而且以太网具有的良好的移植性可以便利的将 10M以太网和快速以太网升级到千兆以太网，从而能够把一些数据流很大的工作组快速集成到骨干网中去；在局域网方面与ATM 技术相比有较大的优势；从网络的治理与爱护方面讲，千兆以太网技术可以节约大量的培训和爱护等后续费用；这一系列特点使得千兆以太网技术成为医院运算机网络主干技术的最为理想的挑选；3.4.2. 网络产品的选型鉴于系统的先进性和兼容性，医院的网络系统我们将采纳美国Cisco 公司的产品；我们挑选 Cisco 产品的主要缘由出于以下考虑：Cisco 公司是世界领先的 Intranet和全球 Internet 网际互联解决方案供应商， 是公认的网间互联技术和产品的领先厂商，其供应的解决方案是世界各地成千上万公司、高校、企业和政府部门建立网间网的基础，用户遍及电信、金融、服务业、零售业、政府部门及训练机构等，在“幸福”五百家公司中的83%均为 Cisco 公司的用户；Cisco 公司是世界十大电信公司之一，成为全球增长最快的电信产品供应商，其最胜利之处在于Cisco 公司在对其它公司进行兼并之后能够很好的消化其技术； Cisco 公司的 IOSInternetwork Operating System, 网间网操作系统软件 技术供应了网络扩展性，模块化结构和移植性，以及多媒体、安全性、网络管理、拨号和 Internet 应用等很多内嵌功能； Cisco 总是能将其 IOS 特性很好的融合到其新的产品中去， Cisco IOS 技术的特殊性使得其产品有着其它公司产品无 法媲美的优势；3.4.2.1. 园区主干网络设计欢迎下载精品学习资源一个优秀的网络设计方案离不开对其网络应用的评估；目前，在典型的网络中 80% 的数据流是客户 / 服务器业务，它们之间的绝大多数业务又必需跨过骨干网传输；这样就造成在骨干网的一边是快速以太网客户，另一边是文件服 务器，而两者之间的界面必需供应足够大的吞吐量来满意加在网络上的性能要 求的现象；所以对于一个胜利的网络集成设计来说，骨干网和边缘之间的界面的设计是极为关键的，由于这个边界正是网络进行分段和重组SAR的地方，对于医院这样大规模会产生庞大的网络业务流的网络系统更是如此；假如网络的数据业务流不能在骨干网和边缘之间快速牢靠地传输，就会显现瓶颈，产生时延，降低效率，结果造成高速千兆以太网所供应的诸多优点均未实现；考虑到医院今后的业务核心在其附院园区，为此医院的网络系统的设计思想是以医院信息中心机房为网络中心，以星型方式通过2G 的链路分别连接内科办公楼、外科办公楼、旧急诊楼、门诊楼、教案楼、教授楼、同学宿舍、生活区的骨干节点交换机，并以这些二级骨干节点为中心，通过1G 或 2G（视下级节点的业务繁忙程度而定）的链路连接桌面交换机参见医院运算机网络系统结构拓扑图 ；欢迎下载精品学习资源医院公司网络系统拓扑结构图在医院主机房放置一台Cisco Catalyst 6006作为网络的中心千兆骨干交换机，中心交换机配置主备交换引擎，多层交换及策略卡模块、双电源，充分保证了中心交换机的高牢靠性；中心交换机供应16 个千兆多模接口及 96 个10/100 以太网 UTP口，并能构实现企业网的第三层交换；Cisco Catalyst 6006配置如下：双电源；欢迎下载精品学习资源Catalyst 6006主交换引擎、多层交换卡及策略卡模块1 块；Catalyst 6006备交换引擎、多层交换卡及策略卡模块1 块；8 口 1000BASE-LX/LH GBIC多模/ 单模光纤模块 2 块；48 口 10/100M以太网交换模块 2 块；在医院的三个二级骨干节点，我们分别放置1 台 Catalyst 3508Gh通过两条千兆上联链路分别与中心交换机的不同槽的千兆模块相连，两条链路互为备份且均衡负载，任意一条链路故障不影响网络运行并通过原故障线路的传输信息的端口转到另一条线路传输，全双工速率可以达到 4G；其中， Catalyst 3508G 可以供应 8 个千兆模块用以连接，余下的 6 个千兆端口可别连接本幢及附属建筑的 Catalyst 3548/2924 交换机；各二级骨干节点安排线间交换机配置情形如下：Cisco Catalyst 3508G配置如下：Catalyst 3508+1000BASE-LX/LH GBIC 单模/ 多模光纤模块 8 块；其他各幢建筑安排线间分别放置Catalyst 3548或 Catalyst 3524交换机通过千兆就近上联作为二级节点的Catalyst 3508G上；Cisco Catalyst 3548配置如下：Catalyst 3548+1000BASE-LX/LH GBIC 单模光纤模块 2 块Cisco Catalyst 3524配置如下：Catalyst 3524XL+1000BASE-LX/LH GBIC 单模/ 多模光纤模块 2 块通过以上网络设备组成的网络主干系统不仅可以达到4G的主干容量和满意10/100M 的桌面速率，而且通过 Cisco6006的路由和虚拟子网的划分，可实现整个园区网络系统端到端的通信；3.4.2.2. 网络中心网络中心是整个网络运行治理的核心；这里集中了各种网络应用服务器、多媒体应用服务器、网络治理系统以及互联网络的接入设备等；设计一个合理的网络运行治理中心，对今后整个网络规划、拓展和治理将带来特别积极的影响；在医院网络中心我们选用的是Cisco 公司的千兆以太网交换机 6006，作为欢迎下载精品学习资源骨干中心交换机，用以连接其他骨干节点和网络中型的各类服务器及网络设备；如下列图：医院网络拓扑结构图1) Internet接口为了让整个园区能够与 Internet相连，让内部员工能够从中猎取信息 资源和同时让外部用户能够拜访医院的网站；我们建议申请一条DDN链路，通过电信局连接 Internet；我们选用了 Cisco 公司的企业级硬件防火墙产品PIX Firewall，作为医院内部网与 Internet之间的安全防护平台，同时其仍可以供应一个缓冲 区作为网站、 DNS服务器使用，这样就防止了企业内部网上的各类网络系统设备直接暴露在 Internet上，使网络整体的安全性得到了大幅度提高；3.5. 网络安全与治理欢迎下载精品学习资源3.5.1. 安全治理措施1) 建立安全治理制度，爱护登录密码，合理使用拜访权限，系统治理员留意在用户使用权限划分上的漏洞；2) 系统治理员留意网络监控，对用户拜访进行记录；3) 网络系统的核心由千兆位以太网交换机构成骨干网，采纳端到端连接技术，保证骨干网上数据传输的安全性；4) 在互联网络接入部安排置了防火墙PIX，在应用层进行安全掌握；5) 通过网管系统加强虚电路和虚网治理，使网络安全集中治理；6) 建立企业级的病毒防护体系，确保信息资源的安全完整；3.5.2. 网络治理医院内部网的网络治理是网络建设的重要内容之一，是保证整个内部网正常运行的前提；网络治理不但需要先进、使用的技术支持手段，对大型网络而言，更需要合理、有效的组织体系和规章制度；网络治理是网络可用性的关键组成；界定并实现网络治理是网管设计的主要内容；内部网网络治理系统的主要治理对象包括： 互联网接入部分主干网核心交换设备子网交换模块工作组交换机和基层网络设备服务器系统拨号拜访服务网络运行中心 NOC网段网络信息中心 NIC 网段VLANs划分与治理全部的网络信息和治理数据，包括系统配置、失效记录、安全记录、性能记录，用户使用情形等都储存在数据库中，这些信息和数据可以便利地进行查询、统计、分析和形成报表；配置治理 ：治理主要网络设备和服务器及VLANs配置信息、通信和网络拓欢迎下载精品学习资源朴结构、用户名、电子邮件地址、口令等重要网络信息；失效治理 ：是保证网络政党运行至关重要的一个部分，目的是保证网络正常运行，尽量削减故障发生的频度、排除故障产生的隐患，并准时修复已显现的故障；失效治理协作网管软件的失效治理功能，建立失效档案治理，供应联机工作手册和规范的失效处理操作程序（包括书面报告、电话报告、E-MAIL 报告、处理程序、处理看法等的要求）；通过肯定的故障定位手段和分析方法找出故障源，并立刻对故障源进行隔离和修复；性能治理 ：对接入网络和 IPF 址的流量及流速进行定时采样记录；能够指明网络流量的高峰和瓶颈所在，能够按业务、部门、时间统计，依据流量统计 支配镜像操作的时间等；安全治理 ：是整个网络治理的重要一环，通过防火墙、用户认证/ 授机、数字签名、加密传输、存取掌握、安装安全分析工具等手段实现安全掌握，监视用户的拜访情形，实施拜访安全掌握；通过设备冗余、容错配置、数据备份等手段确保运行安全；通过值班制度、运行制度完善组织治理；通过事帮爱护系统，如防火系统、防盗系统、电源安全系统等措施防止特别事故的发生；由于本网络系统掩盖的地理范畴较大，我们建议选用基于WindowsNT的网络治理软件CiscoWork2000 LAN Management Solution来进行全面的网络管 理；3.5.3. 网络安全防火墙被应用于内部网与外部网的连接之间，通过 26 块 100M快速以太网卡直接连在交换机上；使用虚拟网（ VLAN）技术，来自 INTERNET对内部网的拜访第一要经过防火墙，防火墙对进出内部网的数据内容进行各个层次的安全检查、掌握和过滤，以确保网络的安全；CISCO公司 PIX 防火墙向企业网络供应引人注目的简洁新特性和举世无双的安全性； PIX 防火墙的高性能核心是一种基于自适应安全算法（ASA）的防护方案，有效地对黑客隐匿起客户机地址；PIX 仍具有执行速度快、成本低的优点，同时也能改善 IP 地址不足的问题；3.6. 方案特点（以 CISCO 产品为例）欢迎下载精品学习资源本方案具有以下特点：统一的 IOS安全性好高性能 IP 及多媒体支持有用性强高牢靠性易治理高可扩展性标准化阐述如下：统一的 IOS方案选用的全部 Cisco 产品都内置 Cisco IOS ；IOS 能够将路由器、千兆交换机、 ATM交换机、 LAN和 WAN交换机、文件服务器、智能集线器、个人运算机及对机构的互连网络有战略性影响的任何其他设备等全部不断进展的网络平台集成在一起，因而能够支持不行防止的变化和移植；IOS 能够发挥 Cisco平台及由将 IOS 融入其产品中的技术伙伴供应产品的功能，因而能够让各公司建立和加强经济有效的集成式统一信息系统基础设施；安全性好设备的安全性在网络系统的安全设计中，设备本身治理的安全性是应第一考虑的，却往往又是人们常常疏忽的；利用设备本身的多个登录等级，控制不同人员的配置权限；可利用TACACS、+ RADIUS安全认证服务器，加强了对网络设备本身的安全性治理；VLAN的安全性 VLAN的建立，可以掌握广播和应用的信息流淌，从而防止他人非法在网络上截获其它用户或它们的资源；VLAN之间的通信可通过拜访列表 Access List掌握，供应IP 层， TCP层的拜访掌握；利用CISCO User Registration Tool，并结合 CISCO特有的动态 VLAN技术，使移动的用户无论位于何处，与之相连的交换端口属于该用户特属的VLAN，即 User-band VLAN，由于需要经过用户口令的认证，更增强VLAN的安全性；网络拜访的安全性通过防火墙防止黑客的入侵；数据的安全性 HP 的 DLT4115的磁带库和 Legato 的备份复原软件，对Unix 服务器、 NT服务器、 ORACLE数据库、 Exchange Server和 SQL Server 进行备份，以便在灾难发生时进行复原；高性能 IP 及多媒体支持欢迎下载精品学习资源方案采纳高速的千兆网技术，无论在网络上进行文件仍是多媒体传输都基本防止了网络拥塞，能确保应用系统在网络上顺当运行，保证用户充分利用网络的资源；网络的高性能主要表达在以下几个方面： 高性能的第三层路由和交换技术 高性能的网络操作系统 高性能的多点广播服务，保证多媒体应用的有效运行 高路由性能Catalyst 6000系列产品的最大优点就是它的高性能路由才能；对于IP、IPX 以及 IP Multicast和网络桥接，的第三层交换处理才能为1500 万 pps；系列在它的全部线卡间以线速支持组播IP；随着和等组播应用被越来越广泛地使用，作为端到端组播解决方案一部分的组播路由协议变得越来越重要了；同时支持独立路由协议（ PIM）的松散式和密集式两种模式，并具有用于传统应用的距离矢量组播路由协议（ DVRM）P 的互操作才能；支持IGMP的第一版和其次版，并具有CGMP服务器才能；这些协议不仅对于IP 组播客户加入工作组是必需的，而且对于高效的退网处理这对节约带宽和终端CPU特别重要也是必需的；有用性强本着“求实为本”的原就，经过我公司技术人员的反复讨论和对CISCO、 LUCENT等网络厂家产品的仔细比较和挑选，才形成了该方案；因此，该方案是性价比最好的方案；高牢靠性本方案从物理层到网络层，实行多层冗余的措施，同时在网络设计中对系统结构设计、网络设备选型等方面作了严格挑选；方案选用的网络产品的平均无故障时间可达到7 万小时以上，这是网络牢靠运行的重要保证，网络设备牢靠性特别高；网络选用的Catalyst 6509，其关键部件实现热备份，有容错电源挑选， 各模块可在线热插拔；当某个网络部件显现故障时，不影响其它节点；网络关键设备（中心交换机）实行双引擎处理模块的热备份，确保网络的高可用性；欢迎下载精品学习资源除在物理层采纳冗余备份外，在其次层采纳快速通道技术（FEC）和扩展树算法（ Spanning Tree Per VLAN）技术为客户端供应备份冗余及负载共享； Fast Ethernet Channel和 Gigabit Ethernet Channel支持冗余链路的负载共享 ， 提 供有 效 的链 路带 宽； SpanningTreePerVLAN 技术 ， 提 供 VLAN Trunking 的负载共享和冗余备份；OSPF/EIGRIP牢靠的路由挑选功能能够查找性能正确的路径并绕过网络故 障快速实现路由通信；收敛时间特别短，即当设备出错