华山医院网络解决方案(14页).doc

《华山医院网络解决方案(14页).doc》由会员分享，可在线阅读，更多相关《华山医院网络解决方案(14页).doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-华山医院网络解决方案-第 14 页华山医院网络解决方案目 录第1章.医疗卫生行业应用需求分析31.1.医疗行业应用背景31.2.传统医院网络面临的问题31.3.华山医院应用背景41.4.华山医院网络应用需求分析41.4.1.网络安全需求41.4.2.网络高性能需求41.4.3.网络稳定性需求41.4.4.网络管理需求51.4.5.网络出口设计51.4.6.其他设计5第2章.锐捷网络华山医院解决方案52.1.网络结构设计52.2.网络设备选型62.3.网络信息点统计规划82.4.IP地址划分规划92.5.网络攻击的防范与控制92.6.无线部署102.7.网络出口设计132.8.网络设备管理平台

2、设计142.8.1.稳定的可扩展的软件体系结构142.8.2.强劲的网络拓朴发现能力142.8.3.增强的设备管理能力152.8.4.智能化的事件管理机制152.8.5.高效的性能监视和预警功能162.8.6.基于数据库的灵活的网络应用172.8.7.友好的用户界面17第1章. 医疗卫生行业应用需求分析1.1. 医疗行业应用背景随着信息技术的快速发展，越来越多的中国医院正加速实施基于基础信息化网络平台、HIS业务平台的整体建设，以提高医院的服务水平和核心竞争力。随着医院信息化的不断深入，医院OA系统、MIS系统、HIS系统、PACS等系统相互融合，中国医院的信息化建设也已经从简单的数据业务应用

3、逐步发展到数据、语音、视讯等多业务统一承载。 信息化医院是在数字医疗设备、计算机网络平台和医院业务软件的基础上，对病人的治疗数据进行采集、存储、传输和处理，以达到在全院范围内的全数字化流程，就是数字化医院。1.2. 传统医院网络面临的问题n 现有网络资源很难通过灵活有效的策略调整实现业务与网络的充分融合，例如早期医院网络已经很难支撑门诊系统对可靠性、PACS系统对高性能的要求，医院用户对新业务部署的体验感不佳，新业务的部署面临巨大管理压力；n 网络平台缺乏智能性，无业务识别能力，不能对关键业务应用提供端到端的高质量数据传输的有效保证，医院通常采用的设备升级、链路带宽升级等简单方式使得网络建设、

4、运营、管理成本大幅度上升，而网络资源的利用率却在大幅度下降；n 医院网络中的安全设备组件多且庞杂，但各组件孤军作战，传输安全、网络安全、数据安全、业务安全层面相互分离，难以有效兼顾，医院的安全漏洞处处存在。随着电子病例应用越来越广泛，一旦电子病例出现泄密或者被恶意篡改，都会给医院带来严重的医患纠纷甚至法律纠纷，网络安全已经成为医院新一代网络建设的关注重点；n 网络的管理控制功能薄弱，单纯设备级的网络管理已经不能满足医院用户对业务可靠性要求，业务的可靠性除了要求网络稳定，还依赖于服务器可靠和数据存储可靠等多种技术组合。1.3. 华山医院应用背景作为国内首屈一指的国家三级甲等医院，上海华山医院是卫

5、生部直属复旦大学医学院附属的一所综合性教学医院。目前该医院已成为一所国家高层次的医疗机构，在国内拥有非常出色的口碑，许多患者慕名而来，目前该医院的日门诊量已经突破9000人。同时，该医院为全国医疗、预防、教学、科研相结合的技术中心，在国内外享有较高的声誉。为更好地为患者服务，同时进一步提升医院的管理水平，上海华山医院决定对原有的网络环境实施升级改造。院方认为，根据目前医疗卫生行业的需求及特点，典型医疗卫生行业网络解决方案应该是具有较高灵活性和整体性的，既要考虑当前的原有的网络建设，又要注重其规模和信息系统扩大后网络的扩充能力。在设计网络方案时，不但要保证网络建设的规模能随时满足在其上运行的医疗

6、信息管理系统的要求，还要需综合考虑医疗网本身的需求，如：网络安全、网络管理和网络优化等方面的问题。1.4. 华山医院网络应用需求分析1.4.1. 网络安全需求l 结合交换机对病毒的传播蔓延有控制手段；l 防止对设备、对系统、对其它合法用户恶意攻击；l 丰富的日志记录，当出现安全事件时能协助审计快速定位；1.4.2. 网络高性能需求l 系统支持几千用户同时在线并正常运行，用户不会感觉网络速度慢；l 大用户大流量情况下，系统依然保持高性能，提供可靠运行；l PACS系统主要以图形图像为主，数据量大；l PACS系统对带宽要求极高 ，很多业务因为带宽的限制而受限制；1.4.3. 网络稳定性需求l 门

7、诊系统不能出现宕机，网络不能异常l PACS/HIS/电子病历等系统，依靠网络平台，网络异常将影响正常诊断及治疗1.4.4. 网络管理需求l 需要能够对网络设备进行集中的统一管理；1.4.5. 网络出口设计l 网络出口设计需要考虑四条出口，一是社保局的VPN出口，二是医保VPN出口，三是银行机构VPN出口、四是干保VPN出口，且各条VPN出口均是独立的电信或者联通线路。1.4.6. 其他设计l 为门诊楼1楼110台服务器设计数据中心网络接入平台；l 为医院设计高效的无线网络l 所有用户IP地址规划第2章. 锐捷网络华山医院解决方案2.1. 网络结构设计根据医院的应用需求，我们建议为采用“万兆核

8、心，千兆主干，千兆交换到桌面”的三层设计思路，即核心到楼层汇聚为万兆，楼层汇聚到接入层为千兆，接入层同时提供高密度千兆接入，整个设备分布分为核心层、汇聚层、接入层和数据中心等。设计“双核心、汇聚双链路”的环状互为备份容错互连结构，构建强壮的网络架构。核心层设计2台高性能十万兆核心路由交换机，通过万兆链路聚合互连，为华山医院的医疗服务提供强劲的数据传输的网络核心。汇聚层设备全部采用万兆汇聚交换机，通过万兆双链路上联两台核心设备;为了充分保障新大楼各系统的稳定，为大楼设计每个每个汇聚交换机网架构，充分保障门诊系统的7*24小时稳定可靠。同时通过千兆链路下联接入层全千兆智能安全交换机;实现对接入用户

9、的安全控制。而作为医院信息服务的中心，数据中心通过两台万兆数据中心交换机冗余备份设计，为医院各种业务系统提供高速、稳定、不间断的数据服务，保障各种诊疗服务的的正常运行。全网通高效的冗余备份技术，为各种诊疗业务开展提供永不间断的数据传输服务。同时，结合锐捷网络交换所特有的安全防护机制，全面提升网络系统的抗攻击能力，为医院提供一个无侵扰的医疗信息环境，保障各种业务的开展。结合信息中心部署的网络管理系统，为确保医院能够及时的发现各种网络事件，并进行快速响应和处理，为使华山医院提供更好的医疗服务，提供强有力的支持。2.2. 网络设备选型核心层/区域大汇聚交换机负责全网数据交换、全网安全控制，并负责路由

10、管理、网络服务管理，所以需要核心交换机支持高背板、高带宽、高的二三层包转发速率以及具备高的端口密度以适用网络规模的扩展，并保证高可靠和高稳定。锐捷网络最新的86系列、96系列面向10万兆平台高密度核心交换机更是为超大型校园网/宿舍网的高可靠和高稳定性提供了保障。所以在核心位置，我们建议采用锐捷的最新RG-S8610交换机。RG-S8610是锐捷网络推出的面向10万兆平台设计的下一代高密度多业务IPV6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供10竖插槽。RG-S8610高密度多业务IPV6核心路由交换机提供3.2T背板带宽，并支持将来更高带宽的扩展能力

11、，高达1190Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。RG-S8600系列高密度多业务IPV6核心路由交换机提供全面的安全防护体系，提供分布式的业务融合平台，满足未来网络对安全和业务的更高需求。楼层汇聚交换机必须提供全线速的数据交换，保证接入节点和核心节点数据交换的畅通无阻，同时当网络流量较大时，能够对关键业务的服务质量提供保障，并且最好能够提供本地的三层交换。同时，面对IPv6应用的越来越广泛，最好能支持IPv6业务，或者能为将来保护投资，避免更换设备带来的不必要的麻烦。 在楼层汇聚一级采用三层交换机，因为采用三层交换有如下好处：1. 分流核心数据处理能力、降

12、低核心路由交换压力。2. 更好抑制广播风暴、提升网络性能。3. 终结各VLAN信息、增强核心路由管理能力。4. 网络层次结构更加完善、可汇总路由，降低核心路由表项。5. 安全性更高，更强的预防和控制，对网络攻击、病毒和破坏尽量控制在汇聚完成。6. 扩展性更强、快速定位故障点、更易于管理。7. 各楼层内部通讯量大，实现了本地三层交换。 所以楼层汇聚交换机建议采用锐捷的双协议栈多层千兆交换机RG-S5700系列产品，该交换机是一款硬件全面支持IPv6的机架式多层交换机系列产品，拥有特有的CPU带宽保护机制，以及为适合大型网络动态路由需要而设计的超大容量路由表和丰富路由协议。另外，支持丰富的强大的Q

13、oS功能，基于数据流的带宽控制精细灵活，提供二到七层的智能的流分类和完善的服务质量（QoS）特性，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。并且提供万兆上联能力接入交换机提供用户的直接接入，为了满足医院中的PACS/HIS/电子病历等系统，以及远程会诊等业务对视频、音频应用，需要接入层设备支持良好的QoS，以达到与汇聚以及核心设备一起提供端到端的服务质量（QoS）保证；另外需要具备Vlan和ACL功能实现信息安全和对病毒的控制；最后，接入层交换机需要做到

14、良好的接入控制能力，保证网络的接入可控和有效管理。所以接入交换机建议采用锐捷的智能安全交换机RG-S2900系列，RG-S2900是两款全千兆线速的安全智能交换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。数据中心位于门诊楼一楼，拥有各类型的服务器110台，全千兆以太网接口，在这里，通过两台万兆数据中心交换机S7806，使用冗余备份设计，为医院各种业务系统提供高速、稳定、不间断的数据服务

15、，保障各种诊疗服务的的正常运行。全网通高效的冗余备份技术，为各种诊疗业务开展提供永不间断的数据传输服务。2.3. 网络信息点统计规划本次网络建设，重点在于医院新建设的一栋18层的门诊大楼的内网建设。信息点总数为3000个信息点，其中信息中心位于一楼；各楼层信息点数统计如下：层数信息点数量24口汇聚交换机24口接入交换机48口接入交换机1楼150132楼200143楼200144楼200145楼200146楼150137楼100128楼100129楼1001210楼1001211楼1001212楼1001213楼22011414楼33011615楼32011616楼3001617楼2601151

16、8楼10012合计18463根据上表，汇聚交换机配置18台RG-S5750P-24GT，提供增强型24端口10/100/1000M自适应电口（支持PoE远程供电），12个复用的SFP接口，2个扩展槽，提供2个万兆单模模块连接核心交换。接入层交换机，配置12台RG-S2924G，24口10/100/1000M自适应电口交换机，4个复用的SFP接口，使用千兆以太网电口连接汇聚交换接入层交换机，配置63台RG-S2951XG，48口10/100/1000M自适应电口交换机，4个复用的SFP接口，使用千兆以太网电口连接汇聚交换同时，汇聚交换机已提供24个千兆电口均为POE远程供电端口，每层的7个无线网

17、络AP接入点，均可直接连接汇聚交换机，使用远程供电。2.4. IP地址划分规划l 特殊用户IP地址段服务器IP地址网段：公有IP地址l 根据四个出口，特殊计算机直接使用社保局的VPN地址，医保VPN地址，银行机构VPN地址、干保VPN地址。l 正常内网用户IP段：172.16.0.0/16l 交换机管理网IP段：192.168.0.0/162.5. 网络攻击的防范与控制网络攻击呈上升趋势，攻击的手段越来越多样化，产生的影响越来越验证，据统计超过80%的攻击来自网络内部，最典型的比如DDoS分布式拒绝服务器攻击，对于锐捷网络的解决方案来说，无论网络采用静态IP地址分配，还是动态IP地址分配，系统

18、可以绑定IP地址和MAC地址与端口，攻击主机一旦修改其源IP地址其报文就会被丢弃，不对网络造成影响，消除了DDOS对网络的攻击。锐捷交换机内建强大的ACL功能，支持标准、扩展以及专家级的访问控制列表，并独有ACL80功能进行基于应用的数据安全检测。可以进行基于接入交换机的ARP欺骗攻击防护。针对最重要的ARP病毒、ARP欺骗事件来说。锐捷网络满足了客户对ARP病毒防范的需求。由于ARP攻击/ARP病毒在用户数巨大、应用环境复杂的宿舍网尤为猖獗。下面简单介绍一下锐捷网络防范ARP网关欺骗的措施：i. 利用交换机端口ARP 检查安全功能：打开ARP 报文检查ARP 报文中的源IP 和源MAC 是否

19、和绑定的一致，可有效防止安全端口上欺骗ARP，防止非法信息点冒充网关设备的IP。ii. 针对目前ARP欺骗基本上是网关欺骗，锐捷网络进行了专门的研究，提出了Anti ARP-Spoofing。针对ARP欺骗的手段，我们可以通过这个命令设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。 iii. 同时，为了防止病毒主机模仿受害主机的地址，造成受害主机的ARP信息学习到错误的端口。建议通过配置静态ARP信息的方法解决该问题。也可以

20、通过在端口上绑定MAC和IP地址信息（端口安全），同时打开ARP-Check功能的方法。锐捷的交换机系统能够提供如下功能：事前的准确认证和身份定位，IPMAC端口交换机绑定，以及对用户进行正确的认证和授权；事中的实时处理，可以有效的阻止攻击行为的发生，以及防止病毒的蔓延。另外，可以与防火墙、IDS联动，对事件进行实时处理。事后的完整审计，即可以根据保留的网络资源使用者的日志，提供快捷迅速审计，做到准确定位到主机。2.6. 无线部署部署WLAN设备的时候，无需改动任何的有线网络架构，可以随时扩展AP来增加无线用户。WLAN用户接入认证可分为三种模式：1、使用AP作为认证者（Authenticat

21、or）进行802.1X认证；使用AP作为认证者（Authenticator）进行802.1X认证，无线用户接入网络时，首先向AP发送身份验证请求，AP将相关信息重新封装后发送到身份验证服务器（如RG-SAM）进行验证。2、使用AP上联交换机作为认证者进行802.1x认证；使用AP上联交换机作为认证者（Authenticator）时，用户首先接入无线网络，AP将用户的身份验证请求透传给上联的802.1x认证体交换机，再由认证体交换机将认证信息封装转发给身份验证服务器（如RG-SAM）进行验证。3、在“瘦AP+无线交换机”解决方案中，使用无线交换机作为认证者。在“瘦AP+无线交换机”解决方案中，瘦

22、AP不负责执行用户认证、数据加密等安全工作，而是由无线交换机来执行。使用无线交换机作为认证者（Authenticator）时，用户接入无线网络，瘦AP将用户的身份验证请求发送给无线交换机，再由无线交换机将认证信息封装转发给身份验证服务器进行验证。三种模式均可以保证全网统一的802.1X认证，整体网络认证统一。在本方案中，为了管理和安全，我们建议采用痩AP+无线交换机解决方案。在无线接入点位置，需要在各楼层全面部署无线网络，每楼层根据前期的规划，初步为一层楼7个具备802.11n技术的AP，共计126个AP。建议采用锐捷MP-82接入点，支持802.11a/b/g/n双路双频室内智能管理型无线接

23、入点（内置2.4/5GHz天线，外置3个SMA型天线接口）MP（Mobility Point）系列智能管理型无线接入点产品是锐捷网络推出的智能无线交换网络解决方案家族的重要组成部分。MP系列产品充分考虑了无线网络安全、射频控制、移动访问、服务质量保证（QoS）、无缝漫游等重要因素，可配合锐捷网络MX（Mobility Exchange）系列无线交换机产品完成无线用户数据转发、安全和访问控制，并受到MX系列智能无线交换机的管理与控制。锐捷网络推出的室内MP-82是一款高性能802.11n（2 x 3）多入/多出（MIMO）双模接入点设备，最高总数据率可达300Mbps。MP-82具备内置天线，可

24、以提供杰出的覆盖能力和传输距离增强特性，无需配置兔耳形天线。这款双模接入点分别在2.4 GHz频段和5 GHz频段上，可后向兼容2.4 GHz频段和5 GHz频段上已有的802.11a/b/g客户端，从而保护客户投资，无需部署第二个覆盖网络。无线交换机位置，推荐使用RG-WS5708万兆无线控制器，这是锐捷网络推出的面向下一代高速无线互联网络无线控制器产品，采用业界领先的MIP64多核处理器架构，可提供强大的处理能力和多业务扩展，专为大型无线网络设计，可突破三层网络保持与AP的通信，部署在任何2层或3层网络结构中，无需改动任何网络架构，从而提供无缝的安全的无线网络控制。RG-WS5708提供了

25、灵活的8个千兆光电复用端口和2个复用的万兆端口，为高效的数据转发提供了硬件支持。RG-WS5708起始支持128个无线接入点的管理，通过License 的升级，最大可支持768个无线接入点的管理。RG-WS5708可针对无线网络实施强大的集中式可视化的管理和控制，显著简化原本实施困难、部署复杂的无线网络。通过与锐捷网络有线无线统一集中管理平台RG-SNC以及无线接入点的配合，灵活地控制无线接入点的配置，优化射频覆盖效果和性能，同时还可实现集群化管理，将大型网络中的设备部署工作量将至最低。2.7. 网络出口设计网络出口设计需要考虑四条出口，一是社保局的VPN出口，二是医保VPN出口，三是银行机构

26、VPN出口、四是干保VPN出口，且各条VPN出口均是独立的电信或者联通线路。出口设计要求安全、可控。在这里，我们在结构上，使用一台高端路由器加一台防火墙/VPN设备来组合提供完整解决方案。路由器配置中，使用策略路由功能，首先在上联出口商，建立四个三层网络接口，分别配置四个VPN地址段的地址，然后采用基于源地址+目的地址的策略，优先指定某些特殊地址段，只能通过指定的地址向上级转发；另外一些用户，需要访问多个网络的，则根据其访问的目的地址，选择4个VPN的下一跳地址。在路由器上面，配置VPN设备，在VPN设备上，建立四条VNP通道，分别连接社保局的VPN出口，医保VPN出口，银行机构VPN出口、干

27、保VPN出口。路由器位置，我们建议选择RG-R3740路由器，提供2个10/100/1000M自适应速度以太网口/1000M SFP光以太口。VPN网关位置，我们建议选择RG-WALL V1600E，作为SSL/IPsec VPN安全网关，提供固化6个GE口+2个SFP口；提供2个模块化插槽，支持4GE/4SFP扩展，可扩展至24个千兆口，配置冗余电源，标准2U设备；自带10个RG-SRA-LICENSE，SSL/IPsec VPN共用隧道2.8. 网络设备管理平台设计为了提高管理员的工作效率，做到足不出户就能控制整个网络，并对接入的机器进行控制，锐捷网管软件平台StarView为用户提供了很

28、好的解决方案。StarView管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。StarView可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。2.8.1. 稳定的可扩展的软件体系结构

29、软件体系结构可以采用多进程挂靠的方式进行设计，保留丰富的可扩展接口，为系统进一步扩展和软件外联提供了稳定的平台基础。2.8.2. 强劲的网络拓朴发现能力StarView 集成了目前先进的三层拓朴发现算法可有效地对三层网络连接进行检测和描绘，自动检测和描绘网络拓扑结构，为管理员提供统一的拓扑视图和集中式管理视角。而且，自动检测网络活动后，通过采用不同的位图标识不同类型的设备，以及采用不同颜色的三色状态图标识设备的不同状态，可以更好的描绘网络设备节点的状态，为管理员提供快速准确的告警定位。最为突出的是，锐捷网络的StarView能够对网络中的非网管型交换机、HUB、服务器、PC机等设备进行发现并绘

30、制出统一的二/三层拓扑图。图示：StarView 生成局域网拓扑2.8.3. 增强的设备管理能力对以太网络中的通用IP设备、SNMP管理型设备提供了Web、Telnet、MIB-Browser、RMON View等多种综合管理方式，并在此基础上，为锐捷网络设备，提供了增强的设备管理和功能管理。 为锐捷网络设备提供各自的管理窗口及其管理功能。 为管理员提供逼真的锐捷网络设备面板图，直观显示端口的连接状态，并可在设备面板图上进行点击操作，完成设备整体或接口的信息配置、浏览以及性能监视。2.8.4. 智能化的事件管理机制结合拓朴管理和性能管理器于一体，集中管理Trap 事件、拓朴管理事件、阈值报警事

31、件和未知类型事件。事件管理器提供丰富的事件分类查看和存储功能，使管理员可在大量的网络事件中迅速查找并标识重要事件，从而进行有效处理。事件管理器使用标准数据库作为Trap 解释模板库，通过编辑配置数据库，管理员可使用自定义的方式扩展软件支持的事件类型，从而避免了多设备混用时事件管理混乱问题。2.8.5. 高效的性能监视和预警功能为了网络性能分析和故障分析的直观性，系统提供完美的组合式曲线统计方式。STAR-VIEW提供统计视图打印功能，为网络故障分析提供了现场保存的能力。另外，系统支持多设备多性能在同一视图内对比监视的方式，方便管理员对多项网络性能进行对比分析。非常重要的一点是，主动式的阈值告警

32、功能。这一功能可以让管理员根据网络实际应用自定义网络关键性能变更事件，并通过与事件管理器连接得到有效的预警和处理。另外，自动视图记忆功能使得监视视图被设定后即可永久保存，从而使得软件一旦启动即可对历史监视点进行后台监视，免除了管理员重复再设定的烦恼。2.8.6. 基于数据库的灵活的网络应用STAR-VIEW使用SQL数据库作为后台数据库，基于SQL Server的网络功能。StarView可实现基于网络的分布式的高级应用，即所有管理站收集到的事件信息、性能数据以及拓朴视图可在SQL Server进行汇总，从而使得网络性能历史重现、网络事件报表等功能可共享数据信息，为管理进行统计分析提供最丰富的信息资源。基于SQL数据库的网络性能历史重现功能可有效记录大量的性能数据，并提供管理员最多长达一年的对网络性能变化趋势进行描绘的能力。2.8.7. 友好的用户界面采用全中文的用户界面和标准Windows界面风格，用户极易快速掌握软件使用和操作。而且高度简化的软件操作方式，将使得复杂的软件功能应用只需要简单的步骤就可完成。