51CTO下载-某医院的计算机网络系统总体设计方案(范例).doc

《51CTO下载-某医院的计算机网络系统总体设计方案(范例).doc》由会员分享，可在线阅读，更多相关《51CTO下载-某医院的计算机网络系统总体设计方案(范例).doc（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、*学院附属医院计算机网络系统总体设计方案（版本号：Beta 1）*网络系统有限公司* Network System Co. Ltd.目 录1.概述42.系统建设的总体目标42.1.用户需求42.2.系统建设范围52.3.主要技术路线53.系统总体设计方案63.1.系统设计原则63.2.设计依据73.3.设计目标83.4.网络系统总体设计93.4.1.网络技术选型93.4.2.网络产品的选型143.4.2.1.园区主干网络设计143.4.2.2.网络中心173.5.网络安全与管理193.5.1.安全管理措施193.5.2.网络管理193.5.3.网络安全203.6.方案特点（以CISCO产品为例

2、）214.技术培训244.1.现场培训244.2.理论培训244.3.实用技术培训245.项目实施计划255.1.项目实施原则255.2.项目组织结构及职责255.3.项目实施进度计划266.售后服务与技术支持267.系统设备清单及报价288.附件29附录一、*网络系统有限公司简介29附录二、CISCO公司及产品介绍311CISCO公司简介312主要产品简介321. 概述*工学院附属医院（简称：医院），是*开发区内唯一的高等院校的附属医院，位于开发区中心地带，始建于1997年。随着开发区经济建设和社会发展步伐的不断加快，如今的医院已发展成为一所设备先进、技术力量雄厚，具有巨大发展潜力的集医疗、

3、教学、科研、预防、保健、社区卫生服务等于一体的综合性三级甲等医院，也是*首家爱婴医院。一九九七年医院使用Accton公司的交换机组建了干线100M，10M交换到桌面的局域网络系统，系统目前覆盖了CT楼、门诊大楼及内外科大楼，为附院实现信息管理系统提供了初步的网络平台。随着学院的乔迁，医院规模和业务的不断发展，已有的网络系统已逐渐不能适应现有应用的需求。为了提高网络的覆盖率，使更多的人可以利用网络的便利性，以及为了在网络上可以支持更多的新一代的应用系统（如多媒体教学、科研、医学影象处理、网上医疗服务、资源高度共享等），在原有的基础上建设新的园区网络系统已事在必行。*网络系统有限公司在认真细致的听

4、取和了解医院其他相关部门的介绍以及经过实地考察及分析后，把医院的计算机网络系统建设需求分析归纳如下：2. 系统建设的总体目标2.1. 用户需求医院的计算机网络系统建设需求归纳如下：1) 网络连接覆盖整个医院园区内的医院、教授楼、成人学院及生活区等，为医生、教师、学生及职工提供网络服务。2) 使用千兆以太网作为网络主干，构建能够提供服务质量保证和多媒体应用支持的新一代的园区网络系统。3) 提供接入Internet的手段，并在网络中设置的专用安全区域放置Web服务器、E-mail等公共服务器。4) 在网络上提供高效可靠的安全管理构架和安全策略，确保网络资源的安全使用。5) 网络系统设计要具备高度的

5、灵活性和扩展性，能够满足未来发展的需求。6) 建立新的系统时要考虑保护前期投资、不能造成浪费。7) 建立网络系统运行管理中心，建立统一集中式的网络管理，实行有效的配置管理、失效管理、安全管理及性能管理； 8) 统一进行子网划分和IP地址分配；9) 实现企业内部网与Internet 的互联，建立企业内部网（INTRANET）。10) 信息资源采取集中控制与分布配置相结合的策略，合理规划，分布实施；11) 建立以Windows NT为平台的企业系统管理平台，对信息资源进行有效管理；12) 在NT平台上建立Exchange邮件系统，实现员工之间、以及对外的信息交流；2.2. 系统建设范围本方案提供的

6、医院的网络系统解决方案的项目实施范围包括：医院企业网络系统（Intranet）的组成构架，建立基础的信息系统平台，提供整体企业级安全防护策略。2.3. 主要技术路线医院园区网络系统建设的主要技术路线如下：1) 采用成熟/先进的网络技术。2) 统一技术规范、标准和方案，统一设备选型，统一组织实施。3) 通过高速交换技术、虚拟网（VLAN）技术组网。4) 以TCP/IP为主要协议，采用统一的电子邮件系统提供邮件服务。5) 以标准化为基础实现系统的开发型、可扩展性，增强与异种机、议购网的互联能力。6) 注重避免出现瓶颈效应，重要路由要有备份，保证网络每天24小时可靠运行。7) 注意通信保密和数据安全

7、，建立完善的网络安全管理系统。8) 采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章制度。3. 系统总体设计方案3.1. 系统设计原则医院计算机网络系统建设工程是一项重要的系统工程，其设计的高可靠行、先进性、合理性将对于今后医院信息化建设的发展产生极为重要的影响。系统设计总原则如下： 为医院的信息建设提供一个先进、可靠、稳定的网络系统平台； 充分重视网络系统和信息的安全，建立先进的网络管理系统和安全管理系统，建立完整的信息控制和授权管理机制。 在限定的时间和规模内，努力降低费用支出，提高系统的性能价格比。 采用成熟的先进技术，兼顾未来的发展趋势，既量力而行，又适当超前，留有发展余

8、地。 充分发挥各方面的积极性，保障各项工作有序按时进行。为此，我们在进行方案设计时将遵循以下几个性能指标： 安全可靠性要求整个系统采用具有高可靠性的总体设计，在关键节点考虑采用备份设计，在关键的网络设备和主机设备上努力消除单点失效；设计中所选用的设备本身应具有较高的安全可靠性；在系统软件和应用软件方面必须注重系统的安全保密工作，采用具有较高安全级别的系统软件，引入具有可靠功能专用网络安全产品；在对后期培训工作的安排中，加强对有关工作人员系统安全知识培训及处理突发故障能力的培训。 先进性保证所采用的设备和技术属世界主流产品，在相应的应用领域占有较的用户市场，在相关计算机技术及网络技术方面处于领先

9、地位。考虑到网络建成后较在很长一段时间内使用，所以在选择网络技术的时候应具有一定超前意识。 实用性系统的性能指标应能够满足住处网络内各项业务对处理能力的要求。整个系统的性能应当是可靠的，便于管理的。所采用的设备应当是易于配置维护。从客户的角度出发，在完全满足网络应用要求的条件下，尽量压缩设备所需费用，争取达到最优的性能价格比。 开放性在网络和主机方面应支持符合国际标准和工业标准的相关接口，能够与各接入单位网络、ISP的网络以及其它相关系统实现可靠的互联；在支持标准的应用开发平台方面，系统软硬平台应具有良好的移植能力，在硬件升级后保持二进制级兼容性；在网络协议的选择方面，应选择广泛应用的标准协议

10、，同时支持局域网内部的其他协议。 可扩充性和灵活性在网络和主机设备的选择方面，应具有良好的可扩充能力，可以根据信息网络临时需要对系统进行必要的调整、扩充，这包括存储容量和网络规模等方面的扩充。在网络全面升级的情况下，能够最大限度地保护现有投资。3.2. 设计依据1) 医院网络系统建设需求说明书2) 医院综合布线设计方案3) ITU相关标准4) IETF RFC相关文件5) 中华人民共和国计算机信息网络国际互联网管理暂行规定3.3. 设计目标医院的数据网络工程分为医院园区网络建设、工学院园区网络建设、工学院新校址园区网络建设、医院生活区网络建设和系统整合以及整体的网路安全解决方案几个主要部分。医

11、院网络系统建设总体目标如下：1) 采用先进网络技术，同时注重该技术的成熟性，要求选择的技术符合国际标准。能够与主要网络厂商的产品及网络技术较为方便的实现互联。2) 采用的技术及设备应该具有易升级及可扩展性，最大程度上保护投资。3) 适应桌面计算机处理、I/O能力大幅度提高的现状，发挥桌面机的网络性能，提高桌面的访问带宽。4) 适应联网规模大、总流量大的情况，合理分布流量，实现有效的安全访问控制和运行管理。5) 提供对应用服务器的特别支持。6) 适应部门多、层次复杂的特点，合理进行网络划分，实现有效的安全访问控制和运行管理。7) 能够向未来的高速网络技术和不断出现的新应用过渡。8) 实现网络互联

12、，解决互联网络带来的安全和管理问题。9) 适应数据集中型的应用发展趋势，为客户/服务器的应用环境提供支撑。10) 增加网络系统的运行可靠性，降低故障隐患，提供系统的可管理性。11) 适应机构建制和工作流程，提供多层次的安全保障。3.4. 网络系统总体设计3.4.1. 网络技术选型对于医院公司这样一个覆盖15栋楼宇的大型园区网络系统来说，选择一种既能提供一个理想的高速多媒体网络主干，又具有现实性的网络技术方案极富现实意义。第一，我们从网络系统的继承性方面考虑, 在这方面千兆以太网的有着很强优势。以太网技术遍布全球各地，根据IDC的统计报告，在已安装的网络中以太网所占的比例超过80%，这意味着有超

13、过12亿台PC、工作站和服务器之间是以太网连接的。剩余的部分网络是令牌环、FDDI、ATM 和其他。许多著名的操作系统和应用程序都兼容以太网，大多数高层协议也支持以太网。同时以太网有着众多的网络管理工具和诊断工具，从简单的指示灯式仪器到复杂的图形化分析仪。范围很广。现今绝大多数计算机系统都是采用以太网设备，从投资保护和技术的相容性方面考虑，采用千兆以太网技术对于公司目前现有的计算机及网络设备而言有着良好的兼容性和适用性。第二，我们要考虑的最重要的一点就是网络系统的可靠性，这是我们进行网络技术选型中应该最为优先考虑的原则。高度可靠的计算机网络对于企业的成功来说是至关重要的，没有可靠性作保证的网络

14、系统是更本无法应用的。因此，必须对各种网络技术的实现方法和以后的技术支持等问题作审慎的考虑。自从1986年出现星形布线结构的10BaseT技术以来，结构化的布线系统使得集线器和交换机的可靠性越来越高。如今，以太网已经比其前辈-电话网技术更加可靠，并且易于理解和管理。今天的千兆以太网无论是在稳定性方面，还是服务质量保证（QoS）方面都达到了一个崭新的高度。第三，费用低廉，具有较高的性能价格比。以太网和快速以太网每端口的平均价格在迅速下降，而且相互间的差距月来越小。千兆位以太网的每端口价格目前已经比 ATM622M的价格低很多，其未来的发展过程也将类似于快速以太网。在现有技术条件和同等端口密度下，

15、一般来说千兆方案要比ATM方案便宜三分之一以上。除了直接的投资费用之外，网络支持和维护费用是一个不容忽视的问题。如今已有很多成熟和专业的工具来维护以太网，使其以最好的性能运作。千兆位以太网保护了这方面的投资，千兆位以太网帧格式拓扑结构都是相同的，仅需要对网络分析工具的速度进行升级，而所需的专业培训将会减低到最少。相对于技术极为复杂，需要大量培训和维护费用的ATM网络技术而言，千兆网技术有着其无法比拟的优势。第四，从网络的发展性的角度考虑，千兆技术是一种很好的选择。当新的和现有的网络应用程序发展到包括高质量的图形应用程序、视频和其他大数据量的多媒体应用程序的应用环境时，桌面PC、服务器、集线器和

16、交换机都面临着增加网络带宽的压力。随着这类的应用程序不断地增加和网络用户数量的增加，人们对高带宽网络设备的需求越来越迫切。随着LAN上信息的飞速增长，网络管理员被迫去寻找更高速的网络技术可以解决带宽的要求。他们现有的网络多为以太网或FDDI主干，可以选择不同的升级方法，虽然各种方法都有自己不同的形式，然而还是有一些通用的标准或要求来选择高速的网络技术，包括：l 容易实现的、无间断的升级技术 l 可以扩展至更高的性能l 低成本，包括设备的成本和技术支持、维护的成本l 支持新的应用程序和数据形式在Internet应用中，迫切需要迁移至新的数据类型，包括视频和音频。以前人们认为视频数据需要在专门的网

17、络上传送，然而现在它也可以在以太网上传输，因为：l 通过交换技术，使网络带宽的分配增加到100M或1000Ml 新的网络协议如RSVP，支持带宽的分配和保留 l 新的标准如802.1Q/p, 支持专有VLAN功能和网络数据包专用标识 功能l 广泛应用的视频压缩技术, 如MPEG2l 这些技术和协议的组合运用使得以太网成为传送视频和多媒体数据应用的极好的解决方案。最后, 有人可能会问，我们为何不选用ATM技术？以下我们将对千兆与ATM技术的进行一个比较，分析一下两者在园区网技术上的优劣。ATM 技术采用信元和端到端连接机制，能够对流量进行非常精确的控制，但它主要是一种广域技术。事实上ATM 发展

18、的动力源自电话公司想给数据联网重新定义。想法是对数据、话音和视频采用不同的协议。端到端连接的一个关键因素是它们能够记录数据流量，从而进行计费、收费工作。ATM技术进入LAN 的市场开始于1993年，当时ATM行业宣称ATM是联网技术的未来，能够扩展、可以进行交换、支持视频等等，还把IP和以太网看作老式网络。由于当时市场上迫切需要高带宽的局域网络设备和技术，而当时快速以太网在带宽上还不能和ATM竞争，所以ATM 在LAN的市场中取得了一席之地。但到今天千兆以太网这种更高带宽的以太网技术出现后，ATM的高带宽优势已荡然无存。今天人们已经意识到，事实上，IP才是所有人都围绕的网络协议，而且IP完全独

19、立于底层网络技术。它与以太网共同发展起来，也可以运行在令牌环、FDDI，但是在ATM 上让IP工作起来则比较困难，需要采用LANE、Classical IP、MPOA 等复杂的技术，而且降低了ATM的效率，丧失了ATM的应用优势。千兆位以太网比ATM 还有一个固有的优点，就是在网络上的流量在协议方面的开销要ATM少很多，ATM的开销大约是千兆位以太网的两倍。另外如我们在前面一再指出的，千兆以太网相对ATM 技术有着价格、维护费用、使用方便性、结构灵活性和易管理性上有着一系列的优势。而且在目前的Internet上，实现未来纯 ATM 端到端网络的情况已经不符合新的应用要求 。出现这种情况的主要问

20、题是由于ATM 是面向连接的；在能够发送数据前用户必须建立起一条端到端的连接。而IP是动态链接协议，采用路由器来转发数据包，没有端到端连接的建立。而在Internet上，半数的数据流量是与Web有关的。每次用户点中一个链接，就打开了与另一个服务器的连接。平均每个http传输的数据量大约为2K字节，按照每秒155兆比特的速率，大约需要100微秒的时间。而Fore最先进的ASX1000交换机的连接建立时间是10毫秒，因此连接建立时间占了吞吐量的 99%，这意味着实际吞吐量为1.5兆而不是 155 兆比特，与T1线路相差无几。整个连接建立的概念从根本上就与动态化日益加剧的IP环境无法兼容。就ATM技

21、术本身来讲，它的特点为高带宽（155Mbps以上），并且它具有QoS等级服务来提供不同的电信服务，如图像、话音及数据。但是QoS是ATM在不配置成局域网仿真时成立。换句话说，当您的大楼局域网采用ATM局域网仿真（LAN Emulation）时，也就是仿真以太网时，您就无法使用到ATM技术在城域网（MAN）或广域网（WAN）上所有的QoS。ATM局域网仿真是技术发展过程中的一种过渡，这是因为前几年千兆以太网（GE）还未成熟，所以ATM 局域网仿真才被采用。但是ATM到桌面不太现实，因为它需要主机操作系统、驱动程序、网卡的全面一致化，才能实现真正的ATM 到桌面。所以只能采用ATM 局域网仿真（而

22、不是真正的端到端ATM）来解决网络互联的实际需求。尽管ATM仍占据着大部分园区主干网，但在园区局域网内ATM高带宽的优势随着近年来千兆以太网的成熟而失去优势，加上其技术复杂性、价格弱势以及一些其它因素，人们在园区网络技术的选择越来越倾向于千兆（GE）以太网技术，而基于IP的多媒体应用也正在迅速被广泛采用。 以下是千兆位以太网(Gigabit Ethernet)与ATM两种主干技术的对照比较表：Gigabit EthernetATM标准IEEE802.z尽管已有多项标准出台，但由于ATM技术的复杂性，标准的制定仍在进行中，需要时间 完善带宽1000Mbps155Mbps或622Mbps竞争能力，

23、厂家提交的交换机数目，各种NIC服务几十家，成为技术型公司的新增长点主要有十几家每端口的价格交换机端口与NIC组合，一起可达3000多美元。ATM-155对于交换机端口及NIC组合为2000美元左右，ATM-622为这个价格的数倍媒质支持STP，UTP5，多模光纤，单模光纤ATM-622M及更高速的只在光 纤上运行学习曲线，技术的复杂性容易复杂，较难学习与现在的各种数据应用 程序及网络的兼容性无需作任何改动 与现有的 LAN协同工作技术复杂且效率低Qos保证不同类型应用RSVP，RTP，PTCP，802.1p等新的技术协议以及Cisco等公司在IP优先级方面的一系列技术在LANE的情况下，需要

24、SVCs或IETF正在制定的RSVP的 复杂映射来解决多厂家产品的互操作性基于标准的互联高层的互操作性，如交换机到交换机信令，经过ATM 的多协议仍无保证，标准还在改进VLAN的支持与快速以太网一致，但同样的VLAN连接与组成标准能容易地覆盖以太网快速以太网及千兆位以太网能映像基于LAN的发布领 域，而与ATM的可互操作性是既枯燥又复杂的根据以上我们对当前主要的园区网技术的细致比较，并参照目前网络系统的实际发展情况和医院建筑的分布和应用情况，我们最终确定采用千兆以太网作为医院主干网络技术。采用千兆技术不仅可以很好地满足客户机服务器模式对网络主干的巨大需求，而且以太网具有的良好的移植性可以方便的

25、将10M以太网和快速以太网升级到千兆以太网，从而能够把一些数据流很大的工作组快速集成到骨干网中去；在局域网方面与ATM技术相比有较大的优势；从网络的管理与维护方面讲，千兆以太网技术可以节省大量的培训和维护等后续费用。这一系列特点使得千兆以太网技术成为医院计算机网络主干技术的最为理想的选择。3.4.2. 网络产品的选型鉴于系统的先进性和兼容性，医院的网络系统我们将采用美国Cisco公司的产品。我们选择Cisco产品的主要原因出于下列考虑：Cisco公司是世界领先的Intranet和全球Internet网际互联解决方案供应商，是公认的网间互联技术和产品的领先厂商，其提供的解决方案是世界各地成千上万

26、公司、大学、企业和政府部门建立网间网的基础，用户遍及电信、金融、服务业、零售业、政府部门及教育机构等，在“幸福”五百家公司中的83%均为Cisco公司的用户。Cisco公司是世界十大电信公司之一，成为全球增长最快的电信产品供应商，其最成功之处在于Cisco公司在对其它公司进行兼并之后能够很好的消化其技术。Cisco公司的IOS(Internetwork Operating System, 网间网操作系统软件)技术提供了网络扩展性，模块化结构和移植性，以及多媒体、安全性、网络管理、拨号和Internet应用等许多内嵌功能。Cisco总是能将其IOS特性很好的融合到其新的产品中去，Cisco IO

27、S技术的独特性使得其产品有着其它公司产品无法媲美的优势。3.4.2.1. 园区主干网络设计一个优秀的网络设计方案离不开对其网络应用的评估。目前，在典型的网络中80% 的数据流是客户/服务器业务，它们之间的绝大多数业务又必须跨越骨干网传输。这样就造成在骨干网的一边是快速以太网客户，另一边是文件服务器，而两者之间的界面必须提供足够大的吞吐量来满足加在网络上的性能要求的现象。所以对于一个成功的网络集成设计来说，骨干网和边缘之间的界面的设计是极为关键的，因为这个边界正是网络进行分段和重组(SAR)的地方，对于医院这样大规模会产生巨大的网络业务流的网络系统更是如此。如果网络的数据业务流不能在骨干网和边缘

28、之间快速可靠地传输，就会出现瓶颈，产生时延，降低效率，结果造成高速千兆以太网所提供的诸多优点均未实现。考虑到医院今后的业务核心在其附院园区，为此医院的网络系统的设计思想是以医院信息中心机房为网络中心，以星型方式通过2G的链路分别连接内科办公楼、外科办公楼、旧急诊楼、门诊楼、教学楼、教授楼、学生宿舍、生活区的骨干节点交换机，并以这些二级骨干节点为中心，通过1G或2G（视下级节点的业务繁忙程度而定）的链路连接桌面交换机(参见医院计算机网络系统结构拓扑图)。医院公司网络系统拓扑结构图在医院主机房放置一台Cisco Catalyst 6006作为网络的中心千兆骨干交换机，中心交换机配置主备交换引擎，多

29、层交换及策略卡模块、双电源，充分保证了中心交换机的高可靠性。中心交换机提供16个千兆多模接口及96个10/100以太网UTP口，并能构实现企业网的第三层交换。Cisco Catalyst 6006配置如下： 双电源； Catalyst 6006 主交换引擎、多层交换卡及策略卡模块1块； Catalyst 6006 备交换引擎、多层交换卡及策略卡模块1块； 8口1000BASE-LX/LH GBIC多模/单模光纤模块2块； 48口10/100M以太网交换模块2块； 在医院的三个二级骨干节点，我们分别放置1台Catalyst 3508Gh通过两条千兆上联链路分别与中心交换机的不同槽的千兆模块相连，

30、两条链路互为备份且均衡负载，任意一条链路故障不影响网络运行并通过原故障线路的传输信息的端口转到另一条线路传输，全双工速率可以达到4G。其中，Catalyst 3508G可以提供8个千兆模块用以连接，余下的6个千兆端口可别连接本幢及附属建筑的Catalyst 3548/2924交换机。各二级骨干节点分配线间交换机配置情况如下：Cisco Catalyst 3508G配置如下： Catalyst 3508+1000BASE-LX/LH GBIC单模/多模光纤模块8块； 其他各幢建筑分配线间分别放置Catalyst 3548或Catalyst 3524交换机通过千兆就近上联作为二级节点的Cataly

31、st 3508G上。Cisco Catalyst 3548配置如下： Catalyst 3548+1000BASE-LX/LH GBIC单模光纤模块2块 Cisco Catalyst 3524配置如下： Catalyst 3524XL+1000BASE-LX/LH GBIC单模/多模光纤模块2块 通过以上网络设备组成的网络主干系统不仅可以达到4G的主干容量和满足10/100M的桌面速率，而且通过Cisco6006的路由和虚拟子网的划分，可实现整个园区网络系统端到端的通信。3.4.2.2. 网络中心网络中心是整个网络运行管理的核心。这里集中了各种网络应用服务器、多媒体应用服务器、网络管理系统以及

32、互联网络的接入设备等。设计一个合理的网络运行管理中心，对今后整个网络规划、拓展和管理将带来十分积极的影响。在医院网络中心我们选用的是Cisco公司的千兆以太网交换机6006，作为骨干中心交换机，用以连接其他骨干节点和网络中型的各类服务器及网络设备。如图所示：医院网络拓扑结构图1) Internet接口为了让整个园区能够与Internet相连，让内部员工能够从中获取信息资源和同时让外部用户能够访问医院的网站。我们建议申请一条DDN链路，通过电信局连接Internet。我们选用了Cisco公司的企业级硬件防火墙产品PIX Firewall，作为医院内部网与Internet之间的安全防护平台，同时其

33、还可以提供一个缓冲区作为网站、DNS服务器使用，这样就避免了企业内部网上的各类网络系统设备直接暴露在Internet上，使网络整体的安全性得到了大幅度提高。3.5. 网络安全与管理3.5.1. 安全管理措施1) 建立安全管理制度，保护登录密码，合理使用访问权限，系统管理员注意在用户使用权限划分上的漏洞；2) 系统管理员注意网络监控，对用户访问进行记录；3) 网络系统的核心由千兆位以太网交换机构成骨干网，采用端到端连接技术，保证骨干网上数据传输的安全性；4) 在互联网络接入部分配置了防火墙PIX，在应用层进行安全控制；5) 通过网管系统加强虚电路和虚网管理，使网络安全集中管理；6) 建立企业级的

34、病毒防护体系，确保信息资源的安全完整；3.5.2. 网络管理医院内部网的网络管理是网络建设的重要内容之一，是保证整个内部网正常运行的前提。网络管理不但需要先进、使用的技术支持手段，对大型网络而言，更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。界定并实现网络管理是网管设计的主要内容。内部网网络管理系统的主要管理对象包括： 互联网接入部分 主干网核心交换设备 子网交换模块 工作组交换机和基层网络设备 服务器系统 拨号访问服务 网络运行中心NOC网段 网络信息中心NIC网段 VLANs划分与管理 所有的网络信息和管理数据，包括系统配置、失效记录、安全记录、性能记录，用户使用情

35、况等都保存在数据库中，这些信息和数据可以方便地进行查询、统计、分析和形成报表。配置管理：管理主要网络设备和服务器及VLANs配置信息、通信和网络拓朴结构、用户名、电子邮件地址、口令等重要网络信息。失效管理：是保证网络政党运行至关重要的一个部分，目的是保证网络正常运行，尽量减少故障发生的频度、消除故障产生的隐患，并及时修复已出现的故障。失效管理配合网管软件的失效管理功能，建立失效档案管理，提供联机工作手册和规范的失效处理操作程序（包括书面报告、电话报告、E-MAIL报告、处理程序、处理意见等的要求）。通过一定的故障定位手段和分析方法找出故障源，并立即对故障源进行隔离和修复。性能管理：对接入网络和

36、IPF 址的流量及流速进行定时采样记录。能够指明网络流量的高峰和瓶颈所在，能够按业务、部门、时间统计，根据流量统计安排镜像操作的时间等。安全管理：是整个网络管理的重要一环，通过防火墙、用户认证/授机、数字签名、加密传输、存取控制、安装安全分析工具等手段实现安全控制，监视用户的访问情况，实施访问安全控制；通过设备冗余、容错配置、数据备份等手段确保运行安全；通过值班制度、运行制度完善组织管理；通过事帮保护系统，如防火系统、防盗系统、电源安全系统等措施防止非常事故的发生。由于本网络系统覆盖的地理范围较大，我们建议选用基于WindowsNT的网络管理软件CiscoWork2000 LAN Manage

37、ment Solution来进行全面的网络管理。3.5.3. 网络安全防火墙被应用于内部网与外部网的连接之间，通过26块100M快速以太网卡直接连在交换机上。使用虚拟网（VLAN）技术，来自INTERNET对内部网的访问首先要经过防火墙，防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤，以确保网络的安全。CISCO公司PIX防火墙向企业网络提供引人注目的简单新特性和举世无双的安全性。PIX防火墙的高性能核心是一种基于自适应安全算法（ASA）的防护方案，有效地对黑客隐藏起客户机地址。PIX还具有执行速度快、成本低的优点，同时也能改善IP地址不足的问题。3.6. 方案特点（以CISC

38、O产品为例）本方案具有以下特点：统一的IOS安全性好高性能IP及多媒体支持实用性强高可靠性易管理高可扩展性标准化阐述如下： 统一的IOS方案选用的所有Cisco产品都内置Cisco IOS。IOS能够将路由器、千兆交换机、ATM交换机、LAN和WAN交换机、文件服务器、智能集线器、个人计算机及对机构的互连网络有战略性影响的任何其他设备等所有不断发展的网络平台集成在一起，因而能够支持不可避免的变化和移植。IOS能够发挥Cisco平台及由将IOS融入其产品中的技术伙伴提供产品的功能，因而能够让各公司建立和加强经济有效的集成式统一信息系统基础设施。 安全性好设备的安全性在网络系统的安全设计中，设备本

39、身管理的安全性是应首先考虑的，却往往又是人们常常疏忽的。利用设备本身的多个登录等级，控制不同人员的配置权限。可利用TACACS+、RADIUS安全认证服务器，加强了对网络设备本身的安全性管理。VLAN的安全性VLAN的建立，可以控制广播和应用的信息流动，从而防止他人非法在网络上截获其它用户或它们的资源。VLAN之间的通信可通过访问列表Access List控制，提供IP层，TCP层的访问控制。利用CISCO User Registration Tool，并结合CISCO特有的动态VLAN技术，使移动的用户无论位于何处，与之相连的交换端口属于该用户特属的VLAN，即User-band VLAN，

40、由于需要经过用户口令的认证，更增强VLAN的安全性。网络访问的安全性通过防火墙防止黑客的入侵。数据的安全性HP的DLT4115的磁带库和Legato的备份恢复软件，对Unix服务器、NT服务器、ORACLE数据库、Exchange Server和SQL Server进行备份，以便在灾难发生时进行恢复。 高性能IP及多媒体支持方案采用高速的千兆网技术，无论在网络上进行文件还是多媒体传输都基本避免了网络拥塞，能确保应用系统在网络上顺利运行，保证用户充分利用网络的资源。网络的高性能主要体现在以下几个方面： 高性能的第三层路由和交换技术 高性能的网络操作系统 高性能的多点广播服务，保证多媒体应用的有效

41、运行 高路由性能Catalyst 6000系列产品的最大优点就是它的高性能路由能力。对于IP、IPX以及IP Multicast和网络桥接，的第三层交换处理能力为1500万pps。系列在它的所有线卡间以线速支持组播IP。随着和等组播应用被越来越广泛地使用，作为端到端组播解决方案一部分的组播路由协议变得越来越重要了。同时支持独立路由协议（PIM）的松散式和密集式两种模式，并具有用于传统应用的距离矢量组播路由协议（DVRMP）的互操作能力。支持IGMP的第一版和第二版，并具有CGMP服务器能力。这些协议不仅对于IP组播客户加入工作组是必需的，而且对于高效的退网处理这对节省带宽和终端CPU十分重要也

42、是必需的。 实用性强本着“求实为本”的原则，经过我公司技术人员的反复研究和对CISCO、LUCENT等网络厂家产品的认真比较和筛选，才形成了该方案。因此，该方案是性价比最好的方案。 高可靠性本方案从物理层到网络层，采取多层冗余的措施，同时在网络设计中对系统结构设计、网络设备选型等方面作了严格选择。方案选用的网络产品的平均无故障时间可达到7万小时以上，这是网络可靠运行的重要保障，网络设备可靠性非常高。网络选用的Catalyst 6509，其关键部件实现热备份，有容错电源选择，各模块可在线热插拔。当某个网络部件出现故障时，不影响其它节点。网络关键设备（中心交换机）实行双引擎处理模块的热备份，确保网

43、络的高可用性。除在物理层采用冗余备份外，在第二层采用快速通道技术（FEC）和扩展树算法（Spanning Tree Per VLAN）技术为客户端提供备份冗余及负载共享。Fast Ethernet Channel 和Gigabit Ethernet Channel支持冗余链路的负载共享，提供有效的链路带宽。Spanning Tree Per VLAN技术，提供VLAN Trunking的负载共享和冗余备份。OSPF/EIGRIP可靠的路由选择功能能够寻找性能最佳的路径并绕过网络故障快速实现路由通信。收敛时间非常短，即当设备出错时，能迅速发现错误并接管其工作。同时，采用HSRP能为VLAN提供路

44、由设备的冗余，自动实现热备份。 易管理CISCO公司的CiscoWork2000系列的LMS可以用于对CISCO设备进行管理，用于分析网络流量、查找网络故障。 高可扩展性网络设计具有层次结构，具有良好的可扩展性，用户能灵活地接入到相应的层次当中。网络系统具有良好的、能互操作的路由协议，如OSPF、EIGRP、BGP4等，能实现网络规模的巨大扩展。支持多种网络协议，如IP、IPX、AppleTalk、DECnet等等，增强网络的支持能力。Fast Ether Channel 及 Gigabit Ether Channel可将交换机、路由器升级成更高性能的产品。Cisco ISO软件版本升级可通过

45、方便地完成，实现平滑升级。Cisco IOS可提供高度的灵活的扩充性服务。IOS的可扩充路由协议能够避免不必要的拥塞、突破固有的协议限制以及冲破互连网络的范围和地域分布带。能够建立一个可随着网络需要的增长而增长的灵活的可扩充的软件环境。 标准化支持IP国际标准。如ICMP、ARP、RARP协议支持VLAN的ISL、802.1Q协议，支持各种方式的VLAN的划分优秀的操作系统IOS，以其良好的性能已成为事实上的工业标准支持X.25、DDN、帧中继等广域网的连接支持新的IPV6标准4. 技术培训为了让医院技术人员能够更好地掌握改系统，我们计划为贵公司提供以下各种类型的培训。4.1. 现场培训地点：用户现场内容：系统软硬件安装，管理，系统故障诊断时间：设备在用户现场安装、调试完成后一周内4.2. 理论培训地点：（待定）内容参加人数培训时间CRLS Cisco网路基础2人5天Microsoft MCSE2人5天4.3. 实用技术培训为了帮助医院公司的技术人员能够掌握现有系统，并具有一定分析