《医院综合楼计算机网络系统设计方案.docx》由会员分享,可在线阅读,更多相关《医院综合楼计算机网络系统设计方案.docx(10页珍藏版)》请在课桌文档上搜索。
1、医院综合楼计算机网络系统设计方案1.1 设计思路根据我们以往在各种系统特别是卫生系统中的工程经验,结合我们对人民医院门急诊综合楼网络的实际需求深入调研,我们建议对网络的构建以“整体规划,立足现在,适度超前,稳定可靠、节约成本”为指导原则,对整个大楼的网络系统进行深入的规划设计。整个系统分为 外网(公共Intemet) 内网2个物理上独立的网络,结构为星型网络,其中外网主干IoOOM(光缆),10OM到桌面,主要的服务器连接到I(X)OM光口或铜缆口;内网HlS部分为独立的IOOM到桌面,主要的服务器连接到IOOoM光口或铜缆口;内网PACS部分为独立的IooOM光纤到桌面,主要的服务器连接到1
2、000M光口。由于本大楼网络内部部分,其物理结构相对简单,我们认为本网络的另外重点是逻辑上规划整个网络,根据部门职能的不同、位置不同划分vlan,不同的VLAN之间制定相应的访问规则,出入口的访问规则;同时规划整个网络的进出规则,从而提高整个系统的可靠性、安全性和可管理性。1.2 技术分析1.3 .1千兆以太网技术目前在局域网络上应用最广泛的技术有以太网、快速以太网以及千兆以太网等。在这些技术中,千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。因此我们在人民医院门急诊综合楼的网络建设采用千兆以太网技术作为系统的主干(楼层交换机之间主干采用I(X
3、)OM光纤,服务器采用IOOOM铜缆连接),在系统的设计过程中,我们充分考虑到为了业务发展的需求,布线设计的过程中我们考虑了线路的冗余,一旦用户的业务的发展,对网络的带宽提出了更高的要求的时候,可以采用多联络捆绑技术来提高网络主干的速度,从而提升整个系统的性能,同时保护以往投资。千兆位以太网技术以简单的以太网技术为基础,为网络主干提供IG的带宽。千兆位以太网技术以自然的方式来升级现有的以太网。千兆位以太网技术是最先进的一种技术,仍然使用了以太网的协议。它是相当成功的IOM以太网和IOOM快速以太网连接标准的扩展。现在千兆位以太网成熟的标准为IEEE802.3O它可以提供更高的带宽,并且成为有强
4、大伸缩性的以太网,更加适合人民医院门急诊综合楼的多种大数业务据量的传输。利用交换机或者路由器可以与现有以太网技术相同,不需要对网络做任何改变。这种升级的方法使得千兆位以太网相对于其它高速网络技术而言,在经济和管理性能方面都是较好的选择。在INTERNET应用中,有很多新的应用不断出现,包括视频和音频。在人民医院门急诊综合楼采用了千兆位网络会更加好的支持多媒体数据及影像系统数据的应用。千兆位以太网的设计非常灵活,几乎对网络结构没有限制,可以使交换式、共享式的或者基于路由器的。先在正在应用的网络互联技术,例如,特定IP交换技术和第三层交换技术,都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜
5、的共享集线器、交换机或者路由器来实现。千兆位以太网支持新的交换机之间或者交换机一工作站之间全双工的连接模式,同时也支持半双工连接模式以便于基于CSMA/CD存取方式的共享集线器连接。根据用户的应用需求和我们的考虑,对各种网络技术比较的结果、目前信息化网络的实际特点以及前面的网络选型原则,我们认为采用IOoOM快速以太网作为主干技术是合理和适用的。主干传输介质采用光纤,它具有传输质量好、信号基本没有衰减、具有很高的带宽等特点,可以扩展到IOOOMo继而采用UTP电缆到桌面IOoM的快速以太网,这是已经非常成熟的技术。千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前,千
6、兆以太网支持单模光纤、多模光纤和同轴电缆,支持5类非屏蔽双绞线(UTP)的标准正在制定中。IEEE已批准千兆位以太网工程IEEE802.3zTaskForce提出的标准。同时正在发展基于UTP.STP的千兆以太网。下表列出了千兆以太网现在支持的距离标准。标准名称媒质传输距离标准名称媒质传输距离IOOOBase-SX波长85OnIn62.5微米多模光纤260米50微米多模光纤550米IOOOBase-LX波长1300nm62.5微米多模光纤260米50微米多模光纤550米单模光纤3公里IOOOBase-CX同轴电缆25米1.2.2IP地址的分配对于本大楼的网络,因为涉及的科室较多、信息点数目大,
7、内部网络的IP地址根据各科室的应用需求,统一规划;对于特定的服务器、网络设备采用固定IP,在此分配的基础上,根据各科室的业务,权限的分配等,统一制定整个网络的访问规则。1.3 VLAN的划分1.4 .1VLAN系统概述所谓虚拟局域网(VLAN)是指组网所依据的不是站点的物理位置,而是逻辑位置(MAC地址或IP地址)。即所谓“逻辑上相关而物理上分散二VLAN有以下几个重要特征:1、所有同一虚拟网的成员组成“独立于物理位置而具有相同逻辑的广播域”。2、一个虚拟网就一个广播域。这是指VLAN的所有成员都能接到由同一VLAN的其他成员发送来的每一个广播包,但收不到不同VLAN的成员发送的广播包。3、在
8、一个VLAN内用软件来增加、移动和改变VLAN的成员,从而大大减少网络管理的时间和费用。4、同一VLAN的成员之间的通信不需要路由的支持,而不同VLAN的成员之间的通信则需要路由的支持。1.3 .2VLAN划分技术虽然VLAN有多种划分技术,但尤以基于交换机端口的实现方式最为灵活,维护起来比较方便快捷,因此我们建议本大楼使用此种实现方式来划分VLANo基于端口的虚拟LAN这是构成VLAN的最简单的方式。在这种方式中,将属于不同交换机端口的物理网段分在一个VLAN中。一个VLAN对应的是交换机端口的一个真子集合。通过网络管理软件,根据交换机端口的标识符(PortID)将不同的端口分到相应的分组中
9、。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中,可以直接通信;不同VLAN的站点间的通信则需要路由的支持。1.4 .3VLAN划分策略虽然VLAN技术可以有效地控制网络数据流量,节省骨干网的网络带宽,但是,这要以合理地实施VLAN划分为前提条件。而且,提高VLAN运行效率的关键在于,尽可能地使一个VLAN内的网络流量只在其内部消化完成,减少VLAN之间的访问流量,这就要求设计人员要清楚网络内各用户群的工作方式、工作流程以及他们基于网络方面的应用等等,只有这样,才能设计出高效率的VLANo我们将与用户沟通交流,沟通后,再确定VLAN的划分。1.5 网络可管理性的解决网络可管理性问题
10、的解决由于网络中有部分是供职工进行网络交流的,网络管理更显重要。我们的认识是:以太网本身管理技术并不复杂,我们选择的所有设备都支持远程管理。如果网络配备有专用网管软件进行管理。它可以提供流量、错误、广播、用量等性能分析的图表,是优化网络环境、提高网络整体性能的依据。这有助于及时发现网络潜在故障的根源,在故障发生后能尽快查明原因。交换机提供基于802.IQ标准的VLAN功能,中心交换机具有第三层路由能力。网络被划分成多个VLAN之后,可降低IP复用和广播风暴造成的影响,因此也减轻了网络管理任务。考虑到目前信息化在各单位的普及,随之而来的难管理的问题(设备资产的管理,用处的管理等),此方面也需要相
11、应的管理软件进行管理和控制。考虑到设备的多样性和应用需求的复杂性我们建议采用中文的通用管理软件,对整个网络系统进行统一管理。1.6 设备的选型QUidWayS6500系列高端多业务路由交换机(外网、0A、医保网核心主交换机6506,疾控制中心核心主交换机6503)QUidWa泮S6500系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品,主要作为企业的核心交换机或城域网汇聚层交换机。该系列产品包括S6502(2槽),S6503(4槽),S6506(7槽),S6506R(8槽)。QUidWayS6500能
12、够为城域网、园区网、数据中心提供超高速链路,打造低成本、高性能、具有丰富业务支持能力的高性能网络。QuidwayS6500提供大容量、高密度、模块化的二、三层线速转发性能,同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计,完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。产品特点QuidwayS6500系列高端多业务交换机的特点可以用一句话来概括:“多快好省、高而不贵”。“多”:产品系列多、引擎规格多、接口板类型多。有利于简化网络结构,降低建网成本。产品系列多:S6500系列包括S6502(2槽),S6503(4槽),S6506(7槽),S65
13、06R(8槽)。产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。S6500可以支持POE(PowerOverEthernet)特性,提供支持POE功能的系列机箱和单板,能够实现向远端受电设备(IP电话、WLAN无线接入点等)进行以太网远端供电。S6500还支持EPoN接口板。引擎规格多:基于新一代ASIC技术的Salience系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎,可以根据用户的需求在系列化机箱上进行灵活配置。iSalienceI(交换
14、容量32GbPS)SalienceI(交换容量64Gbps)SalienCeBln(交换容量64Gbps)SalienceIII96G(交换容量96Gbps)SalienceIII384G(交换容量384Gbps)SalienceIII768G(交换容量768GbPS)接口板类型多:提供百兆、千兆、万兆等各种类型的以太网接口;提供IOom-IOOkm可选择的传送距离;提供4口/单板-48口/单板的接口密度;提供多种组合接口板,全面满足客户需求。快:采用先进体系结构设计,交换容量高达768G,支持新一代万兆线速接口,提供网络高性能。先进的体系结构:S6500采用全分布式体系结构设计,采用功能强大
15、的ASIC芯片进行高速路由查找,并通过CrOSSbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。CrOSSbar交换网芯片内置于主控板,不再单独占用设备槽位,可提供高达768G的交换容量。高密度二、三层全线速接口:S6500系列推出SalienCenl系列交换引擎,最大交换容量为768Gbps,在满配时S6500最大可提供288GE或288FE0万兆接口支持:S6500提供的新一代万兆以太网克服了早期万兆以太网的诸多局限,在线速转发的基础上能够提供强大的Q。S保障,并支持丰富的ACL、策略路由、安全等特性。S6500支持高密度万兆设计,每块业务板可以提供14个万兆接口
16、。好:支持强大的QoS能力和精细化用户管理,高可靠、高安全设计,采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的QOS能力和精细化用户管理:每端口支持8个硬件队列,带宽控制粒度可达64Kbps;强大的用户管理、认证计费功能支持;支持CAMS琛(综合访问控制管理服务器)系统,提供专业用户管理、计费解决方案;内置IEEE802.1x认证服务器功能。内置DHCPSERVER功能。运营级可靠性设计:系统采用分布式结构;S6506R支持双主控板;S6500系列所有单板支持热插拔;电源系统采用N+1冗余热备份;支持STPRSTPMSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求;支持双
17、路电源供电。完善的安全机制:支持标准Radius协议,同时提供RadiUs+功能;支持TACAS+协议;HCBMTM(华为可控组播管理协议)功能支持;保证对用户的精确认证。支持SSHVl20基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。智能业务扩展:能够提供高速的NAT数据流转发,支持动态NAT功能、动态NAPT功能、ALG功能、多ISP支持、EaSyIP支持、NAT黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能,能够对通过交换机的网络流量进行精细化统计。省:极高的
18、性价比,为客户量身打造,总有一款适合您;性能、业务可平滑扩展升级,保护用户投资。无与伦比的性能价格比:S6500提供系列化机箱和系列化超级引擎,可以根据不同组网需要进行灵活配置;S6500提供多种高密度百兆、千兆、万兆接口板,有效简化网络结构、降低建网成本;S6502无需专门的主控交换引擎,主控交换功能内置于接口板内部,进一步降低建网成本。强大的扩展性能:S6500具有强大的性能和业务扩展能力;背板带宽高达1.6Tbps;采用智能业务扩展模块可以实现灵活的智能化业务能力,如NAT/MPLS/WebSwitch/NetStream/IPv6等高级业务特性,从而有效保障用户的投资。QuidwayS
19、3928TP-SI-ACQuidwayS3900系列智能弹性以太网交换机是华为-3COM公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF(IntelligentResilientFramework,智能弹性架构)技术,将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。QuidwayS3900系列智能弹性交换机目前包含型号为:S3924-SkS3928P-S1、S3928TP-SkS3952P-SkS3928P-EkS3928F-EkS3928P-PWR-E
20、LS3952P-EkS3952P-PWR-ELQuidwayS3900系列交换机提供标准型(SI)和增强型(EI)两种产品版本,标准型支持二层和基本的三层功能、提供部分的IRF功能(分布设备管理和基本的分布冗余路由)。增强型支持复杂的路由协议和丰富的业务特性,支持全部的IRF功能(分布设备管理、分布冗余路由和分布链路聚合)。基本规格设备类型快速以太网交换机交换方式存储-转发背板带宽(Gbps)9.6VLAN支持支持MAC地址表16K网络网络标准802.3;传输速率(MbPS)10/100/1000端口端口类型ioioobase-t,Iooobase-SFP,ooooooBa端口数26模块化插槽
21、数2其他是否支持全双工全双工网管功能SNMPV1/V2/V3,可支持OPenVieW等通用网堆叠可堆叠苏富特SoftWall-4003ML防火墙产品概述苏富特防火墙2.0是南大苏富特软件股份公司依托南京大学强大的科研力量,在长期网络安全技术研究的基础上,融合众多研究新成果的新一代网络安全产品。本产品严格按照国家网络安全设备有关设计标准进行设计和实现,同时集成了国内外安全设计思想的长处达到了可用性和安全性的完美结合。整个防火墙系统构建在精简、和加固后的SoftoSBl级安全操作系统之上。针对防火墙的特点,专门对系统的调度机制和底半处理机制进行了改进。采用专用的tcp/ip协议栈,在核心层实现透明
22、代理功能,提供高效的处理能力。根据安全需求的差异性,对不同主体的安全需求进行仔细划分,并利用策略树和协议栈策略传递机制,将攻击检测,报文分拣,ip过滤,连接状态监控,用户认证,应用协议报文分析,应用协议通信状态检查,内容安全检查等构成一个力度递增的过滤体系。梯度过滤策略使得防火墙的安全防护能力和性能的同步提高系统提供了完善的审计功能,能够对于网络安全事件进行分析,追踪,结合日志分析程序能够实现流量计费等网络增值服务。系统提供丰富且具有人性化的管理及监控工具,可以方便的对安全策略、用户管理、审计查询、带宽分配、流量计费等功能进行配置和管理,图形化动态显示实时连接、实时流量、被封站点等网络监控项目
23、。并能够对网络攻击、系统异常等事件进行多种形式的报警提示,方便管理员对网络的管理与监控。采用开放的协同协议,支持与IDS,认证服务器,病毒服务器,访问控制服务器,示警系统等不同安全工具的协同能力,实现了双机热备份功能。WPH2.0防火墙能够和苏富特的其他安全产品,如SOFnDS,SOFTCA,安全邮件系统一起等构成一个一个完成的网络解决方案苏富特Softnids100入侵检测SoftNIDS是依托南大苏富特软件有限公司多年的网络安全产品开发经验、南京大学雄厚的科研开发力量以及国家863高科技发展计划的资助,同时又充分的调研了国内外优秀的网络安全产品的基础上开发的一款基于网络的入侵检测系统。So
24、ftNIDS采用分布式的体系结构,多点采集数据,集中控制管理。通过检测计算机网络入侵攻击行为,提供实时报警和自动响应。卓越的网络信息截获和分析技术,独特的攻击事件触发机制,实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,对网络的所有通信状态进行分析。利用预先加载的数量众多的攻击特征库能够检测已知的入侵行为,通过流量观测到的网络通信异常状况发现未知的入侵行为,实时对攻击做出反应,协同放火墙工作,多层次、全方位的立体安全防护策略,最大程度的提供网络安全保障。产品组成SoftNIDS系统采用分布式体系结构,整个系统分为两个有机的部分:探测器和控制器。探测器运行在整个网络
25、的出入口,以及内部网络中需要重点保护的检测网段;控制器提供远程控制、显示和管理功能。网络探测引擎全面侦听网上信息流,动态监视网络上流过的所有数据包,进行检测和实时分析,从而实时甚至提前发现非法或异常行为,并且执行告警、阻断等功能并记录相应的事件日志。控制器是由多个组件构成的高性能的管理系统,主要包括控制台、实时监控和内容恢复模块,以及事件收集器服务组件、全局配置库组件。控制台组件负责报警信息的实时显示,探测器运行参数的配置以及日志数据的查询和综合报表的生成等等;实时监控和内容恢复模块可以实时查看探测器上的网络流量、协议分布状况、主机资源使用状况以及应用协议内容恢复等信息。事件收集器服务负责与网络内部署的所有探测器进行连接和通讯,不间断地接收探测器发送来的报警信息,并根据实现定义好的响应策略,决定将这些数据发送到数据库存储还是控制台实时显示。另外,还负责监控其所管辖的探测器运行状态;全局配置服务组件负责维护整个系统的探测器信息以及用户信息等配置信息,当用户登陆时,系统到配置数据库中查询该用户的权限来决定用户登陆以后有权进行的操作。推荐使用华为、CISCO.10安奈特等品牌产品
