医院网络系统万兆主干.docx
- 文档编号:10481626
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:49
- 大小:577.81KB
医院网络系统万兆主干.docx
《医院网络系统万兆主干.docx》由会员分享,可在线阅读,更多相关《医院网络系统万兆主干.docx(49页珍藏版)》请在冰点文库上搜索。
医院网络系统万兆主干
计算机网络系统
1工程概况
医院三期弱电系统计算机网络既需满足医院内部业务、办公通信、病人访问公网的需要,又要能适应信息社会的发展,同时,要考虑网络建设的经济性,实用性和网络技术的成熟性。
最终为医院领导提供方便的管理方式,为客户提供便捷先进的通信服务。
该计算机网络系统根据医院实际使用情况搭建,实现医院内部计算机共享资的要求,医院三期计算机网络系统建设由医院内部业务网、病房网组成,内部业务网与病房网物理隔离:
1)医院业务网采用树状星型的拓扑结构进行设计、主干双光纤万兆链路、10/100/1000M到桌面点,整体系统采用三级的网络架构,以实现数据的高速交换及转发;
2)医院业务网主要提供内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、手术麻醉管理系统、办公系统等的资源共享,医院工作人员安全访问INTERNET的需要。
且不同子系统之间实现逻辑分离,划分不同的VLAN。
3)病房网数据接入点主要集中在病房楼,该网络采用树状星型的拓扑结构进行设计、单主干光纤千兆链路、10/100M到桌面点,整体系统采用两级的网络架构,以实现数据的高速交换及转发;
4)病房网主要提供医院客人访问INTERNET、病房楼无线区域接入INTERNET等功能。
整个医院的计算机网络系统拓扑图如下图所示:
2设计概述
2.1设计原则
医院三期计算机网络系统遵循统一规划、统一实施的指导思想,工程的设计在考虑到满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和对新应用的支持。
设计及实施应充分遵循以下原则:
实用性和先进性
采用先进成熟的技术满足医院的各种应用系统的需求,同时兼顾楼内各弱电子系统的数据传出需要,又体现出网络系统的先进性。
在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来,充分考虑到网络系统应用的需求和未来的发展趋势,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。
标准性与开放性
医院的网络系统设备采用国际标准协议进行互连互通,确保本网络系统的基础设施的作用可以充分的发挥。
在结构上真正实现开放,基于开放式标准,坚持统一规范的原则,从而为未来的发展奠定基础。
网络采用国际上通用标准的主流的网络协议,不仅保证与其它网络之间的平滑连接和互通,还能适应未来若干年的网络发展趋势,便于将来网络自身的扩展。
采用标准、开放的网络技术
整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。
网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,有效地保护投资的长期效益。
网络的可扩充性
随着医院的网络系统未来用户应用规模的不断扩大,网络可以方便地进行扩充容量以支持更多的用户和应用;随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。
充分考虑到未来5年网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性,所选择的网络设备具有良好可扩展能力的网络设备,根据信息网络临时需要可以对系统进行必要的调整、扩充,包括存储容量和网络规模等方面的扩充。
在网络全面升级的情况下,能够最大限度保护现有投资。
网络系统是一个不断发展的系统,网络不仅需要保持对以前技术的兼容性,还必须具有良好的灵活性和可扩展性,具备支持多种应用系统的能力,提供技术升级、设备更新的灵活性,能够根据网络系统不断深入发展的需要,根据未来业务的增长和变化,平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能,最大程度的减少对网络架构和现有的调整。
网络的可管理性
医院的网络系统应易于安装、操作和维护,配备有方便、灵活、有力的工具,不但能够管理新的园区网系统,还能有效地结合广域网系统进行集中式的有效管理和控制。
方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。
医院的网络系统必须建立全面的网络管理解决方案。
网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的管理。
最终能够实现监控、监测整个网络的运行情况,合理分配网络资源,可以迅速确定网络故障等。
通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
网络的安全性
必须保证医院网络系统的安全运行、特别是对医院内部业务网而言,网络安全是保证系统安全运行的重要基础。
为了保护网络上数据的安全性,提供了多种方式和层次的访问控制、通过使用网络用户身份识别、包过滤、及防火墙等技术来保证网络系统的安全性。
网络的高可靠性
医院的网络系统必须有很高的可靠性、稳定性及一定程度的冗余。
提供拓扑结构及设备的冗余和备份,把单点失效对网络系统的影响减少到最小,避免由于网络故障造成用户损失
网络的高性能
网络设备必须具备高速处理能力,千兆以太网为网络骨干,病房百兆/医院业务千兆接入,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
网络设施投资保护
医院的网络系统具备先进性,保证系统具有较强的生命力,有较长期的使用价值,符合5年内的发展趋势,在选择网络设备,方案设计时有前瞻性,要能够兼容未来的标准技术,如IPv6等。
2.2设计依据
《中华人民共和国计算机信息网络国际联网管理暂行规定》
《计算机信息系统安全技术要求》(GA371-2001)
GB13000.1信息技术通用多八位编码字符集(UCS)
GB15629.11信息技术系统间远程通信和信息交换局域网和城域网
GB/T18018-1999路由器安全技术要求
GB/T183361.2.3-2001信息技术安全性评估准则第1.2.3部分
GB/T18019-1999信息技术包过滤防火墙安全技术要求
GB/T18020-1999信息技术应用级防火墙安全技术要求
《智能建筑设计标准》(GB/T50314-2006)
《建筑电气工程施工质量验收规范》(GB50303-2002)
《建筑与建筑群综合布线系统工程设计规范》(GB50311-2000)
《建筑与建筑群综合布线系统工程验收规范》(GB50312-2000)
《智能建筑工程质量验收规范》(GB50339-2003)
《IEEE802.1-IEEE802.11标准
TCP/IP协议
SNMP/RMON/MIB协议等
ANSIX319、CCITT标准等
《EIA568A/568B标准》
《xxxxx医院三期弱电系统设计技术建议》
2.3设计范围
本次设计范围包括医院内部业务网、病房网的产品选型、系统选型、系统设计等。
所设计的计算机网络系统能满足:
●内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、手术麻醉管理系统、办公系统等系统的资源共享
●医院工作人员安全访问INTERNET
●医院客人访问INTERNET
●病房楼无线区域接入INTERNET
3设计方案
3.1系统整体设计
根据对业主的需求进行分析,本期计算机网络工程建设包括医院内部网络和医院病房网络。
●医院业务网采用树状星型的拓扑结构进行设计、主干双光纤万兆链路、10/100/1000M到桌面点,整体系统采用三级的网络架构,以实现数据的高速交换及转发;
●医院业务网主要提供内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、手术麻醉管理系统、办公系统等的资源共享,医院工作人员安全访问INTERNET的需要;
●考虑到医院业务网的高可靠性、高吞吐量性、高数据包交换性能等特点,医院业务网设备采用国际品牌产品;
●病房网数据接入点主要集中在病房楼,该网络采用树状星型的拓扑结构进行设计、单主干光纤千兆链路、10/100M到桌面点,整体系统采用两级的网络架构,以实现数据的高速交换及转发;
●病房网主要提供医院客人访问INTERNET、病房楼无线区域接入INTERNET等功能;
●考虑到病房网对网络平台性能的要求不高,主要业务是访问INTERNET,基本没有大流量的数据,病房网设备采用国内知名品牌产品。
3.1.1IP地址及VLAN规划
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。
对于IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。
IP地址规划:
根据医院IP地址的使用情况,本方案设计只对本设计网络部分做出IP地址规划,医院内部业务网络统一分配1个B类地址10.15.X.X/16,并预留1个B类地址作为备用,10.16.X.X/16;病房网络统一分配1个B类地址10.17.X.X/16,并预留1个B类地址作为备用,10.18.X.X/16;
核心层与汇聚层的路由地址预留一个C类地址段;
VLAN的划分原则:
VLAN的划分应依据不同的业务部门的功能进行定义。
在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机不要超过200台,最好控制在150台以内,对于主机数量超过150的业务部门,通过二层隔离,三层交换的方式来解决。
作为特殊VLAN的典型,建议保留VLAN1作为管理VLAN,管理VLAN覆盖到全网的每一台交换机,但在第三层接口上,需要与其他业务VLAN进行有效的隔离。
3.1.2网络接入设计
医院业务网和病房网的网络接入设计主要是以楼层配线间的设置位置为基础,在相应的楼层配线间配置足够数量的接入交换机,具体配置数量如下:
内部业务网
楼层
竖井1
竖井2
楼层配线间
点数
配线间点位
24口SW
48口SW
楼层配线间
点数
配线间点位
24口SW
48口SW
-1
FD-1-1
0
0
FD-1-2
158
158
4
1
FD1-1
64
64
3
FD1-2
64
64
3
2
FD2-1
57
57
3
FD2-2
79
79
2
3
FD3-1
83
83
2
FD3-2
96
96
2
4
FD4-1
56
56
3
FD4-2
41
41
1
5
FD5-1
29
61
3
FD5-2
30
62
3
6
32
32
7
FD7-1
32
64
3
FD7-2
32
64
3
8
32
32
9
FD9-1
32
64
3
FD9-2
32
64
3
10
32
32
11
FD11-1
32
64
3
FD11-2
32
64
3
12
32
32
13
FD13-1
32
64
3
FD13-2
32
64
3
14
32
32
15
FD15-1
FD15-2
51
105
5
16
54
合计
577
24
2
861
23
9
病房外网
楼层
竖井1
竖井2
楼层配线间
点数
配线间点位
24口SW
48口SW
楼层配线间
点数
配线间点位
24口SW
48口SW
-1
FD-1-1
FD-1-2
1
FD1-1
FD1-2
2
FD2-1
FD2-2
3
FD3-1
FD3-2
16
16
1
4
FD4-1
FD4-2
5
FD5-1
35
72
3
FD5-2
45
91
4
6
37
46
7
FD7-1
37
74
4
FD7-2
46
92
4
8
37
46
9
FD9-1
37
74
4
FD9-2
46
92
4
10
37
46
11
FD11-1
37
74
4
FD11-2
46
92
4
12
37
46
13
FD13-1
37
74
4
FD13-2
46
92
4
14
37
46
15
FD15-1
FD15-2
24
44
3
16
20
合计
368
19
0
519
24
0
3.2医院内部业务网
3.2.1整体设计
医院内部业务网主要提供内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、手术麻醉管理系统、办公系统等的资源共享,医院工作人员安全访问INTERNET等功能。
整个医院内部业务网采用三级网络架构的方式,既核心层、汇聚层和接入层:
核心层配置两台模块化核心交换机,两台核心交换机采用双冗余千兆互联架构,配置高性能路由交换引擎;汇聚层交换机通过万兆上联到核心;接入层交换机上行采用千兆连接汇聚交换机、下行10/100/1000M到桌面。
系统拓扑图如下:
3.2.2核心层设计
两台核心交换机为整个医院业务网提供核心交换。
医院业务范围内的所有汇聚层交换机都采用万兆多模光纤链路上联至两台核心交换机,以提供真正的冗余可靠的主干连接,组成整个医院业务网核心骨干层。
核心交换机分别通过安全隔离防火墙、路由器接入INTERNET。
核心交换机采用两台,双链路捆绑互连,实现双机热备份,每台均配置冗余N+1电源防止单点故障。
端口配置:
每台核心交换机配置万兆多模光口、下联至汇聚层设备;一定数量的10/100/1000M电口、连接网管服务器及各种内网服务器。
3.2.2.1业务网络核心层系统图
在核心设备与接入设备之间运行动态路由协议OSPF,当设备或者链路故障后,通过路由重计算达到网络的重新收敛,为整个网络提供高可靠性。
3.2.2.2业务网络汇聚层—接入层系统图
3.2.2.3核心层设备网络机柜布置图
3.2.2.4核心交换机的端口规划
每台核心交换机万兆光口:
通过多模光纤连接分区汇聚交换机;
1个端口通过多模光纤连接防火墙;
其他光口作为扩展备用
每台核心交换机电口模块:
1个口连接网管服务器;
预留足量电口连接内网服务器
其他电口作为扩展备用
3.2.3汇聚层设计
3.2.3.1业务网汇聚层系统图
设置两台模块化或可堆叠的汇聚交换机,两台汇聚交换机采用双冗余千兆互联架构,配置高性能路由。
所有接入层设备都采用双千兆多模光纤链路上联至两台汇聚交换机,以提供真正的冗余可靠的连接。
两台汇聚设备同时提供2条万兆多模光纤链路连接到网络中心核心交换机,组成整个网核心骨干层。
汇聚交换机采用两台,双链路互连,实现双机热备份。
在各电信间分别配置可堆叠/级联的接入交换机。
对于数据点较多的楼层,采用交换机堆叠的方式满足足够数量的接入需要。
接入层采用的可堆叠/级联固定端口交换机,内嵌在交换机中的集群管理套件让用户可以利用任何一个标准的Web浏览器,同时配置和诊断多个桌面交换机。
除了软件以外,接入交换机还提供多种基于简单网络管理协议(SNMP)网络管理平台的管理工具。
用户可以通过一个Web浏览器设置交换机。
3.2.3.2汇聚层设备网络机柜布置图
3.2.3.3汇聚交换机的端口规划
汇聚交换机千兆光口:
通过多模光纤连接核心交换机;
通过多模光纤连接各电信间的接入交换机上联端口;
其他光口作为扩展备用
3.2.3.4汇聚层—接入层的二层交换规划
在两台汇聚交换机之间运行热备份冗余协议HSRP/VRRP/GLBP,两台设备配置同一IP地址作为一个虚拟路由器组,并且同一虚拟路由器组内的所有路由器参与数据包的转发实现负载平衡。
3.2.4接入层设计
根据招标文件要求及我司多年项目设计经验,医院内部业务网接入层交换机配置高性能交换。
接入层交换机上行提供千兆SFP接口连接至汇聚交换机,下行提供10/100/1000M连接桌面数据终端。
3.2.4.1业务网接入层拓扑图
在各配线间分别配置高性能交换机。
对于数据点较多的楼层,采用交换机堆叠的方式满足足够数量的接入需要。
接入层采用的可堆叠固定端口交换机,内嵌在交换机中的集群管理套件让用户可以利用任何一个标准的Web浏览器,同时配置和诊断多个桌面交换机。
除了软件以外,接入交换机还提供多种基于简单网络管理协议(SNMP)网络管理平台的管理工具。
用户可以通过一个Web浏览器设置交换机。
3.2.4.2电信间机柜布置图
3.2.4.3接入交换机的端口规划
接入交换机千兆光口:
2个端口通过多模光纤上联两台汇聚交换机;
接入交换机千兆电口:
24、48口10/100/1000M电口下联各种数据终端设备
3.2.5网络安全设计
由于医院内部业务网有访问公网业务的需求,因此,在访问公网的出口处应实施一定的安全策略,配置相应的安全设施,以保证医院业务网管理网络数据的安全性。
在业务网出口内侧配置高性能硬件防火墙,在网络边缘的路由器上进行策略控制,防治外部非法用户的入侵;在网络核心配置了入侵检测系统。
3.2.5.1访问控制管理和防火墙系统
对于业务网内部的用户,通过二层网络交换机端口与MAC地址绑定的方法阻止未授权的工作站访问业务网。
交换机控制台的多层访问安全性可防止未授权的用户访问或更改网络交换机的配置。
对于业务网内的非法访问或者病毒发作的工作站,通过SNMP协议进行网络端口的动态改变启动状态来进行隔离。
对于业务网内部用户对外部网络的访问及外部网络对业务网内部的访问,通过防火墙的多级过滤功能进行管理。
来自外网的访问可以设置为全部禁止,其他网络对业务网的访问可根据访问者的网络地址、网络协议以及TCP、UDP端口进行过滤;对于内部用户对外部的访问可以设置为全部允许通过。
对于复杂应用的通讯如数据库系统,利用防火墙在应用层重写通讯会话的部分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源、邮件收发人地址等的过滤。
对不同级别的用户访问可以通过不同的访问策略进行区别。
通过与入侵检测系统联动,对外部非法访问进行即时隔离。
接入防火墙配置方案:
定义访问控制列表
✧外部访问流量全部拒绝通过;
✧内部访问流量只允许管理网段的访问通过,其他访问拒绝通过;
3.2.5.2入侵检测系统
入侵检测系统(IDS)是防火墙的补充解决方案,可以防止网络基础设施(路由器、交换机和网络带宽)和服务器(操作系统和应用层)受到拒绝服务(DoS)袭击。
由于问题比较复杂,先进的IDS解决方案一般都包含两个组件:
用于保护网络的IDS(NIDS)和用于保护服务器及其上运行的应用的主机IDS(HIDS)。
IDS系统是网络攻击和违规行为识别与响应系统。
它运行于有敏感数据需要保护的网络上,通过实时监视网络上的数据流和系统审计信息,分析网络通讯数据,寻找网络攻击行为和其它违规网络活动。
当检测到网络攻击和违规网络活动时,本方案中采用网络版入侵检测系统,能够按网络安全策略自动进行攻击响应。
3.2.5.3防病毒系统
对于业务网络,病毒的防范同样都很重要。
应在网络的出口处配置防病毒过滤网关,组织病毒通过互联网、电子邮件、HTTP下载等方式进入到网络内部。
防病毒过滤网关能处理SMTP、POP3、HTTP、HTTPS、FTP和IMAP等多种协议。
防病毒过滤网关根据自有的防蠕虫默认规则可拦截蠕虫的动态攻击,防止蠕虫爆发后对网络造成的阻塞;同时过滤网关还根据智能阀值的原理可手动阻止新爆发的蠕虫病毒。
防病毒过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。
采用黑名单和白名单技术,过滤垃圾邮件,保证网络内部用户不受垃圾邮件的干扰。
防病毒过滤网关配置方案:
防病毒过滤网关已经内置大多数已经发现的病毒定义库,只需随时升级病毒定义库即可。
3.2.6网络管理设计
业务网的覆盖范围比较大,需要设置网管系统以便于远程对网络设备的管理,提高网管人员的工作效率。
网络管理员通过WEB方式管理支持SNMP的各种网络交换机和路由器等网络设备。
采用网管系统能够快速,简洁配置网络设备、实时监视网络设备,网络连接和网络流量、监视并预测网络变化和网络错误、标识最终端口分配,验证逻辑连接、辅助诊断网络错误和失效。
网络管理员可以通过网管系统对全网各种网络设备实现统一管理。
实现故障管理、配置管理、性能管理、安全管理等基本功能。
故障管理:
如果网络设备失效,网管系统能够在1分钟之内发现故障,并提供声光报警,生成故障日志,具有故障统计和查询功能。
配置管理:
当网络中的设备更换或失效时,网管系统能自动发现网络拓扑结构,实时监控网络状态。
网络及设备状态的改变能及时在画面上显示。
能用图形界面进行网络节点设备、端口、系统软件的配置。
性能管理:
网络管理员能利用网管系统对网络当前的性能进行统计和分析,并提供相应的支持工具。
计费管理:
网络管理员能够通过网管系统测量用户对网络资源和业务的使用状况,并可统计分析,记录归档。
能够记录用户信息、端口信息、流量信息、QoS信息等原始数据。
安全管理:
网管系统能够设置分级管理权限、口令,对操作日志进行记录,网络操作的日志至少保存6个月,且文件不可删除。
具有网管系统自身的安全管理及数据备份功能。
用户界面:
网管系统应具有友好的GUI用户界面,操作简单易学,能提供告警信号的文本输出。
开发接口:
网络管理协议应支持简单网络管理协议SNMPv2及以上版本,网管系统应提供二次开发的编程接口。
业务网络系统中的所有网络资源,如路由器、局域网交换机的设备工作状态、网络性能、通讯延时均可通过直观的人机界面进行监控、管理。
3.2.7Internet接入
在网络边缘配置了模块化路由器,待明确外网接口后具体设计。
3.2.8医院业务网点位设计
楼层
房间名称
房间数量
房间信息点布置原则
房间信息点合计
语音/数据对
单语音点
单数据点
语音/数据对
单语音点
单数据点
1TP/TD
1TP
1TD
TP/TD
TP
TD
B1F-B区
库房
15
2
30
太平间
1
2
2
值班室
2
2
4
冷冻机房配电室
1
2
2
办公室
7
3
21
药房
4
2
8
医院展览室
1
2
2
无菌库房
1
2
2
一次性药品库
2
2
4
物流传送机房
1
2
2
污物收集室
1
2
2
排风机房
1
2
2
冷冻机房
1
2
2
空调机房
1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医院 网络 系统 主干