柳鋼人民醫(yī)院整體網(wǎng)絡(luò)改造建議書

1、柳鋼人民醫(yī)院整體網(wǎng)絡(luò)改造建議書福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司2011年5月目錄第一章柳鋼人民醫(yī)院信息化現(xiàn)狀31.1 柳鋼人民醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀31.2 柳鋼人民醫(yī)院業(yè)務(wù)現(xiàn)狀分析31.3 柳鋼人民醫(yī)院網(wǎng)絡(luò)分析41.4 柳鋼人民醫(yī)院新住院樓聯(lián)網(wǎng)需求4第二章柳鋼人民醫(yī)院網(wǎng)絡(luò)規(guī)劃建議52.1 柳鋼人民醫(yī)院網(wǎng)絡(luò)改造拓?fù)?2.2 柳鋼人民醫(yī)院內(nèi)網(wǎng)規(guī)劃建議52.2.1 網(wǎng)絡(luò)骨干結(jié)構(gòu)優(yōu)化62.2.2 網(wǎng)絡(luò)核心設(shè)計62.2.3 核心虛擬化規(guī)劃72.2.4 網(wǎng)絡(luò)匯聚層設(shè)計102.2.5 接入層設(shè)計102.2.6 網(wǎng)絡(luò)安全設(shè)計112.2.7 網(wǎng)絡(luò)管理改造12第三章新住院樓無線網(wǎng)絡(luò)構(gòu)建133.1 無線查房網(wǎng)絡(luò)建設(shè)要點133.

2、1.1 無縫漫游133.1.2 無線信號干擾問題133.1.3無線安全問題133.2 住院樓無線架構(gòu)設(shè)計143.2.1 設(shè)計原則143.2.2設(shè)備選型143.3 無線查房網(wǎng)絡(luò)方案效果153.3.1 無縫漫游153.3.2 無線信號干擾問題153.3.3安全的無線網(wǎng)絡(luò)16第四章網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃方案174.1 IP地址規(guī)劃174.1.1 IP地址的分類174.1.2 IP地址規(guī)劃目標(biāo)174.1.3 IP地址規(guī)劃原則184.1.4 IP地址規(guī)劃184.2 VLAN規(guī)劃194.3路由規(guī)劃19第五章整網(wǎng)方案效果說明205.1 高穩(wěn)定的網(wǎng)絡(luò)架構(gòu)設(shè)計205.2 高性能、高穩(wěn)定的核心設(shè)計205.3 獨立的服務(wù)器區(qū)

3、域設(shè)計215.4 全面的系統(tǒng)安全設(shè)計215.5 輕松便捷的用戶和網(wǎng)絡(luò)管理21第一章 柳鋼人民醫(yī)院信息化現(xiàn)狀1.1 柳鋼人民醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀柳鋼人民醫(yī)院網(wǎng)絡(luò)于幾年前建設(shè)完畢并陸續(xù)進(jìn)行了改造。目前內(nèi)網(wǎng)網(wǎng)絡(luò)基本結(jié)構(gòu)為二層星型結(jié)構(gòu)，核心采用三層，接入層采用普通二層接入交換機(jī)。目前的網(wǎng)絡(luò)結(jié)構(gòu)如下圖：1.2 柳鋼人民醫(yī)院業(yè)務(wù)現(xiàn)狀分析目前柳鋼人民醫(yī)院運行于網(wǎng)絡(luò)上的業(yè)務(wù)主要有：電子病歷系統(tǒng)、門診管理系統(tǒng)、醫(yī)保系統(tǒng)、自費系統(tǒng)等相關(guān)的應(yīng)用系統(tǒng)。從拓?fù)鋱D的的客戶端和服務(wù)器端部署的情況看，分析業(yè)務(wù)數(shù)據(jù)流向，可以看出從門診、工作站等位置的客戶端訪問到中心機(jī)房的服務(wù)器，需要經(jīng)過二層交換機(jī)、核心三層交換機(jī)，最后才到服務(wù)器。

4、另外，目前HIS系統(tǒng)為單機(jī)運行。LIS系統(tǒng)為集群方式。PACS系統(tǒng)為連入網(wǎng)絡(luò)。1.3 柳鋼人民醫(yī)院網(wǎng)絡(luò)分析根據(jù)目前的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分析，現(xiàn)有網(wǎng)絡(luò)存在以下一些隱患：1、核心骨干架構(gòu)：目前采用單核心架構(gòu)，核心交換機(jī)一旦出現(xiàn)問題，將影響整個網(wǎng)絡(luò)運行。2、二層匯聚交換機(jī)：交換機(jī)本身是個單點故障；另外，二層交換機(jī)作為匯聚設(shè)備，無法配置網(wǎng)關(guān)，無法隔離內(nèi)網(wǎng)中各個不同的部門，一旦出現(xiàn)病毒，廣播風(fēng)暴將影響整個網(wǎng)絡(luò)。3、單鏈路問題：目前從所有的樓棟到中心機(jī)房，內(nèi)網(wǎng)均采用單鏈路方式，一旦鏈路出現(xiàn)故障，也會影響整個樓棟的互聯(lián)。4、服務(wù)器區(qū)域擴(kuò)展：目前服務(wù)器直接連接在核心交換機(jī)上，交換機(jī)一旦出現(xiàn)故障，將導(dǎo)致服務(wù)器不可用。

5、建議規(guī)劃服務(wù)器區(qū)域。1.4 柳鋼人民醫(yī)院新住院樓聯(lián)網(wǎng)需求新住院樓已經(jīng)快要完工，需要考慮新住院樓的網(wǎng)絡(luò)覆蓋。滿足新大樓連接內(nèi)網(wǎng)，并實現(xiàn)新住院大樓的無線覆蓋，以滿足后續(xù)無線查房業(yè)務(wù)的開展。另外，新住院大樓也需要考慮接入外網(wǎng)。第二章 柳鋼人民醫(yī)院網(wǎng)絡(luò)規(guī)劃建議2.1 柳鋼人民醫(yī)院網(wǎng)絡(luò)改造拓?fù)?.2 柳鋼人民醫(yī)院內(nèi)網(wǎng)規(guī)劃建議此次網(wǎng)絡(luò)改造目標(biāo)是對柳鋼人民醫(yī)院進(jìn)行全網(wǎng)規(guī)劃設(shè)計，主要包括：骨干網(wǎng)（包含核心和匯聚以及兩者之間的鏈路）、服務(wù)器區(qū)域、新住院樓、網(wǎng)絡(luò)管理系統(tǒng)等。最大程度地設(shè)計高的網(wǎng)絡(luò)的運行效率、穩(wěn)定性和易管理性，為數(shù)字化醫(yī)院建設(shè)奠定堅實的基礎(chǔ)。整個結(jié)構(gòu)規(guī)劃成三層架構(gòu)，核心-匯聚-接入。核心和匯聚之間構(gòu)

6、成全院網(wǎng)絡(luò)的骨干，并采用雙核心雙鏈路設(shè)計。在這種架構(gòu)下，整個骨干中的任何一臺核心設(shè)備、任何一條鏈路出現(xiàn)故障，都可以確保整個網(wǎng)絡(luò)的穩(wěn)定。全網(wǎng)核心層需要增加兩臺萬兆交換機(jī)，用于實現(xiàn)全院內(nèi)網(wǎng)的高性能轉(zhuǎn)發(fā)，并采用互為備份，確保內(nèi)網(wǎng)的穩(wěn)定，避免核心單點故障對醫(yī)院業(yè)務(wù)造成影響。增加2個匯聚點：新住院樓匯聚點、放射科匯聚點。新住院樓采用雙匯聚設(shè)計方式，確保新住院樓的網(wǎng)絡(luò)穩(wěn)定。匯聚和核心交換機(jī)之間采用千兆互聯(lián)，接入采用全千兆交換機(jī)，通過匯聚與核心互聯(lián)。通過防火墻保證整個網(wǎng)絡(luò)安全。采用交換機(jī)技術(shù)手段劃分各個子網(wǎng)（由應(yīng)標(biāo)公司設(shè)計網(wǎng)絡(luò)詳細(xì)方案，含ip地址規(guī)劃等），用于內(nèi)部數(shù)據(jù)交互、辦公自動化等系統(tǒng)應(yīng)用、外接Inte

7、rnet等不同業(yè)務(wù)需要。2.2.1 網(wǎng)絡(luò)骨干結(jié)構(gòu)優(yōu)化根據(jù)現(xiàn)有的結(jié)構(gòu)和設(shè)備，在充分考慮保護(hù)原有投資的情況下，采用模塊化結(jié)構(gòu)設(shè)計，實現(xiàn)園區(qū)網(wǎng)典型的樹形結(jié)構(gòu)。整個結(jié)構(gòu)規(guī)劃成三層架構(gòu)，核心-匯聚-接入。核心和匯聚之間溝通全院網(wǎng)絡(luò)的骨干，并采用雙核心雙鏈路設(shè)計。在這種架構(gòu)下，整個骨干中的任何一臺核心設(shè)備、任何一條鏈路出現(xiàn)故障，都可以確保整個網(wǎng)絡(luò)的穩(wěn)定。這樣的結(jié)構(gòu)才能消除穩(wěn)定性隱患，確保醫(yī)院所有應(yīng)用系統(tǒng)穩(wěn)定運行。設(shè)備可以充分利用原有的設(shè)備，保留原有的舊住院樓、辦公樓、一號門診、二號門診、檢驗科、婦產(chǎn)科、藥劑可、精神病科等樓棟的交換機(jī)，只需增加兩臺核心交換機(jī)，并把原有的單鏈路擴(kuò)展為雙鏈路即可，另外購置新住院

8、樓交換機(jī)和無線設(shè)備、增加服務(wù)器區(qū)域設(shè)備，實現(xiàn)服務(wù)器的分區(qū)隔離。這樣的規(guī)劃，實現(xiàn)了核心-匯聚-接入、雙核心雙鏈路、模塊化分區(qū)。全網(wǎng)的整體網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能最高、全網(wǎng)的可擴(kuò)展性最高。同時，考慮到新住院大樓、服務(wù)器區(qū)域、放射科等數(shù)據(jù)量大、接入數(shù)量眾多，因此規(guī)劃這些匯聚區(qū)域和核心之間采用千兆互聯(lián)、支持萬兆擴(kuò)展。2.2.2 網(wǎng)絡(luò)核心設(shè)計由于網(wǎng)絡(luò)中心核心設(shè)備的穩(wěn)定和安全性能是整個網(wǎng)絡(luò)最重要的保障，因此骨干網(wǎng)建議采用雙核心雙鏈路設(shè)計，滿足整網(wǎng)核心7×24小時不間斷工作；要求核心交換機(jī)具有優(yōu)良的性能和高可靠性，必須采用超大交換容量的交換背板，以保證任何情況下網(wǎng)絡(luò)的每個端口均可具備全線速多層交換能力，能夠保

9、證傳輸帶寬和數(shù)據(jù)傳輸優(yōu)化等關(guān)鍵應(yīng)用，從而為整個網(wǎng)絡(luò)提供了穩(wěn)定和快速的基礎(chǔ)。要求每臺核心都能提供24個下行千兆單模光口，滿足樓棟匯聚交換機(jī)進(jìn)行接入，同時提供12個的10/100/1000M電口，滿足出口和的核心互連需要。為保障核心的穩(wěn)定和高性能，采用的核心交換機(jī)需要具有以下功能：1. 采用先進(jìn)的結(jié)構(gòu)體系設(shè)計。建議核心支持先進(jìn)的CROSSBAR設(shè)計架構(gòu)、提供三層數(shù)據(jù)的高速轉(zhuǎn)發(fā)；2. 支持完善的雙核心技術(shù)，支持虛擬化技術(shù)；3. 核心作為全網(wǎng)最重要的設(shè)備，要求具備穩(wěn)定性設(shè)計，如三平面分離的設(shè)計方式，和CPP保護(hù)功能等；4. 提供業(yè)界較高的轉(zhuǎn)發(fā)性能，具有較高的背板帶寬和包轉(zhuǎn)發(fā)率，為保障端口的線速轉(zhuǎn)發(fā)，單

10、板要具有較高的背板帶寬；5. 要求核心能提供足夠的千兆光口、千兆電口，同時支持萬兆端口的擴(kuò)展，核心交換機(jī)線卡帶寬可以支持高密度萬兆接口線速轉(zhuǎn)發(fā)；6. 為保障核心的穩(wěn)定，要求核心設(shè)備能提供豐富的安全功能，核心交換機(jī)系統(tǒng)本身需要具備豐富的安全特性。如：支持多種ACL（標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、MAC擴(kuò)展ACL、專家擴(kuò)展ACL、基于時間ACL）；硬件防DOS攻擊 (可防止Smurf、Synflood、非法TCP報文、LAND攻擊)、防IP掃描 (PingSweep)、硬件防源IP地址欺騙 (Source IP Spoofing)、硬件支持防掃描、防DoS/DDoS攻擊、防SYNFLOOD攻擊、防Smu

11、rf攻擊、防源IP地址欺騙等常見網(wǎng)絡(luò)攻擊行為；7. 為了實現(xiàn)方便快捷的管理，要求核心交換機(jī)提供豐富的管理功能。如：支持CLI(需兼容業(yè)界主流標(biāo)準(zhǔn))、SNMP v1/v2/v3、Telnet、Console、RMON、Web管理、SSH、支持SNTP、支持Syslog等；2.2.3 核心虛擬化規(guī)劃注：核心虛擬化的設(shè)計作為一個后續(xù)擴(kuò)展規(guī)劃，等網(wǎng)絡(luò)業(yè)務(wù)發(fā)展到一定階段，對穩(wěn)定性的需求更為迫切時，可以擴(kuò)展使用。傳統(tǒng)的網(wǎng)絡(luò)中，為了加強(qiáng)網(wǎng)絡(luò)的可靠性，一般在核心層或匯聚層將兩臺網(wǎng)絡(luò)設(shè)備配置成冗余備份的雙核心，同時在鄰居設(shè)備分別連接兩條鏈路到備份的雙核心。下圖顯示的就是這樣的一種典型的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)。冗余的網(wǎng)絡(luò)架

12、構(gòu)增加了網(wǎng)絡(luò)設(shè)計和操作的復(fù)雜性，同時大量的備份鏈路也降低了網(wǎng)絡(luò)資源的利用率，減少了投資回報率?？紤]到機(jī)房電源環(huán)境容災(zāi)的問題，建議雙核心可以放置在不同電源的兩棟樓宇或同一樓宇的兩個房間，采用獨立的電源，避免機(jī)房環(huán)境出現(xiàn)問題的時候，雙核心同時宕機(jī)。實現(xiàn)核心高度冗余。為了解決傳統(tǒng)網(wǎng)絡(luò)的這些問題，銳捷網(wǎng)絡(luò)提出一種把兩臺物理交換機(jī)組合成一臺虛擬交換機(jī)的新技術(shù)，稱為VSU，全稱是Virtual Switch Unit，即虛擬交換單元。把傳統(tǒng)網(wǎng)絡(luò)中兩臺核心層交換機(jī)用VSU替換，VSU和匯聚層交換機(jī)通過聚合鏈路連接。在外圍設(shè)備看來，VSU相當(dāng)于一臺交換機(jī)。全冗余骨干網(wǎng)絡(luò)架構(gòu)，骨干網(wǎng)全面采用虛擬化技術(shù)實現(xiàn)多臺核

13、心設(shè)備的虛擬化管理，兩臺核心設(shè)備通過一體化板卡的擴(kuò)充實現(xiàn)統(tǒng)一的數(shù)據(jù)表項、統(tǒng)一的管理地址、統(tǒng)一的設(shè)備配置等單臺邏輯設(shè)備的對外特征。虛擬化后，VSU虛擬化的兩臺交換機(jī)，管理維護(hù)，正常應(yīng)用起來相當(dāng)于一臺交換機(jī)。兩臺設(shè)備使用VSU以后，統(tǒng)一的管理界面、一致的轉(zhuǎn)發(fā)表項、跨設(shè)備鏈路捆綁。即使一臺機(jī)器整機(jī)down，業(yè)務(wù)不間斷轉(zhuǎn)發(fā)，簡化管理和簡化拓?fù)?。使用VSU后，兩臺核心設(shè)備邏輯上變成1臺。此時匯聚到核心雙鏈路上聯(lián)，等同于雙鏈路連接到1臺核心上，實現(xiàn)跨設(shè)備鏈路聚合。當(dāng)上聯(lián)1條鏈路中斷時，也只是聚合鏈路的一條成員鏈路出現(xiàn)故障，切換到另一條成員鏈路的時間是50到200毫秒。即使其中一臺核心down機(jī)，也不會影響

14、到整網(wǎng)震蕩。因為VSU單元（有兩臺核心）無任何感受。兩臺交換機(jī)組成VSU以后，管理員可以對兩臺交換機(jī)統(tǒng)一管理，而不需要連接到兩臺交換機(jī)分別進(jìn)行配置和管理。和傳統(tǒng)網(wǎng)絡(luò)相比，VSU的優(yōu)勢有：1. 簡化管理。兩臺交換機(jī)組成VSU以后，管理員可以對兩臺交換機(jī)統(tǒng)一管理，而不需要連接到兩臺交換機(jī)分別進(jìn)行配置和管理。2. 簡化網(wǎng)絡(luò)拓?fù)洹SU在網(wǎng)絡(luò)中相當(dāng)于一臺交換機(jī)，通過聚合鏈路和外圍設(shè)備連接，不存在二層環(huán)路，沒必要配置MSTP協(xié)議，各種控制協(xié)議是作為一臺交換機(jī)運行的，例如單播路由協(xié)議，VSU作為一臺交換機(jī)，減少了設(shè)備間大量協(xié)議報文的交互，縮短了路由收斂時間。3. 故障恢復(fù)時間縮短到毫秒級。VSU和外圍設(shè)備

15、通過聚合鏈路連接，如果其中一條成員鏈路出現(xiàn)故障，切換到另一條成員鏈路的時間是50到200毫秒。4. VSU和外圍設(shè)備通過聚合鏈路連接，既提供了冗余鏈路，又可以實現(xiàn)負(fù)載均衡，充分利用所有帶寬。2.2.4 網(wǎng)絡(luò)匯聚層設(shè)計匯聚層是連接核心和接入之間的重要設(shè)備，必須提供豐富的接口和高轉(zhuǎn)發(fā)性能。網(wǎng)絡(luò)采用雙核心雙鏈路全千兆骨干設(shè)計，核心和匯聚之間采用千兆光纖互連，接入和匯聚之間采用1000M互連。建議在住院樓匯聚節(jié)點配置一臺高性能三層匯聚交換機(jī)，該匯聚交換機(jī)建議采用千兆光口和雙核心互連，同時提供1000M電口或千兆光口和接入交換機(jī)互連。由于網(wǎng)絡(luò)中服務(wù)器較多，而且數(shù)據(jù)流量大，因此要求服務(wù)器采用全千兆交換機(jī)，

16、匯聚到雙核心。建議在數(shù)據(jù)中心部署全千兆交換機(jī)。新住院樓匯聚交換機(jī)和服務(wù)器區(qū)域匯聚交換機(jī)可以采用相同型號的設(shè)備，方便管理。該匯聚交換機(jī)建議具有以下特點：1. 具備千兆光口，滿足和核心交換機(jī)之間的互連；建議該交換機(jī)具備萬兆擴(kuò)展能力；2. 考慮到各個不同樓棟情況不同，千兆電口和千兆光口的數(shù)量也不一致，建議匯聚交換機(jī)提供足夠數(shù)量的光口和足夠數(shù)量的電口，可以復(fù)合使用，滿足不同環(huán)境的靈活配置。根據(jù)需求，每臺匯聚交換機(jī)提供千兆以太口（RJ45物理接口）至少15個，SFP千兆以太網(wǎng)光接口數(shù)量至少5個； 3. 為了保障網(wǎng)絡(luò)的穩(wěn)定，對網(wǎng)絡(luò)中的廣播報文進(jìn)行處理，要求匯聚設(shè)備支持廣播風(fēng)暴控制，保障網(wǎng)絡(luò)的穩(wěn)定和安全，并

17、提供簡單配置方式，可基于端口速率百分比、端口速率等多種方式進(jìn)行閥值的設(shè)置，方便管理員使用；4. 為了提供安全的訪問控制，要求匯聚交換機(jī)支持遠(yuǎn)程訪問的源IP授權(quán)控制；5. 為了保障網(wǎng)絡(luò)的安全，控制非法用戶接入網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，要求匯聚設(shè)備支持多種安全功能，如：端口安全、專家級ACL、時間ACL、基于應(yīng)用數(shù)據(jù)流的帶寬限速、多元素綁定等等，滿足加強(qiáng)對訪問者進(jìn)行控制、阻止非授權(quán)用戶通信的需求；6. 為了實現(xiàn)方便快捷的管理，要求匯聚交換機(jī)提供豐富的管理功能。如：支持CLI(需兼容業(yè)界主流標(biāo)準(zhǔn))、SNMP v1/v2/v3、Telnet、Console、RMON、Web管理、SSH、支持S

18、NTP、支持Syslog等；2.2.5 接入層設(shè)計網(wǎng)絡(luò)接入層計算機(jī)數(shù)量大，訪問流量相對比較大，所以建議接入層到匯聚層采用1000M互連。另外，接入層是部署網(wǎng)絡(luò)安全的重要區(qū)域，如果接入設(shè)備不具備豐富的安全功能，就無法對常見的病毒和攻擊從最低層進(jìn)行防范，所以建議采用安全接入交換。同時網(wǎng)絡(luò)管理也是比較重要的，如果沒有該功能，那么網(wǎng)絡(luò)管理的難度將加大，故障排查不方便，所以建議采用可網(wǎng)管交換機(jī)。本方案接入交換機(jī)采用銳捷RG-S2900G-E系列交換機(jī)作為接入交換機(jī)。RG-S2900系列交換機(jī)是銳捷網(wǎng)絡(luò)推出的全千兆安全智能二層交換機(jī)，適用于園區(qū)網(wǎng)絡(luò)的接入層，提供千兆到桌面的解決方案。憑借高性能、高安全、多

19、業(yè)務(wù)、易用性的特點，融入IPv6的特性，使得RG-S2900系列可廣泛應(yīng)用于各行業(yè)的千兆網(wǎng)絡(luò)。在提供高性能、高帶寬的同時，S2900交換機(jī)提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性，并可以根據(jù)網(wǎng)絡(luò)的實際使用環(huán)境，實施靈活多樣的安全控制策略，有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶接入和使用網(wǎng)絡(luò)，保證合法的用戶合理化地使用網(wǎng)絡(luò)資源，充分保障了網(wǎng)絡(luò)高效安全、網(wǎng)絡(luò)合理化使用和運營。RG-S2900系列交換機(jī)以極高的性價比為各類型網(wǎng)絡(luò)提供高性能、完善的端到端的QoS服務(wù)質(zhì)量、靈活豐富的安全策略管理，最大化滿足企業(yè)網(wǎng)高速、高效、安全、智能的新需求。2.2.6 網(wǎng)絡(luò)安全設(shè)計現(xiàn)有的網(wǎng)

20、絡(luò)存在安全隱患，沒有比較合適的安全策略部署。因此，針對目前的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備，需要規(guī)劃全網(wǎng)的網(wǎng)絡(luò)安全相關(guān)部署，為網(wǎng)絡(luò)的安全和管理提供一個解決辦法。從網(wǎng)絡(luò)安全的角度考慮，有以下幾個原則和方向：1、 全面的防ARP和接入安全。內(nèi)網(wǎng)的ARP問題是網(wǎng)絡(luò)安全中比較突出的問題，需要在接入層交換機(jī)部署防ARP功能，實現(xiàn)邊緣接入控制，避免ARP對網(wǎng)絡(luò)造成影響。其次，網(wǎng)絡(luò)中存在的廣播風(fēng)暴、沖擊波、震蕩波等病毒都會對網(wǎng)絡(luò)造成影響。要把這種影響降到最低，需要在接入層部署相關(guān)的策略，如ACL控制、廣播風(fēng)暴抑制等功能，才能徹底凈化網(wǎng)絡(luò)。2、 確保網(wǎng)絡(luò)用戶身份的合法性。網(wǎng)絡(luò)需要安全，就必須首先確保使用網(wǎng)絡(luò)的用戶是合法的用戶

21、。因此，需要對接入網(wǎng)絡(luò)的用戶提供相應(yīng)的入網(wǎng)認(rèn)證。并和用戶對應(yīng)的主機(jī)進(jìn)行綁定，這樣才可以確保不會有非法的用戶對網(wǎng)絡(luò)安全造成影響，竊取信息或維護(hù)網(wǎng)絡(luò)的穩(wěn)定。比如，此次網(wǎng)絡(luò)改造，可以采用用戶認(rèn)證，確保合法的醫(yī)護(hù)人員使用電腦。3、 確保用戶主機(jī)和終端的安全性。目前的網(wǎng)絡(luò)安全事件，很多是由于主機(jī)系統(tǒng)漏洞引起的，因此，需要確保接入網(wǎng)絡(luò)的主機(jī)是安全的，才能從根本上解決安全問題。這種主機(jī)安全保障可以從幾個方面實現(xiàn)：主機(jī)安裝的軟件、主機(jī)運行的程序、主機(jī)的相關(guān)進(jìn)程、主機(jī)的系統(tǒng)補(bǔ)丁和病毒庫等。只要確保了這些方面的安全，就可以最大程度的確保網(wǎng)絡(luò)的安全和穩(wěn)定。2.2.7 網(wǎng)絡(luò)管理改造整個網(wǎng)絡(luò)規(guī)模比較大，單交換機(jī)就有將近

22、50臺，網(wǎng)絡(luò)管理的工作量將大大增加，所以建議在網(wǎng)絡(luò)中部署一套網(wǎng)絡(luò)管理軟件負(fù)責(zé)整個網(wǎng)絡(luò)的拓?fù)浒l(fā)現(xiàn)和設(shè)備的管理，并做到實時的網(wǎng)絡(luò)流量監(jiān)控及預(yù)警功能，通過這套軟件可以讓網(wǎng)管人員足不出戶就可以管理到網(wǎng)絡(luò)中的每一臺設(shè)備和每一個端口，可以管理到每個端口下面的所有用戶，大大提高網(wǎng)管人員的管理效率和整個網(wǎng)絡(luò)的安全性。第三章 新住院樓無線網(wǎng)絡(luò)構(gòu)建3.1 無線查房網(wǎng)絡(luò)建設(shè)要點3.1.1 無縫漫游無縫漫游是無線網(wǎng)絡(luò)移動性的最佳體現(xiàn)。傳統(tǒng)的無線接入點（胖AP）僅僅能夠?qū)崿F(xiàn)基于二層的漫游，一旦無線用戶跨越網(wǎng)段，就會由于重新獲取IP地址、重認(rèn)證、重新驗證加密等過程，而導(dǎo)致漫游的失敗和通信的中斷。這對于需要在病區(qū)內(nèi)各病房之

23、間走動查房的醫(yī)護(hù)用戶而言，是很難接受的。因此，無線查房網(wǎng)絡(luò)系統(tǒng)的建設(shè)，最基本的要求就是實現(xiàn)跨三層的無縫漫游。使得醫(yī)護(hù)人員在移動查房的過程中，業(yè)務(wù)系統(tǒng)不會中斷。3.1.2 無線信號干擾問題近年來，在提高醫(yī)療質(zhì)量，保障醫(yī)療安全的基礎(chǔ)上向患者提供更加人性化的醫(yī)療服務(wù)成為醫(yī)院最主要的工作目標(biāo)之一。這促使國內(nèi)外醫(yī)院紛紛通過建設(shè)無線局域網(wǎng)來提高效率、準(zhǔn)確性，防止和減少醫(yī)療事故，同時提供高質(zhì)量的人性化服務(wù)。由于醫(yī)療設(shè)備在現(xiàn)代醫(yī)療中發(fā)揮著舉足輕重的作用，而電子醫(yī)療設(shè)備存在著受到電磁干擾 (EMI) 的技術(shù)風(fēng)險。此次柳鋼人民醫(yī)院的無線查房系統(tǒng)建設(shè)，也需要考慮該問題。3.1.3無線安全問題無線的連接是在空中的信道

24、中進(jìn)行的，如果AP沒有安全保障能力，無線信號會被散在空中，無線黑客只要能捕獲到這臺AP散發(fā)出來的信號，就有可能通過連接AP入侵有線網(wǎng)絡(luò)。因此，無線網(wǎng)絡(luò)的安全需要重點關(guān)注。無線網(wǎng)絡(luò)安全大致分為4種類型：非法的用戶、非法的主機(jī)、非法的無線網(wǎng)絡(luò)、非法的射頻。（1）非法的用戶：無線攻擊者通過偽裝成合法無線用戶的特征，比如SSID、WEP加密破解等，獲得對AP的連接，繼而獲得了入侵無線網(wǎng)絡(luò)的機(jī)會。針對無線查房系統(tǒng)而言，主要的用戶是醫(yī)護(hù)人員，因此需要提供入網(wǎng)用戶的安全驗證。（2）非法的主機(jī)：無線查房系統(tǒng)的主要用戶是醫(yī)護(hù)人員及其使用的無線終端。如果病區(qū)存在非法的筆記本電腦，并獲得進(jìn)入無線網(wǎng)絡(luò)的機(jī)會，而這臺筆

25、記本電腦上如果攜帶病毒或攻擊程序，就可能會對無線網(wǎng)絡(luò)帶來致命的安全攻擊，導(dǎo)致醫(yī)患信息被竊取或網(wǎng)絡(luò)中斷，造成不可彌補(bǔ)的后果。因此，需要對入網(wǎng)的主機(jī)進(jìn)行基于MAC地址的過濾，只有正確的無線終端才允許訪問網(wǎng)絡(luò)。（3）非法的網(wǎng)絡(luò)：醫(yī)院旁邊的其他建筑物內(nèi)有SOHO級AP、醫(yī)院內(nèi)部也有運營商部署的其他無線網(wǎng)絡(luò)，由于這些AP會發(fā)出信號，有可能吸引附近的無線查房終端去連接它，而不是去連接合法的無線AP，這樣就會極大的干擾查房終端提供服務(wù)。因此，無線查房網(wǎng)絡(luò)系統(tǒng)需要能對非法AP進(jìn)行剔除。（4）非法的射頻：這一點是和第3點類似的狀態(tài)。非法的AP占用合法的無線信道，而導(dǎo)致合法的無線AP沒有合適的信道可用，或者信道干

26、擾，導(dǎo)致合法AP的工作不穩(wěn)定。因此，需要對全網(wǎng)合法射頻信號進(jìn)行管理和安全控制。3.2 住院樓無線架構(gòu)設(shè)計3.2.1 設(shè)計原則結(jié)合柳鋼人民醫(yī)院的網(wǎng)絡(luò)和應(yīng)用需求以及銳捷網(wǎng)絡(luò)解決方案的特點，智能無線網(wǎng)絡(luò)的設(shè)計原則可以分為以下幾大點：1)采用智能瘦AP無線交換架構(gòu)組建無線網(wǎng)絡(luò)子系統(tǒng)；2)采用IEEE802.11n標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)設(shè)備，實現(xiàn)高性能的無線業(yè)務(wù)應(yīng)用；3)每個樓層部署無線接入點，保證無線網(wǎng)絡(luò)覆蓋到每個病房、醫(yī)生辦和護(hù)士辦；4)核心位置采用2臺無線控制器，即醫(yī)院內(nèi)網(wǎng)和internet外網(wǎng)各一套，接入層采用POE供電器連接無線AP來進(jìn)行整體瘦AP架構(gòu)；5)無線系統(tǒng)可以根據(jù)用戶需要（如VIP病房）連接

27、到internet外網(wǎng)，但數(shù)據(jù)信息等不能與內(nèi)網(wǎng)互通；6)無線AP的信號覆蓋，采用室內(nèi)分布系統(tǒng)完成。3.2.2設(shè)備選型由于此次無線網(wǎng)絡(luò)建設(shè)，范圍涉及柳鋼人民醫(yī)院整個新住院大樓，基于無線網(wǎng)絡(luò)運行體征監(jiān)護(hù)系統(tǒng)、醫(yī)生移動查房系統(tǒng)等臨床業(yè)務(wù)。這樣就要求無線網(wǎng)絡(luò)設(shè)備選型時必須充分考慮高穩(wěn)定、高安全、高性能的數(shù)據(jù)傳輸。室內(nèi)無線智能接入點：選擇智能型無線接入設(shè)備AP-220，采用的是5.8GHz和2.4GHz的雙路N射頻架構(gòu)，可同時支持802.11a/n和802.11b/g/n，并且能夠在每個頻段上提供300Mbps的傳輸速率。實驗室測試中，AP-220（5.8GHz下）最大能夠提供“上行211Mbps，下行

28、213Mbps”的真實傳輸速率，為業(yè)界同類產(chǎn)品的最高水平。同時支持IEEE802.11af標(biāo)準(zhǔn)的POE供電方式，方便靈活部署，降低部署成本。智能無線局域網(wǎng)交換機(jī)：采用1臺銳捷網(wǎng)絡(luò)智能無線局域網(wǎng)交換機(jī)RG-WS5302，銳捷網(wǎng)絡(luò) RG-WS5302無線交換機(jī)最多可以支持64個AP接入和管理，完全滿足都安縣人民醫(yī)院無線覆蓋的需求，并留有一定的擴(kuò)展余量。無線交換機(jī)和AP的連接可以穿透三層，因此，方案的實現(xiàn)完全不影響原有網(wǎng)絡(luò)的結(jié)構(gòu)，并且可以實現(xiàn)全網(wǎng)的漫游。3.3 無線查房網(wǎng)絡(luò)方案效果3.3.1 無縫漫游本方案可以實現(xiàn)無縫漫游，為無線查房提供無縫移動接入，在移動中享受與有線網(wǎng)絡(luò)同樣的持續(xù)連接性。在固定資

29、產(chǎn)、重要醫(yī)療器械、特殊患者的無線定位應(yīng)用中，無縫漫游技術(shù)可以保證被定位對象的實時在線。3.3.2 無線信號干擾問題2005年9 月28 日至2005 年12 月28 日，受中華人民共和國衛(wèi)生部醫(yī)院管理研究所和中華醫(yī)院管理學(xué)會信息管理專業(yè)委員會的委托，“無線局域網(wǎng)對醫(yī)療設(shè)備潛在干擾測試研究課題組”對中日友好醫(yī)院常用的對電磁干擾相對敏感的25 種醫(yī)療設(shè)備進(jìn)行了無線局域網(wǎng)電磁波對醫(yī)療設(shè)備潛在干擾的測試研究。測試結(jié)果表明：在醫(yī)院正確部署無線局域網(wǎng)未發(fā)現(xiàn)對醫(yī)療設(shè)備產(chǎn)生不良干擾。該項目已于2006 年4 月6 日通過了衛(wèi)生部醫(yī)政司委托醫(yī)院管理研究所組織的專家論證會。目前大部分醫(yī)院使用的無線查房系統(tǒng)采用的頻

30、率都是國際標(biāo)準(zhǔn)的2.4G和5.8G兩個頻段，并未發(fā)現(xiàn)對醫(yī)院已有的醫(yī)療設(shè)備產(chǎn)生干擾。3.3.3安全的無線網(wǎng)絡(luò)針對無線查房系統(tǒng)的安全問題。我司提供了完善的無線安全解決方案：1、基于MAC地址認(rèn)證的入網(wǎng)檢測：保證只有被授權(quán)的醫(yī)護(hù)人員才能接入無線網(wǎng)絡(luò)。并為不同的醫(yī)護(hù)人員分配不同的訪問權(quán)限。2、針對用戶vlan的隔離：通過VLAN技術(shù)實現(xiàn)不同業(yè)務(wù)部門的 用戶隔離，保證不同業(yè)務(wù)之間的安全性；3、無線接入點與無線控制器之間的加密隧道技術(shù)保障數(shù)據(jù)在無線傳輸過程中的機(jī)密性。4、通過射頻技術(shù)和定位技術(shù)可以剔除非法的無線接入點，防止無線用戶接入仿冒的AP。5、方案提供了認(rèn)證系統(tǒng)，可以為無線網(wǎng)絡(luò)用戶的入網(wǎng)提供安全認(rèn)證

31、，同時可以和后續(xù)有線網(wǎng)絡(luò)的入網(wǎng)認(rèn)證進(jìn)行無縫兼容，采用統(tǒng)一的認(rèn)證。第四章 網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃方案4.1 IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，尤其對于柳鋼醫(yī)院網(wǎng)絡(luò)系統(tǒng)這樣大型網(wǎng)絡(luò)，必須對IP地址進(jìn)行統(tǒng)一規(guī)劃和實施。網(wǎng)絡(luò)系統(tǒng)IP地址規(guī)劃的優(yōu)劣，直接影響到網(wǎng)絡(luò)路由的效率、網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的擴(kuò)展和網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。4.1.1 IP地址的分類IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)識網(wǎng)絡(luò)中的一個節(jié)點。IP地址主要網(wǎng)絡(luò)地址和主機(jī)地址兩部份組成：網(wǎng)絡(luò)地址 主機(jī)地址 32 Bits IP地址主要分為A、B、C、D、E五類，其中常用的是A、B、C

32、三類，相應(yīng)的掩碼分別為8、16、24位。另外，為了靈活地在不同規(guī)模的子網(wǎng)中分配不同數(shù)量的IP地址，需要采用VLSM技術(shù)，它可根據(jù)需要在任意位劃分子網(wǎng)邊界，對一個主網(wǎng)絡(luò)號，可分出最小只有2個主機(jī)號的子網(wǎng)，亦可劃分出一個較大的子網(wǎng)，因此它很靈活，特別是在廣域網(wǎng)或路由交換機(jī)互連的應(yīng)用中，只需2個主機(jī)號地址，VLSM非常有用，大大節(jié)約了地址空間，又保證了網(wǎng)絡(luò)設(shè)計的靈活性。4.1.2 IP地址規(guī)劃目標(biāo)柳鋼醫(yī)院校園網(wǎng)IP地址規(guī)劃的目標(biāo)是通過對全網(wǎng)IP地址進(jìn)行統(tǒng)一的規(guī)劃和編碼，有效實現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高信息交換效率，為網(wǎng)絡(luò)的順利運行和業(yè)務(wù)擴(kuò)展奠定基礎(chǔ)。柳鋼醫(yī)院的IP地址規(guī)劃是基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)所承載的業(yè)務(wù)類

33、別而進(jìn)行的。柳鋼醫(yī)院內(nèi)部網(wǎng)絡(luò)的地址分配包括各類主機(jī)所用的地址、分配網(wǎng)絡(luò)設(shè)備的地址和分配給網(wǎng)絡(luò)用戶使用的地址?？梢允褂靡粔K獨立的地址空間按需要進(jìn)行分配。4.1.3 IP地址規(guī)劃原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表路由數(shù)量，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，降低網(wǎng)絡(luò)動蕩程度，隔離網(wǎng)絡(luò)故障，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的I

34、P地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的表項；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時能保證地址疊合所需的連續(xù)性；靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。4.1.4 IP地址規(guī)劃在該方案中，為了節(jié)省網(wǎng)絡(luò)地址空間，同時考慮網(wǎng)絡(luò)地址的統(tǒng)一管理和將來擴(kuò)展的需要，柳鋼醫(yī)院內(nèi)部網(wǎng)絡(luò)地址規(guī)劃的總體設(shè)計思路是：Ø 盡量保留原有的地址和VLAN規(guī)劃，在原有規(guī)劃基礎(chǔ)上，增加網(wǎng)段和VLAN號，實現(xiàn)新住院樓的接入。若原有規(guī)劃比較復(fù)雜，

35、可以根據(jù)醫(yī)院目前的業(yè)務(wù)部門劃分，進(jìn)行新的地址規(guī)劃。Ø 采用私有地址空間，為每個VLAN劃分一個C類地址段，網(wǎng)關(guān)地址為該網(wǎng)地址空間的第一個可用地址。Ø 為了減少路由表的大小和路由振蕩，在分配地址時盡量采用連續(xù)的IP地址，每臺匯聚層交換機(jī)上做路由聚合。Ø 對于用戶VLAN接口IP，子網(wǎng)掩碼統(tǒng)一采用255.255.255.0。Ø 對于核心層交換機(jī)與匯聚層交換機(jī)之間的三層或VLAN接口，IP地址統(tǒng)一采用一個C類地址，子網(wǎng)掩碼統(tǒng)一采用255.255.255.252。Ø 對于交換機(jī)管理IP，所有設(shè)備統(tǒng)一采用一個C類IP地址段。具體規(guī)劃如下：樓棟信息點數(shù)量I

36、P地址段備注原有網(wǎng)絡(luò)為避免業(yè)務(wù)受到影響，盡量保留原有規(guī)劃新住院樓內(nèi)網(wǎng)192.168.100.0/24192.168.101.0/24新住院樓外網(wǎng)192.168.200.0/244.2 VLAN規(guī)劃出于管理及安全的考慮， VLAN的規(guī)劃需要根據(jù)用戶類型進(jìn)行劃分。VLAN劃分總體采用以下原則：核心層和匯聚層的交換機(jī)都是采用三層交換機(jī)，由于VLAN屬于局域網(wǎng)特性，在跨越三層IP設(shè)備（路由器或交換機(jī)）時，VLAN將被終結(jié)，理論上這兩個區(qū)域的VLAN規(guī)劃可以完全獨立，但是出于管理便利，在整個局域網(wǎng)中所有VLAN ID統(tǒng)一分配。VLAN的劃分需參考IP地址的規(guī)劃，在局域網(wǎng)內(nèi)部，將VLAN與IP子網(wǎng)對應(yīng)，在

37、同一功能區(qū)域，IP子網(wǎng)連續(xù)的地方，VLAN ID以同樣規(guī)律保存連續(xù)，方便記憶和管理。不同VLAN之間是鏈路層隔離了，所有鏈路廣播報文都是在一個VLAN內(nèi)部廣播的，不會擴(kuò)散到VLAN之外。VLAN之間的互訪必須在IP層進(jìn)行，可以通過訪問控制列表ACL（Access control list）進(jìn)行控制。在IP設(shè)備上，將VLAN終結(jié)，每個VLAN對應(yīng)一個IP子網(wǎng)，該VLAN對其它IP子網(wǎng)的訪問控制可以在VLAN所對應(yīng)的IP邏輯接口上通過ACL配置實現(xiàn)。4.3路由規(guī)劃考慮到網(wǎng)絡(luò)規(guī)模比較大，可以考慮采用OSPF路由進(jìn)行規(guī)劃。每個網(wǎng)段劃分在一個VLAN當(dāng)中，網(wǎng)關(guān)配置在匯聚交換機(jī)上，通過OSPF路由實現(xiàn)內(nèi)網(wǎng)

38、的互聯(lián)。第五章 整網(wǎng)方案效果說明5.1 高穩(wěn)定的網(wǎng)絡(luò)架構(gòu)設(shè)計網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計采用先進(jìn)的概念、技術(shù)和方法，注意結(jié)構(gòu)、設(shè)備、工具的相對先進(jìn)成熟，整個系統(tǒng)的生命周期有比較長的時間，可以在信息技術(shù)不斷發(fā)展的今天，在系統(tǒng)建成以后比較長的一段時間內(nèi)能滿足用戶需求增長的需要。該網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，特別是核心設(shè)備的選擇，支持了先進(jìn)水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內(nèi)占主導(dǎo)地位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位。采用千兆以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)主干線路。 在核心架構(gòu)設(shè)計采用雙核心熱備份設(shè)計，可以保障網(wǎng)絡(luò)核心7×24小時不間斷工作。單臺核心設(shè)備的故障不會導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。整個網(wǎng)絡(luò)骨干采用千兆帶寬，接入采用100M接

39、入，核心支持到萬兆的擴(kuò)展。核心設(shè)備、匯聚設(shè)備、出口設(shè)備的選型都考慮了整個網(wǎng)絡(luò)目前的需求和以后的擴(kuò)展，在接口帶寬、設(shè)備性能等方面都作了詳細(xì)的規(guī)劃。網(wǎng)絡(luò)結(jié)構(gòu)層次明晰，布局合理，可以確保整個網(wǎng)絡(luò)的穩(wěn)定運行。采用核心虛擬化，既簡化了核心的管理，又提供了骨干穩(wěn)定性的保障。全網(wǎng)三校區(qū)核心骨干網(wǎng)采用以太環(huán)網(wǎng)，提供了超穩(wěn)定的骨干網(wǎng)絡(luò)架構(gòu)。5.2 高性能、高穩(wěn)定的核心設(shè)計一個網(wǎng)絡(luò)穩(wěn)定與否，與其所用的設(shè)備的穩(wěn)定與否有直接關(guān)系。如果一個設(shè)備都不夠穩(wěn)定，那么網(wǎng)絡(luò)也就無穩(wěn)定可言。所以一個網(wǎng)絡(luò)穩(wěn)定與否是與設(shè)備的穩(wěn)定性有直接的關(guān)系。本方案網(wǎng)絡(luò)核心采用銳捷網(wǎng)絡(luò)新一代多業(yè)務(wù)十萬兆核心路由交換機(jī)RG-S8600，提供雙電源的方式，同時核心模塊支持熱拔插，以確保核心大穩(wěn)定。核心設(shè)備采用的提供高性能的二/三層包轉(zhuǎn)發(fā)速率，可為用戶提供高速無阻塞的數(shù)據(jù)交換。RG-S8600是銳捷網(wǎng)絡(luò)推出的面向十萬兆平臺設(shè)