網(wǎng)絡(luò)搭建方案設(shè)計書

xx隊組網(wǎng)大賽方案設(shè)計書二零一零年八月目錄TOC\o"1-5"\h\z一、 需求分析 3\o"CurrentDocument"1.1工程項目概況 3\o"CurrentDocument"1.2需求分析 3\o"CurrentDocument"二、 方案設(shè)計原則 4\o"CurrentDocument"三、 網(wǎng)絡(luò)方案設(shè)計 5\o"CurrentDocument"3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)介紹 5\o"CurrentDocument"3.2網(wǎng)絡(luò)拓撲圖 6\o"CurrentDocument"3.3方案項目建設(shè)重點問題處理 6\o"CurrentDocument"3.4網(wǎng)絡(luò)設(shè)計 7\o"CurrentDocument"3.4.1廣域網(wǎng)互連設(shè)計 7\o"CurrentDocument"3.4.2骨干核心層網(wǎng)絡(luò)設(shè)計 8\o"CurrentDocument"3.4.3匯聚層網(wǎng)絡(luò)設(shè)計 8\o"CurrentDocument"3.4.4接入層網(wǎng)絡(luò)設(shè)計 83.4.5網(wǎng)絡(luò)安全設(shè)計 9\o"CurrentDocument"3.4.6冗余/負載均衡設(shè)計 9\o"CurrentDocument"3.4.6.1線路冗余 10\o"CurrentDocument"設(shè)備冗余/負載均衡設(shè)計 11\o"CurrentDocument"服務(wù)器冗余設(shè)計 11\o"CurrentDocument"3.4.10IP地址規(guī)劃原則 12\o"CurrentDocument"四、 網(wǎng)絡(luò)安全及管理機制 13\o"CurrentDocument"完善的安全機制 13\o"CurrentDocument"GSN全局安全網(wǎng)絡(luò) 14\o"CurrentDocument"解決安全威脅 14\o"CurrentDocument"VPN（虛擬專用網(wǎng)） 14\o"CurrentDocument"六、 配置清單 15\o"CurrentDocument"七、 方案的擴展性考慮 15

需求分析、需求分析工程項目概況華山醫(yī)院是衛(wèi)生部直屬復(fù)旦大學(xué)（原上海醫(yī)科大學(xué)）附屬的一所綜合性教學(xué)醫(yī)院。建院于1907年，前身是中國紅十字會總院，是上海地區(qū)中國人最早創(chuàng)辦的醫(yī)院，1992年首批通過國家三級甲等醫(yī)院評審，目前已成為一所國家高層次的醫(yī)療機構(gòu)，并為全國醫(yī)療、預(yù)防、教學(xué)、科研相結(jié)合的技術(shù)中心，在國內(nèi)外享有較高的聲譽。隨著醫(yī)療行業(yè)信息化的發(fā)展，為了認真貫徹衛(wèi)生部召開的關(guān)于加快醫(yī)衛(wèi)系統(tǒng)信息化建設(shè)及管理的會議精神，進一步推進我院的信息化建設(shè)，了解國際醫(yī)療信息化發(fā)展動態(tài)，吸收新的技術(shù)和管理經(jīng)驗，提高我院信息化應(yīng)用的管理水平，使我院經(jīng)濟效益和社會效益雙豐收，逐步加快醫(yī)院的信息化建設(shè)步伐。在選取“飛”的翅膀時，計算機網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。你所代表的網(wǎng)絡(luò)公司以其卓越的產(chǎn)品性能、豐富的產(chǎn)品種類和完善的服務(wù)體系，綜合考慮了華山對網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴展性和高性能的特殊需要，精選出適合華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的解決方案。具體要求：1） 網(wǎng)絡(luò)設(shè)計采用先進、可靠、成熟、高性能、可擴展的網(wǎng)絡(luò)架構(gòu)及技術(shù)，從硬件設(shè)備、軟件策略控制兩個方面來保證核心、骨干網(wǎng)絡(luò)的高可靠、高性能及易維護性；2） 網(wǎng)絡(luò)設(shè)計充分考慮該醫(yī)院網(wǎng)絡(luò)的特殊性，以及不同業(yè)務(wù)、不同部門之間的數(shù)據(jù)安全，綜合考慮網(wǎng)絡(luò)設(shè)計的邏輯結(jié)構(gòu)以及區(qū)域劃分；3） 網(wǎng)絡(luò)設(shè)計充分考慮避免環(huán)路；4） 網(wǎng)絡(luò)設(shè)計要解決校內(nèi)用戶對外部網(wǎng)絡(luò)的訪問需求，且要實現(xiàn)社保局、醫(yī)保、銀行、干保四條vpn出口；5） 網(wǎng)絡(luò)設(shè)計需對DoS攻擊、ARP欺騙/攻擊、廣播風(fēng)暴等網(wǎng)絡(luò)攻擊行為有較強的防范能力；需求分析華山醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)在實用的前提下，應(yīng)當(dāng)在投資保護及長遠性方面做適當(dāng)考慮，在技術(shù)上系統(tǒng)能力上要保持五年左右的先進性。并且從用戶的利益出發(fā)，一個好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)以上種種特性需求，網(wǎng)絡(luò)設(shè)備核心層、匯聚層、接入層產(chǎn)品，選擇銳捷網(wǎng)絡(luò)。銳捷網(wǎng)絡(luò)是國內(nèi)領(lǐng)先的網(wǎng)絡(luò)廠商，其對醫(yī)療行業(yè)有著深刻的了解，其產(chǎn)品、方案與服務(wù)在醫(yī)療行業(yè)有成熟和廣泛的應(yīng)用，而且能通過智能、安全及可靠的網(wǎng)絡(luò)設(shè)備連為一體，來構(gòu)建網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)，保障其順利進行。根據(jù)以上描述，結(jié)合實際建網(wǎng)情況和前期網(wǎng)絡(luò)建設(shè)，在充分研究了目前國內(nèi)外網(wǎng)絡(luò)界對園區(qū)網(wǎng)設(shè)計所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢后，建議選擇萬兆以太網(wǎng)為目標(biāo)，構(gòu)建華山醫(yī)院的網(wǎng)絡(luò)建設(shè)，設(shè)計“萬兆核心、千兆支干、千兆交換桌面”的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，根據(jù)需求分析，結(jié)合對應(yīng)用系統(tǒng)的考慮，提出本期網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網(wǎng)絡(luò)。二、 方案設(shè)計原則本方案的設(shè)計將在追求性能優(yōu)越、經(jīng)濟實用的前提下，本著嚴(yán)謹、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實施過程等方面綜合進行系統(tǒng)的總體設(shè)計，力圖使該系統(tǒng)真正成為符合該醫(yī)院的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在網(wǎng)絡(luò)的設(shè)計和實現(xiàn)中，本方案嚴(yán)格遵守了以下原則：實用性和集成性系統(tǒng)的軟硬件設(shè)計、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應(yīng)醫(yī)院信息化的需求的基礎(chǔ)上進而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，必須能將各種先進的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個組成部分能充分發(fā)揮作用，協(xié)調(diào)一致的進行高效工作。標(biāo)準(zhǔn)性和開往性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)該支持國際工作標(biāo)準(zhǔn)或事實上的標(biāo)準(zhǔn)，以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時共存。通信中應(yīng)采用標(biāo)準(zhǔn)的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進行通訊。先進性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進性。不能一味地追求實用而忽略先進，只有將當(dāng)今最先進的技術(shù)和我們的實際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全是事關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實際應(yīng)用中能經(jīng)過較長時間的考驗，在運行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時，應(yīng)從長遠的技術(shù)發(fā)展來選擇具有很好前景的、較為先進的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需要?？煽啃砸彩呛饬恳粋€計算機應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨設(shè)備穩(wěn)定、可靠運行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯能力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作，達到每周7*24小時工作的要求。一個高可用性的系統(tǒng)才能使用戶的投資真正得到回報。可維護性和可管理性整個信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡單易學(xué)，并便于維護。對復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強有力的網(wǎng)絡(luò)管理手段，以便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運行，因此，網(wǎng)絡(luò)所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議，管理員能方便進行網(wǎng)絡(luò)管理、維護甚至修復(fù)。在設(shè)計和實現(xiàn)時，必須充分考慮整個系統(tǒng)的便于維護性，以使系統(tǒng)萬一發(fā)生故障時能提供有效手段及時進行恢復(fù)，盡量減少損失?？蓴U充性和兼容性網(wǎng)絡(luò)的拓撲結(jié)構(gòu)應(yīng)具有可擴展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理接連、產(chǎn)品支持等方面具有擴充與升級換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴充的要求。為了使所實現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護原有的開發(fā)投資，在設(shè)計系統(tǒng)時，應(yīng)將系統(tǒng)按功能做成模塊化的，可根據(jù)需要增加和刪除功能模塊三、網(wǎng)絡(luò)方案設(shè)計3.1網(wǎng)絡(luò)拓撲結(jié)構(gòu)介紹在此次醫(yī)療網(wǎng)的設(shè)計中，我們采用層次化模型來設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計。在大中型校園網(wǎng)設(shè)計中，使用層次化模型有許多好處，列舉如下：1、 節(jié)省成本在采用層次模型之后，各層次各司其職，不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對系統(tǒng)資源的浪費。2、 易于理解層次化設(shè)計使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實施不同難度的管理，降低了管理成本。3、 易于擴展在網(wǎng)絡(luò)設(shè)計中，模塊化具有的特性使得網(wǎng)絡(luò)增長時網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會蔓延到網(wǎng)絡(luò)的其他地方。4、 易于排錯層次化設(shè)計能夠使網(wǎng)絡(luò)拓撲結(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡化了排錯過程。

3.2網(wǎng)絡(luò)拓撲圖說.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理萬兆鎖路\art-Vie?-干疝疑路,■3.2網(wǎng)絡(luò)拓撲圖說.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理萬兆鎖路\art-Vie?-干疝疑路,■銀行于保圖1網(wǎng)絡(luò)拓撲圖3.3方案項目建設(shè)重點問題處理本方案很好地解決了用戶要求的五個問題，即網(wǎng)絡(luò)高可靠、高性能問題，安全問題，帶寬問題，穩(wěn)定性問題，兼容性、可擴充性問題問題。網(wǎng)絡(luò)高可靠、高性能、穩(wěn)定性問題處理：由于該網(wǎng)絡(luò)為承載新醫(yī)院數(shù)字化運行的基礎(chǔ)骨干，核心、骨干設(shè)備一旦出現(xiàn)問題會影響到全網(wǎng)，使的網(wǎng)絡(luò)效率下降，甚至造成全網(wǎng)的宕機。因此，我們采用：（1） 雙出口+策略路由+鏈路互備+VRRP的技術(shù)；雙出口：核心層運用雙核心結(jié)構(gòu)，減少了核心層交換機各自的負擔(dān)，提高了網(wǎng)絡(luò)流量的控制管理度和安全度。策略路由：在內(nèi)部網(wǎng)絡(luò)通往廣域網(wǎng)上，運用策略路由技術(shù)使內(nèi)部不同的用戶通過不同的路有器出口出去，減少了核心路由器的負載，使整個網(wǎng)絡(luò)更加順暢流通。鏈路互備：整個網(wǎng)絡(luò)各層鏈路都采用了鏈路備份，既提高了設(shè)備的利用率，也保證了各個網(wǎng)絡(luò)的管理、安全、順暢。VRRP+MSTP:這種技術(shù)讓路由器組提供了一個冗余網(wǎng)關(guān)地址，它保證網(wǎng)絡(luò)的主路由器失效時，可以及時的由備分來實現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。（2） Qos服務(wù)體系：提高網(wǎng)絡(luò)通信質(zhì)量、保障關(guān)鍵應(yīng)用，使整個網(wǎng)絡(luò)運營暢通。網(wǎng)絡(luò)安全問題處理：（1）采用GSN系統(tǒng)：GSN全局安全網(wǎng)絡(luò)中運用SMP（安全管理平臺）、SAM（安全認證管理）、SEP（安全修復(fù)平臺）、CA服務(wù)系統(tǒng)等等安全管理系統(tǒng)大大提高了整個網(wǎng)絡(luò)的安全管理，并且能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機安全信息進行深入分析和全局監(jiān)控。能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機安全信息進行深入分析和全局監(jiān)控，同時在核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護能力，且NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實現(xiàn)方式對整機性能的影響，SSHv1/v2的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅。（2） 采用了RG-IDS入侵檢測設(shè)備：本方案還分別在核心交換機和服務(wù)器群旁應(yīng)采用了RG-IDS入侵檢測設(shè)備。這種設(shè)計不但保證了外部與內(nèi)部數(shù)據(jù)安全的傳輸，同時也為服務(wù)器群提供了良好的工作環(huán)境，從而保證了內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)在不同的環(huán)境中做到安全防護，足以應(yīng)對突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。（3） 防火墻HA技術(shù)：在通往廣域網(wǎng)上采用兩個防火墻〃雙機熱備〃，"雙機互備〃技術(shù)，大大提高了整個網(wǎng)絡(luò)的安全性和可靠性。（4） 防病毒服務(wù)器和防火墻/VPN網(wǎng)關(guān)：入侵檢測、攻擊預(yù)警、網(wǎng)絡(luò)病毒防范、訪問控制、用戶監(jiān)控、安全郵件代理等多種網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理功能，同時集成了IPSecVPN模塊，為企業(yè)建立遠程內(nèi)部網(wǎng)絡(luò)提供了完善的一體化解決方案。管理計費問題：統(tǒng)一認證，針對校園網(wǎng)開放式的信息點造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認證技術(shù)。（1） 基于端口的認證就是將AAA認證與端口保護相結(jié)合，保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對網(wǎng)絡(luò)的使用情況進行審計。（2） RG-NTD配合日志審計服務(wù)器還可以方便的實現(xiàn)基于用戶身份的網(wǎng)絡(luò)訪問行為的日志、設(shè)備日志、應(yīng)用日志的管理與分析，為安全事件的審計提供準(zhǔn)確可信的數(shù)據(jù)支持帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負荷，使設(shè)備時刻保持穩(wěn)定和高效。?兼容性、開放性和可擴充性問題：銳捷網(wǎng)絡(luò)系列交換機遵循所有的國際標(biāo)準(zhǔn)，其核心交換機采用模塊化設(shè)計，完全滿足與其它廠商硬件、軟件的兼容性要求，只需簡單地添加相應(yīng)的端口模塊即可實現(xiàn)網(wǎng)絡(luò)的擴容，從而滿足校園網(wǎng)不斷增長的應(yīng)用需求，使用戶投資得到充分利用。核心層使用的銳捷網(wǎng)絡(luò)RS-8606E路由交換機有良好的擴展性，可以為將來的網(wǎng)絡(luò)實現(xiàn)輕松擴展。3.4網(wǎng)絡(luò)設(shè)計3.4.1廣域網(wǎng)互連設(shè)計RG-WALL1600E防火墻采用銳捷網(wǎng)絡(luò)自主開發(fā)的RG-SecOS和獨創(chuàng)的分類算法使得它的高速性能不受策略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同時，RG-WAL1600E在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL1600E支持深度狀態(tài)檢測、外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理;支持PPTP、L2TP、IPSec和SSL等多種全面的VPN業(yè)務(wù)，可以構(gòu)建多種形式的VPN；提供強大的路由能力，支持靜態(tài)/RIP/OSPF/路由策略及策略路由；支持雙機狀態(tài)熱備，支持Active/Active和Active/Standby兩種工作模式以及豐富的QoS特性，充分滿足客戶對網(wǎng)絡(luò)高可靠性的要求。3.4.2骨干核心層網(wǎng)絡(luò)設(shè)計RG-S8606是高性能、大容量的級核心路由交換機，其采用世界最先進的硬件技術(shù)，使其能夠提供100G平臺高速包處理技術(shù)來增強海量業(yè)務(wù)處理能力，從業(yè)務(wù)驅(qū)動的角度實現(xiàn)IP核心網(wǎng)絡(luò)質(zhì)的飛躍。同時強大的安全穩(wěn)定保障：關(guān)鍵部件的安全穩(wěn)定；采用硬件方式提供多種病毒和攻擊防護。設(shè)備管理安全提供NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實現(xiàn)方式對整機性能的影響。優(yōu)秀的接入安全功能，使得RG-S8606核心路由交換機成為了核心層網(wǎng)絡(luò)的不二選擇。在骨干核心層中，我們采用兩臺銳捷RG-S8606核心路由交換機組成一個環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，實現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用VRRP（虛擬路由器冗余協(xié)議）和動態(tài)負載均衡技術(shù)。對于各個業(yè)務(wù)VLAN可以指向這個虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用VRRP技術(shù)為核心交換機提供一個可靠的網(wǎng)關(guān)地址，以實現(xiàn)在核心層核心交換機之間進行設(shè)備的硬件冗余，一主一備，共用一個虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機制可以自動進行工作角色的切換。進而雙引擎、雙電源的設(shè)計為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。3.4.3匯聚層網(wǎng)絡(luò)設(shè)計匯聚層網(wǎng)絡(luò)主要完成各樓層和相關(guān)部門的內(nèi)接入交換機的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用銳捷網(wǎng)絡(luò)的RG-S5750交換機多層交換機作為匯聚層面的交換機。RG-S5750交換機在提供高密度千兆端口接入的同時還能夠滿足匯聚層智能高速處理的需要并能夠加靈活的部署在網(wǎng)絡(luò)邊緣的各個位置。能夠同時提供多個高速專用堆疊端口和百兆、千兆光口/電口。這些交換機都具備較強的多業(yè)務(wù)提供能力，可支持包括智能的CCL、MPLS、組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富、高性價比的組網(wǎng)選擇。網(wǎng)絡(luò)時間協(xié)議保證交換機時間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時間服務(wù)器時間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理。Syslog方便各種日志信息的統(tǒng)一收集、維護、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護和管理。3.4.4接入層網(wǎng)絡(luò)設(shè)計以往傳統(tǒng)醫(yī)院網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量保障。RG-S2951XG是一款全線速可堆疊千兆智能交換機，提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，并可以實施靈活多樣的ACL訪問控制?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S2126S以極高的性價比為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安

全、智能的醫(yī)院網(wǎng)新需求。3.4.5網(wǎng)絡(luò)安全設(shè)計RG-IDS入侵檢測設(shè)備本方案分別在核心交換機和服務(wù)器群旁應(yīng)用7RG-IDS入侵檢測設(shè)備。這種設(shè)計不但保證了外部與內(nèi)部數(shù)據(jù)安全的傳輸，同時也為服務(wù)器群提供了良好的工作環(huán)境，從而保證了內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)的正常運行。RG-WALL1600千兆防火墻/VPN網(wǎng)關(guān)RG-WALL2000是一種針對大型園區(qū)網(wǎng)、醫(yī)院網(wǎng)與電信服務(wù)運營商而設(shè)計的業(yè)界領(lǐng)先的集成多種安全功能的千兆線速硬件防火墻。它可以在提供強大的安全功能并維持300萬個并發(fā)連接地情況下，依然能夠?qū)Σ煌笮〉陌３智д拙€速吞吐能力。其功能包括防火墻、基于IPsec的VPN、內(nèi)容過濾、應(yīng)用代理等。這些特性使得它可以為醫(yī)院和服務(wù)提供商的網(wǎng)絡(luò)提供安全防護服務(wù)。GSN全局安全解決方案GSN全局安全網(wǎng)絡(luò)中運用SMP（安全管理平臺）、SAM（安全認證管理）、SEP（安全修復(fù)平臺）、CA服務(wù)系統(tǒng)等等安全管理系統(tǒng)大大提高了整個網(wǎng)絡(luò)的安全管理，并且能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機安全信息進行深入分析和全局監(jiān)控。GSN自動學(xué)習(xí)GSN功能：自育（網(wǎng)絡(luò)行為，安全策略的自學(xué)習(xí)）安席.策略服務(wù)器隔離區(qū)域用戶摟入網(wǎng)絡(luò)

安席.策略服務(wù)器隔離區(qū)域安全客戶端會將用戶的制陌安全客戶端會將用戶的制陌網(wǎng)培訪間行為自動通知安全管理平臺①B、通過郵件，每日安全管理呼白I志報煎關(guān)■醒氣建員RG-SA銳捷安全客戶端RG-SMPRG-SA銳捷安全客戶端RG-SMP安全管理平臺SG-RES（安全修筮蔡統(tǒng)）囪自、妾全管理呼臺自動進行網(wǎng)絡(luò)環(huán)境泠③安生臆略的自學(xué)習(xí)，針時相同的玄全行為計安全信息將自動四配相同的安全策略3.4.6冗余/負載均衡設(shè)計冗余設(shè)計是網(wǎng)絡(luò)設(shè)計的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分醫(yī)院網(wǎng)絡(luò)在早期的建設(shè)中由于成本的原因并未在設(shè)計中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計可以貫穿整個層次化結(jié)構(gòu)，每個冗余設(shè)計都有針對性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對重要的應(yīng)用。萬一網(wǎng)絡(luò)中某條路徑失效時，冗余鏈路可以提供另一條物理路徑?？刹捎肎EC鏈路聚合(IEEE802.3ad)實現(xiàn)端口級冗余，以克服某個端口或線路引起的故障。也可采用生成樹協(xié)議(IEEE802.1d)提供設(shè)備級的冗余連接。此外，我們在設(shè)計中提供不同物理方向的雙歸屬、雙路由保護。線路冗余在醫(yī)院網(wǎng)骨干核心層，醫(yī)院網(wǎng)絡(luò)邊界拓撲結(jié)構(gòu)由于采用了環(huán)形多機熱備份的核心交換機系統(tǒng)解決方案，所以在線路冗余方面的要求較高，對于線路的冗余要求，我們采用100GE線路對兩臺醫(yī)院網(wǎng)骨干核心層設(shè)備進行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的VRRP(虛擬路由器冗余協(xié)議)來對其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個鏈路連接骨干網(wǎng)交換機，具備萬兆擴展能力；接入交換機采用10/100/1000M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對它們依次進行介紹鏈路聚合：DEC鏈路聚合IEEE802.3ad示意如圖:襯嗟？斧忸j'襯嗟？斧忸j'AggregaieLink圖解：可使用一條物理鏈路在不同品牌交換機之間、交換機和服務(wù)器間提供聚合的高速通道，在不增加投資的情況下，擴大交換帶寬，使關(guān)鍵連接的傳輸效率更高冗余保證：鏈路聚合中，成員互相動態(tài)備份。當(dāng)某一鏈路中斷時，其它成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網(wǎng)絡(luò)100GE拓展的方式作為其鏈路選擇及備份選擇。設(shè)備冗余/負載均衡設(shè)計負載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價有效的方法擴展服務(wù)器帶寬和增加吞吐量，加強網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù)解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點失效。在此方案中，在網(wǎng)絡(luò)的每個關(guān)鍵結(jié)點，我們在設(shè)計時都做到了對其有效的冗余備份和負載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了兩臺銳捷網(wǎng)絡(luò)的RG-S8606高密度多業(yè)務(wù)IPV6核心路由交換機組建高性能的核心網(wǎng)絡(luò)平臺，在對骨干核心層提供足夠的網(wǎng)絡(luò)接點和接入需求的同時最大限度的為網(wǎng)絡(luò)提供了有效的冗余保障和負載均衡。在核心層的每個區(qū)塊，我們都采用了兩臺銳捷網(wǎng)絡(luò)的RG-S8606度多業(yè)務(wù)IPV6核心路由交換機做到冗余與負載均衡。在匯聚層的每個區(qū)塊，我采用了多臺銳捷網(wǎng)絡(luò)的RG-S5750和STAR-S4909多層交換機做到冗余與負載均衡。在本方案的設(shè)計中，出現(xiàn)了兩個以上的交換區(qū)塊和需要提供冗余連接的時候，我們采用了雙核心配置。如下圖，我們給出了從接入層到匯聚層再到核心層的雙核心配置。立怏舊肆I雙核心拓撲結(jié)構(gòu)提供了兩條等代價路徑和雙倍的帶寬。每個核心交換機連接著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。每個交換區(qū)塊都有冗余的連接到核心交換機上，因此形成兩條不同的，但是等代價的連接。如果一條核心設(shè)備發(fā)生故障，還是能夠收斂，因為匯聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。第3層路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP提供快速錯誤恢復(fù)。核心層不需要STP，因為在核心交換機間沒有冗余的第2層連接。服務(wù)器冗余設(shè)計醫(yī)院網(wǎng)中服務(wù)器、大型機，如網(wǎng)絡(luò)存儲服務(wù)器，SQLServer服務(wù)器，其存儲的數(shù)據(jù)對于醫(yī)院來說致關(guān)重要，一些核心數(shù)據(jù)被視為醫(yī)院的生命。一方面它對醫(yī)院重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個對服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機，后果是技術(shù)是保障計算機系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對于其它成本技術(shù)來說，這是比較有經(jīng)濟價成效的技術(shù)。

Server1Server2Server1Server2服務(wù)器雙機熱備技術(shù)具體技術(shù)實現(xiàn)：每個核心服務(wù)器均具有兩個以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個以太網(wǎng)接口實現(xiàn)兩個服務(wù)器之間的直連，每個服務(wù)器另外的一個接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實現(xiàn)互連，以達到雙機熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。3.4.10IP地址規(guī)劃原則我們在對醫(yī)院網(wǎng)IP地址編址設(shè)計和分配利用時，遵循了以下幾個原則：1） 、自治：整個醫(yī)療網(wǎng)絡(luò)被劃分成幾個大的自治區(qū)域，每個大自治區(qū)域中又被劃分成幾個小的自治區(qū)域。2） 、有序：我們按照自治原則將網(wǎng)絡(luò)進行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進行子網(wǎng)規(guī)劃。我們在編址設(shè)計選擇的順序是自上而下的順序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計（Top-DownNetworkDesign）方法。3） 、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進行技術(shù)升級、改造和擴容。所以，在進行地址分配時我們?yōu)榫W(wǎng)絡(luò)的每個部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。4） 、可聚合：在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時所必須遵守的最高原則，可聚合原則要求在進行地址規(guī)劃時，應(yīng)提供足夠的路由冗余功能。5） 、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對于IPv4地址的使用需要格外節(jié)約°IPv4地址的節(jié)約可以通過動態(tài)編址技術(shù)和NAT技術(shù)等來實現(xiàn)。6） 、閑置IP地址回收利用：對于已分配出去的靜態(tài)IP地址進行定期追蹤管理，對長時間閑置的IP地址可經(jīng)過確認后回收重復(fù)利用。此次方案的設(shè)計，我們決定采用一個內(nèi)部私有C類地址（）對醫(yī)院的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓撲圖采用了典型的層次化設(shè)計，所以對ip地址的編址設(shè)計也應(yīng)采取層次化的設(shè)計來完成，并采用VLSM來拓展有限的IP地址。位置信息點VLAN編號IP地址段默認網(wǎng)關(guān)網(wǎng)絡(luò)管理中心2008/2454/24一樓15010/2454/24二樓20020/2454/24三樓20030/2454/24四樓20040/2454/24五樓20050/2454/24六樓15060/2454/24七樓10070/2454/24八樓10080/2454/24九樓10090/2454/24十樓100100/2454/24十一樓100110/2454/24十二樓100120/2454/24十三樓220130/2454/24十四樓330140/2354/23十五樓320150/2354/23十六樓300160/2354/23十七樓260170/2354/23十八樓100180/2454/24四、網(wǎng)絡(luò)安全及管理機制5.1 完善的安全機制醫(yī)院各樓層交換機通過內(nèi)在的多種安全機制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、ACL、端口ARP報文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足醫(yī)院網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實現(xiàn)ACL，對病毒進行過濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，所以在使用ACL時將不會影響整個交換機的性能。硬件實現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入；通過PrivateVLAN可以在交換機的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進入有效端口，而不會被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護用戶隱私；支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)安全性；提供極為有效的PortBlocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔(dān)，提高端口帶寬，保護用戶PC更高效安全地運行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸SecureShell(SSH)，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；可靈活控制2-7層數(shù)據(jù)報文，使得任何一個用戶PC上的任何一種應(yīng)用報文通過網(wǎng)絡(luò)都能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。GSN全局安全網(wǎng)絡(luò)GSN系統(tǒng)能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機安全信息進行深入分析和全局監(jiān)控。通過這種實時全網(wǎng)偵測，可以在第一時間內(nèi)將網(wǎng)絡(luò)異?，F(xiàn)象通過接入層隔離出網(wǎng)絡(luò)，使得網(wǎng)絡(luò)異?，F(xiàn)象完全不影響核心網(wǎng)絡(luò)；在發(fā)現(xiàn)安全問題后能自動對用戶進行安全事件告警，并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動阻斷異常數(shù)據(jù)流。這一方案目前在包括集美大學(xué)在內(nèi)的各醫(yī)院取得了較好的應(yīng)用效果，例證之一就是：盛極一時并造成巨大影響的熊貓燒香病毒，在這些學(xué)校都悄然無聲。此外，通過部署GSN全局安全，還能輕松的進行主機信息獲?。粚崿F(xiàn)主機完整性（HI）規(guī)則（通過一系列規(guī)則的定義，約定了對用戶主機的準(zhǔn)入標(biāo)準(zhǔn)）；利用先進的“免疫性”ARP防病毒防攻擊技術(shù)，徹底解決ARP木馬等病毒/攻擊帶來的網(wǎng)絡(luò)中斷事故的影響。解決安全威脅在醫(yī)院網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運營的重要組成部分的今天，現(xiàn)代醫(yī)院網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證醫(yī)院網(wǎng)絡(luò)的穩(wěn)定運行。防沖擊波病毒隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護措施已經(jīng)無能為力保衛(wèi)校園網(wǎng)絡(luò)安全。IDS只能根據(jù)預(yù)先定義的策略進行檢測，對新的攻擊方式無能為力，或者當(dāng)IDS偵測到某終端用戶感染病毒后，只能將相關(guān)信息形成報告通知網(wǎng)管人員，等待處理。然而，此時受感染的用戶可能已經(jīng)通過網(wǎng)絡(luò)散播到了校園網(wǎng)絡(luò)的各個角落。來自網(wǎng)絡(luò)內(nèi)部的惡意或誤操作攻擊據(jù)相關(guān)數(shù)字顯示，目前，網(wǎng)絡(luò)遭受的惡意攻擊90%以上是來自于內(nèi)部，諸如竊取他人密碼等重要信息、盜打IP電話、校園一卡通金額被盜等事件時有發(fā)生。對此，如果僅僅倚靠被動的監(jiān)測方式，就給事后追查“嫌疑人”的網(wǎng)管人員制造了難以逾越的瓶頸。VPN（虛擬專用網(wǎng)）虛擬專用網(wǎng)（virtualpr