柳钢人民医院整体网络改造建议书.doc

柳钢人民医院整体网络改造建议书福建星网锐捷网络有限公司2011年5月目录第一章柳钢人民医院信息化现状31.1 柳钢人民医院网络结构现状31.2 柳钢人民医院业务现状分析31.3 柳钢人民医院网络分析41.4 柳钢人民医院新住院楼联网需求4第二章柳钢人民医院网络规划建议52.1 柳钢人民医院网络改造拓扑52.2 柳钢人民医院内网规划建议52.2.1 网络骨干结构优化62.2.2 网络核心设计62.2.3 核心虚拟化规划72.2.4 网络汇聚层设计102.2.5 接入层设计102.2.6 网络安全设计112.2.7 网络管理改造12第三章新住院楼无线网络构建133.1 无线查房网络建设要点133.1.1 无缝漫游133.1.2 无线信号干扰问题133.1.3无线安全问题133.2 住院楼无线架构设计143.2.1 设计原则143.2.2设备选型143.3 无线查房网络方案效果153.3.1 无缝漫游153.3.2 无线信号干扰问题153.3.3安全的无线网络16第四章网络业务规划方案174.1 IP地址规划174.1.1 IP地址的分类174.1.2 IP地址规划目标174.1.3 IP地址规划原则184.1.4 IP地址规划184.2 VLAN规划194.3路由规划19第五章整网方案效果说明205.1 高稳定的网络架构设计205.2 高性能、高稳定的核心设计205.3 独立的服务器区域设计215.4 全面的系统安全设计215.5 轻松便捷的用户和网络管理21第一章 柳钢人民医院信息化现状1.1 柳钢人民医院网络结构现状柳钢人民医院网络于几年前建设完毕并陆续进行了改造。目前内网网络基本结构为二层星型结构，核心采用三层，接入层采用普通二层接入交换机。目前的网络结构如下图：1.2 柳钢人民医院业务现状分析目前柳钢人民医院运行于网络上的业务主要有：电子病历系统、门诊管理系统、医保系统、自费系统等相关的应用系统。从拓扑图的的客户端和服务器端部署的情况看，分析业务数据流向，可以看出从门诊、工作站等位置的客户端访问到中心机房的服务器，需要经过二层交换机、核心三层交换机，最后才到服务器。另外，目前HIS系统为单机运行。LIS系统为集群方式。PACS系统为连入网络。1.3 柳钢人民医院网络分析根据目前的网络结构进行分析，现有网络存在以下一些隐患：1、核心骨干架构：目前采用单核心架构，核心交换机一旦出现问题，将影响整个网络运行。2、二层汇聚交换机：交换机本身是个单点故障；另外，二层交换机作为汇聚设备，无法配置网关，无法隔离内网中各个不同的部门，一旦出现病毒，广播风暴将影响整个网络。3、单链路问题：目前从所有的楼栋到中心机房，内网均采用单链路方式，一旦链路出现故障，也会影响整个楼栋的互联。4、服务器区域扩展：目前服务器直接连接在核心交换机上，交换机一旦出现故障，将导致服务器不可用。建议规划服务器区域。1.4 柳钢人民医院新住院楼联网需求新住院楼已经快要完工，需要考虑新住院楼的网络覆盖。满足新大楼连接内网，并实现新住院大楼的无线覆盖，以满足后续无线查房业务的开展。另外，新住院大楼也需要考虑接入外网。第二章 柳钢人民医院网络规划建议2.1 柳钢人民医院网络改造拓扑2.2 柳钢人民医院内网规划建议此次网络改造目标是对柳钢人民医院进行全网规划设计，主要包括：骨干网（包含核心和汇聚以及两者之间的链路）、服务器区域、新住院楼、网络管理系统等。最大程度地设计高的网络的运行效率、稳定性和易管理性，为数字化医院建设奠定坚实的基础。整个结构规划成三层架构，核心-汇聚-接入。核心和汇聚之间构成全院网络的骨干，并采用双核心双链路设计。在这种架构下，整个骨干中的任何一台核心设备、任何一条链路出现故障，都可以确保整个网络的稳定。全网核心层需要增加两台万兆交换机，用于实现全院内网的高性能转发，并采用互为备份，确保内网的稳定，避免核心单点故障对医院业务造成影响。增加2个汇聚点：新住院楼汇聚点、放射科汇聚点。新住院楼采用双汇聚设计方式，确保新住院楼的网络稳定。汇聚和核心交换机之间采用千兆互联，接入采用全千兆交换机，通过汇聚与核心互联。通过防火墙保证整个网络安全。采用交换机技术手段划分各个子网（由应标公司设计网络详细方案，含ip地址规划等），用于内部数据交互、办公自动化等系统应用、外接Internet等不同业务需要。2.2.1 网络骨干结构优化根据现有的结构和设备，在充分考虑保护原有投资的情况下，采用模块化结构设计，实现园区网典型的树形结构。整个结构规划成三层架构，核心-汇聚-接入。核心和汇聚之间沟通全院网络的骨干，并采用双核心双链路设计。在这种架构下，整个骨干中的任何一台核心设备、任何一条链路出现故障，都可以确保整个网络的稳定。这样的结构才能消除稳定性隐患，确保医院所有应用系统稳定运行。设备可以充分利用原有的设备，保留原有的旧住院楼、办公楼、一号门诊、二号门诊、检验科、妇产科、药剂可、精神病科等楼栋的交换机，只需增加两台核心交换机，并把原有的单链路扩展为双链路即可，另外购置新住院楼交换机和无线设备、增加服务器区域设备，实现服务器的分区隔离。这样的规划，实现了核心-汇聚-接入、双核心双链路、模块化分区。全网的整体网络转发性能最高、全网的可扩展性最高。同时，考虑到新住院大楼、服务器区域、放射科等数据量大、接入数量众多，因此规划这些汇聚区域和核心之间采用千兆互联、支持万兆扩展。2.2.2 网络核心设计由于网络中心核心设备的稳定和安全性能是整个网络最重要的保障，因此骨干网建议采用双核心双链路设计，满足整网核心724小时不间断工作；要求核心交换机具有优良的性能和高可靠性，必须采用超大交换容量的交换背板，以保证任何情况下网络的每个端口均可具备全线速多层交换能力，能够保证传输带宽和数据传输优化等关键应用，从而为整个网络提供了稳定和快速的基础。要求每台核心都能提供24个下行千兆单模光口，满足楼栋汇聚交换机进行接入，同时提供12个的10/100/1000M电口，满足出口和的核心互连需要。为保障核心的稳定和高性能，采用的核心交换机需要具有以下功能：1. 采用先进的结构体系设计。建议核心支持先进的CROSSBAR设计架构、提供三层数据的高速转发；2. 支持完善的双核心技术，支持虚拟化技术；3. 核心作为全网最重要的设备，要求具备稳定性设计，如三平面分离的设计方式，和CPP保护功能等；4. 提供业界较高的转发性能，具有较高的背板带宽和包转发率，为保障端口的线速转发，单板要具有较高的背板带宽；5. 要求核心能提供足够的千兆光口、千兆电口，同时支持万兆端口的扩展，核心交换机线卡带宽可以支持高密度万兆接口线速转发；6. 为保障核心的稳定，要求核心设备能提供丰富的安全功能，核心交换机系统本身需要具备丰富的安全特性。如：支持多种ACL（标准ACL、扩展ACL、MAC扩展ACL、专家扩展ACL、基于时间ACL）；硬件防DOS攻击 (可防止Smurf、Synflood、非法TCP报文、LAND攻击)、防IP扫描 (PingSweep)、硬件防源IP地址欺骗 (Source IP Spoofing)、硬件支持防扫描、防DoS/DDoS攻击、防SYNFLOOD攻击、防Smurf攻击、防源IP地址欺骗等常见网络攻击行为；7. 为了实现方便快捷的管理，要求核心交换机提供丰富的管理功能。如：支持CLI(需兼容业界主流标准)、SNMP v1/v2/v3、Telnet、Console、RMON、Web管理、SSH、支持SNTP、支持Syslog等；2.2.3 核心虚拟化规划注：核心虚拟化的设计作为一个后续扩展规划，等网络业务发展到一定阶段，对稳定性的需求更为迫切时，可以扩展使用。传统的网络中，为了加强网络的可靠性，一般在核心层或汇聚层将两台网络设备配置成冗余备份的双核心，同时在邻居设备分别连接两条链路到备份的双核心。下图显示的就是这样的一种典型的传统网络架构。冗余的网络架构增加了网络设计和操作的复杂性，同时大量的备份链路也降低了网络资源的利用率，减少了投资回报率。考虑到机房电源环境容灾的问题，建议双核心可以放置在不同电源的两栋楼宇或同一楼宇的两个房间，采用独立的电源，避免机房环境出现问题的时候，双核心同时宕机。实现核心高度冗余。为了解决传统网络的这些问题，锐捷网络提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU，全称是Virtual Switch Unit，即虚拟交换单元。把传统网络中两台核心层交换机用VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。全冗余骨干网络架构，骨干网全面采用虚拟化技术实现多台核心设备的虚拟化管理，两台核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征。虚拟化后，VSU虚拟化的两台交换机，管理维护，正常应用起来相当于一台交换机。两台设备使用VSU以后，统一的管理界面、一致的转发表项、跨设备链路捆绑。即使一台机器整机down，业务不间断转发，简化管理和简化拓扑。使用VSU后，两台核心设备逻辑上变成1台。此时汇聚到核心双链路上联，等同于双链路连接到1台核心上，实现跨设备链路聚合。当上联1条链路中断时，也只是聚合链路的一条成员链路出现故障，切换到另一条成员链路的时间是50到200毫秒。即使其中一台核心down机，也不会影响到整网震荡。因为VSU单元（有两台核心）无任何感受。两台交换机组成VSU以后，管理员可以对两台交换机统一管理，而不需要连接到两台交换机分别进行配置和管理。和传统网络相比，VSU的优势有：1. 简化管理。两台交换机组成VSU以后，管理员可以对两台交换机统一管理，而不需要连接到两台交换机分别进行配置和管理。2. 简化网络拓扑。VSU在网络中相当于一台交换机，通过聚合链路和外围设备连接，不存在二层环路，没必要配置MSTP协议，各种控制协议是作为一台交换机运行的，例如单播路由协议，VSU作为一台交换机，减少了设备间大量协议报文的交互，缩短了路由收敛时间。3. 故障恢复时间缩短到毫秒级。VSU和外围设备通过聚合链路连接，如果其中一条成员链路出现故障，切换到另一条成员链路的时间是50到200毫秒。4. VSU和外围设备通过聚合链路连接，既提供了冗余链路，又可以实现负载均衡，充分利用所有带宽。2.2.4 网络汇聚层设计汇聚层是连接核心和接入之间的重要设备，必须提供丰富的接口和高转发性能。网络采用双核心双链路全千兆骨干设计，核心和汇聚之间采用千兆光纤互连，接入和汇聚之间采用1000M互连。建议在住院楼汇聚节点配置一台高性能三层汇聚交换机，该汇聚交换机建议采用千兆光口和双核心互连，同时提供1000M电口或千兆光口和接入交换机互连。由于网络中服务器较多，而且数据流量大，因此要求服务器采用全千兆交换机，汇聚到双核心。建议在数据中心部署全千兆交换机。新住院楼汇聚交换机和服务器区域汇聚交换机可以采用相同型号的设备，方便管理。该汇聚交换机建议具有以下特点：1. 具备千兆光口，满足和核心交换机之间的互连；建议该交换机具备万兆扩展能力；2. 考虑到各个不同楼栋情况不同，千兆电口和千兆光口的数量也不一致，建议汇聚交换机提供足够数量的光口和足够数量的电口，可以复合使用，满足不同环境的灵活配置。根据需求，每台汇聚交换机提供千兆以太口（RJ45物理接口）至少15个，SFP千兆以太网光接口数量至少5个； 3. 为了保障网络的稳定，对网络中的广播报文进行处理，要求汇聚设备支持广播风暴控制，保障网络的稳定和安全，并提供简单配置方式，可基于端口速率百分比、端口速率等多种方式进行阀值的设置，方便管理员使用；4. 为了提供安全的访问控制，要求汇聚交换机支持远程访问的源IP授权控制；5. 为了保障网络的安全，控制非法用户接入网络，保证合法用户合理化使用网络，要求汇聚设备支持多种安全功能，如：端口安全、专家级ACL、时间ACL、基于应用数据流的带宽限速、多元素绑定等等，满足加强对访问者进行控制、阻止非授权用户通信的需求；6. 为了实现方便快捷的管理，要求汇聚交换机提供丰富的管理功能。如：支持CLI(需兼容业界主流标准)、SNMP v1/v2/v3、Telnet、Console、RMON、Web管理、SSH、支持SNTP、支持Syslog等；2.2.5 接入层设计网络接入层计算机数量大，访问流量相对比较大，所以建议接入层到汇聚层采用1000M互连。另外，接入层是部署网络安全的重要区域，如果接入设备不具备丰富的安全功能，就无法对常见的病毒和攻击从最低层进行防范，所以建议采用安全接入交换。同时网络管理也是比较重要的，如果没有该功能，那么网络管理的难度将加大，故障排查不方便，所以建议采用可网管交换机。本方案接入交换机采用锐捷RG-S2900G-E系列交换机作为接入交换机。RG-S2900系列交换机是锐捷网络推出的全千兆安全智能二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。凭借高性能、高安全、多业务、易用性的特点，融入IPv6的特性，使得RG-S2900系列可广泛应用于各行业的千兆网络。在提供高性能、高带宽的同时，S2900交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。RG-S2900系列交换机以极高的性价比为各类型网络提供高性能、完善的端到端的QoS服务质量、灵活丰富的安全策略管理，最大化满足企业网高速、高效、安全、智能的新需求。2.2.6 网络安全设计现有的网络存在安全隐患，没有比较合适的安全策略部署。因此，针对目前的网络结构和设备，需要规划全网的网络安全相关部署，为网络的安全和管理提供一个解决办法。从网络安全的角度考虑，有以下几个原则和方向：1、 全面的防ARP和接入安全。内网的ARP问题是网络安全中比较突出的问题，需要在接入层交换机部署防ARP功能，实现边缘接入控制，避免ARP对网络造成影响。其次，网络中存在的广播风暴、冲击波、震荡波等病毒都会对网络造成影响。要把这种影响降到最低，需要在接入层部署相关的策略，如ACL控制、广播风暴抑制等功能，才能彻底净化网络。2、 确保网络用户身份的合法性。网络需要安全，就必须首先确保使用网络的用户是合法的用户。因此，需要对接入网络的用户提供相应的入网认证。并和用户对应的主机进行绑定，这样才可以确保不会有非法的用户对网络安全造成影响，窃取信息或维护网络的稳定。比如，此次网络改造，可以采用用户认证，确保合法的医护人员使用电脑。3、 确保用户主机和终端的安全性。目前的网络安全事件，很多是由于主机系统漏洞引起的，因此，需要确保接入网络的主机是安全的，才能从根本上解决安全问题。这种主机安全保障可以从几个方面实现：主机安装的软件、主机运行的程序、主机的相关进程、主机的系统补丁和病毒库等。只要确保了这些方面的安全，就可以最大程度的确保网络的安全和稳定。2.2.7 网络管理改造整个网络规模比较大，单交换机就有将近50台，网络管理的工作量将大大增加，所以建议在网络中部署一套网络管理软件负责整个网络的拓扑发现和设备的管理，并做到实时的网络流量监控及预警功能，通过这套软件可以让网管人员足不出户就可以管理到网络中的每一台设备和每一个端口，可以管理到每个端口下面的所有用户，大大提高网管人员的管理效率和整个网络的安全性。第三章 新住院楼无线网络构建3.1 无线查房网络建设要点3.1.1 无缝漫游无缝漫游是无线网络移动性的最佳体现。传统的无线接入点（胖AP）仅仅能够实现基于二层的漫游，一旦无线用户跨越网段，就会由于重新获取IP地址、重认证、重新验证加密等过程，而导致漫游的失败和通信的中断。这对于需要在病区内各病房之间走动查房的医护用户而言，是很难接受的。因此，无线查房网络系统的建设，最基本的要求就是实现跨三层的无缝漫游。使得医护人员在移动查房的过程中，业务系统不会中断。3.1.2 无线信号干扰问题近年来，在提高医疗质量，保障医疗安全的基础上向患者提供更加人性化的医疗服务成为医院最主要的工作目标之一。这促使国内外医院纷纷通过建设无线局域网来提高效率、准确性，防止和减少医疗事故，同时提供高质量的人性化服务。由于医疗设备在现代医疗中发挥着举足轻重的作用，而电子医疗设备存在着受到电磁干扰 (EMI) 的技术风险。此次柳钢人民医院的无线查房系统建设，也需要考虑该问题。3.1.3无线安全问题无线的连接是在空中的信道中进行的，如果AP没有安全保障能力，无线信号会被散在空中，无线黑客只要能捕获到这台AP散发出来的信号，就有可能通过连接AP入侵有线网络。因此，无线网络的安全需要重点关注。无线网络安全大致分为4种类型：非法的用户、非法的主机、非法的无线网络、非法的射频。（1）非法的用户：无线攻击者通过伪装成合法无线用户的特征，比如SSID、WEP加密破解等，获得对AP的连接，继而获得了入侵无线网络的机会。针对无线查房系统而言，主要的用户是医护人员，因此需要提供入网用户的安全验证。（2）非法的主机：无线查房系统的主要用户是医护人员及其使用的无线终端。如果病区存在非法的笔记本电脑，并获得进入无线网络的机会，而这台笔记本电脑上如果携带病毒或攻击程序，就可能会对无线网络带来致命的安全攻击，导致医患信息被窃取或网络中断，造成不可弥补的后果。因此，需要对入网的主机进行基于MAC地址的过滤，只有正确的无线终端才允许访问网络。（3）非法的网络：医院旁边的其他建筑物内有SOHO级AP、医院内部也有运营商部署的其他无线网络，由于这些AP会发出信号，有可能吸引附近的无线查房终端去连接它，而不是去连接合法的无线AP，这样就会极大的干扰查房终端提供服务。因此，无线查房网络系统需要能对非法AP进行剔除。（4）非法的射频：这一点是和第3点类似的状态。非法的AP占用合法的无线信道，而导致合法的无线AP没有合适的信道可用，或者信道干扰，导致合法AP的工作不稳定。因此，需要对全网合法射频信号进行管理和安全控制。3.2 住院楼无线架构设计3.2.1 设计原则结合柳钢人民医院的网络和应用需求以及锐捷网络解决方案的特点，智能无线网络的设计原则可以分为以下几大点：1)采用智能瘦AP无线交换架构组建无线网络子系统；2)采用IEEE802.11n标准的无线网络设备，实现高性能的无线业务应用；3)每个楼层部署无线接入点，保证无线网络覆盖到每个病房、医生办和护士办；4)核心位置采用2台无线控制器，即医院内网和internet外网各一套，接入层采用POE供电器连接无线AP来进行整体瘦AP架构；5)无线系统可以根据用户需要（如VIP病房）连接到internet外网，但数据信息等不能与内网互通；6)无线AP的信号覆盖，采用室内分布系统完成。3.2.2设备选型由于此次无线网络建设，范围涉及柳钢人民医院整个新住院大楼，基于无线网络运行体征监护系统、医生移动查房系统等临床业务。这样就要求无线网络设备选型时必须充分考虑高稳定、高安全、高性能的数据传输。室内无线智能接入点：选择智能型无线接入设备AP-220，采用的是5.8GHz和2.4GHz的双路N射频架构，可同时支持802.11a/n和802.11b/g/n，并且能够在每个频段上提供300Mbps的传输速率。实验室测试中，AP-220（5.8GHz下）最大能够提供“上行211Mbps，下行213Mbps”的真实传输速率，为业界同类产品的最高水平。同时支持IEEE802.11af标准的POE供电方式，方便灵活部署，降低部署成本。智能无线局域网交换机：采用1台锐捷网络智能无线局域网交换机RG-WS5302，锐捷网络 RG-WS5302无线交换机最多可以支持64个AP接入和管理，完全满足都安县人民医院无线覆盖的需求，并留有一定的扩展余量。无线交换机和AP的连接可以穿透三层，因此，方案的实现完全不影响原有网络的结构，并且可以实现全网的漫游。3.3 无线查房网络方案效果3.3.1 无缝漫游本方案可以实现无缝漫游，为无线查房提供无缝移动接入，在移动中享受与有线网络同样的持续连接性。在固定资产、重要医疗器械、特殊患者的无线定位应用中，无缝漫游技术可以保证被定位对象的实时在线。3.3.2 无线信号干扰问题2005年9 月28 日至2005 年12 月28 日，受中华人民共和国卫生部医院管理研究所和中华医院管理学会信息管理专业委员会的委托，“无线局域网对医疗设备潜在干扰测试研究课题组”对中日友好医院常用的对电磁干扰相对敏感的25 种医疗设备进行了无线局域网电磁波对医疗设备潜在干扰的测试研究。测试结果表明：在医院正确部署无线局域网未发现对医疗设备产生不良干扰。该项目已于2006 年4 月6 日通过了卫生部医政司委托医院管理研究所组织的专家论证会。目前大部分医院使用的无线查房系统采用的频率都是国际标准的2.4G和5.8G两个频段，并未发现对医院已有的医疗设备产生干扰。3.3.3安全的无线网络针对无线查房系统的安全问题。我司提供了完善的无线安全解决方案：1、基于MAC地址认证的入网检测：保证只有被授权的医护人员才能接入无线网络。并为不同的医护人员分配不同的访问权限。2、针对用户vlan的隔离：通过VLAN技术实现不同业务部门的 用户隔离，保证不同业务之间的安全性；3、无线接入点与无线控制器之间的加密隧道技术保障数据在无线传输过程中的机密性。4、通过射频技术和定位技术可以剔除非法的无线接入点，防止无线用户接入仿冒的AP。5、方案提供了认证系统，可以为无线网络用户的入网提供安全认证，同时可以和后续有线网络的入网认证进行无缝兼容，采用统一的认证。第四章 网络业务规划方案4.1 IP地址规划IP地址的合理规划是网络设计中的重要一环，尤其对于柳钢医院网络系统这样大型网络，必须对IP地址进行统一规划和实施。网络系统IP地址规划的优劣，直接影响到网络路由的效率、网络的性能、网络的扩展和网络的管理，也必将直接影响到网络应用的进一步发展。4.1.1 IP地址的分类IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。IP地址主要网络地址和主机地址两部份组成：网络地址 主机地址 32 Bits IP地址主要分为A、B、C、D、E五类，其中常用的是A、B、C三类，相应的掩码分别为8、16、24位。另外，为了灵活地在不同规模的子网中分配不同数量的IP地址，需要采用VLSM技术，它可根据需要在任意位划分子网边界，对一个主网络号，可分出最小只有2个主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是在广域网或路由交换机互连的应用中，只需2个主机号地址，VLSM非常有用，大大节约了地址空间，又保证了网络设计的灵活性。4.1.2 IP地址规划目标柳钢医院校园网IP地址规划的目标是通过对全网IP地址进行统一的规划和编码，有效实现网络互联，提高信息交换效率，为网络的顺利运行和业务扩展奠定基础。柳钢医院的IP地址规划是基于网络拓扑结构和网络所承载的业务类别而进行的。柳钢医院内部网络的地址分配包括各类主机所用的地址、分配网络设备的地址和分配给网络用户使用的地址。可以使用一块独立的地址空间按需要进行分配。4.1.3 IP地址规划原则IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表路由数量，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，降低网络动荡程度，隔离网络故障，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的表项；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性；灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。4.1.4 IP地址规划在该方案中，为了节省网络地址空间，同时考虑网络地址的统一管理和将来扩展的需要，柳钢医院内部网络地址规划的总体设计思路是： 尽量保留原有的地址和VLAN规划，在原有规划基础上，增加网段和VLAN号，实现新住院楼的接入。若原有规划比较复杂，可以根据医院目前的业务部门划分，进行新的地址规划。 采用私有地址空间，为每个VLAN划分一个C类地址段，网关地址为该网地址空间的第一个可用地址。 为了减少路由表的大小和路由振荡，在分配地址时尽量采用连续的IP地址，每台汇聚层交换机上做路由聚合。 对于用户VLAN接口IP，子网掩码统一采用255.255.255.0。 对于核心层交换机与汇聚层交换机之间的三层或VLAN接口，IP地址统一采用一个C类地址，子网掩码统一采用255.255.255.252。 对于交换机管理IP，所有设备统一采用一个C类IP地址段。具体规划如下：楼栋信息点数量IP地址段备注原有网络为避免业务受到影响，尽量保留原有规划新住院楼内网192.168.100.0/24192.168.101.0/24新住院楼外网192.168.200.0/244.2 VLAN规划出于管理及安全的考虑， VLAN的规划需要根据用户类型进行划分。VLAN划分总体采用以下原则：核心层和汇聚层的交换机都是采用三层交换机，由于VLAN属于局域网特性，在跨越三层IP设备（路由器或交换机）时，VLAN将被终结，理论上这两个区域的VLAN规划可以完全独立，但是出于管理便利，在整个局域网中所有VLAN ID统一分配。VLAN的划分需参考IP地址的规划，在局域网内部，将VLAN与IP子网对应，在同一功能区域，IP子网连续的地方，VLAN ID以同样规律保存连续，方便记忆和管理。不同VLAN之间是链路层隔离了，所有链路广播报文都是在一个VLAN内部广播的，不会扩散到VLAN之外。VLAN之间的互访必须在IP层进行，可以通过访问控制列表ACL（Access control list）进行控制。在IP设备上，将VLAN终结，每个VLAN对应一个IP子网，该VLAN对其它IP子网的访问控制可以在VLAN所对应的IP逻辑接口上通过ACL配置实现。4.3路由规划考虑到网络规模比较大，可以考虑采用OSPF路由进行规划。每个网段划分在一个VLAN当中，网关配置在汇聚交换机上，通过OSPF路由实现内网的互联。第五章 整网方案效果说明5.1 高稳定的网络架构设计网络系统结构设计采用先进的概念、技术和方法，注意结构、设备、工具的相对先进成熟，整个系统的生命周期有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要。该网络结构设计，特别是核心设备的选择，支持了先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位。采用千兆以太网技术构建网络主干线路。 在核心架构设计采用双核心热备份设计，可以保障网络核心724小时不间断工作。单台核心设备的故障不会导致整个网络的瘫痪。整个网络骨干采用千兆带宽，接入采用100M接入，核心支持到万兆的扩展。核心设备、汇聚设备、出口设备的选型都考虑了整个网络目前的需求和以后的扩展，在接口带宽、设备性能等方面都作了详细的规划。网络结构层次明晰，布局合理，可以确保整个网络的稳定运行。采用核心虚拟化，既简化了核心的管理，又提供了骨干稳定性的保障。全网三校区核心骨干网采用以太环网，提供了超稳定的骨干网络架构。5.2 高性能、高稳定的核心设计一个网络稳定与否，与其所用的设备的稳定与否有直接关系。如果一个设备都不够稳定，那么网络也就无稳定可言。所以一个网络稳定与否是与设备的稳定性有直接的关系。本方案网络核心采用锐捷网络新一代多业务十万兆核心路由交换机RG-S8600，提供双电源的方式，同时核心模块支持热拔插，以确保核心大稳定。核心设备采用的提供高性能的二/三层包转发速率，可为用户提供高速无阻塞的数据交换。RG-S8600是锐捷网络推出的面向十万兆