医院网络工程实施方案.doc

工程实施技术方案文档密级：内部公开某医院网络工程实施方案1. 工程概况随着医院各项业务的不断发展，某医院网络迫切需要实现医疗办公、医疗管理、资源调配、对外交流的信息化建设，为用户提供流畅的挂号、划价、取药、分诊、咨询以及远程医疗等一体化服务，实现医院药品、病房、人力等资源的合理调配和利用，通过建立一个高效、稳定的网络平台为医院的发展提供可靠的支持。目前，某医院网络有住院部北、住院部南、门诊部、综合楼、门诊、行政楼等多所功能不同的建筑物，全部需要接入网络，其主要实现功能：1、为医院的医保系统提供高速稳定的网络平台。2、采用H3C的端点准入系统防止非法用户接入保障网络安全和健壮。2. 技术方案2.1. 地址规划设备命名表设备类型安装场所设备命名路由器中心机房RT_MSR3040核心层交换机中心机房HX_S7506R_1中心机房HX_S7506R_2汇聚层交换机综合楼HJ_ZHL_S7503住院部南HJ_ZYBnan_S7503住院部北HJ_ZYBbei_S7503门诊部HJ_MZB_S7503中心机房HJ_ZXJF_S7503接入层交换机综合楼3FJR_ZHL_S5100P_3F综合楼7FJR_ZHL_S5100P_7F综合楼11FJR_ZHL_S5100P_11F综合楼15FJR_ZHL_S5100P_15F住院部南3FJR_ZYBnan_S5100P_3F1住院部南3FJR_ZYBnan_S5100P_3F2住院部南3FJR_ZYBnan_S5100P_3F3住院部北3FJR_ZYBbei_S5100P_3F1住院部北3FJR_ZYBbei_S5100P_3F2住院部北3FJR_ZYBbei_S5100P_3F3门诊部3FJR_MZB_S5100P_3F1干部病房3FJR_GBBF_S5100P_3F制剂楼JR_ZJL_S5100P24VLAN及IP地址规划规划原则：业务网IP地址为 10.A.B.0 ，掩码 255.255.255.0，网关地址10.A.B.254设备互联地址段采用10.2.0.0，掩码255.255.255.0，并根据实际情况作子网划分，对于点对点链路采用30位掩码。汇聚交换机至接入交换机采用vlan1进行设备互联，掩码为255.255.255.0。三层设备采用loopback地址进行管理，并作为ospf的routerID，地址段使用10.1.X.X，掩码为32位。服务器IP地址刀片服务器地址段：10.0.0.0 掩码：255.255.255.0 网关：10.0.0.254；vrrp主地址10.0.0.253，vrrp备地址10.0.0.252。汇聚交换机IP地址（综合楼）访问需求VLAN IDIP地址段掩码网关内网1010.11.10.0255.255.255.010.11.10.254外网2010.11.20.0255.255.255.010.11.20.254影像3010.11.30.0255.255.255.010.11.30.254内、外4010.11.40.0255.255.255.010.11.40.254内、影5010.11.50.0255.255.255.010.11.50.254外、影6010.11.60.0255.255.255.010.11.60.254内、外、影7010.11.70.0255.255.255.010.11.70.254汇聚交换机IP地址（住院部南）访问需求VLAN IDIP地址段掩码网关内网1010.12.10.0255.255.255.010.12.10.254外网2010.12.20.0255.255.255.010.12.20.254影像3010.12.30.0255.255.255.010.12.30.254内、外4010.12.40.0255.255.255.010.12.40.254内、影5010.12.50.0255.255.255.010.12.50.254外、影6010.12.60.0255.255.255.010.12.60.254内、外、影7010.12.70.0255.255.255.010.12.70.254汇聚交换机IP地址（住院部北）访问需求VLAN IDIP地址段掩码网关内网1010.13.10.0255.255.255.010.13.10.254外网2010.13.20.0255.255.255.010.13.20.254影像3010.13.30.0255.255.255.010.13.30.254内、外4010.13.40.0255.255.255.010.13.40.254内、影5010.13.50.0255.255.255.010.13.50.254外、影6010.13.60.0255.255.255.010.13.60.254内、外、影7010.13.70.0255.255.255.010.13.70.254汇聚交换机IP地址（门诊部）访问需求VLAN IDIP地址段掩码网关内网1010.14.10.0255.255.255.010.14.10.254外网2010.14.20.0255.255.255.010.14.20.254影像3010.14.30.0255.255.255.010.14.30.254内、外4010.14.40.0255.255.255.010.14.40.254内、影5010.14.50.0255.255.255.010.14.50.254外、影6010.14.60.0255.255.255.010.14.60.254内、外、影7010.14.70.0255.255.255.010.14.70.254汇聚交换机IP地址（中心机房）访问需求VLAN IDIP地址段掩码网关内网1010.15.10.0255.255.255.010.15.10.254外网2010.15.20.0255.255.255.010.15.20.254影像3010.15.30.0255.255.255.010.15.30.254内、外4010.15.40.0255.255.255.010.15.40.254内、影5010.15.50.0255.255.255.010.15.50.254外、影6010.15.60.0255.255.255.010.15.60.254内、外、影7010.15.70.0255.255.255.010.15.70.254管理20010.15.200.0255.255.255.010.15.200.254设备互联VLAN地址规划(10.2.X.X)：本端设备名称本端VID本端地址对端设备名称对端VID对端地址HX_S7506R_11010.4/28RT_MSR3040N/A0.3/281020.17/30HX_S7506R_21020.18/301110.21/30HJ_ZHL_S75031110.22/301120.25/30HJ_ZYBnan_S75031120.26/301130.29/30HJ_ZYBbei_S75031130.30/301140.33/30HJ_MZB_S75031140.34/301150.37/30HJ_ZXJF_S75031150.38/30HX_S7506R_21010.5/28RT_MSR3040N/A0.3/281020.18/30HX_S7506R_11020.17/301210.41/30HJ_ZHL_S75031210.42/301220.45/30HJ_ZYBnan_S75031220.46/301230.49/30HJ_ZYBbei_S75031230.50/301240.53/30HJ_MZB_S75031240.54/301250.57/30HJ_ZXJF_S75031250.58/30HJ_ZHL_S750311.1/24JR_ZHL_S5100P_3F11.11/24JR_ZHL_S5100P_7F11.12/24JR_ZHL_S5100P_11F11.13/24JR_ZHL_S5100P_15F11.14/24HJ_ZYBnan_S750312.1/24JR_ZYBnan_S5100P_3F112.11/24JR_ZYBnan_S5100P_3F212.12/24JR_ZYBnan_S5100P_3F312.13/24HJ_ZYBbei_S750313.1/24JR_ZYBbei_S5100P_3F113.11/24JR_ZYBbei_S5100P_3F213.12/24JR_ZYBbei_S5100P_3F313.13/24HJ_MZB_S750314.1/24JR_MZB_S5100P_3F114.11/24HJ_ZXJF_S750315.1/24JR_GBBF_S5100P_3F15.11/24设备loopback地址规划(10.1.X.X)设备名称设备loopback0地址HX_S7506R_110.1.1.1HX_S7506R_210.1.1.2RT_MSR304010.1.1.3HJ_ZHL_S750310.1.2.1HJ_ZYBnan_S750310.1.2.2HJ_ZYBbei_S750310.1.2.3HJ_MZB_S750310.1.2.4HJ_ZXJF_S750310.1.2.52.2. 路由协议所有业务网网关终结在汇聚层交换机，服务器群网关终结在核心层交换机，两台核心交换机采用双链路捆绑互联对服务器提供vrrp双机热备服务。路由协议采用动态路由协议ospf与静态路由汇聚交换机和核心交换机、出口路由器运行OSPF协议，在出口路由器上引入外部静态路由。2.3. 网络管理使用IMC平台对全网的用户及网络设备进行管理。2.4. 网络的安全性使用EAD端点准入系统，对每个接入的客户端进行安全策略检查，细化业务流程，下发不同的安全ACL,对网络设备采用acl+密码保护措施。3. 测试方案本测试对该网络进行完善的测试。测试内容和测试结论记录如下：测试项目测试结论备注通过Console口登录交换机qOK qPOK qNG qNT显示端口信息qOK qPOK qNG qNT显示单板配置信息qOK qPOK qNG qNT为VLAN中添加/删除端口qOK qPOK qNG qNTOSPF在广播网上的运行测试qOK qPOK qNG qNT网络互通性测试qOK qPOK qNG qNT验收结论说明：OK：验收结果全部正确POK：验收结果大部分正确NG：验收结果有较大的错误NT：由于各种原因本次无法验收3.1. 通过Console口登录交换机通过Console口登录交换机的测试组网图如下所示：表1-1 通过Console口登录交换机测试组网图验收目的设置通过Console口登录的认证方式后，验证通过Console口登录交换机是否成功。预置条件如图所示，将PC机连接到交换机的Console口。测试过程1、PC机通过Console口连接到交换机，可以看到结果1。2、PC机通过Console口连接到交换机，设置通过Console口登录交换机的认证方式为password认证，并设置验证密码为“test”：Quidway user-interface console 0Quidway-ui-console0 authentication-mode passwordQuidway-ui-console0 set authentication password simple test3、退出登录：Quidway-ui-console0 quitQuidway quit quit之后连续按键，可以看到结果2。4、PC机通过Console口连接到交换机，设置通过Console口登录交换机的认证方式为scheme认证，添加本地用户“user1”，密码为“test1”，并设置该用户的service-type为telnet：Quidway user-interface console 0Quidway-ui-console0 authentication-mode schemeQuidway-ui-console0 quitQuidway local-user user1Quidway-luser-user1 password simple test1Quidway-luser-user1 service-type telnet level 35、重复步骤3，可以看到结果3。预期结果1、步骤1中，用户可以立即登录，不需要输入用户名或密码的过程；2、步骤3中，用户需输入正确密码才可登录，但无需输入用户名；3、步骤5中，用户需输入正确用户名和密码才可登录。测试说明缺省情况下，Console口登录用户不需要进行验证。测试结论qOK qPOK qNG qNT3.2. 显示端口信息验收目的验证是否能够正确显示以太网端口的相关信息预置条件按照测试组网连接设备测试过程在超级终端上，输入下面的命令：Quidway display interface gigabitethernet1/1/1。预期结果从超级终端上可以看到以太网端口信息中包括：以太网端口当前开启或关闭状态、以太网帧格式、端口硬件地址、最大传输单元、介质类型、端口环回测试状态、端口硬件类型、端口双工和速率、流控状态、端口允许通过的最大以太网帧长度、端口缺省VLAN ID、网线类型、端口链路类型、标识在该端口有哪些VLAN的报文需要打Tag标记、所属于的VLAN、端口报文统计信息等。测试说明显示的内容根据具体的端口设置情况而不同。测试结论qOK qPOK qNG qNT3.3. 显示单板配置信息验收目的验证是否能正确显示单板配置信息预置条件如图所示，将PC机连接到交换机的Console口。测试过程在配置终端输入显示单板配置信息的命令：Quidway display device slot 1预期结果1、显示的单板配置信息中应该包括：单板槽位号、子槽位号、端口数目、硬件版本号、FPGA版本号、Bootrom版本号、应用程序版本号、地址学习模式、单板类型以及单板描述等。测试说明根据加载的软硬件不同，显示的内容不同测试结论qOK qPOK qNG qNT3.4. 为VLAN中添加/删除端口验收目的验证为VLAN中添加/删除端口是否成功预置条件如图所示，设置SWA和SWB互连的端口为Trunk端口。测试过程1、在交换机SWA上创建VLAN10，并将端口1加入VLAN10：SWAvlan 10SWA-vlan10 port ethernet1/1/12、查看VLAN10的配置情况，可得预期结果1。SWA display vlan 103、将端口1从VLAN10中删除：SWA-vlan10 undo port etherent1/1/14、查看VLAN10的配置情况，可得预期结果2。SWA display vlan 10预期结果1、VLAN10包含端口Port1。2、VLAN10不包含端口Port1。测试说明无测试结论qOK qPOK qNG qNT3.5. OSPF在广播网上的运行测试验收目的OSPF在广播网上的运行预置条件按照测试组网连接设备测试过程1、在各个网段运行ospf协议，所有的接口配置为一个区域。SWAospfSWA-ospfarea 1SWA-ospf-area-0.0.0.1network 202.38.168.0 0.0.0.255SWA-ospf-area-0.0.0.1network 10.0.0.0 0.255.255.255SWB-ospfarea 1SWB-ospf-area-0.0.0.1network 10.0.0.0 0.255.255.255SWB-ospf-area-0.0.0.1network 20.0.0.0