网络方案书.doc

网络系统设计第一章 网络设计目标21.1 综 述21.2 设计原则31.2 组网需求分析3第二章 网络系统总体结构42.1 网络架构42.1 设备选型.2.3 VLAN的使用82.4 网络拓扑图8第三章 网络安全和管理113.1认证系统113.2网络管理163.3网络监控173.4网络资料分析17第四章 华为网络方案成功案例234.1 华为公司的网络优势234.2 方 案 设 计26第五章 工程验收、售后服务与培训30网络设计目标1.1 综述 根据世界计算机技术发展的最新趋势，结合医院网络建设的具体工程实际，可以确立网络建设的工程总目标：建立一个覆盖整个医院、网络带宽可伸缩的专用信息网，网络上传输的医院信息系统，利用高性能的网络传输性能，实现信息在内部自由流动；也就是说，从与网络连接的任意一台计算机，只要权限允许，就可以实时访问网上所有的信息。并可实现信息与外界信息的权限范围内的交流。 随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，当今社会信息化进程迅猛发展，网络技术已经对社会，经济和文化各方面产生重大影响，并将改变人们认识世界，思考世界的观点和方法。 作为传统行业之一的医疗卫生行业，如何面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量，是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进医疗行业的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益和社会效益双丰收，全国各省都在逐步加快医院的信息化建设步伐。 为了配合国家医疗卫生行业信息化建设，华为公司在全国范围内启动医疗卫生行业网络解决方案的推广活动，在此活动中我们得到了广大系统集成商的大力支持以及医疗卫生行业专家们的关注，希望通过此次活动带动国内医疗卫生行业信息化建设，并且拓展医疗卫生行业的系统集成市场。 传统医疗卫生行业正利用其行业特点，汲取网络技术精华，努力创造着医疗卫生行业的又一个春天。未来是美好的，但现实不可回避。 在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。华为公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了医疗行业对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合医疗行业网络解决方案。1.2 设计原则结合医院网络的要求,我们在设计医院网络系统时，主要应遵循以下原则：1. 高性能：网络要求具有数据、图像、语音等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。采用最新科技，以适应大量数据传输以及多媒体信息的传输。整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。2. 高可靠性：网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络应有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。3. 标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。4. 可扩展性：所有网络设备不但满足当前需要，并在扩充模块后满足可预见的未来需求。网络设计不仅要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。还要留有扩充余量，包括端口数量和带宽的升级能力。5. 可维护性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。6. 全业务和高QoS：支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证，多媒体应用对服务质量有很高的要求，如带宽，延迟，延迟的变化等，需要网络对服务质量(QoS)有很好的支持。7. 安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于医疗网络安全标准和管理条例。8. 实用性：系统建设首先要从系统的实用性角度出发，未来交通信息化的信息传输都将依赖于计算机网络系统，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。根据医疗中心网络系统设计思想及应用需求，鉴于医疗信息网的安全性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，专网的构建实施如下分配：互联支撑层是专网的基础，由网络中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QOS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VLAN)，保证互访的安全控制；总之，在网络设备的选择上，即要考虑技术性能、投资份额、产品特色，又要权衡售后服务的保障。网络需要完整、最新而成熟的技术和产品，其各项技术应保证具有开放性、可移植性、前后的兼容性和可扩展性。1.3 组网需求分析建立信息系统的目的是要解决现行系统的问题。在信息系统的开发中，首先要明确目标及要解决的问题，在流程设置及各个功能的设计上紧紧围绕目标来进行。我们从下述几个方面来分析医院信息系统的目标和需求： 1、医院管理者的需求 医院的各级管理者关心的是，系统运行后从宏观上能看到什么样的效益，而对某个具体应用具备什么样的功能并不重视。这些效益并不一定指直接的经济效益，而是指信息网络能解决一些手工管理不能或难以解决的问题，能为管理者及时了解医院运行情况、进行科学决策提供准确的信息。医院管理以医疗管理和经济管理为主。 作为一个完善的医院信息系统，一方面要能建立起一套能反映医院医疗和经济运行状况的指标体系，并使之常规化；另一方面，系统的运行要直接为改善医院的管理服务。 2、系统直接使用者的需求 系统的直接用户关心的是系统提供的功能对他们的业务是否有直接的帮助、系统是否好用，包括操作简便、简单易学、响应快等。在系统的具体设计实现上，要求系统不只是简单地提供增、删、改、查功能，而是面向具体应用、针对每种业务的特点尽心设计。 3、系统维护人员的需求 系统维护工作包括数据备份、恢复及错误数据的更正等。信息系统一旦投入运行，其维护支持就成为系统能否持续正常运行的关键。作为一个联机事务处理系统，医院信息系统要求一天运行24小时、每周7天不间断地运行。像门诊收费、挂号系统，假如中断，其后果不堪设想，而且绝对不允许数据丢失。在系统的日常运行中，经常有纠正错误数据、更新数据等工作，需要维护人员的干预。如果系统的可维护性不好，必然导致维护人员忙于日常应付，包袱越背越重。 为解决这类问题，我们认为，应把系统的可维护性作为一项基本要求纳入到产品的开发过程中。一方面，对于常见的数据错误，应提供检查纠正手段。 上述需求是从用户的角度对最终运行系统的要求。从系统的开发建设来说，用户对网络、服务器、操作系统平台、系统的稳定可靠性等方面也都有具体的需求。 4、对网络及运行平台的要求 应用软件的结构和功能反映了目标系统的业务功能。要真正使系统运行稳定可靠，达到用户对整个系统的期望，建立一套符合医院特点及软件需求、能提供所需带宽及性能、稳定、具有一定容错能力的网络系统十分重要。网络布线结构及所使用的介质也应符合实际情况并能满足一定时期内发展的需求。另外，网络操作系统、网络协议、数据库系统等应满足应用软件的要求。网络总体架构2.1 网络架构本方案采用交换以太网技术。医院计算机信息管理系统的网络系统分为三个层次结构： 第一层是网络主干层，采用6502交换机。主要负责传输全医院范围内的数据。 第二层是局域网汇聚层，由分布在的各部门子网组成，分别进行各部门内部以及业务各个子系统本身的业务信息传输，作为局域网用户访问主干上资源的桥梁；网络设备采用3952交换机，各子网以星型方式连接到主干层。 第三层是共享式的局域网，由各部门内的各个子网段组成，网络设备采用华为2403TP-MI接入层交换机 ，构成以太网段，并接至局域网交换机。2.2 设备选型 Quidway S6502高端路由交换机是华为公司面向I P城域网、大型企业网及园区网推出的高性能路由交换产品，提供二/三层线速转发性能，可做为城域网汇聚层交换机和企业网的核心交换机。S6502采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能ASIC和CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QoS、组播等业务的全分布式处理。支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以通过STP/RSTP/MSTP/VRRP等协议实现链路冗余，同时S6502交换机支持RRPP快速环网保护技术和SmartLink链路保护技术，可以提供毫秒级的链路故障恢复能力，使得以S6502为核心的骨干网络可靠性大大提高。S6502遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭支持安全的SSH登陆、基于用户安全策略的SNMP V3、MAC+IP+VLAN绑定、802.1X认证等安全策略。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。支持集群管理，可以对网元进行批量配置和批量升级，实现ACL/VLAN的动态策略下发，同时网络管理平台可以实现拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能，这些有助于提高网络管理人员的效率、缩短网络故障及维护扩容的时间。汇聚层采用华为Quidway S3952智能弹性以太网交换机 。 S3952是华为公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用创新的IRF技术，将多台分散的设备组成统一的交换矩阵，非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。S3952提供基于VLAN的批量ACL下发，能支持对报文的过滤、优先级设置。支持QinQ和灵活QinQ，针对不同业务报文打不同外层标签，便于业务分离。支持STP/RSTP/MSTP生成树协议和Smartlink技术，能实现主备链路毫秒级倒换。支持VRRP虚拟路由冗余协议，支持等价路由，实现路由多级备份。支持交流/直流双输入，二者之间热备份。支持集中式MAC地址认证和802.1x认证，还可以通过灵活的MAC、IP、PORT任意组合绑定，有效地防止非法用户访问网络。支持DUD(Disconnect Unauthorized Device)认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。支持HWTACACS，可提供安全的信息保障和强大的认证功能。支持RSPAN远程端口镜像；支持VCT虚电路检测，DLDP单向链路检测功能。支持SNMP v1/v2/v3，可支持iManager网管系统。支持CLI命令行、Web网管、TELNET、HGMP集群管理，使设备管理更方便。Quidway S2403TP-MI系列接入交换机是华为公司新推出的楼道级接入产品，支持4K个802.1QVLAN和HGMP集群管理，是为要求具备高性能且易于安装的网络环境而设计的二层以太网交换机产品。提供19.2G的交换容量，为所有端口提供二层线速交换能力。提供灵活的扩展能力，允许交换机通过光纤或铜缆上联网络。支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持WRR（Weighted Round Robin）、HQ+WRR队列调度机制。S2403TP-MI具备低功耗和工作环境适应强的特点，采用无风扇设计，彻底免除噪音。2.3 VLAN的使用 VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。在同一物理网络上需要承载两种以上独立的业务系统。各业务系统为不同的职能部门开展业务提供服务，其数据流程和管理方式都存在差异。不同业务系统，需要政务网络平台提供差别服务，如对带宽、实时性有不同的要求。不同业务系统之间需要提供安全隔离。全网需要对不同业务进行统一管理，业务扩充简单高效。考虑到以上特点，并结合未来网络改造后的情况，VLAN按照业务系统进行划分。交换机通过VLAN方式隔离用户，路由器通过传统VPN隔离用户。各接入点的接入设备采用的是二、三层交换机，因此不同用户可以通过ACL策略进行本地隔离，防止了不同VLAN路由的相互泄漏，同一VLAN可以互通，不同VLAN之间相互隔离。2.4 网络拓扑结构 网络安全和管理3.1 认证系统源于一整套完整方案的连贯性，与网络系统及硬件系统相互配合的应用软件开发，切实反映用户需求，多重身份认证，实现网络运行与业务应用的完美结合。3.2 网络管理 网络管理性能是衡量网络性能的重要因素，对网络安全性、故障的查错隔离、流量控制、事件记录等能力关系到一个网络运行是否良好，而这一