上海斐讯XXX人民医院网络建设方案v.doc

山东山东 XXXXXXXXXX 人民医院人民医院 网络设计方案网络设计方案 V1.1V1.1 斐讯数据通信技术有限公司斐讯数据通信技术有限公司 20112011 年年 1212 月月 目目 录录 前前 言言 .2 1 1系统设计方案系统设计方案.4 1.1设计原则.4 1.2技术方案选型.5 1.2.1以太网技术.5 1.2.2网络分层.8 1.2.3网络结构.9 1.2.4TCP/IP协议.13 1.3有线网络方案设计.14 1.3.1网络拓扑.14 1.3.2网络方案描述.14 1.4无线网络设计.19 1.4.1设计原则.19 1.4.2斐讯在医疗行业的应用.20 1.4.3斐讯通信无线应用解决方案.23 1.4.4桥接方式（推荐内容）.25 1.5IP 及 VLAN 规划.27 1.5.1IP地址分配原则.27 1.5.2VLAN划分原则.27 1.5.3IP地址及VLAN规划建议.28 2设备介绍设备介绍.30 2.1产品理念.30 2.2FREESWITCH 7400 核心交换机.30 2.3FREESWITCH 6850-24X2 汇聚交换机.34 2.4FREESWITCH 2026 智能以太网交换机.37 2.5FREESWITCH 2024 智能以太网交换机.42 2.6FREESWITCH 2016 智能以太网交换机.47 2.7FREEFIREWALL 3004 千兆防火墙.51 2.8FREENM 网管软件功能说明.56 2.9FAC-5000S 无线控制器.59 2.10FAP-2830-EI 无线接入点.66 前前 言言 二十一世纪是信息化的世纪，信息化正以迅猛的速度全方位、多层次、广视角的向社 会各个领域渗透扩散，并以群体的聚合优势改善着世界的面貌。 因此，我们看到医疗信息化的迫切性：随着全球信息社会化和社会信息化浪潮，人们 已经无法忽视信息的存在和价值。一场不期而至的信息化革命，在改变社会经济结构的同 时，也改变着人们的价值观念和对客观世界的认识，以及工作、生活、学习乃至娱乐方式， 并赋予了我们一种崭新的时空意识。 医疗服务信息化是国际发展趋势。随着信息技术的快速发展，国内越来越多的医院正 加速实施基于信息化平台、 HIS 系统的整体建设，以提高医院的服务水平与核心竞争力。 信息化不仅提升了医生的工作效率，使医生有更多的时间为患者服务，更提高了患者满意 度和信任度，无形之中树立起了医院的科技形象。因此，医疗业务应用与基础网络平台的 逐步融合正成为国内医院，尤其是大中型医院信息化发展的新方向。 信息是竞争的基础，失去信息就等于失去一切。对于医疗企业而言，在信息产业化的 推动之下，也将逐步走上产业化道路，那么，谁能准确、及时地获取信息，谁就有较大的 优势站稳脚跟，进而成为医疗信息化的排头兵。从而我们可以看到信息化对医疗行业甚至 全人类前进发展的重要性。 而正是在整个人类正逐渐步入学习化社会的今天，我们也可以看到，医疗信息化、终 身化和全球化正在不断前进开拓，这必将给医疗行业带来全面的变革。随着医疗行业的不 断壮大，我们坚信信息化医院的建设和完善必将成为二十一世纪的新革点。 所谓信息化医院是指以数字化信息为依托，支持医疗查房和管理信息等，实现医疗、 科研、管理、技术服务等信息的收集、处理、整合、存储、传输、应用，使医疗资源得到 充分优化利用的一种虚拟环境。建设信息化医疗，就是建设一个网络化、数字化、智能化 有机结合的新型基地以及学习的平台。 信息化医疗的核心是指用全数字化的信息获取、存储、传输及处理技术，去控制和操 纵整个医院的事务。因此，高度发达且完备的计算机网络系统是信息化医院的核心技术支 撑。我们可以看到，在以计算机技术、网络技术、多媒体技术为代表的现代信息技术快速 发展与普及的今天，信息化的浪潮正冲击着人类社会的方方面面，在社会的许多领域中引 发深刻的变革。医院信息化也是摆在医疗领域面前的一个迫切需要解决的问题，信息技术 与医疗相结合成为当今世界医疗现代化改革和发展的方向， “信息化医院”已成为推进医疗 信息化的重要建设任务。 1 1系统设计方案系统设计方案 1.1设计原则设计原则 标准性和开放性原则 系统的设计应符合国际标准和工业标准，采用开放式系统体系结构，保证本网络 系统与其它网络进行互联。 网络的先进性和成熟性 网络技术发展很快，在设计方案时要适应新技术发展的潮流，保证网络的先进性， 但网络工程不能成为某些新技术的试验场，因此，网络的设计还要顾及技术的成熟性。 扩展性原则 在用户业务不断发展的情况下，系统应可不断在容量以及功能上升级和扩充，保 证系统可用以及最大程度地保互业主投资。 经济性原则 系统在保证性能强大、先进的同时应考虑经济性，选用具有最佳性价比的产品。 高速、高带宽 为满足不断发展的网络应用需求，同时结合当今网络的先进技术，将采用千兆光 网络系统为主要的通信平台。 易于管理 整个网络将采用集中式管理，能够监控网络的运行，并能找出网络节点的故障所 在，迅速恢复用户的应用，可以提供多种手段对网络进行设置、管理和动态监控。 安全性 由于整个网络都需要和外部进行通信，需要网络有防范病毒和网络攻击的能力， 能够和入侵检测设备联动。 1.21.2技术方案选型技术方案选型 .1以太网技术以太网技术 交换式技术发展过程交换式技术发展过程 以太网交换机，英文为 SWITCH，也有人翻译为开关，交换器或称交换式集线器。 计算机技术与通信技术的结合促进了计算机局域网络的飞速发展，从六十年代末 ALOHA 的出现到九十年代中期 1000MBPS 交换式以太网的登台亮相，短短的三十年间经过了 从单工到双工，从共享到交换，从低速到高速， 从简单到复杂，从昂贵到普及的飞跃。 八十年代中后期，由于通信量的急剧增加，促使技术的发展，使局域网的性能越来越 高，最早的 1MBPS 的速率已广泛地被今天的 100BASET 和 100CGANYLAN 替代，但是，传 统的媒体访问方法都局限于使大量的站点共享对一个公共传输媒体的访问， 既 CSMA/CD。 九十年代初，随着计算机性能的提高及通信量的聚增，传统局域网已经愈来愈超出了 自身的负荷，交换式以太网技术应运而生，大大提高了局域网的性能。与现在基于网桥和 路由器的共享媒体的局域网拓扑结构相比，网络交换机能显著的增加带宽。交换技术的加 入，就可以建立地理位置相对分散的网络，使局域网交换机的每个端口可平行、安全、同 时的互相传输信息，而且使局域网可以高度扩充。 交换机的诞生交换机的诞生 局域网交换技术的发展要追溯到两端口网桥。桥是一种存储转发设备，用来连接相似 的局域网。从互联网络的结构看，桥是属于 DCE 级的端到端的连接；从协议层次看，桥是 在逻辑链路层对数据帧进行存储转发；与中继器在第一层、路由器在第三层的功能相似。 两端口网桥几乎是和以太网同时发展的。 以太网交换技术（SWITCH）是在多端口网桥的基础上与九十年代初发展起来的，实现 OSI 模型的下两层协议，与网桥有着千丝万缕的关系，甚至被业界人士称为许多联系在一 起的网桥，因此现在的交换式技术并不是什么新的标准，而是现有技术的新应用而已，是 一种改进了的局域网桥，与传统的网桥相比，它能提供更多的端口（488） 、更好的性能、 更强的管理功能以及更便宜的价格。现在某些局域网交换机也实现了 OSI 参考模型的第三 层协议，实现简单的路由选择功能，目前很热的第三层交换就是指此。以太网交换机又与 电话交换机相似，除了提供存储转发（STORE ANG FORWORD）方式外还提供了其它的桥接技 术，如：直通方式（CUT THROUGH） 。 交换式以太网的工作原理交换式以太网的工作原理 以太网交换机的原理很简单，它检测从以太端口来的数据包的源和目的地的 MAC（介 质访问层）地址，然后与系统内部的动态查找表进行比较，若数据包的 MAC 层地址不在查 找表中，则将该地址加入查找表中，并将数据包发送给相应的目的端口。 交换式以太网技术的优点 ：交换式以太网不需要改变网络其它硬件，包括电缆和用户 的网卡，仅需要用交换式交换机改变共享式 HUB，节省用户网络升级的费用。 可在高速与 低速网络间转换，实现不同网络的协同。目前大多数交换式以太网都具有 100MBPS 的端口， 通过与之相对应的 100MBPS 的网卡接入到服务器上，暂时解决了 10MBPS 的瓶颈，成为网络 局域网升级时首选的方案。 它同时提供多个通道，比传统的共享式集线器提供更多的带宽，传统的共享式 10MBPS/100MPS 以太网采用广播式通信方式，每次只能在一对用户间进行通信，如果发生 碰撞还得重试，而交换式以太网允许不同用户间进行传送，比如，一个 16 端口的以太网交 换机允许 16 个站点在 8 条链路间通信。 特别是在时间响应方面的优点，使的局域网交换机倍受青睐。它以比路由器低的成本 却提供了比路由器宽的带宽、高的速度，除非有上广域网（WAN）的要求，否则，交换机有 替代路由器的趋势。 直通式（cut throuth） ，存储转发（store-and-forward）的比较：直通方式的以太 网络交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。它在输入端口检测 到一个数据包时，检查该包的包头，获取包的目的地址，启动内部的动态查找表转换成相 应的输出端口，在输入与输出交叉处接通，把数据包直通到相应的端口，实现交换功能。 由于不需要存储，延迟（LATENCY）非常小、交换非常快，这是它的优点；它的缺点是：因 为数据包的内容并没有被以太网交换机保存下来，所以无法检查所传送的数据包是否有误， 不能提供错误检测能力，由于没有缓存，不能将具有不同速率的输入/输出端口直接接通， 而且，当以太网络交换机的端口增加时，交换矩阵变的越来越复杂，实现起来相当困难。 存储转发方式是计算机网络领域应用最为广泛的方式，它把输入端口的数据包先存储 起来，然后进行 CRC 检查，在对错误包处理后才取出数据包的目的地址，通过查找表转换 成输出端口送出包。正因如此，存储转发方式在数据处理时延时大，这是它的不足，单是 它可以对进入交换机的数据包进行错误检测，尤其重要的是它可以支持不同速度的输入输 出端口间的转换，保持高速端口与低速端口间的协同工作。 第二层和第三层交换及其与路由器方案的竞争。如前所述，局域网交换机是工作在 OSI 第二层的，可以理解为一个多端口网桥，因此传统上称为第二层交换；目前，交换技 术已经延伸到 OSI 第三层的部分功能，既所谓第三层交换，第三层交换可以不将广播封包 扩散，直接利用动态建立的 MAC 地址来通信，似乎可以看懂第三层的信息，如 IP 地址、 ARP 等， 具有多路广播和虚拟网间基于 IP、IPX 等协议的路由功能，这方面功能的顺利实 现得力于专用集成电路（ASIC）的加入，把传统的由软件处理的指令改为 ASIC 芯片的嵌入 式指令，从而加速了对包的转发和过滤，使得高速下的线性路由和服务质量都有了可靠的 保证。目前，如果没有上广域网的需要，在建网方案中一般不再应用价格昂贵、带宽有限 的路由器。 虚拟局域网技术虚拟局域网技术 交换技术的发展，允许区域分散的组织在逻辑上成为一个新的工作组，而且同一工作 组的成员能够改变其物理地址而不必重新配置节点，这就是用到所谓的虚拟局域网技术 （VLAN） 。用交换机建立虚拟网就是使原来的一个大广播区（交换机的所有端口）逻辑的分 为若干个子广播区，在子广播区里的广播封包只会在该广播区内传送，其它的广播区是 收不到的。VLAN 通过交换技术将通信量进行有效分离，从而更好地利用带宽，并可从逻辑 的角度出发将实际的 LAN 基础设施分割成多个子网，它允许各个局域网运行不同的应用协 议和拓扑结构。 总结来说，以太网是当今现有局域网采用的最通用的通信协议标准。该标准定义了在 局域网（LAN）中采用的电缆类型和信号处理方法。以太网在互联设备之间以 10100Mbps 的速率传送信息包，双绞线电缆 10 Base T 以太网由于其低成本、高可靠性以 及 10Mbps 的速率而成为应用最为广泛的以太网技术。直扩的无线以太网可达 11Mbps，许 多制造供应商提供的产品都能采用通用的软件协议进行通信，开放性最好。 而交换以太网是新近发展起来的先进网络技术。它在保证与以太网协议兼容的前提下， 提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数 据信息传输的要求。因此此次网络主干仍将采用交换以太网技术以保证网络整体的优越性 能。 根据应用的实际情况，建议选择带有三层路由功能的高速千兆核心交换机，桌面系统 采用百兆/千兆接入，确保整个网络交换速率及吞吐量的同时，也合理的利用网络资源不造 成资源浪费。 1.2.2网络分层网络分层 网络分层就是将网络节点所要完成的数据的发送或转发、打包或拆包,控制信息的加载 或拆出等工作，分别由不同的硬件和软件模块去完成。这样可以将往来通信和网络互连这 一复杂的问题变得较为简单。 网络层次的划分网络层次的划分 ISO 提出的 OSI（Open System Interconnection）模型将网络分为七层，即物理层( Phisical )、数据链路层(Data Link)、网络层(Network)、传输层(Transport)、会话层(Session)、 表示层(Presentation)和应用层(Application)。 1. 物理层(Physical layer)是参考模型的最低层。该层是网络通信的数据传输介质，由 连接不同结点的电缆与设备共同构成。主要功能是：利用传输介质为数据链路层提供物理 连接，负责处理数据传输并监控数据出错率，以便数据流的透明传输。 2. 数据链路层(Data link layer)是参考模型的第 2 层。 主要功能是：在物理层提供的服 务基础上，在通信的实体间建立数据链路连接，传输以“帧”为单位的数据包，并采用差错 控制与流量控制方法，使有差错的物理线路变成无差错的数据链路。 3. 网络层(Network layer)是参考模型的第 3 层。主要功能是：为数据在结点之间传输 创建逻辑链路，通过路由选择算法为分组通过通信子网选择最适当的路径，以及实现拥塞 控制、网络互联等功能。 4. 传输层(Transport layer)是参考模型的第 4 层。主要功能是向用户提供可靠的端到端 (End-to-End)服务，处理数据包错误、数据包次序，以及其他一些关键传输问题。传输层向 高层屏蔽了下层数据通信的细节，因此，它是计算机通信体系结构中关键的一层。 5. 会话层(Session layer)是参考模型的第 5 层。主要功能是：负责维扩两个结点之间的 传输链接，以便确保点到点传输不中断，以及管理数据交换等功能。 6. 表示层(Presentation layer)是参考模型的第 6 层。主要功能是：用于处理在两个通信 系统中交换信息的表示方式，主要包括数据格式变换、数据加密与解密、数据压缩与恢复 等功能。 7. 应用层(Application layer)是参考模型的最高层。主要功能是：为应用软件提供了很 多服务，例如文件服务器、数据库服务、电子邮件与其他网络软件服务。 网络规模分层网络规模分层 我们建议从逻辑上采用分层的建网思路，这样可使网络结构明晰，各层功能实体之间 的作用定位清楚，接口开放，标准。根据网络不同的规模，可分为核心层、汇聚层和接入 层。 1. 核心层：主要完成的功能是给各业务汇接节点提供业务的汇聚、管理和分发处理， 高带宽的 IP 业务承载交换通道；一般采用三层背板交换带宽比较高的网络设备，提供高交 换能力。 2. 汇聚层：汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接 本地的逻辑中心，仍需要较高的性能和比较丰富的功能。 3. 接入层：主要利用多种接入技术，覆盖终端设备，进行带宽和业务分配，实现用户 的接入，接入节点设备完成多业务的复用和传输，双绞线等连接到用户。一般采用二层的 接入交换机。本案中采用的是三层交换机. 根据现在信息系统的需求，我们建议采用两层网络设计：核心层+汇聚层+接入层。其 中，核心层汇聚层融合了传统的核心层与汇聚层的功能，可称之为核心汇聚层。而且网络 设备发展至今，从性能上也无需汇聚层来分担处理业务，同时端口密度的持续增加，也为 我们这种先进的组网方式提供了坚实的技术基础。这样有利于扩大接入层的服务范围，降 低网络建设成本。 .3网络结构网络结构 网络中的计算机等设备要实现互联，就需要以一定的结构方式进行连接，这种连接方 式就叫做拓扑结构，通俗地讲这些网络设备如何连接在一起的。网络拓扑结构是抛开网 络电缆的物理连接来讨论网络系统的连接形式，是指网络电缆构成的几何形状，它能表示 出网络服务器、工作站的网络配置和互相之间的连接。一般包括总线型、星型、树型、网 型和环型。 总线型由于具有无法应用交换技术；网络无法采用分层结构；网络易瘫痪这些致命的 缺点，因此本方案中不予考虑。网型拓扑由于造价较高，性价比低，因此在信息系统工程 中也不予考虑。故我们主要针对星状拓扑结构、树状拓扑结构以及环型拓扑结构进行分析 选择： 星状结构网络星状结构网络 星形网通过点到点链路接到中央结点的各站点组成的。通过中心设备实现许多点到点 连接。在数据网络中，这种设备是主机或集线器。在星形网中，可以在不影响系统其他设 备工作的情况下，非常容易地增加和减少设备。该结构是目前在局域网中应用得最为普遍 的一种，在企业网络中几乎都是采用这一方式。星型网络几乎是 Ethernet（以太网）网络 专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机） 连接在一起，各节点呈星状分布而得名。这类网络目前用的最多的传输介质是双绞线，如 常见的五类线、超五类双绞线等。 特点：使用点到点的链路接到中心节点，有唯一的转发节点； 优点： 结构简单，利用中心节点可以方便的提供服务和配置网络； 单点故障不影响整个网络； 易于检测和隔离故障，便于维护； 缺点： 每个站点直接与中心节点相连，需要大量的电缆，线路费用高； 中心节点压力大，中心节点一旦故障，各部分网络间通信将无法工作； 适用范围： 星星状状结结构构网网络络适适合合中中型型网网络络的的普普遍遍拓拓扑扑形形式式。 树状结构网络树状结构网络 一种类似于总线拓扑的局域网拓扑。树型网络可以包含分支，每个分支又可包含多个结 点。在树型拓扑中，从一个站发出的传输信息要传播到物理介质的全长，并被所有其他站点 接收。 树型拓扑结构是网络节点呈树状排列 ,整体看来就象一棵朝上的树 ,因而得名。 它具有较强的可折叠性 ,非常适用于构建网络主干 ,还能够有效地保护布线投资 .这种拓扑结 构的网络一般采用光纤作为网络主干 ,用于军事单位,政府单位等上,下界限相当严格和层次 分 明的部门。 特点：星状结构网络层次化扩展就形成了树型网络结构； 优点： 可靠性好，二级中心节点的故障不会导致整个网络的瘫痪； 分级接入网络，线路费用低； 缺点： 大区节点单点故障压力、中心节点也有压力； 适用范围： 树树状状网网络络适适合合大大型型网网络络。 环型结构网络环型结构网络 由连接成封闭回路的网络结点组成的，每一结点与它左右相邻的结点连接。环形网络的 一个典型代表是令牌环局域网，它的传输速率为 4Mbps 或16Mbps，这种网络结构最早由IBM 推 出，但现在被其他厂家采用。在令牌环网络中，拥有 令牌 的设备允许在网络中传输数据。 这样可以保证在某一时间内网络中只有一台设备可以传送信息。在环形网络中信息流只能是 单方向的，每个收到信息包的站点都向它的下游站点转发该信息包。信息包在环网中“旅行” 一圈，最后由发送站进行回收。 这种结构的网络形式主要应用于令牌网中，在这种网络结构中各设备是直接通过电缆来串 接的，最后形成一个闭环，整个网络发送的信息就是在这个环中传递，通常把这类网络称之为 令牌环网。实际上大多数情况下这种拓扑结构的网络不会是所有计算机真的要连接成物理上 的环型，一般情况下，环的两端是通过一个阻抗匹配器来实现环的封闭的，因为在实际组网 过程中因地理位置的限制不方便真的做到环的两端物理连接。 特点：将若干树状网络通过核心交换机组环而形成一个环型网络； 优点： 网络实现简单，可靠性高于环型网络； 在树型网络的优点上还具有链路出现故障均不影响整体网络的连接状态； 核心组环，解决链路的单点压力； 缺点： 造价较高，设备的单点故障仍然存在； 适用范围：大大型型网网络络的的骨骨干干网网。 .4TCP/IP 协议协议 TCP/IP 协议并不完全符合 OSI 的七层参考模型。传统的开放式系统互连参考模型，是 一种通信协议的 7 层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各 种硬件在相同的层次上相互通信。这 7 层是:物理层、数据链路层、网络层、传输层、会话 层、表示层和应用层。而 TCP/IP 通讯协议采用了 4 层的层级结构，每一层都呼叫它的下一 层所提供的网络来完成自己的需求。这 4 层分别为： 应用层：应用程序间沟通的层，如简单电子邮件传输（SMTP） 、文件传输协议（FTP） 、 网络远程访问协议（Telnet）等。 传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议（TCP） 、用户 数据报协议（UDP）等，TCP 和 UDP 给数据包加入传输数据并把它传输到下一层中，这 一层负责传送数据，并且确定数据已被送达并接收。 互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主 机（但不检查是否被正确接收） ，如网际协议（IP） 。 网络接口层：对实际的网络媒体的管理，定义如何使用实际网络（如 Ethernet、Serial Line 等）来传送数据。 在 TCP/IP 协议簇里，TCP 提供可靠的面向连接的全双工数据流，IP 提供无连接的报 文分组服务。因此，使用 TCP/IP 可方便地进行网络互联，是目前计算机通信行业开放系统 互联的事实标准，提供最高程度的可互操作性，拥有最广泛的厂商系列产品和覆盖面。 TCP/IP 是目前实现异种机、异种操作系统及异种网互连、互通比较切实可行的途径，具有 强大的联网能力和适应多种应用环境的能力。 因此我们选择 TCP/IP 协议作为网络系统的主要网络协议。 1.3有线网络方案设计有线网络方案设计 1.3.1网络拓扑网络拓扑 1.3.2网络方案描述网络方案描述 光纤线路概况：光纤线路概况： 整个医院采用单模光纤线路，以总机房作为所有光纤线路的汇聚点，分别到各个办公 及门诊楼的接入交换机，通过单模光纤线路进一步分布到每一栋楼的接入交换机。具体方 案设计如下： 中心机房中心机房: 中心机房定位在医院的新楼机房，为所有光纤的汇总点。在整个网络中，核心交换机 起到全网数据交换的作用，目前整个 XX 市 XXX 人民医院信息点为 200 以内，但是在未 来的计划中，将考虑预留更多的数据点扩展使用。 本方案采用上海斐讯数据通信有限公司的 FreeSwitch 7400（FS7400）医疗行业核心万 兆路由交换机机箱作为中心交换设备，该设备配置一块 FS7-GNI-C24 业务板，提供 24 口 千兆以太网电接口模块（20 个千兆光口+4 个千兆 SFP 光电复用口） ，同时，采用一块 12 口千兆以太网光电复用模块（RJ45）FS7-GNI-M12，通过预先铺设的光缆连接各个楼宇汇 聚交换机，保证汇聚网络到核心网络的高速传输，并且为未来数据点的扩充，提供了良好 的升级环境。 在服务器的扩展方面，本方案考虑到了万兆骨干网络是一个大的趋势，采用的 FS7400 核心交换机 2 端口万兆接口板 FS7-XNI-U2，为医院以后升级到万兆骨干网络，提供了升 级平台。用以连接医院内部的 HIS、Web、Mail、数据库等服务器的安全防火墙，及连接 中心机房的工作用台式机、医疗管理系统。 本方案为核心网络交换机提供了单引擎，双电源的冗余，以保证用户网络的稳固。同本方案为核心网络交换机提供了单引擎，双电源的冗余，以保证用户网络的稳固。同 时，在核心处，本方案设计了两台相同的核心交换机，采用国际标准的时，在核心处，本方案设计了两台相同的核心交换机，采用国际标准的 VRRP 协议进行双协议进行双 机冗余，将网络安全稳固提升一个新的档次。机冗余，将网络安全稳固提升一个新的档次。 楼层接入交换机：楼层接入交换机： 考虑到医院网络对数据传输的带宽需求，以及医院考虑到医院网络对数据传输的带宽需求，以及医院 PIX 系统的应用均需要高性能的传系统的应用均需要高性能的传 输通道，因此，在接入交换机的选型上，本方案设计采用全千兆接入交换机进行组网。输通道，因此，在接入交换机的选型上，本方案设计采用全千兆接入交换机进行组网。 另外，因核心采用双机另外，因核心采用双机 VRRP 热备份冗余协议，为配合核心交换机进行链路上的冗余，热备份冗余协议，为配合核心交换机进行链路上的冗余， 本方案在接入交换机上，采用双光纤模块上联的。本方案在接入交换机上，采用双光纤模块上联的。 根据目前山东 XX 市 XXX 人民医院的分支区域的分布情况，本方案在每个需要接入 交换机的楼房配置一台（共计 10 台）斐讯通信公司生产的二层接入交换机 FreeSwitch2000（FS2000）系列全千兆网管增强型以太网交换机用以连接楼宇各数据点的 网络接入。根据实际数据点数，进行设备安置如下： 网络箱设备名称数据点交换机型号提供端口上联方式 D2 东箱D2 东内 19FS2026 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口 光纤 D2 西箱D2 西内 12FS2016 16 口 10/100Base-TX网线级联 C2 箱C2 内 21FS2026 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口 光纤 C1 箱C1 内 11FS2016 16 口 10/100Base-TX网线级联 B4 箱B4 内 19FS2026 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口 光纤 E2 箱E2 内 20FS2026 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口 光纤 FS2026 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口 光纤A 东 2 箱 A 东 2 内 36 FS2026 24 口 10/100Base-TX网线级联 A1 西箱A1 西内 16FS2026 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口 光纤 A 东 3 机房内 A3 东内 9FS2016 16 口 10/100Base-TX 口直连核心 根据以上设计，能够保证在满足这两处的数据点接入电脑的需求，同时能够有足够的 端口进行冗余，保证未来扩展的需求。 服务器汇聚交换机：服务器汇聚交换机： 考虑到医院数据库等系统的安全、独立性，在服务器与交换机网络之间，设计了一台 防火墙用作安全防护设备，由于防火墙端口数目有限，在防火墙与服务器之间，本方案设 计放置了一台上海斐讯数据通信技术有限公司生产的 FreeSwitch 6850-24（FS6800-24）增 强型全千兆以太网路由交换机来连接服务器，并对服务器进行安全策略的部署，该交换机 提供 20 个千兆电口，4 个千兆 SFP 光电复用口，2 个万兆 XFP 端口，可与核心交换机通过 万兆光纤模块进行配合使用。 防火墙防火墙 XX 市 XXX 人民医院网络平台，集合了各个科室数据安全于一身，各个平台均有大量 的数据访问，被攻击的可能性也相当巨大，因此，采用高性能的防火墙设备，是构建安全 网络的第一大前提 防火墙主要完成以下功能： 隔离不信任网段之间的直接通信：隔离不信任网段之间的直接通信：由于防火墙工作在网络层与传输层，通过包过滤完 成网络通信，内部网络与外部网络在网络层是断开的，所以利用防火墙的 NAT 功能，可 以避免内部网络结构的信息传播到外部网络，使来自外部网络的攻击行为失去目标。 拒绝非法访问：拒绝非法访问：防火墙可以通过多种方式使非法访问的数据包在到服务器之前就遭到 拒绝。 地址过滤：地址过滤：通过定义源地址、目标地址的范围将来自非法网络和地址的主机拒之门外。 防源防源 IP 地址欺骗：地址欺骗：有些黑客攻击行为通过改变数据包的源地址来取得主机服务器的信 任。由于防火墙定义了外网和内网，所以来自外网的数据包即使将源地址伪装成内部网 络的地址，该访问也会被拒绝。该功能能有效防止来自外部网络基于 IP 欺骗的攻击行为。 过滤网络服务请求：过滤网络服务请求：防火墙可以开放对服务器的特定访问，而拒绝其他应用的请求， 使非法访问在到达主机前被拒绝，保护了服务器的安全。 基于操作权限的控制：基于操作权限的控制：多数应用通常都设有多种访问权限，如 FTP、HTTP 等。不同 用户登录到主机后所能执行的操作应该有所限制。如一般 INTERNET 用户只能拥有读数 据的权利，而无写的权利，即如果一般用户向服务器发出写操作的请求，该数据包在到 达防火墙时，就会遭到拒绝，可保护中心系统的核心资源、主机资源，阻止非法的连接 与资源访问。 总而言之，本方案中防火墙实现的功能包括以下两个访问控制功能方面： 防范非法用户非法访问 防范假冒合法用户非法访问 综合以上设计原则，本方案在人民医院两大重要安全区域进行防火墙设置： 1、 服务器区域：服务器区域：在服务器区域，安置两台上海斐讯数据通信技术有限公司生产的千兆网 络防火墙 FreeFirewall 3004（FF3004）防火墙，通过心跳协议（HA）进行连接，设 置防火墙热备份，保证服务器端的安全，同时针对网络内部需求，设置相应的安全区 域（Trust、Untrust、DMZ）根据不同的安全级别进行数据防护。 2、 医保、农合出口：医保、农合出口：该处设置上海斐讯 FF3004 防火墙一台，用以连接医保、农合等出 口，同时为该设备配置相应数量的 VPN License，以达到远程办公 VPN 数据的接入， 本方案考虑到数据接入的安全，建议采用 Ipsec VPN 方式进行远程接入，远端电脑， 安装相应的 VPN 拨号软件，进行拨入，以访问网络内部医疗系统应用。 通过对上述需求的分析，设计方案所用设备如下：通过对上述需求的分析，设计方案所用设备如下： 内网设备内网设备 类别型号描述数量 FF3004 网络处理能力 500M，并发连接120 万，1U 机箱，单电源（不可扩展） ，标准配置 4 个 10/100/1000M 自适应电口，1 个 Console 口。最多 支持 1000 条 VPN channels 1 防火墙 FX-VPN-100 100 VPN channels 许可 1 服务器汇聚 交换机 FS6850-24X2 万兆以太网路由交换机（20 个千兆电口，4 个千兆 SFP 光电复用口，2 个万兆 XFP 端口） 1 FS7400-CHASSIS FS7400 核心万兆路由交换机机箱（标配 1 个交流电源，最多支持 2 个 电源，6 个扩展槽，其中 2 个槽位固定插主控板） 2 FS7-CMM-II 第 II 代主控板，自带 1 个千兆 SFP 光电复用口 2 核心交换机 FS7-PWR-600 输入电压 AC 100-240V，最大功率 600W 2 FS7-GNI-M12 12 口千兆 SFP 光电复用接口模块 2 FS7-GNI-C24 24 口千兆以太网电接口模块（20 个千兆电口+4 个千兆 SFP 光电复用口） 2 FS7-XNI-U2 2 口万兆以太网光接口模块（XFP） 2 FS2016 二层百兆 Web Smart 网管智能交换机，带 16 口 10/100Base- TX，Web 管理，机架式 3 接入交换机 FS2026 二层百兆 Web Smart 网管智能交换机，带 24 口 10/100Base-TX，2 组千兆 SFP 光电复用口，Web 管理，机架式 7 POE 交换机 FS3600-P24E 千兆全网管 POE 增强型以太网交换机（1 个 CONSOLE 口、24 个 10/100M 以太网 POE 电口，2 个 10/100/1000M 电口，2 个千兆光电 复用口） 3 XFP-10G-SR 10G 以太网光纤收发器。支持 850nm 波长多模光纤，LC 接头，在 50/125 微米多模光纤上最多可支持 300 米 4 光纤模块 SFP-GIG-LX 千兆以太网光纤收发器。在 1310nm 波长单模光纤上最多支持 10 公里， LC 接头 28 外网设备外网设备 类别型号描述数量 路由器 FR1725 5 个 10/100M 快速以太网端口，建议用户数 0-150 个，19 英寸机架型 1 FS2008 二层百兆 Web Smart 网管智能交换机，带 8 口 10/100Base- TX，Web 管理，机架式 3 交换机 FS2024 二层百兆 Web Smart 网管智能交换机，带 24 口 10/100Base- TX，Web 管理，机架式 1 1.4无线网络设计无线网络设计 1.4.1设计原则设计原则 安全性 无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法 比拟的优点，因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特 点，让许多潜在的医院用户对无线传输下是否会出现数据外泄，或者出现非法用户入侵而 感到担心，从而对是否采用无线局域网系统犹豫不决。 稳定性 医院尤其是门急诊的正常运营（如挂号，收费等）对网络有很强的依赖性，一旦出现 网络中断，无法正常挂号和收费，将会出现大量的排队拥堵，会给医院和患者带来诸多不 便。因次稳定性对医院来讲至关重要。 无干扰 医院内有许多精密设备，此外还有患者体内的植入设备，无线设备是否会对这些设备 造成干扰，是医院所关心的问题，这些都是部署无线要考虑的要素。 可移动 在医院里，医生和护士都需要随时了解病人的情况，而在医院进行信息化建设的时候， 信息终端不能灵活移动使用，将会给医疗工作带来诸多不便。 可管理 为了达到信号全面覆盖，无线网络中往往需要部署大量 AP，如何对成百上千 AP 进行 快速有效配置和管理，融合到原有的管理系统中，也是许多医院在部署无线网络时关心的 问题。设备和信息的集中管理可以快速有效地帮助管理人员发现和解决问题，同时也能使 各种网络资源的分配更合理。 可扩展 在网络建设规划的时候，应该充分考虑到网络的可扩展性，为以后网络信息点的增加 留有充足的余地。所有的无线产品和解决方案都要为未来的升级和应用做好准备。 1.4.2斐讯在医疗行业的应用斐讯在医疗行业的应用 无线查房无线查房 在无线网络环境下，在平板电脑或手推车的一体机上可直接安装医院 HIS、电子病历 等客户端，让医生工作站移动起来，直 接实现无线查房。 医生在查房过程中，可以随时通过 无线网络调取患者的诊疗记录或病史等 信息，免除了医护人员携带一大堆病例 记录本查房诊断的麻烦，帮助他们更加 准确、及时、全面的了解患者的详细信息，并随时根据患者当时的具体病情下医嘱， 使医生的查房工作效率更高，减少重复记录和输入医嘱的工作量并减少差