XX医院网络规划方案.doc

XX医院网络规划方案2010年10月目录第一章概述31.1 医疗卫生行业背景31.2 XX医院背景31.3 需求分析41.3.1 网络稳定41.3.2 网络性能41.3.3 网络安全41.3.4 网络规划51.3.5 网络管理51.4 总结5第二章XX医院网络规划建议62.1 XX医院网络规划拓扑62.2 XX医院网络规划建议62.2.1 骨干结构设计62.2.2 核心层设计72.2.3 汇聚层设计72.2.4 接入层设计72.2.5 网络管理设计72.2.6 网络安全设计8第三章整体方案效果说明93.1 高稳定的网络架构设计93.2 高性能、高稳定的核心设计93.3 独立的服务器区域设计103.4 全面的系统安全设计103.5 轻松便捷的用户和网络管理11第一章 概述1.1医疗卫生行业背景随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，当今社会信息化进程迅猛发展，网络技术已经对社会，经济和文化各方面产生重大影响，并将改变人们认识世界，思考世界的观点和方法。作为传统行业之一的医疗卫生行业，如何面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量，是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进医疗行业的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益和社会效益双丰收，全国各省都在逐步加快医院的信息化建设步伐。传统医疗卫生行业正利用其行业特点，汲取网络技术精华，努力创造着医疗卫生行业的又一个春天。未来是美好的，但现实不可回避。在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。锐捷网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了医疗行业对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合的网络建设的解决方案。1.2 XX医院背景XX医院的网络系统建设应在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上系统能力上要保持五年左右的先进性。并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。1.3 需求分析1.3.1网络稳定医疗行业是关系到病人生命安危的重要行业，XX医院的各种应用系统和基础设备都要保证超高的稳定性，系统的稳定性（7*24稳定、可靠、持续运行）是投入运行的医疗系统的生命线。同时，对于门诊等重要区域，由于门诊收费是患者进入医院的第一站，稳定的网络系统建设是医院各种应用系统开展的根本保障，是降低医院目前出现的“三长一短”问题的根本性措施。1.3.2 网络性能作为临床信息系统最为重要的PACS系统的应用其在传输患者的放射图像信息时，需要消耗大量的网络传输带宽，虽然目前XX医院仍然采用的是科室级的PACS系统，然而，随着医院信息化的发展，毕竟以全院级的FULL PACS系统为发展方向，在建设了PACS系统之后，堆积如山的胶片、病例档案都没有了，但是网络上数据量却在急剧增长。海量存储和数据浏览就成为必须解决的问题。在计算机中一页文字资料仅占几千字节(Kb)，而一张数字化的X线片将产生上百万字节(Mb)的信息量，这就是所谓“兆字节问题”；因此，在网络建设初期就需要考虑针对未来医院FULL PACS系统应用传输带宽的考虑。1.3.3 网络安全XX医院的内部信息主要是以病人的病例、处方和医嘱等信息为主，而医院是有义务保障病人的信息安全，保证病人的病例、处方和医嘱信息不被没有必要的部门或人员查看，同时也要保证信息不能外传。因此，如何保证整个系统的保密性、完整性、可用性、可审核性也是XX医院信息系统安全性的一部分。1.3.4 网络规划随着医院信息化建设的深入发展，医院应用服务的不断开展，数据中心作为医院的各种应用系统的“大脑”，需要保障极高的稳定性和可靠性，为医院的各种应用服务提供持续不断的数据传输服务。通过合理的数据中心规划，提升医院应用服务“大脑”的稳定性和可靠性，位医院各种应用服务提供不间断的数据响应需求。1.3.5 网络管理随着网络规模的不断扩大，网络覆盖范围的不断延伸，网络设备数量和种类也在不断的增加。需要通过有效的网络流量和网络故障监控，及时有效的发现网络中存在的各种故障和隐患，以便能够通过及时的故障处理，有效的排出网络故障，降低网络使用风险，确保各种业务的正常开展。同时，先进的网络管理，不仅可以极大的降低医院信息中心的网络维护和管理难度，对于HUB和非网管设备在医院内部的受控使用，可以有效的内部网络的安全风险，提升医院内部网络系统的可靠性。1.4 总结 XX医院的网络建设的目标是建设一个集各种数字化医疗设备和器械为一体的综合数字医疗系统，而网络平台作为这些数字应用的基础设施，成为数字化建设首先考虑的重点，如何建设一个稳定，可靠，安全，应用集中的综合业务网络平台，是XX医院信息化建设的根本出发点。第二章 XX医院网络规划建议2.1 XX医院网络规划拓扑2.2 XX医院网络规划建议2.2.1 骨干结构设计根据现有的结构和设备，在充分考虑保护原有投资的情况下，采用模块化结构设计，实现园区网典型的树形结构。整个结构规划成三层架构，核心-汇聚-接入。核心和汇聚之间沟通全院网络的骨干，并采用双核心双链路设计。在这种架构下，整个骨干中的任何一台核心设备、任何一条链路出现故障，都可以确保整个网络的稳定。这样的结构才能消除稳定性隐患，确保医院所有应用系统稳定运行。这种结构下，规划了5个汇聚点：服务器区域汇聚点、住院楼汇聚点、医院大楼汇聚点、门诊楼汇聚点、放射科汇聚点。这样的规划，实现了核心-汇聚-接入、双核心双链路、模块化分区。全网的整体网络转发性能最高、全网的可扩展性最高。2.2.2 核心层设计核心网络设计通过采用锐捷网络基于万兆平台的核心交换机，完成全网的数据转发的和控制，汇聚层设备双上联至两台S7800核心交换机，2.2.3 汇聚层设计门诊部采用万兆汇聚设备S5750，同时，为了保障门诊收费区域的全面可靠性，门诊收费区域通过单汇聚设备双上联到两台核心交换机，保障门诊收费区域的724的可靠性。为了确保放射科未来各种基于视频等的大流量数据服务传输需求，此次网络设计，放射科设备采用锐捷网络的全千兆接入层交换机S2924G，并且双上联到核心交换机。在服务器区，为了该医院的各种应用服务，提供持续不间断的数据服务响应，通过设计一台万兆数据中心交换机S5750，通过双链路上联网络核心层，实现数据中心链路和设备的冗余备份，同时为后期扩展基于IP的存储奠定基础。住院楼采用锐捷网络万兆汇聚交换机S5750，双上联至核心交换机。2.2.4 接入层设计接入层采用锐捷网络S2600G接入层设备。有效防止ARP欺骗，保证网络安全。2.2.5 网络管理设计为了能够对网络中的数据流量和设备状况进行实施的监控，降低网络故障风险。XX医院采用RG-SNC智能网络指挥官网管软件。RG-SNC智能网络指挥官是锐捷网络为精确进行网络管理而设计的网络管理系统。RG-SNC专注于网络变更与配置管理，采用友好的全中文Web浏览器界面，可以远程协同维护和管理，采用非代理模式，避免了传统的“Agent”模式的繁琐和重复性劳动，而且便于实施和后期维护，极大地节省了工作时间和工作繁杂度；主动式的网管，可定义管理任务，主动收集网络状况并及时备份，做到状态变更的及时响应，出现故障可及时恢复；提供美观的网络拓扑图，俯瞰整个网络现状，出现异常时，在拓扑图上及时呈现。产品主要配合锐捷设备使用，提供图形化的配置界面，实现对设备配置修改,从而大大降低管理员的维护强度和难度。2.2.6 网络安全设计实现对全院用户的入网身份管理，确保入网用户的合法性。通过在网络中心部署G-SMP安全管理平台软件，实现对全院用户的入网身份管理，确保入网用户的合法性，提升网络的安全性和可靠性。 RG-SMP安全管理平台软件系统是锐捷网络GSN全局安全网络解决方案的核心组成部分，GSN全局安全网络解决方案定位于网络访问控制NAC领域，从网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络。RG-SMP安全管理平台软件作为GSN解决方案的核心，承载着以上三个方面的重要功能。第三章 整体方案效果说明3.1高稳定的网络架构设计网络骨干架构采用双核心双链路设计方式。规划了5个汇聚点：服务器区域汇聚点、住院楼汇聚点、医院大楼汇聚点、门诊楼汇聚点、放射科汇聚点。这五个汇聚层和核心之间采用双核心双链路架构。在这样的双核心双链路架构下，任何一台核心设备和骨干链路出现故障，都不会影响网络的正常运行。可以确保医院业务7*24小时安全可靠。SPOH（同步式硬件处理技术）充分保障骨干设备在医院复杂应用环境下的进行大流量处理的稳定性。硬件CPP（CPU Protect Policy）提供对骨干设备CPU的保护功能，确保医院网络系统在扫描、DOS攻击等病毒攻击情况下，骨干设备仍然能够正常运行，提供强大的病毒防护能力，充分提升骨干网络的稳定性。三平面分离+三平面保护技术硬件实现数据平面、控制平面和管理平面的数据分离和保护，确保骨干设备在网络流量异常或流量攻击环境下设备的多层面防护，提升骨干网络系统的高可靠性。3.2高性能、高稳定的核心设计一个网络稳定与否，与其所用的设备的稳定与否有直接关系。如果一个设备都不够稳定，那么网络也就无稳定可言。所以一个网络稳定与否是与设备的稳定性有直接的关系。本方案网络核心采用锐捷网络新一代多业务万兆核心路由交换机RG-S7800，提供双电源的方式，同时核心模块支持热拔插，以确保核心大稳定。核心设备采用的提供高性能的二/三层包转发速率，可为用户提供高速无阻塞的数据交换。RG-S7800支持包括802.1D、802.1W、802.1S在内的多种生成树协议以及虚拟路由协议VRRP，提供完善的双核心保障技术；RG-S7800采用了独特的SPOH设计保证核心设备在开启ACL和QOS等安全功能之后不影响核心设备的CPU，保障核心设备在提供安全功能的同时稳定性不受影响；RG-S7800除了提供高速转发性能，提供稳定性的保障之外，还提供了丰富的接入、数据和设备本身管理的安全。如提供SSHv1/v2的加密登陆和管理功能，在远程登录设备的时候发送的数据都是经过机密的，避免管理信息明文传输引发的潜在威胁；Telnet/Web登录的源IP限制功能，限制只有合法IP的终端才能登陆管理设备，避免非法人员对网络设备的管理；SNMPV3提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不被篡改，并且加密报文，确保数据的机密性。3.3 独立的服务器区域设计考虑到服务器区域的重要性，把服务器区域单独隔离，构建数据中心，并与核心之间形成双链路。确保核心和服务器区域的稳定与安全。这种设计方式有以下好处：1、可以确保核心设备的性能；2、可以确保核心设备有更多的扩展性；3、可以在服务器区域单独部署策略，确保服务器区域的安全。3.4全面的系统安全设计本方案提供了丰富、全面的系统安全设计。整个方案考虑了用户层面、设备、数据和管理的各个层面的安全需求，并进行了整体安全的设计。设备方面，采用的各个层次的设备都支持了对自身负责层面的安全功能，从接入层、汇聚层到核心层，都进行了安全方面的考虑和设计；如接入层面提供的VLAN、802.1x保护接入层面数据和用户的安全。防ARP功能、ACL功能提供对ARP病毒和常见的蠕虫、冲击波等病毒的防范。数据层面，对数据在各个系统层面的传输都考虑的安全方面的设计。管理层面，提供SSHv1/v2的加密登陆和管理功能，在远程登录设备的时候发送的数据都是经过机密的，避免管理信息明文传输引发的潜在威胁；Telnet/Web登录的源IP限制功能，限制只有合法IP的终端才能登陆管理设备，避免非法人员对网络设备的管理；SNMPV3提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不被篡改，并且加密报文，确保数据的机密性。3.5 轻松便捷的用户和网络管理统一的网络设备管理平台，为的医院的托普管理、设备管理等提供统一的监控、管理、维护中心，确保网络系统的稳定运行。基于IPFIX的流量分析技术，提高对HIS/PACS等数据的流量分析和管理能力，为后期医院电子病例在医院内部的开展提供各种流量规划数据，同时，有效的监控