医院新大楼网络建设规划.doc

兰州市第二人民医兰州市第二人民医院院新建大新建大楼网络 规划设计 二零一五年十一月 目目 录录 第第 1 章章 概述概述 2 1 1 医院简介 2 1 2 医院新大楼网络接入简述 3 1 3 需求分析 4 1 3 1安全网络 4 1 3 2可控接入 5 1 3 3可管理网络 5 1 3 4高性价比网络 5 1 4 建设内容 6 第第 2 章章 医院新大楼网络建设规划医院新大楼网络建设规划 8 2 1 网络建设原则 8 2 1 1网络资源的高可用性 9 2 1 2网络的高可靠性 9 2 1 3网络的高扩展性 10 2 1 4网络的高安全性 10 2 1 5网络的易管理性 12 2 2 医院新大楼网络建议方案简介 13 2 2 1 此次方案设计拓朴如下图 13 2 3 方案设计思想 13 2 3 1对于医院新大楼的核心交换机设计 13 2 3 2接入交换机设计 15 2 3 3网络拓扑的设计 15 2 3 4对于服务器系统的接入设计 16 2 4 VLAN 解决方案 16 2 4 1基于端口的 VLAN 划分 16 2 5 IP 地址的规划方案设计 17 2 5 1地址规划的基本思想 17 2 5 2IP 地址的分配计划 17 2 6 产品选型 17 2 6 1核心交换机的选择 17 2 6 2接入交换机的选择 18 第第 3 章章 方案配置及其报价方案配置及其报价 20 第第 4 章章 成功应用案例成功应用案例 21 4 1 行业成功案例 21 4 2 广西成功案例 22 第第 5 章章 H3C 网络产品介绍网络产品介绍 23 5 1 H3C S7500E 系列高端多业务路由交换机 23 某市医院新大楼网络方案建议书 第第 6 章章 H3C S3100 26C SI 以太网交换机以太网交换机 29 第第 7 7 章章 VRRP 技术专题介绍技术专题介绍 34 7 1 VRRP 基本概念 34 7 2 VRRP 的实现 36 7 3 VRRP 的功能特点 39 7 4 组网应用 40 7 5 结论 42 某市医院新大楼网络方案建议书 第第 1 章章概述概述 1 1 兰州市第二人民医院简介兰州市第二人民医院简介 兰州市第二人民医院创建于 1958 年 5 月 前身是某市妇幼保健所 1980 年 扩大规模改名为兰州市第二人民医院 1997 年在全区妇幼卫生系统率先通过二级 甲等医院评审 经过约半个世纪的风雨洗礼和几代妇幼人的不懈努力 现已发展成 为集保健 医疗 科研 教学为一体的市级妇幼保健专科医院 承担着某市 含六 县 妇女儿童的保健 医疗任务 是全市妇幼保健业务指导中心 医院建筑面积 45670 72 平方米 编制床位 300 张 开放床位 170 张 现有职工 619 人 其中高 级职称 42 人 中级职称 137 人 设置职能科室 9 个 保健及临床业务科室 20 个 年门诊量逾 46 万人次 年收治住院 1 3 万余人次 年接产量 4000 余人 居全区医 院产科之首 医院始终坚持妇幼卫生工作方针 贯彻一法两纲 在全市 降消 等项目指导 督查 妇幼信息和三网监测管理 爱婴医院培训指导 产科质量检查 推广适宜技 术 健康教育和出生医学证明管理 基层人员培训 集体儿童保健管理等方面充分 发挥了妇幼保健业务指导中心的作用 为某市市妇幼保健事业的发展做出了较大的 贡献 医院立足于为妇女儿童服务 以群体保健为基础 以产 儿科为龙头 不 断拓展业务内涵 加快学科发展 形成了完整的婚前保健 孕产期保健 产前诊断 产后康复 妇女保健 儿童保健 遗传优生及生殖保健服务体系 临床妇科 产科 儿科 新生儿科 小儿外科 生殖助孕中心业务已在桂中地区形成一定的专科影响 是广西较有影响的妇科内窥镜应用基地 全区首家市级产前诊断准入单位 妇幼机 构首家 PCR 实验室国家认证单位 某市市唯一通过国家卫生部辅助生殖技术资质评 审的单位 全市妇女疾病治疗中心 高危孕产妇治疗和危重症抢救中心及早产儿护 理抢救中心 某市市新生儿筛查中心 开展的生殖助孕技术 试管婴儿临床妊娠成 功率达 42 2 小儿先天性心脏病外科手术治疗等已走在全区先进行列 医院拥 有先进的十六排螺旋 CT 中 C 臂 乳腺钼靶机 CR 实时四维彩超 心 腹 部 某市医院新大楼网络方案建议书 彩色 B 超 电视宫 腹 腔镜 电子阴道镜 肌瘤聚焦消融机 婴儿高压氧舱 儿 童呼吸机 高档麻醉机 儿童中心监护站 产妇中心监护站 妇女及儿童骨密度检 测仪 多频稳态机 全自动生化分析仪 全自动血气分析仪 全自动五分类血细胞 分析仪 时间分辨仪 酶标仪 细胞遗传工作站 基因诊断仪 进口牙科综合治疗 椅 眼科手术显微镜等现代化的医疗设备 为学科发展提供了良好的硬件基础 医 院与时俱进 转变观念 坚持服务宗旨 狠抓行风建设 大力抓科技进步 大胆进 行人事分配制度改革 树立了较好的社会形象 近年来评上省级 市级科技成果进 步奖 20 多项 先后被授予全国 三优工程 先进单位 全国卫生系统先进集体 全国百姓放心医院 国家级 三八 红旗集体 自治区先进基层党组织 自治区妇 幼工作先进单位 自治区爱婴医院先进单位 自治区级文明单位 自治区级绿色环 保医院 自治区级 巾帼文明岗 等称号 并获某市行风建设先进单位 某市科研 管理一等奖等多项表彰 目前市二人民医院兴建的 20 层新大楼 需要构建一个新的楼层局域网络 实 现与原有网络的无缝融合接入 用户需求是网络设计的依据 建立在确切需求之上的网络系统才是用户所真 正需要的 在某市医院局域网网络系统设计中 我们力求做到最细致地了解和分析 用户的需求 量体裁衣 以便针对需求设计出符合某市医院应用特点的网络系统 1 2 市第二人民医院新大楼网络接入简述市第二人民医院新大楼网络接入简述 根据市二医院的需求 需要建设一个支持医院数字化 网络化 自动化的国 内先进的基础网络平台 满足数字化医院建设的需要 也满足医院信息化建设的长 期要求 网络平台具有较好的服务质量 较高安全性 便于管理和维护 能够支持医 院的各种办公 医疗和科研应用 也支持移动办公 信息发布 网上医疗与医学科 研合作 接入层支持百兆到桌面 核心层支持全千兆并且具有向万兆速率平滑扩容的 能力 网络关键节点能够冗余热备保障系统连续稳定运行 具有高带宽 高可靠 高性能 高安全的特性 某市医院新大楼网络方案建议书 1 3 需求分析需求分析 本次工程的总体任务如下 充分考虑兰州市第二人民医院工作的新需要 新应用 按照相关系统的国家 标准 设计出符合本工程实际的建设方案 方案应以 先进 实用 经济 合理 用管两便 安全可靠 易于扩展 的 指导思想为原则 采用先进成熟的主流技术 充分考虑新建系统的可扩充性和与原 有系统的兼容性 并体现科学规划 合理布局 预留充分 应用方便的特点 达到 现代化 高效 舒适 安全 节能的人文办公环境的要求 在提出完整可行的建设方案的前提下 有效地组织施工 完成整个某市医院 新大楼网络系统的建设 网络系统建设应该符合如下要求 1 3 1 安全网络安全网络 医院信息化工作的特殊性 对网络与信息安全提出了很高的要求 由于安全性 的要求与投入成正比 并且涉及管理与应用的方方面面 是一个复杂的系统工程 实际上没有一个绝对安全的系统 安全只是相对而言 所以该原则是充分评估安全 风险 制定安全策略 采取必要的安全措施 其次 局域网内部同样面临安全威胁 不同部门 不同类型的应用 不同的人 员 不同的工作范围决定了不同的权限 我们需要保障这种不同 VLAN VPN 技 术 ACL 等网络技术提供不同形式层次的保护 同时可以将防火墙 IPS IDS 引入 实现更全面的内网安全 第三 接入安全 接入设备可以通过各种认证技术 比如 802 1x RADIUS EAPOL 等 将安全威胁屏蔽在网络之外 另外 防病毒也是网络安全建设必须考虑的重要问题 独立的防病毒软件已不 能防范在网络中传输的病毒 只有网络设备的介入 才能更好的抵御病毒的攻击 保护信息安全 我们需要安全联动解决方案 H3C 公司的安全产品体系完备 可以为某市医院信息化保驾护航 某市医院新大楼网络方案建议书 1 3 2 可控接入可控接入 伴随着网络应用技术的快速发展 网络信息安全问题也日益突出 病毒泛滥 系统漏洞 黑客攻击等诸多问题 已经直接影响到医院的正常运营 如何应对网络 安全威胁 确保医院网络安全 为医院办公的正常运行提供可靠的网络保障 已经 是每一个决策者不得不关注得问题 也是每一个网络管理员不得不面对的挑战 目前 多数网络安全事件都是由脆弱的用户终端和 失控 的网络使用行为引 起 在医院网中 用户终端不及时升级系统补丁和病毒库的现象普遍存在 私设代 理服务器 私自访问外部网络 滥用政府禁用软件等行为也比比皆是 失控 的 用户终端一旦接入网络 就等于给潜在的安全威胁敞开了大门 使安全威胁在更大 范围内快速扩散 保证用户终端的安全 阻止威胁入侵网络 对用户的网络访问行 为进行有效的控制 是保证医院网络安全运行的前提 也是目前医院网络安全管理 急需解决的问题 1 3 3 可管理网络可管理网络 网络管理维护网络建设中非常重要的环节 甚至是最重要的环节 因为建设网 络的目的最终是为了使用 而网络管理无疑是保障我们高效 可靠使用网络的必要 手段 随着技术的进步 网络管理内容和方式已在发生着变化 除了生成拓扑图 配置网络设备 监控网络流量 实时统计和事件报警等基本功能之外 增加了很多 新的功能 比如 VPN 实施 安全认证 安全策略下发 用户跟踪等等 同时 如 何灵活 安全地管理网络 也是网络管理发展的重要方向 这一变化使得网络管理 地位更加重要 H3C 公司的网络管理方案 针对不同规模的网络 不同应用环境 量身定做 高效管理网络的同时 可以提高网络的使用效率 降低网络维护成本 是医院信息化建设的重要组成 1 3 4 高性价比网络高性价比网络 满足应用的同时 高性价比是网络建设的不二选择 最后 我们强调 系统设计要符合局域网现在和未来 3 5 年内的需求 不能 某市医院新大楼网络方案建议书 盲目追求大而全 以最少的投资创造实际需要的功能 1 4 建设内容建设内容 市医院新大楼网络系统建设 对于总体的系统结构要求必须满足如下条件 所有网络建设都是为了更好服务于客户的实际应用 保证如财务管理 各种收费 药品药库管理 OA 以及临床的信息化 如 PACS LIS 手术室 麻醉图形处理等应用的畅通无阻 简化网络的管理和维护 将精力专注于应用 实用性 先进性 扩展性和标准化的结合 面向应用 注重实效 确保网络建设能够切合实际 满足使用要求 网络体系结构具有开放性 协议遵循国际标准 具有良好的可扩展性 为系统升级提供一个良好的途径 系统结构合理 安全可靠 系统结构有良好的分层设计 结构清晰合理 从各种方面综合保证网络的可靠性 各种设备易于管理和维护 局域网建成之后应符合以下要求 充分利用现有计算机网络设备 保护先期投资 并与新增网络设备充分结合共 同组成一套高效率 高性能 高稳定性的网络系统 网络主干采用光纤 1000M 技术 实现与各楼层 主楼内网交换机间的高速连接 实现 100 1000M 到桌面 实现核心交换机对服务器的 1000M 连接 内网核心交换机 采用双机热备结构 网络中使用的设备和协议应完全符合国际通用的技术标准 网络核心支持 IPV6 协议 在网络中使用网络管理软件来管理所有网络设备 对网络设备及 VLAN 等进行 直观 灵活的配置 提供完整的网络拓扑图 可以根据网络的流量等情况做出分析 和建议 内外网各设置一套 并可在中心控制室内结合综合控制系统管理和控制整 个网络 某市医院新大楼网络方案建议书 第第 2 章章 兰州兰州市第二人民医院新建大楼网络规划市第二人民医院新建大楼网络规划设计设计 2 1 网络建设原则 局域网网络系统设计将严格遵守各种相关的技术原则 遵循各种相关的技术标 准和规范 整个网络系统设计严格按照以下原则进行 先进性和实用性先进性和实用性 采用先进成熟的技术满足内部应用系统的需求 兼顾其他相关的管理需求 尽 可能采用先进的网络技术以适应更高的数据 语音 视频 多媒体 的传输需要 使整个系统在相当一段时期内保持技术的先进性 以适应未来信息化的发展的需要 安全性和可靠性安全性和可靠性 为保证各项业务应用 网络必须具有高可靠性 尽量避免系统的单点故障 要 对网络结构 网络设备等各个方面进行高可靠性的设计和建设 在网络设计上应采 用硬件备份 冗余等可靠性技术提高整个网络系统的可靠性 灵活性和可扩展性灵活性和可扩展性 计算机网络系统是一个不断发展的系统 所以它必须具有良好的灵活性和可扩 展性 能够根据不断深入发展的需要 方便的扩展网络覆盖范围 扩大网络容量和 提高网络的各层次节点的功能 具备支持多种应用系统的能力 提供技术升级 设 备更新的灵活性 开放性和互连性开放性和互连性 具备与多种协议计算机通信网络互连互通的特性 确保本计算机网络系统的基 础设施的作用可以充分的发挥 在结构上真正实现开放 基于开放式标准 包括各 种局域网 广域网等 坚持统一规范的原则 从而为未来的发展奠定基础 可管理性可管理性 由于内部局域网本身具有一定复杂性 随着业务的不断发展 网络管理的任务 必定会日益繁重 所以在网络设计中 必须建立一套全面的网络管理解决方案 网 络设备必须采用智能化 可管理的设备 同时采用先进的网络管理软件 实现先进 某市医院新大楼网络方案建议书 的管理 最终能够实现监控 监测整个网络的运行情况 合理分配网络资源 动态 配置网络负载 可以迅速确定网络故障等 通过先进的管理策略 管理工具提高网 络的运行性能 可靠性 简化网络的维护工作 从而为办公 管理提供最有力的保 障 2 1 1 网络资源的高可用性网络资源的高可用性 网络的建设关注整体投资回报 网络资源与应用的实用性是网络建设的根本 在此基础上考虑网络的可靠性 可扩展性 安全性以及可管理性 从两个方面考虑网络的实用性 网络的整体性能整体性能和网络运营网络运营的开销与回报 网络的性能是由应用系统的数据流量分布 网络设备性能及广域网链路带宽综 合决定的 对应用系统的认真分析是网络设备选型以及广域网链路带宽选择的基础 在医院网络上运行的应用系统应综合考虑医院的 HIS 系统 办公系统 教学系统 以及语音及视频应用 尤其在考虑语音及视频应用时应注意对链路带宽的影响 在 一定的网络资源条件下 可利用各种技术实施对于关键的应用系统的保障 如通过 先进的队列机制进行拥塞控制 对不同等级的数据进行不同的处理 包括时延的不 同和丢包率的不同 采用具备先期拥塞控制机制的网络设备 当网络出现真正的拥 塞前就自动采取适当的措施 进行先期拥塞控制 避免瞬间大量的丢包现象 对非 常重要的特殊应用 应可以采用保留带宽资源的方式保证其 QoS 2 1 2 网络的高可靠性网络的高可靠性 医院信息网络由于运行整个医院的业务系统 需要保证网络的正常运行 不因 网络的故障或变化引起政府业务的瞬间质量恶化甚至内部业务系统的中断这点十分 重要 网络作为数据处理及转发中心 应充分考虑可靠性 网络的可靠性通过冗余技术实现 包括电源冗余 处理器冗余 模块冗余 设 备冗余 链路冗余等技术 模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应 具备 1 1 或 1 N 热备份的功能 所有模块具备热插拔的功能 当某一关键模块出 某市医院新大楼网络方案建议书 现故障时 可由备份模块接替其功能 例如在核心交换机 S7506R 上 配置了 1 1 冗余备份的电源模块 保证在任何一个电源模块故障的时候 整个网络仍然 能够正常运行 在主控制引擎方面 也配置了高度可靠的冗余引擎 引擎之间利用 状态热备份技术保证故障的快速切换 在同等条件下提供业界最为快速的故障切换 时间 2 1 3 网络的高扩展性网络的高扩展性 从我国医院信息系统的发展来看 目前随着门诊系统 住院系统 PACS 系统 以及远程医疗的网络化 应用系统的大规模使用使得业务流膨胀是必然的趋势 网 络系统面临数据流量增大的压力 在设计医院系统信息网络时应充分考虑系统的可 扩展性 从而保护网络系统投资 网络的扩展能力包括设备交换容量的扩展能力 端口数量的扩展能力 主干 带宽的扩展 以及网络规模的扩展能力 交换容量扩展应具备在现有基础上继续扩充 2 4 倍容量的能力 以适应 IP 类 业务急速膨胀的需求 设备的选型应充分考虑包转发能力以及数据交换能力 端口密度扩展需要认真分析用户和应用系统的扩展可能性 在具备扩展可能性 的信息节点配置高可扩展性的网络设备 满足网络扩容时对用户接入以及系统互联 的需要 主干设备应具备充足的接口 满足 4 8 倍甚至更高的带宽扩展能力 以 适应 IP 类应用及业务急速膨胀的需求 网络规模扩展需综合考虑网络体系结构 路由协议的规划和设备的 CPU 路由 处理能力 应能满足网络扩容时对用户接入以及数据流量变化或增大时处理能力的 需要 2 1 4 网络的高安全性网络的高安全性 网络的发展趋势是基于 Internet Web 技术的开放网络化系统 这不仅带来了新 的巨大的使用方便 同时也带来了不断增加的复杂应用及信息技术的挑战 因而安 全是医院系统网络建设中要考虑的一个关键因素 网络安全在内容上主要应考虑以下 5 个方面 某市医院新大楼网络方案建议书 身份鉴别与授权身份鉴别与授权 身份包括鉴别和授权 鉴别回答了 你是谁 和 你在哪 这两个问题 授权回 答 你可以访问什么 必须对身份机制谨慎部署 因为如果设施难以使用 即便是 最严谨的安全策略也有可能被避开 边界安全边界安全 边界安全涉及到防火墙种类的功能 决定网络的不同区域允许或拒绝何种业务 特别是在 Internet 和园区网之间或拨入网和园区网之间 数据的保密性和完整性数据的保密性和完整性 数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据 而 数据完整性指确保数据在传输过程中未被改动 安全监测安全监测 为检验安全基础设施的有效性 应经常进行定期的安全审查 包括新系统安装 检查 发现恶意入侵行为的措施 可能的特殊问题 拒绝业务攻击 以及对安全策略 的全面遵守等方面 策略管理策略管理 由于网络安全涉及到以上的多个方面 每一个方面都使用了多种产品和技术 对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全 策略 802 1X 端口认证端口认证 由于现在成熟的认证记费软件 不断推陈出新 并且用户群体的网络技术水平 在不断提高 如何更好的控制但又不过于限制是目前需要解决的办法 华为网络认 为采用 802 1x 的端口认证技术以及灵活的记费解决上述问题 并达到很好的效果 在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容 制 定统一的安全策略 购买相应的安全产品实施安全保护 监控网络安全状况 遇攻 击时可采取安全措施 主动测试网络安全隐患 生成网络安全总体报告并改善安 全策略 某市医院新大楼网络方案建议书 2 1 5 网络的易管理网络的易管理性性 随着网络中设备逐渐增多 网络技术日趋复杂 网络管理的重要性越来越明 显 网络的复杂导致系统运行的不确定因素增加 可靠性降低 宕机 时间变 长且带来的损失越来越大 而往往由于平时对网管的忽略 缺乏受过专业培训的网 络管理人员 也缺乏综合的网管解决方案 因而发生问题时无从下手 这才意识到 网管的重要 作为一套考虑完善 可靠性要求极高的系统 当然不希望有 亡羊补 牢 的情况发生 因此网络管理是网络设计必不可少的考虑因素之一 从设备本身 操作系统所具备的一些网管功能 到简单的网络管理工具 甚而功能强大的大型管 理系统 用户可根据自身的实际网络应用和资金安排 循序渐进 逐步实现全面网 络管理功能 与传统的单一应用网络不同 医院信息网络是一个集成了视频和数据的新型网 络体系 在这样的一个集成环境中 网络从承载单一的数据到多种不同的应用 如 何合理利用带宽资源 保障关键性业务 QoS 等管理要求成为网络规划管理人员不 能回避的问题 网络管理系统必须提供有效的性能监控与流量收集分析的网络工具 帮助网络管理人员优化网络性能 准确地进行网络规划 多种业务的集成要求势必 带来网络硬件环境的变化 从单一的路由器与交换机的互连到集合了路由器 交换 机 IP PHONE 语音网关 视频设备等多样设备的互连 设备管理和配置的直观 性 灵活性对网络管理的效率至关重要 Quidview 网络管理软件是 H3C 公司对全线数据通信设备进行统一管理和维护 的网管产品 位于网络解决方案的管理层 能够实现网元管理 网络管理的功能 可以考虑以后购买 某市医院新大楼网络方案建议书 2 2 市人民医院新大楼网络建议方案简介 2 2 1 此次方案设计拓朴如下图 此次方案设计拓朴如下图 2 3 方案设计思想 充分考虑医院网络建设的特点 结合某市医院的实际情况 我们建议从下面 几个方面设计来保证某市医院整个网络的高可靠性 高可用性 易扩展性 开放性 安全性 可管理性和实用性 2 3 1 对于市医院新大楼的核心交换机设计对于市医院新大楼的核心交换机设计 我们推荐使用两台 H3C 公司的高端新款模块式路由交换机 S7502E 该交换机 是杭州华三通信技术有限公司 以下简称 H3C 公司 面向融合业务网络推出的新 一代高端多业务路由交换机 该产品基于 H3C 自主知识产权的 Comware V5 操作 某市医院新大楼网络方案建议书 系统 融合了 MPLS IPv6 网络安全 无线 无源光网络等多种业务 提供不间 断转发 优雅重启 环网保护等多种高可靠技术 在提高用户生产效率的同时 保 证了网络最大正常运行时间 从而降低了客户的总拥有成本 TCO H3C S75002E 符合 限制电子设备有害物质标准 RoHS 是绿色环保的路由交换机 S7502E 路由交换机以 192G 整机交换容量 400Gbps 的背板容量 143Mpps 包转 化率等高薪能特性可以实现 IPv4 IPv6 业务的线速无阻塞转发 满足大容量数据的 快速交换和转发 同时支持丰富的业务协议 同时我们采用 H3C 的 VRRP 热备份路由协议实现两台 S7502E 核心交换机设 备以及链路的自动冗余 该技术的工作原理主要是将互备路由设备配置在一个 VRRP 协议组中 并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址 同时 根据优先级方案决定将优先级最高的路由器设备定义为默认主动路由 路由器的缺 省优先级为 100 协议组中的其它路由器则为备份路由器 此时 协议组将虚拟 缺省网关 IP 地址指向主动路由设备 主动路由设备即成为网络系统中的缺省网关 设备 VRRP 协议技术使用主播 基于 UDP 的呼叫信号包 HELLO 包 来实现同 一 VRRP 组内互备路由器之间的通信 即 VRRP 协议组中的主 备路由器之间定 期向对方发出 HELLO 包进行端口检查 当主设备出现故障时 在规定的一段时间 内不能发出 HELLO 包时 VRRP 协议此时将备用路由设备激活 使其成为网关设 备 并将动态的虚拟网关 IP 地址指向备用路由设备 备用路由设备立即承担起网 络系统中的数据转发功能 当主路由设备故障恢复后 VRRP 协议自动将优先级高 的主路由设备激活 使之成为网络系统的网关 VRRP 协议组中的主 备路由器之 间的动态热切换都是自动完成 而且不用修改网关地址 网络系统中的设备指向的 缺省网关都是 VRRP 协议组中定义的虚拟网关的 IP 地址 只不过不同情况下映射 的路由器地址不同而已 采用了 H3C 公司的 VRRP 路由协议技术后 网络系统平台才真正解决了网关 设备的动态热切换的矛盾 真正作到了网关设备的自动冗余备份 保证了网络平台 稳定可靠的运行 实现了任何一台核心交换机出现故障或者任意一条链路出现故障 都不回影响数据的正常通信 从而保障了业务系统的 24 小时不间断正常开展 某市医院新大楼网络方案建议书 接入交换机设计接入交换机设计 我们采用 H3C 的 S3100 系列千兆以太网交换机 S3100 26C SI 该产品是 H3C 公司秉承 IToIP 理念设计的二层线速智能型可网管以太网交换机产品 具有千兆上 行 可堆叠 无风扇静音设计 完备的安全和 QoS 控制策略等特点 满足企业用 户多业务融合 高安全 可扩展 易管理的建网需求 S3100 26C SI 通过千兆上 行 SFP 端口保证接入层与核心层实现千兆接入 确保网络的带宽 同时实现 100M 网络带宽到桌面 H3C 公司生产的 S3100 26C SI 千兆交换机支持 802 1x 认证 在 用户接入网络时完成必要的身份认证 支持 MAC 地址和端口等多元组绑定 广播 风暴抑制和端口锁定功能 保证接入用户的合法性 支持跨交换机的远程端口镜像功能 RSPAN 可以将接入端口的流量镜像到 核心交换机 7502E 上 在核心上启动网流分析 Netstream 功能 对监控端口的 业务和流量进行监控 优化部署和恶意攻击监控 支持 DHCP Snooping 侦听 功能 通过建立和维护 DHCP Snooping 绑定表实现 侦听接入用户的 MAC 地址 IP 地址 租用期 VLAN ID 接口等信息 解决了 DHCP 用户的 IP 和端口跟踪定位问题 同时对不符合绑定表项的非法报文 ARP 欺骗报文 擅自修改 IP 地址的报文 直接丢弃 保证 DHCP 环境的真实性和一致 性 这样可以防止目前杀毒软件不能解决的 ARP 欺骗攻击和 DDOS 攻击等 确保 网络的安全性 2 3 2 网络拓扑的设计网络拓扑的设计 在网络的拓扑设计中 我们遵守了如下原则 拓扑可靠性拓扑可靠性 在各网络的拓扑设计中应遵循 N 1 的电路可靠性原则 N 1 的电路可靠性 拓扑中去掉任何 1 条链路 不影响节点的连通性 这就要 求每个节点至少有两条不相关的链路与其他节点相连 扩展性扩展性 网络链路和节点的增加 减少以及修改应不影响网络的总体拓扑 遵循此原则 本次规划设计中采用如下结构 1 核心使用两台核心交换机 S7502E 和 S7502E 两者通过千兆 GE 互连 并 做端口核心 做为整个网络的核心 并互为备份 服务器通过双网卡分 某市医院新大楼网络方案建议书 别接入两台核心交换机实现单台核心交换机出现故障不会影响对服务器 的访问 2 1 楼到 5 楼楼层接入节点各使用两台 S3100 26C SI 交换机做堆叠 作为 楼层接入交换机 实现千兆上行接入核心交换机 并使用 MSTP 二次协 议和 VRRP 三层路由协议实现整网冗余和分担流量 3 6 楼到 20 楼楼层接入节点各使用一台 S3100 26C SI 交换机作为楼层接 入交换机 实现千兆上行接入核心交换机 并使用 MSTP 二层协议和 VRRP 三层路由协议实现整网冗余和分担流量 2 3 3 对于服务器系统的接入设计对于服务器系统的接入设计 服务器众多 且后期需要增加大量服务器 需要有一定的扩展性 因此我们 设计把服务器放置在核心交换机一个楼层 此外服务器都使用千兆的双网卡分别连 接两台 S7502E 使用 VRRP 作冗余 最大化保障服务器在网络上的实时在线 同时 保证服务器和核心交换机的千兆带宽接入 2 4 VLAN 解决方案解决方案 在现代大型的网络应用中 为了建立起各类网络用户具有安全的 独立的广 播域或者组播域 我们可以将交换机上的端口组合成一个一个的虚拟局域网 VLAN 通过设置 VLAN 我们达到了限制广播包的传播范围和降低广播包的影响 所有以太网数据包 如 点播 unicast 组播 multicast 广播 broadcast 以及未知 unknown 的数据包 都将只在 VLAN 内传送 这样在 一定程度上可以提高网络的安全性 另外人们也经常需要对现有的网络拓扑结构进行一些简单的或小量的改变 同时又不需要网络中的工作站发生物理上的移动或者网络线路连接上的变动 我们 采用 H3C 的 S7500E 核心路由交换机和 S3100 26c SI 太网交换机提供的丰富的 VLAN 功能 实现对用户工作站的 VLAN 设置改动 就将工作站从一个 VLAN 移到了 另一个 VLAN 以达到使网络节点的移动变换增加变得非常灵活和容易 根据某市医院新大楼网络系统工程的具体情况 我们建议用户可以从以下几 个方面进行网络内部 VLAN 系统的规划和设计 某市医院新大楼网络方案建议书 2 4 1 基于端口的基于端口的 VLAN 划分划分 根据大楼内部各个不同的功能区域现有的网络用户分布情况 我们可以采用 基于各个接入交换机的物理端口划分 VLAN 的解决方案 以一个单独单位或者一个 特定的用户群为一个 VLAN 作为一个子网 从而实现相互之间的隔离 H3C S7502E 能支持大量的 VLAN 数量划分 最大到 4096 个 VLAN 对以后的网络扩容和用 户急剧增加有独到的处理能力 并且 S7502E 支持 QinQ 即双层的 802 1Q 帧 这样我们可以配置这两个连接到骨干网络的千兆以太网端口是上连端口 于 是所有的在这个 VLAN 里面的广播包和未知目的地的 Unicast 包都不会去到 VLAN 的 其他任何端口 它们只会到这个 VLAN 的上连端口出去 每个客户都不会收到其他 客户的广播或者匿名包 这样就避免的在客户端的用户用类似网络邻居或者其他广 播的方式发现对方 也避免了各个单位和接入端所出现的不必要或者恶意的广播风 暴 保护了网络的安全 2 5 IP 地址的规划方案设计 网络核心层由信息中心的骨干交换机组成 未来的网络建设会以围绕核心节 点进行扩展 建立各个接入层结构 对于已有的 IP 地址分配 在新的网络建设中 采用以下原则 2 5 1 地址规划的基本思想地址规划的基本思想 通常合理的地址规划是使连续的地址尽量集中在一个区域内 因此 核心层 应象一个区域或一个节点一样 被分配一段连续的地址 更进一步 连接进某一区 域的节点的 IP 地址范围应集中在该区域的地址范围附近 地址规划时充分考虑 CIDR 和 VLSM 的设计思想 保证 IP 地址的最大利用率的同时方便今后业务的扩展 2 5 2 IP 地址的分配计划地址的分配计划 对于原合法地址的分配 建议某市医院分配给新的 IP 地址段 具体 IP 地址 分配 需要根据实际申请到的连续 IP 地址来划分 原则为 首先每一个部门为一 某市医院新大楼网络方案建议书 个段的私有 IP 地址 例如 192 168 1 0 255 255 255 0 这个段 2 6 产品选型产品选型 2 6 1核心交换机的选择核心交换机的选择 对于市人民医院新大楼核心交换机的选择 我从如下几个方面考虑 1 核心交换机的整机交换容量 2 核心交换机的背板容量 3 核心交换机的包转发率 4 核心交换机的支持的最大 MAC 地址数 5 核心交换机的可扩张性 先进性和实用性 6 核心交换机的可网管性 安全性和 QOS 等 综合以上几个条件 结合某市医院新大楼网络的实际情况 我们推荐使用 H3C 公司生产的 S7502E 路由交换机 该交换机是 H3C 公司 2007 年推出的一款新式 路由交换机 该产品基于 H3C 自主知识产权的 Comware V5 操作系统 融合了 MPLS IPv6 网络安全 无线 无源光网络等多种业务 提供不间断转发 优雅重 启 环网保护等多种高可靠技术 在提高用户生产效率的同时 保证了网络最大正 常运行时间 从而降低了客户的总拥有成本 TCO H3C S7500E 符合 限制电子 设备有害物质标准 RoHS 是绿色环保的路由交换机 H3C S7500E 采用分布式 体系架构 实现 IPv4 IPv6 业务的线速无阻塞转发 H3C S7500E 已经通过了信息 产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证 是成熟商用的 IPv6 产 品 该产品持强大的 ACL 能力 支持标准和扩展 ACL 支持基于 VLAN 的 ACL 方便 用户配置 节省 ACL 资源 支持出方向和入方向的 ACL 每板最大可支持 9K 条 ACL 满足访问权限严格控制的需求 H3C S7500E 采用分布式体系结构 模块化设 计 主控板冗余热备份 无源背板 冗余电源支持双路供电 具有电信级可靠性 考虑实际运用情况 从性价比最优性考虑 S7502E 核心路由交换机主控板我 们推荐使用 H3C S7500E Salience VI 交换路由引擎 同时配备一块 H3C S7500E 24 端口千兆以太网电接口模块 RJ45 来提供 24 个千兆以太网电口 用于服务器的 接入 配备一块 H3C S7500E 24 端口千兆以太网光接口模块 SFP LC 其中 1 个千 某市医院新大楼网络方案建议书 兆光口用于接入原有的 S5624P 交换机 20 个千兆光口用于提供接入交换机的千兆 光纤接入 3 个千兆光口做冗余备份端口 2 6 2 接入交换机的选择 对于接入交换机的设计 我们从如下几个方面考虑 1 接入层实现交换机接能实现防止 ARP 地址欺骗 支持 MAC 与端口绑定 解 决外来机器进入内网问题 2 接入层交换机实现到核心交换机千兆上行接入 3 接入层实现百兆到桌面 无风扇静音设计 4 接入交换机的具有较大的背板交换容量 5 接入在支持冗余堆叠的同时 完备的安全和 QoS 控制策略 6 支持可网管 综合以上条件 我们推荐使用 H3C 公司生产的 S3100 26C SI 考虑某市医院 新大楼 1 楼到 5 楼接入点在 24 到 40 之间 因此我们建议从 1 楼到 5 楼每一楼层部 署两台 S3100 26C SI 交换机做堆叠 这样有利于管理和可高可靠性 提供 48 个 10 100M 的以太网 RJ45 接口和 4 个 1000M SFP 光纤上行端口 6 楼到 20 楼每一层 楼的接入点少于 24 个 因此我们建议从 6 楼到 20 楼每一楼层部署一台 S3100 26C SI 交换机 提供 24 个 10 100M 的以太网 RJ45 接口和 4 个 1000M SFP 光纤上 行端口 实现百兆接入到桌面和千兆上行接入核心交换机 同时也利于以后的扩展 某市医院新大楼网络方案建议书 第第 3 章章 方案配置及其报价方案配置及其报价 H3CH3C 网络设备报价清单网络设备报价清单 产品型号产品型号产品描述产品描述单价单价 数 量 小计小计 中心交换机中心交换机 LS 7502E H3C S7502E 以太网交换机主机 4 320 2 8 640 LSQM1AC650 H3C S7502E 交流电源模块 650W 6 400 2 12 800 LSQM1MPUA0 H3C S7502E 主控模块 27 680 2 55 360 LSQM1GT24SC0 H3C S7500E 24 端口千兆以太网电接口模块 RJ45 43 200 2 86 400 LSQM1GP24SC0 H3C S7500E 24 端口千兆以太网光接口模块 SFP LC 51 200 2 102 400 SFP GE SX MM850 A 光模块 SFP GE 多模模块 850nm 0 55km LC 2 000 42 84 000 合计合计 349 600 接入交换机接入交换机 LS S3100 26C SI AC H3C S3100 26C SI 以太网交换机主机 24 个 10 100Base T 2 个模块插槽 交流供电 4 000 25 100 000 LS ST1UB 以太网交换机千兆堆叠模块 1 米 专用物理接口 600 10 6 000 LS GM1UB 单端口千兆以太网多模光接口模块 850nm 500m SC 1 400 40 56 000 合计合计 159 000 总计总计 511 600 某市医院新大楼网络方案建议书 第第 4 章章 成功应用案例成功应用案例 4 1 广西成功案例 广西成功案例 某市医院新大楼网络方案建议书 4 2 行业成功案例 行业成功案例 某市医院新大楼网络方案建议书 第第 5 章章 H3C 网络产品介绍网络产品介绍 5 1 H3C S7500E 系列高端多业务路由交换机系列高端多业务路由交换机 H3C S7500E 系列产品是杭州华三通信技术有限公司 以下简称 H3C 公司 面向 融合业务网络推出的新一代高端多业务路由交换机 该产品基于 H3C 自主知识产权 的 Comware V5 操作系统 融合了 MPLS IPv6 网络安全 无线 无源光网络等多 种业务 提供不间断转发 优雅重启 环网保护等多种高可靠技术 在提高用户生 产效率的同时 保证了网络最大正常运行时间 从而降低了客户的总拥有成本 TCO H3C S7500E 符合 限制电子设备有害物质标准 RoHS 是绿色环保 的路由交换机 H3C S7500E 系列包括 S7510E 12 槽 S7506E 8 槽 S7506E V 垂直 8 槽 S7503E 5 槽 和 S7502E 4 槽 5 款产品 所有产品均支持冗余主控 H3C S7500E 可广泛应用于城域网核心和边缘 园区网核心和核心以及配线间等多种网络环境 为用户提供了有线无线一体化 有源无源一体化的行业解决方案 产品特点产品特点 1 丰富的业务 适应融合业务网络发展趋势丰富的业务 适应融合业务网络发展趋势 全面的 MPLS 业务能力 某市医院新大楼网络方案建议书 H3C S7500E 所有产品均支持 VRF Lite 特性 可以做为 MCE 设备使用 支持三 层的 MPLS VPN 和二层的 MPLS VPN Martini Kompella 可扩展支持 VPLS 技术 支持 MPLS OAM 特性 方便用户的管理和维护 与 H3C MPLS VPN Manager 配合 实 现图形化的 MPLS 部署与维护 线速的 IPv4 IPv6 业务能力 H3C S7500E 支持 IPv4 IPv6 双协议栈 支持多种 6to4 隧道技术 支持 IPv4 IPv6 的组播技术 为用户提供完善的 IPv4 IPv6 解决方案 H3C S7500E 采用 分布式体系架构 实现 IPv4 IPv6 业务的线速无阻塞转发 H3C S7500E 已经通过 了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证 是成熟商用的 IPv6 产品 有线无线一体化 有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力 包括精细的用户控制管 理 完善的 RF 管理及安全机制 快速漫游 超强的 QOS 和对 IPV6 的支持等 无线 控制模块通过与安全策略服务器的联动 实现对无线接入用户的端点准入防御 提 高了整网的安全性 H3C S7500E 是业界最高密度的以太网无源光网络 EPON 设备 单台最大可接 入 10240 个 FTTH 用户 H3C S7500E 是高可靠的 EPON 系统 采用分布式体系结构 模块化设计 主控板冗余热备份 无源背板 冗余电源支持双路供电 具有电信级 可靠性 支持 Portal 认证 H3C S7500E 支持大容量的 Portal 认证功能 可以在数千用户的局域网中做为 EAD 网关设备 为全网用户提供 EAD 安全认证功能 可以在大中型的校园网中担任 核心 核心设备的同时 为学生宿舍区的认证计费提供 Portal 认证功能 2 灵活的配置 适应各种应用场景灵活的配置 适应各种应用场景 配线间融合业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡 单台设备可以提供 480 个 千兆线速接口和 4 个万兆线速接口 H3C S7500E 支持端点准入防御解决方案 解 决终端安全问题 内置 2800W 电源直接提供 PoE 功能 对 IP 语音和无线接入提供 良好的支持 政府电力城域网边缘和核心的最佳选择 H3C S7500E 支持 VRF Lite 特性 为用户提供高可靠高性能的 MCE 设备 通过 配置 Salience VI Turbo 引擎 可以提供集中式 MPLS 业务功能 适合在城域网边 缘作为高性价 PE 设备使用 通过配置 EA 类板卡 可以提供分布式线速的 MPLS 业 务功能 适合在城域网核心层作为高性能的 PE 使用 IPv6 网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能 H3C S7500E 针对 IPv4 IPv6 高性能的要求还开发了分布式 IPv4 IPv6 转发的 SC 板卡 在整机 满配置状态下实现线速无收敛 为高校用户提供了高性能低成本的双栈核心核心设 备 同时也满足其他行业用户 IPv6 Ready 的需求 某市医院新大楼网络方案建议书 3 全方位的安全保障 抵御多种网络安全威胁全方位的安全保障 抵御多种网络安全威胁 三平面安全保障机制 H3C S7500E 提供完善的安全防护机制 可从控制 管理 转发三平面全面保障 网络的安全 在控制平面 内置协议报文攻击识别模块 防止 TCN ARP 等协议报 文攻击 OSPF BGP IS IS 路由协议采用 MD5 验证 防止非法路由更新报文导致的 网络瘫痪 在管理平面 SNMPv3 网管协议 SSH V2 基于 802 1x AAA Radius 的 用户身份认证以及分级的用户权限管理保证了设备管理的安全性 在转发平面 支 持 IP VLAN MAC 和端口等多种组合精细绑定 支持 uRPF 单播反向路径转发 防 止非法流量访问网络 采用最长匹配逐包转发机制 有效抵御病毒的攻击 有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分 S7500E 可以动态 的接收来自安全策略服务器的控制策略 根据终端的安全状态给予下发相应的访问 权限 H3C S7500E 既支持有线终端用户的 EAD 也支持无线终端用户的 EAD 能够 做到终端安全防范无漏洞 增强的 ACL 特性 H3C S7500E 系列产品支持强大的 ACL 能力 支持标准和扩展 ACL 支持基于 VLAN 的 ACL 方便用户配置 节省 ACL 资源 支持出方向和入方向的 ACL 每板最 大可支持 9K 条 ACL 满足金融等行业访问权限严格控制的需求 4 电信级的高可靠性 保障用户业务长期稳定运行电信级的高可靠性 保障用户业务长期稳定运行 电信级高可靠性设计 H3C S7500E 采用无单点故障设计 所有关键部件 如主控板 交换网 电源和 风扇等采用冗余设计 无源背板避免了机箱出现单点故障 所有单板和电源模块支 持热插拔功能 H3C S7500E 系列可以在恶劣的环境下长时间稳定运行 达到 99 999 的电信级可靠性 多业务高可靠性运行 H3C S7500E 支持不间断转发和优雅重启 提供毫秒级的切换时间 支持等价路 由 可帮助用户建立多条等值路径 实现流量的负载均衡及冗余备份 支持 RRPP 快速环网保护协议 提供小于 200ms 的环网故障保护 支持 Smart Link 协议 保 证双上行网络拓扑的业务毫秒级快速