人民医院外科病房楼网络方案技术建议书.doc

人民医院外科病房楼网络方案技术建议书人民医院外科病房楼网络方案技术建议书目 录1.网络厂商的选择41.1.设备应用规模及稳定性、兼容性41.2.完善的研发体系和全系列的网络产品51.3.健全的服务支持和培训认证体系52.前言72.1.概述72.2.设计要求82.3.整体建网原则93.局域网总体技术方案113.1.总体方案设计113.1.2.有线无线混合组网下的认证方案123.1.3.用户管理133.2.网管方案143.2.1.基础网络资源管理153.2.2.基础网络拓扑管理153.2.3.故障与告警管理153.2.4.性能监控163.2.5.系统管理164.网络业务设计164.1.IP地址规划164.1.1.IP地址分配原则174.1.2.IP地址规划方案174.2.路由设计184.2.1.路由协议选择及设计建议184.2.2.路由协议选择原则184.2.3.本网络路由协议的选择194.3.VLAN的划分194.3.1.划分VLAN的必要性194.3.2.划分VLAN的方法214.3.3.VLAN规划224.4.组播业务234.5.QoS设计244.5.1.QoS体系结构的选择254.5.2.QoS的实现机制264.5.3.QoS部署314.5.4.关键业务服务质量保证设计425.某公司售后保障体系以及用户认证培训体系435.1.两小时厂家上门服务435.2.服务组织结构435.3.服务及时性保障445.4.服务有效性保障465.4.1.724小时热线技术支持电话465.4.2.区域技术支持平台465.4.3.网上问题处理系统465.4.4.完善的实验平台475.4.5.高效快捷的备件系统475.4.6.技术支持网站与技术支持论坛475.4.7.完备的技术支持资料开发系统486.某城人民医院解决方案特点496.1.全分布的处理方式496.2.核心交换机先进的体系架构设计496.3.基于流攻击的防止。496.4.QoS规划设计506.5.有线无线一体化管理506.6.厂家技术实力506.7.售后服务507.方案产品介绍517.1.某 S7500E 系列高端多业务路由交换机517.1.1.产品概述517.1.2.产品特点527.1.3.产品规格557.2某 S5120-SI系列交换机627.2.1产品概述627.2.2产品特点637.2.3产品规格657.3某器SecPath U200-A统一威胁管理产品687.3.1产品概述687.3.2产品特点697.3.3产品规格701. 网络厂商的选择在充分研究某城人民医院外科病房楼网络项目的需求的基础上，我们对目前业界的主流的网络厂商，做了较为详细的对比研究，综合考虑厂家产品及解决方案在医疗及其他行应用规模、产品技术的先进性、成熟度及兼容性、公司的研发实力和服务体系保障等因素，我们建议采用杭州华三通信技术有限公司（以下简称某公司）的网络产品作为此次项目的组网设备。选择某公司的依据：某公司可以提供全线的包括交换机、管理软件、无线系统以及防火墙等性价比非常高的产品来满足此次项目的要求。1.1. 设备应用规模及稳定性、兼容性某公司的网络产品目前已经广泛应用与全球的各个行业中，截至2007年4季度某公司在中国市场交换机的市场份额为41，路由器为30（数据来源于CCID 2008年2月），名列前茅。目前某的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区，并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。 某目前在国内的医疗网建设中已经得到了大规模的应用。在国内，某承建了绝大部分的无线医疗网，包括：l 各医院大规模的应用不但大大拉近了用户和某公司的距离，使得某公司能够更快更好为市场、为用户提供产品，同时也验证了某公司产品的稳定性和兼容性。1.2. 完善的研发体系和全系列的网络产品某每年将销售额的15以上用于研发投入，在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。目前，某已申请专利超过700件，其中80是发明专利。某目前从事IP产品技术研发的研究所有6个，包括北京研究所、杭州研究所、印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过2000人。印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高级的CMM5级国际认证，北京研究所、杭州研究所通过CMM4级国际认证。某不但拥有全线路由器和以太网交换机产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前，安全产品中国市场份额位居前三，IP存储亚太市场份额第一，IP监控技术全球领先，某已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。1.3. 健全的服务支持和培训认证体系某公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外，某还在全国建立了36个售后服务中心，建有完备的技术支援平台和备件系统，通过先进的通信技术与总部的技术支援平台连接，完成用户信息、故障处理流程、备件库存、产品分布等信息的共享，形成覆盖全国地市级城市，专职人员规模超过200人的技术支援体系。同时还在各省市派遣有售后服务工程师，以提高售后服务的响应速度。某技术支持支援平台拥有一批高素质的服务队伍，所有服务人员都具有本科以上学历，且有3年以上大型网络服务经验。为了满足不同客户不同层次的培训需求，某服务公司建立了规范、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。目前，在数据通信网络技术领域，某培训面向全球，致力于培养专业务实网络人才。考虑客户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训和客户化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。l 在中国建立30余家授权培训中心，海外建立7家授权培训中心；覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。l 在中国建立60余家网络学院，海外建立1家网络学院。l 与40余所职业院校建立合作,支持中国职教IT专业课程改革项目。鉴于以上几个主要原因，我们在此次投标中选用了某公司的网络产品做为此次投标的网络产品。2. 前言2.1. 概述随着信息技术的快速发展，国内越来越多的医院正加速实施基于信息化平台、HIS系统的整体建设，以提高医院的服务水平与核心竞争力。信息化不仅提升了医生的工作效率，使医生有更多的时间为患者服务，更提高了患者满意度和信任度，无形之中树立起了医院的科技形象。因此，医疗业务应用与基础网络平台的逐步融合正成为国内医院，尤其是大中型医院信息化发展的新方向。随着计算机网络技术的发展与成熟，大多数发达国家和一些发展中国家已开展网络报病和传染病信息的网络化管理，大大提高了对突发传染病的应对速度与能力。为了适应信息技术的发展，与国际接轨，自2003年SARS之后，我国已经将疾病预防控制与公共卫生领域突发公共卫生事件的应急处理上升到国家安全、社会稳定的高度，我国卫生事业将面临难得的机遇和严峻的挑战，目前，我国已基本实现对突发传染病疫情监控的网络化与数字化。随着卫生信息化的纵深发展，在突发公共卫生为主线的基础上，国家和各省已逐步建立起多个监测网络系统，如何实现对现有的信息网络系统的运行维护，如何实现这些监测网络系统的综合集成，如何建立一个“横向到边，纵向到底”的国家疾病监测网络系统，成为近年来对公共卫生事业的新挑战，也是公共卫生信息化建设的一个重要课题。近年来兴起的系统论、控制论、信息论对于我们实现医疗卫生信息化建设发挥了重要的作用。特别是系统论，它向我们讲述的是一种联系的、发展的观点。系统论的创始人是美籍奥地利理论物理学家贝塔朗菲（Bertalanfy），他提出了机体系统理论，强调生命现象不能用机械观点来揭示其规律，而只能把它当成一个整体或系统来考察。世界上任何事物都可以看成一个系统，系统是普遍存在的。系统论认为，整体性、关联性，等级结构性、动态平衡性、时序性等是所有系统的共同的基本特征。这些，既是系统所具有的基本观点，也是系统方法的基本原则。 公共卫生信息化建设是一项复杂的系统工程，从工程的规划、设计、建设实施、应用整合及运行维护等方面是一个相互关联的整体。因此，研究和论证中国公共卫生信息化建设，应当站在系统论的高度，应用系统论的基本原理对信息化各个方面进行严密的剖析。大多数医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，在将来的医院网络趋于实时、数字化网络，同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施，具体体现如下：电子病历访问/查看医生处方输入和药物治疗匹配护士呼叫系统 患者床边服务 对重要的统计数据的监控。对于具体的无线工程一般还要满足以下业务需求：针对医院的空间要进行全面覆盖；无线网络通过安全认证，保证医院信息不能通过无线网络对外泄露；用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；2.2. 设计要求山东省某城人民医院坐落在国内外闻名的某王亭遗址某城，某城市人民医院始建于1945年，是一所装备精良、医术精湛、服务一流，集医疗、科研、教学、预防保健、康复急救于一体的综合性二级甲等医院，编制床位400张，年门诊量达到12万人次，年出院病人16000人次，年住院手术4500人次。 医院现有职工426名，其中高级职称43人，中级职称210人，大专以上学历近300人，培养出3名博士生和14名硕士研究生。开展了大量新技术、新业务，如脊髓肿瘤摘除术，全髋关节置换术，垂体瘤切除术，前列腺电切术，低位直肠癌保肛根治术，断臂再植术，巨大脑肿瘤切除，放疗、介入治疗、综合治疗恶性肿瘤、电子胃肠镜诊疗技术、颅内血肿微创穿刺碎取术、无创呼吸机治疗呼吸衰竭、急性心肌梗塞溶栓治疗、按置心脏临时起搏器等60多项，有2项省级科研成果奖，5项地级科研成果奖，填补了我市多项空白；建立肿瘤治疗中心，血液净化中心、重症监护病房、新生儿病房等“高科技园”，形成以内、外、妇、儿四大专业为主的11个病区；为提高诊疗档次，构筑健康长城，医院加大投入，强化“硬件”建设，当前，投资1500万元，总面积达8700平方米，配有中央空调和高档电梯等先进设施的现代化门诊大楼已全部启用，日接诊量达300多人次，病房楼后1000多平方米的高标准特需楼亦已竣工。近年来，筹资2000多万元购置了螺旋CT、数字胃肠机、彩超等大型设备50多台套，2005年，又投资1000多万元购进西门子核磁共振，日本原装全自动生化分析仪，6台德国产牙科综合治疗台等先进设备。2.3. 整体建网原则结合医院的实际应用和发展要求，局域网网络系统设计，主要遵循以下系统总体原则： 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。 安全性原则：制订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。 可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。 规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 技术先进性和实用性：保证满足办公应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的需求和未来的发展趋势。 高性能：承载网络性能是整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为实施现代化办公业务的瓶颈。 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。3. 局域网总体技术方案3.1. 总体方案设计某城市人民医院网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，并考虑技术的先进性、成熟性，采用模块化的设计。网络采用星型结构组网，充分考虑到了网络骨干的高带宽、高可靠性，整网采用2台S7506E交换机作为核心，下行使用多模光纤连接到各楼层的汇聚交换机S5120-52P上，提供高速率的上行带宽，保障多种业务，特别是多媒体业务的高速传输。采用双千兆链路上行千兆到桌面的组网方式。考虑到网络的安全性，网络出口采用某 SecPath U200-A统一威胁管理产品。某 SecPath U200-A是某公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。3.1.1.1. WEB认证方案介绍WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。在某的FIT AP方案中，使用WEB认证时，强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件，使得管理和维护更简单，并同时能利用CAMS的功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、用户MAC绑定等，但无法做到用户通知消息下发和防止用户使用代理。3.1.1.2. WEB认证与802.1X认证对比功能WEB认证802.1x认证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务器不支持支持限制多网卡、拨号上网不支持支持显示当前网络状态及认证状态支持支持异常下线探测功能支持支持消息下发不支持支持对AAA服务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无3.1.2. 有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证，有线用户在以太网交换机上实现认证，无线用户在无线交换机设备上实现认证。通过在CAMS上设定对应的绑定区域，对于只能使用有线上网的用户绑定所有以太网交换机IP地址，无线上网用户由于其漫游特性，无需绑定到无线交换机的IP地址。设备要求：实现认证的以太网交换机和无线交换机必须支持标准Radius协议，能够和CAMS配合实现认证计费功能。如果要实现华为扩展的Radius功能，如防代理、消息下发等功能。则必须使用对应的某设备。3.1.3. 用户管理CAMS系统功能强大，操作简单，在用户认证管理上，具有以下特点： 用户绑定功能CAMS支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、用户IP地址等信息，保证用户绑定合法性。并支持用户MAC地址和用户IP地址自学习功能，大大减少管理员的录入量。 认证区域绑定功能通过认证报文上传的认证接入设备IP地址，CAMS系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内，增强了网络的安全性。 防代理功能针对医院用户，CAMS提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。目前CAMS系统的防代理功能必须要与某交换机配合实现。华为AP暂不支持防代理功能。 用户黑名单管理CAMS认证系统支持黑名单管理，支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能：在被试探帐号加入黑名单的同时记录恶意试探机器的MAC地址，限制从该MAC地址的机器试探该帐号，但被试探帐号可以在其它MAC地址的机器上正常使用，保证登录用户的合法性。 用户上网全程监控CAMS认证计费系统能对医生上网的全过程进行管理，实现医生上网的实时监测。对于网络上进行非法操作的医生，具备将用户踢下线的功能，控制医生对网络的使用。3.2. 管方案鉴于某公司已经具有大量的设备应用于医疗卫生网，在网管方面建议采用某的IMC智能管理中心产品，IMC智能管理中心在设备网管的定位上又增加了综合网管的功能及周边的增值功能，如网上产品版本管理及批理升级的功能；目前IMC智能管理中心产品可与其他设备厂商的网管共同集成于第三方网管平台，为用户提供了灵活的组件化结构，包括网络管理框架（NMF）、网络配置中心（NCC）、设备管理(DM)等组件，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件。IMC智能管理中心支持设备自动发现、拓扑管理、告警管理、性能管理、网管用户管理等基础功能；提供全网的拓扑显示、故障处理、服务器管理等功能。可以轻松实现路由器、以太网交换机等设备管理、维护功能。为某城人民医院用户提供了全面的网络管理功能。IMC智能管理平台是整个IMC智能管理系统的基础管理平台，IMC的各个业务组件都必须安装在这个公用的平台上才能使用。IMC智能管理平台不仅为系统各业务组件的集成提供了包括统一权限控制、SOA框架、统一操作日志管理、统一License控制、分布式安装等基本功能，而且还为用户提供了网络管理的一些基础功能，其中包括操作员管理、拓扑管理、性能管理、告警管理及操作日志管理等。3.2.1. 基础网络资源管理基础网络资源管理包含对各厂家网络设备的分类和识别；能够通过自动发现和手工添加方式增加网络设备资源；提供对网络设备资源的查找、修改、删除和批量导入和导出功能；支持对设备访问参数的批量配置和校验；支持对设备状态和详细信息的查看，设备的详细信息不仅包含了设备的基本信息、接口信息、性能数据和告警信息，同时还可以在增加其他组件的情况下显示扩展后的业务信息；支持对设备的管理/去管理，接口的管理/去管理，接口信息的显示和接口的UP/DOWN配置；支持设备面板管理；支持设备分组功能，通过对设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；支持设备视图管理，不同管理员可以根据自己的需要定义个性化的设备视图，从而使管理员能够关注于关键的网络和设备，使网络管理更加清晰。3.2.2. 基础网络拓扑管理除了提供完整的IP拓扑外，用户可以根据实际组网情况，定义自己关注的自定义网络拓扑。拓扑更加美观清晰，能够实时实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息，管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接，拓扑可以作为管理员管理网络的唯一入口。同时，在安装了其他组件的情况下，拓扑会增加相应的业务拓扑和操作链接，以满足不同业务的需求。除了以上常用拓扑功能，iMC网络拓扑管理还提供了二层拓扑和邻居拓扑，能够显示接入设备上的接入情况。3.2.3. 故障与告警管理告警管理：对网管系统的告警进行统一管理。通过告警管理可以对设备发来的告警进行过滤、定位、确认、转发等操作，也可以为不同的告警设置提示方式（声音、视觉等），还可以针对不同的告警定义不同的操作提示以及维护参考等；3.2.4. 性能监控性能管理：提供了对系统所管理的各种设备性能参数的公共监视功能，比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息，通过报表的导出和打印功能，管理员能够迅速将网络状况汇总数据上报给各级领导，为网络的决策提供有利的支撑。3.2.5. 系统管理操作员管理：提供方便的管理操作员功能，不仅可以为用户设置不同的操作权限，也可以结合设备分组和用户分组灵活进行权限分级控制，从而显著提高安全性和灵活性；操作日志管理：操作日志集中记录了包括系统管理员在内的所有操作员的操作过程，使整个系统的操作具有了可回溯性。操作日志管理可以对大量的操作日志进行多种条件的过滤显示，并可以实现日志的自动删除；4. 网络业务设计4.1. IP地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。4.1.1. IP地址分配原则考虑到医院的用户的固定性，为保证对于上网用户的可查询性，且考虑到10.xxx.xxx.xxx私网地址不存在短缺等因素，建议某城人民医院的IP地址采用10.xxx.xxx.xxx私网IP地址接入的方式进行建设。要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当网络以私网地址分配或采用混合网络地址接入时，要求网络提供地址变换功能，过滤掉私网地址。4.1.2. IP地址规划方案内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个私网的划分。对于相对固定不变的教学区采用静态分配IP地址，为防止地址盗用，采用IP地址与端口、地址绑定；对于流动性大、用户人数多、用户增长快的用户区采用动态分配IP地址，采用By Port的Vlan，小范围地限制地址盗用问题。静态IP地址对于用户来说可以实现对应物理位置的查询，对全网的IP地址与物理位置的对应有全面、可靠的管理。对于服务器、网络设备互连端口地址、设备Loopback地址建议使用静态IP地址，而且各属自不同的IP地址段，有利于骨干路由表的简化与路由的快速处理；4.2. 路由设计4.2.1. 路由协议选择及设计建议选择何种路由协议，对于最大程度的发挥网络的效能具有重要意义，因此本次某城人民医院网络建设的路由协议的选择也就十分重要。4.2.2. 路由协议选择原则在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：1）路由协议的开放性：开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。2）网络的拓扑结构 ：网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协议还必须支持网络拓扑的变化，在拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要使影响最小。3）网络节点数量：不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。对于本网络，在选择路由协议时不能只看眼前，还要充分考虑今后的扩展性4）与其他网络的互连要求：通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统（AS），在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。5）管理和安全上的要求：通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。4.2.3. 本网络路由协议的选择考虑到协议的通用性、标准性以某城人民医院网络系统的网络规模，建议在本次网络建设中选择OSPF作为未来网络动态路由协议，选择OSPF主要有以下几个原因：1标准开放性及成熟性OSPF是开放的标准协议，受到广大厂家设备及组织的支持，也是目前网络构建中用得最多的协议，也是在企业网中应用最广泛的IGP协议；因此其性能是经受过考验及验证的。2. 扩展能力分域功能非常适合网络扩展OSPF提供分域功能一方面保证路由转发效率，另一方面要提供很好的网络扩展能力。当然路由协议的选择也必须考虑本系统的整体规划，本次方案选择的S7510E产品具有丰富的路由协议支持能力，单播、多播路由协议包括OSPF、RIP、PIM等都提供很好的支持，因此可以适应本系统的路由协议的选择。4.3. VLAN的划分4.3.1. 划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继”，VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主要是通过一条高速全双工通道来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示：如果采用VLAN trunking 的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。4.3.2. 划分VLAN的方法某公司的E系列接入交换机不仅能够支持标准的802.1Q VLAN，还能实现端口之间的隔离。我们可以使用E系列支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，另一方面可以为三层交换机节省VLAN资源。E系列可以屏蔽下面的VLAN划分，仅向三层交换机提供一个VLAN信息，在边缘交换机实现了端口可以同时属于多个Vlan；如图所示：其中端口1为uplink端口，端口2，3，4为接入端口；Vlan 1：包含端口：1，2，3，4，5Vlan 2：包含端口：1，2Vlan 3：包含端口：1，3，4Vlan 4：包含端口：1，5设计中采用了几个secondary vlan包含在一个primary VLAN中的方式，给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个secondary vlan的方式，每个vlan中只包含用户连接的port和uplink port；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN中；同时创建primary vlan，该vlan包含所有secondary vlan中包含的端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个primary vlan，用来标识设备，而不必关心primary VLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。primary vlan中的所有端口都不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个 port的PVID就是它所属secondary vlan的ID；uplink端口的PVID是primary vlan的ID；我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的VLAN划分。可以让一个楼层对应于一个PVLAN，楼层内的不同部门分属不同的Sencondary VLAN。这种划分方式中，可以对用户能实现动态的VLAN+MAC+IP绑定，可对用户发动的伪造攻击报文进行合法性检查和过滤，具有一定的网络安全性保障。不同VLAN间的互访，必须经过三层交换机进行转发。4.3.3. VLAN规划我们建议按不同的业务使用主体来规划整个某城人民医院的VLAN资源。如：用户宿舍1、用户宿舍2、教师、校管理人员等。为了减小广播域，建议VLAN终结在汇聚层的三层交换机上，每个VLAN内的主机数量原则上不要超过250台，建议每个VLAN内的PC机数量控制在50台以内。VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于办公地点不同，隔离在不同汇集点的相同业务部门，我们则推荐第一种方式。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。对于用户宿舍，教师办公等用户相对集中的区域，建议采用这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。动态VLAN：我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS或接入认证系统UAM（后台综合访问管理服务器）中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能（某 全系列交换机支持）。从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。管理VLAN：作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器建议单独设置在一个VLAN中。业务VLAN可以按照部门的类别进行划分，每个部门划分一个VLAN，部门人数超过50名的应该划分为两个VLAN，以保证交换的性能，业务VLAN的命名建议采用VLAN100作为第一个业务VLAN，然后按照数字序列进行划分，一直到VLAN123。本次建议在某城人民医院网络中采用静态VLAN划分方案来部署。4.4. 组播业务某 S7510E 、S5500、E系列通过标准的组播协议完成用户的组播管理，S7510E 、S5500均可以支持丰富的组播协议，包括ICMP、PIMSM、PIMDM、MSDP等组播协议，可支持丰富的业务，包括视频点播、流媒体点播，可支持各种流媒体终端以及组播源的种类。并可以并通过HGMP协议将各楼道交换机也纳入到组播实现中。由S7510E 、S5500完成对其下挂的汇聚交换机以及楼道交换机的组播用户进行报文复制和发送。通过这种机制，使得整个网络的流量做到最优，有效的保证了视频监控、视频教学、会议电视、视频点播等视频业务的开展，通过组播实现的视频业务有：视频监控：通过IP线路将前端采集的视频监控信息传递到中心的存储设备和监控显示平面。视频教学：使用视频和通讯设备实现一点对多点或点对点的交互式异地远端教学，实现用户和教师的实时交流，用户还可随时进行学习点播和查询。会议电视：利用网络和数字视像技术实现异地会议的交互传输和控制。视频点播：交互式电视的一部分，它使用户可以随意选择所需的视讯节目，并可随意地控制节目播出（如快进、快倒、暂停等）。4.5. QoS设计为保证某城人民医院网络各种业务的正常及时处理，需要对不同业务实施不同的QoS策略。对于关键的核心业务的部分，需要优先保证这些业务的时延和带宽；而对于其它业务来说，也应当有相应的QoS策略来提供不同的服务质量保证。针对某城人民医院网络的应用环境，在边缘设备可以采用IP QoS复杂流分类技术对不同业务数据报文设置不同的DSCP/TOS标记，并根据需要采用流量监管技术（CAR）对带宽进行限制；携带DSCP/TOS标记的业务报文在核心层网络的广域网路由器上，根据DSCP/TOS标识进行简单流分类，并根据不同业务设置的DSCP/TOS标记，配置相应的队列以及队列带宽保证，由广域网路由器根据数据流情况采用高效的队列管理技术（WRED/SARED）以及队列调度技术（PQ/LLQ）对用户的需求做保证。建议在规划山东地税系统网络QoS设计时，遵循以下的原则：l 正常情况下QoS是通过带宽来保证的，带宽利用率达到60可考虑扩容l 网络设备的容量不成为瓶颈l 网络故障或突发流量情况下QoS策略生效l 任何时候都优先保证关键的实时业务4.5.1. QoS体系结构的选择为了在IP网上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求网络中的所有节点（包括核心节点）都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流（进行MF分类），同时为每个经过的应用流设置单独的内部队列以分别进行监管（Policing）、调度（Scheduling）、整形（Shaping）等操作。对于现在大型运营网络中的节点，这种应用流（活动的）的数量非常庞大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下，IETF已经定义了EF（Expedite Forwarding）、AF1-AF4（Assured Forwarding）、BE（Best Effort）等六种标准PHB（Per-hop Behavior）及业务。此外，有些厂商实现了基于TOS的分类服务（COS），并且这类设备已经应用在一些现有的运营网络。COS和DiffServ类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用。本次工程推荐使用DeffServ机制实现QoS。DiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。DiffServ模型：基于DiffServ的QoS模型如图所示：采用Diffserv/CoS的方法需要对所有的IP包在网络边缘或用户侧进行流分类，打上Diffserv或CoS标识。DS域内的路由器根据优先级进行转发，保证高优先级业务的QoS要求。骨干网络实施Diffserv/CoS，需要所有相关设备支持，特别对边沿节点有很强QOS能力需求。4.5.2. QoS的实现机制山东某城人民医院能够实现承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ提供了基于标准的完善支持，包括流分类、流量监管（Policing）、流量整形（Shaping）、队列管理、队列调度（Scheduling）等，完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。内部处理流程如下图所示：l 流分类总的来说，允许根据报文头中的最多192比特的控制域信息进行流分类，具体可以包括下面描述的报文2、3、4层的控制信息域。首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流分类。二层的重要控制域就是源MAC地址。允许通过配置将报文的源MAC汇聚为MAC地址组，最大允许64源MAC地址组，源MAC地址组可以单独或同其他域组合对用户流进行分类。此外VLAN ID也是参与流分类的重要属性，只不过是以子接口的形式隐式参与。三层可以参与分类的控制域包括：源和目的IP地址、TOS/DSCP字节、Protocol（协议ID）、分段标志、ICMP报文类型。四层的源和目的端口号、TCP SYN标志也是允许参与流分类的重要信息域。l 流量监管流量监管也就是我们通常所说的CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的QoS。运营商合用之间都签有服务水平协议（SLA） ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA约定的流量报文可指定给予pass（通过）、drop（直接丢弃）或markdown（降级）等处理，此处降级是指提高丢弃的可能性（标记为丢弃优先级降低），降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SLA预定的服务。RFC定义了四种标准流量监管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color）。l DSCP标记/重标记标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即：EF、AF1-AF4、BE，并且通过定义各类业务的PHB （Per-hop Behavior）明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议电视等实时业务；AF流要求较低的延迟、 低丢包率、 高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和时延，对应于传统Internet业务。在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记（如上游域是DSCP域的情形，或者用户自己进行了DSCP的标记），但是根据SLA，又需要对DSCP进行重新标记。完全支持RFC定义的