贵州xx县人民医院网络规划方案.doc

贵州人民医院网络规划方案贵州县人民医院网络规划方案2013年03月目录第一章概述41.1 医疗卫生行业背景41.2 贵州人民医院背景51.3 需求分析51.3.1 网络稳定51.3.2 网络安全61.3.3 网络性能61.3.4 技术支持71.3.5 无线网络71.3.6 网络出口71.4 总结8第二章贵州人民医院网络规划建议92.1 贵州人民医院网络设计原则92.2 贵州人民医院信息化建设总体框架102.3 贵州人民医院内网设计102.3.1 核心层设计122.3.2 汇聚层设计132.3.3 接入层设计132.3.4 网络安全设计142.3.5 网络出口设计162.3.6 无线网络设计162.4 贵州人民医院外网设计17第三章整体方案效果说明193.1高稳定的网络架构设计193.2高性能、高稳定的核心设计193.3独立的服务器区域设计203.4全面的系统安全设计203.5 轻松便捷的用户和网络管理21第一章 概述1.1 医疗卫生行业背景随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，当今社会信息化进程迅猛发展，网络技术已经对社会，经济和文化各方面产生重大影响，并将改变人们认识世界，思考世界的观点和方法。作为传统行业之一的医疗卫生行业，如何面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量，是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进医疗行业的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益和社会效益双丰收，全国各省都在逐步加快医院的信息化建设步伐。传统医疗卫生行业正利用其行业特点，汲取网络技术精华，努力创造着医疗卫生行业的又一个春天。未来是美好的，但现实不可回避。在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了医疗行业对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合的网络建设的解决方案。1.2 贵州人民医院背景贵州人民医院创建于1941年，至今已有72年历史，是唯一的公立综合医院；是黔东南名族职业技术学院、贵阳医学院第二附属医院、广西融水名族卫校的临床教学基地；是医保、居保、农合、重点优抚对象的定点医院。医院位于贵州省黔东南苗族侗族自治州丙妹镇俞家湾路85号，占地面积为9986平方米。此次新建医院大楼为一栋楼，共13层，预占地面积14100平方米,预计有800信息点。目前，编制床位300张，在职职工293人，护士人数129人，病房护士123人。卫生技术人员257人，占职工总数的87.7%，高级中级职称85人，具有大学本科、专科以上学历195人。医院主要医疗设备有：可视X光机、心电图、呼吸机、监护仪、多功能抢救床、螺旋CT、彩超。医院承担着全县医疗、急救、预防、保健、康复、乡镇扶贫培训和地区卫校实习生的教学任务1.3 需求分析1.3.1 网络稳定医疗行业是关系到病人生命安危的重要行业，贵州人民医院的各种应用系统和基础设备都要保证高的稳定性，系统的稳定性（7*24稳定、可靠、持续运行）是投入运行的医疗系统的生命线。同时，对于门诊等重要区域，由于门诊收费是患者进入医院的第一站，稳定的网络系统建设是医院各种应用系统开展的根本保障，是降低医院目前出现的“三长一短”问题的根本性措施。1.3.2 网络安全由于病人病历、医保等数据的特殊性，网络系统的安全性成为突出的矛盾，所以，安全性应考虑以下几点：分层过滤：包括支持链路层的访问控制，传输层的访问控制，网络层的访问控制以及应用层的安全控制等。安全策略管理：l 杜绝非法的组播源播放非法的组播信息；l 如何有效控制和预防病毒的传播和网络的攻击；l 由于各种病毒在被公布前很难防范，网络技术需要能适时的调整安全策略，并在最短的时间内部署到全网，把病毒拒绝在网络之外。1.3.3 网络性能目前医院已有HIS系统，考虑到后期可能要增加LIS或者电子病历，势必会加重网络负担，为了保障各个系统的高效安全的运行，需要各个设备具有独立的高性能和协同的高性能：为使网络结构尽量稳定可靠，内外网融合设计采用三层星型拓扑结构，中心节点与边缘节点间为千兆以太网互联，减少管理节点，增强网络健壮性。中心交换机应支持无阻塞交换，各种模块支持热插拔，支持引擎、电源备份，并支持基于板卡智能分布式的基础上实现端口同步级处理等功能。考虑医院的业务应用复杂化和多元化，需求网络高带宽，核心层设计万兆核心交换机，接入层交换机以千兆到桌面为目标，并规划设计具备支撑未来大数据量处理存储的数据中心。1.3.4 技术支持医院本次弱电系统数据交换建设，除了为上层各类应用系统的数据传输提供高速通道之外，同时也是大多数弱电智能化系统的主要传输通道之一。因此，计算机网络系统不仅要能够满足中医院目前的应用需求，而且需要在未来一段时间范围内也能够适应应用需求提升。本项目物理上通过构建三层网络架构，建立一张内外网融合的网络，通过Vlan技术逻辑隔离。为满足医院未来的无纸化操作、一卡通服务、信息OA系统，以及更多业务的上线提供保障。1.3.5 无线网络考虑到医院无线应用已经广泛在多数“二甲”、“三甲”医院部署，建议贵院也进行无线试点，以便于为以后医疗无线的扩充提供相关依据。无线局域网的应用，使贵州人民医院信息网络更加灵活，而且能够经济快捷的实现无缝覆盖。在需要频繁上网设备的病房，在网络终端不固定的会议室等区域，在各楼层病房区域设置无线AP作为有线网络的补充。配合无线掌上电脑，可以实现很多适合医院应用的无线接入服务。提供贵州人民医院使用的包括：病房医生站，门诊医生站，病房护士站，病床旁移动信息站（包括医生和护士等等），这些信息化系统的配合使用，使得医护人员在医院中可以随时随地获取病人的最新信息，做出快速反应处理，紧密跟踪治疗过程，大大提高了医院的诊疗效率和缩短了病人等待的周期。 “移动信息化系统”表现出其灵活，快捷，实时等多项优势，对固定信息站的工作起到了必不可少的补充作用。1.3.6 网络出口随着信息技术的发展，网络应用的丰富，网络架构及流量变得异常复杂。作为内外交流的必经之地，网络出口的高度业务感知、可用性保障显得至关重要。简单来说就是，无论出口带宽高低，应用丰富与否，网络管理者都必须对有限的带宽资源进行合理的分配，保证关键业务的服务质量，从而为每个用户都提供最优最快的网络服务。与此同时，互联网的便利性与虚拟性也成为各种不和谐行为滋生的温床，工作时间聊天、BT下载、浏览色情网站等问题，都对贵院会造成不可忽视的后果。 1.4 总结贵州人民医院的网络建设的目标是建设一个集各种数字化医疗设备和器械为一体的综合数字医疗系统，而网络平台作为这些数字应用的基础设施，成为数字化建设首先考虑的重点，如何建设一个稳定，可靠，安全，应用集中的综合业务网络平台，是贵州人民医院信息化建设的根本出发点。第二章 贵州人民医院网络规划建议2.1 贵州人民医院网络设计原则医院内部网络作为连接整个医院的高速信息公路，不仅应具有高速、安全、稳定、标准、可扩充、可移动性的特征，而要求有一定的技术超前性、较高的性价比，并适合用户的需求。作为国内领先的网络系统供应商，拥有为全国医疗机构服务的丰富经验。认为，根据医院的未来需求特点，贵州人民医院网络的建设应遵循以下原则： 高可靠性：具有高峰处理能力，支持全面数字化，支持语音、数据、视频集成，7X24小时不间断可靠运行； 高稳定性：保证医院网络的稳定运行是我们的首要目标。网络应具备面对任何突发事件，医院各项系统仍可以平稳有效运行； 高性能：随着医院业务的增长，尤其远程医疗视频系统、全院的PACS系统、电子病例等业务系统实施之后，网络将承担数据、语音和视频的传输，网络应具备高速转发性能，保证各项业务的顺利开展； 服务质量保证：保证所有科室临床业务的分级管理； 高安全性：具备病毒防范，网络准入控制，虚拟专网和阻止病毒传播能力； 易于管理：全中文图形化的管理界面，各类设备统一的人机管理界面，易安装和使用； 灵活扩充：网络设备具备高性价比，满足目前需要，并通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模，满足不断增长的未来3至5年医院业务增长对网络的需求。根据贵州人民医院网络建设需求，确保网络基础平台的安全稳定，本次网络建设分两大部分：内网设计，外网设计。2.2 贵州人民医院信息化建设总体框架网络基础架构系统作为桥梁，支撑起医院各个业务系统，保证整个医院信息系统的顺畅运行。而网络的带宽、流量、安全就像桥面宽度、承重能力、桥面保障措施等一样，关系到了各个业务系统的运行质量和安全，所以贯穿整个医院信息化建设的“两条梁”运维管理系统、整网安全系统就成了信息化建设的重点。2.3 贵州人民医院内网设计医院的内部网络非常重要，由于医院的所有业务均依赖医院内网运行，所以应对内网进行全面重点设计。具体拓扑图如下：在本次网络建设中，根据实际应用和长远设计，以保证网络的稳定性、可靠性、高速、高安全、可扩充性为前提，采用三层结构的网络，分为核心层、汇聚层和接入层。医院内部局域网核心交换机配备万兆双机热备，通过设备和万兆链路的双冗余备份和负载均衡实现网络的高可靠性和稳定性，并且将两台核心交换机分别安置在不同的设备间（一台在门诊大楼，一台在住院大楼），防止特殊情况下的全网中断（比如火警断电），通过核心与汇聚设备之间的万兆链接提升医院网络整体性能。各楼层接入交换机采用单台或堆叠的形式，提供10/100/1000M自适应的桌面接入能力和1000M上联能力,接入交换机均通过光纤连接所属大楼的汇聚交换机或核心交换机接入医院内部局域网。并且、作为两个主要汇聚节点，在门诊大楼和住院大楼配置万兆汇聚交换机，双万兆上联到两台核心。同时为业务备份冗余考虑，规划组建备份数据中心。由于医院信息系统要求具有很高的可用性（7天24小时不间断运行)，因此，对网络平台的稳定性、可靠性要求很高。考虑到上述特点，在网络方案设计中的稳定和可靠保证上，我们通过两部分来设计：网络稳定和设备稳定。网络稳定设计：我们采用了两台核心交换机的冗余配置，通过两台设备间运行VSU板卡万兆连接，实现两台设备间的互为热备，这样在其中一台设备出现故障的时候，另外一台会正常工作，网络业务不中断。接入层交换机也同样采用双链路上连到两台核心交换机，两条链路通过STP协议可以实现链路的自动切换备份。这样，保证了整个网络主干不存在单点故障。除了在网络架构，设备和链路上进行冗余设计以外，对于设备端口的备份冗余设计也是十分必要的，在网络设计过程中都充分预留了备份端口和扩容端口，预防端口故障和为后期网络扩容考虑。设备稳定设计：尤其是指核心设备的稳定可靠保证，在设备配置时要选择支持模块热插拔技术的模块化核心设备，同时需要配置双电源，确保一路电源故障不影响设备正常工作。除此之外对于核心设备自身的安全设计，防病毒攻击，CUP保护，三平面业务分类等技术有利的保证了网络遇到攻击和异常时，设备本身可以保证稳定工作，确保业务正常运行。在本次方案设计过程中，从核心到接入设备上，我们都选择了自身具备攻击防护的安全交换机，保证设备自身的安全稳定。2.3.1 核心层设计医院的网络中心作为全网的心脏，向医院的应用业务系统源源不断的提供安全的信息血液，保证整个医院信息系统的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到终端系统，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。在网络的可靠性和稳定性保障方面，网络核心设计采用1台万兆核心交换机，并在核心交换机中采用关键模块冗余设计（如双电源冗余等）。从医院业务发展角度考虑，对核心交换机的性能也有非常高的要求。根据可靠性、稳定性、扩展性、性能上的分析，网络核心建议选用一台高性能的高密度多业务核心路由交换机，一台核心设备之间采用双链路千兆链接，提供高速通道。2.3.2 汇聚层设计汇聚层是楼层的信息汇聚点，是连接接入层和核心层的网络设备，,为接入层提供数据的汇聚传输管理分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。在考虑汇聚层选型方面，我们综合贵院的现状，采用了推出的融合了高性能、高安全、多业务的新一代三层交换机。能够提供灵活的介质接口，满足网络建设中不同介质的连接需要。2.3.3 接入层设计接入层设备在项目是直接面向接入用户的，因此也是数量最多。接入交换机的性能直接关系到网络用户的使用体验。接入层主要作用是：l 给接入用户共享网络带宽；l 向接入用户提供网络接入点；l 保证接入用户的网络安全。l 为视频监控提供接入点在考虑接入层交换机的选型时，我们充分考虑到了我院的应用系统使用现状以及对于高带宽、安全性、用户管理的要求，在接入层我们采用了全千兆智能安全交换机，实现千兆到桌面的解决方案。一方面满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别是在监控，更需要在提供高性能、高带宽的同时，交换机能提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性；另一方面可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。 2.3.4 网络安全设计除传统的部署防火墙对外网安全进行防护，内网安全的问题也是我们网络安全的重要组成部分，在本次规划中通过部署数据库审计系统对医院重要数据的安全进行审计监控，还能达到防统方的效果；对于医院访问量日益增大的门户站点而言，在本次规划中采用部署Web网络站点保护系统来达到安全防护防攻击的效果。而对内网的接入安全，除了传统的通过核心交换机上插防火墙板卡，会加大信息化投资的成本，那么还有什么其他手段来解决这个问题呢？在医院内部网络的整个网络规划当中，Vlan 的划分是非常重要的部分，很好的利用Vlan技术的功能帮助逻辑隔离融合设计的内外网，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：l Vlan 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，Vlan 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。l Vlan 划分，可以增加网络的安全性，在不同的Vlan之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相当好的控制。l 网络管理系统采用完全独立的IP子网和Vlan，实现更加安全的对所有网络设备进行管理。建立Vlan 和IP 子网的对应关系。l 提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。l Vlan 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在接入设备上实行，分流核心交换机的三层交换，优化了组网。 根据以往网络管理经验和贵州人民医院内部网络建设的实际情况，方案建议Vlan划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为Vlan范围划分。这样划分Vlan的好处有：1、方便管理。为了更改得进行Vlan规划的实施，因此在网络实施前期，要对网络中不同区域的Vlan设置进行详细的规划，细化的第三级网络。方案建议贵州人民医院内部网络划分Vlan方式前进行详尽规划，这样既可以减少广播域，又达到划分Vlan，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。2、易于实施。按群体划分Vlan在工程实施中就十分的方便，不会造成Vlan划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。3、提高安全性。Vlan间路由采用三层交换设备进行Vlan路由。以便不同Vlan间进行访问，对于某些重要网络资源，需要进行权限访问的时候，建议采用ACL来进行访问权限设定，保障重要资料不被非法访问。从上述情况分析，建议贵州人民医院病房大楼Vlan划分以楼层、业务或内外网隔离为单位。2.3.5 网络出口设计网络出口是整个医院网络的“咽喉”，所以，出口的设计对全网的上网体验及安全至关重要。如何解决医院的网络问题，是每个医院必不可少的难题。结合贵院实际业务请客，以及综合多年的出口架构经验和数千用户的调查反馈，此次网络规划主要从安全、流控以及行为管理这三面设计。在安全方面，我们采用一台下一代防火墙部署在网络出口，保障整个医院网络的外网安全。同时，在出口还部署一台多业务综合网关产品，保障出口带宽的充分利用以及对员工的上网行为审计。2.3.6 无线网络设计无线局域网的应用，使贵州人民医院信息网络更加灵活，而且能够经济快捷的实现无缝覆盖。在需要频繁上网设备的病房，在网络终端不固定的会议室等区域，在各楼层病房区域设置无线AP作为有线网络的补充。配合无线掌上电脑，可以实现很多适合医院应用的无线接入服务。提供贵州人民医院使用的包括：病房医生站，门诊医生站，病房护士站，病床旁移动信息站（包括医生和护士等等），这些信息化系统的配合使用，使得医护人员在医院中可以随时随地获取病人的最新信息，做出快速反应处理，紧密跟踪治疗过程，大大提高了医院的诊疗效率和缩短了病人等待的周期。 “移动信息化系统”表现出其灵活，快捷，实时等多项优势，对固定信息站的工作起到了必不可少的补充作用。此次人民医院的网络建设需要对住院部等室内区域的的每一个区域进行无线覆盖，真正达到医护人员能够在医院的每一个角落接入无线网络。为了达到稳定的无线网络连接和高速的网络带宽，本次无线网络建设采用室内覆盖的方式进行无线网络的建设。通过无线网络建设体现医院信息化建设亮点，为后期实现移动医护等业务和移动办公提供保障。2.4 贵州人民医院外网设计考虑到人民医院对网络信息安全的要求，本次网络建设采用内外网分离设计（需要的时候也可以对接），独立的网络充分保证了网络间数据信息点安全性。人民医院外网主要提供医院办公使用，访问互联网，部门数据上报等业务。对信息点安全要求没有内网那么严格，平时外网数据访问量也不是很多，因此在网络设计上，我们采用了二层网络架构已经完全满足医院使用。为了便于设备的统一管理, 遵义市人民医院外网设计推荐使用万兆核心交换机，便于与现有外网进行统一融合。整个外网网络分为二层结构，核心层采用了模块化的基于万兆平台设计的核心路由交换机，保证了核心业务的快速转发。在楼层交换机上我们选择了的安全千兆接入交换机，分别通过千兆光纤链接到核心交换机。根据用户节点统计数量，规划交换机数量，实现千兆传输到桌面。整个网络设备选择和网络架构设计可以为用户带来一个高效，安全，稳定的新网络，并且方案考虑到了网络未来发展需求可以支持未来多种业务的扩展应用。第三章 整体方案效果说明3.1高稳定的网络架构设计网络骨干架构采用双核心双链路设计方式。在这样的双核心双链路架构下，任何一台核心设备和骨干链路出现故障，都不会影响网络的正常运行。可以确保医院业务7*24小时安全可靠。SPOH（同步式硬件处理技术）充分保障骨干设备在医院复杂应用环境下的进行大流量处理的稳定性。硬件CPP（CPU Protect Policy）提供对骨干设备CPU的保护功能，确保医院网络系统在扫描、DOS攻击等病毒攻击情况下，骨干设备仍然能够正常运行，提供强大的病毒防护能力，充分提升骨干网络的稳定性。三平面分离+三平面保护技术硬件实现数据平面、控制平面和管理平面的数据分离和保护，确保骨干设备在网络流量异常或流量攻击环境下设备的多层面防护，提升骨干网络系统的高可靠性。3.2高性能、高稳定的核心设计一个网络稳定与否，与其所用的设备的稳定与否有直接关系。如果一个设备都不够稳定，那么网络也就无稳定可言。所以一个网络稳定与否是与设备的稳定性有直接的关系。本方案网络核心采用新一代多业务万兆核心路由交换机，提供双电源的方式，同时核心模块支持热拔插，以确保核心大稳定。核心设备采用的提供高性能的二/三层包转发速率，可为用户提供高速无阻塞的数据交换。新一代核心路由交换机支持包括802.1D、802.1W、802.1S在内的多种生成树协议以及虚拟路由协议VRRP，提供完善的双核心保障技术；采用了独特的SPOH设计保证核心设备在开启ACL和QOS等安全功能之后不影响核心设备的CPU，保障核心设备在提供安全功能的同时稳定性不受影响；除了提供高速转发性能，提供稳定性的保障之外，还提供了丰富的接入、数据和设备本身管理的安全。如提供SSHv1/v2的加密登陆和管理功能，在远程登录设备的时候发送的数据都是经过机密的，避免管理信息明文传输引发的潜在威胁；Telnet/Web登录的源IP限制功能，限制只有合法IP的终端才能登陆管理设备，避免非法人员对网络设备的管理；SNMPV3提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不被篡改，并且加密报文，确保数据的机密性。