XX医院网络建设方案

目录 一 医院网络建设需求 2 1 1 整体需求概述 2 1 2 内网需求 3 1 3 外网需求 4 二 医院业务应用分析 4 2 1 医院业务划分 4 2 2 医院业务系统的需求 4 三 医院网络组建 6 3 1 网络拓扑 6 3 2 网络组建分析 6 3 3 核心层设计 7 3 4 接入层设计 7 3 5 网络可扩展性 7 四 产品概述 8 4 1 S7500E 产品概述 8 4 2 S5120 24P EI 产品概述 10 一 医院网络建设需求一 医院网络建设需求 1 1 整体需求概述整体需求概述 1 为 HIS PACS 等应用系统提供一个强有力的网络支撑平台 2 网络设计不仅要体现当前网络多业务服务的发展趋势 同时需要具有最灵活的适应 扩 展能力 3 一体化网络平台 整合数据 语音和图像等多业务的端到端 以 IP 为基础的统一的一 体化网络平台 支持多协议 多业务 安全策略 流量管理 服务质量管理 资源管理 4 数据存储安全 医院信息系统的数据存储需要具有存储量大 扩充性强的特点 5 医疗信息的安全保护 也是组要的环节 网络的设计不仅要考虑用户与服务器之间的互 联互通 更要保护关键服务器的安全和内部用户的安全 1 2 内网内网需求需求 内网是医院核心网络系统 用于开展日常医疗业务 HIS LIS PACS 财务 体检系统 等 的内部局域网 系统应稳定 实用和安全 具有高宽带 大容量和高速率等特点 并 具备将来扩容和带宽升级的条件 网络设计要求 1 主干网络一台 7503E 全局 MSTP 链路冗余 千兆接入交换机实现千兆到桌面 2 配备的网管软件应提供可视的形象化的图形界面 对整个网络中网络产品的全部端口进 行监视和管理 可选 3 交换机互连采用多条链路捆绑 防止链路瓶颈 并提供链路冗余 由于医疗行业的特殊性 医护人员和病患者之间需要频繁地在院内移动 同时处理大量的 信息 要求网络具备可移动性 传输速率高等特点 同时考虑到医院业务量的增加 网络 需要留出足够余地扩容而不影响医院正常的工作 网络应用设计要求 1 院内核心网络系统 HIS PACS 和 LIS 体检系统等应用分别单独组网 以子网的形式 组成医院的整体网络 各网络功能独立应用 信息互通 资源共享 当任何一个子网出现 故障 都不会影响到其他子网的使用 2 新建的网络系统应充分考虑跟现有网络系统的平滑接入 不影响现有系统的正常运行 并考虑和现有网络系统实现网络冗余 4 传输动态图像的部门有 放射影像科 PET CT 核磁共振 MRI 介入放射科 DSA B 超室 心超室 脑超室 心电图室 肌电图室 胃肠镜室 内窥镜室 重症监护室 ICU CCU 等 手术室 麻醉科 视频示教室和会议室等 5 医保 包括省医保 市医保 区医保以及市公费医疗 是专线接入 须配置医院内网与专 线网的接口 6 为了更好地服务于医疗科研工作 需要将各类监护治疗仪器上的各项生命体征等信息以 数字化手段采集并且保存下来 在需要时 可随时还原 因此 须考虑将医院所有的监护 仪器和大型设备都联网 1 3 外网外网需求需求 外网原则上是指除医院内网之外的所有网络系统 包括 INTERNET 银联系统 医院图书 馆知识管理平台 和市卫生局联网的应急系统 办公自动化系统 电视监控信号传输 BA 安防监控 视频会议系统 公共区域无线上网等 以上系统建议分别单独组网 以子网的形式组成整体网络 各网络功能独立应用 信息互 通 资源共享 当任何一个子网出现故障 都不会影响到其他子网的使用 二 医院业务应用分析二 医院业务应用分析 2 1 医院业务划分医院业务划分 医院的业务系统有很多 而且不同的专科医院业务系统也有很大区别 但以下一些业务系 统是医院都具有的 门诊系统 住院系统 体检系统 PACS 系统 医院管理经济系统 区域医疗系统 2 2 医院业务系统的需求医院业务系统的需求 1 门诊系统 门诊系统 门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点 包括焦急的病 人无法忍受长时间的等待 门诊业务主要集中在上午等 门诊业务具有可靠性高 并发 性 实时性和突发性强等特点 因此门诊业务对网络提出了高可靠性 高带宽和 QoS 的要求 2 住院系统 住院系统 住院业务是医院的另一个主要组成部分 是医院经济收入的主要来源 同时还直接关系到 重病患者的生命安全 具有以下几个特点 住院业务的网络上流动着重症病人生命数据和各种新业务数据 住院业务保存有患者病案数据和住院费用数据 医生移动查房 病人呼叫系统 网上视频监控系统 针对住院业务的以上特点 住院业务对网络提出了高可靠性 安全存储 QoS 和无线局域 网 VoIP 和视频会议系统的需求 3 体检系统 体检系统 现在很多医院建立专门的体检大楼 以满足民众不断扩大的体检需求 从业务角度上讲体 检系统非常简单 它对网络的需求主要体现在安全性上 如何保护体检服务器上体检人员 数据安全和体检大楼网络安全是医院体检系统解决方案所关注的 4 PACS 系统系统 医院的 PACS 系统主要是完成对患者的各种影像数据进行采集 存储 传输和处理 并在 全院范围内进行共享 由于是各种图形图像数据 因此具有存储量大的特点 为了更好的 服务于医院业务 PACS 业务对支撑系统提出以下要求 存储量大 扩展性强 数据 快速存储 数据容灾 高带宽 5 管理经济系统 管理经济系统 医院管理经济系统主要是人 财 物的管理 包括人事 财务管理 药品药库管理等 因 此它最大的需求是数据在服务器端和网络上的安全 保证这些数据不会泄露 6 区域医疗系统 区域医疗系统 一方面为了发挥中心医院的辐射和覆盖作用 另一方面充分利用各家医院的特色科室的力 量 区域医疗把这些资源进行共享和整合 这需要稳定的广域网连接 根据初步的需求 我们按照内外网分离的原则 建成后的南扩大楼的新机房将成为以后医 院的核心 原有机房成为备份冗余机房 三 医院网络组建三 医院网络组建 3 1 网络拓扑网络拓扑 3 2 网络组建分析网络组建分析 本次拓扑使用的是光纤连接接入交换机 现在大多部分公司全部使用光纤 连接接入交换机 因为光纤传输距离远 速度快 抗干扰能力强 传输数据流 量较大 损耗低 工作性能可靠 双绞线 传输过长信号衰减 抗干扰能力比 光纤弱 传输数据流量比光纤少 为了保证网络的安全性于稳定性 本次方案 使用光纤连接 并通过利用防火墙插卡手段来访问内外网 可为内外网的整体 防护提供安全措施 网络应用设计要求 1 院内核心网络系统 HIS PACS 和 LIS 体检系统等应用分别单独组网 以子网的形式组成医院的整体网络 各网络功能独立应用 信息互通 资 源共享 当任何一个子网出现故障 都不会影响到其他子网的使用 2 新建的网络系统应充分考虑跟现有网络系统的平滑接入 不影响现有系 统的正常运行 并考虑和现有网络系统实现网络冗余 4 传输动态图像的部门有 放射影像科 PET CT 核磁共振 MRI 介入 放射科 DSA B 超室 心超室 脑超室 心电图室 肌电图室 胃肠镜室 内 窥镜室 重症监护室 ICU CCU 等 手术室 麻醉科 视频示教室和会议室 等 5 医保 包括省医保 市医保 区医保以及市公费医疗 是专线接入 须配 置医院内网与专线网的接口 6 为了更好地服务于医疗科研工作 需要将各类监护治疗仪器上的各项生 命体征等信息以数字化手段采集并且保存下来 在需要时 可随时还原 因此 须考虑将医院所有的监护仪器和大型设备都联网 3 3 核心层设计核心层设计 核心网络设计通过采用华三网络基于万兆平台的核心交换机 完成全网的 数据转发的和控制 接入层设备上联至一台 S7503E 核心交换机 3 4 接入层设计接入层设计 接入层采用华三网络 S5120 接入层设备 有效防止 ARP 欺骗 证网络安全 3 5 网络可扩展性网络可扩展性 本次拓扑考虑到网络的扩展性 核心采用 S7503E 考虑到未来医院网络扩 展性 S7503E 支持 IPV6 如果未来计算机网络采用了 IPV6 协议 医院不用花 高昂的经费购买新设备 未来三到五年发展会增加新业务 S7503E 完全能承载新的业务量 接入能 力扩展性强 未来可能会增加网络信息点 S7503E 完全能承载大量信息点交换 未来增加接入层交换机数量便可实现 不用增加核心交换机 S7503E 处理能 力 不会因为增加网络点 新业务造成网络大面积瘫痪 4 产品概述产品概述 4 1 S7500E 产品概述产品概述 H3C S7500E 系列产品是杭州华三通信技术有限公司 以下简称 H3C 公司 面向融合业务网络的高端多业务路由交换机 该产品基于 H3C 自主知识产权的 Comware V5 操作系统 以 IRF2 Intelligent Resilient Framework 2 第二代智能 弹性架构 技术为系统基石的虚拟化软件系统 进一步融合 MPLS VPN IPv6 网络安全 无线 无源光网络等多种网络业务 提供不间断转发 不间断升级 优雅重启 环网保护等多种高可靠技术 在提高用户生产效率的 同时 保证了网络最大正常运行时间 从而降低了客户的总拥有成本 TCO H3C S7500E 符合 限制电子设备有害物质标准 RoHS 是绿色环保的路由交 换机 H3C S7500E 系列包括 S7510E 12 槽 S7506E 8 槽 S7506E V 垂直 8 槽 H3C S7506E S 8 槽 S7503E 5 槽 7503E S 3 槽 和 S7502E 4 槽 7 款产品 除了 7503E S 所有产品均支持冗余主控 H3C S7500E 可广泛应 用于城域网 数据中心 园区网核心和汇聚等多种网络环境 为用户提供了有 线无线一体化 有源无源一体化的行业解决方案 产品特点产品特点 基于 IRF2 第二代智能弹性架构 技术的虚拟化架构 H3C S7500E 面向 数据中心技术的演进 推出了 IRF2 为代表的软件虚拟化技术 提供多台主机的 协同工作 统一管理和不间断维护功能 IRF2 不仅成为数据中心交换设备高性 能 虚拟化的关键技术 而且对于传统企业网应用 IRF2 所提供的高可靠性和 无缝升级 扩展能力 也成为 H3C 用户增值服务的重要组成部分 全面的 MPLS VPLS 业务能力 H3C S7500E 所有产品均支持 Multi VRF 特性 可以作为 MCE 设备使用 支持三层的 MPLS VPN 和二层的 MPLS VPN Martini Kompella 支持 MPLS OAM 特性 方便用户的管理和维护 与 H3C MPLS VPN Manager 配合 实现图形化的 MPLS 部署与维护 全面支持 VPLS VLL 支持 1K VPLS 实例 4K VLL 还支持分层 VPLS 以及 QINQ VPLS 接入方式 提供端到端 2 层 VPN 接入方案 支持 MPLS VPLS 全线速转发 满足 VPLS 规模部署要求 高性能 IPv4 IPv6 业务能力 H3C S7500E 支持 IPv4 IPv6 双协议栈 支持多 种隧道技术 支持 IPv4 IPv6 的组播技术 为用户提供完善的 IPv4 IPv6 解决方 案 H3C S7500E 采用分布式体系架构 实现 IPv4 IPv6 业务的线速无阻塞转发 H3C S7500E 已经通过了信息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段认 证 是成熟商用的 IPv6 产品 EAD 端点准入防护技术 H3C S7500E 支持大容量的 Portal 认证功能 可 以在数千用户的局域网中做为 EAD 网关设备 为全网用户提供 EAD 安全认证 功能 可以在大中型的校园网中担任汇聚 核心设备的同时 为学生宿舍区的认 证计费提供 Portal 认证功能 全方位的安全保障 抵御多种网络安全威胁 三平面安全保障机制 H3C S7500E 提供完善的安全防护机制 可从控制 管理 转发三平面全面 保障网络的安全 在控制平面 内置协议报文攻击识别模块 防止 TCN ARP 等协议报文攻击 OSPF BGP IS IS 路由协议采用 MD5 验证 防止非法路由更 新报文导致的网络瘫痪 在管理平面 SNMPv3 网管协议 SSH V2 基于 802 1x AAA Radius 的用户身份认证以及分级的用户权限管理保证了设备管理 的安全性 在转发平面 支持 IP VLAN MAC 和端口等多种组合精细绑定 支持 uRPF 单播反向路径转发 防止非法流量访问网络 采用最长匹配逐包转 发机制 有效抵御病毒的攻击 H3C S7500E 还支持内置的高性能防火墙 异常 流量清洗等模块 将专业的安全融入到交换机之中 有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重 要组成部分 S7500E 可以动态的接收来自安全策略服务器的控制策略 根据终 端的安全状态给予下发相应的访问权限 H3C S7500E 既支持有线终端用户的 EAD 也支持无线终端用户的 EAD 能够做到终端安全防范无漏洞 增强的 ACL 特性 H3C S7500E 系列产品支持强大的 ACL 能力 支持标准 和扩展 ACL 支持基于 VLAN 的 ACL 方便用户配置 节省 ACL 资源 支持 出方向和入方向的 ACL 满足金融等行业访问权限严格控制的需求 4 2 S5120 24P EI 产品概述产品概述 产品概述产品概述 H3C S5120 EI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换 机产品 具备丰富的业务特性 提供 IPv6 转发功能以及最多 4 个 10GE 扩展接 口 通过 H3C 特有的 IRF 智能弹性架构 功能 用户能够简化对网络的管理 S5120 EI 系列千兆以太网交换机定位为企业网千兆接入 同时还可以用于数据 中心服务器群的连接 产品特点产品特点 高扩展性保护投资 随着用户端速度不断提高 用户最终会使集群千兆链 路达到饱和 而能够拥有多条 10GE 链路将是我们的未来发展方向 S5120 EI 系列交换机支持两个扩展槽位 每个槽位支持单端口或双端口的 10GE 扩展模 块 在实现千兆汇聚或接入时保留进一步支持 10GE 的扩展能力 尽力保护用 户投资 S5120 EI 系列支持 IPv4 和 IPv6 的三层路由功能 并可以实现基于硬件的 IPv4 和 IPv6 的全线速转发 同时支持 IPv6 的 ACL QoS 组播和网管 实现 IPv4 到 IPv6 的平滑升级 智能弹性架构 H3C S5120 EI 系列交换机支持 IRF2 第二代智能弹性架构 技术 就是把多台物理设备互相连接起来 使其虚拟为一台逻辑设备 也就是 说 用户可以将这多台设备看成一台单一设备进行管理和使用 IRF 可以为用 户带来以下好处 简化管理 IRF 架构形成之后 可以连接到任何一台设备的任何一个端口 就以登录统一的逻辑设备 通过对单台设备的配置达到管理整个智能弹性系统 以及系统内所有成员设备的效果 而不用物理连接到每台成员设备上分别对它 们进行配置和管理 简化业务 IRF 形成的逻辑设备中运行的各种控制协议也是作为单一设备 统一运行的 例如路由协议会作为单一设备统一计算 而随着跨设备链路聚合 技术的应用 可以替代原有的生成树协议 这样就可以省去了设备间大量协议 报文的交互 简化了网络运行 缩短了网络动荡时的收敛时间 弹性扩展 可以按照用户需求实现弹性扩展 保证用户投资 并且新增 的设备加入或离开 IRF 架构时可以实现 热插拔 不影响其他设备的正常运行 高可靠 IRF 的高可靠性体现在链路 设备和协议三个方面 成员设备之 间物理端口支持聚合功能 IRF 系统和上 下层设备之间的物理连接也支持聚 合功能 这样通过多链路备份提高了链路的可靠性 IRF 系统由多台成员设备 组成 一旦 Master 设备故障 系统会迅速自动选举新的 Master 以保证通过系 统的业务不中断 从而实现了设备级的 1 N 备份 IRF 系统会有实时的协议热 备份功能负责将协议的配置信息备份到其他所有成员设备 从而实现 1 N 的 协议可靠性 高性能 对于高端交换机来说 性能和端口密度的提升会受到硬件结构 的限制 而 IRF 系统的性能和端口密度是 IRF 内部所有设备性能和端口数量的 总和 因此 IRF 技术能够轻易的将设备的交换能力 用户端口的密度扩大数 倍 从而大幅度提高了设备的性能 完备的安全控制策略 H3C S5120 EI 系列交换机支持 EAD 端点准入防御 功能 配合后台系统可以将终端防病毒 补丁修复等终端安全措施与网络接入 控制 访问权限控制等网络安全措施整合为一个联动的安全体系 通过对网络 接入终端的检查 隔离 修复 管理和监控 使整个网络变被动防御为主动防 御 变单点防御为全面防御 变分散管理为集中策略管理 提升了网络对病毒 蠕虫等新兴安全威胁的整体防御能力 H3C S5120 EI 系列交换机支持对试图接入网络的用户进行 802 1x 认证 可 以在交换机上对 802 1x 客户端的版本和有效性进行验证 防止非法用户登录网 络 支持集中式 MAC 地址认证 可以基于端口和 MA