人民医院-网络系统方案-12月4日.doc

0 人民医院人民医院 网络系统方案网络系统方案 第一章第一章 项目分析及设计思路项目分析及设计思路 1 11 1 项目内容项目内容 婺源人民医院计算机网络系统建设范围包括三栋大楼 门诊楼 医技楼和病 房楼 网络规划设计建设整体符合现代医院综合门诊医疗系统的数字化 信息化 系统化 集约化的需要 要求通过先进成熟的网络技术 计算机信息技术 现代 化通信技术结合实际 完成建设一套先进 成熟 可靠 开放 实用的计算机网 络系统 使之能够更好地提供信息化的服务 本次项目设计时 不但要考虑到本 次网络建设的需求 而且要满足未来几年办公网络络扩容升级的需求 1 21 2 总体网络设计原则总体网络设计原则 婺源人民医院计算机网络系统 通过承载企业的多种业务 形成一个企业园 区网络 企业园区网络设计必须适应当前信息化各项应用 又可面向未来信息化 发展的需要 因此必须是高质量的 医疗网通常是一种用户高密度的非运营网络 在有限的空间内聚集了大量的 终端和用户 同时对于园区网而言 注重的是网络的简单可靠 易部署 易维护 因此在园区网中 拓扑结构通常以星型结构为主 较少使用环网结构 环网结构 较多的运用在运营商的城域网络和骨干网络中 可以节约光纤资源 基于星型结构的园区网设计 通常遵循如下原则 层次化 1 将园区网络划分为核心层 汇聚层 接入层 每层功能清晰 架构稳定 易 于扩展和维护 模块化 将园区网络中的每个部门或者每个功能区划分为一个模块 模块内部的调整 涉及范围小 易于进行问题定位 冗余性 关键设备采用双节点冗余设计 关键链路采用 Trunk 方式冗余备份或者负载 分担 关键设备的电源 主控板等关键部件冗余备份 提高了整个网络的可靠性 安全隔离 医院网络应具备有效的安全控制 按业务 按权限进行分区逻辑隔离 对设 备网 安防网进行物理隔离 可管理性和可维护性 网络应当具有良好的可管理性 为了便于维护 应尽可能选取集成度高 模 块可通用的产品 1 31 3 网络结构设计及发展思路网络结构设计及发展思路 根据婺源人民医院门诊楼 医技楼 病房楼相关标准及业务特点 人民医院 网络系统物理上是一套 逻辑上分成两套网络 实现医疗系统办公系统的内网和 医院对外服务的外网 其中 医疗信息内网指人民医院承载内部医疗系统 办公 数据流的专用计算机网络 外网是指连接 Internet 的计算机网络 两套网络采用 2 相同三层结构设计 即核心层 汇聚层 接入层 按逻辑区域划分包括 核心区 汇聚区 接入区 服务器区 出口区 两个区域依靠网络的安全控制策略和安全 防护措施实现 3 第二章第二章 网络系统网络系统方案方案 2 12 1 分层分层网络设计网络设计 婺源人民医院网络应该是一个高性能的 具有扩展能力的 能够支撑新兴应 用的局域网络 这就要求采用模块化和可扩展的网络体系结构来解决局域网络设 计方面的挑战 根据对人民医院网络建设项目的实际情况分析 在网络的设计中 采用业界 成熟的三层架构 核心 汇聚 接入 最后通过出口层网络设备 路由器或防火 墙 连接到外网 这种分层的网络架构 可以保证根据业务的需求 分别对不同层次进行扩容 2 1 12 1 1 核心层核心层 核心层是网络互联的最高层次 也是至关重要的层次 核心层直接决定了整 4 个局域网的性能和稳定性 核心设备应该具有最高的背板带宽 交换容量和包转 发率 还具有丰富的接口 为各区域配线间交换机 互联网出口区以及服务器区 交换机之间提供互联和数据转发能力 核心层交换机部署在核心机房中 汇聚各 楼宇 区域之间的用户流量 提供三层交换机功能 连接外部网络到内部用户的 纵 向流量 和不同汇聚区域用户之间的 横向流量 要求高密 高转发性能 推荐使用华为 S7703 作为园区核心层交换机 2 1 22 1 2 汇聚层汇聚层 本方案简化汇聚层设计 本建议方案根据婺源人民医院的实际情况 不采用汇聚层交换 省略该层交 换设备提高效率 增加数据传输速率 节省初期投入经费 2 1 32 1 3 接入层接入层 接入层交换机一般部署在楼道的网络机柜中 接入园区网用户 PC 机或服 务器 提供二层交换机功能 也支持三层接入功能 接入交换机为三层交换机 由于接入层交换机直接接园区网用户 根据用户接入信息点数目和类型 GE FE 对接入交换机的 GE FE 接口密度有较高的要求 另外接入交换机部 署在楼道网络机柜 数量大 对于成本 功耗和易管理维护等特性要求较高 高用户密度的园区接入场景推荐使用 S5700 EI 作为接入交换机 低用户密 度的场景推荐使用 S5700 SI 作为接入交换机 2 1 42 1 4 出口层出口层 5 园区出口路由器 连接 Internet WAN 广域网和园区内部局域网 推荐华为 AR 系列路由器或 USG 防火墙作为出口设备 对于中小型企业园区网 核心层和出口层可进行合并 通过核心交换机 S7703 的 WAN 接口板的广域网接口 POS 等 直接与外网相连 2 1 52 1 5 二三层网络分界点设计二三层网络分界点设计 二三层网络分界点 用户网关 设置在汇聚交换机 即汇聚交换机作为用户 的网关设备 接入交换机与汇聚交换机之间是二层网络 通过 STP RSTP MSTP RRPP 保证网络可靠性和防止二层网络环路产生 汇聚交换机 与核心交换机之间是三层网络 运行 OSPF 等路由协议 通过等价路由 IP FRR 保证三层网络可靠性 加快路由收敛时间 优点为 接入交换机是二层交换机 成本低 并且可保护客户现有低端二层交换机的投资 高可靠性 二层网络故障 收敛速度快 2 2 2 2 高可靠性设计高可靠性设计 2 2 12 2 1 网络高可靠性设计网络高可靠性设计 针对二层接入 接入交换机是二层交换机 汇聚交换机作为用户网关 典型 园区网架构 从接入层 汇聚层 核心层来分层考虑网络可靠性设计 接入层网络是二层网络 接入交换机与汇聚交换机之间通过 Smart Link STP RSTP MSTP RRPP 保证网络可靠性 同时解决二层网络环路问题 汇 聚层交换机之间通过 VRRP BFD for VRRP 协议确定用户的主备网关 交换机 互联通过 TRUNK 链路 保证链路级可靠性 汇聚交换机与接入交换机之间可通 6 过 DLDP 协议检测光纤单向故障 单通故障 园区网接入 汇聚 核心交换机通过虚拟化技术进行集群 或堆叠 将两台 多 台交换机虚拟化成一台交换机 降低网络拓扑复杂度的同时 提高网络可靠性 是未来高可靠性园区网的发展趋势 典型园区网可靠性组网设计方案如下图 汇聚交换机作为用户网关设备 两台汇聚交换机之间通过二层链路互连 每 台接入交换机上行有两条链路接入到两台汇聚交换机 接入交换机上行两条链路 的主备关系由运行的 Smart Link 协议确定 两台汇聚交换机运行 VRRP BFD VRRP 协议确定主备用户网关 VRRP 报文直接在汇聚交换机直 连链路上收发 注意 两台汇聚交换机链路需要保证绝对可靠 必须采用 TRUNK 链路 口子型组网场景下 多个楼层之间可以共用 VRRP 组 不受汇聚 交换机 VRRP 组数量限制 可实现不同楼层间的园区用户可以共享一个 IP 地址 网段 三角型组网方案的优点是 二层接入网不存在环路 不需要配置相对复杂的 7 环网保护协议 STP RSTP MSTP RRPP Smart Link 故障检测和保护倒换速度 快 200 400ms 支持园区网园区不同楼层的用户可以共用同一个 IP 地址网段 三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路 增加 布线成本 对汇聚交换机的端口密度有较高要求 2 2 22 2 2 设备冗余设备冗余设计设计 设备本身要具有电信级 5 个 9 的可靠性 需要网络设备支持 主控 1 1 备份 交换网 1 1 1 1 两种方式 AC 电源 1 1 2 2 备份 模块化的风扇设计 高端配置支持单风扇失效 无源背板 高可靠性 独立的设备监控单元 和主控解耦 所有模块热插拔 完善的各种告警功能 设备管理 1 1 备份 2 2 3 3 网络安全网络安全 网络为人们提供了极大的便利 但由于目前 TCP IP 协议本身缺乏安全性 网络安全成为必须面对的一个实际问题 网络上存在着各种类型的攻击方式 包 括 8 窃听报文 攻击者使用报文获取设备 从传输的数据流中获取数据并进行 分析 以获取用户名 口令或者是敏感的数据信息 通过 Internet 的数据传输 存 在时间上的延迟 更存在地理位置上的跨越 要避免数据不受窃听 基本是不可 能的 IP 地址欺骗 攻击者通过改变自己的 IP 地址来伪装成内部网用户或可信 任的外部网络用户 发送特定的报文以扰乱正常的网络数据传输 或者是伪造一 些可接受的路由报文 如发送 ICMP 的特定报文 来更改路由信息 以窃取信息 源路由攻击 报文发送方通过在 IP 报文的 Option 域中指定该报文的路由 使报文有可能被发往一些受保护的网络 端口扫描 通过探测防火墙在侦听的端口 来发现系统的漏洞 或者事先 知道路由器软件的某个版本存在漏洞 通过查询特定端口 判断是否存在该漏洞 然后利用这些漏洞对路由器进行攻击 使得网络设备整个 DOWN 掉或无法正常 运行 拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问 比如通过发 送大量报文使得网络带宽资源被消耗 Mellisa 宏病毒所达到的效果就是拒绝服务 攻击 最近拒绝服务攻击又有了新的发展 出现了分布式拒绝服务攻击 Distributed Denial Of Service 简称 DDOS 许多大型网站都曾被黑客用 DDOS 方式攻击而造成很大的损失 应用层攻击 有多种形式 包括探测应用软件的漏洞 特洛依木马 等 另外 网络本身的可靠性与线路安全也是值得关注的问题 9 随着网络应用的日益普及 尤其是在一些特别场合的应用 网络安全成为日 益迫切的需求 网络安全包括两层含义 其一是内部局域网的安全 其二是外部 数据交换的安全 交换机作为网络设备之间通讯的关键设备 有必要提供充分的 安全保护功能 Quidway 系列交换机提供了多种网络安全机制 支持基于用户安 全策略的 MAC IP VLAN Port 绑定 DHCP Snooping 802 1X 认证等安全策 略 支持防网络风暴攻击 防 DOS DDOS 攻击 防扫描窥探攻击 防畸形报文 攻击 防网络协议报文攻击等安全技术 为内部网络及外部数据提供了有力的安 全保护 防火墙选择华为 USG 系列防火墙作为局域网接入 Internet 或 Intranet 的安全 设备 以及服务器区安全设备 同时也是安全过滤网关 高性能的包转发特性 在高速的网络互连中 使得对外的访问 畅通无阻 USG 系列统一安全网关大量 的电信级以及各种行业的典型客户 奠定了华为安全设备的高安全性和高可靠性 为园区网提供一个安全可靠的互连平台 为办公网络安全保驾护航 为信息化建 设奠定了坚实的网络基础 2 4 2 4 网络逻辑架构网络逻辑架构 园区网络的逻辑架构如下所示 包括五大部分 10 应用层 包含园区内的各种终端设备 例如 PC 笔记本电脑 打印机 传真 SIP 话 机 视频设备等等 接入层 负责将各种终端接入到园区网络 通常由以太网交换机组成 对于某些终端 可能还要增加特定的接入设备 例如无线接入的 AP 设备等 接入层交换机 通 常部署在楼层配线间 汇聚层 汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层 扩展 核心层接入用户的数量 汇聚层通常还作为用户三层网关 承担 L2 L3 边缘设备 的角色 提供用户管理 安全管理 QoS QualityofService 调度等各项跟用户 和业务相关的处理 汇聚层交换机 通常部署在楼宇设备间 核心层 核心层负责整个园区网的高速互联 一般不部署具体的业务 核心网络需要 实现带宽的高利用率和网络故障的快速收敛 园区出口 11 园区出口是园区网络到外部公网的边界 园区网的内部用户通过边缘网络接 入到公网 外部用户 包括客户 合作伙伴 分支机构 远程用户等 也通过边 缘网络接入到内部网络 数据中心区 部署服务器和应用系统的区域 为企业内部和外部用户提供数据和应用服务 DMZ Demilitarized Zone 区 通常公用服务器部署于该区域 为外部访客 非企业员工 提供相应的访问 业务 其安全性受到严格控制 网络管理区 对网络 服务器 应用系统进行管理的区域 包括故障管理 配置管理 性 能管理 安全管理等 2 2 5 5 网络拓扑网络拓扑结构结构 人民医院信息内网和信息外网均为三层结构 即核心层 汇聚层和接入层 接入层千兆下行至用户桌面 双千兆链路上行至汇聚交换机 汇聚交换机万兆光 纤上行至核心交换机 互联网出口处部署一台 USG 统一安全网关 具有上网行 为管理功能 提供互联网接入的同时 又能保护内网用户和服务器的安全 核心交换机选择华为大容量 高性能 多业务支持的模块化交换机 S7706 长期来看满足 3 5 年要求 支持通过 VLAN 在整个综合信息网络的覆盖 提供各 业务部门的访问控制 确保高防护级别 性能不产生明显下降 能够保证设备安 12 全 稳定的运行 电源和引擎如果采用冗余形式 可实现更高的可靠性 汇聚交换机选择华为公司 S5700 S5700 系列是华为公司面向下一代企业网 络架构而推出的新一代高端智能路由交换机 该产品基于华为公司智能多层交换 的技术理念 在提供稳定 可靠 安全的高性能 L2 L4 层交换服务基础上 进一 步提供 MPLS VPN 业务流分析 完善的 QOS 策略 可控组播 资源负载均衡 一体化安全等智能业务优化手段 同时具备超强扩展性和可靠性 接入交换机选择华为 S5700 系列企业交换机 S5700 系列全千兆企业交换机 是华为公司为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千 兆高性能以太交换机 它基于新一代高性能硬件和华为公司统一的 VRP Versatile Routing Platform 平台 具备大容量 高密度千兆端口 可提供万兆上行 充分 满足企业用户的园区网接入 汇聚 IDC 千兆接入以及千兆到桌面等多种应用场 景 安全设备选择华为公司统一安全网关 USG2205 USG2205 系列产品是华为 技术有限公司为解决中小机构网络安全问题 而自主研发的统一安全网关 USG2205 基于业界领先的软 硬件体系架构 基于用户的安全策略融合了 IPS AV URL 过滤 应用程序控制 邮件过滤等行业领先的专业安全技术 可 精细化管理 1000 余种网络应用 全面支持 IPv6 协议 集成上网行为管理功能 为用户提供强大 可扩展 持续的安全能力 华为公司网管软件 eSight 定位于面向数通企业网市场的运维解决方案 为企 业网管提供 IP 设备管理等轻量级 致力于实现对企业资源 业务 用户的统一管 理 eSight 可以实现 IT IP 第三方设备统一管理 支持以标准 SNMP 协议管理 13 设备 WLAN 管理 定制化第三方设备管理 定制化报表 开放平台 网流分析 等功能 利用标准的网管平台 结合图形化管理手段 实现精细化管理 切实保 证硬件设备的可靠运行 为了更好的保证设备的不间断运行 需根据实际环境提供 UPS 电源并按要求 所提供的交换机进行防雷防护 2 5 12 5 1 信息外网拓扑图信息外网拓扑图 信息外网逻辑图如下 汇聚汇聚 互联网出口区 核心区 汇聚区 接入区 服务器区 2 5 2 5 2 2 信息信息内内网拓扑图 网拓扑图 信息内网逻辑图如下 14 汇聚汇聚 网络出口区 核心区 汇聚区 接入区 服务器区 2 6 2 6 网络业务设计网络业务设计 2 6 1 IP2 6 1 IP 地址规划地址规划 IP 地址的合理规划是网络设计中的重要一环 大型计算机网络必须对 地址进行统一规划并得到实施 IP 地址规划的好坏 影响到网络路由协 议算法的效率 影响到网络的性能 影响到网络的扩展 影响到网络的管理 也必将直接影响到网络应用的进一步发展 2 6 1 1 IP2 6 1 1 IP 地址分配原则地址分配原则 考虑到医院大楼用户的固定性 为保证对于上网用户的可查询性 且考 虑到 10 xxx xxx xxx 私网地址不存在短缺等因素 建议人民医院大楼的 IP 地 址采用 10 xxx xxx xxx 私网 IP 地址接入的方式进行建设 要与网络拓扑层次 15 结构相适应 既要有效地利用地址空间 又要体现出网络的可扩展性和灵活 性 同时能满足路由协议的要求 以便于网络中的路由聚类 减少路由器中 路由表的长度 减少对路由器 CPU 内存的消耗 提高路由算法的效率 加 快路由变化的收敛速度 同时还要考虑到网络地址的可管理性 具体分配时 要遵循以下原则 唯一性 一个 IP 网络中不能有两个主机采用相同的 IP 地址 简单性 地址分配应简单易于管理 降低网络扩展的复杂性 简化路由 表项 连续性 连续地址在层次结构网络中易于进行路径叠合 大大缩减路由 表 提高路由算法的效率 可扩展性 地址分配在每一层次上都要留有余量 在网络规模扩展时能 保证地址叠合所需的连续性 灵活性 地址分配应具有灵活性 以满足多种路由策略的优化 充分利 用地址空间 主流的 IP 地址规划方案分为纯公网地址 纯私网地址和混合网络地址 三种 当网络以私网地址分配或采用混合网络地址接入时 要求网络提供地址 变换功能 过滤掉私网地址 2 6 1 2 IP2 6 1 2 IP 地址规划方案地址规划方案 内部地址的分配原则是按建筑物进行的 视用户的数量 1 4 1 2 整 16 个私网的划分 对于相对固定不变的区域采用静态分配 IP 地址 为防止地址盗用 采 用 IP 地址与端口 地址绑定 对于流动性大 用户人数多 用户增长快的用 户区采用动态分配 IP 地址 采用 By Port 的 Vlan 小范围地限制地址盗用 问题 静态 IP 地址对于用户来说可以实现对应物理位置的查询 对全网的 IP 地址与物理位置的对应有全面 可靠的管理 对于服务器 网络设备互连端口地址 设备 Loopback 地址建议使用静 态 IP 地址 而且各属自不同的 IP 地址段 有利于骨干路由表的简化与路由 的快速处理 2 6 2 2 6 2 路由设计路由设计 2 6 2 1 2 6 2 1 路由协议选择及设计建议路由协议选择及设计建议 选择何种路由协议 对于最大程度的发挥网络的效能具有重要意义 因 此本次人民医院大楼网络建设的路由协议的选择也就十分重要 2 6 2 2 2 6 2 2 路由协议选择原则路由协议选择原则 在大型网络中 选择适当的路由协议是非常重要的 目前常用的路由协 议有多种 如 RIP OSPF IS IS BGP PIM 等等 不同的路由协议有各 自的特点 分别适用于不同的条件之下 选择适当的路由协议需要考虑以下因素 1 路由协议的开放性 开放性的路由协议保证了不同厂商都能对本路 17 由协议进行支持 这不仅保证了目前网络的互通性 而且保证了将来网络发 展的扩充能力和选择空间 2 网络的拓扑结构 网络拓扑结构直接影响协议的选择 例如 RIP 这 样比较简单的路由协议不支持分层次的路由信息计算 对复杂网络的适应能 力较弱 路由协议还必须支持网络拓扑的变化 在拓扑发生变化时 无论是 对网络中的路由本身 还是网络设备的管理都要使影响最小 3 网络节点数量 不同的协议对于网络规模的支持能力有所不同 需 要按需求适当选择 有时还需要采用一些特殊技术解决适应网络规模方面的 扩展性问题 对于本网络 在选择路由协议时不能只看眼前 还要充分考虑今后的扩 展性 4 与其他网络的互连要求 通过划分成相对独立管理的网络区域 可 以减少网络间的相关性 有利于网络的扩展 路由协议要能支持减少网络间 的相关性 是通常划分为一个自治系统 AS 在 AS 之间需要采用适当的 区域间路由协议 必要时还要考虑路由信息安全因素和对路由交换的限制管 理 5 管理和安全上的要求 通常要求在可以满足功能需求的情况下尽可 能简化管理 但有时为了实现比较完善的管理功能或为了满足安全的需要 例如对路由的传播和选用提出一些人为的要求 就需要路由协议对策略的支 持 18 2 6 2 3 2 6 2 3 本网络路由协议的选择本网络路由协议的选择 考虑到协议的通用性 标准性以人民医院大楼网络系统的网络规模 建 议在本次网络建设中选择 OSPF 作为未来网络动态路由协议 选择 OSPF 主 要有以下几个原因 1 标准开放性及成熟性 OSPF 是开放的标准协议 受到广大厂家设备及组织的支持 也是目前 网络构建中用得最多的协议 也是在企业网中应用最广泛的 IGP 协议 因此 其性能是经受过考验及验证的 2 扩展能力分域功能非常适合网络扩展 OSPF 提供分域功能一方面保证路由转发效率 另一方面要提供很好的 网络扩展能力 当然路由协议的选择也必须考虑本系统的整体规划 本次方案选择的产 品具有丰富的路由协议支持能力 单播 多播路由协议包括 OSPF RIP PIM 等都提供很好的支持 因此可以适应本系统的路由协议的 选择 2 6 3 VLAN2 6 3 VLAN 的划分的划分 2 6 3 1 2 6 3 1 划分划分 VLANVLAN 的必要性的必要性 VLAN 是建立在各种交换技术基础之上的 所谓交换实质上只是物理网 络上的一个控制点 它由软件进行管理 所以允许用户利用软件功能灵活地 配置资源 管理网络 利用交换设备中的虚网功能 不必改变网络的物理基 19 础 即可重新配置网络 采用虚网功能 网络性能可以获得较大的改善 1 虚网技术能对工作组业务进行过滤 有效地分割通信量 因而能更好 地利用带宽 提高网络总的吞吐量 2 采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用 更改布线 因为虚网技术是从逻辑角度而非物理角度来划分子网的 所以采 用虚网技术能减轻系统的扩容压力 将迁移费用降至最小 3 采用虚网技术能有效隔离网络设备 增加网络的安全性和保密性 虚 拟网络的安全策略采用的主要协议为 IEEE802 1Q 此协议结合有鉴别和加 密技术以确保整个网络内部数据的保密性和完整性 4 虚网技术能对属于同一工作组的用户提供广播服务 但与传统的局域 网协议所不同的是 虚拟局域网能限制广播的区域 从而节省网络带宽 5 虚拟局域网可以建立在不同的物理网络上 用封装的办法支法支持不 同的网络协议络协议 如 SNMP NMP IPX TCP IP IEEE802 33 等 兼容性非常好性非常好 6 虚拟网络中的主要应用技术为 虚网中继 VLAN Trunking 特有技术 的采用也成成为了必然 必然 简而言之 VLAN Trunking 主要是通过一条 高速全双工通道来实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其 它 LAN Switch 中各自相应的 VLAN 成员进行线路复用连接的技术 VLAN Trunking 技术的采用 既节省了信道数据量 又提高了可靠性 并便于管理 及方便连接 提高了整个网络吞吐量和性能指标 其原理如下图所示 20 V1V2V3V4V1V2V4V1V1V2V3 200Mbps Bandwidth 200Mbps Bandwidth VLAN 1 to VLAN 4 VLAN 2 to VLAN 2 V VL LA AN N T Tr ru un nk ki in ng g 代 代 代 代 如果采用 VLAN trunking 的技术 则 V1 V2 V3 均可通过一条全双 工的 100Mbps 即 200Mbps 的速率与上级 LAN Switch 进行互通并经过位 于树根部的路由器进行路由与其它的 VLAN 进行通讯 VLAN trunking 技术 的优点在于采用一条高速通道连接 提高了通道的使用效率 如在 如在 V2 V3 无数据量的情况下 V1 可以独占此 100M 带宽 并且可以使得线路 的连接变得简单 从而大大提高可靠性与易维护性 2 6 3 2 2 6 3 2 划分划分 VLANVLAN 的方法的方法 H3C 公司的接入交换机不仅能够支持标准的 802 1Q VLAN 还能实现 端口之间的隔离 我们可以使用支持的 P VLAN primary vlan 这个特性 一方面实现用户之间的隔离 另一方面可以为三层交换机节省 VLAN 资源 E 系列可以屏蔽下面的 VLAN 划分 仅向三层交换机提供一个 VLAN 信息 在边缘交换机实现了端口可以同时属于多个 Vlan 21 如图所示 其中端口 1 为 uplink 端口 端口 2 3 4 为接入端口 Vlan 1 包含端口 1 2 3 4 5 Vlan 2 包含端口 1 2 Vlan 3 包含端口 1 3 4 Vlan 4 包含端口 1 5 设计中采用了几个 secondary vlan 包含在一个 primary VLAN 中的方式 给用户提供了灵活的配置方式 如果用户希望实现二层报文的隔离 可以采 用了为每个用户分配一个 secondary vlan 的方式 每个 vlan 中只包含用户 连接的 port 和 uplink port 如果希望实现用户之间二层报文的互通 可以将 用户连接的端口划入同一个 VLAN 中 同时创建 primary vlan 该 vlan 包含 所有 secondary vlan 中包含的端口和 uplink 端口 这样对上层交换机来说 可以认为下层交换机中只有一个 primary vlan 用来标识设备 而不必关心 primary VLAN 中的端口实际所属的 VLAN 简化了配置 节省了 VLAN 资源 primary vlan 中的所有端口都不是 802 1Q 的 trunk 端口 包括与其它交 换机相连的 uplink 口 每个 port 的 PVID 就是它所属 secondary vlan 的 ID uplink 端口的 PVID 是 primary vlan 的 ID 我们建议在接入交换机上根据各个部门之间的逻辑关系进行灵活的 VLAN 划分 可以让一个楼层对应于一个 PVLAN 楼层内的不同部门分属不 同的 Sencondary VLAN 这种划分方式中 可以对用户能实现动态的 VLAN MAC IP 绑定 可对用户发动的伪造攻击报文进行合法性检查和过滤 22 具有一定的网络安全性保障 不同 VLAN 间的互访 必须经过三层交换机进 行转发 2 6 2 3 VLAN2 6 2 3 VLAN 规划规划 我们建议按不同的业务使用主体来规划整个人民医院大楼的 VLAN 资源 VLAN 的划分可以依据不同的业务部门进行也可以依据用户所处网络的 物理结构进行 后者主要是从网络性能角度出发 而前者还兼顾了网络安全 性可控性的需要 根据实际业务部门办公环境的分布情况来看 在大部分情 况下 两者实现了重合 而对于少数由于办公地点不同 隔离在不同汇集点 的相同业务部门 我们则推荐第一种方式 将端口分配给 VLAN 的方式有两种 分别是静态的和动态的 静态 VLAN 形成静态 VLAN 过程是将端口强制性地分配给 VLAN 的过程 确定哪些 端口属于哪些特定的 VLAN 然后将 VLAN 静态映射到端口 这是将端口映 射到 VLAN 的一种最通用的方法 对于用户相对集中的区域 建议采用这种 部署方式 将 VLAN 部署在用户对应的汇聚交换机端口上 动态 VLAN 我们知道 VLAN 常常被规划用于对 资源访问权限 的分组 不同的 VLAN 具有不同的访问权限 每个 VLAN 内有一个 IP 地址网段 不同的 VLAN IP 地址段的用户 具有不同的访问资源的权限 用户权限数据一般存 23 储在 CAMS 或接入认证系统 UAM 后台综合访问管理服务器 中 CAMS 根据用户端的权限归类 在认证通过之后向二层交换机作动态的 VLAN ID 下 发配置 此时 二层交换机要支持 VLAN 的动态配置功能 H3C 全系列交 换机支持 从广播控制角度出发 为了保障网络的高可用和高性能 我们建议在进 行具体 VLAN 规划时 同一个广播域内 一个 VLAN 的通信主机不要超过 250 台 最好控制在 50 台以内 对于主机数量超过 50 的业务部门 我们通 过二层隔离 三层交换的方式来解决 管理 VLAN 作为特殊 VLAN 的典型 建议保留 VLAN1 作为管理 VLAN 管理 VLAN 覆盖到全网的每一台交换机 但在第三层接口上 需要与其他业务 VLAN 进行有效的隔离 网管工作站建议另外设置一个 VLAN 例如 VLAN ID 4000 VLAN4000 与 VLAN1 在第三层上相通 同时 部分业务 VLAN 可 以访问 VLAN4000 从而实现网管的分布式监控布局 VLAN1 和 VLAN4000 的第三层路由接口处设置访问控制列表 只有特定的主机或者只 有网管 VLAN 可以直接访问每一台设备 其他均在过滤之列 对于服务器建议单独设置在一个 VLAN 中 业务 VLAN 可以按照部门的类别进行划分 每个部门划分一个 VLAN 部门人数超过 50 名的应该划分为两个 VLAN 以保证交换的性能 业务 VLAN 的命名建议采用 VLAN100 作为第一个业务 VLAN 然后按照数字序 列进行划分 一直到 VLAN123 24 本次建议在人民医院大楼网络中采用静态 VLAN 划分方案来部署 2 7 2 7 医院网络解决方案特点医院网络解决方案特点 人民医院大楼组网解决方案的优点有以下几点 2 7 1 2 7 1 功能模块化功能模块化 在硬件结构上 不同的功能由物理上相互独立的单元来分别完成 如 不同的接口板可提供不同类型的接口 实现不同的业务等 软件方面 同样 采用模块化的设计思想 不同的模块实现不同的功能 可降低软件的复杂程 度 有利于软件功能升级等 同时 功能模块化也有利于设备的维护和升级 工作 控制平面和业务处理平面完全分离 S7700 有两个核心的处理平面 即控制平面和业务处理平面 控制平面主要由主控板 接口板上的控制单元构成 完成协议处理 路 由表维护 数据配置和设备管理等控制功能 业务处理平面主要由接口板上的高速业务处理单元 ASIC 芯片 和集 成在交换网板板上的交换网构成 具备业务处理 报文交换和报文转发等功 能 控制通道 接口板 网板通过高速差分线 Serdes 分别连到主备控制板 上的管理模块 实现双主控 1 1 多交换网 N 1 或 N M 的热备份 提高 系统的可靠性 业务通道 交换网芯片内置于交换网板 接口板通过高速差分线 25 Serdes 分别连到交换网板上的交换网 2 7 2 2 7 2 控制平面和业务处理平面相互独立 互不影响 控制平面和业务处理平面相互独立 互不影响 多级分布式 CLOS 大缓存的交换结构 S7700E 采用当前业界最先进的交换机交换结构 即多级 CLOS 分布 式大缓存的交换结构 独特领先的基于 Credit 分配和 Pull 方式的分布式业务 调度 Pull 方式天然支持 Ingress 方向的分布式缓存 有效共享和利用分布 在各线卡上的缓存 相对于传统的 Push 方式 Pull 方式具有无阻塞 控制 精确等优点 该调度机制结合大量队列使得系统在 QoS 上有质的飞跃 接口板采用功能强大的 ASIC 芯片进行业务处理和报文转发 平均每万 兆端口 256MB Buffer 支持 200ms 突发流量 吸收网络突发数据 满足大 型数据中心高突发流量的需求 2 7 3 QoS2 7 3 QoS 规划设计规划设计 QoS 对于网络的应用来说是非常重要的 考虑到住楼内未来要增加多种 的业务 如 视频教学 流媒体点播 视频点播等 这要求全网能够提供强 大的 QoS 的功能 S7700 全网产品可以为用户提供丰富的 QoS 保证 支 持 QoS 技术中的 PQ CQ WFQ LLQ CBWFQ 等转发队列优先保证机制 所 携带的 IP 地址段 TOS 值 源端口号等均可实现业务的保证 同时可以针 对不同的接入层交换机端口或是不同业务进行端口的限速 以提高全网的 QoS 业务的保证 同时 S7700 可实现基于业务类型的流领控制功能 如 基于端口 IP Vlan 等带宽管理以及优先权的分配 可实现带宽管理最小粒 26 度为 8K 2 2 8 8 设备设备清单清单 网络设备清单 设备名称设备名称生产厂家生产厂家设备型号设备型号数量数量 核心交换机华为 S7706 双交换路由处理器 24端口千兆电口卡1块 24端口千兆光口卡1块 含 SFP模块 2台 服务器区交 换机 华为 S5724 24口10 100 1000M 2个GE电口2个GE光口 含 SFP模块 2台 48口交换机华为 S3752 48口10 100M 2个GE电口2个GE光口 含 SFP模块 4台 24口交换机华为 S3728P 24口10 100M 2个GE电口2个GE光口 含 SFP模块 3台 16口交换机华为 S2016TP EA 16口10 100M 2个GE光口 含SFP模块 8台 安全网关华为 USG2205BSR 标配2GE Combo端口 集2台 27 设备名称设备名称生产厂家生产厂家设备型号设备型号数量数量 成VPN和应用优化功能的防 火墙 路由器 可选 华为 AR1220 固定接口 8 FE 2 GE 转发性能 450Kpps 插槽 2 SIC 0台 网管软件华为 eSight 1套 参考设备数量统计 序号 图纸 文件 序号 网络 点 备注交换机端口数量说明 17216一层平面布置图24 1 2737二层平面布置图12 1 3741三层平面布置图 二三层共用 47540 四 六 七 八层 平面布置图 12 4 13 五层24 1 5766九层平面布置图12 1 6771十层平面图 与九层共用 7788一层给排水平面图12 1 28 87920二层给排水平面图24 1 98050一层平面图48 1 108136二层平面图48 1 118226三层平面图48 1 128326四层平面图48 1 13841五层平面图 四五层共用 14859三层给排水平面图12 1 15863四层给排水平面图 三四层共用 信息点汇总信息点汇总 263263 48 口交换机4 台 24 口交换机3 台交换机统计 12 口交换机8 台 第第三三章章 主机系统主机系统方案方案 3 1 3 1 项目背景的理解项目背景的理解 在需求不断增加而竞争愈演愈烈的经营环境中 有效的数据管理已成为 企业制胜的关键 确保数据随时随地可用 保证员工 合作伙伴和客户能够 获得最新信息 这样他们才能高效率地工作 及时制定决策 最终实现经营 29 目标 在各个行业中 类型和规模不一的企业却无一例外地面临着相似的数据 存储难题 一方面数据集和内容存储的增长势不可挡 另一方面多快好省地 完成任务的压力有增无减 这些导致企业急需智能数据和存储管理功能 以 有限的管理资源来控制需求的增长 本次空间需求为 可用存储空间 4 5T 其中 2T 为热点数据 要求在线 操作 响应时间短 基于用户的这种需求 我们建议采用 SAS 存储 即 用高速的 SAS 磁 盘来做热点数据的支撑磁盘来做数据的存储与备份 基于以上需求此解决方案的 IBM DS5020 DS3500 系列为面临企业 数据管理难题的组织提供了更多的选择 凭借其出色的性能和可扩展性 IBM DS5020 DS3500 系列以中端产品的价格提供了高端企业存储和数据 管理产品才具有的价值 由于设计之初就考虑到了企业适用性和易管理性等 因素 服务器采用 IBM X3850X5 这些系统增强了可靠性 简化并统一了存 储基础设施及其维护 是非常经济合算的明智之选 3 2 IBM3 2 IBM 方案方案简述简述 服务器拓扑图如下 30 两台 X3850 X5 服务器设备互联 双机构成集群系统 形成高可用高可 靠的数据计算及处理系统 在集群软件的支持下 它们可以工作在主备模式 和并行 主主 模式 在它们之上可以分别运行多个应用数据库 两台设备 相互容错 可靠性大大提高 由于人民医院将要展开的医疗系统和医院办公系统等多个应用系统分别 运行在数据库服务器上 它们对应的数据存储设备也分为关键存储 DS5020 设备 主要存储 DS3500 设备 在服务器和存储设备之间架构了 SAN 交换网络 通过该 SAN 交换机 实现服务器集群与数据存储设备之间数据的快速安全传输通道 主机存储系统建立在高可靠高可用的集群模式下可以获得许多优良特点 1 通过设备体系结构以及内置的备份和恢复软件 可以满足方方面面的 数据可用性要求 确保企业数据随时可供访问 X3850X5 服务器和 DS52020 DS3500 系列在性价比和可扩展性方面带来了不同凡响的价值 作 31 为业界首款为企业应用准备的 SAS 存储选件 DS5020 DS3500 系列提供光 纤通道存储方式的数据可用性 DS3500 系列提供的基础体系结构可满足中 端存储要求 但随着企业要求的变化又能扩展为支撑存储网格的体系结构 2 简化的统一存储在降低总拥有成本的同时提高了投资回报率此系统提 供集成的块级和文件级数据访问 支持在 FCSAN 和 IP SAN iSCSI 环境中 执行并行操作 即整合了其他存储供应商的多个不同系统的功能 得益于以 上功能 企业能够运用简化的统一基础设施来管理所有数据 这一基础设施 易于管理和维护 可优化资源利用 降低总拥有成本并提高投资回报率 缩 短了代价高昂的停机时间 同时最大限度地保障了对关键数据的访问 为企 业带来了独特的竞争优势 3 企业适用性和易管理性利用 IBM 远程 LAN 管理 RLM 技术 拓展 了企业存储的易管理性 支持从任意位置对 DS3500 系列系统进行远程管理 和诊断 4 可靠 可用的装置此存储设备的可靠性和可用性的主要功能包括 避免数据因磁盘故障而丢失的内置 RAID 支持同一 RAID 组中任意两块 盘同时失效 数据不会丢失的 RAID DP 技术 用于快速故障恢复的全局热备用盘 冗余的可热插拔电源和冷却风扇 电池供电的非易失性 RAM 从而确保写入功能 主机存储方案的特色与优势如下 32 1 可靠 数据随时可用并可达到系统一级的冗余备份 能同时满足业务关键 型和任务关键型应用的需要 2 快速 适合数据库 电子邮件 影音共享和技术方面的应用 吞吐量高且 响应速度快 3 通用 单一的一体化体系结构 可通过光纤通道和以太网基础设施同时提 供块级和文件级的数据访问 4 可扩展 功能扩展从不间断 可轻松升级以实现更佳性能 5 简单 安装 配置 管理和维护 一切易如反掌 3 3 3 3 主机存储设备配置主机存储设备配置 1 主机系统硬件 IBM X3850X5 服务器 DS5020 DS3500 2 双机系统软件 PLUSWELL 3 具体配置如下 产品型号描述数量单位 HIS 服务器 IBM X3850 X5 2 个 Xeon E7 4820 处理器 2 0GHz 18M 缓存 64GB 内存 硬盘 300GB SAS 2 块 两个千兆仪态网口 1 块 HBA 卡 双电源 Combo 2 台 双机集群软件 PLUSWELL1 台 HIS 存储设备 IBM 双主动型 RAID 控制器 2GB 缓存 4 个 8 1 台 33 DS5020 1814 20A Gbps FC 和 4 个 1 Gbps iSCSI 风扇和电源 双冗余可热插拔式 10 块 IBM 450GB 15K FC 磁盘 PACS 存储设备 IBM DS3500 双主动型 RAID 控制器 2GB 缓存 8 个 8 Gbps 光纤通道端口和 4 个 6 Gbps SAS 端 口 标配 2 个 SFP 模块 风扇和电源 双冗余 可热插拔式 10 块 1TB 10K SATAII 磁盘 1 台 SAN 交换机博科 BR 310 0004 24 端口 SAN 交换机 8 端口激活 含 8 个 4Gb s 短波 SFP 含 Web tools Zoning EGM 软件授权 支持集联 可按需扩展到 16 或 24 个通讯端口 支持 SAN 级联 配置 16 根 5M FC FC 1 台 服务器机柜 IBM 93074RX 42U 标准 机柜 标准机柜 42U 1U 折叠液晶显示器 8 口以 上 USB 接口 KVM 切换器 USB 接口 KVM 连接线 PDU 机柜专用一体键盘鼠标 1 台 第第四四章章 布线系统布线系统方案方案 4 1 4 1 布线系统需求布线系统需求 4 1 1 4 1 1 中心机房中心机房 34 在机房内安装的 1 台标准 2 1 米 19 英寸服务器机柜 安装服务器存储 等设备 1 台网络机柜 以满足交换机安装及配线系统 机房内各服务器 的布线及所有的光纤的布线应汇集到用于安装核心交换机的机柜中 楼内如 有新增客户信息点的布线应汇集到用于安装二级交换机的机柜中 所有的布线 包括光纤 应规范化地汇集到机柜中的端子排上 核心交换机至各服务器为 HIS 机房内部走线 采用六类 UTP 电缆 由 服务器供货方提供 端子排到交换机的跳线则根据实际需要跳接 交换机供货方负责提供实 际长度的原装跳线 接入交换机 端口 统计表见第二章网络系统方案 2 8 节内容 由该表得到 布线基本材料 4 1 2 4 1 2 材料清单材料清单 序号序号货物名称货物名称单位单位数量数量备注备注 1 屏蔽超五类配线架 24 口 个 11 2 屏蔽超五类信息模块套 264 3 理线器个 11 4 机架式12口光纤配线架套 4 5 光纤熔接尾纤根 30 6 8芯单模铠装光缆 适用1310nm波长 米 800 投标商须根据硬件设 备的尺寸选择合适的 网络机柜具体尺寸 本表中的所需的设备 数量为估算值 投标 厂商需根据提供各个 35 7 屏蔽超五类线缆 350米 箱 箱 135 8 超五类屏蔽跳线条 300 9 SC单模光纤跳线条 20 10 标准网络机柜42U黑色个 1 11 单模SC法兰个 48 设备的单项报价 并 根据设计院提供的图 纸及工程实际情况进 行供货 最终以实际 数量进行结算 对于 综合布线工程中可能 需要的设备 而在本 需求表中未列出的 投标方应予以说明 并提供详细报价清单 光纤接头根据所接设 备而定 4 2 4 2 特点特点及设计原则及设计原则 4 2 14 2 1 结构化综合布线系统结构化综合布线系统 结构化综合布线系统是兼容众多厂家设备的布线网络 它将先进的双绞线及 光缆技术完美地结合起来 而达到信息资源的共享以满足顾客的需求 4 2 1 1 系统体系结构 结构化综合布线系统一般由六个子系统组成 工作区子系统 36 水平区子系统 干线区子系统 管理区子系统 设备间子系统 建筑群子系统 这六个子系统有机地结合在一起 构成一个完整的开放的布线系统 1 1 工作区子系统 工作区子系统 工作区布线子系统由终端设备连接到信息插座的连线 或软线 组成 它包 括装配软线 连接器和连接所需的扩展软线 并在终端设备和 I O 之间搭桥 2 2 水平区子系统 水平区子系统 水平区