医疗行业二期培训-苏建宇智慧医院nbai解决方案

1、精医求精、行智于简智慧医院NBAI解决方案PART 021 方案构成智慧医疗面临的问题医疗业务驱动Technical solutions新业务日新月异网络边界越来越开放，如何保障医疗系统和数据安全？ 安全管控运维人员编制有限，如何适应长期发展？ 运维效率提升用户和业务需求越来越复杂，实时性要求更高，如何快速应对？ 稳定，故障可快速恢复各类终端接入网络安全管控变得复杂业务连续性要求提高合理用药心电监护系统各类自助机医疗终端移动医疗 内外网互通业务可用性监测智慧医疗面临的问题管理驱动Technical solutions安全稳定，无故障，部门配合有条不紊希望业务能稳定上线、达到业务的使用效果 上线

2、时间不延期、不产生故障 各部门配合工作不出现问题：不扯皮，不产生矛盾 不出安全事故稳定，简单，快速 业务系统能快速上线，稳定运行，把IT当成是业务上线的支撑部门。 信息系统使用简单方便，出现问题处理快速，响应及时 没有编制增加的情况下，提高运维效率 网络业务可视化管理 IT系统稳定运行，有应急机制，即使出现问题也能快速恢复可视化管理；高效运维传统网络需要升级Technical solutions传统网络 追求稳定可靠安全物理隔离高速智慧网络 利用信息化技术实现自动化、可视运维，保障IT系统的安全、稳定、高效80%三网分离60%三层网络30%扁平化骨干速率10G、40G但依然存在大量问题需要人工

3、处理应用NBAI技术的改进NBAI：Network Business Artificial Intelligence网络业务人工智能通过信息化升级助力医疗全流程安全，稳定，高效，提高病患就诊、临床使用满意度医疗NBAI解决方案产品全家福Technical solutions硬件产品软件产品方案产品RG-ONC-AIO-E SDN控制器硬件设备 高性能控制器RG-ONC-AIO-CTL SDN控制器节点 与RG-ONC-AIO-E配 合使用RG-ONC-AIO-L SDN控制器硬件设备 中等性能设备RG-ONC SDN基础平台 所有方案必配RG-ONC-CLUSTER 控制器集群功能模块授权 每

4、集群成员配置一个（可选）方案认证软件(可选）RG-ONC-PFOL 锐捷SDN策略随行高级功能授权(policy following )RG-ONC-AMAINT 锐捷SDN自动化运维高级功能授权(auto maintenance) SMP 极简X核心设备RG-N18K/S86E RG-S29EV329XS 极简X接入设备（可选）RG-57H系列 极简X汇聚设备（可选）RG-ONC-ACTL 锐捷SDN接入控制高级功能授权(access control)RG-ONC-SCHAIN 锐捷SDN服务链高级功能授权（servicechain）RILLIT运维管理软件（可选）Technical sol

5、utions医院NBAI智慧网络，打造极致的运维体验，提高病患就诊、临床使用满意度4 安全服务链 弹性安全 故障自动旁路3 网络设备自动化部署 零配置 零替换1 终端无感准入 无感准入 IP地址可视化管理 入网日志排号机血糖仪摄像头平板汇聚接入核心防火墙RG-ONC服务器数据中心门诊大楼医技楼住院部行政办公区云桌面自助机工作站 可视化升级医保专线自助查询机2 环路自愈 环路可视化告警 环路端口限速PART 022方案特色锐捷网络智慧医院解决方案设计9Network Business Artificial Intelligence网络业务人工智能NBAI全院业务自动部署全院无感准入管理全院极致应

6、用体验网络设备自动化部署终端自动化部署环路自愈服务链零漫游下一代接入物联网资产管理项目管理服务流程管理安全等保态势感知医疗全场景云办公有线终端无线终端动态IP地址终端静态IP地址终端所有IP终端准入原来需要医院大量人工和时间去处理的故障和问题我们用更高效、智能的方式来解决，这就是NBAI无感准入Technical solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案结论：现有准入安全方案过于复杂、维护代价高，导致约60%用户最终放弃做终端准入A医院：采用人工分配静态IP；接入IP+MAC绑定做安全防护但终端频繁更换导致维护麻烦，效率低，容易出错。B医院：采用1X认证方式；但

7、终端需要安装客户端，出现医生频繁忘记密码，系统重装、终端上网故障排查复杂等系列问题，最终废弃。医院防护服务器的安全/防止随意接入导致的DHCP欺骗、环路、地址冲突等已经成为一个必须要解决问题，怎么保证：只有授权的安全终端才能访问服务器。无感准入Technical solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案桌管软件适用性问题：Android系统的终端或自助设备、无线医护PAD无法安装桌管软件、部分领导拒绝安装桌管，导致安全漏洞存在无线准入问题：医院建设无线医护网络，终端PAD界面小，如果准入使用web/1x 操作困难，出现问题难以排查。目前主要使用MAC黑白名单技术

8、，存在伪造MAC轻松进入内网的安全隐患云桌面准入问题：云桌面新技术无法适配1x/web认证，云桌面存在物理MAC和虚拟MAC，物理IP和虚拟IP对应的问题，传统准入技术缺乏适配无线、云桌面、大量自助终端的合法准入成为医院互联网+医疗面临的新问题无感准入Technical solutionsIP认证工具，对报告机查询机等多种自助机、无线医护终端、云桌面终端无能为力，若人工静态绑定，工作量太大，难以实现NBAI智能化完成无感准入同时，绑定医院全部IP设备的IP+MAC，彻底防止恶意接入，篡取数据全网设备无感知认证，自动IP+MAC绑定PC 云桌面PAD/打印机/医疗设备等哑终端如何认证出口核心虚拟

9、化接入/汇聚？医保专线数据区无感准入环路自愈自动化运维安全服务链现状及问题解决方案？无感准入Technical solutions用户无感入网无账号、无密码，无需用户操作，开机自动识别维护极致简单无客户端、无Radius系统、无需收集哑终端MAC地址，系统极致小巧稳定，由SDN控制器直接管理适用广泛支持动态IP、静态IP、哑终端、云桌面、有线/无线终端，一套搞定。支持接入、网关2种部署模式，对现网架构改动小运维简单用户无感适用广泛支持丰富的统计信息：终端IP、主机名、位置、品牌、状态、上线时间等，辅助资产管理支持基于业务子网（VLAN）开启认证，可以和桌管配合形成最简单、最安全的准入方案无感准

10、入环路自愈自动化运维安全服务链现状及问题解决方案无感准入Technical solutions新入网终端首次接入网络，NBAI自动收集终端信息，管理员在NBAI管理界面审批后正常入网终端接入位置发生变更，终端接入位置改变需要管理员审批，防止MAC地址欺骗业界首创，极致简单首次部署，开启“放通模式”放通期间控制器自动搜集终端IP和MAC无感准入环路自愈自动化运维安全服务链现状及问题解决方案终端准入日志信息无感准入Technical solutionsIP地址可视化分配管理，像电影院选座一样直观便捷 IP地址管理中最难管理的是静态地址。 IP冲突问题时常发生，excel表管理IP地址司空见惯，效率

11、低，易出错难判断空闲IP无感准入环路自愈自动化运维安全服务链现状及问题解决方案直观的IP地址管理，IP地址是否空闲一目了然，告别IP地址EXCEL表格维护。IP冲突直观告警，标红提示直观的统计业务网内设备数量，设备接入位置，最近上线时间，辅助资产定位。更多的信息判断终端是否合法，保障业务安全首家实现 动+静态IP可视化管理私设IP导致地址冲突无感准入Technical solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案IP冲突位置提示冲突告警静态/动态IP统一管理可显示IP在线时长、物理位置等，定期回收长时间不在线IP资源信息丰富轻松掌握IP资源使用率IP状态可视化环路自

12、愈Technical solutions无感准入环路自愈安全服务链自动化运维现状及问题解决方案科室信息点不够HUB/小路由扩容线路凌乱，不小心插错环路导致整网或整栋楼业务中断医患矛盾，领导追责环路引发的业务中断 病人无法就医环路自愈Technical solutions无感准入环路自愈安全服务链自动化运维现状及问题解决方案环路问题：难以杜绝，影响大，排查困难天津某医院客户真实发生的案例：背景：某医院综合楼3楼的大会议室，在建设初期只预留了3个内网信息点。问题：信息科发现在全院级会议或大型的学术交流活动中信息点经常不够用，因此在会议室中放了一台HUB用于扩展信息点。事件：在某一天的会议之后，信息

13、科收到报障称综合楼的很多电脑上不了网或者网速慢的基本无法使用，医生工作受到影响，信息科收到投诉。信息科反馈每年遇到这样的事情总有2-3次，很难避免，排查困难，他们因此收到很大的压力，其他部门的领导会在会上投诉。问题定位 ：在通过一系列的排障措施后（3小时），终于找到3楼的大会议室HUB出现了环路。具体了解之后才发现在当天会议室完成后，护士在整理会议室时发现HUB上有根网线一端接在HUB上，一端空闲。护士以为网线被人碰掉了，因此把这根网线的另一端插在了会议室3个内网网口的其中一个空闲网口上，最终形成环路。走线杂乱更易引发环路环路自愈Technical solutions无感准入环路自愈安全服务链

14、自动化运维现状及问题解决方案环路带来的影响 广播风暴后对设备造成攻击 消耗CPU与性能，例如CPU 99%利用率 导致设备不可用，无法处理各种协议报文设备被攻击不可用 广播泛洪报文，消耗链路带宽，链路拥塞 影响网络中的正常业务，业务丢包或中断设备链路带宽被占用，业务受影响环路自愈Technical solutions无感准入环路自愈安全服务链自动化运维现状及问题解决方案网络环路智能愈合科室调整、扩容，原有网络端口难以满足，临时接入交换机/HUB扩容造成环路，全网网络震荡，业务中断NBAI智能环路自愈技术，智能环路流量抑制，图形化的位置提醒，1秒内自愈环路自愈Technical solution

15、s无感准入环路自愈安全服务链自动化运维现状及问题解决方案 锁定环路发生地点困难，通常只能逐一插拔核心到汇聚端口或汇聚到接入端口，尝试恢复业务； 根据经验，环路需人工到现场定位，通常耗时23个小时才能恢复以前，出现环路时 主动告警提醒，快速定位环路源（包含端口/主机名信息），减少排障时间 自动流量限速，不影响正常业务运行，防止设备被攻击宕机 被攻击宕机现在，出现环路时a3个小时中断到秒极定位自动化运维Technical solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案门急诊收费区交换机故障：无法快速恢复30分钟-1个小时恢复；门急诊，收费，检查等窗口接入存在单点故障(电源

16、、风扇、端口故障）设备替换 半天左右网络报障确认位置登陆设备远程定位现场排障原厂服务业务连续性受到影响人员技能有要求渠道距离远自动化运维Technical solutions中南医院湘雅附二：关键区域接入交换机冷备在旁边。目前做不到1:1冷备，出现故障时工程师完成替换，替换需要30分钟左右。重庆某医院： 出现问题后，要求厂商工程师现场处理，期间断网。替换需要1-2个小时。复旦大学附属华山医院： 门诊/急诊/收费处：流程规定5分钟内必须到现场，20分钟内形成处理办法。设备上线慢+设备替换烦无感准入环路自愈自动化运维安全服务链现状及问题解决方案小张，门诊3楼那边的设备断了，快拿台设备过去替换上去好

17、的，主任，我先看看西3楼是什么型号的设备，有多少端口；再找一下之前有没有备份的配置，嗯，我配置线好像落机房了；我得找集成商的兄弟来搭把手；一个人换太麻烦了。2个小时后主任，设备我换完了，你看设备应该上线了吧。门诊排队的人有些多，但大多“情绪比较稳定”。自动化运维Technical solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案网络设备上线，顺利：40分钟 不顺利：大于2小时21.接到故障2.判断故障3.有人会配置有备份无备份4.旧设备下架5.新设备上架时间单位：分钟 60+51010流程510自动化运维Technical solutions自动化运维新业务上线减少复杂

18、的开局操作，配置从控制器自动下发设备，真正实现零配置开局。即插即用故障设备替换，替换设备即插即用，减少业务中断时间网络扩建网络扩建，新设备配置自动下发，业务扩展简易实现。NBAI智能发现设备故障，新设备上线，插上网线，2秒内配置自动下发，整体耗时控制在20分钟内无感准入环路自愈自动化运维安全服务链现状及问题解决方案自动化运维Technical solutions位置迁移, IP地址不变, 用户分组不变位置迁移, IP网段变化, 用户分组不变ADCS自动部署云服务新设备上线只需三步骤人员技能要求低可视化设备自动上线过程无感准入环路自愈自动化运维安全服务链现状及问题解决方案安全服务链Technic

19、al solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案安全设备“糖葫芦串”模式部署，一个接一个哪里需要往哪里增加安全设备传统 医院网络安全部署模式安全服务链Technical solutions无感准入环路自愈自动化运维安全服务链现状及问题解决方案安全服务链 （Service Chain） 1、降低投入：按需分批购买设备，可单安全设备部署，避免投资过大带来的资金浪费。 2、灵活简单：逻辑网络与物理网络解耦。依据NBAI提供的界面，按需调整安全设备顺序。勾勾点点，按需服务。 3、割接/故障不断网：在线添加安全设备，在线割接，遇到故障自动绕行，网络不断。 4、利旧：可以跨品

20、牌进行负载，利旧同时，不动拓扑，按需添加。 5、兼容：可兼容现有任意品牌安全设备，不绑定。数据中心 等保安全场景内外网互联安全改造场景出口安全场景三大应用场景整体方案价值点：打造 稳定、安全、快速、简单的医院智慧网络Technical solutions无感准入IP MAC自动绑定终端可视化准入IP地址可视化管理终端入网日志供回溯自动化运维 0配置上线，即插即用 0配置替换，即插即用 可视化升级环路自愈秒级定位，可视呈现风暴抑制，自动恢复安全服务链 安全设备中断自动Bypass不断网 灵活定义安全策略，按需引流 降低安全投入，利旧兼容安全快速简单稳定29PART 033竞争分析竞争分析Tech

21、nical solutions华为：Agile Controller对windows终端具备1X的客户端认证，对于哑终端只有MAC认证，手动MAC地址的收集，无统一IP地址管理功能产品、模块，需要与特定型号安全设备联动，无接入层功能，不具备环路自愈功能；H3C：ADCampus对终端入网需要提前导入免认证的MAC地址段，无法实现自动地址收集来实现终端逐个绑定，即不能批量完成，无统一IP地址管理功能产品、模块，环路问题为传统的生成树、环路检测协议进行问题定位和发现；31PART 034经典案例经典案例Technical solutions空军军医大学附属西京医院客户规模百强医院，前身为1939年

22、建立的延安中央医院，历年百强综合排名前五，2017年门急诊量387.25万人次，住院14.03万人次，2017年隶转空军。客户需求1、高速、稳定，有线无线统一管理，运维简单2、解决传统人工IP+MAC+端口绑定的准入维护繁问题。实现效果1、 6台N18010核心、16台S86E汇聚，390台万兆接入及POE交换机，合计1770台无线AP 全新升级医院智慧网络，整网统一管理和运维，高速稳定。2、NBAI 无感准入方案释放运维压力，原来20分钟的人工准入可缩减到10秒内完成。客户评价1、锐捷在这次整网改造中非常专业、细心。2、无感准入太简单易用了，一个按钮就可以完成准入。经典案例Technical