毕业设计（论文）-XX医院网络规划设计

*******************实践教学*******************兰州理工大学计算机与通信学院2007年春季学期计算机网络课程设计题目：XX医院网络规划设计专业班级：通信工程3班姓名：学号：指导教师：成绩：目录TOC\o"1-4"\h\z摘要 1一、前言 2二、企业描述 3三、需求分析 4(一)用户需求 4(二)系统建设范围 5(三)主要技术路线 5(四)组网方案 61核心层 62骨干层 73会聚层 74接入层 7(五)子网与VLAN规划 8(六)实现的信息效劳 8(七)存储系统分析 12(八)系统计数据平安分析 14四、拓扑图及方案整体描述 15(一)主干网传输方案设计 15(二)网络中心及Internet接入方案 17(三)远程访问支持 18(四)子网划分与VLAN设定 19(五)存储方案 201方案概述 202数据可能丧失的原因 203需求归纳 214双机热备份设计 22(六)网络效劳及数据库配置 241WWW效劳器配置 242FTP效劳器配置 253邮件效劳器配置 264数据库效劳器配置 27五、网络管理 28六、系统主要设备报价 28七、网络测试及协议数据包分析 29八、参考资料 31九、课程设计总结 32摘要随着医院规模和业务的不断开展，已有的网络系统已逐渐不能适应现有应用的需求。为了提高网络的覆盖率，使更多的人可以利用网络的便利性，以及为了在网络上可以支持更多的新一代的应用系统，保证整个网路的平安性，先进性，便捷性和可扩充性原那么，在原有的根底上建设新的园区网络系统已事在必行。根据XX医院建设局域网所需的一般需求对医院从整体到局部进行了局域网设计，我们将整个网络划分为多个区逐一进行配置，整个网络采用多层式设计，分为骨干层，会聚层，核心层，接入层。通过科技化的合理规划最终到达医院高标准的网络设计目的。关键词：医院；局域网；VLAN；交换机；防火墙。一、前言随着开发区经济建设和社会开展步伐的不断加快，如今的XX医院已开展成为一所设备先进、技术力量雄厚，具有巨大开展潜力的集医疗、教学、科研、预防、保健、社区卫生效劳等于一体的综合性三级甲等医院。2000年XX医院使用Accton公司的交换机组建了干线100M，10M交换到桌面的局域网络系统，系统目前覆盖了CT楼、门诊大楼及内外科大楼，为附院实现信息管理系统提供了初步的网络平台。网络化信息化时代的到来带动着各行业的快速开展，如何紧跟时代的步伐融入于未来的信息世界成为众企业追求的目标，身为一个无论何时都不可缺少的行业，医院更需要高科技含量的信息技术和高水准的交流平台。为此，建立一个多功能的网络系统成为今后医院开展任务中的重中之重！二、企业描述XX医院始建于1958年，现在是一所集医疗、教学、科研、预防、保健、康复于一体的省级综合性三级甲等医院。现有职工1261人，医疗设备总值1.8亿元，编制床位818张，设有43个医疗科室、13个医技科室，其中骨科、内分泌科、肾内科为重点学科，中西医结合肝病科为省重点中医专科。设有省骨科研究所、省肾脏病研究中心等11个科研机构。医院建筑面积9.7万平方米,固定资产总值3.1亿元，其中设备总值1.93亿元。2006年门诊量为39.2万人次，出院病人2.96万人次，完成手术1.799万例。其地域分布图如图1所示：图1XX医院地域分布图三、需求分析(一)用户需求在XX医院的网络规划设计中，医院网络一般由管理信息系统(HIS)、临床信息系统(CIS)和办公自动化系统(OA)三个方面组成，如图2所示：图2医院信息系统组成示意图

管理信息系统(HIS)主要是以经济核算、资源管理等为主要内容。目前，中国大多数医院实施的资讯系统都指的是这种HIS系统，只有少数较为先进的医院在实施HIS的同时又在实施CIS系统或OA系统。如图3所示：图3典型HIS系统示意图

临床信息系统(CIS)主要以病人资讯为核心，对各种与病人诊疗有关的临床资讯进行整理、处理、汇总、统计、分析等。目前中国还没有医院全面实现真正意义上的CIS，已经实施的医院根本上是根据自身的实际情况分步实施CIS中的某些模组，例如目前比拟常见的是实施CIS中的PACS系统。

办公自动化系统(OA)主要涉及对办公系统的资讯管理。和其他行业机构(如银行、电信等)有所不同，医疗机构并不是把OA系统作为根底的系统，优先于其他业务系统实施，而一般是在实施了管理资讯系统后再考虑实施OA系统。

医院信息系统除了实现上述内容外，还需要和外部一些相关系统实行互联和交流。这一功能又会涉及到其他一些资讯系统，如医疗保险系统、社区医疗系统、远端医疗谘询系统等。

通常医院在实行资讯化的过程中会先实施HIS系统，然后在此根底上再实施CIS系统或OA系统。但是这三个系统又不是完全独立的，实际上，在同一所医院里，不同系统之间存在着千丝万缕的联系，各自的功能相互依存，系统间的资讯交流十分频繁。

鉴于XX医院作为具备较高社会关注的大型医疗民生机构，可以预计建成之后将有大量的应用系统运行在相应的电脑网路系统上，包括HIS系统、PACS/RIS系统、医疗档案系统、远端医疗、WEB效劳、Email系统等，不仅涉及大量的资料传输，同时也对系统的即时性和可靠性提出较高的要求。因此，建设一个先进、高效、合理的电脑网路系统十分的必要。(二)系统建设范围本方案提供的XX医院的网络系统解决方案的工程实施范围包括：医院企业网络系统〔Intranet〕的组成构架，建立根底的信息系统平台，提供整体企业级平安防护策略。(三)主要技术路线XX医院园区网络系统建设的主要技术路线如下：1)采用成熟/先进的网络技术。2)统一技术标准、标准和方案，统一设备选型，统一组织实施。3)通过高速交换技术、虚拟网〔VLAN〕技术组网。4)以TCP/IP为主要协议，采用统一的电子邮件系统提供邮件效劳。5)以标准化为根底实现系统的开发型、可扩展性，增强与异种机、议购网的互联能力。6)注重防止出现瓶颈效应，重要路由要有备份，保证网络每天24小时可靠运行。7)注意通信保密和数据平安，建立完善的网络平安管理系统。8)采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章制度。(四)组网方案图4XX医院组网方案示意图1核心层核心层以太环网由万兆路由器组成，支持高性能的线速转发能力，具备强大的IPV4/IPV6路由支持能力，支持手工、自动配置隧道、6To4隧道、NAT-PT等IPv4－IPv6过渡技术、具备强大的新业务支持能力，支持MPLSTE功能，支持L2/L3MPLSVPN功能，支持MPLSFRR功能，支持BFD功能，支持IGMP、DVMRP、PIM-SM/DM等多种组播协议，提供丰富的Qos特性，支持基于端口、MAC、VLAN、802.1p、DSCP、IP五元组、MPLSEXP等的复杂流分类，支持PQ、CQ、WFQ、WRED等多种拥塞管理和拥塞防止算法，支持ACL平安过滤特性，基于硬件的线速NAT，支持策略路由、负荷分担、统计等功能，支持VoIP业务，具备抗病毒能力，关键部件支持冗余备份，所有部件支持热拔插，便于维护。2骨干层骨干层采用机架式、模块化的高端万兆路由交换机，具备大容量、高性能的线速的L2/L3/L4交换能力，支持丰富的IPV4/IPV6单播、组播路由协议，支持V4-V6过渡技术，具备强大的平安功能，支持ACL过滤机制，提供基于用户、地址、应用以及端口的平安控制功能，支持BFD功能，支持uRPF、防DDos攻击、SSH2.0、802.1x接入与透传，VLAN与MAC、端口、IP绑定等，支持DHCPSnooping/Relay/Option82，支持VBAS协议，支持MPLS、L2/L3MPLSVPN、NAT、QOS、带宽控制、IPTV可控组播等高级功能，具备抗病毒机制，关键设备采用设备冗余，链路冗余设计。3会聚层会聚层采用高性能端口密集型的L3路由交换机，支持L2/L3线速转发，支持完善的路由协议，支持RIP1/2、OSPFv2、BGP-4、IS-IS等路由协议，支持IGMP、DVMRP、PIM-SM/DM等组播协议，支持VLAN、LACP、STP/RSTP/MSTP等丰富的二层协议，支持基于端口、MAC、VLAN的802.1x远端/本地认证和透传，支持MAC、VLAN、端口的绑定，支持MAC地址限制功能，支持DHCPSnooping/Relay/Option82，支持VBAS协议，支持IGMPSnooping/IPTV可控组播，支持集群管理协议，支持强大的平安和Qos功能，支持二层到七层的流分类、流线速和过滤功能，支持基于VLAN、二层、三层、四层以及混合ACL，支持基于时间段的ACL，支持多种队列调度算法，支持WRED拥塞防止和端口流量整形，支持CAR、支持播送风暴抑制，具备抗病毒、防攻击能力。4接入层接入层采用固定接口和模块化接口结合的快速以太网交换机，具备光纤接入能力，支持L2的全线速交换，支持VLAN、LACP、STP/RSTP/MSTP等丰富的二层协议，支持端口隔离功能，支持单端口环路检测功能，支持基于端口、MAC的802.1x远端/本地认证和透传，支持MAC、VLAN、端口的绑定，支持MAC地址限制功能，支持VBAS协议，支持IGMPSnooping/IPTV可控组播，支持集群管理协议，支持802.1p协议，支持基于端口的优先级功能，支持802.3x流量控制，支持端口速率限制功能，支持播送风暴抑制，具备线路自动检测/诊断功能，支持SNMP统一网管，具备CPU保护功能，防攻击。(五)子网与VLAN规划虚拟网络允许网络管理人员使用相应的虚拟网络软件，设计、修改和管理网络而无需改变物理结构。为提高内部平安性、加强管理和提高网络性能，XX医院医院选择了下面的VLAN计方案：各个职能部门对应一个虚拟网；共享资源〔效劳器〕属于每一个虚拟网；虚拟网之间通过路由功能来连接。具体介绍如下：采用交换机端口方式划分虚拟网；根据桌面的组织附属关系，直连到交换机端口的工作站按端口划分；主干、工作组交换机采用嵌入式监控；在所有交换设备上设置内置智能代理；结合网管系统和设备配置实现管理。(六)实现的信息效劳1．电子病历电子病历〔EMR,ElectronicMedicalRecord〕也叫计算机化的病案系统或称基于计算机的病人记录〔CPR,Computer-BasedPatientRecord〕，它是用电子设备〔计算机、健康卡等〕保存、管理、传输和重现的数字化的病人的医疗记录，取代手写纸张病历。1991年，美国医学研究所发表了CPR研究委员会的专题报告。报告研究了自1915年美国开始有病史历程，总结了近40年来实现病历记录计算机化的经验，全面论述了CPR开展的各个方面，指出实现CPR系统必须解决的问题。该报告对当前医院信息系统〔HIS〕的开展有首重要的指导意义。1993年9月，在法国马赛召开首次健康卡系统国际会议，研讨健康卡的应用、效益分析、实施策略、平安保密、标准化及开展趋势等问题。在中国，1994年第6届医药信息学大会上，国家卫生部提出"希望到本世纪末，全国将有假设干家医院能够真正实现完整的CPR系统"。这一切，都说明电子病历已成为目前医院信息系统开展的重要目标之一。目前医院使用的传统病历主要是记录在纸张和胶片上。传统病历在使用中有许多缺乏之处，如易变质、占地多、不易保管、查找和存取麻烦、不能几个人同时借阅同一份病历等。用计算机化的病史记录系统代替手写病案始终是医院信息系统研究的主要课题这一。计算机应用于医院40多年来，人们一直为实现病历管理和病程记录计算机化，作出了不懈的努力，取得了很大的进步。计算机在病历中的应用，大致经历了3个阶段：第1阶段是用于贮存和管理病历文件〔如病案首页、科研病历等〕；第2阶段是用于出院病历的数据库管理；第3个阶段是通过计算机网络，输入和存贮病人的根底资料、医嘱、各项临床检查结果和医学图像等资料，形成规模巨大的病历信息库。计算机在病历中的应用积累了丰富的实践经验，为实现电子病历打下坚实的根底；高性能微机和网络技术的进步及多媒体技术的应用，那么为实现电子病历系统创造了新的技术条件。其具有传送速度快，共享性好，存贮容量大，使用方便，本钱低等特点2．以电子病历为核心的临床信息系统电子病历是医院中医疗信息系统的核心。医疗信息系统的主要功能是为医院的医疗提供信息效劳，其各项功能都是建立在对病人的病历信息进行处理的根底上。它包括：病人的姓名、性别等自然信息。病人的入院、出院、转科、转院等流行情况。病人在医院所接受的各种检查记录。医师为病人所做的各种治疗记录。⑤对病人的护理记录等。有了以电子病历为核心的医疗信息系统，医疗工作的过程将会有很大的变化。如果一个急诊病人突然来到医院，医师可以将病人身上所带的健康卡插入计算机，这样计算机就会立刻显示出病人的有关情况，如姓名、年龄、药敏等等，此时医师就能够根据病人的临床表现开出需要的检查工程单。完成检查后，经治医师能够立刻得到检查结果，并作出诊治处理意见。如果是疑难病例，经治医师还可以通过计算机网络系统请上级医师或专科医师进行会诊。上级医师或专科医师可以在自己的办公室或家中提出会诊意见，以帮助经治医师作出治疗方案。电子病历和计算机信息系统的应用，将使这个医疗会诊的时间大大缩短，质量大大提高。3．远程医疗远程医疗是近几年在一些兴旺国家开始实验的一种新型医疗效劳工程。目前，美国等西方国家正在兴建遍布全国的远程医疗计算机网络。顾名思义，远程医疗就是医师和病人在相隔远距离的情况下，互相递送信息，交流信息，以到达诊治目的。病人的病史、检查数据、心电图、超声波图像、X线片、CT等的诊断用的图像通过信息高速公路，传送给远方的医师，医师据此作出诊断并提出治疗方案，又通过信息高速公路传送给病人。在此期间，医师和病人或两地医师可以交谈讨论〔通过多媒体技术〕，最后做出结论。按这种方式进行的医疗活动即称作"远程医疗"。目前，远程医疗的应用尚不普遍〔1993年美国缺乏2000例〕，但电视和电脑技术的进步已使医师之间相互交换意见的方式以及医学卫生部门贮存有关信息的方式发生改变。现在医师们已能用电脑迅速获得某种疾病最新治疗方法的文献资料；已可用电子病历取代书面病史记录，甚至还可借助电脑程序来诊病、给药。4．大规模一体化医院信息系统大规模一体化医院信息系统也称为第二代的医院信息系统。它是医院信息系统经过近20年的开展，积累了丰富的经验以后，为适应医疗卫生事业的需求和开展的产物，也是计算机软硬件技术的开展和进步的产物。最近10多年来，世界各国都面临着医疗本钱日益增加，医疗供需矛盾日趋扩大，一场几乎是全球范围内的医疗保健制度改革方兴未艾。由于这场改革所追求的目标是降低医疗本钱，提高医疗质量，这就要求必须有一个与之相应的以病人为中心的集管理、医疗等为一体的医院信息系统。这个系统的主要功能不能仅停留在原来的收集一般的统计资料和常规行政管理资料上，而应该从病人的根本病历中获得更直接、更丰富、更准确的信息，这些信息不仅为本医院所用，也能为其它医院及社会〔如医疗保险部门、社区保健单位〕所用。大规模一体化医院信息系统的主要特征如下：〔1〕从面向管理向面向医疗开展。在计算机管理信息系统的应用业已普及和成熟的情况下，在企事业单位和机关中管理信息系统是向着决策支持系统的方向开展，在医院那么是面向临床诊断和治疗。大规模一体化的医院信息系统就是在以管理为主的医院信息系统的根底上，建立的以病人为中心的信息系统，包括计算机化的病人病历、临床信息系统、健康卡系统、医学图像档案管理和通讯系统、医学检验系统、各种管理系统以及辅助诊断系统等等。这类系统一般都具有一定的知识处理能力和决策支持功能，医师可以用计算机处理病史记录和医嘱，为病人开处方；用计算机查询实验室报告和影像诊断报告；系统可以根据病人的历次检查结果向医师提出诊治咨询建议；医师可在办公室或病房直接阅读CT、MRI、X光、B超等图像；护士可以用计算机做护理方案；计算机不仅可以供医院管理人员进行一般的管理事务处理，也可提供辅助的决策建议。〔2〕从信息效劳向智能效劳开展。传统的医院信息系统一般只是提供常规医疗行政、财务、药品、器材、病案首页、医疗统计等方面的信息，是一种被动式的信息效劳。新一代的医院信息系统不仅扩大了信息效劳的内容、范围和功能，而且开始从信息效劳向智能效劳开展，这主要表现在：①日益增多的医院信息系统已装入各类医学专家系统、护理专家系统、辅助诊断系统、使医院信息系统能够为医师和病人所用，直接为医疗效劳；

②将人工智能技术和知识工程技术的应用系统与医院信息系统集成，在管理系统上提供智能效劳；

③用人工智能技术和方法分析医院信息系统的数据；

④用人工智能技术开发医院信息系统的智能人机界面；

⑤用人工智能技术开发智能监护系统；

⑥将医院信息系统通过网络或卫生与一些医学文献和情报检索系统联机，及时地提供最新的医学文献和情报。〔3〕从局域网向区域网、广域网开展当一个医院有了自己的多用户的、分时的、或微机局域网络、客户/效劳器系统的医院信息系统以后，必须出现区域连网甚至广域连网的需求。日本在70年代末就提出"共享的医院信息系统SHIS〔SharedHIS〕"的设想，到80年代末90年代实实施了"国立大学医院医疗信息远程传输网络系统方案"；在欧洲共同体也有类似的方案：欧洲健康信息网络战略方案SHINE〔strategicHealthInformationNetworkforEurope〕。美国的医院之间计算机网络互连已有很大的开展，形成了许多医院信息系统的区域网和广域网。大规模的一体化的医院信息系统就其内涵和功能来说，决定了这种系统必须是一个大规模的计算机网络，是多个子网络系统互连的分布式系统，必须与院外的区域网和广域网连接，才能充分发挥系统的作用。远程医疗的开发、应用和开展，可以说它是大规模一体化医院信息系统，尤其是以病人为中心的医疗信息系统的功能在时间上和空间上的延伸和扩展，其物质的和技术的根底就是计算机区域通信网络和广域通信网络。信息高速公路的兴起，使医院信息系统的建设和开展面临新的挑战和机遇。(七)存储系统分析在信息日益膨胀的今天，存储系统应该得到和主机、网络、应用一样的重视。未来的信息系统规划和建设，必须从主机、存储和网络这三个方面入手，取得最正确的均衡，从而得到功能强大、扩展性强、易于管理、高投入产出的信息系统。

结合目前医院现状，所以我们建议首先采用先进的IP-SAN架构的存储设备，不仅可以实现对相关的存储设备的数据存取，还可以随着业务开展的要求，实现备份、镜像、复制、持续数据保护等功能。其次在两台效劳器之间实现双机热备，如果当前的效劳器宕机，可以由另一台效劳器将应用接管，以确保业务持续进行。

1、集中存储

为了满足医院系统对于存储的需求，并考虑到性能、扩展性、可靠性等因素，应该建设存储区域网络〔SAN〕，来统一为应用系统提供存储效劳。这样即可以有效的提高整套系统的存储利用率，简化管理和维护的工作量，并且有利于实现数据的集中备份；同时利用SAN－存储局域网的融合性和可扩展性，实现“效劳器群－SAN网络－存储池〞新一代IT架构，保护用户投资，降低用户的总拥有本钱〔TCO，TotalCostofOwnership〕。

效劳器的操作系统包括Linux\Windows等主流的操作系统，SAN需要能够支持这些异构的环境。并且在整合的时候要充分考虑到本钱的因素，如交换机、主机适配器〔HBA〕等。

2、

简化管理

存储设备在一个企业中的异构化现象十分普遍，为保证存储空间的可管理性和减少SAN结构的复杂性，方案应采用先进、简便的IP-SAN技术和相应的管理软件，保证大数据量简便管理并能够充分发挥系统性能。

3、

存储容量的需求综合考虑到各类存储需求后，预计整体需要有效存储空间为1～2TB。

4、

存储容量扩展

随着业务的开展，数据库和各种应用系统也需要越来越多的存储空间。这就要求存储系统能够方便的扩充存储空间。

5、集中存储解决方案〔IX1000〕

方案设计：

选用华为3Com的NeoceanIX1000为核心存储系统。一台IX1000410MB/s的吞吐量，54000的IOPS，满配能够提供6.4TB的数据容量。在此方案中，配置3块400G的SATA硬盘，采用RAID5，提供800G的可用空间。IX1000具备4个GE接口，可以支持应用效劳器系统采用多块网卡的高可靠性设计，完全能够满足应用对于存储区域网络的性能和可靠性的要求。

所有需要连接IX1000的效劳器，只要安装千兆网卡，并安装软件的iSCSIInitiator，就可以通过以太网获得存储设备，从而不需要购置价格昂贵的HBA卡。IX1000支持的操作系统：Linux、Windows和Netware，都支持这种千兆网卡加软件的iSCSIInitiator的实现方式。

IX1000在标准的3U高度〔13.3cm〕内可容纳16块企业级SATA硬盘，最大容量可到达8TB，最高提供410MB/s的带宽吞吐量和54,000IOPS的处理能力，轻松满足各种应用的性能要求。

稳定可靠

IX1000内部采用系统与系统日志信息双介质隔离设计。如果系统发生损坏，可以使用恢复盘快速恢复系统，不会丧失日志信息。IX1000存储系统拥有4个前端GE接口，可连接前端主机或网络交换机，4条数据链路支持链路聚合和故障切换，时刻保障数据通路的可用和畅通。

IX1000支持启动时硬盘顺序加电、硬盘在线热插拔和硬盘电源短路保护。IX1000采用硬件过载保护机制，例如：当硬件温度过高时，系统会给出警告，如果温度异常升高会导致硬件损坏，那么系统会自动关机保护硬件。

IX1000支持RAID0，1，5，10，50，并提供按需使用硬盘空间建立RAID功能。用户可根据实际的容量需求，灵活的选择多块硬盘的全部或者局部空间建立不同级别RAID，最大化存储空间利用率。IX1000支持RAID容量在线动态扩展、在线RAID级别转换、阵列隐藏和Hot-spare等多种数据平安保护机制。一个RAID5、50的阵列可以同时采用DistributedSpare、DedicatedSpare、GlobalSpare三种热备方式，给阵列提供多重保护，提高了阵列的平安性。NeoceanIX1000相关数据如下：磁盘数量：16；

磁盘标准与容量：400GB/500GBSATA硬盘；

最大容量：8TB；

存储处理器：单/双；缓存：2－8GB；最大带宽：410MB/s；IOPS：54，000；

前端主机端口：4个GE接口；管理端口：10/100Mbps以太网接口；支持RAID标准；RAID0,1,5,10,50，Hot-spare；操作系统支持：Windows，Linux，NovellNetware等；管理软件：NeoStor专业版存储管理软件；可选软件功能：远程复制功能、数据镜像功能、NAS功能、系统/文件备份与恢复功能、VTL虚拟磁带库功能。(八)系统计数据平安分析防火墙被应用于内部网与外部网的连接之间，通过2~6块100M快速以太网卡直接连在——交换机上。使用虚拟网〔VLAN〕技术，来自INTERNET对内部网的访问首先要经过防火墙，防火墙对进出内部网的数据内容进行各个层次的平安检查、控制和过滤，以确保网络的平安。CISCO公司PIX防火墙向企业网络提供引人注目的简单新特性和举世无双的平安性。PIX防火墙的高性能核心是一种基于自适应平安算法〔ASA〕的防护方案，有效地对黑客隐藏起客户机地址。PIX还具有执行速度快、本钱低的优点，同时也能改善IP地址缺乏的问题。其特点如下：统一的IOS——方案选用的所有Cisco产品都内置CiscoIOS。IOS能够将路由器、千兆交换机、ATM交换机、LAN和WAN交换机、文件效劳器、智能集线器、个人计算机及对机构的互连网络有战略性影响的任何其他设备等所有不断开展的网络平台集成在一起，因而能够支持不可防止的变化和移植。IOS能够发挥Cisco平台及由将IOS融入其产品中的技术伙伴提供产品的功能，因而能够让各公司建立和加强经济有效的集成式统一信息系统根底设施。设备的平安性——在网络系统的平安设计中，设备本身管理的平安性是应首先考虑的，却往往又是人们常常疏忽的。利用设备本身的多个登录等级，控制不同人员的配置权限。可利用TACACS+、RADIUS平安认证效劳器，加强了对网络设备本身的平安性管理。VLAN的平安性——VLAN的建立，可以控制播送和应用的信息流动，从而防止他人非法在网络上截获其它用户或它们的资源。VLAN之间的通信可通过访问列表AccessList控制，提供IP层，TCP层的访问控制。利用CISCOUserRegistrationTool，并结合CISCO特有的动态VLAN技术，使移动的用户无论位于何处，与之相连的交换端口属于该用户特属的VLAN，即User-bandVLAN，由于需要经过用户口令的认证，更增强VLAN的平安性。网络访问的平安性——通过防火墙防止黑客的入侵。数据的平安性——HP的DLT4115的磁带库和Legato的备份恢复软件，对Unix效劳器、NT效劳器、ORACLE数据库、ExchangeServer和SQLServer进行备份，以便在灾难发生时进行恢复四、拓扑图及方案整体描述(一)主干网传输方案设计一个优秀的网络设计方案离不开对其网络应用的评估。目前，在典型的网络中80%的数据流是客户/效劳器业务，它们之间的绝大多数业务又必须跨越骨干网传输。这样就造成在骨干网的一边是快速以太网客户，另一边是文件效劳器，而两者之间的界面必须提供足够大的吞吐量来满足加在网络上的性能要求的现象。所以对于一个成功的网络集成设计来说，骨干网和边缘之间的界面的设计是极为关键的，因为这个边界正是网络进行分段和重组(SAR)的地方，对于XX医院这样大规模会产生巨大的网络业务流的网络系统更是如此。如果网络的数据业务流不能在骨干网和边缘之间快速可靠地传输，就会出现瓶颈，产生时延，降低效率，结果造成高速千兆以太网所提供的诸多优点均未实现。考虑到医院今后的业务核心在其附院园区，为此医院的网络系统的设计思想是以医院信息中心机房为网络中心，以星型方式通过2G的链路分别连接内科办公楼、外科办公楼、旧急诊楼、门诊楼、教学楼、教授楼、学生宿舍、生活区的骨干节点交换机，并以这些二级骨干节点为中心，通过1G或2G〔视下级节点的业务繁忙程度而定〕的链路连接桌面交换机，如图5所示。工作站工作站工作站工作站边缘交换机高速缓存器防火墙路由Web效劳器交换机交换机业务主机通讯机交换机通讯机防火墙Web效劳器路由RAS访问效劳器业务主机图5XX医院网络系统拓扑结构图在医院主机房放置一台CiscoCatalyst6006作为网络的中心千兆骨干交换机，中心交换机配置主备交换引擎，多层交换及策略卡模块、双电源，充分保证了中心交换机的高可靠性。中心交换机提供16个千兆多模接口及96个10/100以太网UTP口，并能构实现企业网的第三层交换。CiscoCatalyst6006配置如下：双电源；Catalyst6006主交换引擎、多层交换卡及策略卡模块1块；Catalyst6006备交换引擎、多层交换卡及策略卡模块1块；8口1000BASE-LX/LHGBIC多模/单模光纤模块2块；48口10/100M以太网交换模块2块；在医院的三个二级骨干节点，我们分别放置1台Catalyst3508Gh通过两条千兆上联链路分别与中心交换机的不同槽的千兆模块相连，两条链路互为备份且均衡负载，任意一条链路故障不影响网络运行并通过原故障线路的传输信息的端口转到另一条线路传输，全双工速率可以到达4G。其中，Catalyst3508G可以提供8个千兆模块用以连接，余下的6个千兆端口可别连接本幢及附属建筑的Catalyst3548/2924交换机。各二级骨干节点分配线间交换机配置情况如下〔CiscoCatalyst3508G〕Catalyst3508+1000BASE-LX/LHGBIC单模/多模光纤模块8块；其他各幢建筑分配线间分别放置Catalyst3548或Catalyst3524交换机通过千兆就近上联作为二级节点的Catalyst3508G上。CiscoCatalyst3548配置如下:Catalyst3548+1000BASE-LX/LHGBIC单模光纤模块2块CiscoCatalyst3524配置如下：Catalyst3524XL+1000BASE-LX/LHGBIC单模/多模光纤模块2块通过以上网络设备组成的网络主干系统不仅可以到达4G的主干容量和满足10/100M的桌面速率，而且通过Cisco6006的路由和虚拟子网的划分，可实现整个园区网络系统端到端的通信。(二)网络中心及Internet接入方案网络中心是整个网络运行管理的核心。这里集中了各种网络应用效劳器、多媒体应用效劳器、网络管理系统以及互联网络的接入设备等。设计一个合理的网络运行管理中心，对今后整个网络规划、拓展和管理将带来十分积极的影响。在人民中医医院网络中心我们选用的是Cisco公司的千兆以太网交换机6006，作为骨干中心交换机，用以连接其他骨干节点和网络中型的各类效劳器及网络设备为了让整个园区能够与Internet相连，让内部员工能够从中获取信息资源和同时让外部用户能够访问人民中医医院的网站。我们可以申请一条DDN链路，通过电信局连接Internet。我们选用了Cisco公司的企业级硬件防火墙产品PIXFirewall，作为人民中医医院内部网与Internet之间的平安防护平台，同时其还可以提供一个缓冲区作为网站、DNS效劳器使用，这样就防止了企业内部网上的各类网络系统设备直接暴露在Internet上，使网络整体的平安性得到了大幅度提高(三)远程访问支持CiscoVPN3000集中器系列由通用的远程访问虚拟专网〔VPN〕平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。利用CiscoVPN3000集中器系列，客户可以充分发挥最新VPN技术的优势，极大地降低通信费用。特别是，该产品是业界唯一的能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理〔SEP〕模块的部件使用户可以轻松地增加容量和吞吐量。

Cisco客户可以在众多的VPN3000集中器中选择最适合自己需求和应用的具体型号，这些型号支持各种企业客户，包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。不管CiscoVPN3000集中器的哪一种版本，都可以在不增加更多费用的情况下提供CiscoVPN客户机，并给予不受限制的安装许可证。CiscoVPN3000集中器提供非冗余和冗余两种配置，允许客户构建最稳健、最可靠和经济高效的网络。另外，还提供高级路由功能，如OSPF、RIP和网络地址转换〔NAT〕。设备特点：•

CiscoVPN3000系列支持小型和大型企业网络环境中的各种Cisco客户应用。•

CiscoSEP模块提供硬件辅助加密功能，这样保证了在整个额定容量中的一致性能〔3030-3080〕。•

大型隧道支持IPSec、PPTP和L2TP/IPSec连接。•

模块化设计〔4个扩展槽〕提供了投资保护、冗余和简单的升级途径。〔3015-3060〕•

所设计的系统体系结构能够提供一致的高可用性性能。〔3015-3080〕•

所有的全数字化设计保证了最高可靠性和24小时的连续工作。〔3015-3080〕•

稳健的测量程序包可以完成实时监视和报警功能〔3015-3080〕•

与Microsoft兼容，可以进行大规模的客户端安装，并能与有关的系统无缝集成。〔3015-3060〕•

全面支持当前和开展中的平安标准，包括RADIUS、NT域验证、RSASecurID和数字证书，允许与外部认证系统集成，可与第三方产品互操作。•先进的包过滤功能可以为您企业的局域网提供所需要的平安性。•

用户和群组级管理可以实现最大的灵活性。•

冗余子系统和多机箱故障切换功能保证了最大的系统运行时间。•

丰富的测量和监视功能使网络管理员可以实时监视系统状态和进行早期报警。•

CiscoVPN3000集中器既可以使用任何标准Web浏览器〔或S〕，也可以通过Telnet、平安Telnet、SSH和控制台端口进行管理。•

为企业和效劳提供商提供配置和监视能力。•

可以按照用户和群组进行访问级别配置，允许平安政策的轻松配置和维护。(四)子网划分与VLAN设定为了使医院能够有效便捷的对整个网络进行规划管理，我们有必要对整个网络进行子网规划与VLAN设定。我们可以根椐医院申请到的网络地址〔一个C类地址〕将整个医院网络分为4个子网区，其中第四区为备用区。另外，250，251，253，254为特殊保存地址以便医院用于特殊用途，根据每个区的终端数目〔60个〕，可对其进行如下划分：第一子网ID/27范围〔3/27〕4/27范围〔5/27~25/27〕第三子网ID26/27范围〔2687/27〕第四子88/2789/27~49/27〕其中字网掩码为/27〔24〕，每个子网区的用户终端从1到60都有自己独立的IP，以保证不会冲突。我们对于一个像这样规模的医院的网络有很多种子网划分方法，比方还可以按照所在区域的不同将IP以末尾数的奇偶性质加以划分等等。但不管做怎样的划分，都必须遵循一个原那么就是防止冲突，易于管理。这样才能保证整个网络有序无阻的运行下去。(五)存储方案1方案概述前面已经提到了对于医院网络系统的存储方案，在此我们针对实际业务、文档数据存储体系设计与之相关的一套双机热备份方案。整个方案主要以平安性、高性能、高扩展性三方面为根底，并依据所分析过的业务数据流程和组织管理来设计技术方案，指导方案实施和后继支持。方案旨在建立起一套科学高效的数据存储、应用和管理系统，提高运营效率，确保效劳质量，并以此为出发点，帮助客户实现最终拥有新一代的现代化高科技运行体系。2数据可能丧失的原因自然灾害：地震、火灾、雷电、洪水、飓风；犯罪：盗窃、成心破坏、病毒；软硬件故障：如硬盘划伤；人为因素：误操作、误删除。硬件故障、软件错误其中人为操作失误是数据丧失的最主要原因。50%以上的数据丧失是由于硬件故障或软件错误造成的，30%以上的数据丧失是由人的错误操作造成的，病毒和自然灾害造成的数据丧失不到15%。调查结果显示，具备计算机网络的公司有2/3遭遇过数据丧失的情况。因此，我们得出八个必须重视数据管理的理由：硬盘驱动器毁坏。由于一个系统或电器的物理损坏使你的文件丧失。人为错误。你偶然地删除一个文件或重新格式化一个磁盘。黑客。有人在你的计算机上远程侵入并损害信息。病毒。你的硬盘驱动器或磁盘被感染。盗窃。有人从你的计算机上复制或删除信息或侵占整个单元系统。自然灾害。火灾或洪水破坏你的计算机和硬盘驱动器。电源浪涌。一个瞬间过载电功率损害在你的硬盘驱动器上的文件。磁干扰。你的软盘接触到有磁性的物质，比方有人用曲别针盒，使文件被去除。3需求归纳建立多机高可用系统，在某主机或应用故障的情况下，高可用手段应能迅速向另一主机切换，以保证系统24小时不间断运转。〔1〕在线数据存入高性能的磁盘阵列。〔2〕存储设备应具有良好的可扩充性，以解决数据量的激增带来的棘手问题。〔3〕系统结构应具有良好的可扩充性能，以便于系统升级时可做到原有投资保护。〔4〕存储管理系统具有可扩充的体系结构，支持分级存储管理方案设计原那么：在系统设计中我们遵循以下原那么：系统设计的前瞻性：充分考虑未来3年的业务开展的需要。系统设计的先进性：在经费和技术许可的范围内，引进、吸收和应用先进技术。在数据存储管理系统软件设计和存储网络设计以及存储设备选择上采用目前国际先进方案，在建立先进的存储结构的同时，获得较好的数据系统运行效率。开放性原那么：系统采用的各种硬件设备和软件系统均遵循国际标准或工业标准及国际流行标准，符合开放性设计原那么，使其具备优良的可扩展性、可升级性和灵活性。平安性原那么：数据备份系统构成应用系统的保障子系统。数据备份系统的最终目的是确保应用系统的平安运行和故障恢复机制，系统设计的首要目标是建立这一系统平安体系。稳定性原那么：我们在采用国际先进的存储技术的同时，着重考虑了系统的稳定性和可行性，使系统的运营风险降低到最小。这样，系统能够充分享受先进的存储技术带来的巨大收益。系统设计的完整性：本系统的各项设计应从整体考虑,各子系统应构成完整的数据系统。一个完整的数据系统应包括：1)多机热备份系统2)虚拟磁盘管理和高效文件系统3)大容量高速磁盘阵列子系统系统设计的经济性：在满足所有需求的前提下，选择适宜的数据管理软件，存储网络设备和相关存储设备，使系统具有较好的性能价格比。可管理性与数据系统高效率原那么：电子商务和关键应用要求数据系统具有高速的访问能力和可持续访问的能力,因此数据系统的设计首先要建立一套高效的存储系统机制,包括采用先进的存储技术,采用先进的存储系统软件,同时要提供强有力的数据系统管理能力。可扩展性原那么：硬件的选择上，配备稳定性高、易扩充的磁盘阵列，适应平滑升级，保护现有投资。另外在存储软件的选择上，可扩展性原那么也至关重要。实际上只有系统软硬件均符合技术开展潮流，采用相关的先进技术，在功能上相辅相成，整个系统的平滑升级才能成为可能。4双机热备份设计系统总体设计结构图如图6所示：图6系统总体设计结构图系统的总体结构说明：•

数据集中存储设备为当前业界领先的磁盘阵列产品。•

所有效劳器上均配置ROSEHA作为双机热备份软件,一旦任何系统应用出现故障,该应用系统会迅速切换到其他效劳器上运行。•

二台效劳器上均配置为WinNT/2000。作为高性能系统的根本工具,是任何一个高性能系统必不可少的系统技术特点：1)100%数据高可用保证该方案采用的磁盘机拥有完全的冗余和容错能力，提供100%数据可用性保证的存储系统。如果在使用中，任一路径出现故障，仍有连路保持可用。不会造成效劳中断，因为在路径故障发生的过程中不会出现瓶颈。在磁盘阵列上执行所有的维护工作，而不需中断用户的日常操作，更换冗余硬件〔包括硬盘〕，增加功能、扩充系统容量、升级微码等等，所有这些操作都不需要关闭系统或牺牲关键应用的性能。非易失性高速缓存，在任何时间内，对所有磁盘阵列都是可存取的。在高速缓存内自动维护着两份拷贝，以保护用户的重要数据，对于每一份拷贝，由独立的电源和备用电池提供保护。事实上，电池也是冗余的，因此数据可保存在高速缓存中，直至电源恢复正常。该磁盘阵列系统总是持续地向磁盘传送数据，不像其他一些系统，只在高速缓存写满了以后或断电情况发生时，才向磁盘传送数据。该磁盘阵列采用的是是世界上最可靠的磁盘。其平均无故障时间(MTBF)长。而且其拥有的全局动态备盘功能，允许替换整个系统中的任何盘包，节省了用户的时间和金钱。没有其它企业级的存储系统可提供如此高级别的可靠性和可用性。2)不停机的卷复制3)采用双机热备份技术消除故障Aisino效劳器提供了对数据持续存取的附加支持。支持ROSEHA等几个业界领先的开放系统主机故障切换软件解决方案。主机故障切换允许一台备用主机在生产主机出现故障时，接管其上的存储和网络控制权，并重新启动运行在上面的应用效劳。在主机和磁盘阵列间的路径是一个潜在的单点故障，它可能会导致数据存取的完全丧失。其备用路径(AlternativePath)支持经由两条分立的路径存取同一个逻辑单元。假设主路径出现故障，那么通过备用路径重新启动I/O。使用路径切换软件，可使主机迅速地从接口故障中恢复过来，保证数据的可持续存取。(六)网络效劳及数据库配置1WWW效劳器配置WEB效劳器是MICROSOFTINTERNETINFORMATIONSERVER的重要组成局部。WINDOWSSERVER2003下的WWW效劳器以其架设方便，操作简单赢得了很多人的青睐。下面就以WINDOWSSERVER2003下的组件IIS〔INTERNETINFORMATIONSERVERS〕为例来介绍如何安装与配置WEB效劳器。1．添加IIS。选择[开始]/[控制面板]/[添加删除程序]/[添加/删除WINDOWS组件]/[INTERNET信息效劳]/[全选]选项。2．配置[INTERNET信息效劳]窗口〔1〕设置WEB站点IP地址站点标识和IP地址信息的设置在[属性]对话框的[网站]选项卡中完成站点标识在[网站]选项卡的[描述]文本框中可以设置该网站的标识。该标识对于用户的访问没有任何意义，其作用只是当效劳器中安装有多个WEB效劳器时，便于网络管理员进行区分。2〕指定IP地址在[IP地址]下拉列表中可以设置该WEB站点的IP地址。因此，效劳器拥有多个IP地址是一件非常自然的事。如果不为该WEB网站指定的顶的IP地址，采用默认的[全部未分配]时，该站点将响应所有指定到该计算机并且没有指定到其他站点IP地址3〕TCP端口可以将该端口更改为任意唯一的TCP端口号。但是，客户必须事先知道请求该端口号。否那么其请求将无法连接到该WEB效劳器。〔2〕设置WEB站点文件主目录所谓主目录其实就是指保存WEB网站的文件夹，当向该网站发出请求时，WEB效劳器将自动从该文件夹中调取相应的文件显示给用户。修改主目录在[属性]对话框的[主目录]选项卡中完成，主目录可以指定为本地计算机的文件夹，局域网中其它计算机中的共享文件夹或者其它远程主机。本地计算机上的目录选中[此计算机上的目录]选项，并在[本地路径]文本框中指定的新的磁盘或目录，即可将该WEB网站的主目录修改至新的位置。〔3〕设置默认文档默认文档是指在WEB浏览器中输入WEB网站的IP地址或域名即显示出来的WEB页面，也就是通常所说的主页。IIS6.0默认的主页文档名为DEFAULT.HTM和DEFAULT.ASP。如果WEB网站无法找到这两个文件中的任何一个,那么,将WEB浏览器显示“该页无法显示〞的提示。所以，即使网站内容再丰富，如果默认的文档设置错误，所有的一切都将无法展示给访问人员。添加默认文档名单击[添加]按钮。输入自定义的默认文档文件名，如INDEX.HTM，单击[确定]按钮。在默认文档列表中刚刚添加的文件名，单击[上移]，[下移]按钮调整其位置。假设欲该文件名作为网站的主页，需将之调整至最顶端。5〕重复第一步至第三步可添加多个默认文档。单击[确定]按钮。2FTP效劳器配置FTP是英文FILETRANSFERPROTOCOL的缩写，中文的意思是文件传输协议。用户通过FTP协议能够在两台联网的计算机之间相互传递文件，它是互联网上传递文件的最主要方法。微软的IIS功能非常强大，除了提供WWW效劳这外，还提供FTP效劳。利用它很容易就能架设一个功能卓越的FTP效劳器。安装与根本配置：WINDOWSSERVER2003默认安装时不安装IIS组件，需要手工添加安装，安装完成重新启动后，FTP效劳器就可以开始运行了，但还要进行一些设置。单击[开始]/[所有程序]/[管理工具]/[INTERNET信息效劳]命令，进入[INTERNET信息效劳]窗口。右击[默认FTP站点]，在弹出的菜单项选择择[属性]命令。在[属性]对话框中可以设置FTP效劳器的名称，IP，端口，访问账户，FTP目录位置，用户进入FTP时接收到的消息等。(1)启动IIS，并启动IIS上的FTP效劳。在默认情况下，FTP效劳器已经搭建好，并且可以立即登录，但是该FTP中没有任何文件。右击IIS中的[FPT站点]，选择[属性]命令。(2)选择[主目录]选项卡，在FTP站点目录的[本地路径]文本框中填上需要设置的共享文件路径。默认情况下，此处的文件夹位置为C：/INTERPUP/FTPROOT。如果想临时改变共享目录，随时都可在此出修改。以后用户登录FTP效劳器时显示的文件列表就是在这个目录中。(3)在[主目录]选项卡中，还可以设置FTP效劳器的文件访问权限，分别有读取，写入和日志访问。平安起见，这时的写入权限一般不选，保证匿名用户不能随意对文件进行修改。(4)设置登录的用户。如果管理员愿意提供[匿名]的访问权限，还需在[平安账户]选项卡中[允许匿名连接]复选框。(5)在[消息]选项卡中，有[欢送]，[退出]和[最大连接数]3个选项，分别代表用户在登录，退出时FTP效劳器上给出的提示信息。可根据需要进行设置。(6)在[FTP站点]选项卡中设置FTP标识，包括说明，IP地址和端口，这里一般不需要改动，按照默认选择即可。3邮件效劳器配置邮件效劳器系统由POP3效劳，简单邮件传输协议即SMTP效劳以及电子邮件客户端3个组件组成。其中的POP效劳与SMTP效劳一起使用，POP3为用户提供邮件下载效劳，而SMTP那么用与发送邮件以及邮件在效劳器之间的传递，电子邮件客户端是用于读取，撰写以及管理电子邮件的软件。WINDOWSSERVER2003操作系统新增的POP3效劳组件可以使用户无需借助任何工具软件就可以架设一个邮件效劳器，通过电子邮件效劳，可以在效劳器计算机上安装POP3组件，以便将其配置为邮件效劳器，管理员可使用POP3效劳来存储和管理邮件效劳器上的电子邮件帐户〔1〕安装POP3/SMTP效劳组件在WINDOWS2003下架设邮件效劳器可以用系统自带的POP3/SMTP效劳建立。同其他效劳一样，需要手工进行添加。1〕安装POP3效劳组件，选择[控制面板]/[添加或删除程序]/[添加/删除WINDOWS组件]命令，在弹出的[WINDOWS组件向导]对话框中选中[电子邮件效劳]选项。单击[详细信息]按钮，可以看到该选项包括两局部内容，分别是“POP3效劳〞和“SMTP效劳WEB管理〞。2〕安装SMTP效劳组件。选中[应用程序效劳器]选项，单击[详细信息]按钮，在[INTERNET信息效劳]选项中查看详细信息，选中SMTPSERVEICE选项，单击[确定]按钮。此外，如果需要对邮件效劳器进行远程WEB管理，一定要选中[万维网效劳]选项中的[远程管理〔HTML〕]命令。完成以上设置，单击[下一步]按钮，系统就开始安装配置POP3和SMTP效劳了。〔2〕配置POP3/SMTP效劳1〕创立邮件域选择[开始]/[管理工具]/[POP3效劳]命令,弹出[pop3效劳控制台]对话框。选中作烂中的pop3效劳后单击右栏中的[新域]选项，弹出[添加域]对话框。在[域名]文本中输入邮件效劳器域名，也就是邮件地址“@〞后面的局部。2〕创立用户邮箱完成POP3效劳器的配置，选中新建的域在右栏中选择[添加邮箱]命令，弹出添加邮箱对话框，在[邮箱名]文本栏中输入邮件用户名，然后设置用户密码，最后单击[确定]按钮，完成邮箱的创立。3〕完成pop3效劳器的配置后，就可以开始配置smtp效劳器选择[开始]/[程序]/[管理工具]/[intenet信息效劳管理器]选项.在[iis管理器]对话框中右击[默认SMTP虚拟效劳器]选项。在弹出的菜单中选择[属性]选项，进入[默认SMTP虚拟效劳器属性]对话框，切换到[常规]选项卡，在[IP地址]下拉列表框中选择邮件效劳器的ip地址即可。单击[确定]按钮，这样一个简单邮件效劳器就配置完成了。完成以上的设置，就可使用邮件客户端软件联接邮件效劳器进行邮件收发工作。4数据库效劳器配置〔1〕安装SQLSERVER2000效劳器和客户机〔2〕连接SQLSERVER2000客户机和效劳器配置SQL2000效劳器启动[效劳器网络使用工具]，在[常规]选项卡，将TCP/IP协议添加到[启用协议]列表中，单击[确定]按钮。出现TCP/IP属性界面，在[默认端口]文件中默认设置端口为1433或者按需进行更改，然后重启SQLSERVER2000效劳器。配置SQL客户机启用[客户端网络使用工具]，出现[常规]选项卡，将TCP/IP协议添加到[按顺序启用协议]到表格中。切换到[别名]选项卡，单击[添加]按钮。出现[添加网络库配置]界面，在[效劳器别名]文本中输MYSQLSERVER，在[网络库]区域选择[TC