【正文】 0人民醫(yī)院網(wǎng)絡(luò)系統(tǒng)方案第一章 項(xiàng)目分析及設(shè)計(jì)思路婺源人民醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)范圍包括三棟大樓：門診樓、醫(yī)技樓和病房樓。網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)建設(shè)整體符合現(xiàn)代醫(yī)院綜合門診醫(yī)療系統(tǒng)的數(shù)字化、信息化、系統(tǒng)化、集約化的需要。要求通過先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)信息技術(shù)、現(xiàn)代化通信技術(shù)結(jié)合實(shí)際，完成建設(shè)一套先進(jìn)、成熟、可靠、開放、實(shí)用的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，使之能夠更好地提供信息化的服務(wù)。本次項(xiàng)目設(shè)計(jì)時，不但要考慮到本次網(wǎng)絡(luò)建設(shè)的需求，而且要滿足未來幾年辦公網(wǎng)絡(luò)絡(luò)擴(kuò)容升級的需求。婺源人民醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，通過承載企業(yè)的多種業(yè)務(wù)，形成一個企業(yè)園區(qū)網(wǎng)絡(luò)。企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)必須適應(yīng)當(dāng)前信息化各項(xiàng)應(yīng)用，又可面向未來信息化發(fā)展的需要，因此必須是高質(zhì)量的。醫(yī)療網(wǎng)通常是一種用戶高密度的非運(yùn)營網(wǎng)絡(luò)，在有限的空間內(nèi)聚集了大量的終端和用戶。同時對于園區(qū)網(wǎng)而言，注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護(hù)。因此在園區(qū)網(wǎng)中，拓?fù)浣Y(jié)構(gòu)通常以星型結(jié)構(gòu)為主，較少使用環(huán)網(wǎng)結(jié)構(gòu)（環(huán)網(wǎng)結(jié)構(gòu)較多的運(yùn)用在運(yùn)營商的城域網(wǎng)絡(luò)和骨干網(wǎng)絡(luò)中，可以節(jié)約光纖資源） ?；谛切徒Y(jié)構(gòu)的園區(qū)網(wǎng)設(shè)計(jì)，通常遵循如下原則：? 層次化1將園區(qū)網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層。每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)。? 模塊化將園區(qū)網(wǎng)絡(luò)中的每個部門或者每個功能區(qū)劃分為一個模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位。? 冗余性關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)；關(guān)鍵鏈路采用 Trunk 方式冗余備份或者負(fù)載分擔(dān)；關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。提高了整個網(wǎng)絡(luò)的可靠性。? 安全隔離醫(yī)院網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進(jìn)行分區(qū)邏輯隔離，對設(shè)備網(wǎng)、安防網(wǎng)進(jìn)行物理隔離。? 可管理性和可維護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品。根據(jù)婺源人民醫(yī)院門診樓、醫(yī)技樓、病房樓相關(guān)標(biāo)準(zhǔn)及業(yè)務(wù)特點(diǎn)，人民醫(yī)院網(wǎng)絡(luò)系統(tǒng)物理上是一套，邏輯上分成兩套網(wǎng)絡(luò)，實(shí)現(xiàn)醫(yī)療系統(tǒng)辦公系統(tǒng)的內(nèi)網(wǎng)和醫(yī)院對外服務(wù)的外網(wǎng)。其中，醫(yī)療信息內(nèi)網(wǎng)指人民醫(yī)院承載內(nèi)部醫(yī)療系統(tǒng)、辦公數(shù)據(jù)流的專用計(jì)算機(jī)網(wǎng)絡(luò)；外網(wǎng)是指連接 Inter 的計(jì)算機(jī)網(wǎng)絡(luò)。兩套網(wǎng)絡(luò)采用2相同三層結(jié)構(gòu)設(shè)計(jì)，即核心層、匯聚層、接入層。按邏輯區(qū)域劃分包括：核心區(qū)、匯聚區(qū)、接入?yún)^(qū)、服務(wù)器區(qū)、出口區(qū)。兩個區(qū)域依靠網(wǎng)絡(luò)的安全控制策略和安全防護(hù)措施實(shí)現(xiàn)。3第二章 網(wǎng)絡(luò)系統(tǒng)方案婺源人民醫(yī)院網(wǎng)絡(luò)應(yīng)該是一個高性能的、具有擴(kuò)展能力的，能夠支撐新興應(yīng)用的局域網(wǎng)絡(luò)，這就要求采用模塊化和可擴(kuò)展的網(wǎng)絡(luò)體系結(jié)構(gòu)來解決局域網(wǎng)絡(luò)設(shè)計(jì)方面的挑戰(zhàn)。根據(jù)對人民醫(yī)院網(wǎng)絡(luò)建設(shè)項(xiàng)目的實(shí)際情況分析，在網(wǎng)絡(luò)的設(shè)計(jì)中，采用業(yè)界成熟的三層架構(gòu)：核心、匯聚、接入，最后通過出口層網(wǎng)絡(luò)設(shè)備（路由器或防火墻）連接到外網(wǎng)。這種分層的網(wǎng)絡(luò)架構(gòu)，可以保證根據(jù)業(yè)務(wù)的需求，分別對不同層次進(jìn)行擴(kuò)容。 核心層核心層是網(wǎng)絡(luò)互聯(lián)的最高層次，也是至關(guān)重要的層次，核心層直接決定了整4個局域網(wǎng)的性能和穩(wěn)定性，核心設(shè)備應(yīng)該具有最高的背板帶寬、交換容量和包轉(zhuǎn)發(fā)率，還具有豐富的接口，為各區(qū)域配線間交換機(jī)、互聯(lián)網(wǎng)出口區(qū)以及服務(wù)器區(qū)交換機(jī)之間提供互聯(lián)和數(shù)據(jù)轉(zhuǎn)發(fā)能力。核心層交換機(jī)部署在核心機(jī)房中，匯聚各樓宇/區(qū)域之間的用戶流量，提供三層交換機(jī)功能，連接外部網(wǎng)絡(luò)到內(nèi)部用戶的 “縱向流量”和不同匯聚區(qū)域用戶之間的“橫向流量”要求高密、高轉(zhuǎn)發(fā)性能。推薦使用華為 S7703 作為園區(qū)核心層交換機(jī)。 匯聚層本方案簡化匯聚層設(shè)計(jì)。本建議方案根據(jù)婺源人民醫(yī)院的實(shí)際情況，不采用匯聚層交換，省略該層交換設(shè)備提高效率。增加數(shù)據(jù)傳輸速率，節(jié)省初期投入經(jīng)費(fèi)。 接入層接入層交換機(jī)一般部署在樓道的網(wǎng)絡(luò)機(jī)柜中，接入園區(qū)網(wǎng)用戶（PC 機(jī)或服務(wù)器） ，提供二層交換機(jī)功能，也支持三層接入功能（接入交換機(jī)為三層交換機(jī)） 。由于接入層交換機(jī)直接接園區(qū)網(wǎng)用戶，根據(jù)用戶接入信息點(diǎn)數(shù)目和類型（GE/FE） ，對接入交換機(jī)的 GE/FE 接口密度有較高的要求。另外接入交換機(jī)部署在樓道網(wǎng)絡(luò)機(jī)柜，數(shù)量大，對于成本、功耗和易管理維護(hù)等特性要求較高。高用戶密度的園區(qū)接入場景推薦使用 S5700EI 作為接入交換機(jī)，低用戶密度的場景推薦使用 S5700SI 作為接入交換機(jī)。 出口層5 園區(qū)出口路由器，連接 Inter/WAN 廣域網(wǎng)和園區(qū)內(nèi)部局域網(wǎng)。推薦華為AR 系列路由器或 USG 防火墻作為出口設(shè)備。對于中小型企業(yè)園區(qū)網(wǎng)，核心層和出口層可進(jìn)行合并，通過核心交換機(jī)（S7703）的 WAN 接口板的廣域網(wǎng)接口（POS 等）直接與外網(wǎng)相連。 二三層網(wǎng)絡(luò)分界點(diǎn)設(shè)計(jì)二三層網(wǎng)絡(luò)分界點(diǎn)（用戶網(wǎng)關(guān)）設(shè)置在匯聚交換機(jī)，即匯聚交換機(jī)作為用戶的網(wǎng)關(guān)設(shè)備，接入交換機(jī)與匯聚交換機(jī)之間是二層網(wǎng)絡(luò)，通過STP/RSTP/MSTP/RRPP 保證網(wǎng)絡(luò)可靠性和防止二層網(wǎng)絡(luò)環(huán)路產(chǎn)生，匯聚交換機(jī)與核心交換機(jī)之間是三層網(wǎng)絡(luò)，運(yùn)行 OSPF 等路由協(xié)議，通過等價(jià)路由、IP FRR保證三層網(wǎng)絡(luò)可靠性、加快路由收斂時間。優(yōu)點(diǎn)為：接入交換機(jī)是二層交換機(jī)，成本低，并且可保護(hù)客戶現(xiàn)有低端二層交換機(jī)的投資；高可靠性，二層網(wǎng)絡(luò)故障收斂速度快。 網(wǎng)絡(luò)高可靠性設(shè)計(jì)針對二層接入（接入交換機(jī)是二層交換機(jī)、匯聚交換機(jī)作為用戶網(wǎng)關(guān)）典型園區(qū)網(wǎng)架構(gòu)，從接入層、匯聚層、核心層來分層考慮網(wǎng)絡(luò)可靠性設(shè)計(jì)。接入層網(wǎng)絡(luò)是二層網(wǎng)絡(luò)，接入交換機(jī)與匯聚交換機(jī)之間通過 Smart Link/STP/RSTP/MSTP/RRPP 保證網(wǎng)絡(luò)可靠性，同時解決二層網(wǎng)絡(luò)環(huán)路問題；匯聚層交換機(jī)之間通過 VRRP（BFD for VRRP）協(xié)議確定用戶的主備網(wǎng)關(guān)，交換機(jī)互聯(lián)通過 TRUNK 鏈路，保證鏈路級可靠性，匯聚交換機(jī)與接入交換機(jī)之間可通6過 DLDP 協(xié)議檢測光纖單向故障（單通故障） 。園區(qū)網(wǎng)接入/匯聚/核心交換機(jī)通過虛擬化技術(shù)進(jìn)行集群（或堆疊） ，將兩臺/多臺交換機(jī)虛擬化成一臺交換機(jī)，降低網(wǎng)絡(luò)拓?fù)鋸?fù)雜度的同時，提高網(wǎng)絡(luò)可靠性，是未來高可靠性園區(qū)網(wǎng)的發(fā)展趨勢。典型園區(qū)網(wǎng)可靠性組網(wǎng)設(shè)計(jì)方案如下圖：匯聚交換機(jī)作為用戶網(wǎng)關(guān)設(shè)備，兩臺匯聚交換機(jī)之間通過二層鏈路互連，每臺接入交換機(jī)上行有兩條鏈路接入到兩臺匯聚交換機(jī)，接入交換機(jī)上行兩條鏈路的主備關(guān)系由運(yùn)行的 Smart Link 協(xié)議確定。兩臺匯聚交換機(jī)運(yùn)行VRRP（BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關(guān)，VRRP 報(bào)文直接在匯聚交換機(jī)直連鏈路上收發(fā)。注意：兩臺匯聚交換機(jī)鏈路需要保證絕對可靠，必須采用TRUNK 鏈路?？谧有徒M網(wǎng)場景下，多個樓層之間可以共用 VRRP 組，不受匯聚交換機(jī) VRRP 組數(shù)量限制，可實(shí)現(xiàn)不同樓層間的園區(qū)用戶可以共享一個 IP 地址網(wǎng)段。三角型組網(wǎng)方案的優(yōu)點(diǎn)是：二層接入網(wǎng)不存在環(huán)路，不需要配置相對復(fù)雜的7環(huán)網(wǎng)保護(hù)協(xié)議（STP/RSTP/MSTP/RRPP） ；Smart Link 故障檢測和保護(hù)倒換速度快（200～400ms） ；支持園區(qū)網(wǎng)園區(qū)不同樓層的用戶可以共用同一個 IP 地址網(wǎng)段。三角型組網(wǎng)方案的缺點(diǎn)是每臺接入交換機(jī)上行需要部署主備兩條鏈路，增加布線成本，對匯聚交換機(jī)的端口密度有較高要求。 設(shè)備冗余 設(shè)計(jì)設(shè)備本身要具有電信級 5 個 9 的可靠性，需要網(wǎng)絡(luò)設(shè)備支持：? 主控 1:1 備份? 交換網(wǎng) 1+1/1:1 兩種方式? AC 電源 1+1/2+2 備份? 模塊化的風(fēng)扇設(shè)計(jì)，高端配置支持單風(fēng)扇失效? 無源背板，高可靠性? 獨(dú)立的設(shè)備監(jiān)控單元，和主控解耦? 所有模塊熱插拔? 完善的各種告警功能? 設(shè)備管理 1:1 備份網(wǎng)絡(luò)為人們提供了極大的便利，但由于目前 TCP/IP 協(xié)議本身缺乏安全性，網(wǎng)絡(luò)安全成為必須面對的一個實(shí)際問題。網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括：8竊聽報(bào)文——攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名/口令或者是敏感的數(shù)據(jù)信息。通過 Inter 的數(shù)據(jù)傳輸，存在時間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)不受竊聽，基本是不可能的。IP 地址欺騙——攻擊者通過改變自己的 IP 地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送 ICMP 的特定報(bào)文）來更改路由信息，以竊取信息。源路由攻擊——報(bào)文發(fā)送方通過在 IP 報(bào)文的 Option 域中指定該報(bào)文的路由，使報(bào)文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。端口掃描——通過探測防火墻在偵聽的端口，來發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道路由器軟件的某個版本存在漏洞，通過查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對路由器進(jìn)行攻擊，使得網(wǎng)絡(luò)設(shè)備整個 DOWN 掉或無法正常運(yùn)行。拒絕服務(wù)攻擊——攻擊者的目的是阻止合法用戶對資源的訪問。比如通過發(fā)送大量報(bào)文使得網(wǎng)絡(luò)帶寬資源被消耗。Mellisa 宏病毒所達(dá)到的效果就是拒絕服務(wù)攻擊。最近拒絕服務(wù)攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務(wù)攻擊，Distributed Denial Of Service，簡稱 DDOS。許多大型網(wǎng)站都曾被黑客用 DDOS方式攻擊而造成很大的損失。應(yīng)用層攻擊——有多種形式，包括探測應(yīng)用軟件的漏洞、特洛依木馬 等。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。9隨著網(wǎng)絡(luò)應(yīng)用的日益普及，尤其是在一些特別場合的應(yīng)用，網(wǎng)絡(luò)安全成為日益迫切的需求。網(wǎng)絡(luò)安全包括兩層含義：其一是內(nèi)部局域網(wǎng)的安全，其二是外部數(shù)據(jù)交換的安全。交換機(jī)作為網(wǎng)絡(luò)設(shè)備之間通訊的關(guān)鍵設(shè)備，有必要提供充分的安全保護(hù)功能。Quidway 系列交換機(jī)提供了多種網(wǎng)絡(luò)安全機(jī)制，支持基于用戶安全策略的 MAC+IP+VLAN+Port 綁定、DHCP Snooping、 認(rèn)證等安全策略。支持防網(wǎng)絡(luò)風(fēng)暴攻擊、防 DOS/DDOS 攻擊、防掃描窺探攻擊、防畸形報(bào)文攻擊、防網(wǎng)絡(luò)協(xié)議報(bào)文攻擊等安全技術(shù)，為內(nèi)部網(wǎng)絡(luò)及外部數(shù)據(jù)提供了有力的安全保護(hù)。防火墻選擇華為 USG 系列防火墻作為局域網(wǎng)接入 Inter 或 Intra 的安全設(shè)備，以及服務(wù)器區(qū)安全設(shè)備，同時也是安全過濾網(wǎng)關(guān)，高性能的包轉(zhuǎn)發(fā)特性，在高速的網(wǎng)絡(luò)互連中，使得對外的訪問，暢通無阻。USG 系列統(tǒng)一安全網(wǎng)關(guān)大量的電信級以及各種行業(yè)的典型客戶，奠定了華為安全設(shè)備的高安全性和高可靠性，為園區(qū)網(wǎng)提供一個安全可靠的互連平臺，為辦公網(wǎng)絡(luò)安全保駕護(hù)航，為信息化建設(shè)奠定了堅(jiān)實(shí)的網(wǎng)絡(luò)基礎(chǔ)。園區(qū)網(wǎng)絡(luò)的邏輯架構(gòu)如下所示，包括五大部分。10? 應(yīng)用層包含園區(qū)內(nèi)的各種終端設(shè)備，例如 PC、筆記本電腦、打印機(jī)、傳真、 SIP 話機(jī)、視頻設(shè)備等等。? 接入層負(fù)責(zé)將各種終端接入到園區(qū)網(wǎng)絡(luò)，通常由以太網(wǎng)交換機(jī)組成。對于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的 AP 設(shè)備等。接入層交換機(jī)，通常部署在樓層配線間。? 匯聚層匯聚層將眾多的接入設(shè)備和大量用戶經(jīng)過一次匯聚后再接入到核心層，擴(kuò)展核心層接入用戶的數(shù)量。匯聚層通常還作為用戶三層網(wǎng)關(guān)，承擔(dān) L2/L3 邊緣設(shè)備的角色，提供用戶管理、安全管理、QoS（QualityofService ）調(diào)度等各項(xiàng)跟用戶和業(yè)務(wù)相關(guān)的處理。匯聚層交換機(jī)，通常部署在樓宇設(shè)備間。? 核心層核心層負(fù)責(zé)整個園區(qū)網(wǎng)的高速互聯(lián)，一般不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。? 園區(qū)出口11園區(qū)出口是園區(qū)網(wǎng)絡(luò)到外部公網(wǎng)的邊界，園區(qū)網(wǎng)的內(nèi)部用戶通過邊緣網(wǎng)絡(luò)接入到公網(wǎng)，外部用戶（包括客戶、合作伙伴、分支機(jī)構(gòu)、遠(yuǎn)程用戶等）也通過邊緣網(wǎng)絡(luò)接入到內(nèi)部網(wǎng)絡(luò)。? 數(shù)據(jù)中心區(qū)部署服務(wù)器和應(yīng)用系統(tǒng)的區(qū)域。為企業(yè)內(nèi)部和外部用戶提供數(shù)據(jù)和應(yīng)用服務(wù)。? DMZ（Demilitarized Zone）區(qū)通常公用服務(wù)器部署于該區(qū)域，為外部訪客（非企業(yè)員工）提供相應(yīng)的訪問業(yè)務(wù)，其安全性受到嚴(yán)格控制。? 網(wǎng)絡(luò)管理區(qū)對網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)進(jìn)行管理的區(qū)域。包括故障管理、配置管理、性能管理、安全管理等。人民醫(yī)院信息內(nèi)網(wǎng)和信息外網(wǎng)均為三層結(jié)構(gòu)，即核心層、匯聚層和接入層，接入層千兆下行至用戶桌面，雙千兆鏈路上行至匯聚交換機(jī)，匯聚交換機(jī)萬兆光纖上行至核心交換機(jī)，互聯(lián)網(wǎng)出口處部署一臺 USG 統(tǒng)一安全網(wǎng)關(guān)，具有上網(wǎng)行為管理功能，提供互聯(lián)網(wǎng)接入的同時，又能保護(hù)內(nèi)網(wǎng)用戶和服務(wù)器的安全。核心交換機(jī)選擇華為大容量、高性能、多業(yè)務(wù)支持的模塊化交換機(jī) S7706，長期來看滿足 35 年要求；支持通過 VLAN 在整個綜合信息網(wǎng)絡(luò)的覆蓋，提供各業(yè)務(wù)部門的訪問控制，確保高防護(hù)級別，性能不產(chǎn)生明顯下降，能夠保證設(shè)備安12全、穩(wěn)定的運(yùn)行，電源和引擎如果采用冗余形式，可實(shí)現(xiàn)更高的可靠性。匯聚交換機(jī)選擇華為公司 S5700，S5700 系列是華為公司面向下一代企業(yè)網(wǎng)絡(luò)架構(gòu)而推出的新一代高端智能路由交換機(jī)。該產(chǎn)品基于華為公司智能多層交換的技術(shù)理念，在提供穩(wěn)定、可靠、安全的高性能 L2~L4 層交換服務(wù)基礎(chǔ)上，進(jìn)一步提供 MPLS VPN、業(yè)務(wù)流分析、完善的 QOS 策略、可控組播、資源負(fù)載均衡、一體化安全等智能業(yè)務(wù)優(yōu)化手段，同時具備超強(qiáng)擴(kuò)展性和可靠性。接入交換機(jī)選擇華為 S5700 系列企業(yè)交換機(jī)，S5700 系列全千兆企業(yè)交換機(jī)，是華為公司為滿足大帶寬接入和以太多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆高性能以太交換機(jī)。它基于新一代高性能硬件和華為公司統(tǒng)一的 VRP(Versatile Routing Platform）平臺，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足企業(yè)用戶的園區(qū)網(wǎng)接入、匯聚、IDC 千兆接入以及千兆到桌面等多種應(yīng)用場景。安全設(shè)備選擇華為公司統(tǒng)一安全網(wǎng)關(guān) USG2205，USG2205