《毕业设计(论文)-XX医院网络规划设计.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)-XX医院网络规划设计.doc(34页珍藏版)》请在三一文库上搜索。
1、*实践教学*兰州理工大学计算机与通信学院2007年春季学期 计算机网络 课程设计题 目: XX 医院网络规划设计 专业班级: 通信工程3班 姓 名: 学 号: 指导教师: 成 绩: 32目 录摘 要1一、前言2二、企业描述3三、需求分析4(一) 用户需求4(二) 系统建设范围5(三) 主要技术路线5(四) 组网方案61 核心层62 骨干层73 汇聚层74 接入层7(五) 子网与VLAN规划8(六) 实现的信息服务8(七) 存储系统分析12(八) 系统计数据安全分析14四、拓扑图及方案整体描述15(一) 主干网传输方案设计15(二) 网络中心及Internet接入方案17(三) 远程访问支持18
2、(四) 子网划分与VLAN设定19(五) 存储方案201 方案概述202 数据可能丢失的原因203 需求归纳214 双机热备份设计22(六) 网络服务及数据库配置241 WWW服务器配置242 FTP服务器配置253 邮件服务器配置264 数据库服务器配置27五、网络管理28六、系统主要设备报价28七、网络测试及协议数据包分析29八、参考资料31九、课程设计总结32摘 要随着医院规模和业务的不断发展,已有的网络系统已逐渐不能适应现有应用的需求。为了提高网络的覆盖率,使更多的人可以利用网络的便利性,以及为了在网络上可以支持更多的新一代的应用系统,保证整个网路的安全性,先进性,便捷性和可扩充性原则
3、,在原有的基础上建设新的园区网络系统已事在必行。根据XX医院建设局域网所需的一般需求对医院从整体到局部进行了局域网设计,我们将整个网络划分为多个区逐一进行配置,整个网络采用多层式设计,分为骨干层,汇聚层,核心层,接入层。通过科技化的合理规划最终达到医院高标准的网络设计目的。关键词:医院;局域网;VLAN;交换机;防火墙。一、前言随着开发区经济建设和社会发展步伐的不断加快,如今的XX医院已发展成为一所设备先进、技术力量雄厚,具有巨大发展潜力的集医疗、教学、科研、预防、保健、社区卫生服务等于一体的综合性三级甲等医院。2000年XX医院使用Accton公司的交换机组建了干线100M,10M交换到桌面
4、的局域网络系统,系统目前覆盖了CT楼、门诊大楼及内外科大楼,为附院实现信息管理系统提供了初步的网络平台。网络化信息化时代的到来带动着各行业的快速发展,如何紧跟时代的步伐融入于未来的信息世界成为众企业追求的目标,身为一个无论何时都不可缺少的行业,医院更需要高科技含量的信息技术和高水准的交流平台。为此,建立一个多功能的网络系统成为今后医院发展任务中的重中之重!二、企业描述XX医院始建于1958年,现在是一所集医疗、教学、科研、预防、保健、康复于一体的省级综合性三级甲等医院。现有职工1261人,医疗设备总值1.8亿元,编制床位818张,设有43个医疗科室、13个医技科室,其中骨科、内分泌科、肾内科为
5、重点学科,中西医结合肝病科为省重点中医专科。设有省骨科研究所、省肾脏病研究中心等11个科研机构。医院建筑面积9.7万平方米,固定资产总值3.1亿元,其中设备总值1.93亿元。2006年门诊量为39.2万人次,出院病人2.96万人次,完成手术1.799万例。其地域分布图如图1所示:图1 XX医院地域分布图三、需求分析(一) 用户需求在XX医院的网络规划设计中,医院网络一般由管理信息系统(HIS)、临床信息系统(CIS)和办公自动化系统(OA)三个方面组成,如图2所示:图2 医院信息系统组成示意图 管理信息系统(HIS)主要是以经济核算、资源管理等为主要内容。目前,中国大多数医院实施的资讯系统都指
6、的是这种HIS系统,只有少数较为先进的医院在实施HIS的同时又在实施CIS系统或OA系统。如图3所示:图3 典型HIS系统示意图 临床信息系统(CIS)主要以病人资讯为核心,对各种与病人诊疗有关的临床资讯进行整理、处理、汇总、统计、分析等。目前中国还没有医院全面实现真正意义上的CIS,已经实施的医院基本上是根据自身的实际情况分步实施CIS中的某些模组,例如目前比较常见的是实施CIS中的PACS系统。 办公自动化系统(OA)主要涉及对办公系统的资讯管理。和其他行业机构(如银行、电信等)有所不同,医疗机构并不是把OA系统作为基础的系统,优先于其他业务系统实施,而一般是在实施了管理资讯系统后再考虑实
7、施OA系统。 医院信息系统除了实现上述内容外,还需要和外部一些相关系统实行互联和交流。这一功能又会涉及到其他一些资讯系统,如医疗保险系统、社区医疗系统、远端医疗谘询系统等。 通常医院在实行资讯化的过程中会先实施HIS系统,然后在此基础上再实施CIS系统或OA系统。但是这三个系统又不是完全独立的,实际上,在同一所医院里,不同系统之间存在着千丝万缕的联系,各自的功能相互依存,系统间的资讯交流十分频繁。 鉴于XX医院作为具备较高社会关注的大型医疗民生机构,可以预计建成之后将有大量的应用系统运行在相应的电脑网路系统上,包括HIS系统、PACS/RIS系统、医疗档案系统、远端医疗、WEB服务、Email
8、系统等,不仅涉及大量的资料传输,同时也对系统的即时性和可靠性提出较高的要求。因此,建设一个先进、高效、合理的电脑网路系统十分的必要。(二) 系统建设范围本方案提供的XX医院的网络系统解决方案的项目实施范围包括:医院企业网络系统(Intranet)的组成构架,建立基础的信息系统平台,提供整体企业级安全防护策略。(三) 主要技术路线 XX医院园区网络系统建设的主要技术路线如下:1)采用成熟/先进的网络技术。2)统一技术规范、标准和方案,统一设备选型,统一组织实施。3)通过高速交换技术、虚拟网(VLAN)技术组网。4)以TCP/IP为主要协议,采用统一的电子邮件系统提供邮件服务。5)以标准化为基础实
9、现系统的开发型、可扩展性,增强与异种机、议购网的互联能力。6)注重避免出现瓶颈效应,重要路由要有备份,保证网络每天24小时可靠运行。7)注意通信保密和数据安全,建立完善的网络安全管理系统。8)采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章制度。(四) 组网方案图4 XX医院组网方案示意图1 核心层核心层以太环网由万兆路由器组成,支持高性能的线速转发能力,具备强大的IPV4/IPV6路由支持能力,支持手工、自动配置隧道、6To4隧道、NAT-PT等IPv4IPv6过渡技术、具备强大的新业务支持能力,支持MPLS TE功能,支持L2/L3 MPLS VPN功能,支持MPLS FRR
10、功能,支持BFD功能,支持IGMP、DVMRP、PIM-SM/DM等多种组播协议,提供丰富的Qos特性,支持基于端口、MAC、VLAN、802.1p、DSCP、IP五元组、MPLS EXP等的复杂流分类,支持PQ、CQ、WFQ、WRED等多种拥塞管理和拥塞避免算法,支持ACL安全过滤特性,基于硬件的线速NAT,支持策略路由、负荷分担、统计等功能,支持VoIP业务,具备抗病毒能力,关键部件支持冗余备份,所有部件支持热拔插,便于维护。2 骨干层 骨干层采用机架式、模块化的高端万兆路由交换机,具备大容量、高性能的线速的L2/L3/L4交换能力,支持丰富的IPV4/IPV6单播、组播路由协议,支持V4
11、-V6过渡技术,具备强大的安全功能,支持ACL过滤机制,提供基于用户、地址、应用以及端口的安全控制功能,支持BFD功能,支持uRPF、防DDos攻击、SSH2.0、802.1x接入与透传,VLAN与MAC、端口、IP绑定等,支持DHCP Snooping/Relay/Option 82 ,支持VBAS协议,支持MPLS、L2/L3 MPLS VPN、NAT、QOS、带宽控制、IPTV可控组播等高级功能,具备抗病毒机制,关键设备采用设备冗余,链路冗余设计。3 汇聚层汇聚层采用高性能端口密集型的L3路由交换机,支持L2/L3线速转发,支持完善的路由协议,支持RIP1/2、OSPFv2、BGP-4、
12、IS-IS等路由协议,支持IGMP、DVMRP、PIM-SM/DM等组播协议,支持VLAN、LACP、STP/RSTP/MSTP等丰富的二层协议,支持基于端口、MAC、VLAN的802.1x远端/本地认证和透传,支持MAC、VLAN、端口的绑定,支持MAC地址限制功能,支持DHCP Snooping/Relay/Option 82,支持VBAS协议,支持IGMP Snooping/IPTV可控组播,支持集群管理协议,支持强大的安全和Qos功能,支持二层到七层的流分类、流线速和过滤功能,支持基于VLAN、二层、三层、四层以及混合ACL,支持基于时间段的ACL,支持多种队列调度算法,支持WRED拥
13、塞避免和端口流量整形,支持CAR、支持广播风暴抑制,具备抗病毒、防攻击能力。4 接入层接入层采用固定接口和模块化接口结合的快速以太网交换机,具备光纤接入能力,支持L2的全线速交换,支持VLAN、LACP、STP/RSTP/MSTP等丰富的二层协议,支持端口隔离功能,支持单端口环路检测功能,支持基于端口、MAC的802.1x远端/本地认证和透传,支持MAC、VLAN、端口的绑定,支持MAC地址限制功能,支持VBAS协议,支持IGMP Snooping/IPTV可控组播,支持集群管理协议,支持802.1p协议,支持基于端口的优先级功能,支持802.3x流量控制,支持端口速率限制功能,支持广播风暴抑
14、制,具备线路自动检测/诊断功能,支持SNMP统一网管,具备CPU保护功能,防攻击。(五) 子网与VLAN规划虚拟网络允许网络管理人员使用相应的虚拟网络软件,设计、修改和管理网络而无需改变物理结构。 为提高内部安全性、加强管理和提高网络性能,XX医院医院选择了下面的VLAN计方案:各个职能部门对应一个虚拟网;共享资源(服务器)属于每一个虚拟网;虚拟网之间通过路由功能来连接。具体介绍如下:采用交换机端口方式划分虚拟网;根据桌面的组织从属关系,直连到交换机端口的工作站按端口划分;主干、工作组交换机采用嵌入式监控;在所有交换设备上设置内置智能代理;结合网管系统和设备配置实现管理。(六) 实现的信息服务
15、1电子病历电子病历(EMR,Electronic Medical Record)也叫计算机化的病案系统或称基于计算机的病人记录(CPR,Computer-Based Patient Record),它是用电子设备(计算机、健康卡等)保存、管理、传输和重现的数字化的病人的医疗记录,取代手写纸张病历。1991年,美国医学研究所发表了CPR研究委员会的专题报告。报告研究了自1915年美国开始有病史历程,总结了近40年来实现病历记录计算机化的经验,全面论述了CPR发展的各个方面,指出实现CPR系统必须解决的问题。该报告对当前医院信息系统(HIS)的发展有首重要的指导意义。1993年9月,在法国马赛召开
16、首次健康卡系统国际会议,研讨健康卡的应用、效益分析、实施策略、安全保密、标准化及发展趋势等问题。在中国,1994年第6届医药信息学大会上,国家卫生部提出希望到本世纪末,全国将有若干家医院能够真正实现完整的CPR系统。这一切,都表明电子病历已成为目前医院信息系统发展的重要目标之一。目前医院使用的传统病历主要是记录在纸张和胶片上。传统病历在使用中有许多不足之处,如易变质、占地多、不易保管、查找和存取麻烦、不能几个人同时借阅同一份病历等。用计算机化的病史记录系统代替手写病案始终是医院信息系统研究的主要课题这一。计算机应用于医院40多年来,人们一直为实现病历管理和病程记录计算机化,作出了不懈的努力,取
17、得了很大的进步。计算机在病历中的应用,大致经历了3个阶段:第1阶段是用于贮存和管理病历文件(如病案首页、科研病历等);第2阶段是用于出院病历的数据库管理;第3个阶段是通过计算机网络,输入和存贮病人的基础资料、医嘱、各项临床检查结果和医学图像等资料,形成规模巨大的病历信息库。计算机在病历中的应用积累了丰富的实践经验,为实现电子病历打下坚实的基础;高性能微机和网络技术的进步及多媒体技术的应用,则为实现电子病历系统创造了新的技术条件。其具有传送速度快,共享性好,存贮容量大,使用方便,成本低等特点2以电子病历为核心的临床信息系统电子病历是医院中医疗信息系统的核心。医疗信息系统的主要功能是为医院的医疗提
18、供信息服务,其各项功能都是建立在对病人的病历信息进行处理的基础上。它包括: 病人的姓名、性别等自然信息。 病人的入院、出院、转科、转院等流行情况。 病人在医院所接受的各种检查记录。 医师为病人所做的各种治疗记录。对病人的护理记录等。有了以电子病历为核心的医疗信息系统,医疗工作的过程将会有很大的变化。如果一个急诊病人突然来到医院,医师可以将病人身上所带的健康卡插入计算机,这样计算机就会立刻显示出病人的有关情况,如姓名、年龄、药敏等等,此时医师就能够根据病人的临床表现开出需要的检查项目单。完成检查后,经治医师能够立刻得到检查结果,并作出诊治处理意见。如果是疑难病例,经治医师还可以通过计算机网络系统
19、请上级医师或专科医师进行会诊。上级医师或专科医师可以在自己的办公室或家中提出会诊意见,以帮助经治医师作出治疗方案。电子病历和计算机信息系统的应用,将使这个医疗会诊的时间大大缩短,质量大大提高。3远程医疗远程医疗是近几年在一些发达国家开始实验的一种新型医疗服务项目。目前,美国等西方国家正在兴建遍布全国的远程医疗计算机网络。顾名思义,远程医疗就是医师和病人在相隔远距离的情况下,互相递送信息,交流信息,以达到诊治目的。病人的病史、检查数据、心电图、超声波图像、X线片、CT等的诊断用的图像通过信息高速公路,传送给远方的医师,医师据此作出诊断并提出治疗方案,又通过信息高速公路传送给病人。在此期间,医师和
20、病人或两地医师可以交谈讨论(通过多媒体技术),最后做出结论。按这种方式进行的医疗活动即称作远程医疗。 目前,远程医疗的应用尚不普遍(1993年美国不足2000例),但电视和电脑技术的进步已使医师之间相互交换意见的方式以及医学卫生部门贮存有关信息的方式发生改变。现在医师们已能用电脑迅速获得某种疾病最新治疗方法的文献资料;已可用电子病历取代书面病史记录,甚至还可借助电脑程序来诊病、给药。4大规模一体化医院信息系统 大规模一体化医院信息系统也称为第二代的医院信息系统。它是医院信息系统经过近20年的发展,积累了丰富的经验以后,为适应医疗卫生事业的需求和发展的产物,也是计算机软硬件技术的发展和进步的产物
21、。 最近10多年来,世界各国都面临着医疗成本日益增加,医疗供需矛盾日趋扩大,一场几乎是全球范围内的医疗保健制度改革方兴未艾。由于这场改革所追求的目标是降低医疗成本,提高医疗质量,这就要求必须有一个与之相应的以病人为中心的集管理、医疗等为一体的医院信息系统。这个系统的主要功能不能仅停留在原来的收集一般的统计资料和常规行政管理资料上,而应该从病人的基本病历中获得更直接、更丰富、更准确的信息,这些信息不仅为本医院所用,也能为其它医院及社会(如医疗保险部门、社区保健单位)所用。大规模一体化医院信息系统的主要特征如下:(1)从面向管理向面向医疗发展。在计算机管理信息系统的应用业已普及和成熟的情况下,在企
22、事业单位和机关中管理信息系统是向着决策支持系统的方向发展,在医院则是面向临床诊断和治疗。大规模一体化的医院信息系统就是在以管理为主的医院信息系统的基础上,建立的以病人为中心的信息系统,包括计算机化的病人病历、临床信息系统、健康卡系统、医学图像档案管理和通讯系统、医学检验系统、各种管理系统以及辅助诊断系统等等。这类系统一般都具有一定的知识处理能力和决策支持功能,医师可以用计算机处理病史记录和医嘱,为病人开处方;用计算机查询实验室报告和影像诊断报告;系统可以根据病人的历次检查结果向医师提出诊治咨询建议;医师可在办公室或病房直接阅读CT、MRI、X光、B超等图像;护士可以用计算机做护理计划;计算机不
23、仅可以供医院管理人员进行一般的管理事务处理,也可提供辅助的决策建议。(2)从信息服务向智能服务发展。传统的医院信息系统一般只是提供常规医疗行政、财务、药品、器材、病案首页、医疗统计等方面的信息,是一种被动式的信息服务。新一代的医院信息系统不仅扩大了信息服务的内容、范围和功能,而且开始从信息服务向智能服务发展,这主要表现在:日益增多的医院信息系统已装入各类医学专家系统、护理专家系统、辅助诊断系统、使医院信息系统能够为医师和病人所用,直接为医疗服务;将人工智能技术和知识工程技术的应用系统与医院信息系统集成,在管理系统上提供智能服务;用人工智能技术和方法分析医院信息系统的数据;用人工智能技术开发医院
24、信息系统的智能人机界面;用人工智能技术开发智能监护系统;将医院信息系统通过网络或卫生与一些医学文献和情报检索系统联机,及时地提供最新的医学文献和情报。(3)从局域网向区域网、广域网发展当一个医院有了自己的多用户的、分时的、或微机局域网络、客户/服务器系统的医院信息系统以后,必须出现区域连网甚至广域连网的需求。日本在70年代末就提出共享的医院信息系统SHIS(Shared HIS)的设想,到80年代末90年代实实施了国立大学医院医疗信息远程传输网络系统计划;在欧洲共同体也有类似的计划:欧洲健康信息网络战略计划SHINE(strategic Health Information Network f
25、or Europe)。美国的医院之间计算机网络互连已有很大的发展,形成了许多医院信息系统的区域网和广域网。大规模的一体化的医院信息系统就其内涵和功能来说,决定了这种系统必须是一个大规模的计算机网络,是多个子网络系统互连的分布式系统,必须与院外的区域网和广域网连接,才能充分发挥系统的作用。远程医疗的开发、应用和发展,可以说它是大规模一体化医院信息系统,尤其是以病人为中心的医疗信息系统的功能在时间上和空间上的延伸和扩展,其物质的和技术的基础就是计算机区域通信网络和广域通信网络。信息高速公路的兴起,使医院信息系统的建设和发展面临新的挑战和机遇。(七) 存储系统分析在信息日益膨胀的今天,存储系统应该得
26、到和主机、网络、应用一样的重视。未来的信息系统规划和建设,必须从主机、存储和网络这三个方面入手,取得最佳的均衡,从而得到功能强大、扩展性强、易于管理、高投入产出的信息系统。 结合目前医院现状,所以我们建议首先采用先进的IP-SAN架构的存储设备,不仅可以实现对相关的存储设备的数据存取,还可以随着业务发展的要求,实现备份、镜像、复制、持续数据保护等功能。其次在两台服务器之间实现双机热备,如果当前的服务器宕机,可以由另一台服务器将应用接管,以确保业务持续进行。1、集中存储 为了满足医院系统对于存储的需求,并考虑到性能、扩展性、可靠性等因素,应该建设存储区域网络(SAN),来统一为应用系统提供存储服
27、务。这样即可以有效的提高整套系统的存储利用率,简化管理和维护的工作量,并且有利于实现数据的集中备份;同时利用SAN存储局域网的融合性和可扩展性,实现“服务器群SAN网络存储池”新一代IT架构,保护用户投资,降低用户的总拥有成本(TCO,Total Cost of Ownership)。 服务器的操作系统包括LinuxWindows等主流的操作系统,SAN需要能够支持这些异构的环境。并且在整合的时候要充分考虑到成本的因素,如交换机、主机适配器(HBA)等。2、简化管理存储设备在一个企业中的异构化现象十分普遍,为保证存储空间的可管理性和减少SAN结构的复杂性,方案应采用先进、简便的IP-SAN技术
28、和相应的管理软件,保证大数据量简便管理并能够充分发挥系统性能。3、存储容量的需求综合考虑到各类存储需求后,预计整体需要有效存储空间为12TB。4、存储容量扩展 随着业务的发展,数据库和各种应用系统也需要越来越多的存储空间。这就要求存储系统能够方便的扩充存储空间。5、集中存储解决方案(IX1000) 方案设计: 选用华为3Com的Neocean IX1000为核心存储系统。一台IX1000 410MB/s的吞吐量,54000的IOPS,满配能够提供6.4TB的数据容量。在此方案中,配置3块400G的SATA硬盘,采用RAID5,提供800G的可用空间。IX1000具备4个GE接口,可以支持应用服
29、务器系统采用多块网卡的高可靠性设计,完全能够满足应用对于存储区域网络的性能和可靠性的要求。所有需要连接IX1000的服务器,只要安装千兆网卡,并安装软件的iSCSI Initiator,就可以通过以太网获得存储设备,从而不需要购置价格昂贵的HBA卡。IX1000支持的操作系统:Linux、Windows和Netware,都支持这种千兆网卡加软件的iSCSI Initiator的实现方式。 IX1000 在标准的3U高度(13.3cm)内可容纳16块企业级SATA硬盘,最大容量可达到8TB,最高提供410MB/s的带宽吞吐量和54,000 IOPS的处理能力,轻松满足各种应用的性能要求。稳定可靠
30、 IX1000内部采用系统与系统日志信息双介质隔离设计。如果系统发生损坏,可以使用恢复盘快速恢复系统,不会丢失日志信息。IX1000存储系统拥有4个前端GE接口,可连接前端主机或网络交换机,4条数据链路支持链路聚合和故障切换,时刻保障数据通路的可用和畅通。 IX1000支持启动时硬盘顺序加电、硬盘在线热插拔和硬盘电源短路保护。IX1000采用硬件过载保护机制,例如:当硬件温度过高时,系统会给出警告,如果温度异常升高会导致硬件损坏,则系统会自动关机保护硬件。 IX1000支持RAID 0,1,5,10,50,并提供按需使用硬盘空间建立RAID功能。用户可根据实际的容量需求,灵活的选择多块硬盘的全
31、部或者部分空间建立不同级别RAID,最大化存储空间利用率。IX1000支持RAID容量在线动态扩展、在线RAID级别转换、阵列隐藏和Hot-spare等多种数据安全保护机制。一个RAID5、50的阵列可以同时采用Distributed Spare、Dedicated Spare、Global Spare三种热备方式,给阵列提供多重保护,提高了阵列的安全性。Neocean IX1000相关数据如下:磁盘数量:16;磁盘标准与容量:400GB/500GB SATA硬盘;最大容量:8TB;存储处理器:单/双;缓存:28GB;最大带宽:410MB/s;IOPS:54,000;前端主机端口:4个GE接口
32、;管理端口:10/100Mbps以太网接口;支持RAID标准;RAID0,1,5,10,50,Hot-spare;操作系统支持:Windows,Linux,Novell Netware等;管理软件:NeoStor专业版存储管理软件;可选软件功能:远程复制功能、数据镜像功能、NAS功能、系统/文件备份与恢复功能、VTL虚拟磁带库功能。(八) 系统计数据安全分析防火墙被应用于内部网与外部网的连接之间,通过26块100M快速以太网卡直接连在交换机上。使用虚拟网(VLAN)技术,来自INTERNET对内部网的访问首先要经过防火墙,防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤,以确保网
33、络的安全。CISCO公司PIX防火墙向企业网络提供引人注目的简单新特性和举世无双的安全性。PIX防火墙的高性能核心是一种基于自适应安全算法(ASA)的防护方案,有效地对黑客隐藏起客户机地址。PIX还具有执行速度快、成本低的优点,同时也能改善IP地址不足的问题。其特点如下:统一的IOS方案选用的所有Cisco产品都内置Cisco IOS。IOS能够将路由器、千兆交换机、ATM交换机、LAN和WAN交换机、文件服务器、智能集线器、个人计算机及对机构的互连网络有战略性影响的任何其他设备等所有不断发展的网络平台集成在一起,因而能够支持不可避免的变化和移植。IOS能够发挥Cisco平台及由将IOS融入其
34、产品中的技术伙伴提供产品的功能,因而能够让各公司建立和加强经济有效的集成式统一信息系统基础设施。设备的安全性在网络系统的安全设计中,设备本身管理的安全性是应首先考虑的,却往往又是人们常常疏忽的。利用设备本身的多个登录等级,控制不同人员的配置权限。可利用TACACS+、RADIUS安全认证服务器,加强了对网络设备本身的安全性管理。VLAN的安全性VLAN的建立,可以控制广播和应用的信息流动,从而防止他人非法在网络上截获其它用户或它们的资源。VLAN之间的通信可通过访问列表Access List控制,提供IP层,TCP层的访问控制。利用CISCO User Registration Tool,并结
35、合CISCO特有的动态VLAN技术,使移动的用户无论位于何处,与之相连的交换端口属于该用户特属的VLAN,即User-band VLAN,由于需要经过用户口令的认证,更增强VLAN的安全性。网络访问的安全性通过防火墙防止黑客的入侵。数据的安全性HP的DLT4115的磁带库和Legato的备份恢复软件,对Unix服务器、NT服务器、ORACLE数据库、Exchange Server和SQL Server进行备份,以便在灾难发生时进行恢复四、拓扑图及方案整体描述(一) 主干网传输方案设计一个优秀的网络设计方案离不开对其网络应用的评估。目前,在典型的网络中80% 的数据流是客户/服务器业务,它们之间
36、的绝大多数业务又必须跨越骨干网传输。这样就造成在骨干网的一边是快速以太网客户,另一边是文件服务器,而两者之间的界面必须提供足够大的吞吐量来满足加在网络上的性能要求的现象。所以对于一个成功的网络集成设计来说,骨干网和边缘之间的界面的设计是极为关键的,因为这个边界正是网络进行分段和重组(SAR)的地方,对于XX医院这样大规模会产生巨大的网络业务流的网络系统更是如此。如果网络的数据业务流不能在骨干网和边缘之间快速可靠地传输,就会出现瓶颈,产生时延,降低效率,结果造成高速千兆以太网所提供的诸多优点均未实现。考虑到医院今后的业务核心在其附院园区,为此医院的网络系统的设计思想是以医院信息中心机房为网络中心
37、,以星型方式通过2G的链路分别连接内科办公楼、外科办公楼、旧急诊楼、门诊楼、教学楼、教授楼、学生宿舍、生活区的骨干节点交换机,并以这些二级骨干节点为中心,通过1G或2G(视下级节点的业务繁忙程度而定)的链路连接桌面交换机,如图5所示。工作站工作站工作站边缘交换机高速缓存器防火墙路由Web服务器交 换 机交换机业务主机通讯机交换机通讯机防火墙Web服务器路由RAS访问服务器业务主机图5 XX医院网络系统拓扑结构图在医院主机房放置一台Cisco Catalyst 6006作为网络的中心千兆骨干交换机,中心交换机配置主备交换引擎,多层交换及策略卡模块、双电源,充分保证了中心交换机的高可靠性。中心交换
38、机提供16个千兆多模接口及96个10/100以太网UTP口,并能构实现企业网的第三层交换。Cisco Catalyst 6006配置如下: 双电源; Catalyst 6006 主交换引擎、多层交换卡及策略卡模块1块; Catalyst 6006 备交换引擎、多层交换卡及策略卡模块1块; 8口1000BASE-LX/LH GBIC多模/单模光纤模块2块; 48口10/100M以太网交换模块2块; 在医院的三个二级骨干节点,我们分别放置1台Catalyst 3508Gh通过两条千兆上联链路分别与中心交换机的不同槽的千兆模块相连,两条链路互为备份且均衡负载,任意一条链路故障不影响网络运行并通过原故
39、障线路的传输信息的端口转到另一条线路传输,全双工速率可以达到4G。其中,Catalyst 3508G可以提供8个千兆模块用以连接,余下的6个千兆端口可别连接本幢及附属建筑的Catalyst 3548/2924交换机。各二级骨干节点分配线间交换机配置情况如下(Cisco Catalyst 3508G) Catalyst 3508+1000BASE-LX/LH GBIC单模/多模光纤模块8块; 其他各幢建筑分配线间分别放置Catalyst 3548或Catalyst 3524交换机通过千兆就近上联作为二级节点的Catalyst 3508G上。Cisco Catalyst 3548配置如下:Cata
40、lyst 3548+1000BASE-LX/LH GBIC单模光纤模块2块 Cisco Catalyst 3524配置如下:Catalyst 3524XL+1000BASE-LX/LH GBIC单模/多模光纤模块2块 通过以上网络设备组成的网络主干系统不仅可以达到4G的主干容量和满足10/100M的桌面速率,而且通过Cisco6006的路由和虚拟子网的划分,可实现整个园区网络系统端到端的通信。(二) 网络中心及Internet接入方案网络中心是整个网络运行管理的核心。这里集中了各种网络应用服务器、多媒体应用服务器、网络管理系统以及互联网络的接入设备等。设计一个合理的网络运行管理中心,对今后整个
41、网络规划、拓展和管理将带来十分积极的影响。在人民中医医院网络中心我们选用的是Cisco公司的千兆以太网交换机6006,作为骨干中心交换机,用以连接其他骨干节点和网络中型的各类服务器及网络设备为了让整个园区能够与Internet相连,让内部员工能够从中获取信息资源和同时让外部用户能够访问人民中医医院的网站。我们可以申请一条DDN链路,通过电信局连接Internet。我们选用了Cisco公司的企业级硬件防火墙产品PIX Firewall,作为人民中医医院内部网与Internet之间的安全防护平台,同时其还可以提供一个缓冲区作为网站、DNS服务器使用,这样就避免了企业内部网上的各类网络系统设备直接暴
42、露在Internet上,使网络整体的安全性得到了大幅度提高(三) 远程访问支持Cisco VPN 3000集中器系列由通用的远程访问虚拟专网(VPN)平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。利用Cisco VPN 3000集中器系列,客户可以充分发挥最新VPN技术的优势,极大地降低通信费用。特别是,该产品是业界唯一的能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理(SEP)模块的部件使用户可以轻松地增加容量和吞吐量。 Cisco客户可以在众多的VPN 3000集中器中选择最适合自己需求和应用的具体型号,这些型号支持各种企业
43、客户,包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。不论Cisco VPN 3000集中器的哪一种版本,都可以在不增加更多费用的情况下提供Cisco VPN客户机,并给予不受限制的安装许可证。Cisco VPN 3000集中器提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠和经济高效的网络。另外,还提供高级路由功能,如OSPF、RIP和网络地址转换(NAT)。 设备特点:Cisco VPN 3000系列支持小型和大型企业网络环境中的各种Cisco客户应用。Cisco SEP模块提供硬件辅助加密功能,这样保证了在整个额定容量中的一致性能(3030-30
44、80)。 大型隧道支持IPSec、PPTP和L2TP/IPSec连接。 模块化设计(4个扩展槽)提供了投资保护、冗余和简单的升级途径。(3015-3060) 所设计的系统体系结构能够提供一致的高可用性性能。(3015-3080) 所有的全数字化设计保证了最高可靠性和24小时的连续工作。(3015-3080) 稳健的测量程序包可以完成实时监视和报警功能(3015-3080) 与Microsoft兼容,可以进行大规模的客户端安装,并能与有关的系统无缝集成。(3015-3060) 全面支持当前和发展中的安全标准,包括RADIUS、NT域验证、RSA SecurID和数字证书,允许与外部认证系统集成,
45、可与第三方产品互操作。 先进的包过滤功能可以为您企业的局域网提供所需要的安全性。 用户和群组级管理可以实现最大的灵活性。冗余子系统和多机箱故障切换功能保证了最大的系统运行时间。 丰富的测量和监视功能使网络管理员可以实时监视系统状态和进行早期报警。 Cisco VPN 3000集中器既可以使用任何标准Web浏览器(HTTP或HTTPS),也可以通过Telnet、安全Telnet、SSH和控制台端口进行管理。为企业和服务提供商提供配置和监视能力。 可以按照用户和群组进行访问级别配置,允许安全政策的轻松配置和维护。(四) 子网划分与VLAN设定 为了使医院能够有效便捷的对整个网络进行规划管理,我们有
46、必要对整个网络进行子网规划与VLAN设定。我们可以根椐医院申请到的网络地址(一个C类地址198.189.98)将整个医院网络分为4个子网区,其中第四区为备用区。另外,250,251,253,254为特殊保留地址以便医院用于特殊用途,根据每个区的终端数目(60个),可对其进行如下划分:第一子网ID 198.189.98.1/27范围(198.189.98.2/27198.189.98.63/27)第二子网ID 198.189.98.64/27 范围(198.189.98.65/27198.189.98.125/27)第三子网ID 198.189.98.126/27范围(198.189.98.126/27198.189.98.187/27)第四子网ID 198.189.98.188/27范围(198.189.98.189/27198.189.98.249/27)其中字网掩码为/27(25.255.255.224),每个子网区的用户终端从1到60都有自己独立的IP,以保证不会冲突。我们对于一个像这样规模的医院的网络有很多种子网划分方法,比如还可以按照所在区域的不同将IP以末尾数的奇偶性质加以划分等等。但不管做怎样的划分,都必须遵循一个原则就是避免冲突,易于管理。这样才能保证整个网络有序无阻的运行下去。(五) 存储方案1 方案概述 前面已经提到了对于