中医医院网络方案.docx

中医医院网络方案.docx

《中医医院网络方案.docx》由会员分享，可在线阅读，更多相关《中医医院网络方案.docx（25页珍藏版）》请在冰豆网上搜索。

中医医院网络方案

中医医院网络方案

一、项目概述

1、项目背景

通州区中医医院是一所集医疗、科研、教学、预防保健四位一体的中医综合性医院，1996年通过国家中医管理局验收，成为通州区首家二级甲等医院，连续五年被评为通州区和首都精神文明单位，物价计量信得过单位，北京市行业作风文明窗口。

鉴于医院发展建设较快，医院环境不能满足通州百姓的中医医疗需求。

经区政府批准，拟将在长安街延长线、通州区河东新城筹建一所占地1000亩、建筑面积30000平方米，能容纳400张病床，年门诊量达30万人次，收住病人6000人次的综合现代化中医医院。

由于医院改建，网络也需重新设计以便满足医院业务的需要。

2、设计原则

可靠、可用性：

为确保医院业务7*24小时应用，我们在结构设计、设备选型上充分考虑网络的可靠、可用性，确保网络成为一个不间断系统。

安全性：

选型的设备提供灵活的多种安全控制机制，保证医院系统的数据不会被随意窃取和篡改。

先进性：

方案的设计充分参照了国际规范和标准，采用当前成熟的模式、先进的技术和成功的经验。

高性能：

方案总体设计确保主要业务有足够的数据传输带宽，并为数据中心备份等其他业务提供适当带宽和提供QoS服务质量。

可扩展性：

网络的设计具有良好的可扩展性与灵活性，以适应网络发展的需要，满足当前及未来相当长时间内网络的需求，保证当前投资的回报率。

易于管理、维护性：

作为医院信息化系统的基础平台，设计中充分考虑了网络的易于管理和维护性。

3、设计标准与规范

方案设计遵循国家相关的规范标准：

《综合布线系统工程设计规范》GB50311-2007

《综合布线系统工程验收规范》GB50312-2007

《智能建筑工程质量验收规范》GB50339

北京地区医院信息系统基础设施运行与管理规范

北京地区医院信息系统基础设施建设指南

国际标准：

《用户建筑综合布线》ISO/IEC11801

《商业建筑电信布线安装标准》EIA/TIA569

《商业建筑通信基础结构管理规范》EIA/TIA606

二、网络设计

1、网络设计

为确保网络骨干稳定可靠，采用双核心备份，万兆互联。

网络链路采用双万兆端口汇聚骨干，千兆汇聚，千兆接入；汇聚同样采用冗余，消除单点故障对网络的影响。

数据中心为保证对业务数据的实时备份和数据丢失后的及时恢复，以及保证设备发生故障时的及时切换，确保医院业务应用不间断，数据中心采用容灾备份设计。

确保内网安全，使用防火墙作为内网出口。

方案拓扑图

2、设备选型

根据需求，对于网络设备厂家的选择，我们采用锐捷网络产品。

锐捷网络，业界领先的网络设备及解决方案供应商，成立于2000年1月。

九年来，秉承“敏锐把握应用趋势，快捷满足客户需求”的核心经营理念，坚持“应用领先”的发展道路，锐捷网络实现了超常规、跨越式发展，成长为网络设备民族第一品牌，跻身中国网络市场三大供应商之列。

●网络骨干采用锐捷RG-S8614作为核心交换机

RG-S8614是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务IPv6核心路由交换机，满足未来以太网络的应用需求，支持下一代的以太网100G速率接口，提供14横插槽设计。

提供4.8T背板带宽，每线卡提供高达200G的交换能力，满足高密度的千兆/万兆端口线速转发，并且支持未来40G/100G接口的扩展。

配置：

RG-PA1200交流电源模块1200W（数量2）

S8614-Chassis14扩展槽主机箱（含风扇阵列柜，不含电源和管理引擎模块）

M8614-CMII二代管理引擎模块（数量1）

M8600-NMM高性能多业务卡，支持IPFIX流量监控功能（数量1）

M8600-02XFP2个XFP接口万兆线卡（数量1）

M8600-08XFP8个XFP接口万兆线卡（数量1）

10GBASE-SR-XFP万兆光纤SR接口模块（300米，2000Mhz/KM），配合XFP线卡使用（数量10）

Mini-GBIC-SX单口1000BASE-SXminiGBIC转换模块（LC接口）（数量10）

●汇聚层交换机选择锐捷RG-S5750-24GT/12SFP

是锐捷网络推出的硬件支持IPv6的万兆多层交换机。

万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。

支持基于模块化的堆叠，支持万兆堆叠。

配置：

M5700-01XFP1端口XFP接口万兆转接板（数量1）

10GBASE-SR-XFP万兆光纤SR接口模块（300米），配合M5700-01XFP转接板使用（数量1）

Mini-GBIC-SX单口1000BASE-SXminiGBIC转换模块（LC接口）（数量2）

●数据中心交换机选用锐捷RG-S2927XG

是锐捷网络推出的全千兆安全智能二层交换机。

通过支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别适合需要高带宽的网络环境中使用。

●接入交换机

（一）选用锐捷RG-S2927XG

24个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽。

是锐捷网络推出的全千兆安全智能二层交换机，适用于园区网络的接入层，提供千兆到桌面的解决方案。

凭借高性能、高安全、多业务、易用性的特点，融入IPv6的特性，使得可广泛应用于各行业的千兆网络。

●接入交换机

（二）选择锐捷RG-S2951XG

48个10/100/1000M电口，4个复用的SFP千兆光纤接口，3个万兆扩展槽。

为RG-S2900系列交换机中一款高端产品。

以极高的性价比为各类型网络提供高性能、完善的端到端的QoS服务质量、灵活丰富的安全策略管理，最大化满足企业网高速、高效、安全、智能的新需求。

配置：

Mini-GBIC-SX单口1000BASE-SXminiGBIC转换模块（LC接口）（数量1）

●防火墙选择锐捷RG-WALL1800

RG-WALL1800是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。

RG-WALL1800采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口。

提供固化4个GE口+4个SFP口，1个模块化插槽，支持：

·4个千兆电口、光口模块

·8口千兆电口、光口模块

·2口万兆光模块

3、设备介绍

核心交换机——RG-S8614特征：

统一的模块化操作系统RGOS

RG-S8600采用锐捷网络业界领先的统一模块化操作系统RGOS做为其系统平台，通过模块化设计理念，保证系统稳定的基础上，全面集成IPv6、MPLS、路由、安全等多种网络功能，构建智能融合的IP核心网络。

强大的处理能力

RG-S8600系列核心路由交换机面向十万兆平台设计，提供4.8T/3.2T/1.6T背板带宽，每线卡提供高达200G的交换能力，满足高密度的千兆/万兆端口线速转发，并且支持未来40G/100G接口的扩展。

设备级安全体系-CSS安全体系

CSS安全体系，全面融合网络安全特性，智能保护核心设备和网络。

1.安全监控

NFPP（NetworkFoundationProtectionPolicy）基础安全保护策略，采用基于网络威胁的安全处理模式，联动网络攻击检测和网络攻击防护。

在网络攻击即将到来的时候自动下发安全策略硬件隔离攻击源头。

2.安全防护

CPP（CPUProtectPolicy）技术，业界领先的硬件CPU保护技术，CPP技术对发往CPU的IPv4/IPv6等多层协议报文自动进行流区分和流限速，避免异常报文对CPU的攻击和资源消耗，保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行。

基于SPOH技术提供标准、扩展、MAC、时间、专家级、ACL80、基于Vlan一系列ACL技术，支持IPv4/IPv6双栈下的ACL功能。

在配置数千条ACL的情况下，同样实现万兆线速数据转发。

最长匹配（LPM）三层交换技术，将静态方式、动态方式学习到的IPv4/v6路由直接以网段形式存储于硬件转发表，一个目的网段使用一个转发表项，而不明目的网段IP地址的数据包直接通过硬件缺省路由转发，极大地节约硬件存储空间，避免了存储溢出导致CPU利用率过高问题，保障设备的正常运行。

RG-S8600采用硬件方式提供多种安全防护能力，例如防DDOS攻击、非法数据包检测、防扫描、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。

支持广播报文抑制，有效控制非法广播流量对设备造成冲击。

支持IPv4/v6、VLAN、MAC和端口等多种组合绑定方式，提高用户接入控制能力。

3.安全管理

RG-S8600系列支持用户分级管理，不同级别的用户拥有不同的配置权限；支持安全的SNMPv3网管协议；支持安全的远程登录SSHV2；支持受限IP地址方式的Telnet登录。

支持IEEE802.1x、AAA/Radius、TACACS，对用户身份进行合法性认证；

4.安全隔离

RG-S8600系列支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持MPLSVPN、VPWS等VPN功能，保证路由信息的隔离。

支持IGMP源端口检查、源IP检查、IGMP过滤等功能，可有效控制非法组播源，提高网络安全。

通过PVLAN（端口保护）隔离用户之间信息互通，不必占用VLAN资源。

端口MAC地址锁、MAC地址过滤、端口MAC地址接入数量限制功能可以屏蔽非法主机的接入和非法数据包进入网络。

电信级的高可靠性设计

1.无单点故障设计

RG-S8600采用无源背板避免机箱出现单点故障；所有关键器件，如引擎、电源、风扇和Crossbar等均采用冗余设计；双引擎切换时实现万兆数据业务不中断转发，有效保证网络稳定。

所有单板和电源模块支持热插拔功能，并且对其它单板上运行的业务无影响。

2.弹性以太网技术

RG-S8600支持RERP技术（快速以太网环保护协议），融合了SDH故障自愈的高可靠性与以太网的经济性、高带宽等优势，在RERP网络上扩展支持IPv4/v6路由协议、MPLS功能，可以保障万兆线速业务情况下小于50ms的故障切换时间，保证语音、视频等实时业务不受网络收敛影响。

RG-S8600支持REUP技术，在扩展支持IPv4/v6路由协议、MPLS功能的情况下，保证双链路上联网络拓扑的业务毫秒级快速切换。

3.路由协议的高可靠保障

RG-S8600支持OSPF/IS-IS/BGP的优雅重启技术（GracefulRestart），提供毫秒级的切换时间；支持ECMP/WCMP，可帮助用户使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输，实现流量的负载均衡及冗余备份；支持动态路由协议、跨板端口聚合、虚拟路由冗余协议（VRRP）等保护机制，有效保证全网高速可靠运行。

高性能MPLS业务处理

RG-S8600系列产品全面支持MPLS功能，支持标准的MPLS标签交换功能、基于BGP/MPLSVPN的三层VPN功能、基于Martini的点到点二层VPN功能以及基于VPLS的点到多点二层VPN功能。

RG-S8600系列产品支持高性能的MPLS业务处理，硬件支持MPLS标签的万兆线速处理，不存在处理的瓶颈，满足大规模MPLS网络核心设备高性能的需求。

全面的IPv6解决方案

RG-S8600线卡分布式实现IPv6业务硬件处理，支持万兆IPv6业务线速转发。

RG-S8600已经通过了国家信息产业部的IPv6入网认证，标志着IPv6功能的成熟与商用。

RG-S8600全面支持IPv6协议族及编址结构，支持ND（邻居发现）、ICMPv6、PathMTUDiscovery、DNSv6、DHCPv6等IPv6特性。

RG-S8600全面支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+等IPV6单播路由协议，支持MLDv1/v2、MLDSnooping、PIM-SM/DMv6、PIM-SSMv6等IPv6组播特性，为用户提供完善的IPv4/IPv6解决方案。

RG-S8600支持丰富的IPv4向IPv6过渡技术，包括：

IPv6手工隧道、6to4隧道、ISATAP隧道、IPv4overIPv6隧道等隧道技术，保证IPv4网络向IPv6网络的平滑过渡。

RG-S8600支持丰富的IPv6管理特性，支持SNMPv6、Ping/Traceroutev6、IPv6TACACS+/RADIUS、Telnet/SSHv6、NTPv6，满足纯IPv6网络设备管理的需要。

IPFIX流量透明化方案

RG-S8600系列交换机在业内率先支持最新一代国际流量监控标准IPFIX（IPFlowInformationExport）。

符合国际标准发展趋势。

IPFIX多业务模块采用高性能的NP平台，支持万兆业务流量的监控。

结合锐捷流量分析系统，IPFIX技术可以对对网络中的所有流量进行统计分析和异常检测，输出各种丰富的网络流量分析报表，包括：

流量使用报表、历史报表、接口报表、可解析的主机地址、流量分析、变量显示等信息，能够帮助管理员在网络异常行为发生时快速分析出网络中存在的问题，为网络容量规划、网络应用监控以及故障诊断等提供客观准确的决策依据，实现真正的网络流量可视化。

IPFIX多业务模块作为独立业务灵活扩展到锐捷交换机中，采用独立的硬件平台，保证在多业务模块进行维护或故障的情况下，核心设备数据业务正常转发，保证了核心设备的高可靠。

丰富的应用支持技术

1.提供完善的各种QOS技术

灵活的流分类：

除了根据IPPrecedence、802.1P、DSCP进行流分类，还可以根据专家级ACL、IP扩展ACL、IP标准ACL、MAC扩展ACL等进行流分类。

多种队列技术：

硬件队列、SP、RR、WRR、DRR、SP+WRR、SP+DRR。

拥塞管理和控制技术：

、WRED、CAR、LR（In\Out）、TrafficShaping（TS）等。

2.提供多种组播支持技术

包括IGMPsnooping、IGMP、PIM（SSM、SM、DM），DVMRP，保证了网络中提供组播服务时的带宽合理占用，同时提供支持IGMP源端口检查、源IP检查、IGMP过滤功能等屏蔽非法组播源。

3.分布式业务融合系统

线卡分布式提供硬件的IPv6、策略路由、IPFIX流量监控等业务处理能力，提供支持POE功能的多种线卡。

技术参数：

技术参数

参数描述

产品型号

模块插槽

14个（2个用于管理引擎模块）

背板

4.8T（支持更高带宽的未来扩展）

交换容量

2.4T（支持更高带宽的未来扩展）

包转发速率

L2：

1786MppsL3：

1786Mpps

MAC地址

512K

路由表项

100万

802.1qVLAN

4K

L2协议

IEEE802.3（10Base-T）、IEEE802.3u（100Base-T）、IEEE802.3z（1000Base-X）、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.3ak、IEEE802.3an、IEEE802.3x、IEEE802.3ad（链路聚合，同时支持跨板链路聚合）、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEE802.1D（STP）、IEEE802.1w（RSTP）、IEEE802.1s（MSTP）、IGMPSnooping、JumboFrame（9Kbytes）、IEEE802.1ad（QinQ、灵活QinQ）、GVRP

L3协议（IPv4）

BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、MBGP、LPMRouting、Policy-basedRouting、Route-policy、ECMP、WCMP、VRRP、IGMPv1/v2/v3、DVMRP、PIM-SSM/SM/DM、MSDP、Any-RP

IPv6基础协议

ND（邻居发现）、ICMPv6、PathMTUDiscovery、DNSv6、DHCPv6、ICMPv6、ICMPv6重定向、ACLv6、TCP/UDPforIPv6、SOCKETforIPv6、SNMPv6、Ping/Traceroutev6、IPv6TACACS+/RADIUS、Telnet/SSHv6、FTP/TFTPv6、NTPv6、IPv6MIBsupportforSNMP、VRRPforIPv6、IPv6QoS

IPv6路由特性

静态路由、等价路由、策略路由、OSPFV3、RIPng、BGP4+、IS-ISv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、Routeredistribution

IPv6隧道技术

手工隧道、ISATAP、6to4隧道、IPv4overIPv6隧道、IPv6multicastoverIPv4tunnels

MPLS协议

LDP、BGP/MPLS三层VPN、Martini（点到点二层VPN）、VPLS（点到多点二层VPN）、支持P/PE功能，符合RFC2547bis协议、支持CE双归属、支持MPLSVPN跨域

QOS

支持IPPrecedence、802.1P（COS优先级）、DSCP、支持支持基于标准、扩展、VLANACL进行流量分类、支持多种队列调度机制如硬件队列、SP、RR、WRR、DRR、SP+WRR、SP+DRR，支持拥塞避免管理WRED、支持流量监管（CAR）、支持流量整形TrafficShaping（TS）

安全功能

NFPP（基础安全保护策略）、CPP（CPU保护）、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描、支持Radius/TACACS、支持基于标准、扩展、VLAN的IPv4/v6ACL报文过滤、支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证、支持受限的IP地址的Telnet的登录和口令机制、uRPF、支持广播报文抑制、DHCPSnooping

高可靠设计

支持RERP（快速以太网环保护协议）、支持REUP双链路快速切换技术、支持RLDP单向链路检测技术、支持TPP（拓扑保护技术）、支持LD（线缆检测）技术、支持双引擎热备、NSF（数据不间断转发）、支持电源1+1冗余备份、采用无源背板设计、风扇采用冗余设计、所有单板和电源模块支持热插拔功能

管理方式

SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP文件上下载管理、USB接口、监控显示屏、支持NTP时钟、支持SPAN/RSPAN，支持Syslog

其它协议

DHCPClient、DHCPRelay、DHCPServer、DNSClient、UDPrelay、ARPProxy、Domain、VPN、Syslog、IPFIX

汇聚层交换机——RG-S5750-24GT/12SFP特征：

高性能

万兆端口为“千兆汇聚，万兆核心”提供可能，适应了网络应用高速发展，网络带宽不断增加的需要。

而万兆端口的可扩展性既方便用户现在使用万兆网路，也方便用户后续升级网络到万兆。

IPv4/IPv6双栈协议多层交换

硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和ISATAP隧道等等），可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络；支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络；S5750V2.0硬件版本支持MCE功能，可以在BGP/MPLSVPN组网应用中承担多个VPN实例的CE功能，减少用户设备的投入。

灵活完备的安全策略

具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等。

业界领先的硬件CPU保护机制：

特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；支持DHCPsnooping，可只允许信任端口的DHCP响应，防止私设DHCPServer的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题；基于源IP地址控制的Telnet访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；SSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。

控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。

强大的多业务支撑能力

支持IPv4、IPv6组播功能，包含丰富的组播协议。

比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6等协议族，为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。

支持IGMP源端口和源IP检查功能，有效地杜绝非法的组播源，提高网络的安全性；支持等价路由（ECMP）、权重路由（WCMP）等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。

完善的QoS策略

具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。

以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑。

技术参数：

技术参数

参数描述

产品型号

RG-S5750-24GT/12SFP

基本特性

固定端口

24端口10/100/1000M自适应端口，12个复用的SFP接口，2个扩展槽

可用模块

Mini-GBIC-SX：

单口1000BASE-SXminiGBIC转换模块（LC接口）

Mini-GBIC-LX：

单口