某医院计算机网络系统设计方案.docx
《某医院计算机网络系统设计方案.docx》由会员分享,可在线阅读,更多相关《某医院计算机网络系统设计方案.docx(43页珍藏版)》请在冰豆网上搜索。
某医院计算机网络系统设计方案
XXX医院综合楼弱电及系统集成工程项目
计算机网络系统设计方案
项目概述
XXX医院医疗综合楼总体分为:
地下一层为设备用房,一、二、三、四层为大厅及门诊,五层为血透中心,六、七层为内科护理标准层,八层、十一层为内科、外科护理单元,九层为儿科护理单元,十层为骨科护理单元,十二层为妇科护理单元,十三层为产科护理单元,十四层为产房、ICU、手术准备层,十五层为手术层,十六层为手术设备和电梯机房层。
大楼总建筑面积约2万㎡,建筑高度66.40米,属于一类高层建筑。
系统概述
本局域网(LAN)主要为医院提供Internet接入和设备的联网需求。
(1)设备产品选用著名华三H3C品牌产品。
(2)充分考虑网络安全,该系统具备拒绝访问攻击(DOS)的防护。
能实现交换机、防火墙/IDS/IPS联动与网管软件联动,自动的实现对网络蠕虫和黑客攻击防范和屏蔽。
设计原则
基于XXX医院目前网络现状和未来业务发展的要求,在XXX医院网络设计构建中,应始终坚持以下建网原则:
1、实用性:
整个网络系统具有较高的实用性;
2、时效性:
网络应保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确保业务的实时高效;
3、可靠性:
网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持医院各业务系统的正常运行。
必须满足7×24×365小时连续运行的要求。
在故障发生时,网络设备可以快速自动地切换到备份设备上;
4、完整性:
网络系统应实现端到端的、能整合数据、语音和图像的多业务应用,满足全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络;
5、技术先进性和实用性--保证满足医院应用系统业务的同时,又要体现出网络系统的先进性。
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。
6、高性能—医院网络性能是医院整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,才能使网络不成为一眼业务开展的瓶颈。
7、标准开放性--支持国际上通用标准的网络协议(如IP)、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通,以及将来网络的扩展。
8、灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。
网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。
9、可管理性--对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。
10、安全性--制订统一的骨干网安全策略,整体考虑网络平台的安全性。
能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;
系统设计方案
产品选择说明
按照标书的要求,在充分研究XXX医院网络项目的需求的基础上,我们对目前业界的主流的网络厂商,H3C、CISCO、北电等做了较为详细的对比研究,综合考虑厂家产品及解决方案在政府及其他行业特别是在公检法系统的应用规模、产品技术的先进性、成熟度及兼容性、公司的研发实力和服务体系保障等因素,我们建议采用杭州华三通信技术有限公司(以下简称H3C公司)的网络产品作为此次项目的组网设备。
根据标书的技术指标要求,H3C公司可以提供全线的包括交换机、路由器以及安全产品等性价比非常高的产品来满足此次项目的投标。
投标所使用的设备性能指标均满足标书要求。
1.1.1设备应用规模及稳定性、兼容性
H3C公司的网络产品目前已经广泛应用与全球的各个行业中,截至2007年1季度H3C公司在中国市场高端路由器的市场份额为34.8%,中低端路由器为32.6%(数据来源于CCID2007年4月),名列前茅。
截至2007年1季度H3C公司在中国市场交换机的市场份额为40.3%(数据来源于CCID2007年4月),排名第一。
目前H3C的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区,并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。
H3C目前在国内的整个电子政务IT系统建设中已经得到了大规模的应用。
大规模的应用不但大大拉近了用户和H3C公司的距离,使得H3C公司能够更快更好为市场、为用户提供产品,同时也验证了H3C公司产品的稳定性和兼容性。
目前H3C的全系列网络产品在税务系统的应用已经超过30个省、市,其中在省骨干的规模应用已经超过20个省市、自治区及直辖市。
1.1.2完善的研发体系和全系列的网络产品
H3C每年将销售额的15%以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。
目前,H3C已申请专利超过700件,其中80%是发明专利。
H3C目前从事IP产品技术研发的研究所有6个,包括北京研究所、杭州研究所、印度研究所、南京研究所、深圳研究所、美国研究所,研发人员超过2000人。
印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高级的CMM5级国际认证,北京研究所、杭州研究所通过CMM4级国际认证。
H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。
目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。
因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。
1.1.3健全的服务支持和培训认证体系
H3C公司建立了遍布全国的服务机构。
除公司总部设有完备的技术支援平台外,H3C还在全国建立了36个售后服务中心,建有完备的技术支援平台和备件系统,通过先进的通信技术与总部的技术支援平台连接,完成用户信息、故障处理流程、备件库存、产品分布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过200人的技术支援体系。
同时还在各省市派遣有售后服务工程师,以提高售后服务的响应速度。
H3C技术支持支援平台拥有一批高素质的服务队伍,所有服务人员都具有本科以上学历,且有3年以上大型网络服务经验。
为了满足不同客户不同层次的培训需求,H3C服务公司建立了规范、专业的用户培训体系,将总部培训与分部培训、集中培训与现场培训有机结合。
目前,在数据通信网络技术领域,H3C培训面向全球,致力于培养专业务实网络人才。
考虑客户不同层次需求,提供全系列的网络产品培训,网络技术认证培训和客户化培训解决方案。
同时建立起国际规范的完整的网络技术认证体系。
在中国建立30余家授权培训中心,海外建立7家授权培训中心;覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。
在中国建立60余家网络学院,海外建立1家网络学院。
与40余所职业院校建立合作,支持中国职教IT专业课程改革项目。
鉴于以上几个主要原因,我们在此次投标中选用了H3C公司的网络产品做为此次投标的网络产品。
系统需求分析
1.1.4医院业务划分
医院的业务系统有很多,而且不同的专科医院业务系统也有很大区别,但以下一些业务系统是医院都具有的:
1)门诊系统
2)住院系统
3)体检系统
4)PACS系统
5)医院管理经济系统
6)区域医疗系统
1.1.5应用系统分类
医院信息系统主要分成以下两类:
1)医院管理系统
◆门、急诊挂号子系统
◆门、急诊病人管理及计价收费子系统
◆住院病人管理子系统
◆药库、药房管理子系统
◆病案管理子系统
◆医疗统计子系统
◆人事、工资管理子系统
◆财务管理与医院经济核算子系统
◆医院后勤物资供应子系统
◆固定资产、医疗设备管理子系统
◆院长办公综合查询与辅助决策支持系统
2)临床医疗信息系统
◆住院病人医嘱处理子系统
◆护理信息系统
◆门诊医生工作站系统
◆临床实验室检查报告子系统
◆医学影像诊断报告处理系统
◆放射科信息管理系统
◆手术室管理子系统
◆功能检查科室信息管理子系统
◆病理卡片管理及病理科信息系统
◆血库管理子系统
◆营养与膳食计划管理子系统
◆临床用药咨询与控制子系统
1.1.6医院业务系统的需求
1)门诊系统
门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点(包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等),门诊业务具有可靠性高、并发性、实时性和突发性强等特点。
因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。
2)住院系统
住院业务是医院的另一个主要组成部分,是医院经济收入的主要来源,同时还直接关系到重病患者的生命安全,具有以下几个特点:
住院业务的网络上流动着重症病人生命数据和各种新业务数据;
住院业务保存有患者病案数据和住院费用数据;
医生移动查房;
病人呼叫系统;
网上视频监控系统;
针对住院业务的以上特点,住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。
3)体检系统
现在很多医院建立专门的体检大楼,以满足民众不断扩大的体检需求。
从业务角度上讲体检系统非常简单,它对网络的需求主要体现在安全性上,如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。
4)PACS系统
医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理,并在全院范围内进行共享,由于是各种图形图像数据,因此具有存储量大的特点,为了更好的服务于医院业务,PACS业务对支撑系统提出以下要求:
存储量大、扩展性强、数据快速存储、数据容灾、高带宽
5)管理经济系统
医院管理经济系统主要是人、财、物的管理,包括人事、财务管理、药品药库管理等,因此它最大的需求是数据在服务器端和网络上的安全,保证这些数据不会泄露。
6)区域医疗系统
一方面为了发挥中心医院的辐射和覆盖作用,另一方面充分利用各家医院的特色科室的力量,区域医疗把这些资源进行共享和整合,这需要稳定的广域网连接。
根据初步的需求,我们按照内外网物理分离的原则进行设计。
1.1.7网络建设需求
1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台;
2、网络设计不仅要体现当前网络多业务服务的发展趋势,同时需要具有最灵活的适应、扩展能力;
3、全千兆网络带宽;
4、一体化网络平台:
整合数据、语音和图像等多业务的端到端、以IP为基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理;
5、建设一个可管理、支持无线应用的系统;
6、建设一个安全管理平台。
1.1.8核心层需求分析
核心层设备担负着整个网络的流量。
在网络核心层的流量是非常巨大的,所有的服务器均在网络的核心层提供相关的服务。
对网络核心层的压力非常巨大。
同时网络对安全性、稳定性的要求极高,由于网络也基本是一个金字塔的形状,那么最需要稳定的就是金字塔的顶端,即网络的核心层。
网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能,同时还需要保证不同级别的网络QoS,对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。
对于网络级的保护通常时间是非常长的,那么对一些关键业务,我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。
设备必须支持对不同部门的规划,如实现全网统一VLAN的规划等。
对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。
但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作,建议采用二层和三层协议相结合的方式共同实现网络的规划工作。
1.1.9接入层需求分析
网络的接入是对用户直接进行数据透传的层次,但是由于网络的特殊性,本次的接入层主要是对一个局域网进行接入。
对本次的接入层的主要需求的分析如下:
(1)、接入层用户数量的大直接产生大量的数据报文,直接通过三层的数据承载上来,同时造成碰撞域和冲突域,使网络瓶颈产生于网络的低层,直接影响接入质量。
(2)、接入层用户数量大,而所应用的数据种类繁多,多种网络业务流量的产生,包括组播业务的产生,对所接入的网络设备要求很高,使整个接入层产生了一个业务接入瓶颈。
(3)、网络的访问终结于共享数据的特定位置,因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器,而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器,就需要这几个用户争抢网络带宽,使接入层瓶颈提升到核心层,造成核心层资源的浪费。
并且根据网络流量的分析得出用户的访问方向是不规则的,网络一定会出现闲置的带宽的现象,如何规划路由将非常重要。
(4)、网络流量和网络流向是宽带网络的一个新瓶颈。
对于宽带网络接入,接入层网络的通常是以新2/8原则来划分的,其中有20%的流量是在接入层交换机的内部进行交换的,而80%的网络流量是通过上联出口访问其他的网络设备。
这里,就涉及到网络产生流量后,网络流向的问题,网络流向直接造成网络对于流量和流向所产生的网络瓶颈。
(5)、网络用户是局域网用户,实际接入的用户就是一个网络,那么对于不同网络之间的互访的安全性控制更是由为重要,同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的,对其他部门的用户的访问是分为很多的不同的级别的。
系统设计
目前,HIS系统在很多医院已经部署,很多传统业务都逐渐迁移到网络上,对网络的性能、安全和稳定提出了很高的要求,主要体现在以下几个方面:
1)可靠迅速的响应以提供更好的医疗服务
一般大医院每天的门诊量很大,HIS系统每天对后台数据库的调用非常频繁,会产生很大的数据流量,如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断,会产生严重的社会后果,因此医院对网络的访问性能有很高的要求。
2)安全的业务数据保证医院正常对外服务
在医院的业务系统中保存着大量患者的健康信息和过程费用信息,这些数据无论对患者还是医院都非常关键,需要严格保密,因此如何保护这些数据,对医院有着重大的意义。
3)高效的管理推动系统的稳定,提高维护的效果
HIS经过几年的建设,已经初具规模。
如何管好整个医院的业务系统,包括用户、服务器、数据库、存储设备和网络等,提高医院管理效率,保证医院网络的正常运转已经成为医院急需解决的大问题。
4)医院数据的安全存储
医院需要存储包括病人信息、病案信息、费用信息和影像等数据,对数据存储的安全性和扩展性要求非常高。
5)区域医疗的建设
为了在区域范围内实现远程会诊、网上学术研讨等业务,迫切需要医院之间的资源共享。
系统内网设计
1.1.10内网建设需求
内网是医院核心网络系统,用于开展日常医疗业务(HIS、LIS、PACS、财务、体检系统等)的内部局域网,系统应稳定、实用和安全,具有高宽带、大容量和高速率等特点,并具备将来扩容和带宽升级的条件。
●医院网络建设需求:
1、实现千兆主干,桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入);
2、配备的网管软件应提供可视的形象化的图形界面,对整个网络中网络产品的全部端口进行监视和管理;
3、核心交换机与汇聚接入交换机互联采用双星型结构;
4、外科楼、门诊楼布置无线AP,可为无线查房,病人上网提供接入服务;
5、由于医疗行业的特殊性,医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息,要求网络具备可移动性、传输速率高等特点。
同时考虑到医院业务量的增加,网络需要留出足够余地扩容而不影响医院正常的工作。
●网络应用设计要求:
1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。
以子网的形式组成医院的整体网络。
各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。
2、传输动态图像的部门有:
放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室(ICU、CCU等)、手术室、麻醉科、视频示教室和会议室等。
3、为了更好地服务于医疗科研工作,需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来,在需要时,可随时还原。
因此,考虑将医院所有的监护仪器和大型设备都联网。
1.1.11内网设计及规划
内网是整个医院的核心网络,开展医院日常重要的医疗业务,对网络的可靠性、稳定性要求非常高,本次设计的网络按照千兆带宽(可扩展万兆交换平台),内网核心交换机双机冗余、负载分担。
网内拓扑设计采用二级双星型架构,分为核心层、接入层。
核心层位于机房网络的中心,负责全网的路由交换,并与各服务器、存储等核心医院应用相连;接入层位于各大楼内的楼层,负责直接接入桌面系统,本次内网采用千兆双绞线到桌面,与核心层进行千兆光纤连接。
1、核心交换机由两台S7510E组成双星型网络,当任意一条链轮或任意一台设备出现问题时,保证网络正常运行;
2、汇聚层采用S5120-EI汇聚交换机,通过双千兆光纤与核心交换机互联,保证链路的可靠,千兆与接入层交换机互联。
3、接入层,千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一,在诸如医疗行业的会诊、医疗影像、医疗科研协作等,应用在消耗大量带宽的同时,也在追求终端用户的满意度,基于双绞线的千兆以太网可以将更多的应用从低速链路中解放出来,并且为医务工作者创新提供了一个崭新高效能工作平台。
4、无线:
考虑到整体的无线接入点数量很多,建议使用FitAP加AC控制器的方式,AC控制器部署在核心交换机,以AC无线控制器插卡的方式公用核心交换机的资源,做到有线、无线一体化的融合网络解决方案,采用瘦AP组网方式,医护人员在使用无线网络中能做到无缝漫游。
5、管理:
智能管理中心iMC,具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理,同时在其上可以配置有多种业务管理组件,本次配置有线无线一体化管理组件WSM,方便管理大规模的无线管理网络;端点准入解决方案(EAD)在身份接入基础上,支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁,并可根据终端的安全状态实现终端VIP、Guest、隔离、下线等多种控制策略。
从端点接入上保证每一个接入网络的终端的安全,从而保证网络安全。
系统外网设计
1.1.12外网建设需求
1、实现千兆主干,桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入);
2、核心交换机与接入交换机互联采用星型结构;
3、防问互联网时采用一定的安全手段,如防火墙和IDS;
4、能够提供强大的网络防问控制,路由功能。
1.1.13外网设计及规划
由于外网主要用于医院OA办公、图书馆信息查询,外网相对于内网来说可靠性要求相对级别次低一级,初期按照采单核心交换机、双引擎、百兆接入到桌面设计,采用接入直接到核心的简洁二层结构,根据用户后期细化可靠性需求、链路冗余性需求后,再做进一步调整。
在接入层,选用H3CS5120系列千兆交换机,H3CS5120-EI系列交换机具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。
S5120-EI系列千兆以太网交换机定位为千兆接入,同时还可以用于数据中心服务器群的连接。
在核心层,选用S7506E作为外网的核心交换机,S7500E作为高端多业务路由交换机,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
在网络出口处部署网神千兆防火墙,网神企业级千兆防火墙SecGate3600-G7T是一款接口数目多、配置灵活、网络适应性好的千兆防火墙产品。
产品基于自主开发的SecOS,在高性能硬件平台的支撑下,处理能力可达4Gbps;
在出口路由器上采用H3CMSR5060,该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。
MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。
另外,MSR50系列路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。
产品选型
核心交换机选型
核心交换机选用H3C的S7500E系列交换机有如下特点:
一、丰富的业务,适应融合业务网络发展趋势
全面的MPLS业务能力
H3CS7500E所有产品均支持Multi-VRF特性,可以做为MCE设备使用;支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella等),可扩展支持VPLS技术;支持MPLSOAM特性,方便用户的管理和维护;支持VPN组播;与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。
线速的IPv4/IPv6业务能力
H3CS7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3CS7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3CS7500E已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段金色认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3CS7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPV6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3CS7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3CS7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
支持Portal认证
H3CS7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
二、灵活的配置,适应各种应用场景
配线间融合业务网络的最佳选择
H3CS7500E针对配线间的需求定制开发了SA板卡,单台设备可以提供480个千兆线速接口和4个万兆线速接口。
H3CS7500E支持端点准入防御解决方案,解决终端安全问题;内置2800W电源直接提供PoE功能,对IP语音和无线接入提供良好的支持。
政府电力城域网边缘和汇聚的最佳选择
H3CS7500E支持Multi-VRF特性,为用户提