XX医院网络构建方案.docx

1、XX医院网络构建方案V0.6 龙华人民医院网络构建方案2008年1月一、项目需求和选型依据1.1 项目需求龙华人民医院希望构建一个全新的智能网络，部署具有高度可用性、持续性和安全的综合性网络的解决方案。目前龙华医院主要分三个场点，分别是住院楼、门诊楼、综合楼三部分，各区位所需节点数分别是150、300、420点。网络的高可靠性和高安全性是本次网络建设的目标。要求网络的高可用性要达到99.99%的要求，要求网络设备（交换机、防火墙、路由器等）本身稳定可靠安全。1.2选型依据交换机要内置强大的安全功能，不能因为病毒蠕虫的攻击而瘫痪死机。对于所需要的网络设备，要求必须是久经考验的网络设备，在业界有良

2、好的口碑，具备真实的技术参数，不能做虚假的夸大。网络设备应具有良好的可扩展性，以适应今后多年网络的发展，在满足对当前及未来网络技术的需求（包括Ipv6的支持，无线网络的支持，IP电话的支持，服务器负载均衡的支持等等），又能未来做出投资保护。 根据目前网络产品的市场占有率情况和设备实际的性能功能，我们建议选择Cisco公司的网络产品。 Cisco公司成立于1984年，有23年的历史,是全球排名第一的网络设备供应商，Cisco在全球500强的地位是2006为254位，2007年为232位，2007年在全球最受尊敬的公司里排名第九。其产品及设备的软件久经考验，非常成熟可靠。其产品的稳定性、可靠性、技

3、术先进性是肯定的, 其产品的技术参数和指标没有任何水分。我国电信、金融、交通、医院、国防等单位都大量采用Cisco的产品和组网方案，在广东，广东电信IDC(亚洲最大的数据中心)、广州自来水公司、白云机场、广州地铁、南方电网、四大银行、招商银行、广东国税地税、中山一院、中山二院、中山三院、广州肿瘤医院、深圳第一人民医院等等都全面采用Cisco产品来构建安全稳定的网络；Cisco公司实力强大，产品的售后服务有保障，这一点可以充分确保医院投资方的利益。 另外我们推荐采用Cisco产品，还考虑到Cisco的公司信誉、产品质量和技术领先以及强大和周全的服务能力：（1） 网络只从诞生开始，一直面临2个问题

4、：网络大塞车和安全问题。Cisco公司通过自己独特的QoS技术解决了网络大塞车的问题，Cisco公司的产品（交换机、路由器）均内置了端到端的成熟的QoS技术，解决了网络大塞车的问题，通过夸大的不切实际的大背板来解决网络拥塞是不可行的。为了解决日益突出的网络安全问题，Cisco战略性地研发了SDN(自防御网络)技术。Cisco所研发的产品均内置安全功能，即非专用安全产品也具备抵抗攻击或网络破坏的能力。Cisco对来自内部的攻击主要依靠Cisco交换机和Cisco提出的NAC(网络准入控制)技术，Cisco的交换机如Cisco Catalyst 3560, 6500等均有强大的安全功能，均支持NA

5、C,有病毒的电脑或不健康的电脑接入网络时将被隔离,这样病毒蠕虫就不会传播开来。 （2）Cisco公司产品全面，Cisco能提供在一个项目中所需要的几乎是所有网络技术和所有网络产品，如交换机、路由器、安全产品（UTM,防火墙，IPS，VPN）、IP电话/IP视频产品、IP呼叫中心、无线产品、SAN交换机、负载均衡交换机、WAN加速产品、Cable、ADSL、光传输、网管软件、用户身份认证软件等等，这为今后网络的良性发展提供了坚实的统一基础，帮助用户方便灵活地建设各种类型的网络，同时，由于拥有最多的在各种环境下部署网络系统的实施经验，Cisco能够提供多种多样的解决方案和解决实际问题的能力。 （3

6、）Cisco做为发起者，号召和联合国内外著名的厂商（微软、NAI、赛门铁克、Trend Micro、IBM、CA等）推出了NAC（网络准入控制）技术，让Cisco的路由器和交换机也参与杀毒防蠕虫（如冲击波），从而可以真正的杀毒防蠕虫，即杀毒防蠕虫需要所有的设备（尤其是病毒和蠕虫传播要经历的网络设备）都参与，仅靠杀毒防蠕虫软件是不可行的。其它网络公司没有这样的号召力和技术能力。现在Cisco销售的交换机和路由器都内置了NAC功能,该功能是免费的,可以说NAC是Cisco交换机和路由器的一个增值功能。而目前其它公司的产品对整个网络的发展和一些关键问题（如杀毒杀蠕虫、高稳定性）并没有起到作用，只能提

7、供一个基本的局域网而已，不能提供投资保护和增值业务。 1.3 思科产品其他特点：下面是CISCO解决方案提供的业内绝无仅有的特点： 1.3.1 高可用性和高永续性的层次化架构 思科的解决方案首先从设计和架构上着重于创建一种高可用和高永续性的设计。方案采用了层次化的结构设计，建议用高效扁平的3层架构(核心层、汇聚层和接入层)，因为所需设备更少，同时降低整个网络的复杂度和成本，核心层和汇聚层间最好运行路由协议，以实现网络的高速收敛和快速冗余。 1.3.2端到端的集成安全防御体系 安全已成为很多网络管理者关心的首要问题。企业LAN管理者都希望自己的路由器和交换机具有内在的安全功能，从而为设备本身乃至

8、与之相连的用户提供保护。思科解决方案中的基础设施可以无缝地集成到网络的总体安全之中，使安全运行管理者能高枕无忧，同时又能使网络运行管理者预防从与其网络相连的终端站故意或无意发出的威胁和攻击。安全也是网络可用性和永续性的保障。一个企业可以有冗余链路、交换或路由机制，但仍可能遭遇因拒绝服务攻击而导致的网络宕机。没有安全基础设施可能产生的另一个情况就是信息盗窃。安全性已经不再是部署防火墙和入侵检测和杀毒软件等传统概念，而是对信息获取、传输、交易、处理和存储的端到端的全方位保障。安全不能作为 一个单独的问题看待，必须把它集成到整个端到端的网络基础设施的设计中。思科公司的IBNS（基于身份的联网）和NA

9、C(网络准入控制)技术可以实现整个端到端的网络安全，从而能极大提高网络的可用性和企业业务的永续性。 1.3.3对延展性和业务灵活性的支持 思科智能企业网解决方案所建议的思科架构可满足未来的发展需求，能适应今后IP电话和无线联网的网络需求。 总的来说，思科解决方案的目的在于，为深圳市龙华人民医院提供一个高可用性、高安全性和高服务质量的网络，提供一个一致的端到端单厂家解决方案，今后可以随时部署IP电话、无线、数据中心等等的解决方案。二、网络整体设计方案2.1建设原则思科认为，根据医疗机构的需求特点，网络设计应遵循以下原则： 具有高峰处理能力，支持全面数字化，支持语音数据视频集成，7 24 小时可靠

10、运行保证所有各科室临床业务分级管理病毒防范，入侵检测，虚拟专网和阻止病毒传播图形化的网络管理界面，各类设备统一的人机通信界面高性价比，满足目前需要，通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模，满足不断增长的医院网络需求。另外，对于网络传输网速的考虑：我们建议，对于龙华医院例如影像科室/临床科室这些重要的部门，由于涉及医学影像的传输，又是医疗服务的关键，适宜采用桌面千兆、主干多千兆聚合到核心的方式；对于收费、挂号等需要运行HIS/RIS/LIS的流程管理部门，也可以采用桌面百兆双机备份、主干双千兆交换连接方式；对于其它二线科室，百兆连接可以满足需求，不过考虑到目前千兆与百兆的价格相差

11、不多，采用千兆是较好的选择。2.2产品选型根据上述原则，我们建议龙华人民医院此次网络项目总体分为两层架构：核心层和接入层， 核心层和接入层之间的多条链路可以同时使用链路聚合以实现负载均衡，且网络收敛极快；核心层和接入层运行思科基于每VLAN的PVST生成树协议，同时实现负载均衡；接入层交换机我们考虑采用三层交换机，这样设计的原因是会使整个网络易于扩充且安全问题如广播风暴等被局限在汇聚层以下，如可以用DAI（动态ARP检测检测防止ARP欺骗），且VLAN隔离可以在用户侧或接入层完成，不需对核心造成太大的工作压力。具体产品方面，我们初步设想在核心层部署二台万兆三层多业务路由交换机Cisco Cat

12、alyst 6506E，接入层交换机分布在每个楼层，接入层交换机通过2根千兆多模光纤上联到核心交换机。接入层三个场点住院楼、门诊楼、综合楼所需节点数分别是150、300、420点，建议采用CISCO catlyst3560-24以及3560-48系列交换机。具体交换机产品型号数量在下面进行描述。业务网和外网采用CISCO先进的ASA系列防火墙进行隔离，整网采用CISCO局域网管理系统LMS3.0进行管理，门诊和住院部的接入层我们采用CISCO集中无线管理解决方案，即瘦AP方案，具体在下面章节描述。网络拓扑图如下。（1）核心层 核心层是网络的心脏。部署2台Cisco Catalyst 6506E

13、交换机，产品编号是WS-C6506-E，均内置了真正的硬件防火墙模块。2台6506E同时工作，不是一主一备每台核心交换机分别接了一块48个千兆光口和48个10/100/1000POE RJ45电口的网络模块，二台核心交换机间通过两个或者更多千兆光口进行链路聚合互联起来，每台核心交换机剩余的24个千兆光口用于下联接入层交换机。现在每台核心交换机用了3个插槽，还有3个空余的插槽供以后使用。Cisco Catalyst 6506E可以提供业界领先的安全特性，可保护网络免遭恶意和无意的攻击，创新安全特性包括授权、验证、多种类型的访问控制列表（ACL）和防身份盗窃保护，能防止无法跟踪的中间人攻击、IP电

14、子欺骗和洪泛攻击。在高可用性方面，Cisco Catalyst 6506E支持如下高可用性协议：操作系统软件是模块化的，即UNIX结构，可以实现不停业务升级软件、不停机转发、网关负载均衡协议、热备份路由器协议(HSRP)、跨模块EtherChannel技术、快速生成树协议(RSTP)、多生成树协议(MSTP)、每VLAN快速生成树、端口快速收敛协议；同时支持所有的路由协议。Catalyst 6506E是一个720Gbps 的核心骨干交换平台，在未来还可以通过VSS技术增加到1440Gbps的带宽，6506E品太端口类型多且端口密度高，它可以提供高速转发和强大的服务质量（QoS）功能，且可以添加

15、防火墙模块、IDS模块、网络分析等硬件模块，从而成为企业的核心安全平台。 Cisco Catalyst 6506E交换机非常稳定，在业界已有10几年的考验，其主要特点如下：模块化多业务交换机， 插槽数6个 ，所有模块支持热插拔支持双引擎，引擎切换时间小于1毫秒 2套AC电源,以热备冗余方式工作支持千兆光纤接口、千兆双绞线接口、万兆接口、10/100/1000接口、WDM接口、POS接口、ATM接口万兆以太网端口可达64个背板带宽（交换容量）是700Gbps(7000亿bps )，是真实的，有第三方测试报告整机可持续转发速率L2, L3, L4的吞吐量是400Mpps(4亿pps ) ，是真实的

16、，有第三方测试报告基于硬件的IPv6，并全面实现IPv6到v4隧道等所有特性交换机操作系统软件是模块化的，为模块化结构(类似Unix)，可以实现不停业务进行软件升级，以保证高可用性，可靠性极高。这目前在整个行业里只有Cisco可以做到。当CPU的利用率到一定值（如90%）时，设备会报警且开启自我保护功能以防止病毒和蠕虫的针对网络设备的DoS攻击；支持CPU和内存限速，确保自己不会因被病毒蠕虫的攻击而死机瘫痪，且是通过硬件实现的全面MPLS 支持 支持RIP/RIP2、OSPF、IS-IS、EIGRP、BGP4、NAT（网络地址翻译）等协议通过增加硬件模块，该交换机可以提供防火墙的功能以保护重要

17、的网段和服务器通过增加硬件模块，该交换机可以提供服务器负载均衡功能通过增加硬件模块，该交换机可以用做无线控制器以控制瘦AP，实现集中式无线网络支持网线供电802.3af和Voice VLAN，可以为IP电话机和无线接入点提供InlinePower；可用做语音网关以连接PSTN网络支持基于状态或Session的ACL(访问控制列表)支持大型帧（Jumbo frames)，可达9216字节，以提高server和server间通信的性能MAC地址表:64,000VLAN支持数量:4096路由表容量:256,000支持基于策略的路由（Policybased routing）全面支持网络准入控制NAC，

18、以防止不健康的和有毒的计算机接入网络而传毒支持跨模块端口聚合支持PVST+,以实现在L2层的链路负载分担支持HSRP和VRRP, 以实现在L3层的链路负载分担支持DHCP Snooping以防止假的DHCP Server;支持DHCP Relay支持ARP拦截以防止假冒的MAC地址支持IP Source Guard以防止假冒的IP地址 支持RADIUS和TACACS+认证支持IEEE 802.1x认证和动态VLAN ID和ACL(访问控制列表)分配；同时允许非802.1x客户接入Guest VLAN支持Port Security技术，一个端口下可以控制的MAC地址可达4096个支持VLAN内计

19、算机的隔离支持对本交换机机和远端交换机的端口做流量镜像（SPAN和RSPAN）支持Syslog、SSH v2、 Secure Copy Protocol (SCP)、SNMP v3 、RMON 支持组播标准IGMP Snooping，IGMP Fast Leave，IGMP v3, PIM v2支持基于时间、L2、 L3、L4的数据分类 支持网络时间管理协议，以统一网络设备的时间和方便网络管理支持硬件流量统计功能,以实现全网流量可视化和发现被攻击的计算机或感染病毒的计算机，可以实现蠕虫和病毒的发现和防御支持基于用户的速度限制（2）接入层 接入层交换机选择30台Cisco的3560交换机，产品编

20、号是WS-C3560-24TS-S(19台)和WS-C3560-48TS-S（11台），这些交换机都是三层交换机，QoS和安全功能强大，其主要功能有：是三层交换机，可支持所有的路由协议，支持IPV610/100 RJ45电口：24个 （WS-C3560-24TS-S）10/100 RJ45电口：48个 （WS-C3560-48TS-S）VLAN支持数量：1024MAC地址数量：12,000路由表容量：11,000可以提供DHCP Server的功能；支持DHCP Relay支持快速冗余链路切换功能Flexlink，且链路切换时间小于100毫秒，这个指标是业内最快的。支持HSRP和VRRP, 以

21、实现在L3层的链路负载分担支持Auto-MDIX，自动适应crossover 和straight-through双绞线支持端口单通链路检测(Unidirectional link detection)，以避免可能导致的spanning tree loops问题支持网络准入控制，以防止不健康的和有毒的计算机接入网络而传毒支持IEEE 802.1S、IEEE 802.1W支持网络时间管理协议，以统一网络设备的时间和方便网络管理支持SNMPv3、RMON、Syslog、SSH V2支持RSPAN和SPAN 支持VLAN内的计算机隔离支持基于时间、L2、 L3、 L4的ACL支持Voice VLAN;

22、支持IGMP V3 Snooping支持广播风暴抑制、Port Security、DHCP Option 82等等安全功能支持ARP过滤和限制技术，预防ARP欺骗和假冒的MAC地址攻击支持IP Source Guard或类似技术以防止假冒的IP地址支持DHCP Snooping和DHCP假应答控制，预防以假冒DHCP服务为手段的网络攻击支持RADIUS和TACACS+支持IEEE 802.1x认证和动态VLAN ID和ACL(访问控制列表)分配；同时允许非802.1x客户接入Guest VLAN支持L2 Trace Route,即基于MAC地址的ping支持大型帧（Jumbo frame)，可

23、达9018字节（3）无线局域网WLAN产品 作为接入层的补充，WLAN产品应用也非常广泛,我们提供的方案里建议采用Cisco先进集中式的瘦AP解决方案，在瘦AP架构下，不需要对瘦AP一个一个地配置，所有和无线网络相关的配置均在WLAN控制器上集中进行，这能大大地提高网络部署效率和降低网络维护成本。 只需增加WLAN控制器、无线瘦AP、PoE模块（插在核心交换机或汇聚交换机上，占一个槽）或PoE交换机即可实现WLAN，如下图。Cisco的瘦AP同时支持802.11a/b/g，且同时支持内外置天线，支持WPA/WPA2最强的加密强度，支持802.1X认证，支持一次性登陆SSO等；Cisco的WLA

24、N控制器产品很全面，如支持12个瘦AP、25个瘦AP、50个瘦AP、100个瘦AP等，也可以采用在6506E系列交换机上插入Wism模块的方式对瘦AP进行管理，出于对AP数量的考虑，本次方案我们采用独立的无线控制器，WLC4402-25无线控制器支持25个CISCO1242 A/B/G AP的接入。经过测试，Cisco的无线LAN是对医疗设备没有任何干扰的。在2005年，思科就联合卫生部在中日友好医院进行了无线设备对医疗设备无干扰测试。思科是通过该测试的厂商。思科日前宣布，其无线网络产品赢得了美国医院协会(AHA)的独家认可，过去几个月，美国医院协会的子公司AHA Solutions对为医疗保

25、健市场提供服务的多家著名无线网络产品供应商提交的备选产品和系统进行了认证评估，最终，思科无线网络产品凭借卓越的安全性、可靠性、业界领先的客户支持以及对医院环境适应的总体部署战略脱颖而出。Cisco的无线产品在国内医院有多个实际成功案例，确实对医疗设备无干扰和可以高效地在医院里使用：下面是已经成功使用CISCO无线解决方案的医院举例：中山小榄人民医院解放军301医院 北京大学人民医院 中日友好医院 北京协和医院 北京广安门医院 北京天坛医院 首都儿科研究所上海瑞金医院上海长宁区中心医院昆山宗仁卿纪念医院哈尔滨医科大学第一临床医学院三、网络安全方面的考虑建立了网络，必然会有人对它进行攻击，目前网络

26、的安全主要受到两方面的威胁，一个是来自黑客的诸如DoS之类的攻击和黑客入侵，另外一个是有可能被病毒感染，例如2003年造成很多局域网交换机和路由器瘫痪的SQL蠕虫病毒等。最有效的解决安全的方法是部署防火墙和利用网络设备内置的安全功能。3.1 Cisco交换机内置的安全功能及安全攻击防范方法 交换机必须能保护与之相连的用户和服务器。不同于那些可对网络产生影响的攻击，很多针对用户和服务器的攻击都是检测不到的。这些常称为“中间人”攻击的攻击采用的是可从互联网上下载的常用工具。这些工具采用多种不同的机制，可以被恶意用户利用来窥探其他网络用户，这可导致机密信息的失窃以及违反保密政策。思科公司的交换机提供

27、了很多内置的安全特性，这些特性可保护LAN里的重要信息。（1）通过生成树增强特性防止非法交换机连接两种生成树增强机制：BPDU Guard，当一个BPDU从某端口进入网络时，可立刻禁用该访问端口，这可防止非法交换机连接到网络并对生成树设计造成潜在的破坏。对于那些可能导致对根网桥进行重新计算的所有分组，RootGuard会让该端口拒绝接收。（2）DHCP 监听 / DHCP Snooping 多数企业网络都是依靠DHCP来进行IP地址分配的。而DHCP并不是安全的协议，因此就使得与某个网络相连的错误配置或恶意设备能很容易地对DHCP请求作出响应，并向DHCP客户机提供错误或恶意的信息，网络袭击者

28、通常使用恶意DHCP服务器发出IP主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。因此，这种袭击也称为中间人攻击。此外，在互联网上有一些工具会大量耗用某个DHCP范围内的所有可用IP地址，并可导致所有合法主机都不能获取IP地址，进而导致网络不可用。DHCP Snooping可同时提供针对这两种情况的保护。它可建立端口的可信/不可信状态，因此可使网络管理员能确定应允许哪些端口（和相关设备）作为DHCP服务器，并拒绝所有其他端口上的DHCP服务器活动。此外，DHCP Snooping可对DHCP分组进行调查，并确保发送DHCP请求的设备相关的物理MA

29、C地址能匹配该DHCP请求内部的MAC地址。与端口安全相结合，DHCP Snooping不允许耗用地址工具利用DHCP内在的不安全。在很多情况下，DHCP Snooping是与DHCP Option 82一起使用的，后者可使交换机在DHCP分组中插入有关它自己的信息。可以插入的最常见信息就是DHCP请求的物理端口ID。这可通过将IP地址关联到某个具体交换机上的某个具体端口，为网络提供很强的智能性，从而防止恶意设备和服务器的连接。（3）动态 ARP 检测 地址解析协议（ARP）的最基本的功能是允许两个站点在LAN网段上通信。攻击者可能会发送带假冒源地址的ARP包，希望默认网关或其它主机能够承认该

30、地址，并将其保存在ARP表中。ARP协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项，从而提高了网络易损性。目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。攻击者不但可以窃取密码和数据，还可以偷听IP电话内容。ARP（地址解析协议）是另一种本身不安全的网络服务，可从互联网上下载Ettercap等软件来实现ARP欺骗，可使恶意用户利用这一行为并成为中间人，进而访问他们不应访问的机密信息，Ettercap是一种“智能化嗅探器”，它可使有点或毫无技术能力的恶意用户实时收集网络里正在传输的的用户名和密码信息等。与DHCP Snooping一起使用时，Dynamic

31、ARP Inspection可防止某个主机在DHCP服务器没有为其分配的IP地址的情况下，发送未经请求的ARP。这种保护可防止ettercap等工具利用ARP内在的不安全。动态ARP检测（DAI）能够保证接入交换机只传输“合法”的ARP请求和答复。DAI能够截获交换机上的每个ARP包，检查ARP信息，然后再更新交换机ARP高速缓存，或者将其转发至相应的目的地。利用ARP协议的攻击是目前局域网中非常频繁威胁非常大的一种攻击方式。（4）IP Source Guard IP地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地的IP

32、地址。利用IP源防护特性，攻击者将无法冒用合法用户的IP地址发动攻击，该特性只允许转发有合法源地址的包。某个主机还可通过故意配置或恶意企图，从它所没有或不应拥有的某个IP地址获得流量。IP Source Guard与DHCP Snooping配合使用时，可防止某个主机在没有从合法DHCP服务器获得某个IP地址的情况下，获得流量。IP Source Guard会丢弃那些从某个不存在的来源发起的DDOS攻击，即可防止它们利用某个主机从任何来源发送流量的能力，且只允许从通过DHCP获得的IP地址得到的流量。(5)对交换机第二层转发表的泛洪攻击 第二层交换机根据MAC地址建立转发表，根据MAC地址进行转发、过滤和学习。然而，