医院局域网设计.docx

1、医院局域网设计摘 要本设计方案是关于兰大一院局域网的设计，设计方案分为三个模块：交换模块、Internet接入模块、远程访问模块。根据各科室职能不同把交换模块划分为不同的VLAN，从而减少了广播冲突提高了传输效率，通过部署ACL限制用户的访问，有效地保护敏感数据，提高了网络安全性。借助三层交换机的路由功能，可以实现各VLAN间数据包高速转发，解决VLAN之间的传输瓶颈。Internet接入模块功能主要通过路由器来实现，它的作用主要是建立外网和医院网的正常通信。使医院网的用户访问Internet同时Internet用户能在一定程度上访问医院网。通过配置NAT(Net Address Transl

2、ation)，不仅是企业网用户可以访问Internet，而且对外隐藏企业网内部地址，从而实现地址保护。远程访问模块是针对移动用户设计的。通过VPN（Virtual Private Network）技术可以在公共网络的两个端点间建立一条逻辑连接，使在外办公人员可以通过Internet访问医院内部网，极大地提高了办公效率，同时免去了高昂的专线租用费用。关键词：兰大一院；局域网；VLAN前 言随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，当今社会信息化进程迅猛发展，网络技术已经对社会，经济和文化各方面产生重大影响，并将改变人们认识世界，思考世界的观点和方法。作

3、为传统行业之一的医疗卫生行业，如何面对网络时代带来的冲击，如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量，是无法回避的问题。为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进医疗行业的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益和社会效益双丰收，全国各省都在逐步加快医院的信息化建设步伐。传统医疗卫生行业正利用其行业特点，汲取网络技术精华，努力创造着医疗卫生行业的又一个春天。未来是美好的，但现实不可回避。在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。锐捷网络公司以其卓越的产品性能、丰

4、富的产品种类和完善的服务体系，综合考虑了医疗行业对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合的网络建设的解决方案。目 录1案例描述 11.1兰大一院历史 11.2 兰大一院简介 12 需求分析 22.1 带宽 22.2 子网与VLAN规划 22.3 实现的信息服务 32.4 应用程序 42.5 存储系统分析 52.6 系统及数据安全性分析 62.7 网间隔离 63 拓扑图及方案整体描述 83.1 主干网传输方案设计 83.2 Internet接入方案 83.3 远程访问支持 83.4 子网划分与VLAN设定 83.5存储方案 103.6 设备选型 113.7

5、软件 134 设备报价 15设计总结 17参考文献 18致 谢 19 1案例描述1.1兰大一院历史兰州大学第一医院始建于1948年。1954年随兰州医学院独立建院，更名为兰州医学院附设医院。1957年附设医院在兰州市东郊（现址）建成医院大楼，正式定名为兰州医学院附属医院。1959年附属医院一分为二，我院更名为兰州医学院第一附属医院。2004年随兰州医学院并入兰州大学，更名为兰州大学第一医院。现已成为一所集医疗、教学、科研、预防、保健、康复、急救为一体的大型综合性“三级甲等医院”。1.2 兰大一院简介医院占地面积约10万平方米，建筑面积余约16万平方米。设有45个临床科室，15个医技科室，实际开

6、放床位1100张。在职职工1700人，其中专业技术人员1600人，405人具有高级技术职称，享受国务院特殊津贴专家11人，省厅级学科带头人30人。甘肃省心血管医院、甘肃男科医院、甘肃省眼科复明中心、甘肃省糖尿病咨询中心、甘肃省准分子激光治疗中心、甘肃省新生儿疾病筛查中心设在我院，我院血液病专业、心血管外科、内分泌专业、传染病专业、呼吸专业、药剂专业、普通外科专业、小儿外科、心电生理介入专业、辅助生殖医学中心、为重病学专业、妇科肿瘤专业、小儿内科等13个科室被省卫生厅命名为全省重点专业科室。地域分布图如图1.1所示：图1.1 地域分布图2 需求分析2.1 带宽现代企业网络应具有更高的带宽，更强大

7、的性能，以满足用户日益增长的通信需求。随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载设计企业生产运营的各种业务应用系统数据，以及带宽和要求很高的IP电话、视频会议等多媒体业务。因此，数据流量将大大增加，尤其对核心网络的数据交换能力提出了更高的要求。另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网主流。构建一个畅通无阻的“高品质”企业局域网，才能适应网络规模的扩大，业务量的日益增长的需求。接入速率最基本的是由端口速率决定的。在以太网终端用户中，接

8、入速率通常是按10Mbps、100Mbps和1000Mbps 3个档次划分，不过目前通常是要求百兆位到桌面，支持10/100Mbps自适应速率即可。对于骨干层、核心层的端口速率通常需要支持双绞线、光纤到千兆位，甚至到万兆位速率。因为本次设计主要针对的是兰大一院，使用四芯单模光纤将每个楼与中心机房连接起来，连接带宽达到1Gbps。楼层交换机到各楼层使用超五类双绞线，连接带宽达到100/1000M，而室内全部使用超五类双绞线，连接带宽达到10/100M。中心交换机具有很高的可用性、扩展性。2.2 子网与VLAN规划在网络规划中，IP地址方案的设计至关重要，好的IP地址方案不仅可以减少网络负荷，还能

9、为以后的网络扩展打下良好的基础。IP地址的合理是保证网络顺利运行和网络资源有效利用的关键。校区IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。具体地来说IP地址的合理规划有如下的意义：1. 减少对各种资源（内存、CPU的处理能力以及网络带宽等）的需求IP地址的合理规划有利于网络中路由的汇聚，因而可以使得路由器中的路由表数目以及链路状态数据库等占用的内存减少，同时更新所占用的网络带宽也降低了；2. 有利于IP地址空间的合理使用；3. 优化业务流量的分布；4. 有利于故障诊断。IP地址空间的分配与合理使用与网络拓扑结构

10、、网络组织及路由政策有非常密切的关系，将对校区网的可用性、可靠性与有效性产生显著影响，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。根据各部门职能不同把各部门划入不同的VLAN减少了广播，提高了通信效率。VLAN就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域(VLAN)。 一般来说，如果一个VLA

11、N里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。网络拓扑图如图2.1所示：图2.1 网络拓扑图2.3 实现的信息服务为了实现办公自动化部署了web服务器，存储门诊与挂号记录的服务器，存储售药与收费记录的服务器，视频服务器。Web服务器方便内网用户对医院网站的一些内部资源进行共享以及内网用户进行一定的外网访问。视频服务器用于科教楼部署视频多播。其他两个服务器主要用于实现OA，使得员工的工作效率更高。2.4 应用程序Web Server 采用 Window

12、s NT Server4.0 中文版；File Server 采用Netware4.11或Netware4.5.0中文版；如果预算宽裕，则可在Web Server 使用 Microsoft BackOffice Small Business Server 4.0。Microsoft BackOffice Small Business Server 4.0软件包不仅在安装、配置、使用上更为简单，并囊括了服务所需的全部软件，支持Novell、Windows NT 及Windows 95或Windows 98对等网络等流行的操作系统，支持通用大型数据库，如SQL、Oracle等。交换机的配置程序如下

13、所示：S-3560-A(config)#int g0/1S-3560-A(config-if)#no switchport S-3560-A(config-if)#ip add 192.168.2.2 255.255.255.0/为G0/1接口分配IP地址S-3560-A(config-if)#int g0/25 /进入g0/25端口S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.3.1 255.255.255.0S-3560-A(config-if)#int g0/26S-3560-A(config-if

14、)#no switchportS-3560-A(config-if)#ip add 192.168.4.1 255.255.255.0S-3560-A(config-if)#int g0/27S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.5.1 255.255.255.0S-3560-A(config-if)#int g0/28S-3560-A(config-if)#no switchportS-3560-A(config-if)#ip add 192.168.6.1 255.255.255.0S-356

15、0-A(config-if)#exitS-3560-A(config)#VLAN 7 /创建服务器群VLAN 7S-3560-A(config-VLAN)#name fwq /为VLAN命名为fwqS-3560-A(config-VLAN)#int VLAN 7S-3560-A(config-if)#ip address 192.168.1.1 255.255.255.0/为VLAN分配IP地址S-3560-A(config-if)#int range g0/2-10/将G0/2-G0/10端口加入到VLAN 7中S-3560-A(config-if-range)#switchport acc

16、ess VLAN 7S-3560-A(config)#ip route 192.168.10.0 255.255.255.0 192.168.3.2 /VLAN 10的数据流向G0/25端口S-3560-A(config)#ip route 192.168.20.0 255.255.255.0 192.168.3.2 S-3560-A(config)#ip route 192.168.30.0 255.255.255.0 192.168.3.2 S-3560-A(config)#ip route 192.168.40.0 255.255.255.0 192.168.3.2 S-3560-A(c

17、onfig)#ip route 192.168.50.0 255.255.255.0 192.168.4.2/VLAN 50的数据流向G0/26端口S-3560-A(config)#ip route 192.168.60.0 255.255.255.0 192.168.4.2 S-3560-A(config)#ip route 192.168.70.0 255.255.255.0 192.168.4.2 S-3560-A(config)#ip route 192.168.80.0 255.255.255.0 192.168.4.2 S-3560-A(config)#ip route 192.1

18、68.90.0 255.255.255.0 192.168.5.2/VLAN 90的数据流向G0/27端口S-3560-A(config)#ip route 192.168.100.0 255.255.255.0 192.168.5.2 S-3560-A(config)#ip route 192.168.110.0 255.255.255.0 192.168.6.2/VLAN 110的数据流向G0/28端口S-3560-A(config)#ip route 192.168.120.0 255.255.255.0 192.168.6.2 S-3560-A(config)#ip route 0.0

19、.0.0 0.0.0.0 192.168.2.1 2.5 存储系统分析由于医院传统的网络应用中所有病人、医生、药物资源都存放在一台服务器上，具有高性能与高扩展能力的服务器成本较高，病人、医生、药物资源的访问服务会与应用服务争夺系统资源，造成网络服务效率的大幅下降；应用服务器的系统故障将直接影响资源数据的安全性和可用性，给医院的治疗工作带来不便。针对这些问题，可以利用Vicount网络存储来实现集中存储与分散存储。2.6 系统及数据安全性分析采用各种有效的安全措施，保证网络系统和应用系统安全运行。安全包括4个层面：网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，世

20、界各地的Internet用户也可访问企业网络，企业网络将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。本方案提供了丰富、全面的系统安全设计。整个方案考虑了用户层面、设备、数据和管理的各个层面的安全需求，并进行了整体安全的设计。设备方面，采用的各个层次的设备都支持了对自身负责层面的安全功能，从接入层、汇聚层到核心层，都进行了安全方面的考虑和设计；如接入层面提供的VLAN、802.1x保护接入层面数据和用户的安全。防ARP功能、ACL功能提供对ARP病毒和常见的蠕虫、冲击波等病毒的防范。数据层面，对数据在各个系统层面

21、的传输都考虑的安全方面的设计。管理层面，提供SSHv1/v2的加密登陆和管理功能，在远程登录设备的时候发送的数据都是经过机密的，避免管理信息明文传输引发的潜在威胁；Telnet/Web登录的源IP限制功能，限制只有合法IP的终端才能登陆管理设备，避免非法人员对网络设备的管理；SNMPV3提供加密和鉴别功能，可以确保数据从合法的数据源发出，确保数据在传输过程中不被篡改，并且加密报文，确保数据的机密性。2.7 网间隔离网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享，也就是说，通过网络隔离技术既可以使两个网络实现物理上的隔离，又能在安全的网络环境下进行数据交换

22、。网络隔离技术的主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内在进行安全交互。目前，一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基3 拓扑图及方案整体描述础，并定义相关约束和规则来保障网络的安全强度。目前，网络隔离技术主要经历了如下几个阶段：其一，完全隔离，该方法是对网络采用完全的物理隔离，但同时也大大增加了网络数据交互、资源共享、维护运营的成本；其二，硬件隔离，该方法通过在网络客户端添加硬件卡，并利用该卡来控制客户端来选择不同的网络接口，连接到不同的网络；其三，数据隔离，该方法的基本策略是利用转播系统分时复制文件的途径，但也存在访问速度缓慢等问题；其四，安全通道隔

23、离，该方法是通过利用专用硬件、安全协议等方式来实现内外部网络的隔离，而且具有较高的数据交换、资源共享效率，并是未来网络隔离技术的重要发展趋势。我们所用的是双网隔离方案。这种方案适合大、中型机构的局域网布局。在这样的机构中，原有的网络布局，按国家保密局物理隔离要求，必须分杵独立的内部安全网和外部公共网，内外网之间完全隔离。公共网通过网关和路由器连接INTERNET（视需要也要考虑安装防火墙、入侵检测及防病毒等安全防护措施），而部分计算机则需要连接两个网络工作，这些连接了内外双网的工作站计算机需要安装网络安全隔离卡。还有一些机构的网络由于内部功能的划分，本身就有几个分离的网络，采用我们的物理隔离方

24、案将更好的把这些网络整和在一起，变为一个全范围公共网加上几个内部安全子网的多网互通的有效网络格局。3 拓扑图及方案整体描述3.1 主干网传输方案设计根据现有的结构和设备，在充分考虑保护原有投资的情况下，采用模块化结构设计，实现医院网典型的星形结构。主干网为核心交换机与各楼之间的网络。整个结构规划成三层架构，核心-汇聚-接入。核心和汇聚之间沟通全院网络的骨干，并采用双核心双链路设计。在这种架构下，只要核心交换机出现错误，这个网络就会瘫痪，而每条支路出现故障，其他各支路不会受到影响。这种结构下，规划了5个汇聚点：服务器区域汇聚点、住院部汇聚点、行政楼楼汇聚点、内科楼汇聚点、外科楼汇聚点、门诊楼汇聚

25、点、营养楼汇聚点。这样的规划，实现了核心-汇聚-接入、双核心双链路、模块化分区。全网的整体网络转发性能最高、全网的可扩展性最高。3.2 Internet接入方案接入层到网络中心一般距离都比较远，因此使用光纤从接入层接入到网络中心核心层以及汇聚层，而终端连接到接入层，网络中心设备之间的连接都是用以太网。对于网络出外网，可以租用专线进行Internet的接入，也可以使用城域网进行接入。对于内网，为了保护内网私有地址的信息从而达到一定的安全性，并且也可以解决IP地址紧缺的问题，在出口路由器上使用NAT技术进行Internet的接入。3.3 远程访问支持由于医院能够申请到的IP地址非常有限，通常是十几

26、个到几十个，所以不能给每台机器机器都分配合法的IP地址，为了保证每个节点都能浏览INTERNET上的丰富信息，需要采用代理服务器的方式，即选一台或几台服务器安装代理服务器软件Proxy Server，绑定两个IP地址，其中一个是合法地址与保证可以访问到外面，另一个是内部的IP地址与保证可以被内部地址访问，所有终端都配成内部IP地址，当它们想访问外部网络的时候，先访问代理服务器，再由代理服务器访问外面，然后把访问结果带回来。3.4 子网划分与VLAN设定了解了兰大一院相关科室的分布之后，决定按照科室而不是基于楼栋进行VLAN的划分，这样划分之后能够将门诊大楼与相关的专科大楼联系起来，使得门诊医生

27、与水平更高的相关专科医生之间能够快速的交流，让病人能够得到很好的服务。内网VLAN划分如表3.1所示：表3.1 VLAN划分VLAN 号VLAN名称IP网段网关描述VLAN 100Zhongduan172.16.0.0/23172.16.0.1终端控制VLAN 102Jizhen172.16.2.0/24172.16.2.1急诊室VLAN 104Jianchalei172.16.3.0/24172.16.3.1检查科VLAN 106Erke172.16.4.0/24172.16.4.1儿科VLAN 108Guke172.16.5.0/24172.16.5.1骨科VLAN 110Puwaike1

28、72.16.6.0/24172.16.6.1普通外科VLAN 112Miniaoke172.16.7.0/24172.16.7.1泌尿科VLAN 114Zhengxing172.16.8.0/24172.168.8.1整形外科VLAN 116Kangfuke172.16.9.0/24172.16.9.1康复科VLAN 118Zhongliuke172.16.10.0/24172.16.10.1肿瘤科VLAN 120Gandanke172.16.11.0/23172.16.11.1肝胆科VLAN 122Shenke172.16.13.0/24172.16.13.1肾科VLAN 124Xinxio

29、ngke172.16.14.0/24172.16.14.1心胸外科VLAN 126shenjingke172.16.15.0/24172.16.15.1神经科VLAN 128Laonianke172.16.16.0/24172.16.16.1老年病科VLAN 130Fuke172.16.17.0/24172.16.17.1妇科VLAN 132Huxike172.16.18.0/24172.16.18.1呼吸内科VLAN 134Xiaohuake172.16.19.0/24172.16.19.1消化内科VLAN 136Neifenmi172.16.20.0/24172.16.20.1内分泌科VL

30、AN 138Xueyeke172.16.21.0/24172.16.21.1血液科VLAN 140Yanke172.16.22.0/24172.16.22.1眼科VLAN 142Erbihouke172.16.23.0/24172.16.23.1耳鼻喉科VLAN 144Miniaoke172.16.27.0/24172.16.27.1泌尿科VLAN 148Huayanshi172.16.28.0/24172.16.28.1化验室VLAN 150Yaofang172.16.29.0/24172.16.29.1药房服务器IP地址的规划如表3.2所示：表3.2 服务器IP地址的规划表服务器功能说明I

31、P地址视频服务器172.16.36.24Web服务器172.16.36.25DNS服务器172.16.200.26DHCP服务器172.16.200.27存储挂号与门诊记录服务器172.16.36.28存储售药与收费记录服务器172.16.36.29网管VLAN地址的划分如表3.3所示：表 3.3网管VLAN地址划分表网管VLAN网管地址及掩码网关描述VLAN 160172.16.35.0/27172.16.35.1外科楼交换机网管VLAN 170172.16.35.32/27172.16.35.33内科楼交换机网管VLAN 180172.16.35.64/27172.16.35.65门诊楼交换机网管VLAN 190172.16.35.96/27172.16.35.97营养楼交换机网管VLAN 200172.16.35.128/271