XX医院网络建设方案

1、目录一. 医院网络建设需求 21.1整体需求概述21.2内网需求21.3外网需求2二. 医院业务应用分析 32.1医院业务划分32.2医院业务系统的需求 3三. 医院网络组建 43.1网络拓扑43.2网络组建分析43.3核心层设计53.4接入层设计53.5网络可扩展性5四. 产品概述54.1 S7500E产品概述54.2 S5120-24P-EI产品概述79.医院网络建设需求1.1整体需求概述1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台；2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最灵活的适应、扩 展能力；3、 一体化网络平台：整合数据、语音和图像等多业务的

2、端到端、以IP为基础的统一的一 体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；4、数据存储安全：医院信息系统的数据存储需要具有存储量大、扩充性强的特点。5、医疗信息的安全保护，也是组要的环节，网络的设计不仅要考虑用户与服务器之间的互 联互通，更要保护关键服务器的安全和内部用户的安全。1.2内网需求内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS财务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大容量和高速率等特点，并具备将 来扩容和带宽升级的条件。网络设计要求：1、主干网络一台7503E，全局MSTP链路冗余，千兆接入交换

3、机实现千兆到桌面。2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进 行监视和管理；（可选）3、交换机互连采用多条链路捆绑，防止链路瓶颈，并提供链路冗余。由于医疗行业的特殊性， 医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加， 网络需要留出足够余地扩容而不影响医院正常的工作。网络应用设计要求：1、 院内核心网络系统 HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组 成医院的整体网络。 各网络功能独立应用， 信息互通，资源共享；当任何一个子网出现故障， 都不会影响到

4、其他子网的使用。2、新建的网络系统应充分考虑跟现有网络系统的平滑接入，不影响现有系统的正常运行， 并考虑和现有网络系统实现网络冗余。4、 传输动态图像的部门有：放射影像科、 PET/CT、核磁共振MRI、介入放射科DSA B超室、 心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、 手术室、麻醉科、视频示教室和会议室等。5、 医保（包括省医保、市医保、区医保以及市公费医疗）是专线接入。须配置医院内网与专 线网的接口。6、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此，须考虑

5、将医院所有的监护仪器和大型设备都联网。1.3外网需求外网原则上是指除医院内网之外的所有网络系统，包括INTERNET银联系统、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、电视监控信号传输、BA安防监控、视频会议系统、公共区域无线上网等。以上系统建议分别单独组网，以子网的形式组成整体网络。各网络功能独立应用，信息互通， 资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。二. 医院业务应用分析2.1医院业务划分医院的业务系统有很多， 而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：门诊系统住院系统体检系统PACS系统医院管理经济系统区域医

6、疗系统2.2医院业务系统的需求1）门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、 实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。2）住院系统住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：住院业务的网络上流动着重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以上特点，住院业务对网络提出了

7、高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。3）体检系统现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。4）PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据， 因此具有存储量大的特点， 为了更好的服务 于医院业务，PACS业务对支撑系统提出以下要求： 存储量大、扩展性强、数据快速存 储、数据容灾、高带宽5）管理经济系统医

8、院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此 它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。6）区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域网连接。根据初步的需求，我们按照内外网分离的原则，建成后的南扩大楼的新机房将成为以后医院 的核心，原有机房成为备份冗余机房。三. 医院网络组建3.1网络拓扑接入层S512Q-24PEI取绞线16楼S512Q-24P-EIS5120-24P-EIS5120-24P-EI服务器集群光纤3.2网络组建分析本次拓

9、扑使用的是光纤连接接入交换机，现在大多部分公司全部使用光纤连 接接入交换机，因为光纤传输距离远、速度快、抗干扰能力强、传输数据流量较 大、损耗低、工作性能可靠。双绞线，传输过长信号衰减，抗干扰能力比光纤弱, 传输数据流量比光纤少。为了保证网络的安全性于稳定性，本次方案使用光纤连 接。并通过利用防火墙插卡手段来访问内外网， 可为内外网的整体防护提供安全 措施。网络应用设计要求：1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。 各网络功能独立应用，信息互通，资源 共享；当任何一个子网出现故障，都不会影响到其他子网的使用。2、新建的网络系统应

10、充分考虑跟现有网络系统的平滑接入，不影响现有系 统的正常运行，并考虑和现有网络系统实现网络冗余。4、 传输动态图像的部门有：放射影像科、PET/CT核磁共振MR、介入放 射科DSA B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。5、医保（包括省医保、市医保、区医保以及市公费医疗 ）是专线接入。须配 置医院内网与专线网的接口。6为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生 命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此， 须考虑将医院所有的监护仪器和大型设备都联网。3.

11、3核心层设计核心网络设计通过采用华三网络基于万兆平台的核心交换机，完成全网的数据转发的和控制，接入层设备上联至一台S7503E核心交换机.3.4接入层设计接入层采用华三网络S5120接入层设备。有效防止ARP欺骗，证网络安全。3.5网络可扩展性本次拓扑考虑到网络的扩展性，核心采用 S7503E考虑到未来医院网络扩展 性, S7503E支持IPV6,如果未来计算机网络采用了 IPV6协议，医院不用花高昂 的经费购买新设备。未来三到五年发展会增加新业务，S7503E完全能承载新的业务量，接入能 力扩展性强，未来可能会增加网络信息点，S7503E完全能承载大量信息点交换。 未来增加接入层交换机数量便

12、可实现，不用增加核心交换机。S7503E处理能力, 不会因为增加网络点，新业务造成网络大面积瘫痪。四. 产品概述4.1 S7500E 产品概述H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以 IRF2 （Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS/PNIPV6、 网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、 优雅重启、环网保护等多种高可靠技术，在

13、提高用户生产效率的同时，保证了网 络最大正常运行时间，从而降低了客户的总拥有成本（TCO。H3CS7500E符合限 制电子设备有害物质标准（RoHS ”，是绿色环保的路由交换机。H3C S7500E系列包括 S7510E（ 12 槽）、S7506E （8 槽）、S7506E-V （垂直 8 槽）、H3CS7506E-S （8 槽）、S7503E （5 槽）、7503E-S（ 3 槽）和 S7502E（4 槽）7 款产品，除了 7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城 域网、数据中心、园区网核心和汇聚等多种网络环境，为用户提供了有线无线一体化、有源无源一体化的行业

14、解决方案。产品特点基于IRF2 （第二代智能弹性架构）技术的虚拟化架构。H3C S7500E面向数据中心技术的演进，推出了 IRF2为代表的软件虚拟化技术，提供多台主机的协 同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、 虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝 升级、扩展能力，也成为H3C用户增值服务的重要组成部分。全面的MPLS VPLS业务能力。H3CS7500E所有产品均支持 Multi-VRF特性，可 以作为 MCE设备使用；支持三层的 MPLS VPN和二层的 MPLS VPN Martini、 Kompella）；支持M

15、PL9AMI性，方便用户的管理和维护；与H3CMPLS/PNManager 配合，实现图形化的MPLS部署与维护。全面支持VPLS VLL，支持1K VPLS实例，4K VLL，还支持分层 VPLS以及 QINQ+VPL接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLSb线速转 发，满足VPLS规模部署要求。高性能IPv4/IPv6业务能力。H3CS7500E支持IPv4/IPv6双协议栈，支持多 种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方 案；H3CS7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发； H3C S

16、7500EE经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认 证，是成熟商用的IPv6产品EAD端点准入防护技术，H3C S7500E支持大容量的Portal认证功能，可以 在数千用户的局域网中做为 EAD网关设备，为全网用户提供 EAD安全认证功能； 可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费 提供Portal认证功能。全方位的安全保障，抵御多种网络安全威胁，三平面安全保障机制。H3C S7500E提供完善的安全防护机制，可从控制、管理、转发三平面全面 保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCN ARP等协议报文攻击，OS

17、PF/BGP/IS-IS路由协议采用MD5验证，防止非法路由更新报 文导致的网络瘫痪；在管理平面，SNMPv3网管协议，SSH V2,基于802.1X、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全 性；在转发平面，支持IP、VLAN、MA（和端口等多种组合精细绑定；支持 uRPF 单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效 抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模 块，将专业的安全融入到交换机之中。有线无线全面支持EAD H3CS7500E是 EAD端点准入防御解决方案的重要组 成部分，S7500

18、E可以动态的接收来自安全策略服务器的控制策略，根据终端的 安全状态给予下发相应的访问权限。H3CS7500E既支持有线终端用户的EAD也 支持无线终端用户的EAD能够做到终端安全防范无漏洞。增强的ACL特性，H3C S7500E系列产品支持强大的ACL能力：支持标准和 扩展ACL支持基于VLAN的 ACL方便用户配置，节省ACL资源；支持出方向和 入方向的ACL满足金融等行业访问权限严格控制的需求。4.2 S5120-24P-EI 产品概述产品概述H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机 产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩

19、展接口。 通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI 系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。产品特点高扩展性保护投资，随着用户端速度不断提高，用户最终会使集群千兆链路 达到饱和，而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列 交换机支持两个扩展槽位，每个槽位支持单端口或双端口的10GE扩展模块，在实现千兆汇聚或接入时保留进一步支持 10GE的扩展能力，尽力保护用户投资。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的 IPv4和IPv6的全线速转发。同时支

20、持IPv6的ACL QoS组播和网管，实现IPv4 到IPv6的平滑升级。智能弹性架构，H3CS5120-EI系列交换机支持IRF2 （第二代智能弹性架构） 技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说， 用户可以将这多台设备看成一台单一设备进行管理和使用。 IRF可以为用户带来 以下好处：?简化管理IRF架构形成之后，可以连接到任何一台设备的任何一个端口 就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以 及系统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进 行配置和管理。?简化业务IRF形成的逻辑设备中运行的各种控制协议也是作

21、为单一设备 统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文 的交互，简化了网络运行，缩短了网络动荡时的收敛时间。?弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的 设备加入或离开IRF架构时可以实现 热插拔”不影响其他设备的正常运行。?高可靠IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之 间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合 功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成， 一旦Master设备故障，系统会迅速自

22、动选举新的 Master，以保证通过系统的业 务不中断，从而实现了设备级的1： N备份；IRF系统会有实时的协议热备份功 能负责将协议的配置信息备份到其他所有成员设备，从而实现1： N的协议可靠性。?高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的 限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。 因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而 大幅度提高了设备的性能。完备的安全控制策略，H3C S5120-EI系列交换机支持EAD(端点准入防御) 功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控 制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变 单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等 新兴安全威胁的整体防御能力。H3CS5120-EI系列交换机支持对试图接入网络的用户进行802.1X认证。可以在交换机上对802.1X客户端的版本和有效性进行验证，防止非法用户登录网 络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限 进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行