医院网络系统万兆主干

1、计算机网络系统1 丄工程概况1 2 设计概述3 设计原则3 设汁依据5 设汁范用5 3 设计方案6 系统整体设讣6 IP地址及VLAX规划7 网络接入设讣7 医院内部业务网9 整休设计9 核心层设汁10 汇聚层设汁14 接入层设汁17 网络安全设汁20 网络管理设计22 Internet 接入23 医院业务网点位设讣23 病房网27 整体设计27 核心层设汁27 接入层设汁31 网络安全设计34 网络管理设计35 Internet 接入36 病房网点位设讣36 4 关键技术37 网络冗余技术37 虚拟局域网技术37 生成树协议39 计算机网络系统 1工程概况 医院三期弱电系统计算机网络既需满足

2、医院内部业务、办公通信、病人访问 公网的需要，乂要能适应信息社会的发展，同时，要考虑网络建设的经济性，实 用性和网络技术的成熟性。最终为医院领导提供方便的管理方式，为客户提供便 捷先进的通信服务。 该计算机网络系统根据医院实际使用情况搭建，实现医院内部讣算机共享资 的要求，医院三期讣算机网络系统建设山医院内部业务网、病房网组成，内部业 务网与病房网物理隔离： 1）医院业务网采用树状星型的拓扑结构进行设计、主干双光纤万兆 链路、10/100/1000M到桌面点，整体系统采用三级的网络架构，以实现 数据的高速交换及转发； 2）医院业务网主要提供内部医院管理信息统统、医院临床诊疗系 统、实验室管理系

3、统、手术麻醉管理系统、办公系统等的资源共享，医 院工作人员安全访问INTERNET的需要。且不同子系统之间实现逻辑分 离，划分不同的VLANo 3）病房网数据接入点主要集中在病房楼，该网络采用树状星型的拓 扑结构进行设计、单主干光纤千兆链路、10/100M到桌面点，整体系统 采用两级的网络架构，以实现数据的高速交换及转发； 4）病房网主要提供医院客人访问IVTERNET、病房楼无线区域接入 INTERNET等功能。 整个医院的讣算机网络系统拓扑图如下图所示: 核心层 汇聚层 接入层 Internet ROUIER 入的氛係统 心仝氏孔I 交换WJH DMZ服务器区 ，朵交换肌I IWIOOHO

4、OJM 柬W 孩 A 聚它换札II换机I 医院业务网拓扑图 Internet ROllTFR 核心层 DMZBK务器 他上纤连按 接入层 IGIOOMWhHC 入 病房网拓扑图 2设计概述 2.1设计原则 医院三期计算机网络系统遵循统一规划、统一实施的指导思想，工程的设计 在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和对新 应用的支持。设计及实施应充分遵循以下原则： 实用性和先进性 采用先进成熟的技术满足医院的各种应用系统的需求，同时兼顾楼内各弱电 子系统的数据传出需要，乂体现出网络系统的先进性。在网络设计中把先进的技 术与现有的成熟技术、标准和设备结合起来，充分考虑到网络

5、系统应用的需求和 未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多 媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未 来信息化的发展的需要。 标准性与开放性 医院的网络系统设备采用国际标准协议进行互连互通，确保本网络系统的基 础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，坚持 统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流 的网络协议，不仅保证与其它网络之间的平滑连接和互通，还能适应未来若干年 的网络发展趋势，便于将来网络自身的扩展。 采用标准、开放的网络技术 整个网络系统在结构上实现真正开放，全部采用或

6、符合有关国际标准，使网 络具有良好的开放性和兼容性。网络的设汁基于国际标准，网络设备釆用标准的 接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，有效地保护投 资的长期效益。 网络的可扩充性 随着医院的网络系统未来用户应用规模的不断扩大，网络可以方便地进行扩 充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够平稳 地过渡到新的技术和设备。充分考虑到未来5年网络升级的平稳衔接，保证网络 通讯介质、网络设计核心的向后兼容性，所选择的网络设备具有良好可扩展能力 的网络设备，根据信息网络临时需要可以对系统进行必要的调整、扩充，包括存 储容量和网络规模等方面的扩充。在网络全面升级

7、的悄况下，能够最大限度保护 现有投资。 网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性， 还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术 升级、设备更新的灵活性，能够根据网络系统不断深入发展的需要，根据未来业 务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高 网络的各层次节点的功能，最大程度的减少对网络架构和现有的调整。 网络的可管理性 医院的网络系统应易于安装、操作和维护，配备有方便、灵活、有力的工具, 不但能够管理新的园区网系统，还能有效地结合广域网系统进行集中式的有效管 理和控制。方便的监控、良好的管理界面、完备的系统记录都

8、能使管理员在不改 变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。 医院的网络系统必须建立全面的网络管理解决方案。网络设备必须采用智能 化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够 实现监控、监测整个网络的运行惜况，合理分配网络资源，可以迅速确定网络故 障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络 的维护工作，从而为办公、管理提供最有力的保障。 网络的安全性 必须保证医院网络系统的安全运行、特别是对医院内部业务网而言，网络安 全是保证系统安全运行的重要基础。为了保护网络上数据的安全性，提供了多种 方式和层次的访问控制、通过

9、使用网络用户身份识别、包过滤、及防火墙等技术 来保证网络系统的安全性。 网络的高可靠性 医院的网络系统必须有很高的可靠性、稳定性及一定程度的冗余。提供拓扑 结构及设备的冗余和备份，把单点失效对网络系统的影响减少到最小，避免山于 网络故障造成用户损失 网络的髙性能 网络设备必须具备高速处理能力，千兆以太网为网络骨干，病房白兆/医院 业务千兆接入，保证网络高呑吐能力，满足各种应用对网络带宽的需求。 网络设施投资保护 医院的网络系统具备先进性，保证系统具有较强的生命力，有较长期的使用 价值，符合5年内的发展趋势，在选择网络设备，方案设计时有前瞻性，要能够 兼容未来的标准技术，如IPv6等。 2. 2

10、设计依据 中华人民共和国计算机信息网络国际联网管理暂行规定 计算机信息系统安全技术要求(GA 371-2001) GB信息技术通用多八位编码字符集(CCS) GB信息技术系统间远程通信和信息交换局域网和城域网 GB/T 18018-1999路由器安全技术要求 GB/T信息技术安全性评估准则第1.2.3部分 GB/T 18019-1999信息技术包过滤防火墙安全技术要求 GB/T 18020-1999信息技术应用级防火墙安全技术要求 智能建筑设计标准(GB/T50314-2006) 建筑电气工程施工质量验收规范(GB50303-2002) 建筑与建筑群综合布线系统工程设计规范(GB50311-2

11、000) 建筑与建筑群综合布线系统工程验收规范(GB50312-2000) 智能建筑工程质量验收规范(GB50339-2003) 标准 TCP/IP协议 SNMP/RM0N/MIB 协议等 ANSIX319、CCITT 标准等 EIA 568A/568B标准 xxxxx医院三期弱电系统设计技术建议 2. 3设计范围 本次设计范圉包括医院内部业务网、病房网的产品选型、系统选型、系统设 计等。 所设计的计算机网络系统能满足： 内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、 手术麻醉管理系统、办公系统等系统的资源共享 医院工作人员安全访问INTERNET 医院客人访问INTERNET 病房

12、楼无线区域接入INTERNET 3设计方案 3.1系统整体设计 根据对业主的需求进行分析，本期讣算机网络工程建设包括医院内部网络和 医院病房网络。 医院业务网釆用树状星型的拓扑结构进行设计、主干双光纤万兆 链路、10/100/1000M到桌面点，整体系统采用三级的网络架构，以实现 数据的高速交换及转发； 医院业务网主要提供内部医院管理信息统统、医院临床诊疗系 统、实验室管理系统、手术麻醉管理系统、办公系统等的资源共享，医 院工作人员安全访问INTERNET的需要； 考虑到医院业务网的高可靠性、高乔吐量性、高数据包交换性能 等特点，医院业务网设备釆用国际品牌产品； 病房网数据接入点主要集中在病房

13、楼，该网络采用树状星型的拓 扑结构进行设计、单主干光纤千兆链路、10/100M到桌面点，整体系统 釆用两级的网络架构，以实现数据的高速交换及转发； 病房网主要提供医院客人访问IVTERNET、病房楼无线区域接入 INTERNET等功能； 考虑到病房网对网络平台性能的要求不高，主要业务是访问 INTERNET,基本没有大流量的数据，病房网设备采用国内知名品牌产品。 3. 1. 1 IP地址及VLAN规划 IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于 IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合 理使用，保证实现最佳的网络内地址分配及业务流量的均匀分

14、布。 IP地址规划： 根据医院IP地址的使用惜况，本方案设计只对本设计网络部分做出IP地 址规划，医院内部业务网络统一分配1个B类地址，并预留1个B类地址作为 备用，；病房网络统一分配1个B类地址，并预留1个B类地址作为备用，； 核心层与汇聚层的路由地址预留一个C类地址段； VLAN的划分原则： VLAN的划分应依据不同的业务部门的功能进行定义。在进行具体VLAN规划 时，同一个广播域内（一个VLAN）的通信主机不要超过200台，最好控制在150 台以内，对于主机数量超过130的业务部门，通过二层隔离，三层交换的方式来 解决。 作为特殊VLAN的典型，建议保留VLAN1作为管理VLAN,管理V

15、LAN覆盖到 全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔 离。 3. 1. 2网络接入设计 医院业务网和病房网的网络接入设讣主要是以楼层配线间的设置位置为基 础，在相应的楼层配线间配置足够数量的接入交换机，具体配置数量如下: 内部业务网 1 层 竖井1 竖井2 楼 层配线 间 数 配 线间 点位 2 4 口 SW 4 8 口 SW 楼 层配线 间 点 数 线间 点位 2 4 口 SW 4 8 口 SW 1 FD- 1-1 ( 0 FD- 1-2 1 58 1 58 4 1 FD1 -1 ( 4 6 4 3 FD1 -2 6 4 6 4 3 r FD2 -1 9 *

16、 7 5 7 3 FD2 -2 7 9 7 9 2 r V FD3 -1 3 8 3 2 FD3 -2 9 6 9 6 2 FD4 -1 fl i Q 6 5 6 3 FD4 -2 4 1 4 1 1 C V FD5 -1 / 9 6 1 3 FD5 -2 3 0 6 2 3 ( 2 3 2 r I FD7 -1 2 6 4 3 FD7 -2 3 2 6 4 3 i 4 2 3 2 c % FD9 -1 4 2 6 4 3 FD9 -2 3 2 6 4 3 1 0 2 3 2 1 1 FD1 1-1 / 2 6 4 3 FD1 1-2 3 2 6 4 3 1 2 / 5 2 3 2 1 3 F

17、D1 3-1 / 5 2 6 4 3 FD1 3-2 3 2 6 4 3 1 4 / q 2 3 2 1 5 FD1 5-1 FD1 5-2 5 1 1 05 5 1 6 5 4 合 计 5 77 2 4 2 8 61 2 3 9 病房外网 1 层 竖井1 竖井2 楼 层配线 间 数 配 线间 点位 2 4 口 SW 4 8 口 SW 楼 层配线 间 点 数 Hl 线间 点位 2 4 口 SW 4 8 口 SW 1 FD- 1-1 FD- 1-2 1 FD1 -1 FD1 -2 r FD2 -1 FD2 -2 f V FD3 -1 FD3 -2 1 6 1 6 1 FD4 -1 FD4 -2

18、E V FD5 -1 / 5 7 2 3 FD5 -2 4 5 9 1 4 ( / 7 4 6 尸 1 FD7 -1 / 7 7 4 4 FD7 _2 4 6 9 2 4 / 7 4 6 C FD9 -1 7 7 4 4 FD9 _2 4 6 9 2 4 1 0 7 4 6 1 1 FD1 1-1 7 7 4 4 FD1 1-2 4 6 9 2 4 1 2 / Q 7 4 6 1 3 FD1 3-1 / 5 7 7 4 4 FD1 3-2 4 6 9 2 4 1 4 / * 7 4 6 1 5 FD1 5-1 FD1 5-2 2 1 4 4 3 1 6 2 0 合 计 3 68 1 9 0 5

19、 19 2 4 0 3. 2医院内部业务网 3. 2. 1整体设计 医院内部业务网主要提供内部医院管理信息统统、医院临床诊疗系统、实验 室管理系统、手术麻醉管理系统、办公系统等的资源共享，医院工作人员安全访 问INTERNET等功能。 整个医院内部业务网釆用三级网络架构的方式，既核心层、汇聚层和接入层: 核心层配置两台模块化核心交换机，两台核心交换机釆用双冗余千兆互联架构， 配置高性能路山交换引擎；汇聚层交换机通过万兆上联到核心；接入层交换机上 行采用千兆连接汇聚交换机、下行10/100/1000M到桌面。系统拓扑图如下: 核心层 汇聚层 接入层 心交换札 ,住换机II 双縫路万兆光纤连衣 J

20、T聚交換机1【 双钳汗兆光约够” IIKIOOHOOOM 师按入 ROUTER DMZ服务辭区 入时林挺系统 4貲系统 1M0M0WM桌耐 1个光口作为扩展备用 接入交换机千兆电口： 24 口 10/100H电口下联各种数据终端设备、AP设备 3. 3.4网络安全设计 山于医院病房网有访问公网业务的需求，因此，在访问公网的出口处应实施 一定的安全策略，配置相应的安全设施，以保证医院病房管理网络数据的安全性。 在业务网出口内侧配置硬件防火墙，在网络边缘的路山器上进行策略控制， 防治外部非法用户的入侵。 Q网络接入层 对于接入交换机端口与MAC地址绑定的方法阻止未授权的工作站访问业务 网。交换机控

21、制台的多层访问安全性可防止未授权的用户访问或更改网络交换机 的配置。对于业务网内的非法访问或者病毒发作的工作站，通过SNMP协议进行 网络端口的动态改变启动状态来进行隔离。 对于复杂应用的通讯如数据库系统，利用防火墙在应用层重写通讯会话的部 分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源、邮件 收发人地址等的过滤。对不同级别的用户访问可以通过不同的访问策略进行区 别。 3. 3. 5网络管理设计 病房网的覆盖范圉比较大，需要设置网管系统以便于远程对网络设备的管 理，提高网管人员的工作效率。网络管理员通过WEB方式管理支持SNMP的各种 网络交换机和路山器等网络设备。采用网管系

22、统能够快速，简洁配置网络设备、 实时监视网络设备，网络连接和网络流量、监视并预测网络变化和网络错误、标 识最终端口分配，验证逻辑连接、辅助诊断网络错误和失效。 网络管理员可以通过网管系统对全网各种网络设备实现统一管理。实现故障 管理、配置管理、性能管理、安全管理等基本功能。 故障管理：如果网络设备失效，网管系统能够在1分钟之内发现故障，并提 供声光报警，生成故障日志，具有故障统计和查询功能。 配置管理：当网络中的设备更换或失效时，网管系统能自动发现网络拓扑结 构，实时监控网络状态。网络及设备状态的改变能及时在画面上显示。能用图形 界面进行网络节点设备、端口、系统软件的配置。 性能管理：网络管理

23、员能利用网管系统对网络当前的性能进行统计和分析， 并提供相应的支持工具。 计费管理：网络管理员能够通过网管系统测量用户对网络资源和业务的使用 状况，并可统计分析，记录归档。能够记录用户信息、端口信息、流量信息、QoS 信息等原始数据。 安全管理：网管系统能够设置分级管理权限、口令，对操作日志进行记录， 网络操作的日志至少保存6个月，且文件不可删除。具有网管系统自身的安全管 理及数据备份功能。 用户界面：网管系统应具有友好的GUI用户界面，操作简单易学，能提供告 警信号的文本输出。 开发接口：网络管理协议应支持简单网络管理协议SNMPv2及以上版本，网 管系统应提供二次开发的编程接口。 病房网络

24、系统中的所有网络资源，如路山器、局域网交换机的设备工作状态、 网络性能、通讯延时均可通过直观的人机界面进行监控、管理。 3. 3. 6 Internet 接入 在网络边缘配置了模块化路山器，待明确外网接口后具体设计。 3. 3.7病房网点位设计 楼 层 房间 名称 房 间数量 房间信息点布宜原则 房间信息点合计 语 音/数 据对 单 语音 点 单 数据 点 明 语 音/数 据对 单 语音点 单 数据点 1T P/TD 1 TP 1 TD TP /TD TP TD F3 竖井A 贵宾 病房 8 2 16 小 计 0 0 16 F5 竖井A 单人 病 1 2 2 双人 病 7 2 L1 三人 病房

25、 17 1 17 走廊 1 2 2 小 计 0 0 35 F5 竖井B 讥人 病 12 2 21 双人 病 10 2 20 恢复 室 1 1 1 走廊 1 2 2 小 计 49 0 0 45 F6 F14竖井 A 讥人 病龙 1 2 2 双人 病房 6 2 12 丄人 病房 21 1 21 走廊 1 2 2 小 计 0 0 33 S F6 F14竖井 B 収人 病房 12 2 21 双人 病房 10 2 20 走廊 1 2 2 小 计 51 0 0 41 4 F15 竖井B 取人 病房 7 2 14 双人 病房 4 2 8 走廊 1 2 2 小 计 0 0 24 F16 竖井B 取人 病房 9

26、 2 18 走廊 1 2 2 小 计 0 0 20 4关键技术 4.1网络冗余技术 医院业务网采用全冗余的网络结构设计； 业务网核心层路山交换机配置为两台，以千兆冗余连接；接入层交换机以双 链路分别根据其地理位置连接到核心路由交换机。 全兀余的网络设计保证了关键业务不停机运行，避免出现单点故障。关键性 业务的可靠性为。OSPF路由发生故障后自动切换收敛时间为7秒。 尽管全冗余的网络设计经济造价要大于部分冗余的网络设计，但考虑到应用 业务的重要性，如果山于网络故障问题，引起弱电控制失效或造成安全事故，其 后果不堪设想，造成的损失也许无法弥补。效益比较全冗余的网路结构性价比是 较高的。 4. 2虚

27、拟局域网技术 所谓VLAN是指处于不同物理位置的节点根据需要组成不同的逻辑子网，即 一个VLAN就是一个逻辑广播域，它可以覆盖多个网络设备。VLAN允许处于不同 地理位置的网络用户加入到一个逻辑子网中，共享一个广播域。通过对VLAN的 创建可以控制广播风暴的产生，从而提高交换式网络的整体性能和安全性。 VLAN对于网络用户来说是完全透明的，用户感觉不到使用中与交换式网络 有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN 的几点优势。 (1) 控制广播风暴 主要有2种方式：物理网络分段和VLAN逻辑分段。 (2) 提高网络整体安全性 通过路山访问列表和MAC地址分配等VL

28、AN划分原则，可以控制用户访问权 限和逻辑网段大小。 (3) 网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网管员对网络 系统的物理结构重新进行调整，其至需要追加网络设备，增大网络管理的工作量。 而对于釆用VLAN技术的网络来说，只需网管人员在网管中心对该用户进行VLAN 网段的重新分配即可。 (4) 关于Trunk方式 Trunk是独立于VLAN的、将多条物理链路模拟为一条逻辑链路的VLAN与 VLAN之间的连接方式。采用Trunk方式不仅能够连接不同的VLAN或跨越多个交 换机的相同VLAN,而且还能增加交换机间的物理连接带宽，增强网络设备间的 冗余。由于在基于交换机的VLAN划分当中，交换机的各端口分别属于各VLAN段, 如果将某一 VLAN端口用于