三峡中心医院网络建设投标书

1、 投标书 2009级网络技术_3_班_3 组目录目录-2-组长及组员分工情况-3-第一章 需求分析-4-1.1 项目背景-4-1.2 用户需求分析-4-1.3 信息点的分布-5-第二章 逻辑设计-7-2.1 设计原则与思路-7-2.2 设计目标-7-2.3 IP地址的规划-8-2.4 VLAN的划分-9-第三章 详细设计-10-3.1 网络拓扑图-10-3.2 核心层设计-10-3.3 汇聚层设计-10-3.4 接入层设计-11-第四章 数据中心设计-11-4.1 数据中心-11-附录 *-12-第五章 物理设计-13-5.1 楼宇的分布-13-5.2 建筑群子系统-14-第六章 设备选型-1

2、6-6.1 核心层交换机-16-6.2 汇聚层交换机-16-6.3 接入层交换机-17-6.4 服务器-17-6.5 网络设备-19-6.6 网络交换设备、中心交换机-19-工程进度表及总结-21-Cisco配置-22-参考文献-26-组长组员以及分工情况第3组姓名分工组长魏鑫负责：需求分析，工程制图设计工程进度安排，协助其他人员组员邱牧月负责：逻辑设计，信息点统计，工程制图设计吴运榆负责：物理设计，材料选型，报价周保积负责：物理设计，协助其他人员，设备调试丁英豪负责：设备选型 材料以及工程进度统计第一章、需求分析1.1项目背景重庆三峡中心医院建于1928年，历经80年的发展，现已成为集医疗、

3、教学、科研、预防、保健为一体的大型综合性三级甲等医院，承担着三峡库区23个区5县1600万人口的医疗保健任务，年门诊量117万人次，年出院病人3.98万人。 医院占地面积245亩，建筑面积达21.9万平方米，业务用房面积13万平方米，现有编制床位1942张。现有上岗职工2333人（在编1254人，聘用635人，临时工444人），高级技术人员246人，中级443人，其中博士、硕士研究生 117人，享受国务院政府特殊津贴的医学专家10人，区级学术技术带头人11人。主要科室：门诊部：内科、外科、儿科、妇科、眼科、耳鼻喉科、口腔科、皮肤科、中医科、针灸推拿科、心理咨询室等。 住院部：呼吸内科、消化内科

4、、泌尿内科、心内科、血液科、内分泌科、神经内科、小儿科、感染科、普外科、骨科、神经外科、肝胆外科、泌尿外科、烧伤科、妇科、产科、血透室、重症监护室等。 急诊部：内科、外科、妇产科、儿科等。 药房：门诊药房、急诊药房、住院药房、药房仓库等。 收费室：门诊收费窗口、住院收费窗口、急诊收费窗口。 化验室：生化室、检验室、病理室等。 放射科：拍片室、CT室、透视室、磁共振室、ECT室。 手术室：1 -20号手术间。 B超室： 行政楼：院长办公室、副院长办公室、书记办公室、医教科、院办室、宣传科、防保科、财务科、病案室、医保办、人事科等。 后勤科室：1.2用户需求分析（1）计算机网络主干采用千兆位以太网

5、技术，每个楼端口为千兆，桌面信息点采取10/100M交换或共享（2）由具有路由交换功能的中心交换机、工作组交换机以及部分集线器构成星型开放性拓扑结构，要求网络系统具有良好的可扩充能力。（3）网络传输性能需求：能够通过有效的网络带宽控制技术和服务质量保证技术，来满足医院对于不同数据传输的需要。（4）远程接入需求：能够为医院外部特殊用户提供安全保密的信息，实现高速安全的广域网数据传输。（5）网络系统管理维护需求：能够及时有效的发现网络中的异常流量，有效的控制网络设备，及时的对异常网络设备进行远程控制且操作简单、方便管理与维护。（6）网络系统安全性需求：能够保证整个系统的保密性、完整性、可用性、可审

6、核性。关键设备必须有备份系统且能够通过有效的手段控制和防御网络病毒的攻击1.3信息点的分布信息点分布在各个楼于的负一楼，各个楼分布情况如表1.3-1楼房科室信息点科室信息点合计与网络中心距离门诊大楼呼吸内科35骨科35630在同一栋楼消化内科35神经外科35泌尿内科35肝胆外科35心内科35泌尿外科35血液课35烧伤科35内分泌科35妇科35神经内科35产科35小儿科35血透室35感染科35重症监护室35外科大楼普外科40泌尿外科40440400M耳鼻喉科40肿瘤科40胸外科40骨科40神经外科40肿瘤外科40妇产科40B超室40手术室40儿童医院神经内科50小儿科40140300M老年科50

7、住院中心呼吸内科35小儿科35660450M消化内科35普外科35泌尿内科35骨科35心内科35神经外科35血液科35肝胆外科35内分泌科35泌尿外科35神经内科35烧伤科35妇产科35重症监护室35住院药房35住院收费窗口35药房仓库30行政楼院长办公室2财务科675700M副院长2病案室10医教科2医保科20书记2人事科15后勤科室16康复四科皮肤科35男性科35601000M科技大楼消化内科35肾脏内科35245800M内分泌科35肛肠科35血液科35总合计22503650M 表1.3-1 信息点的分布如上表所示大楼分布情况，根据分布我们把中心机房设在花园中。这样设置比较节约耗材，在设备

8、检修时不影响医院的正常工作。我们应设置16个大的信息点每个信息点应有一根光纤，一个管理间。在又每个管理间分布到各个楼层。在楼宇中，除住院中心大楼以外每个大楼有十层，中心大楼有十五层。每个楼层分有各个科室，据医院统计共有2500个小的信息节点。第二章 逻辑设计2.1设计原则与思路（1） 先进性世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求。（2） 可靠性 系统能长时间稳定可靠地运行，并保证系统安全，防止非法用户的非法访问。系统不能出现故障，或者说即使有设备出

9、现故障，对网络和网上的数据不构成大的威胁，要有设备对数据作备份。（3） 实用性系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应企业的内部需求，员工的工作特性等。（4） 安全性 企业计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。企业的商业机密，员工资料，市场和销售信息等敏感信息关系到企业生存利害。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。（5） 可扩充性系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活进行软

10、件版本的更新和升级，保护用户的投资。为将来系统的升级、扩展打下良好的基础。2.2 设计目标（1） 各楼层直接与一楼的中心机房经过千兆单膜光纤互联，要求实现千兆骨干，百兆到桌面的全网设计；（2） 网络核心，要求考虑采用双核心架构，千兆互联，充分考虑网络的稳定性与冗余，以及灾难恢复（3） 数据中心，位于在花园中的中心机房，拥有各类型的服务器，要求配置一台专门的高端核心交换机/数据中心交换机，且双千兆链路与核心互联。（4）网络出口设计需要考虑四条出口，一是社保局的VPN出口，二是医保VPN出口，三是银行机构VPN出口、四是干保VPN出口，且各条VPN出口均是独立的电信或者联通线路。出口设计要求安全、

11、可控。2.3 IP地址的规划在网络IP规划中，网络设备（交换机、路由器等）使用/24这个地址块，医院使用整个/8私有地址块，应用服务器，验证和管理系统使用-55这个网络块， IP地址池-55均用于本地网络，按部门分配使用，多余部分保留，IP地址池-55用于无线网络，对于可能的分院建设，预留-55用于分院的IP，分院IP和总院IP统一编址，可实现通过VPN的站点到站点完全互访，即分院与总院在逻辑上

12、就是一个大的整体网络。对于远程接入用户，使用-55网段。总体如下表2.3-1所示：IP段用途-55应用服务器-55医院本地网络（按部门分配）-55医院本地无线接入设备-55医院分院建设-55远程接入用户表2.3-1 医院IP段规划在汇聚层交换机上建立IP池，开启DHCP Server，根据终端所属VLAN，动态分配楼栋各层的设备的IP。对于需要静

13、态IP的设备，由管理员根据IP规划表手动配置。对于数据中心中需要被外部访问的设备的IP划分，需要被其他系统访问的设备均使用唯一的外网IP，在出口处不添加这些IP的路由，这样外网无法访问到这些设备，对于VPN连接进入的用户和站点到站点的VPN额外添加路由，使这些设备能被访问。医院拥有/24这个外网IP块。按如下表2.3-2单分配IP地址。设备名地址出口路由/24出口防火墙/24Web服务器1/24FTP服务器2/24邮件服务器3/24表2.3-2外网可访问设备IP规划2.4 V

14、LAN的划分Vlan划分原则根据用户的工作部门划分vlan 如下表2.4-1所示部门VLAN ID网络地址子网掩码网关服务器群VLAN |55门诊部VLAN 10|55住院部VLAN 155网络设备VLAN 52055表2.4-1 VLAN规划第三章 详细设计3.1网络

15、拓扑图（如图3.1-1所示）图3.1-1网络拓扑图3.2 核心层设计大型医院网络的核心网主要完成整个医院内部不同部门之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型医院的用户数量众多，业务复杂，QOS要求较高、以及对链接线缆和模块数量等要求较高的这些特点。本方案中核心部分采用两台三层交换机，通过两条万兆光纤互联，与楼栋汇聚层、数据中心、出口、IDS均采用万兆光纤互联且有冗余链路，保证了网络的高速与稳定。3.3 汇聚层设计汇聚层是整个局域网的核心部分，因此，我们在选择汇聚层设备的时候，一定要选择一款合适的汇聚层网络设备。医院可选择千兆的三层交换机，支持VLAN功能。三层交换机的背板宽带不

16、能低于16G，而且要支持MAC地址学习功能，方便我们的管理和维护：汇聚层网络设备的端口数量，最好要比我们设备的网络端口数量多出一些，方便以后我们的网络升级和改造。汇聚层交换机必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此与接入层交换机比较，汇聚层交换机需要更高的性能，更少的接口和更高的交换速率。 3.4接入层设计接入层是用户的终端设备如PC机连接到网络的地方，也是网络的边缘。接入层的功能包括：终端设备接入的许可控制、流量进入网络的安全检查、带宽管理和数据链路失效后快速的网络收敛。配线间特别是楼层配线间和工作组通常被定义为网络的接入层。核心主干之间采用捆绑1000兆GE互

17、联，保证了医疗级网络的核心应用的高可用性。全楼各科室及相关单位均采用1000M以太网技术通过三层架构(接入汇聚核心)接入医院网络核心，接入采用百兆到桌面。网络核心中心在本网络中的地位较特殊，它一方面负责自己这个核心节点的网络VLAN的规划设计，另一方面它还要负责内网外网之间以及局域网内部之间的安全监控和防范。而其它汇聚层设备主要负责互联接入层网络设备，整个网络的VLAN终结于核心层设备，保证整个网络VLAN划分的全局统一性。这种思路遵循国家卫生防疫信息网络的建设标准，同时要有统一的IP地址规划、统一的IP子网分配；统一的域名规划；统一的路由协议工作区域划分；统一的网络管理、系统管理。第四章 数

18、据中心设计4.1数据中心数据中心(DATA CENTER)是医院信息系统的一个重要部分，医院的建筑楼宇有别于其它行业，一所各种功能齐全的医院综合楼宇它通常可分为急诊楼、门诊楼、病房楼、办公楼等，由于每个医院占地面积的限制，在医院智能楼宇建筑设计的同时，就要充分考虑数据中心的功能定位与实施流程，合理进行数据机房的规划，为医院未来信息化应用做好基础准备。医院的数据中心主要功能是满足医院的数据传输、数据存储、数据管理和数据安全，而数据传输是数据中心最基础也是最重要的内容。我院的新一代医院业务数据中心方案针对医院各应用系统业务的不同要求，采用先进的数据中心设计思路，稳固可靠的网络架构体系，全新结构的核

19、心交换设备、运用IRF（智能弹性构架）虚拟化技术、EAD端点准入方案、IPS等多种网络安全技术，为医院客户构建一个高带宽、安全可靠、多业务承载、易扩展、易管理的网络基础平台。如图4.1-1所示图4.1-1 新一代医院数据中心网络平台* 附录：（医院数据中心安全保护参考资料）医院数据中心的安全保护是在医院信息系统安全中占有举足轻重的地位，一旦数据中心的数据安全被被破坏，病人信息外泄、医院工作人员信息外泄、医院相关信息外泄等，后果都是非常严重，其影响恶劣程度可想而知。所以，医院数据中心安全重要性不言而喻。通过以下安全防护手段保证医院数据中心安全。* 1、在核心交换机或服务器汇聚交换机上部署防火墙插

20、卡在核心交换机或服务器汇聚交换机上插入防火墙插卡，管理方便维护简单在核心交换机或服务器汇聚交换机防火墙插卡上将所有服务器根据服务类型、安全级别重要程度不同，进行虚拟安全域划分* 2、在核心交换机或服务器汇聚交换机上部署IPS插卡在核心交换机或服务器汇聚交换机IPS插卡上设置针对服务器的安全防御策略，对所有访问服务器的流量，均进行病毒、漏洞扫描、SQL注入等安全检查和过滤* 3、在网络中部署SecCenter利用SecCenter记录服务器操作系统和数据库及访问者的所有记录，做到日志信息的集中审计与快速的问题排查。SecCenter与IMC联动，发现安全威胁等级高的事件及时把事件发给IMC，IM

21、C与交换机、防火墙或EAD进行联动，阻断威胁。在医院数据中心部署数据中心（DCP）安全保护方案，有力的保证医院各数据和信息安全。 第五章物理设计5.1 楼宇的分布（如图5.1-1） 图5.1-1 楼宇的分布医院占地面积245亩，建筑面积达21.9万平方米，业务用房面积13万平方米。设有1个总院；4个各具特色的分院：平湖分院（以精神卫生为特色）、儿童分院（以儿童专科为特色）、百安分院（以疾病康复保健为特色）、御安分院（以传染性疾病防治为特色）医院现有编制床位1942张。现有上岗职工2333人（在编1254人，聘用635人，临时工444人），高级技术人员246人，中级443人，其中博士、硕士研究生

22、 117人，享受国务院政府特殊津贴的医学专家10人，区级学术技术带头人11人。如下表5.1-1 管理中心到楼宇距离光纤长度双绞线长度门诊大楼0010000米外科大楼400米450米8000米儿童医院300米350米2000米住院中心450米500米10000米行政楼700米750米1200米康复四科1000米1050米1000米科技大楼800米850米7000米 表5.1-1 楼宇间的距离5.2建筑群子系统建筑群子系统应由连接多个建筑物之间的主干电缆和光缆、建筑群配线设备(CD)及设备缆线和跳线组成。它将一个建筑物中的电缆延伸至另一建筑物的通信设备，实现建筑群之间的连接. 它是综合布线系统最主

23、要的管理区域，连接着其他各个子系统，使其构成一个统一的整体。配线子系统和垂直干线及其他设备的线路均在这里终结，通过跳线可实现系统的灵活搭建，是实现布线系统灵活性的关键。如图5.2-1 图5.2-1 六大子系统综合图所需设备列表清单如下表5.2-1 设备型号数量汇聚层交换机RG-S65063核心层交换机RG-S86102二层交换机RG-S2126116光纤模块RG-8610若干服务器各种应用服务器若干路由器RG-RSR501 表5.2-1 所需设备清单第六章 设备选型6.1 核心层交换机6.2 汇聚层交换机6.3 接入层交换机RG-WS5708万兆无线控制器是锐捷网络推出的面向下一代高速无线互联

24、网络无线控制器产品，采用业界领先的MIP64多核处理器架构，可提供强大的处理能力和多业务扩展，专为大型无线网络设计，可突破三层网络保持与AP的通信，部 署在任何二层或三层网络结构中，无需改动任何网络架构，从而提供无缝的安全的无线网络控制。RG-WS5708提供了灵活的8 个千兆光电复用端口和2个复用的万兆端口，为高效的数据转发提供了硬件支持。RG-WS5708起始支持128个无线接入点的管理，通过License的升级，最大可支持768个无线接入点的管理。6.4 服务器入侵检测系统我们用的是RG-IDS2000S暂时没有图片详细资料如下：入侵检测系统以旁路的方式在网络中部署，并且实时检测数据包并

25、从中发现攻击行为或可疑行为，这就要求RG-IDS对攻击行为的检测据有极高的准确性，错误的攻击行为检测可能比攻击行为本身带来的危害还要巨大。为了保证准确性，RG-IDS使用了多种攻击识别和检测技术，在这些技术中，每一种都有其固有的优势和弱点，这也说明了为什么没有一种单一的入侵检测技术能够达到用户可接受的防护效果RG-IDS 采用多层分布式体系结构，由五部分程序组件组成：控制台、EC（事件收集器）、LogServer（数据服务器）、Sensor（传感器）、报表和查询工具。RG-IDS在网络中能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保企业信息资产的安全，能够检测因为各种IM即时通讯

26、软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析，能迅速定位网络故障，提高网络稳定运行时间。结合锐捷网络的其他网络产品和网络安全产品，便可以很容易的构建一个整体的全方位的安全管理体系。一方面集中管理整个网络的访问控制策略，监测并阻止网络中的各种可疑行为，收集网络中各设备的安全事件，将数据进行标准化、集中、并进行关联和智能分析，方便用户在大量的安全时间中快速准确的定位威胁；另一方面结合漏洞扫描，可以使您提前确定系统是否存在已知漏洞，做到“防范于未然”，以建立实时主动的，而不仅仅是响应式的整体网络安全防御体系。在网络设计以及设备论证、选型时，我们坚持以下10

27、个原则： (1)网络的骨于部分拥有足够的带宽和良好的升级能力，并且具有承载多种服务的能了儿 (2)网络具有高可靠性、高度的灵活性和易用性，提供多种服务接入能力 (3)从网络管理来看，现代网络应具有完善的管理控制能力和网络安全性。 (4)拥有基于策略的网络管理和基于网络物理层、链路层和网络层的性能测量和故障控制，并提供远程配置和故障排除能力。同时要使组建的网络是一个开放的系统，采用国际标准协议，网络管理基于SNMP(简单网络管理协议)，并支持IMON(远程监控)和RMON2。 (5)网络具有高性能、可扩展，确保今后可方便地扩展至其它各种高速网络技术(如ATM)以及拓展网络带宽。 (6)必须拥有系

28、统容错，中心交换设备的背板连接、交换模块、接口模块、电源模块、风扇等都必须支持冗余，机箱式设备支持模块热插拔，真正做到中心交换设备无单点故障。 (7)支持链路容错，重要的环节有冗余链路。 (8)支持冗余电源系统，中心交换机和服务器都拥有冗余电源。 (9)充分考虑系统的安全性，通过VLAN划分，结合使用中心、边界交换机和路由器等的过滤器、防火墙功能，加强系统的安全性。 (10)要有体化的网络管理，随着网络规模的扩大和系统复杂程度的增加，网络管理和故障排除越来越困难，更先进更完善的网络管理势在必行。 遵循性能为主、兼顾价格以降低投资的原则，对产品选型与建网方案进行了综合考虑，参考了市场上所有经过实际使用的主流网络产：品，并经对用户需求的分析测算，选择交换式千兆快速以太网技术建设医院院区网络，且在高可靠性、高性能、高可扩展性的交换机平台上实现。6.5 网络设备 网络设备分为网络交换设备、路由设备、服务器没备、磁盘阵列存储设备、磁带备份设备、终端工作站、打印设备以及电源等设备。6.6 网络交换设备、中心交换机 网络交换设备包括中心交换机、部门交换机。中心交换机是整个网络的核心部件，它的故障将导