医院网络系统(万兆主干)

1、计算机网络系统 错误 !未定义书签。1 工程概况 错误!未定义书签。2 设计概述 错误!未定义书签。设计原则 错误!未定义书签。设计依据 错误!未定义书签。设计范围 错误!未定义书签。3 设计方案 错误!未定义书签。系统整体设计 错误!未定义书签。IP地址及VLAN规划 错误!未定义书签。网络接入设计 错误!未定义书签。医院内部业务网 错误!未定义书签。整体设计 错误!未定义书签。核心层设计 错误!未定义书签。汇聚层设计 错误!未定义书签。接入层设计 错误!未定义书签。网络安全设计 错误!未定义书签。网络管理设计 错误!未定义书签。Internet 接入 错误! 未定义书签。医院业务网点位设计

2、 错误!未定义书签。病房网 错误!未定义书签。整体设计 错误!未定义书签。核心层设计 错误!未定义书签。接入层设计 错误!未定义书签。网络安全设计 错误!未定义书签。网络管理设计 错误!未定义书签。Internet 接入 病房网点位设计4 关键技术网络冗余技术虚拟局域网技术错误!未定义书签。错误!未定义书签。错误 ! 未定义书签。错误! 未定义书签。错误! 未定义书签。错误! 未定义书签。生成树协议计算机网络系统1工程概况医院三期弱电系统计算机网络既需满足医院内部业务、办公通信、病人访问公网的需要，又要能适应信息社会的发展，同时，要考虑网络建设的经济性，实用性和网络技术的成熟性。最终为医院领导

3、提供方便的管理方式，为客户提供便捷先进的通信服务。该计算机网络系统根据医院实际使用情况搭建，实现医院内部计算机共享资的要求， 医院三期计算机网络系统建设由医院内部业务网、病房网组成，内部业务网与病房网物理隔离：1) 医院业务网采用树状星型的拓扑结构进行设计、主干双光纤万兆链路、10/100/1000M 到桌面点，整体系统采用三级的网络架构，以实现数据的高速交换及转发；2) 医院业务网主要提供内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、手术麻醉管理系统、办公系统等的资源共享，医院工作人员安全访问INTERNET勺需要。且不同子系统之间实现逻辑分离，划分不同的VLAN。3) 病房网数据

4、接入点主要集中在病房楼，该网络采用树状星型的拓扑结构进行设计、单主干光纤千兆链路、10/100M 到桌面点，整体系统采用两级的网络架构，以实现数据的高速交换及转发；4)病房网主要提供医院客人访问INTERNETS房楼无线区域接入INTERNET 等功能。整个医院的计算机网络系统拓扑图如下图所示：Internet核心层汇聚层接入层核心层接入层医院业务网柘扑引Internetnot nm境火地网管系统DM7脓务据M16100Mmi长入uneoMCiM 接入in iwms向徨入病房网拓扑图2设计概述2.1 设计原则医院三期计算机网络系统遵循统一规划、统一实施的指导思想，工程的设计在考虑到满足当前需求

5、的同时，充分考虑到将来整个网络系统的投资保护和对新应用的支持。设计及实施应充分遵循以下原则：实用性和先进性采用先进成熟的技术满足医院的各种应用系统的需求，同时兼顾楼内各弱电子系统的数据传出需要，又体现出网络系统的先进性。在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到网络系统应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更高的数据、语音、 视频 （多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。标准性与开放性医院的网络系统设备采用国际标准协议进行互连互通，确保本网络系统的基础设施的作用可以充分的发挥。在结构上真正

6、实现开放，基于开放式标准，坚持统一规范的原则，从而为未来的发展奠定基础。网络采用国际上通用标准的主流的网络协议，不仅保证与其它网络之间的平滑连接和互通，还能适应未来若干年的网络发展趋势，便于将来网络自身的扩展。采用标准、开放的网络技术整个网络系统在结构上实现真正开放，全部采用或符合有关国际标准，使网络具有良好的开放性和兼容性。网络的设计基于国际标准，网络设备采用标准的接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，有效地保护投资的长期效益。网络的可扩充性随着医院的网络系统未来用户应用规模的不断扩大，网络可以方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够

7、平稳地过渡到新的技术和设备。充分考虑到未来5 年网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性，所选择的网络设备具有良好可扩展能力的网络设备，根据信息网络临时需要可以对系统进行必要的调整、扩充，包括存储容量和网络规模等方面的扩充。在网络全面升级的情况下，能够最大限度保护现有投资。网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩展性，具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性，能够根据网络系统不断深入发展的需要，根据未来业务的增长和变化，平滑的扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大

8、程度的减少对网络架构和现有的调整。网络的可管理性医院的网络系统应易于安装、操作和维护，配备有方便、灵活、 有力的工具，不但能够管理新的园区网系统，还能有效地结合广域网系统进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。医院的网络系统必须建立全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源，可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网

9、络的维护工作，从而为办公、管理提供最有力的保障。网络的安全性必须保证医院网络系统的安全运行、特别是对医院内部业务网而言，网络安全是保证系统安全运行的重要基础。为了保护网络上数据的安全性，提供了多种方式和层次的访问控制、通过使用网络用户身份识别、包过滤、及防火墙等技术来保证网络系统的安全性。网络的高可靠性医院的网络系统必须有很高的可靠性、稳定性及一定程度的冗余。提供拓扑结构及设备的冗余和备份，把单点失效对网络系统的影响减少到最小，避免由于网络故障造成用户损失网络的高性能网络设备必须具备高速处理能力，千兆以太网为网络骨干，病房百兆/ 医院业务千兆接入，保证网络高吞吐能力，满足各种应用对网络带宽的需

10、求。网络设施投资保护医院的网络系统具备先进性，保证系统具有较强的生命力，有较长期的使用价值，符合5 年内的发展趋势，在选择网络设备，方案设计时有前瞻性，要能够兼容未来的标准技术，如IPv6 等。2.2 设计依据中华人民共和国计算机信息网络国际联网管理暂行规定计算机信息系统安全技术要求( GA 371-2001)GB 信息技术通用多八位编码字符集(UCS)GB 信息技术系统间远程通信和信息交换局域网和城域网GB/T 18018-1999 路由器安全技术要求GB/T 信息技术安全性评估准则第1.2.3 部分GB/T 18019 1999 信息技术包过滤防火墙安全技术要求GB/T 18020 199

11、9 信息技术应用级防火墙安全技术要求智能建筑设计标准( GB/T50314-2006)建筑电气工程施工质量验收规范( GB50303-2002)建筑与建筑群综合布线系统工程设计规范( GB50311-2000)建筑与建筑群综合布线系统工程验收规范( GB50312-2000)智能建筑工程质量验收规范( GB50339-2003)标准TCP/IP协议SNMP/RMON/MB 议等ANSIX319 CCITT标准等EIA 568A/568B标准xxxxx医院三期弱电系统设计技术建议2.3 设计范围本次设计范围包括医院内部业务网、病房网的产品选型、系统选型、系统设计等。所设计的计算机网络系统能满足：

12、内部医院管理信息统统、医院临床诊疗系统、实验室管理系统、手术麻醉管理系统、办公系统等系统的资源共享医院工作人员安全访问INTERNET医院客人访问INTERNET病房楼无线区域接入INTERNET3设计方案3.1 系统整体设计根据对业主的需求进行分析，本期计算机网络工程建设包括医院内部网络和 医院病房网络。医院业务网采用树状星型的拓扑结构进行设计、主干双光纤万兆链路、10/100/1000M到桌面点，整体系统采用三级的网络架构，以实现数据的 高速交换及转发；医院业务网主要提供内部医院管理信息统统、医院临床诊疗系统、实验 室管理系统、手术麻醉管理系统、办公系统等的资源共享，医院工作人 员安全访问

13、INTERNET勺需要；考虑到医院业务网的高可靠性、高吞吐量性、高数据包交换性能等特点， 医院业务网设备采用国际品牌产品；病房网数据接入点主要集中在病房楼，该网络采用树状星型的拓扑结构 进行设计、单主干光纤千兆链路、10/100M到桌面点，整体系统采用两 级的网络架构，以实现数据的高速交换及转发；病房网主要提供医院客人访问INTERNETS房楼无线区域接入INTERNET 等功能；考虑到病房网对网络平台性能的要求不高，主要业务是访问INTERNET基本没有大流量的数据，病房网设备采用国内知名品牌产品。3.1.1 IP地址及VLANE划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键

14、。对于IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合 理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址规划：根据医院IP地址的使用情况，本方案设计只对本设计网络部分做出IP地址规划，医院内部业务网络统一分配1个B类地址，并预留1个B类地址作为备用，；病房网络统一分配1个B类地址，并预留1个B类地址作为备用，；核心层与汇聚层的路由地址预留一个 C类地址段；VLAN勺划分原则：VLAN的划分应依据不同的业务部门的功能进行定义。在进行具体 VLANg划 时，同一个广播域内（一个 VLAN的通信主机不要超过200台，最好控制在150 台以内，对于主机数量超过1

15、50的业务部门，通过二层隔离，三层交换的方式来解决作为特殊VLAN的典型，建议保留VLAN1 乍为管理VLAN管理VLANK盖至U 全网的每一台交换机，但在第三层接口上，需要与其他业务 VLAN进行有效的隔 离。3.1.2 网络接入设计医院业务网和病房网的网络接入设计主要是以楼层配线间的设置位置为基础，在相应的楼层配线间配置足够数量的接入交换机，具体配置数量如下：内部业务网楼层竖井1竖井2楼层配线间点数配线间点位24 口SW48 口SW楼层配线间点数配线间点位24 口SW48 口SW-1FD-1-100FD-1-215815841FD1-164643FD1-2646432FD2-157573F

16、D2-2797923FD3-183832FD3-2969624FD4-156563FD4-2414115FD5-129613FD5-230623632327FD7-132643FD7-232643832329FD9-132643FD9-23264310323211FD11-132643FD11-23264312323213FD13-132643FD13-23264314323215FD15-1FD15-25110551654合计577242861239病房外网楼层竖井1竖井2楼层配线间点数配线间点位24 口SW48 口SW楼层配线间点数配线间点位24 口SW48 口SW-1FD-1-1FD-1

17、-21FD1-1FD1-22FD2-1FD2-23FD3-1FD3-2161614FD4-1FD4-25FD5-135723FD5-245914637467FD7-137744FD7-246924837469FD9-137744FD9-24692410374611FD11-137744FD11-24692412374613FD13-137744FD13-24692414374615FD15-1FD15-2244431620合计3681905192403.2 医院内部业务网3.2.1 整体设计医院内部业务网主要提供内部医院管理信息统统、 医院临床诊疗系统、实验 室管理系统、手术麻醉管理系统、办公

18、系统等的资源共享，医院工作人员安全访 问INTERNE售功能。整个医院内部业务网采用三级网络架构的方式，既核心层、汇聚层和接入层：核心层配置两台模块化核心交换机，两台核心交换机采用双冗余千兆互联架构， 配置高性能路由交换引擎；汇聚层交换机通过万兆上联到核心；接入层交换机上行采用千兆连接汇聚交换机、下行 10/100/1000M到桌面。系统拓扑图如下：核心层汇聚层接入层InternetROUTER4府到迎/上换起cMUlq究潞乃他匕歼止；,14方林削二共£抉川I¥浦税；重史制UIq整踣二'逃也1卜1岫4雌M荚而族人1(1.100. l(WMljk.1亦1谕电I3.2.

19、2 核心层设计两台核心交换机为整个医院业务网提供核心交换。医院业务范围内的所有汇聚层交换机都采用万兆多模光纤链路上联至两台核心交换机，以提供真正的冗余可靠的主干连接，组成整个医院业务网核心骨干层。核心交换机分别通过安全隔离防火墙、路由器接入INTERNET核心交换机采用两台，双链路捆绑互连， 实现双机热备份，每台均配置冗余N+1电源防止单点故障。端口配置：每台核心交换机配置万兆多模光口、下联至汇聚层设备；一定数量的10/100/1000M电口、连接网管服务器及各种内网服务I胡火墙)枚心交换机I /II核心交恢机H匚_网性 _内网服务器区IDS系统业务网络核心层系统图万兆光纤万兆光

20、纤亚心交投机I匕心仁慢MU内网唳务器忸在核心设备与接入设备之间运行动态路由协议OSPF当设备或者链路故障 后，通过路由重计算达到网络的重新收敛，为整个网络提供高可靠性。业务网络汇聚层一接入层系统图rnr-iIHni-iITM-L raTFD7-1、同系接入层J聚聚及机/心跳；照抵机门核心层设备网络机柜布置图£掉料£门1IIG龙口檀波Itt UMI I HKIMlfJ I EkIH的电匚掩块3 LOC” (¥M>M Ul 口 域 Mlpi 网疆（心交换ITU核心交换机的端口规划每台核心交换机万兆光口:通过多模光纤连接分

21、区汇聚交换机;1个端口通过多模光纤连接防火墙;其他光口作为扩展备用每台核心交换机电口模块：1个口连接网管服务器；预留足量电口连接内网服务器其他电口作为扩展备用3.2.3汇聚层设计业务网汇聚层系统图网席楹心层H廉定帙州投入更州1拨入史题机推入空段机接入史楔视设置两台模块化或可堆叠的汇聚交换机，两台汇聚交换机采用双冗余千兆互 联架构，配置高性能路由所有接入层设备都采用双千兆多模光纤链路上联至两台汇聚交换机，以提供真正的冗余可靠的连接。两台汇聚设备同时提供2 条万兆多模光纤链路连接到网络中心核心交换机，组成整个网核心骨干层。汇聚交换机采用两台，双链路互连，实现双机热备份。在各电信间分别

22、配置可堆叠/级联的接入交换机。对于数据点较多的楼层，采用交换机堆叠的方式满足足够数量的接入需要。接入层采用的可堆叠/级联固定端口交换机，内嵌在交换机中的集群管理套件让用户可以利用任何一个标准的Web浏览器，同时配置和诊断多个桌面交换机。除了软件以外，接入交换机还提供多种基于简单网络管理协议（ SNMP网络 管理平台的管理工具。用户可以通过一个 WebM览器设置交换机。汇聚层设备网络机柜布置图二城金棹机!-CPI疗制梅不兆光口幅划* 丁龙由口槿城丹心交撞机工CFIW 减甄肥口琥火滉生3谶虫 汇聚父换机的端口规划汇聚交换机千兆光口：通过多模光纤连接核心交换机;通过多模光

23、纤连接各电信间的接入交换机上联端口;其他光口作为扩展备用 汇聚层一接入层的二层交换规划汇聚交换机i汇聚交换机2核心层接入交换机在两台汇聚交换机之间运行热备份冗余协议HSRP/VRRP/GLB刖台设备配置同一 IP地址作为一个虚拟路由器组，并且同一虚拟路由器组内的所有路由器 参与数据包的转发实现负载平衡。3.2.4 接入层设计根据招标文件要求及我司多年项目设计经验，医院内部业务网接入层交换机配置高性能交换。接入层交换机上行提供千兆SFP接口连接至 汇聚交换机，下行提供10/100/1000M连接桌面数据终端。电信问机柜布置图接入层交换机在各配线间分别配置高性能交换机。

24、对于数据点较多的楼层，采用交换机堆 叠的方式满足足够数量的接入需要。接入层采用的可堆叠固定端口交换机，内嵌在交换机中的集群管理套件让用 户可以利用任何一个标准的 WebM览器，同时配置和诊断多个桌面交换机。 除了 软件以外，接入交换机还提供多种基于简单网络管理协议（SNMP网络管理平台 的管理工具。用户可以通过一个 WebM览器设置交换机。接入交换机的端口规划接入交换机千兆光口 ：2个端口通过多模光纤上联两台汇聚交换机;接入交换机千兆电口 ：24、48 口 10/100/1000M电口下联各种数据终端设备3.2.5 网络安全设计由于医院内部业务网有访问公网业务的需求， 因此，在访

25、问公网的出口处应 实施一定的安全策略，配置相应的安全设施，以保证医院业务网管理网络数据的 安全性。在业务网出口内侧配置高性能硬件防火墙， 在网络边缘的路由器上进行策略 控制，防治外部非法用户的入侵；在网络核心配置了入侵检测系统 访问控制管理和防火墙系统对于业务网内部的用户，通过二层网络交换机端口与 MAC*址绑定的方法阻 止未授权的工作站访问业务网。交换机控制台的多层访问安全性可防止未授权的 用户访问或更改网络交换机的配置。对于业务网内的非法访问或者病毒发作的工 作站，通过SNMP、议进行网络端口的动态改变启动状态来进行隔离。对于业务网内部用户对外部网络的访问及外部网络对业务网内

26、部的访问，通过防火墙的多级过滤功能进行管理。来自外网的访问可以设置为全部禁止，其他 网络对业务网的访问可根据访问者的网络地址、网络协议以及TCP、UDP端口进行过滤；对于内部用户对外部的访问可以设置为全部允许通过。对于复杂应用的通讯如数据库系统，利用防火墙在应用层重写通讯会话的部分或者全部提供对 高层应用协议命令、访问路径、内容、访问的文件资源、邮件收发人地址等的过 滤。对不同级别的用户访问可以通过不同的访问策略进行区别。通过与入侵检测系统联动，对外部非法访问进行即时隔离。接入防火墙配置方案：定义访问控制列表外部访问流量全部拒绝通过；内部访问流量只允许管理网段的访问通过，其他访问拒绝通过；3.

27、2.5.2 入侵检测系统入侵检测系统（IDS）是防火墙的补充解决方案，可以防止网络基础设施（路 由器、交换机和网络带宽）和服务器（操作系统和应用层）受到拒绝服务（ DoS 袭击。由于问题比较复杂，先进的IDS解决方案一般都包含两个组件：用于保护 网络的IDS （NIDS）和用于保护服务器及其上运行的应用的主机 IDS （HIDS）。IDS系统是网络攻击和违规行为识别与响应系统。它运行于有敏感数据需要 保护的网络上，通过实时监视网络上的数据流和系统审计信息，分析网络通讯数据，寻找网络攻击行为和其它违规网络活动。当检测到网络攻击和违规网络活动 时，本方案中采用网络版入侵检测系统，能够按网络安全策略

28、自动进行攻击响应 防 病毒系统对于业务网络，病毒的防范同样都很重要。应在网络的出口处配置防病毒过滤网关，组织病毒通过互联网、电子邮件、HTTP下载等方式进入到网络内部。防病毒过滤网关能处理 SMTP POP3 HTTP HTTPS FTP和IMAP等多种协议。防病毒过滤网关根据自有的防蠕虫默认规则可拦截蠕虫的动态攻击，防止蠕虫爆发后对网络造成的阻塞；同时过滤网关还根据智能阀值的原理可手动阻止新爆发的蠕虫病毒。防病毒过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。采用黑名单和白名单技术，过滤垃圾邮件，保证网络内部用户不受垃圾邮件的干扰。防病毒过滤网关配置方案：防病毒过滤网关已经内置

29、大多数已经发现的病毒定义库，只需随时升级病毒定义库即可。3.2.6 网 络管理设计业务网的覆盖范围比较大，需要设置网管系统以便于远程对网络设备的管理，提高网管人员的工作效率。网络管理员通过WEBJ式管理支持SNMP勺各种网络交换机和路由器等网络设备。采用网管系统能够快速，简洁配置网络设备、实时监视网络设备，网络连接和网络流量、监视并预测网络变化和网络错误、标识最终端口分配，验证逻辑连接、辅助诊断网络错误和失效。网络管理员可以通过网管系统对全网各种网络设备实现统一管理。实现故障管理、配置管理、性能管理、安全管理等基本功能。故障管理：如果网络设备失效，网管系统能够在1 分钟之内发现故障，并提供声光

30、报警，生成故障日志，具有故障统计和查询功能。配置管理：当网络中的设备更换或失效时，网管系统能自动发现网络拓扑结构，实时监控网络状态。网络及设备状态的改变能及时在画面上显示。能用图形界面进行网络节点设备、端口、系统软件的配置。性能管理：网络管理员能利用网管系统对网络当前的性能进行统计和分析， 并提供相应的支持工具。计费管理：网络管理员能够通过网管系统测量用户对网络资源和业务的使用 状况，并可统计分析，记录归档。能够记录用户信息、端口信息、流量信息、QoS 信息等原始数据。安全管理：网管系统能够设置分级管理权限、口令，对操作日志进行记录， 网络操作的日志至少保存6个月，且文件不可删除。具有网管系统

31、自身的安全管 理及数据备份功能。用户界面：网管系统应具有友好的 GUI用户界面，操作简单易学，能提供告 警信号的文本输出。开发接口：网络管理协议应支持简单网络管理协议SNMPv汲以上版本，网管系统应提供二次开发的编程接口。业务网络系统中的所有网络资源，如路由器、局域网交换机的设备工作状态、 网络性能、通讯延时均可通过直观的人机界面进行监控、管理。3.2.7 I nternet 接入在网络边缘配置了模块化路由器，待明确外网接口后具体设计3.2.8 医院业务网点位设计楼层房间名称房间数量房间信息点布置原则房间信息点合计语音/数据对单语音点单数据点语音/数据对单语音点单数据点1TP/TD1TP1TD

32、TP/TDTPTDB1F-B 区库房15230太平间122值班室224冷冻机房配电室122办公室7321药房428医院展览室122无菌库房122一次性药品库224物流传送机房122污物收集室122排风机房122冷冻机房122空调机房122报警阀室224预留数据点12020小计109B1F-A 区高压室122发电机房122变配电室122变配电值班室122空调机房122病人等候区122库房9218核磁共振室122核磁共振控制室133机房122会议室122水泵房配电室122报警阀室122预留数据点166小计00491F-B 区检验间133诊室11333B超室122处置室133注射室133挂号收费室1

33、22库房212取药室122药房12020放射科区12020急救区12020无菌物品区155预留数据点155小计1201F-A 区急诊大厅护士站144输液室护士站144小计0082F-B 区透析中心12020护士站248口腔中心12020中心检验13030办公室4312血库区11010预留数据点11010小计001102F-A 区商店1202染色检查室区188学术报告厅11010示教室326小计00263F-B 区妇产科区14040咖啡间122内镜中心14040门诊手术区12424预留数据点12020小计1263F-A 区物理检查科护士站144验光室122片库122集中式医生办公区12020办公

34、区及诊室12020预留数据点155小计00534F-B 区登记室122库房122值班室224手术区护士站144手术区12020手术室133预留数据点12010小计00454F-A 区登记室前厅155值班室5210库房6212办公室339网络机房144标本接收室122远程教学122手术部会议室133预留数据点155小计00525F办公室133库房428护士站3412医生办公室236治疗室236主任办公室236值班室326产房236预留数据点166小计00596-14 层办公室236库房8216护士站248医生办公室236治疗室236主任办公室236值班室326会议室224预留数据点166小计00

35、57615F护士站248值班室4208办公室83024治疗室224库房12002预留数据点155小计005116F护士站248值班室4208办公室93027治疗室224库房12002预留数据点155小计0054总计0014383.3病房网3.3.1 整体设计医院病房网主要提供医院病人、客人、病房楼无线 AP信息点访问INTERNET 等功能。整个医院病房网采用两级网络架构的方式， 既核心层和接入层：核心层配置一台模块化高性能核心路由交换机， 核心交换机配置高性能路由交换引擎； 接入 层交换机上行采用千兆连接核心交换机、 下行10/100M到桌面。系统拓扑图如下:医院病房网拓扑图3.3.2 核心

36、层设计一台核心交换机为整个医院病房网提供核心交换。医院病房范围内的所有接 入层交换机都采用千兆多模光纤链路上联至核心交换机， 以组成整个医院病房网 核心骨干层。核心交换机通过安全防火墙、路由器接入 INTERNET核心交换机配置了冗余N+1电源防止单点故障。端口配置：核心交换机配置千兆多模光口、下联至接入层设备；10/100/1000M电口、连接网管服务器及各种内网服务器。Q防火塔）网管系统内网服务器区业务网络核心层系统图fdeFDII-2FDll H二上09-1应IF呼核心层设备网络机柜布置图工什利* pi10 (MK I Cx OM11* I I "I

37、*心*Mil核心交换机的端口规划核心交换机千兆光口 ：通过多模光纤连接分区接入交换机;1个端口通过多模光纤连接防火墙;其他光口作为扩展备用核心交换机电口模块：1个口连接网管服务器；预留足量电口连接内网服务器其他电口作为扩展备用病房网核心层与接入层连接图在核心设备与接入设备之间运行动态路由协议OSPF当设备或者链路故障后，通过路由重计算达到网络的重新收敛，为整个网络提供高可靠性。3.3.3接入层设计根据招标文件要求及我司多年项目设计经验， 医院病房网接入层交换机配置高性能交换机、当同个配线间的接入交换机的台数多于 1台是采用交换机环行堆 叠的组网方式，交换机环行堆叠解

38、决连堆叠链路的单点故障问题， 有效地提供了 整体系统的可靠性。接入层交换机上行提供千兆 SFP® 口连接至核心交换机，下行提供10/100M 连接桌面数据终端。业务网接入层拓扑图网络核心了在各配线间分别配置可堆叠的交换机。对于数据点较多的楼层，采用交换机 堆叠的方式满足足够数量的接入需要。接入层采用的可堆叠固定端口交换机，内嵌在交换机中的集群管理套件让用 户可以利用任何一个标准的 WebM览器，同时配置和诊断多个桌面交换机。 除了 软件以外，接入交换机还提供多种基于简单网络管理协议（SNMP网络管理平台 的管理工具。用户可以通过一个 WebM览器设置交换机。3.3.3.

39、2电信问机柜布置图接入交换机的端口规划接入交换机千兆光口 ：1个端口通过多模光纤上联核心;1个光口作为扩展备用接入交换机千兆电口 ：24 口 10/100M电口下联各种数据终端设备、 AP设备3.3.4 网络安全设计由于医院病房网有访问公网业务的需求， 因此，在访问公网的出口处应实施定的安全策略，配置相应的安全设施，以保证医院病房管理网络数据的安全性。在业务网出口内侧配置硬件防火墙，在网络边缘的路由器上进行策略控制, 防治外部非法用户的入侵。对于接入交换机端口与 MAC地址绑定的方法阻止未授权的工作站访问业务 网。交换机控制台的多层访问安全性可防止未授权的用户访问或更改网络交换机

40、的配置。对于业务网内的非法访问或者病毒发作的工作站，通过SNM初议进行 网络端口的动态改变启动状态来进行隔离。对于复杂应用的通讯如数据库系统，利用防火墙在应用层重写通讯会话的部 分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源、邮件 收发人地址等的过滤。对不同级别的用户访问可以通过不同的访问策略进行区别。3.3.5 网 络管理设计病房网的覆盖范围比较大，需要设置网管系统以便于远程对网络设备的管理，提高网管人员的工作效率。网络管理员通过 WEBJ式管理支持SNMP勺各种网络交换机和路由器等网络设备。采用网管系统能够快速，简洁配置网络设备、实时监视网络设备，网络连接和网络流量、监视

41、并预测网络变化和网络错误、标识最终端口分配，验证逻辑连接、辅助诊断网络错误和失效。网络管理员可以通过网管系统对全网各种网络设备实现统一管理。实现故障管理、配置管理、性能管理、安全管理等基本功能。故障管理：如果网络设备失效，网管系统能够在1 分钟之内发现故障，并提供声光报警，生成故障日志，具有故障统计和查询功能。配置管理：当网络中的设备更换或失效时，网管系统能自动发现网络拓扑结构，实时监控网络状态。网络及设备状态的改变能及时在画面上显示。能用图形界面进行网络节点设备、端口、系统软件的配置。性能管理：网络管理员能利用网管系统对网络当前的性能进行统计和分析，并提供相应的支持工具。计费管理：网络管理员能够通过网管系统测量用户对网络资源和业务的使用状况， 并可统计分析，记录归档。能够记录用户信息、端口信息、流量信息、QoS信息等原始数据。安全管理：网管系统能够设置分级管理权限、口令，对操作日志进行记录，网络操作的日志至少保存6 个月， 且文件不可删除。具有网管系统自身的安全管理及数据备份功能。用户界面：网管系统应具有友好的 GUI用户界面，操作简单易学，能提供告警信号的文本输出。开发接口：网络管理协议应支持简单网络管理协议SNMPv汲以上版本，网 管系统应提供二次开发的编程接口。病房网络系统中的所有网络资源，如路由器、局域网交换机的设备工作状态、 网络性能、通讯延时均可通过