医院整体网络项目设计方案

医院整体网络项目设计方案TOC\o"1-5"\h\z\o"CurrentDocument"一、 项目概述和项目建设目标 41.项目概述 4项目建设目标 4\o"CurrentDocument"二、 网络总体设计 51.网络设计原则 5层次化结构设计 6总体规划设计 7\o"CurrentDocument"三、 中心医院网络设计 81.中心医院网络规划 83.2、 内部局域网规划 103.2.1核心层网络设计 113.2.2接入层网络设计 123.2.3网络虚拟化设计 133.3、 数据中心区设计 153.3.1网络数据中心规划 153.3.2服务器接入高可用设计 183.3.3.数据中心接入交换机设计 183.3.4服务器虚拟化设计 193.4、 广域网接入设计 213.5、 互联网接入设计 22\o"CurrentDocument"四、 分支医院网络设计 22\o"CurrentDocument"五、 医院无线网络设计 231.无线设计原则 235.2无线组网方案的选择 245.3无线AP覆盖方案 255.3.1室内直接覆盖方案（放装型） 265.3.2室内直接覆盖方案（面板型） 285.3.3室内高密度覆盖方案（X分型） 295.4.无线AP数量统计 315.5供电问题 31\o"CurrentDocument"六、 网络安全设计 311.网络安全设计原则 316.2整网安全设计 326.3互联网出口安全设计 336.4核心交换机防火墙安全模块设计 346.5数据中心区入侵防御系统设计（建议） 356.6内网PC终端接入安全设计 36\o"CurrentDocument"七、 整网运维管理平台设计 371设备管理 387.2无线网络管理 387.3业务应用运维管理 387.4服务器虚拟化管理 39一、项目概述和项目建设目标项目概述经历了20多年发展，中国的医院信息化已从早期的单机单用户应用转变为部门级和全院级管理信息系统应用；从以财务、药品和管理为中心，向以支持临床业务和电子病历应用为中心转变；从局限在医院内部应用，发展到区域医疗信息化应用，取得了长足的进步，但与发达国家相比，整体水平上存在一定差距。当前适逢医改大潮，很多医院都将加大对信息化投入，医院的信息化水平提升迎来了新的契机；同时，信息化建设可以优化就诊流程，减少患者排队挂号等候时间，实现挂号、检验、交费、取药等一站式、无胶片、无纸化服务，简化看病流程，杜绝“三长一短”现象，有效解决了群众“看病难”问题，医院的整体诊疗水平也将得进一步的提升。本设计方案主要是针集团新医院大楼（包含一个中心医院和三个分支医院）有关技术系统中的网络通信系统，包括数办公局域网、广域网、互联网、数据中心网络、服务器虚拟化系统、整网的运维管理等几部分。项目建设目标中心医院和分支医院办公局域网：中心医院和三个分支医院内部网络设计应按照万兆交换平台、万（千）兆骨干网络、千兆到桌面设计，新大楼医院核心交换机双机冗余、负载分担。网内拓扑设计采用二级架构，分为核心层、接入层。采用网络设备虚拟化技术，实现多台交换机设备的统一管理，支持跨设备的链路聚和技术，可将传统的跨设备双千兆链路的主备工作模式转变为跨设备双千兆链路捆绑模式，这不仅提高了网络的接入带宽，而且提升了网络可靠性。同时利用无线网络技术进一步扩展办公区、公共区等区域的覆盖范围，使用户能够随时随地、方便高效地使用医院网络。广域网：构建广域网络平台，通过专线分别实现与中心医院和三个分支医院的纵向网络的互联互通。互联网：通过互联网，实现内部用户访问Internet的需求，集团新医院存在内部服务器对外发布服务，应保证DMZ区服务器的安全性。数据中心：数据中心是医院各种IT应用服务的提供中心，是数据计算、网络、存储的中心，通过数据中心的建设，可实现对集团新医院IT信息系统的整合和集中管理，提升内部的运营和管理效率以及对外的服务水平，同时降低IT建设的TCO；集团新医院数据中心网络建设应保持可靠性，高性能，高安全性，同时须采用云计算、服务器虚拟化等主流技术保持数据中心建设的先进性。二、网络总体设计网络设计原则为了能适应今后很长一段时间内网络和通信技术的高速发展，计算机网络系统要采用当今流行的网络技术。要求该系统不仅能体现当今先进技术水平，而且要满足一定时期的技术和扩展要求。它不但必须满足当前的业务需求，更需要考虑以后通讯和网络的技术发展方向及发展需求。作为日常应用的基础设施，计算机网络在设计时应着重强调其容错性能和抗灾害性能。系统应实现集中的统一网管。网络性能应能实现高带宽、高数据分发速率，可满足易用、高服务质量、无阻塞等使用要求。整网还要具有可靠性、坚固性、良好的扩展能力、强大的管理能力和服务质量保证等一系列良好的性能。所以系统设计时应考虑以下几点：1、 可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各业务系统的正常运行。必须满足7X24X365小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；2、 安全性一制订统一的骨干网安全策略，整体考虑网络平台的安全性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性。3、 高性能一网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。4、 时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时咼效；5、 实用性：整个网络系统具有较高的实用性；6、 完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络；7、 先进性一满足应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络目前的现状以及未来技术和业务发展趋势。7、 标准开放性一支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。8、 灵活性及可扩展性一根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。9、 可管理性一对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能。层次化结构设计在集团新医院网络系统设计中，应采用大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处：淤多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。淤多层网络有很大的可确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。淤多层网络系统设计最有效地利用多种第3层业务，包括分段、负载分担和故障恢复等。淤在分层网络中运用智能第3层业务可以大大减少因配置不当或故障设备引起的一般问题。淤多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。另外分层结构也能够对网络的故障进行很好的隔离。根据集团新医院网络规模和现状，推荐采用二层结构，即直接分为“核心层”一“接入层”＞核心层核心层作为整个网络系统的核心，其主要功能是高速、可靠的进行数据交换。＞接入层接入层主要提供最终用户接入网络的途径。主要是进行高密度接入端口，VLAN的划分、与核心层的连接等等。二层模型的结构清晰，由分布层交换机控制各个功能区之间的安全性。这种模型易于管理和控制，适用于地域跨度范围相对较大的网络系统。集团新医院网络系统主要分布在各个楼层弱电间内，采用结构更为清晰的二层结构模型，在网络管理和控制方面都具有优势。因此我们建议采用核心层和接入层二层结构来构建集团新医院网络系统。总体规划设计集团新医院网络网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。组网设计如下所示：医院整体网络规划图（双运营商双专线备份方案）系统管理区数据中心区备份存储系统管理区数据中心区备份存储互联网区DMZ区数据中心接入交换机数据中心接入交换机办公接入区无线网络中心医院内网广域网路由器暨）双核心交换机

防火墙+IPS安全模块分支医院内网DMZ区数据中心接入交换机数据中心接入交换机办公接入区无线网络中心医院内网广域网路由器暨）双核心交换机

防火墙+IPS安全模块分支医院内网20M2M广域网接入路由器广域网接入路由器广域网接入路由器分支医院分支医院分支医院网络智能管理中心SAN交换机防火墙防火墙集团新医院网络主要由中心医院和三个分支医院网络构成，下面分别对中心医院和分支医院的网络作阐述。三、中心医院网络设计3.1.中心医院网络规划中心医院网络整体规划如下:

中心医院网络整体规划图互联网区数据中心区广域网区存储备份存储SAN交换机防火墙防火墙路由器DMZK数据中心接入交换机数据中心接入交换机无线控制器鹭核心交岫防火墙+ACQ网上行为管理模块系统管理区千兆接入交换机千兆接入交换机千兆接入交换机千兆接入交换机802.111无802.111无线AP802.111无线AP802.111无线AP安全准入系统安全准入系统安全准入系统新大楼办公接入区安全准入系统中心医院整网设计思路采用分区、模块化设计思想。分区域是指把医院根据业务不同分成不同的区域，包括核心区、出口区、接入区、数据中心区等，每个区域的业务需求都有不同，按照分区的思想可以按照不同区域的特点进行网络设计；模块化设计是指把网络按照功能进行模块划分，所有模块之间采用一定的耦合，在充分完善模块内部的功能的同时，保证整网对各模块的融合。中心医院网络按照分区模块化改造设计，可分为：内部局域网、数据中心区、广域网接入区、互联网出口区、等几个部分3.2.内部局域网规划局域网设计无线控制器◎双核心交换机防火墙+ACG网上行为管理模块系统管理区干兆接入交换机干兆接入交换机干兆接入交换机干兆接入交换机802.11n无线3.2.内部局域网规划局域网设计无线控制器◎双核心交换机防火墙+ACG网上行为管理模块系统管理区干兆接入交换机干兆接入交换机干兆接入交换机干兆接入交换机802.11n无线AP802.11n无线AP802.11n无线AP802.11n无线AP安全准入系统安全准入系统 安全准入系统医院接入区安全准入系统1、组网方式采用二层网络结构。分为核心层,接入层。核心层采用双核心方式，万兆互联，提供高性能的全分布式转发架构。接入层提供千兆到桌面的高速转发。核心层到新大楼的各个楼层接入交换机千兆连接，保证网络的高速率，并同时采用双链路备份。这种双核心双链路拓扑结构设计为整个网络提供冗余和稳定性的保障。可在设备发生问题时及时地切换到另一台设备上工作。保证了业务的正常进行。在中心医院核心交换机和骨干链路上双机双线路冗余部署，实现双归属的网络结构，充分保证网络的可靠性。同时为了解决双归属网络带来网络结构复杂，网络业务的复杂，以及管理维护复杂的问题，在新大楼接入网核心层和楼层接入层交换机部署网络虚拟化技术，将多台核心交换机和接入交换机设备虚拟成一台统一的逻辑设备，形成端到端的虚拟化，这样不但可以网络结构简单清晰，大大简化设备的管理维护，另外也提高网络可靠性。由于核心层不仅是数据转发的核心，更是医院全网的安全策略核心，核心设备应具有较高的安全性能，同时在核心层实现全网的安全域分离。为了避免过多的部署安全设备带来的策略部署问题、管理问题、设备可靠性等问题，应在核心交换机上部署支持虚拟防火墙功能的高性能防火墙模块，灵活的执行安全策略.2、安全策略。接入层交换机通过例如端口安全、专家级ACL、风暴控制等十余项专门的安全功能，从最底层、最边缘控制了病毒等攻击报文的通道，更好地保护了整个网络的安全。接入层交换机采用DHCPSNOOPING技术，在交换机上设置信任或不信任端口，有效地防范了私有DHCP服务器架设的问题。保证了用户上网的稳定。接入交换机支持动态arp检测技术，检查ARP报文是否与绑定信息匹配，如果不匹配则丢弃该报文，防止ARP欺骗。该技术可在动态分配IP环境下有效、彻底的解决了ARP病毒的攻击。对于固定IP环境，通过在交换机上设置端口安全，进行如下绑定：IP+MAC+端口。端口安全检测检测所有访问报文是否与绑定信息匹配，如果不匹配，则丢弃这此报文。这种端口安全技术可有效的防止地址仿冒攻击以及由此带来的DOS攻击。3、无线网络覆盖。针对新大楼的无线覆盖需求，应充分考虑网络建设的规模，实施管理需求以及技术方案的成熟性和先进性，采用痩AP+无线控制器的组网方式来进行本次无线网络的建设，不仅降低网络的建设成本和维护成本，而且提高整个网络的可管理性，方便进行高稳定性和高安全性网络建设的部署。3.2.1核心层网络设计核心层交换机位于整个医院的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于集团新医院核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构（双核心双线路冗余部署）。另外对于医院网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为医院构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。中心医院核心交换机推荐采用数据中心级交换机做为整个办公网的核心交换机，相比普通传统交换机，数据中心交换机具备：高容量、大缓存、虚拟化、FCOE、二层TRILL技术等方面的特征。可满足集团新医院规模的不断扩大、业务种类的日益丰富、流量的快速增长以及Data、HPC、SAN网络逐步融合的要求。数据中心级核心交换机在性能、弹性、虚拟化、开放性、易用性、绿色节能上体现出和传统核心交换机无法比拟的巨大优势，目前业界主流数据通信设备厂商思科，H3C，Force10,华为等都推出了数据中心

级交换机，比如思科的N7000、H3C的S12500/S10500/7500E-X,华为的CE12800等，推荐在以上品牌型号做选择。同时为了简化网络部署，简化网络管理，并提高故障恢复的速度，在整个核心交换机采用虚拟交换架构技术，将两台核心交换机虚拟化为一台，虚拟化为一台逻辑设备后,可共享资源表项，故障时可在毫秒级别实现数据转发路径的切换，相比VRRP协议缩短了收敛时间。在双链路上行的时候可直接进行跨设备的链路聚合，无需配置复杂的生成树协议，链路带宽也可充分利用。网缗虚拟化'简化管理赘升数率竈短收散时间网络虚拟化网络虚拟化网缗虚拟化'简化管理赘升数率竈短收散时间网络虚拟化网络虚拟化3.2.2接入层网络设计接入层主要是为终端信息点提供以太接入端口，以实现用户的集中接入功能；从方便管理和扩展的角度出发，接入层交换机应能够实现用户网络的高度弹性智能扩展。如果在一个弱电间入需部署多台接入交换机，还应将多台交换机堆叠或虚拟化为一台，通过将多台设备连接起来组成一个联合设备(Fabric),并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。多分侖式设备裁1化成一个辺辑框式设备多台物理的盒式領畚逻榭■融诋各多台物理的盒式領畚逻榭■融诋各中心医院新大楼将进行综合布线建设，布线标准为1000M到桌面。网络系统建设完成后，大楼局域网要全面实现千兆主干互连、千兆到桌面。接入层交换机应支持千兆接入，并可为用户提供千兆三层交换功能，并能够在接入层提供丰富的速率限制，抑止广播、QoS功能，保证接入网络的实时业务可靠转发。3.2.3网络虚拟化设计目前的传统网络从接入到核心多采用VRRP+MSTP的技术，这种方式给管理员带来很大麻烦。首先是规划麻烦，要实现VRRP多实例的分担需要详细规划MASTER的归属，而MSTP则需要详细规划VLAN和生产树实例的归属，而二层结构存在网络广播风暴隐患也是很大问题，需要MSTP的介入，这使得网络在故障恢复时常需要达到秒级。这对于对设计者来说，这成了一个两难的境地。一方面，如果减少链路连接，网络的冗余备份受到影响。另一方面增加链路冗余，则容易受到广播风暴的侵袭。所以网络架构的高可靠需要全新的解决方案，这个方案需要同时满足下面的条件：1） 保持设备链路冗余；2） 完全消除二层环状链路；3） 毫秒级故障切换时间。在一些对可靠性要求畸高的大型网络里，例如金融网络，可以把多个地点的核心设备组成RPR环网，利用RPR的快速收敛特性实现50ms以内的故障恢复时间。但这种方案并不完全适用于绝大多数的医院网络，一方面医院网络基本为单一局域网络，RPR的优势无法充分体现，且RPR方案实现成本高昂。另一方面只有一些核心网络设备才能支持RPR，这就意味着汇聚层、接入层交换机仍然无法解决快速收敛的问题。而虚拟化的出现解决了这一问题。在核心设备上的跨设备链路聚合虚拟化技术，从对提升网络整体效率的角度，起到了一种横向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的虚拟化系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路，如下图所示：间通,阿璃規副、酝题、管理复杂间通,阿璃規副、酝题、管理复杂•故障点夢r窪牌T1111進以提升,设留投入成本耕・干V国噂面存在性做颈 ,厩增规feL配置、曾理筒单*性能贏Wtl堤升,书霍汇裝层成本・无阻塞部署于学建原面 _虚拟化技术构成的网络架构与传统的三层网络设计相比，提供了多项显著优势：1） 运营管理简化。全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。2） 整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。3） 进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。4） 跨设备链路聚合提升上联带宽，消除性能瓶颈，为无阻塞部署千兆到桌面提供条件。5） 节省总体投入成本；中心医院采用的是双核心双线路双归属高可靠性网络架构，在核心交换机应使网络虚拟化技术，将两台核心交换机虚拟为一台，可完全消除环路、简化网络结构、提高网络性能和收敛时间。中心医院实施网络虚拟化的网络拓朴图：网络虚拟化设计双核心交换机廳双核心交换机廳I化为_台班坦丄此无為ap刊做入愛撞机^02.11H±^tAP由Elin俺A.P班坦丄此无為ap刊做入愛撞机^02.11H±^tAP由Elin俺A.P中心匡院3.3、数据中心区设计3.3.1网络数据中心规划早期在业务应用系统较少、服务器较少的情况下，所有服务器直接接入到核心交换机。如下图所示：这样的网络结构存在诸多问题：核心交换机作为全网数据交换的枢纽，连接着办公接入、外联区域、下联各分支区域、网络管理中心、多媒体服务中心、数据中心等不同类型的区域，其高速转发是根本目标；大量的服务器直接接入，会占用核心交换机较多的端口，为了对服务器之间的访问进行隔离及对其他区域对各服务器的访问进行控制，需要在核心交换机上进行大量的配置；且一旦增减或调整服务器，均需要在核心交换机上进行大量的配置修改，因此，管理工作量非常大，可扩展性和可调整性非常差；由于所有的服务器都接入到核心交换机，因此，无法在服务器和核心交换机之间进行安全的部署，无法对服务器进行有效的安全防护。如果一定要在服务器和核心交换机之间部署防火墙等安全设备，势必要部署大量的安全设备，整体投资会非常大，且不利于管理。服务器有各种类型，有的服务器要处理的数据量非常大，要交换的数据量可能很大，各种服务器对链路带宽的要求不同，势必要求核心交换机上有各种速率的以太网端口。这些问题将直接制约政府或企业业务系统的构建。基于以上问题，现在的数据中心网络多采用以下架构设计：(1)服务器接入：首先，各种服务器不直接接入到核心交换机，而是先进行一层汇聚，由汇聚交换机与核心交换机相连。这种方式带来的直接好处是：网络架构清晰，核心交换机上的配置部署工作简单；更为重要的是，从架构上保证了数据中心的安全防护可设计。随着服务器的逐步增多，可以根据业务系统的精细规划，进行分区汇聚上行，如下图所示：

服务器区1服务器区1服务器区？综上所述，针对医院网络数据中心区，推荐在数据中心服务器区增加两台数据中心接入父换机，两台数据中心接入父换机双机冗余，并通过双线路连接网络核心父换机，如图所示：顼I据虫心区存儲帛齢__智分存储

整一金」网交飼数据中谜心換瓠勺ps安全殷佥警訐 萨佥数据中J&接人交剛戡娜双跚政換圳•导妣为简化网络拓朴，在数据中心接入交换机同样采用网络虚拟化技术，将两台数据中心接入交换机虚拟化为一台，简化网络管理和提高网络性能。3.3.2服务器接入高可用设计服务器接入的高可用设计也就是服务器多网卡接入。为了实现接入的高可用性，服务器通常采用多链路上行，即服务器采用两块或两块以上的网卡接入，服务器中的网络驱动程序和高可用集群软件可将两块或者多块网卡捆绑成一个虚拟的网卡，如果一个网卡失效，另一个网卡会接管它的MAC地址，两块网卡使用同一个IP地址，而且必须位于同一广播域，即同一子网下。图2服务器和接入交换机之间的连接方式服务器和接入交换机之间的连接方式（如图2所示），标号从1至4,拓扑的可用性依次降低。标号1采用接入层框式双机拓扑的网络可用性最高，标号2的框式多板卡冗余要比标号3的盒式多机冗余拓扑可用性更高，而标号4中单机盒式设备双网口冗余的网络可用性最低。因此推荐采用第1种接入方式，这种连接方式的服务器采用交换机容错模式分别接入到两台机柜式交换机上，并且将VLANTrunk到两台设备上，实现服务器的高可用接入。3.3.3.数据中心接入交换机设计数据中心接入层交换机为服务器提供高速无阻塞线速转发，与核心层通过的互连，并且未来支持VEPA协议和L2MP协议标准的设备，集团新医院接入层设备推荐采用数据中心級接入交换机思科的N5000/N3000，H3C的S5800系列，华为的S6200系列等。集团新医院数据中心接入层交换机须满足以下几方面特性：■高密接入：接入层向下主要提供服务器接入，数据中心内服务器众多，采用盒式交换机提供服务器的接入，可以防止布线困难解决线缆的维护，同时由于接入层主要工作是提供线速无阻塞转发，这要要求接入交换设备采用缓存技术，数据中心接入层交换机应提供强大的缓存能力，并且支持先进的缓存调度机制可以保证设备缓存能力有效利用的最大化。■整网可靠性：在云计算中随各资源利用率提高而来的是服务器端口流量的成倍增加，要求接入层具有有高可靠性设计，最大限度的保障业务转发不中断、不丢包。因此建议在接入交换双电源提高接入网络可靠性，使整网可靠性方面没有短板。■绿色环保：为了降低机房空调能耗，要求通过RoHS、CE等国际环保认证。3.3.4服务器虚拟化设计数据中心内的各种服务器使用情况各不相同，在某些业务系统的服务器需要扩容的情况下却存在其他系统内计算资源大量空闲的情况。由于传统的应用部署和服务器使用习惯，造成各台服务器之间无法共享资源，用户无法充分利用其投资。在管理和维护方面，由于服务器数量的日益增加，管理难度不断提高，新业务上线时无法快速提供运行环境。管理成本和维护成本的快速增长将使总投资将远高于设备采购成本。服务器资源利用的不充分还会造成大量的能源浪费，影响数据中心提供服务的能力，不能满足数据中心的资源统一、绿色环保要求。通过分析数据中心的现状，采用不同的技术组合对服务器进行整合与虚拟化工作，建立计算资源池，为不同业务提供必需的计算资源。在满足现有需求的情况下具备灵活扩展能力，以适应长期发展的需求。对服务器进行整合与虚拟化，将大量小型服务器整合到少数服务器内，可以极大地简化IT系统的结构。降低数据中心内服务器的数量，节省数据中心的管理成本、提高资源的利用效率。随着服务器虚拟化技术的成熟，数据中心部署的虚拟化服务器数量越来越多。在服务器虚拟化技术中，同一台物理服务器上可以同时运行多个操作系统，可以通过虚拟化技术的应用，模拟出多台逻辑上的服务器设备，而且每一个操作系统中可以运行独立的应用系统。服务器虚拟化技术可以实现服务器物理资源到逻辑资源的转变，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，或者让几台服务器变成一台服务器来用，使用户不再受限于物理上的界限，而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，来灵活的进行资源的分配和调整。服务器虚拟化是在物理服务器上借助虚拟化软件实现多个虚拟机(VirtualMachine,VM)的虚拟化运行环境。安装在服务器上实现虚拟化环境的软件层被称为VMM(VirtualMachineMonitor)。VMM为每个虚拟机提供虚拟化的CPU、内存、存储、10设备(如网卡)以及以太网交换机等硬件环境，如下图所示：有回言慮障*有回言慮障*RR»tlVEB在医院数据中心部署服务器虚拟化技术可对未被充分利用的服务器进行整合，不再为新项目另外购置硬件，从而降低资本成本，同时，精简数据中心服务器的数量，又可以成比例地减少供电、制冷和场地方面的运营成本。利用先进的虚拟化管理和云运营管理软件，建立安全的、可审核的数据中心环境，为业务部门提供成本更低、服务水平更高的基础架构，从而能够针对业务部门的需求做出快速的响应。医院数据中心服务器虚拟化部署如下所示：教据中心管理中心计耸池.恫蹴•教据中心管理中心计耸池.恫蹴•虚拟机3.4、广域网接入设计医院需通过广域网实现与中心医院和三家分支医院的纵向网络的互联互通，广域网网络架构如下：广域网网络规划内中心内网中心医院运营营商专线2 运营商专线分支医院分支路由器 分支路由器 分支路由器在中心医院、三家分支出口处分别部署路由器，通过专网网络，实现与中心医院、分支医院纵向业务网络的互通。路由器须采用先进的全业务分布式处理架构，路由引擎和业务引擎硬件分离，所有引擎上控制平面和业务平面分离，确保系统全速运行时业务和控制互不十扰，主备倒换时业务不中断；以保证用户网络的高性能和高可靠性要求。建议租用多运营商的双广域网链路，做业务的广域通道备份,可大大提高业务的可靠性，同时大大增加业务的使用效率。3.5、互联网接入设计互联网出口区主要实现内网PCInternet访问，网络架构设计如下：互联网区为保证内网用户访问Internet的安全性，在互联网出口部署防火墙等安全设备；同时为保证互联网的高可靠性，防火墙采用双机冗余部署，同时，在防火墙设置DMZ区域,实现内网WEB服务器对外公开访问。有关防火墙设计详见下章节的网络安全设计部分。四、分支医院网络设计分支医院整体规划如下:分支医院网络整体规划图广域网区无线控制器 核心交换机+防火墙安全模块系统管理区干兆接入交换机干兆接入交换机干兆接入交换机干兆接入交换机802.11n无线AP802.11n无线AP802.11n无线AP802.11n无线AP安全准入系统安全准入系统安全准入系统安全准入系统医院接入区分支医院网络设计同样思路采用分区、模块化设计思想，可分为：内部局域网、广域网接入区等几个部分，这些区域的设计和中心医院相差无几，可参照中心医院的网络设计，这里不再详述五、医院无线网络设计5.1.无线设计原则结合WLAN的实际应用和发展要求，无线局域网(WLAN)网络系统设计，主要遵循以下系统总体原则：＞实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。＞安全性原则：WLAN网络是一个开放网络，需要对用户以及网络做到安全保障。＞可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。＞成熟和先进性原则：需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的可靠性。＞规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。＞开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。＞可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。＞可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。5.2无线组网方案的选择在集团新医院网络部署无线网络，必须采用痩AP的组网模式。无线组网设计如下：医院无线网络规划本方案采用痩AP架构，分布式AC的管理方式。具体而言是在中心医院和分支医院都采用痩AP架构：在住院部、办公楼的走廊或房间内部署802.11N的AP，负责用户的无线接入，在中心医院和分支医院的分别处部署各自无线控制器，各自负责对区域内AP的统一管理5.3无线AP覆盖方案WLAN覆盖规划需要考虑建筑结构、用户密度等因素，一般有软件模拟、现场实测、现场人工勘察几种方式。目前有很多WLAN网络规划软件，只需要输入目标区域的图片或者CAD图，加上各种材质的衰减等必要的参数，即可模拟出部署AP之后的覆盖效果，但这种方式只是理论上的计算，与实际效果可能存在比较大的差距。加上很多旧楼根本没有电子版的图纸，所以采用软件模拟的规划方式只能作为参考，更进一步的规划需要实际测试和现场工堪相配合。比较好的网络规划一般采用软件模拟+设备实测+现场工勘的方式完成。这种方案既简化现场勘测工作量，又结合用户实际情况，避免普通网络规划软件考虑不周造成方案失真。第一步，根据用户提供的平面图或者CAD图，使用专业的WLAN网络规划软件，模拟

目标区域覆盖的效果；第二步，典型区域现场测试；对于比较有典型性同时又可能出问题的区域，需要带设备进行实测，根据测试结果，调整覆盖方案；第三步，对于条件受限不能进行实测的区域，由专业的WLAN规划团队进行现场勘测，结合现场测试和规划软件结果，制定最终的WLAN规划方案。WLAN的部署需要根据目标区域的不同制定最佳的WLAN覆盖方案，根据覆盖区域和用户要求的不同，可以采用室内直接覆盖、室内分布式覆盖、室外覆盖、室外覆盖室内等多种覆盖方案。集团新医院根据各个楼宇的布局、定位不同，推荐采用放装型AP、面板式AP、X分型AP覆盖方案。三种方式主要如下：5.3.1室内直接覆盖方案（放装型）适用于办公室、会议室等地区。这些区域系统结构简单，由独立AP布点覆盖，同时为了美观，每个AP可配置吸顶天线；室内部署方案：室内放装环境特点：走廊两侧有房间，木质门成玻璃门’走廊墙壁胶薄或适中,•CH•CH1OCH6•CH1181wwLv.h3c.cD81典型环境一般来说，普通医院、办公环境，要求中等密度连续覆盖时；或用户只对若干单个房间实现覆盖的情况下，比如，医院公共休息区，会议室等区域，通常面积都不大（小于100平方米），每个场所放一个AP即可满足覆盖需求。对于大面积区域稍复杂的应用环境，且用户对传输速率和信号质量要求较高时，建设WLAN时需要对AP的架设位置、AP采用频点、AP隔离距离等进行专门的规划。使用室内直放AP布点覆盖，需考虑及遵循以下几个问题和原则：需要有入户线缆资源（双绞线或五类线）。如果在一个大厅里只安装一个AP,则尽量把AP安放在大厅的中央位置，而且最好是放置于大厅天花板上；如果同一空间安装两个AP，则可以放在两个对角上。保持信号穿过墙壁和天花板的数量最小。2.4G信号能够穿透墙壁和天花板，然而，每一面墙壁和天花板都将使AP信号的覆盖范围减少1到30米。应放置AP与计算机于合适的位置，使墙壁和天花板阻碍信号的路径最短，损耗最小。考虑AP和覆盖区域之间直线连接。注意AP的放置位置，要尽量使信号能够垂直的穿过（90度角）墙壁或天花板。不同的建筑材料产生不同的传输效果。由金属的框架或门构成的建筑物会使WLAN无线信号的传输距离变小。放置AP的位置应使信号通过干燥的墙壁或敞开的门，避免放置在使信号必须通过金属材料的位置。AP天线方向可调，安装AP的位置应确保天线主波束方向正对覆盖目标区域，保证良好的覆盖效果。AP安装位置需远离电子设备（起码1~2米），例如微波炉、监视器、电机等。5.3.2室内直接覆盖方案（面板型）主要针对门诊楼等，每个房间放置一台面板式AP,面板式AP采用国标86mm面板，可以方便的安装到原有医院办公区房间内的接线盒上，不破坏室内原有装修设计。可支持150Mbps传输速率，可连接笔记本、平板电脑、智能手机等无线终端设备。面板式AP部署最大优势在于，它不仅可以安装或替换在房间墙壁上闲置的网络信息插座或面板，又可以将无线AP置于墙体中使用，而丝毫不影响无线接入点的正常组网功能，并且节约了房间空间，推荐在新大楼办公区部署面板式AP。面板式无线AP应用图示面板式无线AP可提供两个网口（其中一个可以支持POE对外供电）和一个电话接口,满足医院办公区同时有线上网和无线上网的需求。面板式AP采用国际标准的插座安装方法进行设计，和其他开关面板一样，更换一个面板式AP只需要简单的5个步骤，总耗时不超过5分钟，可以极大的加快客户部署无线网络的速度。步，分钟.你，简单了.你的世界就简单了5.3.3室内高密度覆盖方案(X分型)在住院楼传统无线部署方式主要是采用放装型AP或室分方案，传统的放装部署问题有难以全面覆盖，信号干扰严重，信号强度低，室分部署遇到的问题是部署难度大，中间器件和维护成本高。H3C网络针对住院楼无线网络覆盖的无线难题，提出了X分(X-Share)解决方案，在节省成本的基础上实现了信号全覆盖、信号抗干扰和易部署。

无线分布式部署技术方案。针对住院楼，在住院部楼道放置X分AP,每个AP通过馈线进入住院部，每个AP最多可以进入4个住院部，可以很好解决住院部覆盖死角的问题。同时为防止用户对无线信号压力过大，采用了美化天线技术，其小如硬币、薄如纸，放在房间内并不显眼，如果在表面再刷一层漆，更能做到完美隐藏（如下图所示）。RoomlRoc<n2Room3Rocjti4RoomlRoc<n2Room3Rocjti4AniennaAnternaAnteniiaAntennaAniennaAnternaAnteniiaAntennaANT-2ANT』ANT-5ANTANT-2ANT』ANT-5ANT右图住院楼X分示意图X分方案相比传统的AP覆盖方案，竟然保证住院楼的信号覆盖效果，又能节省施工建设成本，同时配合H3C的硬币美化天线，具备良好的外观。5.4.无线AP数量统计集团新医院无线覆盖无线AP的数量须实地工勘和测试，须各集成商根据实际情况而定。5.5供电问题由于本次无线网中主要覆盖大面积的室内公共区域，AP设备分步较分散，而且AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，可采用基于标准的802.3af实现对AP的供电，通过部署带有POE供电功能的千兆交换机，经过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。六、网络安全设计6.1.网络安全设计原则网络安全策略目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护终端、服务器区的计算资源。根据国际上通用的安全信息系统设计原则，归纳出以下几条原则：最小授权原则：该原则是指，对某一秘密知道的人越多，就越有可能泄密。不同职责的人相互无权过问。有些信息是严格保密的，只有具有相应权限的人才能访问。均衡与非均衡防卫原则：对于系统中的一条信息流，其各环节安全防卫应均衡，系统的安全等于最薄弱处的安全，如果完全忽视某一环节的安全风险，即使其他环节得到完全加强，对总体系统的安全效果没有增益。效能投资相容原则：任何系统不可能做到100%的绝对的安全与保密。需要在投资与效益之间加以审慎的权衡。既要充分而有效，把可能造成的危害减少到能承受的最小程度；又要适度，不必付出与其效果不相称的过高的投资代价或系统效能代价，从而取得综合性的、最佳的安全与保密效果。同时，也不能因为安全措施的过分使用而带来管理和使用上的过多不便。效能投资相容原则将体现在我们设计安全体系的每一环节中。综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。不易于或没有及时适应和更新的安全防护系统，本身就易于产生漏洞。多重保护原则：任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统,各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。逐步建设原则由于安全设计的复杂性，不可能一次性的建设成功一个完备的安全系统，网络安全的建设与网络系统的建设一样是一个长期的过程，必须在与网络系统的建设中根据新的建设情况不断修改和完善，不断逼近理想的设计目标。6.2整网安全设计信息系统安全建设的总体目标是在保证计算机信息系统物理安全、网络安全、平台安全、数据与信息内容安全、信息基础设施安全的基础上，建立完整的网络和信息安全体系，提供高质量的安全服务。本期安全建设是保证集团新医院网络的安全，目标是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击，防止由此导致有关信息系统的产生的安全事件，主要分以下几个部分：1、 在互联网出口部署防火墙安全设备；2、 在核心交换机部署防火墙安全模块，实现整个内网安全性；3、 可在数据中心区部署IPS入侵防御安全模块，实现数据中心服务器2-7层的安全；4、 在整个内网终端PC部署安全准入系统，实现对工作人员身份、硬件终端和用户使用行为的的安全管理，将人员、硬件终端、和终端的使用过程进行审计和监控，确保终端接入的安全性6.3互联网出口安全设计互联网出口的功能主要是完成新医院内部网络与互联网，广域网的交互，是集团新医院网络与外部环境之间的关口，所以互联网网络区域的安全设计重点是防范来自外部的攻击。防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop)、端口扫描(portscanning)、IP欺骗(ipspoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。防火墙部署在互联网出口的前面，实现对内部用户访问互联网，互联网访问集团新医院DMZ内部服务器的网络流量进行控制，提供对集团新医院内网和DMZ服务器的保护。为避免单点故障，互联网出口防火墙推荐双机冗余部署，同时在互联网出口防火墙安全设备需部署发下安全控制策略：♦防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；在防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问网络中的指定的资源，严格限制网络用户对网络服务器的资源,以避免网络用户可能会对网络的攻击、非授权访问以及病毒的传播，保护网络的核心数据信息资产；配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；♦配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为；♦在防火墙开启NAT地址转换功能，实现医院内部访问访问Internet的需求；6.4核心交换机防火墙安全模块设计由于核心层不仅是数据转发的核心，更是集团新医院全网的安全策略核心，核心设备应具有较高的安全性能，同时在核心层实现全网的安全域分离。为了避免过多的部署安全设备带来的策略部署问题、管理问题、设备可靠性等问题，应在核心交换机上部署支持虚拟防火墙功能的高性能防火墙模块，灵活的执行安全策略.在核心交换机部署了防火墙安全模块，利用虚拟墙技术，可保证整个内网都可以受到防火墙安全模块的保护:在核心交换机部署防火墙安全模块（插卡）具备以下优点：性价比高：同等性能安全插卡相对于盒式设备，价格都只低不高。万兆性能防火墙插卡尤其明显。可靠性强：基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。在核心交换机上部署的任何一块插卡出现故障，可以通过Bypass方式使得流量自动绕过故障插卡，保证业务流正常处理和转发，不会出现单点故障。■扩容贴心：采用盒式设备串联部署，遭遇性能瓶颈时只能更换设备，而插卡弹性扩容，性能即可倍增。组网方便：交换机的各种业务接口都能为插卡所用，可是实现安全业务无限扩展。布线轻松：网络安全一体化，一个机框解决所有需求，扫除一切蜘蛛网。空间节省：一个机框融合多种安全功能，大大减少盒式设备的数量，机房空间也大大节省。6.5数据中心区入侵防御系统设计（建议）防火墙工作在L2〜L4层上，无法“看”至0L4层以上的安全威胁，而传统的IDS（入侵检测系统）作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要IPS（入侵防御系统）来解决下面这些L4~L7层的安全问题：♦恶意网页♦蠕虫病毒♦后门木马♦间谍软件♦DoS/DDoS♦垃圾邮件♦网络钓鱼♦系统漏洞♦网页篡改♦ .....推荐在医院数据中心区前面部署IPS安全设备，通过IPS保证内网数据中心区服务业务L4〜L7层的攻击防护，如：病毒、蠕虫与木马程序。通过数据中心区IPS4-7层的安全防范和核心交换机防火墙2-4层组合防御，可保证服务器区2-7层的网络安全;IPS设备部署方式和核心交换机一样，在数据中心接入交换机部署IPS插卡：/据电曲呕存储rfflh__Wb角0）存储；SAN交涣就IPS安全模块IPSIPS安全模块IPS建模块防火墙建模块6.6内网PC终端接入安全设计在医院或政府内部网络中，新的安全威胁不