医院智能化计算机网络系统建设技术方案.docx
- 文档编号:29840094
- 上传时间:2023-07-27
- 格式:DOCX
- 页数:47
- 大小:611.98KB
医院智能化计算机网络系统建设技术方案.docx
《医院智能化计算机网络系统建设技术方案.docx》由会员分享,可在线阅读,更多相关《医院智能化计算机网络系统建设技术方案.docx(47页珍藏版)》请在冰豆网上搜索。
医院智能化计算机网络系统建设技术方案
医院智能化计算机网络系统建设技术方案
1.1网络方案建议
*****医院信息化网络建设项目将实现*****医院办公、应用、管理、有线无线一体化等各项功能,使网络适应用户业务的发展,实现网络应用、管理及办公的自动化,提高工作效率,降低运营成本。
利用目前先进的网络设备建设现代化办公环境,将网络所带来的便利引入到工作中,高速网络及无线网络的应用将提高网络在工作环境的满意度。
为了实现上述目标,在本次网络建设项目中,网络建设将本着高可靠、高安全、高效率、高扩展性,建设先进的、成熟的、稳定的办公网络。
网络总体设计构建策略
为切实达到以上的网络设计原则,实现*****医院网络建设目标,使*****医院网络系统具有良好的扩展性和灵活的接入能力,并易于管理,易于维护,在网络设计及构建中采用网络“模块化”设计,即按照网络需要实现的功能与作用,对网络进行功能模块的划分,形成多个实现不同功能的区域。
网络管理区将对网络的性能、安全的各方面提供监控及管理,将成为本次网络建设的重点内容。
无线接入点采用华三的“瘦”AP,通过无线控制器对AP进行控制。
该产品大大减化了无线网络的配置及管理成本。
同时,可以实现有线、无线安全策略的无缝连接。
1.2网络拓扑图
1.3相关设备性能介绍
1.3.1*****路由器
*****产品(以下简称SR6602-X)是H3C自主研发面向中高端企业网、校园网用户的紧凑型综合业务网关路由器,定位于中大型企业、校园网、网吧的VPN、NAT、IPSec等综合业务网关使用,同时,也可以应用中型纵向网络汇聚、高端企业用户大型分支和运营商可管理高性能CPE市场,配合H3C其他网络产品为政府、电力、金融、公共事业、运营商和大中型企业用户提供全方位网络解决方案。
*****万兆网关模式是SR6602-X提供的一种设备工作模式,该工作模式针对校园网出口、企业网出口、网吧等应用的特点和性能需求,做了专门的优化,将出口网关的NAT转发性能一举突破万兆,并且在网关特性的功能和性能二者之间达到了完美的平衡。
*****率先在业界同类产品中提供双万兆以太网固定接口,凭借新一代更高性能的网络多核处理芯片,可实现整机万兆线速的处理性能。
*****软件上采用H3C成熟商用的ComwareV5操作系统,后期可以平滑升级到ComwareV7操作系统,硬件上采用新式灵活接口设计,在保证高性能和灵活配置的前提下,最大化保护用户投资,充分满足不同行业用户组网需求。
⏹产品特性
Ø业界领先的开发理念
*****双万兆网关基于业界领先紧凑型设计理念,在2U高设备上不仅集成高密度高速端口,支持FIP-20和FIP-10灵活接口设计,还实现了可插拔冗余电源和模块、风扇可插拔功能,在保证设备高可靠性、网络配置灵活性的同时确保业务模块的兼容性,最大限度保护用户投资。
*****万兆网关采用高性能多核处理器作为NAT业务处理引擎,多核多线程处理器的应用,使SR6602-X万兆网关具备高性能和灵活性等特点,从而在并行处理各种复杂的NAT业务同时能够实现数据的高速转发。
Ø新一代网络操作系统
*****双万兆网关可以平滑升级到新一代的ComwareV7网络操作系统。
ComwareV7控制平面采用多核及SMP(SymmetricalMulti-Processing对称多处理)技术,各软件模块有独立的运行空间,可以动态加载、单独升级,支持ISSU。
ComwareV7能够保证关键业务性能及实时性。
支持指定进程集合运行在专有的CPU上,为关键任务的运行提供资源保障、线程的抢先调度及合理的优先级设置,保证系统CPU负荷高时,有实时性要求的功能仍然可以及时响应事件进行处理。
ComwareV7能够提供良好的进程级可靠性。
支持进程内存保护、进程级重启、进程级备份、进程级补丁等技术。
Ø先进的虚拟化技术
*****双万兆网关支持虚拟化IRF2,可以把多台SR6602-X设备虚拟成一台逻辑设备,统一控制平面、统一转发平面,可以减少网元节点数量、简化网络配置、提高网络可靠性。
*****双万兆网关支持虚拟路由器MDC,把一台SR6602-X通过软件虚拟化成多台逻辑网络设备,硬件上虚拟设备享有独立的CPU、内存、板卡等资源,软件上虚拟设备享有独立的控制平面、数据平面和管理平面,虚拟路由器之间相互独立、互不影响,为用户提供弹性扩展的租用逻辑网络。
Ø超高的NAT业务性能
SR6602-X的网关模式具有双万兆的强大NAT业务性能:
SR6602-X网关模式NAT会话数最高支持400万;在叠加NAT、防火墙以及策略路由等常见网关应用的情况下,256字节报文转发性能可以达到15Gbps。
在并发200万NAT连接时,256字节以及IMIX互联网混合报文的NAT转发性能仍然仍可超10Gbps。
SR6602-X强大的NAT转发性能,完全可以满足各种超大型园区网出口的性能要求,并能满足用户今后出口带宽扩容需求。
Ø灵活的出口选择技术
作为网关出口经常要面对双出口或多出口的情况,SR6602-X的网关模式支持灵活的出口选择技术:
在内部用户访问Internet方向,采用灵活的路径选择技术,可以根据出口网络资源利用情况、内部用户的访问需求、目的网络地址所属运营商、基于用户应用等因素,规划网关出口的选择;在Internet用户访问内部服务器方向,可以根据Internet用户入内部网络的运营商线路,智能选择该用户回程流量的运营商线路,保证入出网关流量的路径一致;另外,在多出口场景时,还可以基于EAA功能解决个别出口超负载后的流量调整问题。
针对出口链路设定一定的阈值,达到阈值后可以调整部分流量到负载较为空闲的链路上。
Ø强大的带宽控制能力
在网关应用中,随着P2P、多线程FTP等应用的不断普及,这些多线程的应用正在越来越多的吞噬着本来就非常有限的出口带宽资源,如果不对这些应用加以限制,它们会消耗全部的带宽资源,使关键业务应用无法正常开展。
ØSR6602-X万兆网关提供了强大的带宽控制能力:
SR6602-X的网关模式支持实用的NAT连接数限制功能:
网络管理员可以灵活设定用户可使用的并发连接数上限,这样当多个用户上网时,不会发生因某一用户过多开启上网应用系统而导致侵占其它用户连接数资源。
SR6602-X的网关模式还可以对网络中一台主机的特定协议进行连接数限制,如内网Web服务器的HTTP连接数,从而避免内网服务器受到flood攻击,同时也提升了服务器对外部访问的及时响应。
支持灵活的每用户限速功能:
可以根据需要对内网的个别IP地址、IP网段进行限速,每个用户的带宽可以设为一个固定值或者网段所有用户平均分享出口总带宽。
通过带宽的控制能力可以将用户的可用带宽限制在一个合理的范围内,防止个别用户无限制消耗出口带宽资源。
SR6602-X万兆网关还支持强大的QoS拥塞管理功能:
通过配置CBWFQ等队列技术,即使在出口极度拥塞的情况下,也能保证网络关键业务的带宽和时延。
主备网络的带宽管理:
充分利用备份网络资源,主网络资源紧张的情况下,根据事先设定好的策略,将一部分数据流量重路由到备份网络上进行数据传输,使闲置的资源可以得到充分利用达到100%使用;
UCMP非平衡链路负载均衡:
UCMP区别于传统的ECMP,其最大特点是利用权重值来区别对待带宽的使用,使得两条不同带宽的出口,可根据带宽大小不同来承担不同的数据流量传输;
Ø完善的传统VPN网关
作为大型企业的出口网关设备,在部署NAT功能的同时,还可能需要部署各种VPN应用。
SR6602-X万兆网关全面支持GRE、L2TP、IPSec等VPN功能,借助多核处理器内嵌的强大加密引擎,可以为用户提供大容量、高性能的安全VPN接入。
在硬件上支持独立的硬件加密内核,在不增加用户投资的前提下可提供8GbpsIPSec数据加密处理能力,6000条IPSec隧道、32000条L2TP隧道、4000条GRE隧道,高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求,保证用户数据在广域网的传输安全。
Ø技术领先的ADVPN和GDVPNKS网关
传统VPN技术在灵活性和可维护性上还存在着不足,例如企业分支机构通常采用动态地址接入公共网络,通信一方无法事先知道对端公网地址,以及全连接时配置的12N2'>问题等等。
H3C针对上述用户业务需求,提供专业ADVPN(AutoDiscoveryVirtualPrivateNetwork,动态虚拟专用网络)解决方案和GroupDomainVPN(GroupDomainVirtualPrivateNetwork,组域虚拟专用网络)是一种实现密钥和安全策略集中管理的VPN解决方案。
ADVPN是通过VAM(VPNAddressManagement,VPN地址管理)协议收集、维护和分发动态变化的公网地址等信息,解决无法事先获得通信对端公网地址的问题。
ADVPN可以在企业网各分支机构使用动态地址接入公网的情况下,在各分支机构间建立VPN。
在组网的灵活性以及维护工作量精简都有大幅提高,此外还提供很多丰富的特性,例如:
ADVPN报文的NAT穿越、安全认证、IPSec的报文加密以及多VPN域等等。
GroupDomainVPN是一种实现密钥和安全策略集中管理的VPN解决方案。
传统的IPsecVPN是一种点到点的隧道连接,而GroupDomainVPN是一种点到多点的无隧道连接。
GroupDomainVPN主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。
GroupDomainVPN提供了一种基于组的IPsec安全模型。
GroupDomainVPN由KS(KeyServer,密钥服务器)和GM(GroupMember,组成员)组成。
SR6602-X万兆网关不仅可以充当GM角色,更可以充当KS网关.。
GDVPN相比较传统的IPsecVPN,GroupDomainVPN具有如下优点:
网络扩展性强。
传统的IPsecVPN中,每对通信对等体之间都需要建立IKESA和IPsecSA,管理复杂度为12N2'>,而GroupDomainVPN中所有组成员之间共用一对IPsecSA,管理复杂度低,可扩展性更好。
无需改变原有路由部署。
传统的IPsecVPN是基于隧道的VPN连接,由于封装了新的IP头,需要重新部署路由。
GroupDomainVPN不需修改报文IP头,报文外层封装的新的IP头与内层的原IP头完全相同,因此,不需要改变原有部署的路由。
更好的QoS处理。
传统的IPsecVPN由于在原有IP报文外封装了新的IP头,报文在网络中传输时,需要重新配置QoS策略。
GroupDomainVPN保留了原有的IP头,网络传输时可以更好地实现QoS处理。
组播效率更高。
由于传统的IPsecVPN是点到点的隧道连接,当需要对组播报文进行IPsec保护时,本端需要向组播组里的每个对端均发送一份加密报文,因此组播效率低。
GroupDomainVPN是无隧道的连接,只需对组播报文进行一次加密即可,本端无需单独向每个对端发送加密报文,组播效率高。
可提供any-to-any的连通性。
所有组成员共用一对IPsecSA,同一个组中的任意两个组成员之间都可以实现报文的加密和解密,真正实现了所有节点之间的互联。
Ø全方位的网络安全防护
SR6602-X内置多种安全特性,为用户的网络提供全方位安全防护:
Ø全面的防火墙功能:
支持包过滤防火墙、状态防火墙,过滤各种攻击报文,并能提供过滤日志。
特有的ACL加速算法,消除了ACL过滤规则数目对防火墙性能的影响;
Ø全面的内置防攻击手段:
支持各种ARP防攻击技术,如:
ARP限速、ARPProxy、授权ARP、ARP主动确认、ARP源MAC一致性检查等等,可以很好地防范内网中日益猖獗的ARP攻击,保证网络业务运行的稳定性;
单包攻击防范:
可以对Fraggle、ICMPRedirect、ICMPUnreachable、LAND、LargeICMP、RouteRecord、Smurf、SourceRoute、TCPFlag、Tracert、WinNuke等单包攻击行为进行有效防范;
扫描攻击防范:
攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和启用的服务类型,为进一步侵入目标系统做准备;
泛洪攻击防范:
有效阻止SYNFlood攻击、ICMPFlood攻击、UDPFlood
黑名单功能:
根据报文的源IP地址进行报文过滤的一种攻击防范特性。
同基于ACL(AccessControlList,访问控制列表)的包过滤功能相比,黑名单进行报文匹配的方式更为简单,可以实现报文的高速过滤,从而有效地将特定IP地址发送来的报文屏蔽掉;
流量统计辅助攻击防范:
主要用于对内外部网络之间的会话建立情况进行统计与分析,具有一定的实时性,可帮助网络管理员及时掌握网络中各类型会话的统计值,并可作为制定攻击防范策略的一个有效依据;
Ø支持URL过滤,避免用户访问非法网站;
完备的用户行为跟踪记录:
支持完善的日志功能,配合H3C公司的iMCUBAS(用户行为审计)解决方案,使网络管理员可以方便监控上网用户的行为,保证网络安全运行。
Ø良好的接口扩展性
*****网关路由器凭借灵活接口平台设计具备强大的扩展能力。
FIP-10可同时支持4个多功能接口模块(MIM),FIP-20可以同时支持2个高速接口模块(HIM)或2个多功能接口模块(MIM),并支持HIM和MIM接口模块之间混插。
SR6602-X网关模式可以支持FE、GE以及10GE等多种速率的以太接口卡,在接口介质上可以支持电口和SFP光口,光口还可以支持百兆、千兆自适应。
用户按需购买,应用灵活方便。
Ø强大的路由处理能力
*****网关路由器支持大容量路由转发表项,同时支持丰富的路由策略和强大的策略路由功能,可对网络流量进行灵活的控制和调度,满足行业和运营商用户不同业务特性要求。
此外,*****还全面支持基于IPv4/IPv6静态路由和动态路由协议,如:
RIP/RIPng、OSPF/OSPFv3、IS-IS/IS-ISv6、BGP/BGP4+等。
Ø运营级可靠性设计
SR6602-X秉承高端设计理念给用户提供全面的可靠性保障:
在硬件上,提供可插拔电源冗余设计,支持交流或直流电源输入,保证用户在一路电源故障的情况下能够继续运行设备;支持全部接口模块的热插拔功能,确保用户在不间断业务的情况下插拔或者更换单独的模块,并提供热补丁技术,实现软件平滑升级。
支持MPLSTEFRR(FastReRoute,快速重路由),具备快速路由备份(FRB:
FastRoutingBackup)特色功能,并结合BFD功能,实现故障链路的快速切换。
支持IPFRR(FastReRoute,快速重路由),可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动,并可以结合BFD功能,实现故障链路的快速路由切换。
Ø支持IGP快速收敛。
支持虚拟路由冗余协议(VRRP),结合BFD故障检测机制,实现快速的VRRP倒换能力。
此外,还支持增强型虚拟路由冗余协议(VRRPE),可实现多个虚拟路由器的负载分担功能。
支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR(GracefulRestart,完美重启)功能实现主备引擎倒换时不间断转发。
1.3.2H3CSecPathF1000-S-G防火墙
SecPath系列产品是H3C公司为企业和运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上,不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关的总体拥有成本以及部署的复杂程度,是网络安全解决方案的理想选择。
SecPath系列产品作为H3C公司iSPN(智能安全渗透网络)解决方案的重要组成部分,已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。
SecPathF1000-S-G是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。
支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(ApplicationSpecificPacketFilter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、SSLVPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由。
SecPathF1000-S-G防火墙充分考虑网络应用对高可靠性的要求,采用互为冗余备份的双电源(1+1备份)模块,支持交、直流输入电源模块;支持双机状态热备,支持Active/Active和Active/Passive两种工作模式。
提供机箱内部环境温度检测功能,并支持网管。
⏹产品特性
Ø市场领先的安全防护功能
增强型状态安全过滤:
支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C特有ASPF应用层报文过滤(ApplicationSpecificPacketFilter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245,RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控。
抗攻击防范能力:
包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。
应用层内容过滤:
支持IPS以及AV防病毒功能,能够有效精准的进行入侵检测;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTPURL和内容过滤;支持应用层过滤,提供Java/ActiveXBlocking和SQL注入攻击防范。
多种安全认证服务:
支持RADIUS和HWTACACS协议及域认证;支持基于PKI/CA体系的数字证书(X.509格式)认证功能;在PPP线路上支持CHAP和PAP验证协议;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。
集中管理与审计:
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
全面NAT应用支持:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能,能够有效解析报文内部所携带的IP地址并予以相应转换,保证NAT设备两端的应用层协议访问正常。
Ø专业灵活的VPN服务
支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN等多种VPN业务模式。
Ø技术领先的IPv6
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。
支持IPv6各种过渡技术,包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等。
支持IPv6ACL、Radius等安全技术。
Ø智能网络集成及QoS保证
支持路由、透明及混合运行模式
支持静态路由协议
支持RIPv1/2、OSPF、BGP动态路由协议
支持路由策略及策略路由
支持基于802.1qVLAN
支持PPPoEClient
DHCPClient/Server/Relay
Ø电信级设备高可靠性
支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。
支持机箱内部环境温度自动检测,并可通过网管自动采集告警信息。
双电源冗余备份。
Ø极具性价比的多业务特性
集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换。
一体化集成SSLVPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。
Ø智能图形化的管理
通过Web方式进行远程配置管理。
通过H3C网管软件实现与网络设备的统一管理。
支持基于SNMP和TR-069协议的管理。
通过IMCIVM组件对VPN进行动态和图形化的业务管理和状态监控。
1.3.3H3CS7500E系列高端多业务路由交换机
H3CS7500E(X)系列产品是*****(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,以IRF2(IntelligentResilientFramework2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E(X)符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
⏹产品特性
Ø丰富的业务,适应融合业务网络发展趋势
Ø基于IRF2(第二代智能弹性架构)技术的虚拟化架构
H3CS7500E(X)面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供2-4台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分;另外H3C的IRF2虚拟化技术还可根据组网的要求支持长距离(80KM)的普通以太网万兆光纤堆叠。
Ø全面的MPLS、VPLS业务能力
H3CS7500E(X)所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella);支持MPLSOAM特性,方便用户的管理和维护;与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
Ø高性能IPv4/IPv6业务能力
H3CS7500E(X)支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3CS7500E(X)采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 医院 智能化 计算机网络 系统 建设 技术 方案