医院局域网设计.docx

医院局域网设计.docx

《医院局域网设计.docx》由会员分享，可在线阅读，更多相关《医院局域网设计.docx（18页珍藏版）》请在冰豆网上搜索。

医院局域网设计

摘要

本设计方案是关于兰大一院局域网的设计,设计方案分为三个模块:

交换模块、Iｎterneｔ接入模块、远程访问模块。

根据各科室职能不同把交换模块划分为不同的VLＡN，从而减少了广播冲突提高了传输效率，通过部署ACＬ限制用户的访问，有效地保护敏感数据，提高了网络安全性。

借助三层交换机的路由功能,可以实现各ＶLAN间数据包高速转发,解决ＶLAＮ之间的传输瓶颈。

Ｉntｅｒｎeｔ接入模块功能主要通过路由器来实现,它的作用主要是建立外网和医院网的正常通信。

使医院网的用户访问Inｔerｎｅt同时Interneｔ用户能在一定程度上访问医院网。

通过配置ＮAＴ（NetAddrｅｓsTransｌatｉon）,不仅是企业网用户可以访问Inteｒnet，而且对外隐藏企业网内部地址，从而实现地址保护。

远程访问模块是针对移动用户设计的。

通过VPN（VirtualＰrivateNetwｏrｋ）技术可以在公共网络的两个端点间建立一条逻辑连接，使在外办公人员可以通过Iｎｔeｒneｔ访问医院内部网，极大地提高了办公效率，同时免去了高昂的专线租用费用。

关键词:

兰大一院;局域网；VＬAN

前言

随着网络技术,信息通信领域的长足发展,网络经济,知识经济再不是IＴ等高科技行业的专利，当今社会信息化进程迅猛发展,网络技术已经对社会,经济和文化各方面产生重大影响,并将改变人们认识世界,思考世界的观点和方法。

作为传统行业之一的医疗卫生行业,如何面对网络时代带来的冲击,如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量,是无法回避的问题。

为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神，进一步推进医疗行业的信息化建设，了解国际医疗信息化发展动态,吸收新的技术和管理经验，提高医卫系统信息化应用的管理水平，使医院经济效益和社会效益双丰收,全国各省都在逐步加快医院的信息化建设步伐。

传统医疗卫生行业正利用其行业特点，汲取网络技术精华,努力创造着医疗卫生行业的又一个春天。

未来是美好的,但现实不可回避。

在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。

锐捷网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了医疗行业对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要,精选出适合的网络建设的解决方案。

目　录

1案例描述ﻩ1

1．1兰大一院历史ﻩ1

1.2兰大一院简介ﻩ１

２需求分析ﻩ２

2.１带宽2

２．３实现的信息服务3

２.4应用程序ﻩ４

２.5存储系统分析ﻩ5

2．6系统及数据安全性分析ﻩ6

２.7　网间隔离6

3　拓扑图及方案整体描述8

3．２Ｉntｅrnet接入方案8

3.3远程访问支持ﻩ８

３．4子网划分与VＬAN设定8

3.５存储方案ﻩ1０

3.6设备选型ﻩ11

3．７软件１３

4　设备报价ﻩ１５

设计总结ﻩ17

参考文献1８

致谢19

1案例描述

１.1兰大一院历史

兰州大学第一医院始建于１94８年。

1954年随兰州医学院独立建院，更名为兰州医学院附设医院。

19５7年附设医院在兰州市东郊（现址）建成医院大楼，正式定名为兰州医学院附属医院。

19５9年附属医院一分为二，我院更名为兰州医学院第一附属医院。

2004年随兰州医学院并入兰州大学，更名为兰州大学第一医院。

现已成为一所集医疗、教学、科研、预防、保健、康复、急救为一体的大型综合性“三级甲等医院”。

1.2兰大一院简介

医院占地面积约1０万平方米，建筑面积余约１6万平方米。

设有45个临床科室，1５个医技科室,实际开放床位1１00张。

在职职工1700人,其中专业技术人员1６0０人,４０5人具有高级技术职称，享受国务院特殊津贴专家11人,省厅级学科带头人3０人。

甘肃省心血管医院、甘肃男科医院、甘肃省眼科复明中心、甘肃省糖尿病咨询中心、甘肃省准分子激光治疗中心、甘肃省新生儿疾病筛查中心设在我院，我院血液病专业、心血管外科、内分泌专业、传染病专业、呼吸专业、药剂专业、普通外科专业、小儿外科、心电生理介入专业、辅助生殖医学中心、为重病学专业、妇科肿瘤专业、小儿内科等１３个科室被省卫生厅命名为全省重点专业科室。

地域分布图如图1.1所示：

图１.１地域分布图

ﻬ2需求分析

2．1带宽

现代企业网络应具有更高的带宽，更强大的性能，以满足用户日益增长的通信需求。

随着计算机技术的高速发展,基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，不仅要继续承载企业的办公自动化，Web浏览等简单的数据业务，还要承载设计企业生产运营的各种业务应用系统数据,以及带宽和要求很高的IP电话、视频会议等多媒体业务。

因此，数据流量将大大增加,尤其对核心网络的数据交换能力提出了更高的要求。

另外，随着千兆位端口成本的持续下降，千兆位到桌面的应用会在不久的将来成为企业网主流。

构建一个畅通无阻的“高品质”企业局域网，才能适应网络规模的扩大，业务量的日益增长的需求。

接入速率最基本的是由端口速率决定的。

在以太网终端用户中，接入速率通常是按1０Mbps、100Mbｐs和1000Mbps3个档次划分，不过目前通常是要求百兆位到桌面，支持1０/１00Ｍｂps自适应速率即可。

对于骨干层、核心层的端口速率通常需要支持双绞线、光纤到千兆位，甚至到万兆位速率。

因为本次设计主要针对的是兰大一院,使用四芯单模光纤将每个楼与中心机房连接起来，连接带宽达到1Ｇｂｐs。

楼层交换机到各楼层使用超五类双绞线，连接带宽达到1０0／１000M，而室内全部使用超五类双绞线,连接带宽达到10／１00M。

中心交换机具有很高的可用性、扩展性。

２．2子网与VLAN规划

在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷，还能为以后的网络扩展打下良好的基础。

ＩP地址的合理是保证网络顺利运行和网络资源有效利用的关键。

校区IＰ地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。

具体地来说ＩP地址的合理规划有如下的意义：

1.　减少对各种资源（内存、CＰU的处理能力以及网络带宽等）的需求——IP地址的合理规划有利于网络中路由的汇聚,因而可以使得路由器中的路由表数目以及链路状态数据库等占用的内存减少,同时更新所占用的网络带宽也降低了;

2.有利于IP地址空间的合理使用；

3.优化业务流量的分布；

４.有利于故障诊断。

IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对校区网的可用性、可靠性与有效性产生显著影响，应充分考虑本地网对IＰ地址的需求，以满足未来业务发展对IＰ地址的需求。

根据各部门职能不同把各部门划入不同的VＬＡN减少了广播,提高了通信效率。

VＬAN就是虚拟局域网的意思。

VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个ＶLAN。

同一个ＶLＡN中的成员都共享广播，形成一个广播域，而不同VＬAN之间广播信息是相互隔离的。

这样，将整个网络分割成多个不同的广播域（VLＡN）。

一般来说，如果一个VLAN里面的工作站发送一个广播,那么这个VLＡN里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他VＬAN上的任何一个端口。

如果要将广播发送到其它的VLAＮ端口，就要用到三层交换机。

网络拓扑图如图2．1所示：

图２．1网络拓扑图

2.３　实现的信息服务

为了实现办公自动化部署了web服务器，存储门诊与挂号记录的服务器,存储售药与收费记录的服务器，视频服务器。

Web服务器方便内网用户对医院网站的一些内部资源进行共享以及内网用户进行一定的外网访问。

视频服务器用于科教楼部署视频多播。

其他两个服务器主要用于实现OA,使得员工的工作效率更高。

2.4应用程序

WｅｂServeｒ采用　Windoｗs　NTＳerver4.0中文版；　采用Nｅtwaｒe4.1１或Ｎetwaｒｅ４.5．0中文版;如果预算宽裕,则可在Web　Servｅｒ　使用MicrｏsofｔBacｋＯfｆｉceSmaｌlBusinessＳｅrver4．０。

Microsoｆt　BackOffｉｃe　Ｓmall　BｕｓｉnessServer４.0软件包不仅在安装、配置、使用上更为简单，并囊括了服务所需的全部软件，支持Noveｌｌ、WindｏwｓNＴ　及Winｄowｓ95或Windows98对等网络等流行的操作系统,支持通用大型数据库，如SＱL、Oracｌｅ等。

交换机的配置程序如下所示：

S-3560-A（ｃonfiｇ）#iｎtg0／1

S－3560-A（coｎfig-if）#nｏ　sｗitcｈpoｒｔ

S-3５60-Ａ（ｃｏnfig－if）#ipadd192．１68.2.2２55.255．２5５.0

//为G0／１接口分配ＩP地址

S-3560－A（config-if）＃inｔg0／２5　//进入g0/25端口

S－35６０-A（cｏnｆig－iｆ）#nｏswitchporｔ

Ｓ-3560-A（cｏnfｉｇ－if）#ｉｐａdｄ192.１６8．3.1255.2５５.２55.０

S－3560-A（config-if）#inｔ　g0/２６

S－3５60－A（cｏｎfig-if）#noｓｗitｃhpoｒt

S-3560-A（confiｇ-if）#iｐadd1９2.168．4.12５5.２55.255.0

S-3560-Ａ（ｃonfig-iｆ）#iｎt　g0/27

S－35６0-A（coｎｆiｇ-if）#no　sｗiｔchport

S-35６0-Ａ（config－ｉf）＃ip　adｄ１92.16８．５.１2５5.255．25５.０

Ｓ-3５6０-Ａ（ｃonfig-iｆ）#ｉnｔg0/28

S－356０-A（confiｇ-ｉｆ）＃noswitchpoｒt

S-3560－Ａ（ｃonfig－if）#ipadd192.168．6.1　255.255．２５５.0

S-3５６0-A（conｆｉg-if）＃ｅｘit

S-3560－A（ｃｏｎｆig）＃VLAN7／/创建服务器群VＬAN　7

S-3５6０－Ａ（cｏnfｉｇ－VLAN）#namefwq／/为VLAN命名为fwq

S-3５６0－A（ｃoｎfig-ＶLAＮ）＃iｎtVLＡN7

S-3５６０-Ａ（config－if）#ipaddress1９2.168．1.1　255.255．２55.0

／/为VＬＡN分配IP地址

S-３５6０-A（coｎfiｇ－if）#inｔranｇｅg0/2-1０／/将G0/２-G０/10端口加入到VLAN　7中

S-3560－Ａ（cｏnfig-if-rangｅ）#swiｔchｐoｒt　accessVLAN7

Ｓ-3560-A（cｏnfｉg）#iｐ　rouｔe　192.１68.10.02５５.255.25５．0192．16８.3．2　　

//VLAN10的数据流向G0/25端口

S-3560-A（ｃonfig）#iproｕtｅ　192.168.２０.0　2５５.２５5.255．0１９2．168.3．2

Ｓ-35６0-A（cｏnfｉg）#ip　route１92．16８．30.0２55.２55.25５.0　192.168．3.２

Ｓ-3５６0－Ａ（ｃonfig）#ｉｐroute1９2.16８.４０．0２５5.255.２５５.０1９２.168.3.２

S－３５60-A（ｃonfig）#ip　rouｔe1９2.１68．５０．0　255．255.２55.０１９2.168.4.２

／/VＬAN5０的数据流向G0/２6端口

S-３5６0-A（cｏnfig）#iｐroute1９2.168．６０.02５5.２５５．２55．０192．16８.4.2

S-3560-Ａ（conｆig）#iprｏute19２.168.７0.02５5.255.255.0192.1６８.４．２

Ｓ－3560-Ａ（cｏｎfig）#iｐrｏｕｔe１92．16８．80.0　25５.2５5.255．01９2.１68.4．2　

S-35６0-A（cｏnfｉｇ）#ｉprouｔe192．168.90.0２５5.2５5.２55.０192.168．5.2

／/ＶLAN　90的数据流向G0/２7端口

Ｓ－3560-A（confｉg）#ｉprｏｕte192.168．100.0　2５5．2５5.255.0　192.168.５.2　

Ｓ-3560-A（cｏnｆig）＃ip　ｒoute19２.1６8.110.0　２５5.25５.255.０　192.16８.6．2

//VLAN11０的数据流向G0/２8端口

Ｓ-3560-Ａ（confｉg）#ｉｐ　rｏuｔe192.168.120.0255.25５.２55．0192.168.6．２

S-3560-Ａ（ｃonfｉｇ）#iproute　０.0．0.00.0.0．0１92．168.2．1　

2.5存储系统分析

由于医院传统的网络应用中所有病人、医生、药物资源都存放在一台服务器上,具有高性能与高扩展能力的服务器成本较高,病人、医生、药物资源的访问服务会与应用服务争夺系统资源，造成网络服务效率的大幅下降;应用服务器的系统故障将直接影响资源数据的安全性和可用性，给医院的治疗工作带来不便。

针对这些问题，可以利用Ｖicｏuｎt网络存储来实现集中存储与分散存储。

2.6　系统及数据安全性分析

采用各种有效的安全措施，保证网络系统和应用系统安全运行。

安全包括4个层面:

网络安全,操作系统安全，数据库安全，应用系统安全。

由于Iｎteｒnet的开放性，世界各地的Iｎteｒnｅt用户也可访问企业网络,企业网络将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。

同时要建立系统和数据库的磁带备份系统。

本方案提供了丰富、全面的系统安全设计。

整个方案考虑了用户层面、设备、数据和管理的各个层面的安全需求,并进行了整体安全的设计。

设备方面，采用的各个层次的设备都支持了对自身负责层面的安全功能，从接入层、汇聚层到核心层,都进行了安全方面的考虑和设计;如接入层面提供的ＶLAＮ、802.１x保护接入层面数据和用户的安全。

防ARP功能、ACＬ功能提供对ＡRP病毒和常见的蠕虫、冲击波等病毒的防范。

数据层面，对数据在各个系统层面的传输都考虑的安全方面的设计。

管理层面，提供SＳHv１/v２的加密登陆和管理功能，在远程登录设备的时候发送的数据都是经过机密的，避免管理信息明文传输引发的潜在威胁;Telｎｅt/Weｂ登录的源IP限制功能，限制只有合法IＰ的终端才能登陆管理设备，避免非法人员对网络设备的管理;ＳNMPV３提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文，确保数据的机密性。

2.７　网间隔离

网络隔离技术是指两个或两个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享，也就是说，通过网络隔离技术既可以使两个网络实现物理上的隔离,又能在安全的网络环境下进行数据交换。

网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互。

目前，一般的网络隔离技术都是以访问控制思想为策略,物理隔离为基3　拓扑图及方案整体描述础，并定义相关约束和规则来保障网络的安全强度。

目前,网络隔离技术主要经历了如下几个阶段:

其一，完全隔离，该方法是对网络采用完全的物理隔离，但同时也大大增加了网络数据交互、资源共享、维护运营的成本;其二,硬件隔离,该方法通过在网络客户端添加硬件卡，并利用该卡来控制客户端来选择不同的网络接口,连接到不同的网络；其三，数据隔离,该方法的基本策略是利用转播系统分时复制文件的途径，但也存在访问速度缓慢等问题；其四，安全通道隔离，该方法是通过利用专用硬件、安全协议等方式来实现内外部网络的隔离,而且具有较高的数据交换、资源共享效率,并是未来网络隔离技术的重要发展趋势。

我们所用的是双网隔离方案。

这种方案适合大、中型机构的局域网布局。

在这样的机构中，原有的网络布局，按国家保密局物理隔离要求,必须分杵独立的内部安全网和外部公共网，内外网之间完全隔离。

公共网通过网关和路由器连接IＮTERNEＴ（视需要也要考虑安装防火墙、入侵检测及防病毒等安全防护措施）,而部分计算机则需要连接两个网络工作,这些连接了内外双网的工作站计算机需要安装网络安全隔离卡。

还有一些机构的网络由于内部功能的划分,本身就有几个分离的网络,采用我们的物理隔离方案将更好的把这些网络整和在一起，变为一个全范围公共网加上几个内部安全子网的多网互通的有效网络格局。

3拓扑图及方案整体描述

3.1主干网传输方案设计

根据现有的结构和设备，在充分考虑保护原有投资的情况下,采用模块化结构设计，实现医院网典型的星形结构。

主干网为核心交换机与各楼之间的网络。

整个结构规划成三层架构,核心－汇聚-接入。

核心和汇聚之间沟通全院网络的骨干,并采用双核心双链路设计。

在这种架构下,只要核心交换机出现错误，这个网络就会瘫痪,而每条支路出现故障，其他各支路不会受到影响。

这种结构下,规划了5个汇聚点:

服务器区域汇聚点、住院部汇聚点、行政楼楼汇聚点、内科楼汇聚点、外科楼汇聚点、门诊楼汇聚点、营养楼汇聚点。

这样的规划，实现了核心-汇聚-接入、双核心双链路、模块化分区。

全网的整体网络转发性能最高、全网的可扩展性最高。

3.2Ｉnterneｔ接入方案

接入层到网络中心一般距离都比较远，因此使用光纤从接入层接入到网络中心核心层以及汇聚层,而终端连接到接入层，网络中心设备之间的连接都是用以太网。

对于网络出外网，可以租用专线进行Iｎternet的接入，也可以使用城域网进行接入。

对于内网，为了保护内网私有地址的信息从而达到一定的安全性，并且也可以解决IＰ地址紧缺的问题,在出口路由器上使用NAＴ技术进行Ｉntｅｒnet的接入。

３．3　远程访问支持

由于医院能够申请到的IP地址非常有限,通常是十几个到几十个,所以不能给每台机器机器都分配合法的ＩP地址，为了保证每个节点都能浏览IＮTＥＲＮET上的丰富信息,需要采用代理服务器的方式，即选一台或几台服务器安装代理服务器软件PrｏxySeｒveｒ，绑定两个IP地址，其中一个是合法地址与保证可以访问到外面,另一个是内部的ＩP地址与保证可以被内部地址访问,所有终端都配成内部IP地址，当它们想访问外部网络的时候，先访问代理服务器,再由代理服务器访问外面,然后把访问结果带回来。

3.4子网划分与VLAN设定

了解了兰大一院相关科室的分布之后，决定按照科室而不是基于楼栋进行VＬAN的划分，这样划分之后能够将门诊大楼与相关的专科大楼联系起来,使得门诊医生与水平更高的相关专科医生之间能够快速的交流,让病人能够得到很好的服务。

内网VLAN划分如表3.１所示:

表３．１ＶLAＮ划分

VLAN号

ＶLAN名称

ＩＰ网段

网关

描述

VLＡN　100

Zhｏngdｕan

17２.16．0．０／２3

172.１６.０.１

终端控制

VLＡN１0２

Ｊｉzhen

１７2.16．2．0/24

１72.1６.2.１

急诊室

VＬAN1０4

Ｊiaｎcｈalei

17２.１6.3．０/24

１７２.１6.３.１

检查科

VLAＮ106

Erke

172．1６．４.0/24

１7２.16．４.１

儿科

ＶＬAN　１08

Ｇuke

1７２.16.5.0／２4

１72.16.５.1

骨科

VLＡＮ１10

Puwaｉke

172．16.6.０／24

１72．16.6.1

普通外科

VＬAＮ１12

Minｉaoke

17２．16．７.0/24

172.１6.7.1

泌尿科

ＶLＡＮ114

Zhengxｉng

172.1６.8.0/２４

１72.1６8.８.1

整形外科

VLAN　１16

Kangfuke

172.16.9.０/2４

172.16．9.1

康复科

VLAN118

Zhoｎgliuke

1７2．１6.10．０/24

17２.16.10.1

肿瘤科

VLAＮ120

Gａndanke

172.16.11.0/23

17２.１６.11.１

肝胆科

VLAN1２2

Ｓhenｋe

1７2.１6．13.0／24

１7２．1６.１３.１

肾科

VＬAN　１2４

Xｉnxiongke

１72.１6.14．０/24

172.16.1４.1

心胸外科

VLAN12６

shｅnｊingke

１72.16.１5.0/２４

172.16．1５.1

神经科

VLAN１28

Ｌaonｉanｋe

172.1６.16.0/24

17２.１6.16.１

老年病科

ＶLAN130

Fukｅ

172．16.17.０/２4

１72.１６．１7.1

妇科

VLAN　132

Huｘｉｋe

1７2.1６．１8.０／24

１72.1６.18.１

呼吸内科

VＬAN　13４

Xｉaohuake

17２.16.19.0/24

172．16.19．1

消化内科

ＶLAN136

Ｎeiｆenmi

１72.16.20.0/２4

172.１6.２０．1

内分泌科

VLAN13８

Xｕｅyekｅ

１72.16.２1.0/２4

172．１６.２1.1

血液科

VＬＡN１40

Ｙａnｋｅ

172.16.2２.０／24

172.16.22.1

眼科

VLAN　142

Erbihｏuke

1７2.16.２3．０/24

172.１6.23.1

耳鼻喉科

VLＡN144

Miniaoke

172.1６.２7．0／２4

１72.16．2７.1

泌尿科

ＶLAＮ148

Hｕaｙanｓhi

1７2．1６.2８.0/24

1７2．16.2８．1

化验室

VLAN　１5０

Yaｏfａnｇ

172.16.２9.０/24

172.16．29.１

药房

服务器ＩP地址的规划如表3．2所示：

表3.2　服务器ＩＰ地址的规划表

服务器功能说明

ＩＰ地址

视频服务器

172.１6.3６．２４

Weｂ服务器

1７2.16．36．25

DNS服务器

１７２.1６.2０0.26

DHCP服务器

172.1６.200．2７

存储挂号与门诊记录服务器

１7２.１6．36.28

存储售药与收费记录服务器

１72.16.３6．２9

网管ＶLAN地址的划分如表３.3所示:

表3.３网管VLＡN地址划分表

网管VLAN

网管地址及掩码

网关

描述

VLAＮ１6０

１72.16.35.0／27

172．1６.35.1

外科楼交换机网管

VLＡN　170

１７2.16．３５.32/２7

172.1６．35．33

内科楼交换机网管

VLAN　180

172.16．35.64／27

1７2.16.３5.6５

门诊楼交换机网管

VLＡN１90

１72.16．35．９6/27

１72.16.35.９7

营养楼交换机网管

VLAＮ　２0０

1７2.16.３5.128/27

172.16.３5.129

行政楼交换机网管

VLAN210