河北省人民医院网络建设项目建议书.docx
- 文档编号:8485118
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:48
- 大小:492.83KB
河北省人民医院网络建设项目建议书.docx
《河北省人民医院网络建设项目建议书.docx》由会员分享,可在线阅读,更多相关《河北省人民医院网络建设项目建议书.docx(48页珍藏版)》请在冰豆网上搜索。
河北省人民医院网络建设项目建议书
河北省人民医院网络建设项目
建
议
书
河北龙信科技有限公司
2007年1月
一、项目背景
随着信息技术发展的日新月异,医院信息化建设也在日益加快,如何更好的实现医院智能网络的构建,满足医院内各楼层间轻松安全的信息交换,从而充分利用网络的高效、及时的优势,同时为日后网络的拓展与建设做好全面的考虑,有效的利用整个网络的业务能力,成为了医院信息化建设的重要问题。
河北省人民医院是一所集医疗、教学、科研、预防保健和康复为一体的、功能齐全的大型综合性医院,承担着河北地区重症病人的会诊和急救。
河北省人民医院于1959年6月在天津筹建。
从1964年开诊时的300名职工,150张病床的小型保健性医院,发展成为现在拥有1500余名职工,800多张病床的省级综合性三级甲等医院。
这中间主要经过了天津时期、石市正定路暂住时期和迁移现址。
医院现在拥有总值4200万元的国际先进诊治设备,属国际、国内先进设备。
目前,随着医院信息化建设的兴起与日趋的完善化,医院智能网络的建设就成为了重中之重,同时医院的住院部大楼竣工在即,医院主要由住院楼、医技楼、门诊楼等多个建筑组成。
搭建一个稳定、高效、安全、可管理并可持续发展的网络基础平台来承载医院的应用,如HIS、LIS、PACS等系统成为当务之急。
二、医院的需求
医院的网络建设方案要在满足今天各种信息的传输要求和适应未来网络的发展之间寻求一个最佳的平衡点。
因此,河北省人民医院对于网络建设有如下要求:
1.总体要求
首先,系统应具有一定的先进性、良好的安全性、稳定性、易管理性和扩展性,在当前投资下,实现网络的最佳应用;同时所建设的系统又能为将来网络进一步拓展及应用系统的发展、集成留有余地。
其次则要认识先进性和实用性的辩证关系,充分利用当今计算机与通讯技术的最新成果,从一个高的起点上开始发展,保证系统具有较长的生命周期,同时还要考虑资金、人力、应用等现有状况,把先进的技术和实用的产品融为一体。
此外,所选产品应符合国际技术规范和标准,具有开放性,支持多种协议和多种接口及跨平台应用。
2.具体要求
各个部门的权限设置的要求:
目前,很多医院组网中的PC和终端都处于对等机的地位,权限都一样,所以对于访问外部资源的权限也是一样的。
所以,医院网络中心希望各部门PC和终端访问网络的权限设置不一样,某些机器访问的外部资源可以很宽松,另外一些只需要访问几个固定的网站和外部资源等,甚至要求有些设备只能够访问内部资源,不能够访问外部资源。
高带宽的要求:
医院广泛采用的信息化系统是HIS系统和PACS系统,实现信息化语音、图象和数据高速传输,特点是信息量极大,对网络的传输性能提出了更高的要求。
高安全性要求:
一点点的疏忽和错误都会导致病人的生命危险。
所以医院的信息化建设对于安全性的要求,可以说是重中之重。
网络分为内网和外网两个部分,进行物理隔离,保证内网的安全性。
高扩展性:
在建设网络规划的时候,应该充分考虑到网络的扩展性,为以后网络信息点的增加留有充足的余地。
可管理性
在网络建设中,网络管理是信息管理人员非常头疼的问题,因此网络的建设一定让网管人员方便管理。
三、客户问题应答:
1、关于端口的流量控制,二层和三层交换机哪个更有力,因为医院广泛采用的信息化系统是HIS系统和PACS系统,实现信息化语音、图象和数据高速传输,需要占用高带宽?
二层交换机与三层交换机的流量控制功能是一样的,与交换机是二层或者是三层的没有关系,都可以实现基于端口和基于IP的(利用ACL和QoS实现)流量控制,只要交换机能支持ACL和QoS就可以。
2、关于网管软件的管理,对于二层和三层交换机哪个更好?
二层和三层交换机本身所具备的功能不同,所以管理软件所能管理的交换机的功能也不同,三层交换机的功能更强,因此可管理的内容也更多。
3、二层和三层相比较哪个能够分担核心负载?
在网络当中,数据的路由一般是在汇聚和核心实现的,接入层仅完成数据设备(如服务器等)的网络接入,并进行必要的控制,如设置ACL,端口流量控制等,连接在一台接入交换机上的设备一般都是同一个网段的,不需要进行三层路由,路由是在汇聚和核心上实现的,因此,如果连接在一台接入交换机上的设备都是同一个网段的,就无所谓“分担核心负载”的问题。
如果划分的网段很多,接入交换机底下连着很多网段,并且网段之间有大量频繁的数据交换,则可以选择使用三层路由交换机作为接入交换机,以完成本地的路由,这时可以部分分担核心负载。
4、是否有必要将接入交换机都选型为三层交换,
关键是看应用,如果划分的网段很多,接入交换机底下连着很多网段,并且这些网段之间有大量频繁的数据交换,则可以选择使用三层路由交换机作为接入交换机,以完成本地的路由,这时可以部分分担核心负载。
如果将来还需要扩展,即现在的接入交换机将来还需要再下联交换机,相当于变成了汇聚交换机,则目前的接入交换机有必要选择三层交换机。
5、什么是分布式三层交换,与中心交换的区别。
分布式三层交换和中心交换一般是指核心交换机的架构而不是用来指网络的拓扑结构,分布式三层交换机是指核心交换机的各个板卡具备独立的交换功能,相当于每个板卡都有自己独立的CPU,目前所有主流的核心交换机都是采用这种架构设计的。
中心交换是早期的技术,核心交换机只有一个CPU,所有的数据都需要经过这个CPU的处理。
6、远程供电(POE)如何解决,因为我院将在每层有AP无线接入设备?
可以选择带相应功能的交换机,也可以采用POE模块的方式,即在交换机上接入POE模块,而POE模块连接电源,其输出连接AP设备。
四、网络方案设计
龙信科技公司结合河北省人民医院的实际情况,针对现代化医院特点提出了独具创新理念的网络解决方案,配合其高性能全套网络设备,能够满足医院的应用需要,全面提高医院的整体素质和医疗管理水平。
通过细致的规划和研究,我公司提出了稳定、安全、可扩展的全网解决方案及网络设备。
本着安全、可靠、高性能、易管理为设计原则,河北省人民医院新建网络划分为内外隔离的两套网。
所有与医疗相关的门急诊、医技、病区和出入院等业务都在内网上运行,而办公自动化、Internet访问、对外网站服务将在外网承载,内外网络通过网闸隔离。
整个网络采用万兆核心、千兆骨干、百兆到桌面的高速局域网技术,保障医院业务的高速稳定运行。
1、内网网络拓扑图:
如图所示,整体的拓扑设计采用三层架构,全网千兆骨干连接,核心采用神州数码的IPv6万兆核心路由交换机DCRS-6808,该交换机具有高达2.0Tbps的背板,交换容量为960Gbps,L2/L3层具有714Mpps的包转发率,同时还可以配置冗余电源和管理引擎模块,本方案中给每台核心交换机配置了1块电源模块、1块管理模块、2块MRS-6800-8GX16GB的模块,该MRS-6800-8GX16GB的模块具有24个千兆SFP光接口;1块MRS-6800-4GX24TX,该模块提供24口10/100BaseTX百兆接口(RJ45)和4口千兆Combo(RJ45+SFP)接口;插入SFP-SX-L接口卡48个,通过千兆多模光纤连接到各个楼层的接入交换机;4个SFP-GT接口卡,用于连接服务器或其它设备;10/100BaseTX百兆接口用于连接网管计算机和百兆设备。
为保障医院核心应用系统的安全稳定运行,在内网上采用了高可靠的双核心组网方式,每个楼层配备一台DCS-3950-52CT智能安全接入交换机,并通过两套冗余的千兆光纤链路与双核心连接,通过两个核心交换机之间运行vrrp热备协议,不论是单链路损坏还是单核心设备出现故障都不会对网络的正常运行造成任何影响。
对于信息点较多,并对网络安全要求更高的门诊楼和医技楼,各增加一台高端交换机DCRS-5950-24作为会聚层,所有接入交换机以双链路方式和DCRS-5950-24连接,通过线路的冗余备份,最大程度提高门诊大楼和医技楼的网络运行可靠性。
各楼层选择的接入交换机DCS-3950-52CT,具有48口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口和2个10/100/1000Base-T千兆接口,配备2个SFP-SX-L接口卡,交换能力达到48Gbps,包转发率达到13.2Mpps,支持堆叠。
汇聚交换机DCRS-5950-24具有16个千兆SFP接口,8个COMBO口(SFP/GT联合端口),背板带宽为260Gbps,交换容量为208Gbps,包转发速率为155Mpps。
核心交换机通过千兆多模光纤连接到原来的其它内部网络。
2、外网网络拓朴图:
河北省人民医院的外网主要承载对外网站、oa、email、internet浏览等业务,与内网业务相比,其安全性、可靠性要求相对较低,为节省用户的网络建设投资,外网采用了单核心组网方式,外网核心交换机为一台神州数码的IPv6万兆核心路由交换机DCRS-6808,配备2块MRS-6800-8GX16GB总共提供48个千兆光接口;一块MRS-6800-4GX24TX,提供24口10/100BaseTX百兆接口和4口千兆Combo(RJ45+SFP)接口。
并通过配备冗余引擎、冗余电源等关键模块,结合业务板热插拔等电信级高可靠技术,充分提高外网可靠性。
接入交换机选择DCS-3950-26C智能安全接入交换机,具有24口10/100Base-TX,固化2个千兆Combo(SFP/GT)接口,配备2个SFP-SX-L接口卡,以双链路连接外网核心交换机,在信息点较多的门诊楼和医技楼,则各增加一台会聚层交换机DCRS-5950-24,实现了网络端口和性能的平滑扩展。
此外,如果接入交换机底下连着很多网段,并且这些网段之间有大量频繁的数据交换,则可以选择使用三层路由交换机作为接入交换机。
例如:
DCRS-5526S。
五、网络特点:
河北省人民医院网络以多方面的技术优势满足了医院的应用需求,同时保障了网络的高性能,方便易管理,将医院的信息化水平提上了一个高度,下面是其具体的特性:
高带宽、高速度:
医院的网络应用需要满足大量的数据传输要求,并且要保证高效,这对于网络的性能有很高的要求。
从网络硬件上讲,方案中的千兆主干、百兆交换到桌面已充分满足需求;神州数码提供的交换机具有端口聚合和线路聚合的功能,可以提高响应速度,另外在光纤千兆网的基础上将提供千兆铜线网,利用超五类线即可实现千兆速率。
双千兆网通过联路聚合技术也可加倍网络带宽,真正解决瓶颈。
高稳定性和可靠性:
核心交换机DCRS-6808支持引擎冗余、交换机电源模块配置冗余,光纤/网线链路冗余等方式,保证线路或者设备出现单点损坏时,整个医院网络依然保持数据正常交换。
并可支持在冗余管理模块配备、软件升级或主管理模块故障时,主管理模块快速切换到备份模块,并且由于用户接口模块智能分布,在管理模块切换过程中,用户接口模块可以继续转发已建立的数据互通。
高安全性:
医院内部业务数据的安全时刻影响着业务的发展,另外,包括病历信息在内的海量级数据信息的保密,也关系到医院的信誉问题。
建成的网络系统,在全网支持资源按照权限级别实施访问控制,通过先进的网络监控和访问控制,可实现对各种网络病毒和黑客攻击行为的有效防范;基于先进的802.1X认证功能,可对网络多种元素进行绑定,有效保障了接入用户的唯一性。
在多种安全技术的支持下,该网络完全保障了用户的信息安全。
高扩展性:
DCRS-6808万兆核心级交换机可为网络提供足够的网络弹性扩展功能,在未来更可以非常方便升级到万兆主干,同时,该系列提供了领先的交换背板,不仅轻松满足了目前所有模块的线速转发,而且为新一代更高密度和复杂功能模块的支持提供硬件基础。
主管理模块执行路由管理、网络管理、网络服务等任务,用户接口模块可以独立实现路由、交换、ACL、QOS等功能,分布式处理设计极大地提高整机处理能力。
为未来网络扩展提供一定的空间,不但保护了现有用户投资,更避免了未来网络扩展在骨干设备上的重复投资。
管理更灵活:
方案中的产品均支持统一的网管系统,更有效地提高了工作效率。
网络管理软件LinkManager网管系统通过提供设备管理图、拓扑状态图、流量分析图以及网络节点监控,将网络管理工作量降到最低,并可通过矢量图的形式进行远程查看。
当发生网络故障的时候,系统还可以自动向网络管理员发出报警信号。
全中文菜单或图形配置方式,为交换机的管理和配置提供了极大的便利。
另外,神码产品经过独特设计,具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。
该项目采用的万兆设备搭建高速互联智能化网络的医院,将使河北省人民医院凭借其智能化网络,进一步提高了医疗水平,优化了服务质量。
六、产品介绍:
1、核心路由交换机-神州数码DCRS-6808
1)产品概述
DCRS-6800系列路由交换机为企业和电信网络提供了优秀的安全性、可靠性、业务多样性和扩展能力。
DCRS-6800系列可作为中小型校园网、企业网的核心层设备或作为大型校园网、IP城域网的汇聚层设备,它们不仅能够降低用户构建下一代网络的复杂性,而且提供了很好的投资保护。
DCRS-6800系列路由交换机率先通过最为苛刻的国际IPv6Ready第二阶段认证。
借助芯片级的转发能力和多样化的业务支持,以及较高的性价比,DCRS-6800系列成为企业级网络和电信城域汇聚层部署IPv6的最佳解决方案的一部分。
该系列目前包括DCRS-6804,DCRS-6808等交换机。
DCRS-6808提供10个槽位,具备强大的交换容量和转发能力,可全线速地进行L2/L3数据转发,能够满足用户对于网络规模的扩展要求。
DCRS-6800系列交换机的管理模块、电源模块支持冗余备份和负载均衡,板卡、电源、风扇均支持热插拔,可以随时监控各个部件的工作温度,再加上强大MVTE特性以及各种HA特性为DCRS-6800系列提供了电信运营商级的可靠性。
柔性化智能化的交换机资源调度技术FlexResource,为核心设备支撑更大规模的网络提供了强有力的保障。
极具特色的安全功能,增强ACL-X功能,应用层安全机制SecApp,各种防攻击、防病毒手段如S-ARP,S-ICMP,S-Buffer,Anti-Sweep,CPU核心保护机制和绿色通道机制等,共同构建起有效的安全核心。
2)主要特征
基于ASIC的分布式硬件IPv6转发
DCRS-6800系列支持基于ASIC的分布式硬件IPv6转发方式,可以在本地实现IPv6报文的处理,并可在接口模块内部及模块与背板间实现IPv6报文的线速转发,避免了集中式转发的瓶颈和时延问题,为IPv6真正走向大规模商用提供了有力保障。
同时,为了保护用户已有投资,DCRS-6800系列还提供ASIC代理技术,使得早期的IPv4模块也能够平滑迁移到IPv6。
先进的体系结构
DCRS-6800系列交换机采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,采用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。
DCRS-6800系列交换机能够有效地抗击“红色代码”、“冲击波”、“震荡波”等网络病毒的攻击,更加适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。
运营商级的可靠性
为了满足苛刻的运营商级网络对设备可靠性的要求,DCRS-6800系列交换机对所有关键部件都采用了冗余备份的设计方案,并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。
DCRS-6800系列拥有MVTE特性(多VLAN子网流量工程),可根据流量所属的VLAN子网,自动实现流量负载分担和冗余备份;支持HSRP和标准路由冗余协议VRRP,保证路由不间断;MVTE特性可以和VRRP或HSRP相结合,可最大限度地利用二三层网络的设备和链路,大大改变目前多层网络中的“备份有余、均衡不足”的弊端。
同时支持ECMP/WCMP,特别合适多出口ISP外网接入,保证路由负载均衡和冗余备份;支持Firmware&Config双容错备份,保证自动正确引导交换机,此特性不仅适合版本繁多的网络培训实验室,而且大大提高了实际运营设备的可引导性和在线升级的便利性。
强大的ACL功能
支持标准和扩展ACL,支持IPACL、基于IP子网的ACL、MACACL、IP-MACACL,支持基于源/目的IP、三层IP协议类型、TCP/UDP四层端口号、IP优先级、ToS,并且以上功能完全依靠硬件线速实现,不影响转发性能。
增强的安全特色
●全面的受控组播方案DCSCM,可以对源和目的进行安全控制,完整实现了在接入层网络中应用了基于IGMP源端口和目的端口检查技术,可完全限制合法组播在网络中的稳定传输,有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;同时DCSCM可与AAA系统联动实现业务控制。
面向服务质量的策略组播可以有效保障重要应用的QoS。
基于应用的业务安全管理SecAPP,在不影响交换机转发性能的前提下,实现对应用业务的准入控制和流量管理,可基于应用管理用户带宽。
●支持ACL-X可基于时间段设置安全策略,安全设置随时间而动,在不同的时间段自动切换为不同的策略;智能化流量控制,可基于ACL进行流量分类,比起传统的基于交换机端口、ToS、DCSP、CoS、802.1P的分类方式,ACL-X更加精细和贴近业务分类;而安全策略分发更加灵活,可配置到任意端口、VLAN、VLAN接口,极为灵活。
●“交换引擎CPU核心保护”:
可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪;
●“关键协议绿色通道”功能:
可保障正常、合法、速度合理的关键控制报文(STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断;
●先进的LPM技术:
可抵抗“冲击波”病毒、“zeroday”病毒、“SQLslammerwarm”病毒等;
●端口信任模式:
则可检测非法DHCPServer、非法RadiusServer等,只在信任端口才能接入这些设备,从而保障网络的安全。
丰富灵活的QoS
DCRS-6800系列交换机为每个端口提供了8个优先级队列,完全硬件实现,不影响性能。
每端口8个队列,支持基于802.1p、ToS、端口、DiffServ进行流量分类
还可以根据ACL-X的80个字节高层内容进行流量分类,同时支持WRR、SP、SWRR、WFQ、CBWFQ、PQ、WRED,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。
便捷安全的网络管理
优秀的网络设备除强大的性能和功能外还应具备完善的管理功能。
DCRS-6800系列具有丰富的监测网管功能,可实现任务异常、内存异常、交换芯片异常、CPU利用率、堆栈异常等方面的监测,而SYSLOG功能可方便地记录事件,可支持记录到NVRAM、FLASH、RAM、Telnet、SSHConsole、Syslog服务器等。
DCRS-6800系列具备便捷安全的配置管理手段,其独特的Profile情景模式,可设定情景模式,多种配置间切换变得轻松自如,非常适合网络实验室;客户化便捷命令行功能可为每种特殊病毒或者业务定制命令,简单易行;支持标准SSH、用户权限分级管理、SNMPv1/2/3;SecurityIP功能可拒绝非法配置员,Web网管、Telnet等各种管理方式均支持SecurityIP,只有从合法的IP才能对交换机进行配置管理,防止非法用户登陆交换机。
DCRS-6800系列产品支持SNMP,支持带内和带外管理,支持CLI,支持RMON,并可采用SMTP协议自动向管理员信箱发送相关敏感信息。
支持SSH协议,可以最大限度地保证交换机的配置管理的安全性。
可采用神州数码集中网管系统LinkManager统一管理,方便简捷。
3)技术指标
项目
DCRS-6808
插槽
10
端口
10/100/1000BASE-T最多384个
1000Base-SX最多384个
1000Base-LX最多384个
10/100BASE-T最多384个
万兆最多32个
背板带宽
2.0Tbps
交换容量
960Gbps
包转发速率
714Mpps,L2/L3全线速
MAC表项
128K
VLAN表项
4K
IP路由表项
128K(可扩展到256K)
IP主机表
128K
二层协议规范
IEEE802.3(10Base-T)、
IEEE802.3u(100Base-TX)、
IEEE802.3z(1000BASE-X)、
IEEE802.3ab(1000Base-T)、
IEEE802.3ae(10GBase)、
IEEE802.3ak(10GBASE-CX4)、
IEEE802.1Q(VLAN)、
IEEEE802.1d(STP)、
IEEEE802.1W(RSTP)、
IEEEE802.1S(MSTP)、
IEEE802.1p(COS)、
IEEE802.1x(PortControl)、
IEEE802.3x(流控)、
IEEE802.3ad(LACP)、
PortMirror、IGMPSnooping、超长帧JumboFrame(≥9Kbytes)、
QinQ、GVRP,VLAN,PVLAN,SuperVLAN,广播风暴控制
基于端口的802.1Q协议,整机最多支持4096个VLAN,同时支持基于端口、MAC的VLAN划分
三层协议规范(v4)
IP/IPX(其中IP支持IPv4、IPv6双栈)、StaticRouting、RIPv1/V2,
并支持MD5认证、OSPFv2、BGP4、IS-IS、LPMRouting、
Policy-basedRouting(PBR)、ECMP、WCMP、VRRP、HSRP、IGMPv1/v2/v3、
DVMRP、PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGPARP、ARPProxy、
IPv6
ICMPv6、ND、RIPng、OSPFv3、IS-ISv6、BGP4+、
PIM-SM/DMforIPv6,MLDforIPv6(v1),MLDv1/v2
6to4Tunnels、configuredTunnels、ISATAP等
MPLS
MPLS、MPLSVPN、MPLSTE
QoS
完全硬件实现,不影响性能。
每端口8个队列。
支持CAR。
支持基于802.1p、ToS、端口、DiffServ进行流量分类
还可以根据ACL-X的80个字节高层内容进行流量分类,
支持SP、WRR、SWRR、WFQ、CBWFQ、PQ、WRED。
为语音/数据/视频在同一网络中传输提供所要求的不同服务质量支持TrafficShapping(流量整形)、支持优先级Mark/Remark
ACL
完全硬件线速实现,不影响转发性能。
支持标准和扩展ACL,
支持IPACL、基于IP子网的ACL、MACACL、IP-MACACL,
支持基于源/目的IP或MAC、三层IP协议类型、TCP/UDP四层端口号、IP优先级(DSCP、ToS、Precedence)、基于VLAN、Tag/Untag、CoS等
ACL-X
支持基于时间自动改变安全策略。
ACL规则可以配置到端口、VLAN、VLAN路由接口。
ACL的深度内容可被用于QoS分类的标准,深度可达80字节。
防攻击和安全功能
S-ARP(安全ARP)功能:
ARP检查、防ARP-DOS攻击、防地址仿冒
Anti-Sweep:
防pingSweep等各类扫描行为
S-ICMP(安全ICMP)功能:
防止PIN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 河北省 人民医院 网络 建设项目 建议书