什邡人民医院华三网络方案

什邡人民医院华三网络方案内容摘要：

致系统运行的不确定因素增加，可靠性降低， “宕机”时间变长且带来的损失越来越大，而往往由于平时对网管的忽略，缺乏受过专业培训的网络管理人员，也缺乏综合的网管解决方案，因而发生问题时无从下手，这才意识到网管的重要。 作为一套考虑完善、可靠性要求极高的系统，当然不希望有“亡羊补牢”的情况发生，因此网络管理是网络设计必不可少的考虑因素之一，从设备本身操作系统所具备的一些网管功能，到简单的网络管理工具，甚而功能强大的大型管理系统，用户可根据自身的实际网络应用和资金安排，循序渐进，逐步实现全面网络管理功能。 与传统的单一应用网络不同，医院信息网络是一个集成了视频和数据的新型网络体系。 在这样的一个集成环境中，网络从承载单一的数据到多种不同的应用，如何合理利用带宽资源，保障关键性业务 QoS 等管理要求成为网络规划管理人员不能回避的问题，网络管理系统必须提供有效的性能监控与流量收集什邡市人民医院医院新大楼网络方案 分析的网络工具帮助网络管理人员优化网络性能，准确地进行网络规划。 多种业务的集成要求势必带来网络硬件环境的变化。 从单一的路由器与交换机的互连到集合了路由器，交换机，IP PHONE，语音网关，视频设备等多样设备的互连，设备管理和配置的直观性，灵活性对网络管理的效率至关重要。 . 什邡市人民医院网络方案简介. 1 此次方案设计拓朴如下图：外网：内网：什邡市人民医院医院新大楼网络方案 . 方案设计思想： 充分考虑医院网络建设的特点，结合什邡市人民医院的实际情况。 我们建议从下面几个方面设计来保证什邡市人民医院整个网络的高可靠性，高可用性，易扩展性，开放性，安全性，可管理性和实用性。 对于什邡市人民医院新大楼的核心交换机设计我们使用 H3C 公司的高端新款模块式路由交换机 S7506。 该交换机是杭州华三通信技术有限公司（以下简称 H3C 公司）面向融合业务网络推出的新一代高端核心多业务路由交换机，该产品基于 H3C 公司自适应安全网络的技术理念，在提供稳定、可靠、安全的高性能 L2/L3 层交换服务基础上，进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为企业 IT 系统构建面向业务的网络平台，实现通信整合，数据整合奠定了基础。 H3C S7500 系列交换机作为 H3C 公司自适应安全网络的核心产品之一，可广泛的适用于 IP城域网、大型企业园区网、中小型企业办公网络的核心层和汇聚层，同时其也可以作为以太无源光网络（EPON）的光线路终端（OLT）设备，为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。 接入交换机设计什邡市人民医院医院新大楼网络方案 H3C 的 S3600SI 系列我们采用 H3C 的 S3600SI 系列, S3600SI 系列交换机是 H3C 公司基于IToIP 理念设计和开发的智能弹性以太网交换机。 系统采用创新的 IRF 技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。 传统行业和园区网采用 DHCP 技术后极大简化了网络地址的分配和管理。 但同时，在一个不安全的园区网中（如校园网），存在恶意地址欺骗、擅自修改 IP 地址、私设 DHCP Server 等安全事件和隐患。 H3C S3600 系列交换机提供 DHCP Snooping（侦听）功能，通过建立和维护 DHCP Snooping 绑定表实现侦听接入用户的 MAC 地址、IP 地址、租用期、VLANID 接口等信息，解决了 DHCP 用户的 IP 和端口跟踪定位问题。 同时对不符合绑定表项的非法报文（ARP 欺骗报文、擅自修改 IP 地址的报文）直接丢弃，保证 DHCP环境的真实性和一致性。 同时利用 DHCP Snooping 的信任端口特性可以保证DHCP Server 的合法性。 H3C S3600 系列交换机还支持特有的 ARP 入侵检测功能，可有效防止黑客或攻击者通过 ARP 报文实施日趋盛行的“ARP 欺骗攻击”，对不符合 DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃。 同时支持 IP Source Check 特性，防止包括 MAC 欺骗、IP 欺骗、MAC/IP 欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 DoS 攻击。 多业务融合时能按业务类型大致分成数据、语音、视频、多媒体等，不同的业务对基础网络的要求,比如带宽、优先级、延时、端到端的 QoS 保证等，如果这些都需要手工进行设置和调整,那么网络的适应能力无从谈起，因此 IToIP的基础网络应该是对业务变化自动感知和自动适应的系统，对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。 H3C S3600 系列交换机除了支持高可靠性的 IRF 技术以外，还支持传统的STP/RSTP/MSTP 和 Smart Link 二层链路保护技术，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 支持 VRRP 虚拟路由冗余协议，与其他三层交换机构建 VRRP 备份组。 构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。 支持 ECMP（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。 采用交流/直流双输入设计，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。 H3C S5100EI 系列什邡市人民医院医院新大楼网络方案 在医疗设备接入层我们选用了 H3C S5100EI 系列，H3C S5100EI 系列以太网交换机是 H3C 技术有限公司自主开发的千兆三层以太网交换机，广泛应用于企业网和园区网的汇聚层及接入层。 提供灵活的千兆以太网端口的接入密度和万兆上行、增强的安全防御能力、丰富的业务特性、统一的集群配置，为用户提供高性能、低成本、可网管的千兆到桌面的解决方案，是千兆接入的理想选择。 在过去的几年中，组播或视频点播、带大附件的电子邮件、文件传输器、按需备份和恢复、CRM/ERP 以及 Web 和 Java 工具等多种应用都成为吞噬带宽的杀手，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。 用户需要大容量带宽的语音、视频、多媒体等的应用，网络的价值正在快速显现。 一些协作的应用开始在企业崭露头角，真正的提高企业的效率，例如在医疗行业的会诊、视频/广告制作、制造业的设计/加工、游戏领域、网格计算、科研协作等，诸如此类的应用在消耗大量带宽的同时，也在追求用户的满意度。 人们对应用的要求已经不仅仅是有，而且要好。 这都需要以消耗带宽资源作为代价。 基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来，并且为业务创新提供了一个崭新的平台。 对更高带宽的各种需求催生新一代千兆接入交换机，H3C 公司的 S5100 产品的推出，正是为了满足这一需求。 H3C S5100EI 系列千兆以太网交换机提供灵活的 16/24/48 个10/100/1000M 自适应电口接入密度；并且支持复用的 SFP 插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。 其中 S5100CEI 机型支持最多 2 个可扩展的万兆接口，并且支持40G 带宽的堆叠。 该系列硬件支持最大 136Gbps 交换容量，保证所有端口线速交换。 H3C S5100EI 系列交换机采用专利技术允许交换机利用专用互联电缆实现多达 16 台设备的堆叠，支持不同端口设备的混合堆叠。 具有即插即用、单一IP 管理。 同时大大降低系统扩展的成本，保护了投资的经济性。 H3C S5100EI 系列交换机支持 EAD（端点准入防御） 、支持特有的 ARP 入侵检测功能，可有效防止黑客或攻击者通过 ARP 报文实施网络中逐渐盛行的“中间人”攻击，对不符合 DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃、支持端口安全特性族可以有效防范基于MAC 地址的攻击、同时具有强大硬件 ACL 能力，能深度识别报文，支持L2~L4 包过滤功能，提供基于源 MAC 地址、目的 MAC、源 IP 地址、目的 IP地址、IP 协议类型、物理端口、VLAN、等定义 ACL，并且支持基于硬件的IPv6 报文过滤，以便交换机进行后续的处理等。 通过 FTP、TFTP 可以实现设备的远程升级，支持 SNMP v1/v2/v3，可支持 Open View 等通用网管平台，以及 iMC 智能管理中心。 支持 CLI 命令行，Web 网管，TELNET，HGMP 集群管理，使设备管理更方便。 并且支持 等加密方式，使得管理更加安全。 什邡市人民医院医院新大楼网络方案 网络拓扑的设计在网络的拓扑设计中，我们遵守了如下原则：拓扑可靠性在各网络的拓扑设计中应遵循 N1 的电路可靠性原则。 N1 的电路可靠性：拓扑中去掉任何 1 条链路，不影响节点的连通性。 这就要求每个节点至少有两条不相关的链路与其他节点相连。 扩展性网络链路和节点的增加、减少以及修改应不影响网络的总体拓扑遵循此原则，本次规划设计中采用如下结构： 内外网核心使用交换机 LS7506，并同时配备华三的防火墙模块，服务器通过网卡核心交换机。 康复中心、传染病房楼、高压氧仓、液氧站、门诊医技病房综合楼各楼楼层接入节点使用 LS3600SI 交换机或 S5500 交换机作为楼层接入交换机，实现千兆上行接入核心交换机，并使用 MSTP 二次协议和 VRRP 三层路由协议实现整网冗余和分担流量。 对于服务器系统的接入设计服务器众多，且后期需要增加大量服务器，需要有一定的扩展性。 因此我们设计把服务器放置在核心交换机一个楼层。 此外服务器都使用千兆的网卡分别连接 S7506，使用 VRRP 作冗余，最大化保障服务器在网络上的实时在线。 同时保证服务器和核心交换机的千兆带宽接入。 . VLAN 解决方案在现代大型的网络应用中，为了建立起各类网络用户具有安全的、独立的广播域或者组播域，我们可以将交换机上的端口组合成一个一个的虚拟局域网（VLAN） ，通过设置 VLAN 我们达到了限制广播包的传播范围和降低广播包的影响，所有以太网数据包，如：点播（unicast） ， 组播（multicast ） ，广播（broadcast） ，以及未知（unknown）的数据包，都将只在 VLAN 内传送，这样在一定程度上可以提高网络的安全性。 另外人们也经常需要对现有的网络拓扑结构进行一些简单的或小量的改变，什邡市人民医院医院新大楼网络方案 同时又不需要网络中的工作站发生物理上的移动或者网络线路连接上的变动，我们采用 H3C 的 S7500 E 核心路由交换机和 S310026cSI 太网交换机提供的丰富的 VLAN 功能，实现对用户工作站的 VLAN 设置改动，就将工作站从一个VLAN 移到了另一个 VLAN，以达到使网络节点的移动变换增加变得非常灵活和容易。 根据什邡市人民医院新大楼网络系统工程的具体情况，我们建议用户可以从以下几个方面进行网络内部 VLAN 系统的规划和设计： 基于端口的 VLAN 划分根据大楼内部各个不同的功能区域现有的网络用户分布情况，我们可以采用基于各个接入交换机的物理端口划分 VLAN 的解决方案，以一个单独单位或者一个特定的用户群为一个 VLAN，作为一个子网，从而实现相互之间的隔离。 H3C S7502E 能支持大量的 VLAN 数量划分，最大到 4096 个 VLAN,对以后的网络扩容和用户急剧增加有独到的处理能力。 并且 S7502E 支持 QinQ，即双层的 帧。 这样我们可以配置这两个连接到骨干网络的千兆以太网端口是上连端口。 于是所有的在这个 VLAN 里面的广播包和未知目的地的 Unicast 包都不会去到VLAN 的其他任何端口，它们只会到这个 VLAN 的上连端口出去，每个客户都不会收到其他客户的广播或者匿名包，这样就避免的在客户端的用户用类似网络邻居或者其他广播的方式发现对方，也避免了各个单位和接入端所出现的不必要或者恶意的广播风暴，保护了网络的安全。 . IP 地址的规划方案设计网络核心层由信息中心的骨干交换机组成，未来的网络建设会以围绕核心节点进行扩展，建立各个接入层结构。 对于已有的 IP 地址分配，在新的网络建设中采用以下原则。 地址规划的基本思想通常合理的地址规划是使连续的地址尽量集中在一个区域内。 因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。 更进一步，连接进什邡市人民医院医院新大楼网络方案 某一区域的节点的 IP 地址范围应集中在该区域的地址范围附近。 地址规划时充分考虑 CIDR 和 VLSM 的设计思想。 保证 IP 地址的最大利用率的同时方便今后业务的扩展。 IP 地址的分配计划对于原合法地址的分配。 建议什邡市人民医院分配给新的 IP 地址段。