医院网络规划建议.docx

该【医院网络规划建议 】是由【2623466021】上传分享，文档一共【8】页，该文档可以免费在线阅读，需要了解更多关于【医院网络规划建议 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。北京大学人民医院网络规划建议
人民医院在HIS系统升级同时有必要进展网络全面升级,以保证全系统稳定、可靠、平安运行,防止由于网络瘫痪和延时造成HIS系统不稳定。
在网络设计方面我们提出设计模型,其设计思想是建立在保证网络稳定性与可靠性及冗余备份根底之上,并充分利用了Cisco网络设备领先技术,可以为HIS软件系统提供稳定运行环境以及可扩展高带宽传输。以下是就网络模型简单描述:
该网络核心采用两台CiscoCatalyst6509交换机,建立冗余核心路由、交换矩阵,其配置根据HIS系统业务流量选择平衡〔一样配置双机〕构造。由于人民医院HIS系统配有大量效劳器,平衡配置双核心交换机将使业务流量均衡分配在其上,这样将充分利用两台核心处理能力,也会使下联会聚层交换机链路带宽得到充分发挥,因此选择平衡配置双核心交换机,并利用GigaChannel技术在两交换机之间建立8G~16G〔4~8条线路〕无阻塞通道,保证两台核心交换机之间大量数据传输。
网络会聚层根据级联设备数量以及流量分配有选择配置三层交换机。对于关键业务以及数据传输量较大部门除配置普通CiscoCatalyst2950系列二层接入交换机以外还可配置一台CiscoCatalyst3550系列路由交换机,通过千兆光纤分别连接两台核心交换机,这样不仅可以提供2G传输带宽,而且当任一核心交换机宕机时接入交换机仍然可以连接HIS系统主机,以此有效保证全院PC机与HIS数据库之间不连续访问。
网络中HIS主机集群系统同时连接两台核心交换机,可以防止系统主机和网络核心单点故障同时发生,使全系统具备更高可靠性,保证医院关键业务无连续处理能力。其它专业应用效劳器可根据使用情况直接接入核心交换机,以提供较高访问带宽。
通过如上网络构造设计不仅可以使本院网络系统更加可靠、稳定,而且可为今后医疗信息化改造建立坚实网络根底。网络核心CiscoCatalyst6509交换机可以提供720G背板带宽以及400M包转发率,完全可以满足日后PACS系统应用要求;对于效劳器不断扩容需求,该交换机还可提供七层内容交换模块,起到负载均衡作用,使三层构造HIS系统中中间件效劳器运行更加稳定;同样对于医疗信息系统将要面对海量存储问题,该交换机也可以提供包括CWDM和10GEthernet技术在内全面解决方案,保证系统对在/近线存储带宽要求。会聚层CiscoCatalyst3550三层交换机可以灵活为网络提供多种效劳,包括访问控制列表〔ACL〕、QoS、、EtherChannel等技术,对于保证网络平安、带宽等都具有实际应用价值,并为今后网络系统扩容提供对投资保护。
北京大学人民医院网络系统升级主要技术优势可以概括如下:
一、核心双机网络拓扑构造优势:
1、双机网络系统具备更高可靠性;
2、双机可根据业务量需求提供负载分担;
3、网络系统扩展可以更加灵活;
二、会聚层引入三层交换机优势:
1、在会聚层和核心层可以启用动态路由〔如:RIP或OSPF〕,这样可以提高收敛速度〔动态路由协议收敛速度小于15秒,而SPANNING-TREE协议收敛速度为60-120秒〕;
2、通过路由策略使会聚层三层交换机分担局部VLAN间流量,以减轻核心交换机负载;
3、会聚层三层交换机可以有效防止播送风暴,并局部阻断类似BLASTER病毒所造成大流量端口攻击;
附:人民医院网络规划中应考虑几个问题
一、网络认证管理
通过对人民医院现有网络状况分析,我们设计网络认证模式将融合现有“域〞和“〞两项技术,针对连接HIS核心数据库用户进展“〞双重认证,而对于一般接入用户只进展“〞
是一个崭新通用认证协议,是一种对用户进展认证方法和策略。它是基于端口认证策略〔这里端口可以是物理端口也可以逻辑端口〕。认证最终目就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“翻开〞这个端口,允许文所有报文通过;如果认证不成功就使这个端口保持“关闭〞,此时只允许认证报文EAPOL〔ExtensibleAuthenticationProtocoloverLAN〕通过。
2、构造
认证体系分为三局部构造:
A、SupplicantSystem,客户端(PC/网络设备)
SupplicantSystem—Client〔客户端〕是—需要接入LAN,及享受switch提供效劳设备〔如PC机〕,客户端需要支持EAPOL协议,客户端必须运行客户端软件,如:Complain,WindowsXP。
B、AuthenticatorSystem,认证系统
AuthenticatorSystem—Switch〔边缘交换机或无线接入设备〕是—根据客户认证状态控制物理接入设备,S
witch在客户和认证效劳器间充当代理角色〔Proxy〕。Switch与Client间通过EAPOL协议进展通讯,Switch与认证效劳器间通过EAPoRadius或EAP承载在其他高层协议上,以便穿越复杂网络到达AuthenticationServer〔EAPRelay〕;Switch要求客户端提供Identity,接收到后将EAP报文承载在Radius格式报文中,再发送到认证效劳器,返回等同;Switch根据认证结果控制端口是否可用。
C、AuthenticationServerSystem,认证效劳器
Authenticationserver—〔认证效劳器〕对客户进展实际认证,认证效劳器核实客户Identity,通知Swtich是否允许客户端访问LAN和交换机提供效劳AuthenticationSever承受Authenticator传递过来认证需求,认证完成后将认证结果下发给Authenticator,完成对端口管理。
Supplicant,与之直接相连接入交换机作为认证者Authenticator,认证点发生在与用户直接相连端口上,接入交换机与Radius效劳器通过EAPoRADIUS完成对用户认证。这种方式在最大限度上保证了网络平安,用户只有在完成了认证后,才能对网络产生流量。采用这种方案时,由于对用户接入网络控制和认证是在第二层完成,因此第三层IP地址分配还可以通过DHCP效劳器来分配〔两种网络效劳相互不会发生冲突〕,并可通过与MAC地址绑定实现更高级别平安管理。,因此也可以将DenyofService攻击风险降到最低。
4、:
1、简洁高效:纯以太网技术内核,保持IP网络无连接特性,消除网络认证计费瓶颈和单点故障,易于支持未来多业务;
2、容易实现:可在L3、L2交换机上实现,网络综合造价本钱低;
3、平安可靠:在二层网络上实现用户认证,结合IP地址、MAC、端口、账户和密码绑定技术,防止了用户假冒和IP地址盗用,使网络具有很高平安性;
4、行业标准:IEEE标准,微软操作系统内置支持;
二、网络平安管理
经过对人民医院现有网络平安分析,我们认为在以下几个方面需要完善:
1、透过Internet直接向局域网发动攻击入侵。这种形式不平安隐患虽然存在,但是对人民医院核心业务影响相对较小,而且可以在网络中通过安装防火墙屏蔽大局部恶意入侵;
2、局域网中非授权用户改用合法IP地址,并盗用医院系统内部资源。这种不平安隐患可以通过实施基于网络认证管理机制措施完全消除,在系统级管理手段中完全可以通过
“域〞内统一平安策略加强对核心业务保护;
3、局域网中局部低平安管理级别计算机可对网络核心业务区域中计算机和效劳器进展非恶意性攻击,其主要形式多为由于感染病毒,对网络资源无限制吞噬,造成网络设备与效劳器宕机,从而严重影响医院正常业务处理。针对这种情况我们设计了两种措施,以此提供医疗系统全面平安保护。
〔物理或逻辑〕端口上配置访问控制列表,通过端口级QoS技术〔PortRate-Limited〕对于非关键业务涉及用户设定线路最高占用带宽,保证为HIS业务预留足够数据传输带宽。这种平安保护措施虽然较被动,但是可以保证网络系统在遭受病毒攻击时仍然可以为医院关键业务提供有效效劳。
〔IDS〕,建立主动、智能平安保护机制。入侵检测技术是一种主动保护自己免受攻击网络平安技术,作为其它平安机制补充,入侵检测能够帮助网络系统应对网络攻击,扩展了系统管理员平安管理能力〔包括平安审计、监视、攻击识别和响应〕,提高了信息平安根底构造完整性。
入侵检测系统〔IntrusionDetectionSystem〕软件具有全面入侵监测、防护能力。它可以通过网络信息传感器监听网络中全部流量,检测具有病毒、攻击特征通信,这种性能很高、简单易用平安解决方案在一个软件包中提供了广泛监视、入侵和攻击检测、非法URL检测和阻塞、报警、记录以及实时响应等各种功能。
入侵检测系统通过自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了先进网络保护功能,可以有效协助管理人员深入了解整体平安性以及网络内部运行情况,并产生详细统计报表以便管理人员参考。