本文章可以作为集成商或厂商的售前人员或市场人员跟客户进行方案交流,也可以在招标文件中作为技术标书段的方案汲取。希望多多关注转发点赞,多多支持老姜,老姜会分享更多的案例介绍以及方案分享呦。有需要完整电子版的,可以留言呦,小编会找个时间给您发送。依据目录大概分为如下部分:项目概述(医疗信息化要求,项目背景等等),有线网络系统,无线网络系统,网络管理系统,设备参数等。由于篇幅太大,本次只分享有线部分的方案建议书,下篇文章分享无线部分以及网络管理部分的方案建议书。#信息化##华为##医院信息系统包括有哪些##网络系统##系统集成#目 录1 概述… 11.1 XX医院简介… 11.2 医院信息化使命… 11.2.1 健康中国… 11.2.2 互联网+医疗… 11.2.3 互联网医院… 11.3 医院网络建设需求… 11.3.1 内网需求… 11.3.2 外网需求… 21.3.3 网络安全需求… 21.3.4 无线网络需求… 31.3.5 医院BYOD需求… 31.4 医院业务应用分析… 42 XX医院有线网络系统设计… 52.1 XX医院现有网络… 62.1.1 XX医院现有网络建设情况… 62.1.2 XX医院现有网络存在的问题… 62.2 网络设计原则… 62.3 XX医院内网规划设计… 72.3.1 核心层需求分析… 72.3.2 汇聚层需求分析… 72.3.3 接入层需求分析… 82.3.4 链路层需求分析… 82.4 XX医院内网有线网络改造方案… 92.4.1 灾备数据中心… 92.4.2 数据中心交换机… 102.4.3 园区核心交换机… 102.4.4 园区汇聚交换机… 102.4.5 接入交换机… 112.4.6 等保改造… 112.4.7 网络管理… 112.4.8 链路需求… 112.5 XX医院内网改造技术特性… 112.5.1 网络虚拟化… 122.5.2 敏捷网络特性… 143 XX医院无线网络系统设计… 163.1 建设目标… 173.2 平台架构… 173.3 无线AP方案与物联网AP方案对比… 183.4 产品应用模式… 193.5 无线网络建设方案… 213.5.1 物联网AP AP4050DN-E.. 223.5.2 医疗敏分AP. 233.6 WLAN覆盖规划… 233.6.1 射频规划… 243.6.2 频点划分… 243.6.3 信道覆盖… 243.6.4 链路预算… 243.7 规划工具… 243.8 SSID和漫游规划… 253.8.1 SSID规划… 253.8.2 SSID和VLAN的映射… 253.8.3 漫游规划… 253.9 业务带宽规划… 253.9.1 基于用户的带宽管理… 253.9.2 基于AP的带宽管理… 253.9.3 基于SSID的带宽管理… 263.9.4 基于业务的带宽管理… 263.10 可靠性规划… 263.10.1 AC 1+1备份… 263.10.2 CAPWAP断链业务保持… 263.10.3 AP可靠性… 263.10.4 自动调优… 273.10.5 局部调优… 273.10.6 负载均衡… 273.10.7 WLAN负载均衡… 273.10.8 5G优先接入… 273.10.9 干扰检测… 283.10.10 逐包功率调整… 283.11 安全性规划… 283.11.1 内外网隔离… 283.11.2 无线空口安全… 283.11.3 Rogue设备的检测和反制… 293.11.4 频谱分析… 293.11.5 STA黑白名单… 304 网络管理系统设计… 314.1 网络接入管理… 324.1.1 NAC系统… 324.1.2 账号管理… 334.1.3 认证方案… 344.1.4 授权方案… 384.1.5 NAC部署方案… 404.2 数据中心统一运维规划设计… 404.2.1 总体架构… 404.2.2 权限管理… 414.2.3 数据中心日常维护… 424.2.4 故障处理维护场景… 474.2.5 主动智能运维… 514.2.6 报表管理… 524.2.7 运维脚本调度… 535 拓扑图… 546 设备清单… 567 设备说明… 587.1 医院数据中心核心交换机:CE12800系列… 597.1.1 下一代核心引擎,全球最高性能… 597.1.2 全面的虚拟化能力,网络简单高效… 607.1.3 全可编程的交换机,业务敏捷上线… 617.1.4 领先的架构设计,业内顶级品质… 627.1.5 创新的节能技术,最佳绿色先锋… 637.2 医院园区核心交换机:S12700系列… 637.2.1 产品定位… 637.2.2 产品特点… 647.2.3 更敏捷地实现网络精准管理… 647.2.4 业界领先的高规格板卡… 657.2.5 端到端的高可靠性设计… 657.3 医院园区汇聚/核心交换机:S9700系列… 657.4 医院园区汇聚/核心交换机:S7700系列… 667.5 医院园区汇聚交换机:S5720HI系列… 677.6 医院园区汇聚交换机:S5700EI系列… 687.7 医院园区汇聚交换机:S5700SI系列… 687.8 医院园区接入交换机:S5700LI系列… 697.9 医院园区接入交换机:S2700系列… 697.10 WLAN系列–室内接入点… 707.10.1 AP3030DN接入点… 707.10.2 AP3010DN-V2接入点… 707.10.3 AP4030DN/AP4130DN接入点… 707.10.4 AP4050DN-HD接入点… 717.10.5 AP5030DN&AP5130DN接入点… 727.10.6 AP7030DE接入点… 727.10.7 AP7050DE接入点… 737.10.8 敏分AP AP9430DN.. 737.10.9 物联网AP AP4050DN-E.. 737.11 WLAN系列–室外接入点… 747.11.1 AP6510DN-AGN & AP6610DN-AGN接入点… 747.11.2 AP8030DN/AP8130DN接入点… 757.12 WLAN系列–接入控制器… 767.12.1 X1E系列随板无线接入控制单板… 767.12.2 ACU2无线接入控制单板… 767.12.3 AC6605接入控制器… 777.12.4 AC6005接入控制器… 777.13 AR系列… 787.13.1 NE20E-X6高端业务路由器… 787.13.2 AR3200系列企业路由器… 807.13.3 AR2200系列企业路由器… 817.13.4 AR1200系列企业路由器… 827.14 安全产品… 827.14.1 ASG上网行为管理… 827.14.2 下一代防火墙… 847.14.3 NIP下一代入侵防御系统… 857.14.4 DDOS攻击防御… 857.15 网管和SDN控制器… 867.15.1 eSight 867.15.2 敏捷控制器… 878 典型案例… 881.1 XX医院简介客户和项目背景介绍,根据实际情况填写。1.2 医院信息化使命1.2.1 健康中国 全国医疗卫生服务体系规划纲要(2015—2020年)中指出,开展健康中国云服务计划,积极应用移动互联网、物联网、云计算、可穿戴设备等新技术,推动惠及全民的健康信息服务和智慧医疗服务,推动健康大数据的应用,逐步转变服务模式,提高服务能力和管理水平。加强人口健康信息化建设,到2020年,实现全员人口信息、电子健康档案和电子病历三大数据库基本覆盖全国人口并信息动态更新。全面建成互联互通的国家、省、市、县四级人口健康信息平台,实现公共卫生、计划生育、医疗服务、医疗保障、药品供应、综合管理等六大业务应用系统的互联互通和业务协同。积极推动移动互联网、远程医疗服务等发展。普及应用居民健康卡,积极推进居民健康卡与社会保障卡、金融IC卡、市民服务卡等公共服务卡的应用集成,实现就医“一卡通”。依托国家电子政务网,构建与互联网安全隔离,联通各级平台和各级各类卫生计生机构,高效、安全、稳定的信息网络。建立完善人口健康信息化标准规范体系。加强信息安全防护体系建设。实现各级医疗服务、医疗保障与公共卫生服务的信息共享与业务协同。1.2.2 互联网+医疗国务院办公厅正式发布《关于积极推进“互联网+”行动的指导意见》(以下简称“《指导意见》”),其中对“互联网+医疗”做出了说明,提出“到2018年在健康医疗领域互联网应用更加丰富,公共服务更加多元,社会服务资源配置不断优化”的发展目标。“互联网+医疗”对中国来说是非常好的机遇。“特别是它还会创造出更多的为患者服务的模式,比如远程医疗、移动医疗、可穿戴设备等。”根据《指导意见》,各级各类医疗机构要积极利用移动互联网提供在线预约诊疗、候诊提醒、划价缴费、诊疗报告查询、药品配送等便捷服务。引导医疗机构面向中小城市和农村地区开展基层检查、上级诊断等远程医疗服务。《指导意见》还提出,要发展基于互联网的医疗卫生服务,支持第三方机构构建医学影像、健康档案、检验报告、电子病历等医疗信息共享服务平台,逐步建立跨医院的医疗数据共享交换标准体系。此外,《指导意见》提出鼓励互联网企业与医疗机构合作建立医疗网络信息平台,加强区域医疗卫生服务资源整合,充分利用互联网、大数据等手段,提高重大疾病和突发公共卫生事件防控能力。同时提出要积极探索互联网延伸医嘱、电子处方等网络医疗健康服务应用。此前,互联网上涉及医学诊断治疗是不允许开展的,而此次发布的《指导意见》中提出,要积极探索互联网延伸医嘱、电子处方等网络医疗健康服务应用。刘远立认为,互联网诊疗还涉及很多风险问题,目前还在探索阶段,但清楚地释放了国家逐步放开互联网诊疗的信号。1.2.3 互联网医院作为一种线上线下相结合的新型智慧健康医疗服务平台,互联网医院已经在不少地区先行试水。全国人大代表、浙江省肿瘤医院葛明华建议,作为一种新生事物,应关注其医疗安全、信息安全、政策保障等问题,促进互联网医院在规范中发展,最大程度保障互联网时代百姓的生命与健康。继2015年全国两会带来有关“互联网+”的重磅建议之后,全国人大代表、腾讯公司董事会主席兼首席执行官马化腾在今年两会带来五个建议,直指分享经济、互联网医疗、数字内容产业、互联网生态安全和“互联网+”落地措施等五大民生“痛点”。1.3 医院网络建设需求1) 为HIS、PACS等应用系统提供一个强有力的网络支撑平台;2) 网络设计不仅要体现当前网络多业务服务的发展趋势,同时需要具有最灵活的适应、扩展能力;3) 一体化网络平台:整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理;4) 数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。5) 医疗信息的安全保护,也是组要的环节,网络的设计不仅要考虑用户与服务器之间的互联互通,更要保护关键服务器的安全和内部用户的安全。6) 支持与医疗专网互通,包括与社保与公卫互通,未来与区域卫生平台互通等。1.3.1 内网需求内网是医院核心网络系统,用于开展日常医疗业务(HIS、LIS、PACS、财务、体检系统等)的内部局域网,系统应稳定、实用和安全,具有高宽带、大容量和高速率等特点,并具备将来扩容和带宽升级的条件。l 网络设计要求:1) 实现万兆主干,桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入);2) 配备的网管软件应提供可视的形象化的图形界面,对整个网络中的全有线无线设备统一管理,对人员和资产的接入统一认证;3) 通过虚拟化、链路绑定、VRRP等技术保证链路冗余,避免单点故障;4) 满足大二层网络建设需求,支持医院未来信息化建设中对虚拟化、灾备数据中心等方案要求。l 网络应用设计要求:1) 院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。2) 以子网的形式组成医院的整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。3) 新建的网络系统应充分考虑跟现有网络系统的平滑接入,不影响现有系统的正常运行,并考虑和现有网络系统实现网络冗余。4) 住院病区考虑到无线查房的需要,需要部署无线网络。5) 传输动态图像的部门有:放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室(ICU、CCU等)、手术室、麻醉科、视频示教室和会议室等。6) 医保(包括省医保、市医保、区医保以及市公费医疗)是专线接入。须配置医院内网与专线网的接口。7) 为了更好地服务于医疗科研工作,需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来,在需要时,可随时还原。因此,须考虑将医院所有的监护仪器和大型设备都联网。1.3.2 外网需求外网原则上是指除医院内网之外的所有网络系统,包括INTERNET、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、、未来的视频会议系统、公共区域无线上网等。1) 应急系统也是卫生局专线接入,通过外网接口和院内视频会议系统连接。2) 银联系统是用各POS机终端通过外网接口与原银联系统连接。3) Internet网提供远程医疗、远程教育、局办公自动化服务、医疗设备远程维护等。4) 医院内部职工文献检索及知识管理平台集中在电子图书馆,但须在所有办公场所、住院楼病房、宿舍等地方预留Internet网接口。5) 办公自动化系统服务器设在二号楼十二楼机房,需在新大楼预留外网接口。6) 每个病区病床需预留外网接口考虑将来做电视点播(IPTV)作用。7) 医院公共区域无线上网可以考虑交由网络运营商直接建设和收费。8) 以上系统建议分别单独组网,以子网的形式组成整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。1.3.3 网络安全需求医院网络安全建设应该满足三级等保建设要求,应对现在层出不穷的网络安全问题,在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测等设备以及和杀毒软件的配合使用,解决医院目前现有系统及新建系统的网络安全问题。基本要做到:故障排除、灾难恢复、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等。1) 故障排除:要求做到一旦网络出现异常,如无法访问网络,网络访问异常等,要能提供及时、有效的服务,在短的时间内恢复网络应用。2) 灾难恢复:要求做到设备遇到物理损害网络应用异常时通过备品备件,快速恢复网络硬件环境;通过备份文件的复原,尽快恢复网络的电子资源;在最短的时间内恢复整个网络应用。3) 查找攻击源:要求做到发现网络遭到攻击,需要通过日志文件等信息,确定攻击的来源,为进一步采取措施提供依据。4) 实时检索日志文件:要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范。5) 即时查杀病毒:要求做到网络中出现病毒,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用。6) 即时网络监控:要求通过网络监控,尽可能发现网络中存在的前期网络故障,在故障扩大化以前及时进行防治。1.3.4 无线网络需求从国际上医院信息化发展趋势来看,移动医疗物联网成为医院信息化的热点。移动化是指医护人员可以随时随地取得和使用数据。在美国,医护人员随身携带EDA(Enterprise Digital Assistant)和MCA(Mobile Clinical Assistant)在病区中查房,通过EDA或者MCA可以随时调阅病人的历史资料和病患数据,方便医护人员了解病情和实施检查报告;条码化是指通过条码技术识别病人、药品和标本。融合了移动计算、条码识别等技术的移动信息系统,是当前医院信息化应用中最先进的解决方案。目前,全球许多国家和地区的医院都已经建立了各种移动信息系统,所有药品都进行了条码化认证,并且通过移动终端快速的进行病人识别、药物核对及诊疗过程的全程控制。医院信息化建设引入移动化和条码化,能够提高医护人员工作效率,进一步提升医院医疗水平、管理水平,为广大人民群众提供更优质的医疗服务;此外,利用移动信息技术,还可以帮助医院规范病区以及门诊输液室的医疗和护理流程、标本管理、用药安全,减少救治过程中可能出现差错的环节,从而为病人提供快捷、安全、高效的医疗救治环境。此外,医院的信息化建设在经历了以关注业务功能的基础业务系统如HIS、PACS、RIS和以关注业务流程的临床业务系统之后,逐步进入到以关注医疗业务对象为主的医疗物联网应用阶段。物联网在医疗领域应用的切入点是医疗对象的管理,包括对象属性的收集、对象状态的探测、对象状态的监控和对象活动的管理。医疗对象的管理可以看做是物联网在医疗行业应用的排头兵,对于拓展物联网在医疗行业的深入应用具有重要意义。1.3.5 医院BYOD需求数量众多、型号各异的泛BYOD设备加入医院网络,为医院网络带来诸多挑战。比如,在网络方面,如何保障网络的稳定可靠、如何保障移动应用的QoS等;在安全方面,如何保障企业与个人数据的隔离和安全、如何防范非法设备接入和外网侵入等;在应用方面,如何应对接入规模扩大带来的管理问题、如何适配不同终端、如何进行应用移动化等。具体体现在如下几个方面:1) 网络边界模糊化:BYOD的引入,使得网络逐渐没有明确的物理范畴,企业内部网络与外部网络的界限不再清晰。因此企业网络需要有良好的扩展性以满足大量的泛BYOD设备加入企业网络。为了提高企业网络的安全性,原有网络边缘架设的安全设备也需要随着网络的扩展而同步扩展。2) 应用场景多样化:BYOD能够支持不同角色的用户,持有各种类型的终端,在不同的地点,以多种方式接入到企业内部网络。3) 网络管理复杂化由于大量各种类型的泛BYOD设备不断接入到企业网络,导致网络管理操作频繁和类型复杂。4) 安全威胁多发化:BYOD设备访问企业内部网络,企业内部的数据和网络环境的威胁企业对接入终端的管理,可能会对用户设备造成隐私侵犯甚至泄露。BYOD的需求有以下几个方面:1) 已经部署了有线网络,需要部署无线网络2) 仅允许部分员工携带公司配机在公司内部无线访问公司内部网络指定资源3) 仅允许部分员工携带公司配机远程访问公司内部网络指定资源4) 允许哑终端采用有线或无线方式接入到公司内部网络5) 公司配机需要按照要求进行资产注册6) 公司员工自带设备不能接入公司内部网络,也不能访问Internet7) 访客不能接入到公司内部网络1.1 医院业务应用分析医院核心业务系统包括HIS、EMR、PACS、LIS等,详情如下所示:1 XX医院有线网络系统设计1.1 XX医院现有网络1.1.1 XX医院现有网络建设情况客户和项目背景介绍,根据实际情况填写。1.1.2 XX医院现有网络存在的问题客户和项目背景介绍,根据实际情况填写。1.2 网络设计原则基于XX医院目前网络现状和未来业务发展的要求,希望通过本次网络改造完成后,将XX医院打造成业内信息化建设一流的龙头三甲医院。在医院网络设计构建中,应始终坚持以下建网原则:1) 时效性:网络应保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确保业务的实时高效;2) 可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持医院各业务系统的正常运行。必须满足7×24×365 小时连续运行的要求。在故障发生时,网络设备可以快速自动地切换到备份设备上;3) 完整性:网络系统应实现端到端的、能整合数据、语音和图像的多业务应用,满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络;4) 技术先进性和实用性–保证满足医院应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。5) 高性能—医院网络性能是医院整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,才能使网络不成为一眼业务开展的瓶颈。6) 标准开放性–支持国际上通用标准的网络协议(如IP)、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通,以及将来网络的扩展。7) 灵活性及可扩展性–根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。8) 可管理性–对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。9) 安全性–制订统一的骨干网安全策略,整体考虑网络平台的安全性。能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;10) 保护现有投资–在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级,用作骨干网外联的接入设备,网络的投资应随着网络的伸缩能够持续发挥作用,保护现有网络的投资,充分发挥网络投资的最大效益。1.3 XX医院内网规划设计内网是整个医院的核心网络,开展医院日常重要的医疗业务,对网络的可靠性、稳定性要求非常高。本次XX医院内网改造设计采用三级架构,分为核心层、汇聚层和接入层。1.3.1 核心层需求分析XX医院内网核心设备担负着连接汇聚层,服务器群和医保网的工作,同时通过核心设备的互联,形成一套完整的网络。由于核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的,所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高,由于网络也基本是一个金字塔的形状,那么最需要稳定的就是金字塔的顶端,即网络的核心层。核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。在核心层的规划中,主要应该采用结构稳定并且能够进行详细路由查找的三层路由协议来进行规划。1.3.2 汇聚层需求分析汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。1.3.3 接入层需求分析网络的接入是对用户直接进行数据透传的层次,但是由于网络的特殊性,本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的解释。对本次的接入层的主要需求的分析如下:1) 接入层用户数量的大直接产生大量的数据报文,直接通过三层的数据承载上来,同时造成碰撞域和冲突域,使网络瓶颈产生于网络的低层,直接影响接入质量。2) 接入层用户数量大,而所应用的数据种类繁多,多种网络业务流量的产生,包括组播业务的产生,对所接入的网络设备要求很高,使整个接入层产生了一个业务接入瓶颈。3) 网络的访问终结于共享数据的特定位置,因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器,而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器,就需要这几个用户争抢网络带宽,使接入层瓶颈提升到核心层,造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的,网络一定会出现闲置的带宽的现象,如何规划路由将非常重要。4) 网络流量和网络流向是宽带网络的一个新瓶颈。5) 对于宽带网络接入,接入层网络的通常是以新2/8原则来划分的,其中有20%的流量是在接入层交换机的内部进行交换的,而80%的网络流量是通过上联出口访问其他的网络设备。这里,就涉及到网络产生流量后,网络流向的问题,网络流向直接造成网络对于流量和流向所产生的网络瓶颈。6) 网络用户是局域网用户,实际接入的用户就是一个网络,那么对于不同网络之间的互访的安全性控制更是由为重要,同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的,对其他部门的用户的访问是分为很多的不同的级别的。1.3.4 链路层需求分析对于XX医院这样的网络来说,各项业务的需求,对于网络的稳定性的需求就不言而喻。网络核心层的采用星型的设计思路,通过以太网的方式同样需要保证毫秒级的链路保护功能。对于链路级的保护能够实现对一些基本的链路进行备份起到冗余的特性,以便保证在某个物理链路断掉的时候还能保证用户的数据的传输功能,同时能够针对用户的关键的链路放置一条专有的链路实现备份功能,保证关键业务的不间断的连接。通过针对网络级的保护需要针对不同的网络设备采用不同的网络级的保护协议来实现,针对整体的网络架构提供保护,将网络的稳定性和安全性提供更高的安全性。对于网络级的保护主要是通过网络的协议来实现的。并且网络的冗余技术有很多不同的实现方式,对于网络核心层的影响也不尽相同。1.4 XX医院内网有线网络改造方案XX医院内网改造拓扑图如下所示:1.4.1 灾备数据中心XX医院现有主数据中心位于9楼,灾备数据中心将设置在B1,灾备数据中心备份医院核心业务,对主机房业务数据进行备份。当主机房故障时,业务可以及时切换到备份机房,满足医院核心业务的可靠性。两个机房之间需要通过40G互联:三层互联需求1) 业务、运维、复制流量2) DC间三层互通以及业务间隔离的目的3) 点到多点二层互联需求1) HA集群心跳、管理流量2) 业务分区跨DC VLAN扩展3) 虚拟机迁移SAN网络互联需求1) 阵列复制流量2) FC/IP SAN、NAS互联3) 需要OTN传输,以实现多种存储接口接入互联4) 点到点互联1.4.2 数据中心交换机数据中心交换机采用2台CE12800[w1] 系列交换机,通过100G光纤完成两台交换机之间横向虚拟化,通过虚拟机技术,避免单点故障,满足云计算横向迁移的需求。同时,数据中心交换机的EVN特性满足两个数据中心之间大二层网络的建设,避免业务中断。CE12800系列单槽位支持双向4Tbps带宽(可平滑升级至10Tbps),整机最大支持64Tbps交换容量,满足云计算数据中心可持续发展需求,打造未来十年的稳定网络架构;支持1:16核心虚拟化,512节点TRILL组网,EVN支持跨数据中心资源共享;作为Overlay虚拟化网络(VXLAN)的高性能硬件网关,支撑高达16M多租户的数据中心运营,OPS和ENP实现双平面可编程,网络按需定制;专利的严格前后风道设计,线卡网板风道独立,提高散热效率;多种绿色节能创新技术,降低机房能耗。1.4.3 园区核心交换机园区核心交换机采用2台S12700[w2] 系列交换机,两台核心交换机之间通过双40G做虚拟化,简化网络架构,满足链路冗余需求。S12700系列交换机是华为公司面向下一代园区网核心而专门设计开发的敏捷交换机。该产品采用全可编程架构,灵活快速满足客户定制需求,助力客户平滑演进至SDN网络。该产品基于华为公司首款以太网络处理器ENP,内置随板WLAN AC无线局域网接入控制器,实现有线无线真正融合;内置随板BRAS宽带远程接入服务器,提供精细化的用户和业务管理,支持iPCA网络包守恒算法,可对任意业务流随时随地逐点检测,助力客户对业务的精准管理。该产品基于华为公司自主研发的通用路由平台VRP,在提供高性能的L2/L3层交换服务基础上,进一步融合了MPLS VPN、硬件IPv6、桌面云、视频会议等多种网络业务,提供不间断升级、不间断转发、CSS2交换网硬件集群主控1+N备份、硬件Eth-OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本。1.4.4 园区汇聚交换机园区汇聚交换机在每座建筑放置一对楼宇汇聚交换机S12704[w3] ,每对汇聚交换机之间通过双10G做虚拟化,简化网络架构,满足链路冗余需求。汇聚交换机分别与两个数据中心内的园区核心交换机通过40G光纤直连。汇聚交换机与接入交换机通过SVF技术将汇聚层和接入层虚拟成一台设备,一方面简化网络拓扑;另一方面,简化运维,一旦接入层设备故障,通过同一型号设备直接替换即可工作。S12700系列交换机是华为公司面向下一代园区网核心而专门设计开发的敏捷交换机。该产品采用全可编程架构,灵活快速满足客户定制需求,助力客户平滑演进至SDN网络。该产品基于华为公司首款以太网络处理器ENP,内置随板WLAN AC无线局域网接入控制器,实现有线无线真正融合;内置随板BRAS宽带远程接入服务器,提供精细化的用户和业务管理,支持iPCA网络包守恒算法,可对任意业务流随时随地逐点检测,助力客户对业务的精准管理。该产品基于华为公司自主研发的通用路由平台VRP,在提供高性能的L2/L3层交换服务基础上,进一步融合了MPLS VPN、硬件IPv6、桌面云、视频会议等多种网络业务,提供不间断升级、不间断转发、CSS2交换网硬件集群主控1+N备份、硬件Eth-OAM/BFD、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本。1.4.5 接入交换机接入交换机采用S5720-HI[w4] 系列交换机,每台交换机通过万兆光纤分别与两台楼宇交换机互联。S5720-HI高级型千兆以太网敏捷交换机系列提供丰富的敏捷特性。该系列交换机基于华为公司统一的VRP(Versatile Routing Platform)软件平台,采用全可编程架构具备软件定义功能,业务随需而变;以业务和网络融合为核心,具备业务随行能力提供一致的用户体验;具备SVF超级虚拟交换网功能可把整网虚拟成一台设备;提供灵活的以太组网,完善的VPN隧道,多样的安全控制,智能部署,轻松的运行维护等特点,是大中型高端品质园区网分支、小型园区网核心以及数据中心接入的最佳选择。1.4.6 等保改造现有主机房等保设备全部利旧,等保建设方案在备份中心直接采用。主机房由于设备升级,需要用性能更高的10G/40G安全设备替换现有安全设备。医院内网与医保、远程医疗、公安分院的连接需要增加防火墙设备,满足等级保护需求。1.4.7 网络管理为了解决现有网络缺乏统一管理、统一认证的需求,同时满足移动医疗带来的未来BYOD的趋势,本次网络改造方案中配置了有线无线统一管理、网络接入认证、网络流量分析等管理软件,有效感知网络使用状况。1.4.8 链路需求以下部分网络连接需要重新规划改造光纤链路资源:1) 接入交换机与汇聚交换机之间;2) 楼宇汇聚交换机到两个机房之间的链路;3) 两个数据中心之间的光纤链路;1.5 XX医院内网改造技术特性1.5.1 网络虚拟化1.5.1.1 虚拟医院网络技术概述医院网络通过在核心层、汇聚层以及接入层部署集群(CSS)、堆叠、Eth-Trunk和VS技术实现横向虚拟化,解决传统网络的二层环路和可靠性等问题,同时实现医院内部不同部门、不同业务的隔离。网络中位于核心层和汇聚层的交换机使用集群技术解决单点故障问题,接入层采用堆叠技术解决环网的难题,抛弃了复杂的环网协议,简化网络,降低管理成本;堆叠、集群技术同时提供了冗余设计,可靠性得到大幅提升。医院网络需要支持云计算业务,网络需要对虚拟机迁移进行感知,并自动进行策略配置。1.5.1.2 横向虚拟化横向虚拟化即在医院网络的核心层、汇聚层、接入层分别采用集群/堆叠技术,将多台物理设备虚拟化成单台逻辑设备,达到简化网络结构、简化网络协议部署、提高网络可靠性和可管理性的目的。接入层在复杂的接入环境中运行堆叠技术,可以将多台物理网络节点虚拟化为单台设备,完全消除接入层环路,并形成捆绑链路的高带宽和可靠性上行。汇聚层与核心层一般是将两台设备组成集群环境,简化网络拓扑,提高带宽利用率。横向虚拟化可实现网络灵活扩展。1.5.1.3 SVF超级虚拟交换网S12700支持SVF超级虚拟交换网,创新实现不仅将盒式交换机虚拟为框式交换机板卡,而且将AP虚拟为框式交换机的端口,使得原来“核心/汇聚+接入交换机+AP”的网络架构,虚拟化为一台设备进行管理,提供业界最简化网络管理方案。图1-1 SVF超级虚拟交换网1.5.1.4 虚拟系统VS虚拟系统VS(Virtual System)是指将一台物理设备PS(Physical System)虚拟成多个相互隔离的逻辑系统。每个VS 独立工作,在业务功能上等同于一台独立的传统物理设备。随着网络规模的不断扩大,网络基础设施的需求也在不断增长,从而使得一些没有得到充分利用的设备散布于网络之中,资源利用率低。通过VS技术,可以将一台物理设备虚拟成多台逻辑意义上的设备。一台物理设备可以承担逻辑拓扑中的多个网络节点,最大限度地利用现有资源,降低了网络运营成本。同时,不同的VS可以部署不同的业务,实现业务、故障的隔离,提高了网络的安全性和可靠性。VS主要具有以下优点:1) 业务、故障隔离。不同的VS上部署不同的业务,一个VS的故障不会影响其它VS,从而提高了网络的安全性和可靠性。2) 独立管理。每个VS支持运行独立完整的业务,有独立的管理平面,可以进行独立的配置、管理。3) 降低网络运营成本。一台物理设备虚拟成多个VS后,可以承担逻辑拓扑中的多个网络节点,提高设备的利用率,减少物理设备的数量。1.5.1.5 虚拟感知虚拟化和云计算是数据中心发展的两大趋势,目前数据中心资源的平均利用率较低,服务器虚拟化技术随之产生,以提高服务器资源利用率、减少能耗。服务器虚拟化解决了物理服务器环境资源冲突问题,并凭借其大幅降低IT成本、提高业务部署灵活性、降低运维成本等优势已经得到越来越多的认可和部署。然而服务器虚拟化技术使传统的存储、网络及安全技术的界限变得模糊,为数据中心网络部署和管理带来挑战。服务器虚拟化后,需要一个端到端的解决方案来集成并管理物理和虚拟网络,为大规模的虚拟服务器部署提供可行的方法。服务器的一变多带来网络端口的一变多,虚拟机的动态性带来了网络端口的动态性。不同于网络交换机,虚拟交换机对于网络管理员而言基本上是不可访问的,需要使用不同的工具集来管理,且不同的工具集没有统一的网管,因此难于获得对整个网络统一的拓扑。服务器虚拟化导致了网络分片(即物理网络和虚拟网络),使得实现一致化的网络和安全策略变得困难。因此我们需要一个基于标准的开放的方法来集成并管理物理和虚拟网络,为大规模的虚拟服务器部署提供可行的途径。通过网络虚拟感知管理平面感知虚拟环境的变化,屏蔽软件的差异,实现物理网络配置的自动更新。华为提供虚拟感知解决方案,通过在远程网络设备上部署网络控制器nCenter,在某个虚拟机所在的服务器或者远程网络设备上部署vCenter,同时通过nCenter与vCenter之间的通信、nCenter与TOR之间的通信,完成虚拟感知和全网业务的部署,可使用户大规模部署虚拟服务器,并且屏蔽软件差异,实现物理网络配置的自动更新。nCenter 与vCenter 之间的通信通过vCenter 提供的API(Application Process Interface)来完成,所以该方案也称为基于API 方式的虚拟感知解决方案。基于API 方式的虚拟感知解决方案主要包含,虚拟机VM 的上线,拓扑感知,策略自动迁移,虚拟机VM 的下线感知。nCenter 通过vCenter 开放的API 感知VM 的上线和迁移,nCenter 通知TOR 用户上线和下线。VM 的上线和迁移不是VM 本身自动通过协议或者消息方式通告的,是通过第三方的组件nCenter 感知,所以也称为nCenter 带外方式触发VM 接入。1.5.1.6 TRILL技术TRILL(Transparent Interconnection of Lots of Links)是一种把三层链路状态路由技术应用于二层网络的协议。TRILL通过扩展IS-IS路由协议实现二层路由,可以很好地满足数据中心大二层组网需求,为数据中心业务提供解决方案。TRILL相对于传统二层协议xSTP和三层路由协议的优势有如下几点:- 高效转发,真正实现无阻塞Trill网络中每台设备都以自身节点作为源节点,基于最短路径算法计算到达其他所有节点的最短路径,如果存在多条等价链路,在生成单播转发表项时候能够形成负载分担。对于数据中心胖树组网等存在多路径转发时候,能够充分利用网络带宽,真正实现无阻塞。想比之下传统的xSTP协议只能通过阻塞链路实现单路径的转发,极大的浪费的带宽,并且违背了无阻塞网络架构的思想。由于TRILL网络中数据报文转发可以实现ECMP和最短路径,因此采用TRILL组网方式可以极大提高数据中心数据转发效率,提高数据中心网络吞吐量。- 支持虚拟机的任意迁移云计算数据中心网络需要支持虚拟机能够在整个数据中心范围内进行动态迁移。为了保证业务的正常运行,虚拟机迁移要求迁移前后虚拟机的IP地址和MAC地址保持一致,在传统二层xSTP汇聚+三层IP路由的网络环境下,如果虚拟机跨网段迁移,则无法实现迁移前后的IP地址保持一致。TRILL协议部署在大二层网络,可以支持虚拟机在整个数据中心动态迁移。- 环路避免TRILL协议能够自动选举出分发树树根,每个RB(Router Bridge)节点以分发树树根为源节点,计算到达所有其他RB节点的最短路径,从而能够自动构建整网共享的组播分发树,基于该共享树将整网所有节点连接起来,承载二层未知单播、广播或组播数据报文,不会形成环路。- 快速收敛传统二层网络由于以太报文头部没有TTL字段,xSTP协议收敛机制设计的比较保守,在网络拓扑变化情况下,收敛速度比较慢,有的情况下甚至需要几十秒时间才能收敛,不能满足数据中心业务高可靠性要求。TRILL采用路由协议生成转发表项,并且TRILL头部有Hop-Count字段能够允许短暂的临时环路,在网络出现节点和链路故障情况下收敛时间能达到亚秒级。- 部署方便TRILL网络部署自动化程度比较高,首先TRILL协议配置比较简单,很多配置参数比如Nickname、systemID等都可以自动生成,多数协议参数采用缺省配置即可;其次,单播、组播统一控制协议,用户只需要维护一套协议,而不是象三层组网中单播和组播需要维护IGP、PIM等多套路由协议;最后,TRILL网络是二层网络,具备传统二层网络即插即用、方便易用的特点。- 容易支持多租户目前TRILL标准采用VLANID作为租户标识,通过VLAN对不同租户流量进行隔离,在云计算产业和大二层组网运营处于起步阶段,VLANID的4096限制不会形成瓶颈。随着云计算产业的发展,租户标识需要突破4096限制,TRILL后续会演进到通过FineLabel来进行租户标识,FineLabel为24bit,理论上能够支持16M租户规模,足够满足将来租户规模扩展性的需求。- 支持大规模网络,并可以平滑演进部署TRILL的大二层网络理论上可以支持1000台左右的交换机。采用xSTP协议的传统二层网络,可以无缝接入TRILL大二层网络,xSTP网络下挂接的服务器可以和TRILL网络下挂接的服务器彼此进行二层通信,虚拟机可以在整个大二层网络内迁移。1.5.2 敏捷网络特性针对传统网络的不足和缺陷,基于SDN思想和网络架构创新,华为提出了敏捷网络解决方案,带来5大改变,让您走出传统网络的困扰,步入敏捷时代:1) 传统网络,是以技术,设备和网络连通做为核心来设计的;敏捷网络,将关注点转移如何提供卓越的用户体验和快速引入业务创新,尽量屏蔽技术和设备细节。2) 传统网络是以单台设备为中心的,各自为政;敏捷网络更加关注全网作为一个功能的整体,提供整体的服务和整体的体验。3) 传统网络用户体验不好,网络并不知道;敏捷网络让网络实时感知用户体验和业务质量,当用户体验不好时,网络会自动发现问题并提供精确的定位信息。4) 传统网络,管理员的精力消耗到技术细节和复杂的设备配置和繁琐的问题定位上;敏捷网络,让管理员更多地关注用户体验和业务创新,只需发挥您的经验和智慧,体力活全部由敏捷网络自动完成5) 传统网络,网络功能由硬件定义,演进速度慢,新业务和新功能往往需要更换设备;敏捷网络,网络功能由软件定义,让业务快速引入,让创新无处不在。敏捷园区是敏捷网络解决方案在园区网的落地实现,相对传统园区网,有3个大的变化:1) 增加了Agile Controller集中式控制,实现整个园区网络包括出口路由器/SVN的全网系统控制,可以动态地调配网络资源,实现网络资源跟随用户移动,从而保证了自由移动环境下每个用户的业务体验。同时它可以调配全网安全资源,实现网络的协同整体防护。2) 用敏捷交换机替代了传统交换机,增加了敏捷感知和执行的能力,可以感知用户&应用,网络质量&问题以及安全事件3) 实现了安全能力资源化,防火墙等安全资源不再是某个单点的功能,而是可以全网共享的功能,具体参加后面的全网安全协防。敏捷特性包括业务随行、全网安全协防、质量感知iPCA和有线无线深度融合四大特性,这四特性既可以相互独立部署,也可以同时部署。其中,业务随行需要考虑接入认证点和执行点,需要全网规划安全组和安全策略,即需要根据安全要求,将用户、资源或设备划分为不同的安全组以及组间访问控制策略;同时需要明确相关设备(认证设备和执行设备)的部署位置。全网安全协防,包括业务编排和安全联动两个小特性。业务编排需要规划业务流和流量路径。安全联动动需要根据设备和安全要求明确部署的用例、设备类型以及响应策略。同时注意尽量避免这两个小特性同时部署。质量感知iPCA规划需要明确监测范围(设备、区域、业务流)、类型(设备级、网络级)以及业务流。有线无线融合规划需要明确采用的设备类型以及部署位置,同时明确无线AP的接入方式,明确主备方式,确定无线接入的数据转发模式以及有线无线用户的认证模式。
本文出自快速备案,转载时请注明出处及相应链接。