最新医院网络方案设计

《最新医院网络方案设计》由会员分享，可在线阅读，更多相关《最新医院网络方案设计（20页珍藏版）》请在装配图网上搜索。

1、 医院网络方案设计 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 XX 医院 方案设计书 目录 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 第一章 需求分析.3 1.1 项目背景.3 1.2 用户需求分析.4 1.3 信息点分布.4 第二章 总体设计.5 2.1 设计原则与思路.5 2.2 设计目标.6 2.3 网络拓扑图.6 2.4 IP 地址规划.7 2.5 VLAN 划分.8 Vlan 划分原则根据用户的工作部门划分 vlan .8 第三章 详细设计.9 3.1 核心层设计.9 3.2 汇聚层设计.9 3.3 接入层设计.10

2、 3.4 无线网络设计.10 3.5 数据中心设计.12 3.6 互联网接入设计.12 第四章 设计方案技术.12 4.1 冗余与负载均衡设计.12 4.2 路由设计.13 4.3 网络安全设计.13 4.4 网络管理与维护设计.13 4.5 虚拟专用网 VPN.14 4.6 在网络中部署 QOS.15 4.7 可扩展性设计.15 第五章 网络设备选型.15 第六章 总结与鸣谢.16 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 前言 大多数医院信息化建设发展经历了从早期的单机单用户应用阶段，到部门级和全院级管理信息系统应用；从以财务、药品和管理为中心，开始向以病

3、人信息为中心的临床业务支持和电子病历应用；从局限在医院内部应用，发展到区域医疗信息化应用尝试。近几年，随着以“以病人为中心，以提高医疗服务质量为主题”的医院管理年活动，各地医院纷纷加强信息化建设步伐。根据权威机构对医院信息化现状调查显示，以费用和管理为中心的全院网络化系统应用已经超过了80%。住院医生工作站系统，电子病历、全院 PACS、无线查房、腕带技术、RFID、万兆网络、服务器集群、数据虚拟容灾等先进的系统和网络技术已经开始应用。医院通过信息化系统建设，优化就诊流程，减少患者排队挂号等候时间，实行挂号、检验、交费、取药等一站式、无胶片、无纸化服务，简化看病流程，杜绝“三长一短”现象，有效

4、解决了群众“看病难”问题。现在中国医院信息化的发展，到了一个新的关口。2009 年新医改方案公布，方案中把信息技术明确的列为支持医改成功实现的八个主要支柱之一，这是从未有过的事情，我国医疗卫生信息化面临从未有过的机遇与挑战。方案还明确要求启动建立居民健康档案和电子病历，实现医疗信息的整合、共享和交换，以缓解医疗信息化发展的不平衡，系统分割独立、连续性和协调性差，业务流程不统一等问题。医疗行业信息化正在走向如何利用信息化技术减少医疗差错，如何利用信息化技术进行医疗服务的创新，如何将分散的医疗资源整合，为患者提供更完善的服务的方向。锐捷网络作为国内领先的网络设备及解决方案供应商，始终致力于推动医疗

5、信息化的发展，为促进我国公共卫生事业贡献自己的力量。在过去的几年中，锐捷网络在医院信息化建设，区域卫生信息化建设领域专注研究、探索、实践，不断完善产品及解决方案，使之服务于全国数百家大中型医院及医疗服务机构，定制的方案、可靠地产品、优质的服务得到了广大用户的认可和支持。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 第一章 需求分析 1.1 项目背景 xx 医院是卫生部xx 大学附属的一所综合性教学医院。目前已成为一所国家高层次的医疗机构，并为全国医疗、预防、教学、科研相结合的技术中心，在国内外享有较高的声誉。随着医疗行业信息化的发展，为了认真贯彻卫生部召开的关于加

6、快医卫系统信息化建设及管理的会议精神，进一步推进医院的信息化建设，了解国际医疗信息化发展动态，吸收新的技术和管理经验，提高医院信息化应用的管理水平，使医院经济效益和社会效益双丰收，将逐步加快医院的信息化建设步伐。本次院方新建了一栋18层的门诊大楼，我公司承担了新建大楼的内网部署，使之达到如今医疗系统对网络的普遍要求，网络整体高速稳定的运行，易于管理且安全可靠、实现了无线网络的覆盖以及海量数据的高速传输以及可扩展性等。此外还要求建立医院与社保、医保、银行机构、干保系统的VPN 连接。1.2 用户需求分析（1）网络系统稳定性需求：能够保证整个网络的稳定、可靠，保证在单点故障的情况下不会对整个网络造

7、成冲击，保证核心、骨干设备在出问题的时候能够无缝的恢复或切换。（2）网络传输性能需求：能够通过有效的网络带宽控制技术和服务质量保证技术，来满足医院对于不同数据传输的需要。（3）网络系统安全性需求：能够保证整个系统的保密性、完整性、可用性、可审核性。关键设备必须有备份系统且能够通过有效的手段控制和防御网络病毒的攻击。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16（4）网络系统管理维护需求：能够及时有效的发现网络中的异常流量，有效的控制网络设备，及时的对异常网络设备进行远程控制且操作简单、方便管理与维护。（5）无线网络需求：能够实现无线网络的无缝覆盖，充分发挥移动信息系

8、统的功能，使医护人员可以借助它大力协助自己在病人身边做治疗护理的工作。（6）远程接入需求：能够为医院外部特殊用户提供安全保密的信息，实现高速安全的广域网数据传输。1.3 信息点分布 新建楼栋(18 层门诊大楼)信息点分布如下表。层数 信息点数量 1 楼 150 2 楼 200 3 楼 200 4 楼 200 5 楼 200 6 楼 150 7 楼 100 8 楼 100 9 楼 100 10 楼 100 11 楼 100 12 楼 100 13 楼 220 14 楼 330 15 楼 320 16 楼 300 17 楼 260 18 楼 100 精品好文档，推荐学习交流 仅供学习与交流，如有侵

9、权请联系网站删除 谢谢16 表 1-1 新建门诊大楼信息点 第二章 总体设计 2.1 设计原则与思路（1）先进性 世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求。（2）可靠性 系统能长时间稳定可靠地运行，并保证系统安全，防止非法用户的非法访问。系统不能出现故障，或者说即使有设备出现故障，对网络和网上的数据不构成大的威胁，要有设备对数据作备份。（3）实用性 系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联

10、网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应企业的内部需求，员工的工作特性等。（4）安全性 企业计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。企业的商业机密，员工资料，市场和销售信息等敏感信息关系到企业生存利害。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。（5）可扩充性 系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活进行软件版本的更新和升级，保护用户的投资。为将来系统的升级、扩展打下良好的基础。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 2.2 设计目标（1）各楼层直接

11、与一楼的中心机房经过万兆单膜光纤互联，要求实现万兆骨干，千兆到桌面的全网设计；（2）在各楼层全面部署无线网络，每楼层根据前期的规划，初步为一层楼7 个具备 802.11n技术的 AP，并且为了便于管理和升级服务，要求设计方采用瘦AP 架构。（3）网络核心，要求考虑采用双核心架构，万兆互联，充分考虑网络的稳定性与冗余，以及灾难恢复。（4）数据中心，位于门诊楼一楼，拥有各类型的服务器 110 台，要求配置一台专门的高端核心交换机/数据中心交换机，且双万兆链路与核心互联。（5）网络出口设计需要考虑四条出口，一是社保局的 VPN 出口，二是医保VPN 出口，三是银行机构 VPN 出口、四是干保 VPN

12、 出口，且各条 VPN 出口均是独立的电信或者联通线路。出口设计要求安全、可控。2.3 网络拓扑图 网络设计依照“万兆核心、千兆支干、千兆交换桌面”的要求采用三层结构，重要部分双链路冗余，双设备冗余，核心层采用两台 RG-S8610系列交换机，门诊大楼汇聚层采用两台 RG-S6506系列交换机，门诊大楼各层接入层采用 RG-S2900系列可堆叠交换机，在数据中心部分采用两台 RG-S5750系列交换机，除接入层到终端使用千兆以太网链路外，其他全部使用万兆光纤链路。除接入层到终端不进行冗余外，其他部分均有冗余。汇聚层、核心层互联均使用双万兆光纤聚合，数据中心到核心层链路也使用双万兆光纤聚合，整个

13、网络使用锐捷 SAM进行身份认证，Star-View 进行网络设备管理。核心层旁部署 RG-IDS2000用于审计整个网络，为各种事件提供证据。其数据也作为当前网络运行状况与后续网络扩充的参考。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 表 2-1 网络拓扑图 2.4 IP 地址规划 在网络 IP 规划中，网络设备（交换机、路由器等）使用192.168.0.0/24这个地址块，医院使用整个10.0.0.0/8私有地址块，应用服务器，验证和管理系统使用 10.0.0.0-10.10.255.255这个网络块，IP 地址池 10.11.0.0-10.90.255.2

14、55均用于本地网络，按部门分配使用，多余部分保留，IP 地址池10.91.0.0-10.100.255.255用于无线网络，对于可能的分院建设，预留10.101.0.0-10.150.255.255用于分院的 IP，分院 IP 和总院 IP 统一编址，可实现通过 VPN的站点到站点完全互访，即分院与总院在逻辑上就是一个大的整体网络。对于远程接入用户，使用10.151.0.0-10.160.255.255网段。总体如下表所示：IP 段 用途 192.168.0.0/24 网络设备（交换机、路由器等）10.0.0.0-10.10.255.255 应用服务器 10.11.0.0-10.90.255.

15、255 医院本地网络（按部门分配）精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 10.91.0.0-10.100.255.255 医院本地无线接入设备 10.101.0.0-10.150.255.255 医院分院建设 10.151.0.0-10.160.255.255 远程接入用户 表 2-2 医院 IP 段规划 在汇聚层交换机上建立 IP 池，开启 DHCP Server，根据终端所属 VLAN，动态分配楼栋各层的设备的 IP。对于需要静态 IP 的设备，由管理员根据 IP 规划表手动配置。对于数据中心中需要被外部访问的设备的 IP 划分，需要被其他系统访问的设

16、备均使用唯一的外网 IP，在出口处不添加这些 IP 的路由，这样外网无法访问到这些设备，对于 VPN 连接进入的用户和站点到站点的 VPN 额外添加路由，使这些设备能被访问。医院拥有 218.78.5.0/24 这个外网 IP 块。按如下表单分配 IP 地址。设备名 地址 出口路由 218.78.5.1/24 出口防火墙 218.78.5.5/24 Web 服务器 218.78.5.11/24 FTP 服务器 218.78.5.12/24 邮件服务器 218.78.5.13/24 VPN(IP Sec)218.78.5.101/24 VPN(SSL)218.78.5.105/24 表 2-3

17、外网可访问设备 IP 规划 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 2.5 VLAN 划分 Vlan划分原则根据用户的工作部门划分 vlan 部门 VLAN ID 网络地址 子网掩码 网关 服务器群 VLAN 1 10.1.0.0|10.1.255.255 255.255.0.0 10.1.0.1 门诊部 VLAN 10 10.10.0.0|10.10.255.255 255.255.0.0 10.10.0.1 住院部 VLAN 11 10.11.0.0 10.11.255.255 255.255.0.0 10.11.0.1 无线用户（其他）VLAN 91

18、10.91.0.0 10.91.255.255 255.255.0.0 10.91.0.1 无线用户（员工）VLAN 94 10.94.0.0 10.94.255.255 255.255.0.0 10.94.0.1 网络设备 VLAN 520 192.168.0.0 192.168.255.255 255.255.0.0 192.168.0.1 表 2-3 VLAN 规划 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 第三章 详细设计 3.1 核心层设计 大型医院网络的核心网主要完成整个医院内部不同部门之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型医院的

19、用户数量众多，业务复杂，QOS要求较高、以及对链接线缆和模块数量等要求较高的这些特点。本方案中核心部分采用两台 RG-S8610交换机，通过两条万兆光纤互联，与楼栋汇聚层、数据中心、出口、IDS 均采用万兆光纤互联且有冗余链路，保证了网络的高速与稳定。IDS 采用 RG-IDS2000S，RG-IDS2000S以旁路的方式在网络中部署，实时监测网络运行状况与网络安全。3.2 汇聚层设计 汇聚层网络主要完成医院内各部门内接入交换机的汇聚及数据交换和 VLAN 终结以及实施与安全、流量负载和路由相关的策略，在本方案中汇聚层采用两台 RG-S6506交换机，各楼层接入层交换机都通过万兆光纤分别与这两

20、台交换机相连，实现冗余。汇聚层交换机同时与核心层两台交换机万兆光纤互联。实现高速 3.3 接入层设计 接入层网络主要完成为局域网接入广域网或者终端用户访问网络提供接入，在本方案中采用 RG-S2900交换机。根据不同楼层可能的信息点增加情况，按该楼层整体接入点的10%-30%进行接口预留，用于扩充，若进行更大规模的信息点增加，则需购置新的模块或设备。接入层交换机同时与一楼两台汇聚层交换机通过万兆光纤相连。实现高速、稳定。RG-S2951XG 每台有 48 个千兆以太网口。一楼共 150 个信息点，除去 110 台各种服务器之后剩余 40 个信息点，经计算各楼层需要的交换机数量如下表。表 3-1

21、 各楼层所需交换机数量 楼层 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 数量 1 5 5 5 5 4 3 3 3 3 3 3 5 7 7 7 6 3 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 3.4 无线网络设计 无线整体采用瘦 AP结构，在一楼数据中心添加无线交换机用于管理整个无线网络。选用 RG-AP220-E 作为无线接入点，选用 RG-WS5708 作为无线交换机。无线交换机选择部署在数据中心而非网络核心处，是综合考虑决定的，需要经过无线交换机的数据流量主要是对数据中心的访问，若将无线交换机直连核心交换机

22、，则流量会经过核心处交换机四次（接入终端到无线交换机两次，数据中心到无线交换机两次），若部署在数据中心内，则仅会经过核心交换机两次，降低了核心交换机的负担。对于非核心业务流量即安全需求较低流量，可不经过无线交换机直接转发。根据地形勘察和无线覆盖测试，初步决定每层楼部署 7 个无线 AP,楼层内有线网络分布较好，因此不存在某无线 AP 不方便接入有线网络的情况，即不存在额外的用于扩大AP 覆盖范围的 REPEATER 模式的 AP，所有 AP 无线工作模式均设置为接入模式（即 AP 模式）新建门诊大楼有 18 层，整栋楼共有 126（7*18）个无线接入点，因此采用两台 XX无线交换机，该无线交

23、换机能管理 128 个无线接入点，通过升级 license能管理最多 768 个无线接入点，两台无线交换机进行冗余，有一定扩充性，若后续部署更多无线设备，则考虑购置多台无线交换机组成无线交换机组。瘦 AP通过无线交换机管理，合理配置后可实现在三层的无线漫游，适合医院的实际使用。关于无线网络接入认证方面，若在无线连接建立前使用 WPA之类验证，因为没有界面，用户体验极差，非医院人员可能根本无法知道如何获取到连接所需口令。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 综合考虑决定采用 ISP 商惯用的 HOTSPOT 认证方式，即接入后用户需通过一次 WEB 认证才能

24、使用网络资源。这个方案扩展性和用户体验较好，可管理，可根据用户限制无线网络的使用和资源访问情况，满足了非医院人员使用网络的需求。对于医院本身使用无线的设备，我们通过在认证网关处绑定这些设备的 MAC等特征，使他们不用认证，连上无线网络即可访问网络资源。对于非医院的无线设备，如病人或病人家属的笔记本，上网时需要进行一次认证，并且无法访问某些医院内部资源。关于无线网络安全方面，由于采用了 HOTSPOT 的验证方式，则用户连接无线设备时不验证，在访问网络时才验证，此时无线 AP到无线交换机是通过隧道加密的，无线 AP到客户端之间是不加密的，这层即使加密破解可能性也存在，这中间传送的数据的机密性应当

25、由应用层来保障，即医院信息系统之间传递信息时应用软件本身应当对数据加密，这也是必然的要求，否则信息系统内信息一旦被窃取，若信息本身未被加密，则信息完全泄露。另外一个无线安全问题是非法 AP，RG-AP220-E 无线 AP 会自动检测范围内是否存在非法AP，若存在非法 AP将自动反制它，防止用户连接上非法 AP，并向管理端上报有非法 AP存在这一情况。对安全敏感内容通过无线控制器集中转发，其他内容直接在交换机上转发，减轻无线交换机负担。关于无线网络稳定性方面，无线 AP到接入层交换机仅有一条线路，若某无线 AP出现故障，无线交换机会调节周围 AP功率，尽量覆盖故障 AP原有范围，并上报管理端。

26、同时RG-AP220-E 无线 AP还可根据负载情况决定新加入无线客户端所连接的 AP。经此部署的无线网络几乎只有传输介质与有线网络不同，在安全性，稳定性上有相同保障，同时管理与验证也与原有系统统一，即有线与无线网络可实现无缝融合。3.5 数据中心设计 门诊大楼数据中心汇聚在 RG-S5750，外连 RG-WALL1600 后到网络核心层，数据中心流量较大，因此通过双万兆链路与核心层相连，且有冗余链路。使用了两台 WALL1600 防火墙保证数据中心的高安全。数据中心有各种应用服务器，SAM身份认证系统，START-VIEW 设备管理系统，RG-WS5708无线控制器，同时有一套存储系统。3.

27、6 互联网接入设计 出口处使用了 RSR50路由器与 RG-WALL1600 防火墙。出口处仅使用了一个防火墙，若万一设备故障，此级防火墙防护失效，但数据中心防护仍在，网络数据中心的安全性不会降低，且网络有其他安全策略，仍旧保证了整个网络有足够的安全性。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 出口做策略路由，出口网通流量走网通线路，其他出口流量走电信线路，配置到10.0.0.0/8、到医院应用服务器 IP 的路由，在出口处路由处配置 NAT，将源地址为10.0.0.0/8的包映射到外网。第四章 设计方案技术 4.1 冗余与负载均衡设计 冗余设计是网络设计的重

28、要部分，是保证网络整体可靠性能的重要手段。在此方案中，采用GEC 链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用了一台锐捷网络的 RG-S8610高密度多业务 IPV6 核心路由交换机和 RG-S8610核心交换机组建高性能的核心网络平台，在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的区块，我们采用的两台锐捷网络的核心多业务 IPV6 核心

29、路由交换机做到冗余与负载均衡。在汇聚层的每个区块，我们采用了两台锐捷网络的 RG-S6506交换机多层交换机做到冗余与负载均衡。4.2 路由设计 网络不需要运行动态路由协议。在核心层添加各个楼栋VLAN，无线接入用户 VLAN 到数据中心 VLAN 相互之间的路由，添加到出口设备的默认路由。添加出口路由到需要被外网访问的服务器的路由，添加 VPN 接入用户到应用服务器群的路由。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 4.3 网络安全设计（1）网络整体安全性：内网出口处有防火墙，选用锐捷RG-WALL1600E防火墙，可为内网的整体防护提供安全措施。数据中心也

30、设置了防火墙，让数据中心始终拥有很高的安全性。（2）防范 ARP 攻击：网内除终端设备外，所有设备的ARP 表有可信的第三方发布（位于数据中心的安全设备），该ARP 表绑定所有重要设备MAC 与 IP。（3）控制网络病毒：在汇聚、核心交换设备设置由硬件实现ACL，对病毒进行过滤，我们选用的汇聚、核心交换设备都支持SPOH（同步式硬件处理），所以在使用 ACL 时将不会影响整个交换机的性能。SPOH（synchronization process over hardware）即同步式硬件处理，通过最新的硬件芯片技术，让交换机每个端口都具备独立的数据处理能力，实现了端口级的数据同步交换，达到在高效

31、应用 Q0S 和 ACL 功能同时，交换机仍然保持海量数据的全线速转发，有效解决了网络的拥堵和安全问题。（4）DHCP：开启接入层交换机的 DHCP Snooping 功能，仅汇聚层交换机的DHCP 通过，其他 DHCP 包会被过滤掉。（5）抵御网络攻击：结合网络攻击的检测系统，能够抵御日益增多的内部网络攻击，并且自动对用户做出相应的控制动作，保证网络安全。（6）安全认证：采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了 IP 冲突。除不需身份认证的设备外，其他设备入网均需一次身份认证，根据认证结果发放权限，同时某些重要应用服务器可能还需要进一步的身份认证

32、。（7）IDS：入侵检测系统以旁路的方式在网络中部署，并且实时检测数据包并从中发现攻击行为或可疑行为。在此选用锐捷 RG-IDS2000S，RG-IDS在网络中能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保企业信息资产的安全，能够检测因为各种 IM即时通讯软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析，能迅速定位网络故障，提高网络稳定运行时间。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 4.4 网络管理与维护设计 为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管理的效率，采用锐捷网

33、络基于RIIL 平台的“业务运行健康管理中心”（RG-RIIL-BMC）实现对网络和业务应用系统的集中智能管理，可以让有限的IT 运维人员精力和IT 预算投入到最关键的资源的维护和保障中，切实降低复杂 IT 环境的管理难度，更轻松地把握支撑关键业务的网络和系统的运行状态，并不断提升关键业务系统的运行服务质量水平，提升用户满意度。系统能对每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级，以保证重要数据能得到更好的服务。锐捷网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。而且具有强大的运行维护能力，能有效降低运营商的

34、运维成本。支持RS-232本地管理口及 Telnet、WEB、SNMP 代理，远程监控（RMON 13，9 组）可根据运营商的不同要求，使用不同的管理方案，支持SNMP 协议的全网集中网管。交换机能够提供全中文菜单或图形配置方式，为交换机的管理和配置提供了极大的便利。提供了故障告警和日志功能，可通过机箱面板上指示灯直观地了解设备的运行状态。4.5 虚拟专用网 VPN 根据需求，总共需要有医院到社保局、医保、银行机构、干保四条站点到站点 VPN隧道，以及远程接入用户。对于站点到站点 VPN,采用 IPSEC，编址部分参考 IP 编址一节。对于远程接入用户，采用 SSL VPN，编址部分参考 IP

35、 编址一节。在出口路由器和出口防火墙上同时开启 VPN功能，优先使用防火墙上 VPN功能。VPN接入用户和远程站点仅能访问医院数据中心。在逻辑上所有 VPN远程访问都相当于是医院的某个部门。对于一些特殊的医学资源，例如：患者的病历信息，医药学文献，医院内部的行政信息等等，这些信息在需要被医院以外的特殊用户访问的同时，其安全性和保密性要得到最高的保证。这可以通过 VPN的角色进行划分，划分不用的 VPN接入后的权限。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 图 4-1 VPN接入图 4.6 在网络中部署 QOS QoS的英文全称为Quality of Servi

36、ce，中文名为服务质量。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如 Web应用，或 E-mail 设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。4.7 可扩展性设计 未来扩展性是由三个方面保证的 1、网络建设中的预留；2、IP 编址中的预留；3、设备的先进性。第一点中如接入层交换机预留端口并进行布线，这样新添加的终端设备可直接插上网线到预留的端口即可，但这还需要第二点中提及的 IP 编址预留，它才能获得一个合

37、适的 IP 地址，若第一二点不能满足，则新添加终端设备将不得不连接到一个不合适的交换机，获得一个不合适的 IP，造成连线与 IP 规划的混乱。或者新添加设备根本无法接入。精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 注意到本方案中 IP 规划考虑极其长远，除了常规的本地网络、VPN 接入、无线网络外，还考虑到了远程分院的站点到站点 VPN 统一编址问题。对于第三点，若设备不适当超前，则已后扩展可能导致多米诺骨牌现象，即更换一个设备需联动更换大批设备。第五章 网络设备选型 下表是此次网络建设中使用到的设备。类别 设备名称 设备描述 数量 基 础 设 施 单模光纤 单

38、模光纤 若干 多模光纤 多模光纤 若干 网线 网线 若干 水晶头 水晶头 若干 其他工具 布线工具，测线仪等等 若干 核 心 层 交 换 机 RG-S8610 网络核心层交换机 2 RG-8610模块 光纤模块若干 若干 汇 聚 层 交 换 机（楼栋）RG-S6506 门诊大楼汇聚层交换机 2 RG-S6506模块 光纤模块若干 若干 接 入 层 交 换 机 RG-S2900 门诊大楼各楼层接入层交换机 78 RG-S2900模块 光纤模块若干 若干 无 线 网 络 RG-WS5708 无线控制器 8 RG-AP220-E 无线接入点 126 无线控制器 license RG-WS5708的许

39、可证，升级后可控制更多无线接入点 出口设备 RG-RSR50 出口路由器 1 RG-WALL1600 出口防火墙 1 数据中心设备 RGWALL1600 数据中心防火墙 2 RG-S5750 数据中心交换机 2 服务器 各种应用服务器、存储设备等 若干 安全设备 RG-IDS2000S 入侵检测系统 1 精品好文档，推荐学习交流 仅供学习与交流，如有侵权请联系网站删除 谢谢16 第六章 总结与鸣谢 在这次组网大中，我们要感谢锐捷公司和西南科技大学计算机学院的老师们给予我们的大力支持。首先要感谢锐捷公司给我们提供了一个展示自己才华的平台，让我们能够有机会将所学习的理论知识与实际的操作相结合，从而使我们的专业技术水平得到了较大的提高。其次，要感谢曾经给予我们帮助的那些老师们，谢谢你们在整个比赛的准备过程中给了我们技术上的指导与人生道路上的指引。此外，通过这次组网大赛，我们小组成员之间的团队合作能力也得到了提高，增进了彼此之间的友谊，让我们大家在整个比赛中受益非浅，获益良多！