人民医院网络建设方案.docx
《人民医院网络建设方案.docx》由会员分享,可在线阅读,更多相关《人民医院网络建设方案.docx(23页珍藏版)》请在冰点文库上搜索。
人民医院网络建设方案
《网络工程设计》
课程报告
题目:
人民医院网络建设方案
学期:
2018-2019(第一学期)
班级:
学号:
姓名:
日期:
2018年11月30日
成绩:
第1章工程概况
1.1研究的目的和意义
随着经济的快速发展,人民群众的医疗卫生需求不断增加,其医疗条件已不能满足人民群众对医疗救治的需求。
该院病房楼是七八十年代所建,限于当时条件,建筑结构不合理,基础条件及配套设施陈旧,住院条件较差,使医院的发展受到很大的限制,与三甲医院不相称,同时与淮北市“争先进位,率先崛起”和建设“双百双宜”城市不相适应。
为此,拟在其住院部内新建一幢病房大楼。
拟建病房大楼位于内科楼与小儿科楼之间,东西排列。
目前工程进度为内装饰阶段。
新大楼为单体式建筑,地下一层,地上十九层,床位817张,建筑面积32792平方米左右,室外配套用房有中心供氧、中心负压、中心供应及医疗垃圾收集处等。
互联网发展到今天,已经给人们的生活带来了巨大的变化,它为人们构造了一条信息高速路。
但是,这条信息高速路的使用率只有5%。
因此,摆在人们面前的问题是如何利用互联网的价值。
越来越多的人认为,网络作为一种新的理念,新的技术,新的设施,将会成为互联网的下一个浪潮。
网络研究已被列入国家“八六三”计划和“九七三”项目。
我根据依据大楼施工图纸及相关设计规范和技术文件和院方的要求,针对医院现状并结合医院信息化建设原则提出以下网络建设方案并进行设计说明。
1.1.1研究目的
随着医疗技术的发展,医疗体制改革的不断深入,我国已经开始从公费医疗体制转向社会保障体制,并通过建立医疗保险制度,将新的医疗保障制度逐步推向社会。
同时,在市场经济的外部环境下,医疗卫生机构如何通过信息化建设完善内部的管理,降低管理成本,提高对市场的反应速度,占据竞争优势,开发新的、更方便更快捷的服务项目,为广大人们群众提供优质、卫生、满意的服务,是一个很重要的课题,是一件利国利民的大事。
随着计算机网络技术的不断发展,简单的内部网络已经不能适用现代的网络技术发展的要求。
医院若要做到面向社会、面向世界,和国际是先进的医疗技术相接轨,就必须认真贯彻落实国家有关加快医疗系统信息化建设及管理的精神,进一步推进医疗系统的信息化建设,才能及时了解国际医疗系统的新信息、新发展动态,吸收国内外新的医疗理念和管理经验,及时提高医院的医疗系统的信息化应用和管理水平。
在对医院内部网络规划中,我将从需求分析、医院网络总体规划、服务器的配置、网络管理和网络安全等方面进行规划和实现。
在网络建设过程中将尽量选择稳定和成熟的技术和产品,是医院的网络在开通运行后处于稳定的的状态。
在结构上将采用流行的三层网络结构,及核心层、交换层和接入层,选用星型网络拓扑结构,通过防火墙来接入骨干网络。
考虑到医院的规模较小,信息接点较少,信息流量小的的特点,实施的的时候,在核心层主要采用硬件与软件技术相结合来实现其功能,并不仅仅采用昂贵的硬件来实现网络功能,要充分利用现有的资源,不浪费,不盲目追求设备的高端化。
同时考虑到医院的应用环境应建立丰富的应用服务器,来满足信息共享的需求。
同时考虑到医院今后的发展,采用开放式的结构和技术,一便使医院网络具有良好的扩充能力和开放性,以满足今后医院对网络的发展要求。
1.1.2研究意义
网络技术已经对社会,经济和文化各方面产生重大影响,并将改变人们认识世界,思考世界的观点和方法。
作为传统行业之一的医疗卫生行业,如何面对网络时代带来的冲击,如何利用网络技术提高我们医疗卫生行业的管理水平和服务质量,是无法回避的问题。
为了认真贯彻卫生部召开的关于加快医卫系统信息化建设及管理的会议精神,进一步推进医疗行业的信息化建设,了解国际医疗信息化发展动态,吸收新的技术和管理经验,提高医卫系统信息化应用的管理水平,使医院经济效益和社会效益双丰收,全国各省都在逐步加快医院的信息化建设步伐。
传统医疗卫生行业正利用其行业特点,汲取网络技术精华,努力创造着医疗卫生行业的又一个春天。
未来是美好的,但现实不可回避。
在选取“飞”的翅膀时,好的网络设计方案对医疗行业网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要,具有深远的意义。
1.2方案设计原则
要实际地建设一个信息化医院时,必须在心中有一个明确的概念,信息化医院是运行在互联网及内部超大规模的、便于使用的、没有时空限制的信息中心,根据医院的实际情况,当然必须回答“您要建设怎样的信息化医院”,否则建设计划将无法制订和施行,如果边做边改,很容易造成灾难性的后果,所以存储系统平台的设计是整个信息化医院建设的重点,在这个过程中我们应该把握以下原则:
建立在高可靠、易升级、多协议支持、设备无关的的数据管理体系架构之上,为信息化医院应用提供了功能强大的、安全的、高扩展能力、综合多种应用支持的数据平台,使应用系统能够完全从数据管理和设备管理中解放出来,完全根据应用特点定制数据存取方式。
信息化医院各种应用对数据读取方式、带宽要求和I/O能力是不同的,可灵活地为用户提供各种连接通道接口,如:
2G光纤通道、4G光纤通道、iSCSI通道、万兆/千兆/百兆以太网通道等,可根据用户的需求进行灵活的选择和配置,满足各种应用对性能的合理要求。
信息化医院由于系统庞大,各种设备比较多,存储管理相对分散(HIS、LIS、PACS、RIS等等),这就需要简化管理,降低成本,提高工作效率。
通过对各种存储技术(如专用操作系统、专用文件系统、专用日志系统、多链路聚集、数据快照、远程数据复制等)的整合,从复杂的存储网络中抽取出一个单纯的数据管理层,可以对各种设备进行集中简便的管理。
信息化医院的数据资源是很宝贵的,在硬件层、应用层都要具有很高的保护措施,系统具有高度可靠性和稳定性。
技术的进步难免带来设备的更新换代,整个存储系统具有良好的兼容性,在设计阶段就要考虑到信息在不同的生命周期的管理模式,可以最大限度的利用已有的设备和资源,保证客户的投资利益,减少投资方的资金压力,做到“少花钱,多办事”。
1.3网络建设原则
实用性:
整个网络系统具有较高的实用性;时效性:
网络应保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确保业务的实时高效;可靠性:
整个网络系统应具有很高的安全可靠性,必须满足7×24×365小时连续运行的要求。
在故障发生时,网络设备可以快速自动地切换到备份设备上;安全性:
能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;完整性:
网络系统应实现端到端的、能整合数据、语音和图像的多业务应用,满足全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络;效益性:
网络的投资应随着网络的伸缩能够持续发挥作用,保护现有网络的投资,充分发挥网络投资的最大效益;可伸缩性:
网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。
1.4存储系统规划要点
随着IT应用对业务流程的深入渗透,业务运作将会更加依赖于数据。
保证系统数据安全是存储系统设计的最基本目标。
存储系统是整个应用系统的核心基石,任何前端应用系统的调整、扩展和新应用系统的投入,都必须考虑如何满足应用系统的数据访问需求,这些需求往往是由业务规则、服务质量要求、应用特点等因素共同决定的。
因此,确保存储系统在一定范围内具备支持各种类型应用系统的弹性、可调整性和可管理性,具有重要的意义,对于用户的总体成本和投资收益也具有根本性的影响。
应用系统复杂化、数据类型多样化和数据量迅速增加,为用户的IT系统维护带来了巨大的压力。
保证数据安全性所采取的备份措施、系统调整时的数据迁移、系统切换等工作,经常成为用户IT系统运营维护人员的噩梦。
存储系统设计时的考虑不足,往往导致系统运营维护成本(包括资金、时间、人力等)数十倍地提高。
繁杂、单调和重复性的手工数据管理,也经常是数据丢失的重要原因。
企业信息化程度越高,对IT系统持续运行的要求越高,IT系统停止服务对于企业的影响从业务停顿、客户流失、收益降低到声誉受损,将会导致严重的后果。
如何大幅度降低各种计划内停机(源于数据管理和使用要求,占87%)和非计划停机(故障因素,占13%)时间,将会成为存储系统设计将要面对的重要挑战。
对于一个存储产品而言,最重要最基本的要求莫过于在各种情况下(断电、部件故障、随机错误甚至地震、火灾、人为破坏等)的数据安全,越高端的产品,对数据安全性的处理能力越强,考虑的因素越多,使用的数据保护手段也越全面和丰富。
这里的可扩展性,不是仅仅指容量的可扩展性。
而是指当前端应用快速扩展,不断需要调整,数据量快速增长时,存储系统的在平台支持、应用功能、连接性、容量、性能等全方位的扩展能力。
存储系统是IT系统的基础平台。
应用类型不同,对存储系统性能要求的侧重点也有所区别。
一般而言,大容量文件传输对存储系统的带宽(Bandwidth)要求
较高;高密度小数据量数据存取(如数据库、数据仓库等)对存储系统的I/O性能要求较高(IOPS);大量并发用户访问,对存储系统的每秒操作数(OPS)、响应时间(ORT)和IOPS指标要求较高。
存储系统的可管理性分为两个层面:
一是系统本身的管理,包括部件状态监控、日志记录、系统设置等;二是对系统所承载数据的管理,从最基本的RAID设置、LUN屏蔽、性能分析和调整、在线扩展、不停顿升级等。
存储产品中提供的诸如数据快照、数据克隆、远程复制、负载均衡等功能,如果能够结合应用巧妙使用,能够带来巨大的效益,显著改善业务运行状况和保障数据安全。
存储系统的一个重要特点是与主机和应用紧密相关。
保证存储系统及其附加功能对于各种硬件平台、操作系统、应用系统的兼容性,对于用户的应用扩展非常重要。
存储厂商也往往需要投入巨资搭建兼容性测试平台,才能保证产品的兼容性。
第2章需求分析
2.1内网部分
目前门诊楼网络中心有一台华为S6502作为内网核心交换机,一台H3CS5510作为核心交换机的冷备,各老楼通过光纤连接到核心交换机,门诊二楼接入交换机通过双绞线连接到一台3com4900交换机,3com4900交换机通过一个千兆口连接到核心交换机上。
3com4900交换机上还连接了一台医保服务器,通过一根双绞线连接到网神防火墙,通过防火墙接入到医保网络。
五楼以上的信息点直接连接到信息中心的配线架上,通过交换机连接到核心交换机。
2.2门诊楼内网
门诊楼机房位于门诊楼9层,新的网络结构中,门诊楼的机房仍位于网络的核心。
为了保证业务持续性,建议购买两台华为S9306T比特路由交换机作为新的内网核心交换机。
每台配置单引擎,24口千兆电口业务板一块,24端口千兆光口业务板一块,2口万兆端口业务板一块。
若采用单台核心交换机,则采用双引擎,以保证交换机的安全性。
光口板连接各老楼所有光纤接入交换机,电口连接机房中的服务器与网络设备,万兆口连接新大楼的汇聚交换机,通过配置VRRP协议,形成主备冗余。
为了保证拓扑图的简洁,所有老楼的接入交换机都采用了单链路连接一台核心交换机,如条件允许,在实施时就尽可能采用双链路,以保证链路的冗余。
被替换下来的原有内网华为S6502核心交换机作为新大楼的汇聚交换机与备用交换机。
在门诊机房与门诊二楼弱电井之间布置一条4芯多模光纤,连接二楼接入交换机光口与内网核心交换机光口,这样可以大大提高门诊收费处的网络速度并且简化管理在中心机房与辅助楼之间铺设一条4芯单模光纤,2芯做连接,2芯做备份。
辅助楼采用一台华为S3328三层交换机作为接入交换机,配置千兆光纤模块,通过单模光纤连接到中心机房的华为S9303核心交换机上。
2.3新大楼内网
在新大楼机房与门诊楼机房之间铺设与架空两根6芯单模光纤,其中每根中的2芯作为新大楼汇聚交换机与内网核心交换机的连接线路,其余4芯作为备用;
新大楼机房位于大楼20层,门诊机房被替换下的原内网华为S6502核心交换机做为新大楼的汇聚交换机,现已有一块4个千兆电口加16个千兆光口的复合板,千兆电口连接机房中的服务器,光口连接些楼的接入交换机。
另需扩展一块4个万兆端口的业务板,其中两个万兆口连接门诊楼中心机房的华为S9306核心交换机,一个万兆口连接新大楼1层弱电井的接入交换机,一个万兆口作为备用口。
原有的H3CS5510交换机做为汇聚交换机的备用,含有24个千兆光接口和4个千兆电接口。
新大楼使用1、4、10、16,20层弱电井,各楼层的信息点将全部连接到这几层弱电井的配线架上。
机房到每个弱电井布置6芯多模光纤(2芯内网,2芯外网,2芯备用)。
4、10、16、20层的接入信息点较少,且信息量较小,每个弱电井采用百兆接入千兆上行的华为S3328三层交换机,千兆光口通过多模光纤连接到机房的华为S6502汇聚交换机上。
由于影像科室在大楼1层,访问信息量较大,并且这层的信息点较多,故在1层弱电井采用全千兆接入万兆上行的华为S5328C-SI交换机作为接入交换机,配置万兆光口模块,通过多模光纤与机房中的S6502汇聚交换机的万兆模块相接。
2.3网络安全
网络安全,从其本质上来讲就是网络上的信息安全,广义来说网络系统的硬件、软件及其系统中的数据受到保护、不受偶然的或者恶意的原因而遭到破坏、更改、泄露、系统连续、可靠、正常地运行,网络服务不中断。
对于底层的工作站来说,安全性问题主要来自于计算机病毒的侵扰和使用人员人为操作造成的系统破坏。
为了防止病毒入侵,可以在医院的电脑上只开放最小使用功能。
例如:
拆除光驱、软驱、关闭USB端口,添加CMOS密码,实时监测病毒,并及时升级病毒代码,隐藏桌面、使用组策略技术,使一般用户无法看到网上邻居、资源管理器等,只能使用授权的应用程序,而不能进行非授权功能操作,辅之以多种方法对工作站做限制和监控,将非授权访问事件发生概率降到最低。
普遍来讲,网络安全关键技术主要有:
信息包筛选(基于包过滤的防火墙)、应用中继器(代理技术)和加密技术,一个完整的网络信息安全系统至少包括三类措施:
社会的法律政策、企业的规章制度及网络安全教育等外部环境,技术方面的措施。
由于现在网络设备与服务器在不断增加,设备位置相对分散,不方便管理与维护,建议在内网中布置网管软件,对各种网络设备与服务器进行集中监控,方便信息中心人员管理这些设置与监控这些设备。
网管软件能对交换机,路由器,服务器等一切支持网管的设备进行监控,信息中心人员能直接通过网管软件来对网络中的各种设备状态进行查看,及时发现设备状态的改变。
在内网中实施华为SecospaceTSM终端安全管理系统,通过该系统可以控制终端通过交换机端口接入到内网。
在内网核心交换机上布置一台安全接入控制网关(SACG),并安装一台管理服务器,SM软件主要功能包括终端安全策略管理、身分管理、软件分发、补丁管理、日志审计等。
内网中的终端安装认证客户端,接入内网时,安全接入控制网关(SACG)会对终端进行认证,通过认证的结果来控制终端的接入。
根据医院目前情况,我们认为增加医院现有黑盾的节点要比实施华为TSM系统更具有更有性价比。
实施TSM系统,终端上也需要安装客户端,这样就消耗了系统部分资源。
黑盾终端管理软件中有一种叫“安全区域”的概念,所有装有黑盾客户端的的计算机被添加到“可信任的计算机”中,没有安装的被认为是“不信任的计算机”,两者间不能互访。
这种机制和TSM系统的访问机制相同,只是TSM系统对客户机能访问的资源做了细化。
医院内的医保网终端与外部医保网在同一网段,为了保证安全,现已在医保网与内网之间加入了防火墙。
但新农合项目的实施需要将一部分内网终端访问外网,为了保证安全,连接也应经过防火墙。
为了节约成本,可利用原有的网神防火墙。
2.4网络稳定
医疗行业是关系到病人生命安危的重要行业,莒南人民医院的各种应用系统和基础设备都要保证超高的稳定性,系统的稳定性(7*24稳定、可靠、持续运行)是投入运行的医疗系统的生命线。
同时,对于门诊等重要区域,由于门诊收费是患者进入医院的第一站,稳定的网络系统建设是医院各种应用系统开展的根本保障,是降低医院目前出现问题的根本性措施。
网络本身稳定性。
网站的有效性。
网络的安全性。
具有一定的可扩展性。
在满足基本功能的同时,尽量节约资金。
办公用户要具有强大的信息传递能力,以保证医院信息畅通。
2.5网络性能
作为临床信息系统最为重要的PACS系统的应用其在传输患者的放射图像信息时,需要消耗大量的网络传输带宽,虽然目前莒南人民医院仍然采用的是科室级的PACS系统,然而,随着医院信息化的发展,毕竟以全院级的FULLPACS系统为发展方向,在建设了PACS系统之后,堆积如山的胶片、病例档案都没有了,但是网络上数据量却在急剧增长。
海量存储和数据浏览就成为必须解决的问题。
在计算机中一页文字资料仅占几千字节(Kb),而一张数字化的X线片将产生上百万字节(Mb)的信息量,这就是所谓“兆字节问题”;因此,在网络建设初期就需要考虑针对未来医院FULLPACS系统应用传输带宽的考虑。
第3章系统设计规划
3.1医院网络设计目标
通过前两章的需求分析和网络现状分析,从本章开始,将进行逻辑网络分析,随着社会的发展,企业信息化建设的推进,全国各大中型企业基本上都有了自己的网络,作为医院的决策者们来说,建立高速的网络,使信息流通更快速,将医院建成信息化的高效的医院,使医院立于不败之林。
由于邳州人民医院的网络业务量并不大,主要应用是医院内部的信息传递,除此之外,Http、Ftp、Email便是医院与Internet连接的最大流量了。
从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据用户的总体需求,结合对应用系统的考虑,我们提出网络系统的设计的原则是:
可靠的技术选型、标准的体系结构、1000M骨干网、安全性较高、运行性能可靠以及遵循面向应用,注重实效,急用先上,逐步完善的原则。
3.2医院网络规划拓扑
医院的网络规划如图3.1示。
图3.1医院网络拓扑图
3.2.1结构设计
通过路由器将整个医院接入Internet,其接入方式为10M的专用光纤方式,同时为了隔离各用户群,将整个网络划分为5个VLAN,办公用户、科研实验用户、综合住院用户、门诊用户、服务器区分别处于这五个VLAN中。
网络设备选型及配置数量:
网络规划设计时,使用产品制造商提供的自立合理选择LAN和WAN的硬件设备也是关键性的一步。
人民医院网络规划采用的是星型拓扑结构,网络总体分为三个层次,即核心层、汇聚层、接入层。
核心层包括由核心交换机、路由器、网络服务器等部分组成,主要功能是提供地理上远程站点之间的广域网连接。
核心层作为莒南人民医院的基本信息平台,通过CISCO2620XM路由器接入Interent,核心交换机选择为CiscoWS-C4510R,直接连接路由器,提供网络信息的核心交换,网络服务器连接在核心交换机上,以提供高速的网络信息服务。
CISCO2620XM5路由器是有思科公司提供的一种主要的集成多业务路由器,为客户提供高性能的IP服务、平台高扩展性和可靠性。
CISCO2620XM采用了并行快速转发技术,它采用全硬件冗余、在线接入和拔除及无缝路由等先进技术,除此之外还具有以下特征:
高密度广域网和拨号连接、中密度到高密度局域网连接、数据上的中密度语音、具有闪存能力。
思科新推出的CiscoWS-C4510R系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。
支持在内部建立虚拟工作组,提供流量管理和第二层交换功能,同时具有先进的网络管理功能。
这个新的产品系列采用了最新的思科StackWise技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。
这代表了堆叠式交换机新的工业技术水平和标准。
汇聚层:
各子网络的流量的汇聚采用思科公司的CiscoCatalyst2950交换,上行速度为100Mbps接入中心交换机CiscoCatalyst3750,CiscoCatalyst2950是24口10M/100Mbps自适应以太端口且带2个千兆端口的交换机,体系结构采用了一个10Gbps和转发速率每秒750万个信息包的交换结构。
接入层:
接入层通常是一个LAN或一组LAN,所以我们所以讨论的的网络设计中,接入层通常由以太网组成。
接入层为用户提供接入访问服务。
接入层采用思科公司的CiscoCatalyst2600交换机,该类型交换机具有24端口,快速10M/100M自适应的能力为网络提供很好的兼容性以及交换能力。
3.2.2VLAN划分
随着网络硬件性能的不断提高,成本不断降低,目前新建的局域网基本上都采用了性能先进的快速以太网技术,其核心交换机采用三层交换机,能很好地支持VLAN(虚礼局域网),所谓VLAN是局域网上的一组设备,经配置(用管理软件)后它们可以加同连接在同一线路上那样通信,而它们实际上位于不同的局域网段,它和用户的物理位置没有关系。
实验VLAN技术的局域网的管理方便、可靠性高、安全性强,同时由于采用虚拟技术,可以防止广播风暴,提高网络性能。
使用VLAN具有以下优点:
增加了网络连接的灵活性及降低管理成本、有效控制网络中的广播、增强网络的安全性、控制通信活动。
对于交换式快速以太网,如果要对某些用户重新进行网络分段,需要网络管理员对网络系统的物理结构进行调整,甚至要追加网络设备,增大网络管理的工作量。
而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或具体应用将不同地理位置的网络用户划分为一个逻辑网段,在不改变网络物理连接的情况下,可以任意地将工作站在工作组或子网间移动。
利用VLAN技术大大减少了网络管理的负担,降低了网络维护费用。
VLAN划分如表3.1所示。
具体划分如下:
1.服务器区:
1)包括Web、FTP、Email等服务器。
2)VLAN名称:
VLAN10
2.行政办公区
1)包括6层楼中各办公室的电脑
2)VLAN名称:
VLAN20
3.综合医疗大楼
1)包括4层诊室中的电脑。
2)VLAN名称:
VLAN30
4.综合住院楼
1)包括10层共10台
2)VLAN名称:
VLAN40
5.物资供应大楼
1)VLAN名称:
VLAN50
6.康复大楼
1)VLAN名称:
VLAN60
表3-1医院vlan划分
3.3IP地址
3.3.1IP地址设计规则
IP地址规划的好坏不仅影响网络路由协议算法的效率、网络性能、网络管理、网络扩展,还直接影响应用的进一步发展。
关于IP地址规划应遵循以下原则:
IP地址的唯一性:
即IP地址是区分网络主机的唯一标识,同一个网络中不能有相同的IP地址,否则就不会有可靠的路由选择方式把包发送到指定的目标地址。
IP地址规划的简单性:
IP地址的规划应本着简单的原则,避免在网络主干采用复杂的网络掩码形式。
IP地址规划的层次性:
IP地址在规
升级会员 