XX医院方案设计书
目录
第一章需求分析 (1)
1.1项目背景 (3)
1.2用户需求分析 (4)
1.3信息点分布 (4)
第二章总体设计 (5)
2.1 设计原则与思路 (5)
2.2设计目标 (6)
2.3网络拓扑图 (6)
2.4 IP地址规划 (7)
2.5 VLAN划分 (8)
第三章详细设计 (9)
3.1核心层设计 (9)
3.2汇聚层设计 (9)
3.3接入层设计 (10)
3.4无线网络设计 (10)
3.5数据中心设计 (12)
3.6互联网接入设计 (12)
第四章设计方案技术 (12)
4.1 冗余与负载均衡设计 (12)
4.2路由设计 (13)
4.3网络安全设计 (13)
4.4 网络管理与维护设计 (13)
4.5 虚拟专用网VPN (14)
4.6 在网络中部署QOS (15)
4.7 可扩展性设计 (15)
第五章网络设备选型 (15)
第六章总结与鸣谢 (16)
前言
大多数医院信息化建设发展经历了从早期的单机单用户应用阶段,到部门级和全院级管理信息系统应用;从以财务、药品和管理为中心,开始向以病人信息为中心的临床业务支持
和电子病历应用;从局限在医院内部应用,发展到区域医疗信息化应用尝试。
近几年,随着以“以病人为中心,以提高医疗服务质量为主题”的医院管理年活动,各地
医院纷纷加强信息化建设步伐。根据权威机构对医院信息化现状调查显示,以费用和管理为中心的全院网络化系统应用已经超过了80%。住院医生工作站系统,电子病历、全院PACS、无线查房、腕带技术、RFID、万兆网络、服务器集群、数据虚拟容灾等先进的系统和网络技
术已经开始应用。
医院通过信息化系统建设,优化就诊流程,减少患者排队挂号等候时间,实行挂号、检
验、交费、取药等一站式、无胶片、无纸化服务,简化看病流程,杜绝“三长一短”现象,有效解决了群众“看病难”问题。
现在中国医院信息化的发展,到了一个新的关口。2009 年新医改方案公布,方案中把
信息技术明确的列为支持医改成功实现的八个主要支柱之一,这是从未有过的事情,我国医疗卫生信息化面临从未有过的机遇与挑战。方案还明确要求启动建立居民健康档案和电子病
历,实现医疗信息的整合、共享和交换,以缓解医疗信息化发展的不平衡,系统分割独立、
连续性和协调性差,业务流程不统一等问题。
医疗行业信息化正在走向如何利用信息化技术减少医疗差错,如何利用信息化技术进行
医疗服务的创新,如何将分散的医疗资源整合,为患者提供更完善的服务的方向。
锐捷网络作为国内领先的网络设备及解决方案供应商,始终致力于推动医疗信息化的发展,为促进我国公共卫生事业贡献自己的力量。在过去的几年中,锐捷网络在医院信息化建设,区域卫生信息化建设领域专注研究、探索、实践,不断完善产品及解决方案,使之服务
于全国数百家大中型医院及医疗服务机构,定制的方案、可靠地产品、优质的服务得到了广大用户的认可和支持。
第一章需求分析
1.1项目背景
xx医院是卫生部xx大学附属的一所综合性教学医院。目前已成为一所国家高层次的医
疗机构,并为全国医疗、预防、教学、科研相结合的技术中心,在国内外享有较高的声誉。
随着医疗行业信息化的发展,为了认真贯彻卫生部召开的关于加快医卫系统信息化建设
及管理的会议精神,进一步推进医院的信息化建设,了解国际医疗信息化发展动态,吸收新的技术和管理经验,提高医院信息化应用的管理水平,使医院经济效益和社会效益双丰收,
将逐步加快医院的信息化建设步伐。
本次院方新建了一栋18层的门诊大楼,我公司承担了新建大楼的内网部署,使之达到
如今医疗系统对网络的普遍要求,网络整体高速稳定的运行,易于管理且安全可靠、实现了无线网络的覆盖以及海量数据的高速传输以及可扩展性等。此外还要求建立医院与社保、医保、银行机构、干保系统的VPN连接。
1.2用户需求分析
(1)网络系统稳定性需求:能够保证整个网络的稳定、可靠,保证在单点故障的情况下不
会对整个网络造成冲击,保证核心、骨干设备在出问题的时候能够无缝的恢复或切换。
(2)网络传输性能需求:能够通过有效的网络带宽控制技术和服务质量保证技术,来满足
医院对于不同数据传输的需要。
(3)网络系统安全性需求:能够保证整个系统的保密性、完整性、可用性、可审核性。关
键设备必须有备份系统且能够通过有效的手段控制和防御网络病毒的攻击。
(4)网络系统管理维护需求:能够及时有效的发现网络中的异常流量,有效的控制网络设
备,及时的对异常网络设备进行远程控制且操作简单、方便管理与维护。
(5)无线网络需求:能够实现无线网络的无缝覆盖,充分发挥移动信息系统的功能,使医
护人员可以借助它大力协助自己在病人身边做治疗护理的工作。
(6)远程接入需求:能够为医院外部特殊用户提供安全保密的信息,实现高速安全的广域
网数据传输。
1.3信息点分布
新建楼栋(18层门诊大楼)信息点分布如下表。
层数信息点数量
1楼150
2楼200
3楼200
4楼200
5楼200
6楼150
7楼100
8楼100
9楼100
10楼100
11楼100
12楼100
13楼220
14楼330
15楼320
16楼300
17楼260
18楼100
表1-1 新建门诊大楼信息点
第二章总体设计
2.1 设计原则与思路
(1)先进性
世界上计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具性和软件集成优势。网络设计要考虑通信发展要求。
(2)可靠性
系统能长时间稳定可靠地运行,并保证系统安全,防止非法用户的非法访问。系统不能
出现故障,或者说即使有设备出现故障,对网络和网上的数据不构成大的威胁,要有设备对数据作备份。
(3)实用性
系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同
时为适应企业的内部需求,员工的工作特性等。
(4)安全性
企业计算机网络都与外部网络互连互通日益增加,都直接或间接与国际互连网连接。企业的商业机密,员工资料,市场和销售信息等敏感信息关系到企业生存利害。因此,在系统
方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。
(5)可扩充性
系统规模及档次要易于扩展,可以方便地进行设备扩充和适应工程的变化,以及灵活进行软件版本的更新和升级,保护用户的投资。为将来系统的升级、扩展打下良好的基础。
2.2设计目标
(1)各楼层直接与一楼的中心机房经过万兆单膜光纤互联,要求实现万兆骨干,千兆到桌
面的全网设计;
(2)在各楼层全面部署无线网络,每楼层根据前期的规划,初步为一层楼7个具备802.11n 技术的AP,并且为了便于管理和升级服务,要求设计方采用瘦AP架构。
(3)网络核心,要求考虑采用双核心架构,万兆互联,充分考虑网络的稳定性与冗余,以
及灾难恢复。
(4)数据中心,位于门诊楼一楼,拥有各类型的服务器110台,要求配置一台专门的高端
核心交换机/数据中心交换机,且双万兆链路与核心互联。
(5)网络出口设计需要考虑四条出口,一是社保局的VPN出口,二是医保VPN出口,三是银行机构VPN出口、四是干保VPN出口,且各条VPN出口均是独立的电信或者联通线路。出口设计要求安全、可控。
2.3网络拓扑图
网络设计依照“万兆核心、千兆支干、千兆交换桌面”的要求采用三层结构,重要部分
双链路冗余,双设备冗余,核心层采用两台RG-S8610系列交换机,门诊大楼汇聚层采用两
台RG-S6506系列交换机,门诊大楼各层接入层采用RG-S2900系列可堆叠交换机,在数据中心部分采用两台RG-S5750系列交换机,除接入层到终端使用千兆以太网链路外,其他全部
使用万兆光纤链路。除接入层到终端不进行冗余外,其他部分均有冗余。汇聚层、核心层互
联均使用双万兆光纤聚合,数据中心到核心层链路也使用双万兆光纤聚合,整个网络使用锐捷SAM进行身份认证,Star-View进行网络设备管理。
核心层旁部署RG-IDS2000用于审计整个网络,为各种事件提供证据。其数据也作为当
前网络运行状况与后续网络扩充的参考。
表2-1 网络拓扑图
2.4 IP地址规划
在网络IP规划中,网络设备(交换机、路由器等)使用192.168.0.0/24这个地址块,医院使用整个10.0.0.0/8私有地址块,应用服务器,验证和管理系统使用10.0.0.0-10.10.255.255这个网络块, IP地址池10.11.0.0-10.90.255.255均用于本地网络,按部门分配使用,多余部分保留,IP地址池10.91.0.0-10.100.255.255用于无线网络,对于可能的分院建设,预留10.101.0.0-10.150.255.255用于分院的IP,分院IP和总院IP 统一编址,可实现通过VPN的站点到站点完全互访,即分院与总院在逻辑上就是一个大的整
体网络。对于远程接入用户,使用10.151.0.0-10.160.255.255网段。总体如下表所示:
IP段用途
192.168.0.0/24 网络设备(交换机、路由器等)
10.0.0.0-10.10.255.255 应用服务器
10.11.0.0-10.90.255.255 医院本地网络(按部门分配)
10.91.0.0-10.100.255.255 医院本地无线接入设备
10.101.0.0-10.150.255.255 医院分院建设
10.151.0.0-10.160.255.255 远程接入用户
表2-2 医院IP段规划
在汇聚层交换机上建立IP池,开启DHCP Server,根据终端所属VLAN,动态分配楼栋各层的设备的IP。对于需要静态IP的设备,由管理员根据IP规划表手动配置。
对于数据中心中需要被外部访问的设备的IP划分,需要被其他系统访问的设备均使用
唯一的外网IP,在出口处不添加这些IP的路由,这样外网无法访问到这些设备,对于VPN 连接进入的用户和站点到站点的VPN额外添加路由,使这些设备能被访问。
医院拥有218.78.5.0/24这个外网IP块。按如下表单分配IP地址。
设备名地址
出口路由218.78.5.1/24
出口防火墙218.78.5.5/24
…………
Web服务器218.78.5.11/24
FTP服务器218.78.5.12/24
邮件服务器218.78.5.13/24
…………
VPN(IP Sec) 218.78.5.101/24
VPN(SSL) 218.78.5.105/24
……
表2-3 外网可访问设备IP规划
2.5 VLAN划分
Vlan划分原则根据用户的工作部门划分vlan
部门VLAN ID 网络地址子网掩码网关
服务器群VLAN 1
10.1.0.0
|
10.1.255.255
255.255.0.0 10.1.0.1
……………
门诊部VLAN 10
10.10.0.0
|
10.10.255.255
255.255.0.0 10.10.0.1
住院部VLAN 11
10.11.0.0
︳
10.11.255.255
255.255.0.0 10.11.0.1
……………无线用户
(其他)VLAN 91
10.91.0.0
︳
10.91.255.255
255.255.0.0
10.91.0.1
无线用户(员工)VLAN 94
10.94.0.0
︳
10.94.255.255
255.255.0.0 10.94.0.1
网络设备VLAN 520
192.168.0.0
︳
192.168.255.25
5
255.255.0.0 192.168.0.1
……………
表2-3 VLAN规划
第三章详细设计
3.1核心层设计
大型医院网络的核心网主要完成整个医院内部不同部门之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型医院的用户数量众多,业务复杂,QOS要求较高、以及对链接线缆和模块数量等要求较高的这些特点。本方案中核心部分采用两台RG-S8610交换机,通过两条万兆光纤互联,与楼栋汇聚层、数据中心、出口、IDS均采用万兆光纤互联且有冗余链路,保证了网络的高速与稳定。
IDS采用RG-IDS2000S,RG-IDS2000S以旁路的方式在网络中部署,实时监测网络运行
状况与网络安全。
3.2汇聚层设计
汇聚层网络主要完成医院内各部门内接入交换机的汇聚及数据交换和VLAN终结以及实施与安全、流量负载和路由相关的策略,在本方案中汇聚层采用两台RG-S6506交换机,各楼层接入层交换机都通过万兆光纤分别与这两台交换机相连,实现冗余。汇聚层交换机同时与核心层两台交换机万兆光纤互联。实现高速
3.3接入层设计
接入层网络主要完成为局域网接入广域网或者终端用户访问网络提供接入,
在本方案中
采用RG-S2900交换机。根据不同楼层可能的信息点增加情况,按该楼层整体接入点的10%-30%进行接口预留,用于扩充,若进行更大规模的信息点增加,则需购置新的模块或设备。接入层交换机同时与一楼两台汇聚层交换机通过万兆光纤相连。实现高速、稳定。
RG-S2951XG 每台有48个千兆以太网口。一楼共
150个信息点,除去
110台各种服务器
之后剩余40个信息点,经计算各楼层需要的交换机数量如下表。
表 3-1 各楼层所需交换机数量
3.4无线网络设计
无线整体采用瘦AP 结构,在一楼数据中心添加无线交换机用于管理整个无线网络。选
用RG-AP220-E 作为无线接入点,选用
RG-WS5708作为无线交换机。
无线交换机选择部署在数据中心而非网络核心处,
是综合考虑决定的,需要经过无线交
楼层 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
数量
1 5 5 5 5 4 3 3 3 3 3 3 5 7 7 7 6 3
换机的数据流量主要是对数据中心的访问,若将无线交换机直连核心交换机,则流量会经过核心处交换机四次(接入终端到无线交换机两次,数据中心到无线交换机两次),若部署在数据中心内,则仅会经过核心交换机两次,降低了核心交换机的负担。对于非核心业务流量即安全需求较低流量,可不经过无线交换机直接转发。
根据地形勘察和无线覆盖测试,初步决定每层楼部署7个无线AP,楼层内有线网络分布较好,因此不存在某无线AP不方便接入有线网络的情况,即不存在额外的用于扩大AP覆盖范围的REPEATER模式的AP,所有AP无线工作模式均设置为接入模式(即AP模式)新建门诊大楼有18层,整栋楼共有126(7*18)个无线接入点,因此采用两台XX无线交换机,该无线交换机能管理128个无线接入点,通过升级license能管理最多768个无线接入点,两台无线交换机进行冗余,有一定扩充性,若后续部署更多无线设备,则考虑购置
多台无线交换机组成无线交换机组。瘦AP通过无线交换机管理,合理配置后可实现在三层
的无线漫游,适合医院的实际使用。
关于无线网络接入认证方面,若在无线连接建立前使用WPA之类验证,因为没有界面,用户体验极差,非医院人员可能根本无法知道如何获取到连接所需口令。
综合考虑决定采用ISP商惯用的HOTSPOT认证方式,即接入后用户需通过一次WEB认证才能使用网络资源。这个方案扩展性和用户体验较好,可管理,可根据用户限制无线网络的
使用和资源访问情况,满足了非医院人员使用网络的需求。
对于医院本身使用无线的设备,我们通过在认证网关处绑定这些设备的MAC等特征,使他们不用认证,连上无线网络即可访问网络资源。对于非医院的无线设备,如病人或病人家属的笔记本,上网时需要进行一次认证,并且无法访问某些医院内部资源。
关于无线网络安全方面,由于采用了HOTSPOT的验证方式,则用户连接无线设备时不验证,在访问网络时才验证,此时无线AP到无线交换机是通过隧道加密的,无线AP到客户端之间是不加密的,这层即使加密破解可能性也存在,这中间传送的数据的机密性应当由应用
层来保障,即医院信息系统之间传递信息时应用软件本身应当对数据加密,这也是必然的要求,否则信息系统内信息一旦被窃取,若信息本身未被加密,则信息完全泄露。另外一个无
线安全问题是非法AP,RG-AP220-E无线AP会自动检测范围内是否存在非法AP,若存在非法AP将自动反制它,防止用户连接上非法AP,并向管理端上报有非法AP存在这一情况。对安全敏感内容通过无线控制器集中转发,其他内容直接在交换机上转发,减轻无线交换机负担。
关于无线网络稳定性方面,无线AP到接入层交换机仅有一条线路,若某无线AP出现故障,无线交换机会调节周围AP功率,尽量覆盖故障AP原有范围,并上报管理端。同时
RG-AP220-E无线AP还可根据负载情况决定新加入无线客户端所连接的AP。经此部署的无线网络几乎只有传输介质与有线网络不同,在安全性,稳定性上有相同保障,同时管理与验证也与原有系统统一,即有线与无线网络可实现无缝融合。
3.5数据中心设计
门诊大楼数据中心汇聚在RG-S5750,外连RG-WALL1600后到网络核心层,数据中心流
量较大,因此通过双万兆链路与核心层相连,且有冗余链路。使用了两台WALL1600防火墙保证数据中心的高安全。
数据中心有各种应用服务器,SAM身份认证系统,START-VIEW设备管理系统,RG-WS5708无线控制器,同时有一套存储系统。
3.6互联网接入设计
出口处使用了RSR50路由器与RG-WALL1600防火墙。出口处仅使用了一个防火墙,若万一设备故障,此级防火墙防护失效,但数据中心防护仍在,网络数据中心的安全性不会降低,
且网络有其他安全策略,仍旧保证了整个网络有足够的安全性。
出口做策略路由,出口网通流量走网通线路,其他出口流量走电信线路,配置到
10.0.0.0/8、到医院应用服务器IP的路由,在出口处路由处配置NAT,将源地址为10.0.0.0/8
的包映射到外网。
第四章设计方案技术
4.1 冗余与负载均衡设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。在此方案中,
采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。
也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。在网络的每个关键结点,我们
在设计时都做到了对其有效的冗余备份和负载均衡。在网络的核心层上。我们采用了一台锐
捷网络的RG-S8610高密度多业务IPV6核心路由交换机和RG-S8610核心交换机组建高性
能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网
络提供了有效的冗余保障和负载均衡。在核心层的区块,我们采用的两台锐捷网络的核心多
业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块,我们采用了两台
锐捷网络的RG-S6506交换机多层交换机做到冗余与负载均衡。
4.2路由设计
网络不需要运行动态路由协议。在核心层添加各个楼栋VLAN,无线接入用户VLAN 到数据中心VLAN相互之间的路由,添加到出口设备的默认路由。添加出口路由到需要被
外网访问的服务器的路由,添加VPN接入用户到应用服务器群的路由。
4.3网络安全设计
(1)网络整体安全性:内网出口处有防火墙,选用锐捷RG-WALL1600E防火墙,可为内网的整体防护提供安全措施。数据中心也设置了防火墙,让数据中心始终拥有很高的安全性。(2)防范ARP攻击:网内除终端设备外,所有设备的ARP表有可信的第三方发布(位于
数据中心的安全设备),该ARP表绑定所有重要设备MAC与IP。
(3)控制网络病毒:在汇聚、核心交换设备设置由硬件实现ACL,对病毒进行过滤,我们
选用的汇聚、核心交换设备都支持SPOH(同步式硬件处理),所以在使用ACL时将不会影响整个交换机的性能。SPOH(synchronization process over hardware)即"同步式硬件处理",通过最新的硬件芯片技术,让交换机每个端口都具备独立的数据处理能力,实现了端口级的数据同步交换,达到在高效应用Q0S和ACL功能同时,交换机仍然保持海量数据的全线速
转发,有效解决了网络的拥堵和安全问题。
(4)DHCP:开启接入层交换机的DHCP Snooping功能,仅汇聚层交换机的DHCP通过,其他DHCP包会被过滤掉。
(5)抵御网络攻击:结合网络攻击的检测系统,能够抵御日益增多的内部网络攻击,并且
自动对用户做出相应的控制动作,保证网络安全。
(6)安全认证:采用六元素的自动绑定、静态绑定、动态绑定相结合,可以确保用户入网
时身份唯一,并且避免了IP冲突。除不需身份认证的设备外,其他设备入网均需一次身份
认证,根据认证结果发放权限,同时某些重要应用服务器可能还需要进一步的身份认证。
(7)IDS:入侵检测系统以旁路的方式在网络中部署,并且实时检测数据包并从中发现攻
击行为或可疑行为。在此选用锐捷RG-IDS2000S,RG-IDS在网络中能够阻止来自外部或内部
的蠕虫、病毒和攻击带来的安全威胁,确保企业信息资产的安全,能够检测因为各种IM即时通讯软件、P2P下载等网络资源滥用行为,保证重要业务的正常运转,能够高效、全面的
事件统计分析,能迅速定位网络故障,提高网络稳定运行时间。
4.4 网络管理与维护设计
为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管理
的效率,采用锐捷网络基于RIIL平台的“业务运行健康管理中心”(RG-RIIL-BMC)实现对
网络和业务应用系统的集中智能管理,可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中,切实降低复杂IT环境的管理难度,更轻松地把握支撑关键业务
的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,提升用户满意度。系统能对每个客户上下行的带宽上限加以限定,防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级,以保证重要数据能得到更好的服务。
锐捷网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用
的特点。而且具有强大的运行维护能力,能有效降低运营商的运维成本。支持RS-232本地管理口及Telnet、WEB、SNMP 代理,远程监控(RMON 1~3,9组)可根据运营商的不同
要求,使用不同的管理方案,支持SNMP协议的全网集中网管。交换机能够提供全中文菜
单或图形配置方式,为交换机的管理和配置提供了极大的便利。提供了故障告警和日志功能,
可通过机箱面板上指示灯直观地了解设备的运行状态。
4.5 虚拟专用网VPN
根据需求,总共需要有医院到社保局、医保、银行机构、干保四条站点到站点VPN隧道,以及远程接入用户。
对于站点到站点VPN,采用IPSEC,编址部分参考IP编址一节。对于远程接入用户,采
用SSL VPN,编址部分参考IP编址一节。在出口路由器和出口防火墙上同时开启VPN功能,优先使用防火墙上VPN功能。
VPN接入用户和远程站点仅能访问医院数据中心。在逻辑上所有VPN远程访问都相当于是医院的某个部门。对于一些特殊的医学资源,例如:患者的病历信息,医药学文献,医院
内部的行政信息等等,这些信息在需要被医院以外的特殊用户访问的同时,其安全性和保密性要得到最高的保证。这可以通过VPN的角色进行划分,划分不用的VPN接入后的权限。
图4-1 VPN接入图
4.6 在网络中部署QOS
QoS的英文全称为"Quality of Service",中文名为"服务质量"。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,
QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
4.7 可扩展性设计
未来扩展性是由三个方面保证的
1、网络建设中的预留;
2、IP编址中的预留;
3、设备的先进性。
第一点中如接入层交换机预留端口并进行布线,这样新添加的终端设备可直接插上网线到预留的端口即可,但这还需要第二点中提及的IP编址预留,它才能获得一个合适的IP地址,若第一二点不能满足,则新添加终端设备将不得不连接到一个不合适的交换机,获得一个不合适的IP,造成连线与IP规划的混乱。或者新添加设备根本无法接入。
注意到本方案中IP规划考虑极其长远,除了常规的本地网络、VPN接入、无线网络外,还
考虑到了远程分院的站点到站点VPN统一编址问题。
对于第三点,若设备不适当超前,则已后扩展可能导致多米诺骨牌现象,即更换一个设备需联动更换大批设备。
第五章网络设备选型
下表是此次网络建设中使用到的设备。
类别设备名称设备描述数量
基础设施单模光纤单模光纤若干多模光纤多模光纤若干网线网线若干水晶头水晶头若干其他工具布线工具,测线仪等等若干
核RG-S8610 网络核心层交换机 2
心层
交换机RG-8610模块光纤模块若干
若干
汇
聚
层
交
换
机(楼栋)RG-S6506 门诊大楼汇聚层交换机 2 RG-S6506模块光纤模块若干若干
接入层交换机RG-S2900 门诊大楼各楼层接入层交换机78 RG-S2900模块光纤模块若干若干
无线网络RG-WS5708 无线控制器8 RG-AP220-E 无线接入点126 无线控制器license RG-WS5708的许可证,升级后可控制更多无线接入点
出口设
备RG-RSR50 出口路由器 1 RG-WALL1600 出口防火墙 1
数据中心设备RG—WALL1600 数据中心防火墙 2 RG-S5750 数据中心交换机 2 服务器各种应用服务器、存储设备等若干
安全设
备RG-IDS2000S 入侵检测系统
1 第六章总结与鸣谢
在这次组网大中,我们要感谢锐捷公司和西南科技大学计算机学院的老师们给予我们的大力支持。首先要感谢锐捷公司给我们提供了一个展示自己才华的平台,让我们能够有机会将所学习的理论知识与实际的操作相结合,从而使我们的专业技术水平得到了较大的提高。
其次,要感谢曾经给予我们帮助的那些老师们,谢谢你们在整个比赛的准备过程中给了我们
技术上的指导与人生道路上的指引。此外,通过这次组网大赛,我们小组成员之间的团队合作能力也得到了提高,增进了彼此之间的友谊,让我们大家在整个比赛中受益非浅,获益良多!
校园网络设计方案
第一章建网原则 实际上,我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况,严重脱离中国的国情和经济发展现状,要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮,重点中学和好一点的乡镇中小学开始全面装备286、386计算机,当时的计算机每台近两万元左右,使用不到两年,软件升级,WINDOS全面取代DOS系统,286、386计算机全面淘汰(由此全国又损失数百亿元).这时候486计算机全面登场,并立即淘汰,586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中,就不停的跟在后面赶,不停的被淘汰,由于有些学校领导片面追求时髦、面子,而给学校和国家造成了无法估计的损失。 现在教育部提出:一定的时间内在国内普及信息技术教育,实行"校校通"工程;可是由于一些大的计算机厂家在不停的炒作,进行误导,使得我们有些学校校长、少数教育领导干部头脑发热起来了,认为:校校通就是校园网,校园网就是计算机网;学校为了完成上面下达的任务,不顾本校的实际情况,不顾当地的实际情况,大规模的建
设计算机网,造成学校大量负债,而这个所谓的校园网自从建立起 来后就面临着淘汰,为什么呢?目前,我国大部份的学校连基本的广播网、有线电视网都没有,有的学校的教师连计算机的最简单的常识也没有,更谈不上如何使用它们。在上述情况下,我们在进行校园网建设的过程中应该保持清醒的头脑,花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善,而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式:图像,声音,文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲,广播系统传播的范围最广。从设备的增值性来看:最实用的是计算机,其次是教育系统应用软件和广播系统。因此,我们在建校园网时,应先从简易经济和适用的系统做起,再建计算。 第二章校园网的规划设计 2.1校园网建设核心 随着网络规模的扩大和用户数量迅速增加,并且由于院校合并形成了分布于多个校区的校园网,网络结构日趋复杂,网络结点数剧
医院管理信息系统解决方案 一、系统建设的必要性 随着信息时代的到来,计算机在各行各业得到越来越广泛的应用。而计算机网络技术、数据库技术及Intranet技术使我们的生活与工作都跨越了一个方式。长期以来,国营企业全额承担职工医疗费用,致使企业负担承重。经济改革的不断深入和发展,医疗改革也势在必行。计算机管理显然是医院提高医疗水平和改进服务质量的重要手段。 因此,通过医院管理信息系统(以下简称HMIS)的建设及应用,可以强化医院的管理,提高医疗质量和工作效率,改进医疗服务。 二、H MIS的设计原则、实现的功能和设计目标 1.HMIS设计原则 网络系统方案设计是整个网络建设的重点,虽然在设计网络方案时所选择的具体网络设备、服务器类型和系统软件等不一一相同,但遵循最基本的原则,既考虑全局、坚持长远发展规划,加强基础设施建设,将计算机网络建成一个起点高,易于扩充、升级、管理和实用的网络系统,是一项必然的要求。 因此,网络方案的设计原则必须满足以下几项: ?实用性与先进性 首先,易于掌握和学习使用,易于管理和维护。同时采用成熟、先进的网络技术和设备及通信技术,并且兼顾已有设备和资源的充分利用,保护原来的投资。 ?开放性与标准化 总体设计中,采用开放式的体系结构,这可使相对独立的分系统易于进行组合调移。 同时,保证网络选用的通讯协议和设备符合国际标准或工业标准,使网络的硬件环境、通信环境、软件环境、操作平台的相互之间依赖减至最小,发挥各自优势,并且保证网络的互连,为信息的互通和应用的互操作性创造有利的条件。 ?可靠性与安全性 系统安全可靠运行是整个系统建设的基础。鉴于网中信息的重要性,网络系统必须有较高的可靠性,适当的考虑关键设备和线路的沉余,能够进行在线修复、更换和扩充。 ?经济性与可扩充性
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
X医院网络安全解决方案
目录 一、背景描述 (3) 二、问题分析 (3) 三、安全规划 (4) 3.1安全建议: (4) 3.2安全拓扑: (5) 四、产品建议 (5) 4.1防火墙产品 (5) 4.2入侵防护IPS (6) 4.3防病毒墙 (6) 4.4网闸隔离设备 (7) 4.5上网行为管理设备 (8) 4.6内网安全管理系统 (9) 4.7存储设备 (12) 4.8容灾网关 (13) 4.9机房监控系统 (15) 五、产品表单 (16)
一、背景描述 随着IT技术发展,医疗领域的IT应用系统孕育而生。HIS一统天下的格局终将被打破,也正在被打破。继PACS(医疗影像信息系统)快速发展后,USIS(超声信息系统)、PIS(病理信息系统)、CMS(成本核算系统)、PEIS(体检信息系统)等也在发展,未来在电子病历、社区医疗以及更大范围的健康管理方面,还会催生更多的应用。 然而随着IT技术不断发展,网络出现的问题也越来越多,例如,黑客、病毒、木马、蠕虫、间谍软件等等,为了保证医院各类医疗应用系统和办公应用系统的安全,需要对网络进行有效的安全建设和防护。 二、问题分析 目前在网络安全所面临着几大问题主要集中在如下几点: ●来自互连网的黑客攻击 ●来自互联网的恶意软件攻击和恶意扫描 ●来自互联网的病毒攻击 ●来自内部网络的P2P下载占用带宽问题 ●来自内部应用服务器压力和物理故障问题、 ●来自内部网络整理设备监控管理问题 ●来自数据存储保护的压力和数据安全管理问题 ●来自内部数据库高级信息如何监控审计问题 ●来自内部客户端桌面行为混乱无法有效管理带来的安全问题 ●来自机房物理设备性能无法有效监控导致物理设备安全的问题
第九章计算机网络系统 本方案将涉及以下范围: 系统需求概述 网络设计原则 网络系统设计 网络设备选型 网络的安全性 9.1 系统需求概述 随着网络技术,信息通信领域的长足发展,网络经济,知识经济再不是IT 等高科技行业的专利,企业正利用其行业特点,汲取网络技术精华,努力创造着制造业的又一个春天。未来是美好的,但现实不可回避。大多数企业对电子商务的一般认识是电子商务能帮助企业进行网上购物、网上交易,仅是一种新兴的企业运作模式,比较适用于商业型企业、贸易公司、批发配送公司,孰不知电子商务已对传统的制造业形成了巨大冲击。 在这种形式下,面对企业规模的扩大,新厂区的启用,为了加强生产经营管理,提高企业生产水平和管理水平,使之成为领导市场的现代化企业,并为浙江生迪光电有限公司的长远发展提供更好的条件提出了网络系统建设方案。 对于景兴公司网络系统建设这样一个复杂的系统工程,在硬件、软件、网络等方面都提出了非常高的要求。作为系统运行的支撑平台,更是重中之重。计
算机网络系统、网络整体安全系统以及整个系统集成建设是否成功,变得尤其重要。 根据对企业的弱电设计以及与企业有关部门的深入沟通,结合我公司以往对企业系统实施的经验积累,我们认为,本次关于景兴限公司计算机网络核心系统的总体需求可以概括为: 1、实现企业的信息化管理,提高经济管理水平和服务质量,实现企业的经济效益与社会效益的同步增长。在此基础上发展企业的决策支持辅助信息系统,因此我们计算机网络核心系统也将紧紧围绕着这些应用展开。 2、建设机房与相应的网络系统。 3、建立比较完备的安全防护体系,实现信息系统的安全保障。 4、系统必须保持一定的先进性、可扩展性、高可用性、高稳定性、易维护性。 9.2 网络设计原则 (1)先进性与成熟性相结合 近年来信息技术飞速发展,用户在构建信息系统时有了很大的选择余地,但也使用户在构建系统时绞尽脑汁地在技术的先进性与成熟性之间寻求平衡。先进而不成熟的技术不敢用,而太成熟的技术又意味着过时和淘汰。本方案充分考虑了先进性与成熟性相结合。 (2)合理、灵活的体系结构 “结构先行”是构建任何系统的先例,信息系统也不例不断变化的情况下,调整适应,从长远角度来看,也可以提供很好的投资保护。
校园网络设计方案 第五组 组长:李娟娟 组员:陈燕、余丹、李玉 罗燕、刘娟娟、常平
网络总体设计 网络架构分析 现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构 校园网采用星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。 因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。 传输介质也要适合建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。 设计思路 进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划校园网建设的实施步骤。 校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面: (1)整体规划安排; (2)先进性、开放性和标准化相结合; (3)结构合理,便于维护; (4)高效实用; (5)支持宽带多媒体业务; (6)能够实现快速信息交流、协同工作和形象展示。 校园网的设计原则 (1)先进性原则 以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。 (2)开放性原则 校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。 (3)可管理性原则 网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的
网络安全建设方案 2016年7月
1. 前言 (3) 1.1. 方案涉及范围 (3) 1.2. 方案参考标准 (3) 1.3. 方案设计原则 (4) 2. 安全需求分析 (5) 2.1. 符合等级保护的安全需求 (6) 2.1.1. 等级保护框架设计 (6) 2.1.2. 相应等级的安全技术要求 (6) 2.2. 自身安全防护的安全需求 (7) 2.2.1. 物理层安全需求 (7) 2.2.2. 网络层安全需求 (7) 2.2.3. 系统层安全需求 (9) 2.2.4. 应用层安全需求 (9) 3. 网络安全建设内容 (10) 3.1. 边界隔离措施 (11) 3.1.1. 下一代防火墙 (11) 3.1.2. 入侵防御系统 (13) 3.1.3. 流量控制系统 (14) 3.1.4. 流量清洗系统 (15) 3.2. 应用安全措施 (16) 3.2.1. WEB应用防火墙 (16) 3.2.2. 上网行为管理系统 (16) 3.2.3. 内网安全准入控制系统 (17) 3.3. 安全运维措施 (18) 3.3.1. 堡垒机 (18) 3.3.2. 漏洞扫描系统 (19) 3.3.3. 网站监控预警平台 (19) 3.3.4. 网络防病毒系统 (21) 3.3.5. 网络审计系统 (22)
1.前言 1.1. 方案涉及范围 方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。 1.2. 方案参考标准 本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划: 方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。 本方案参考的指南和标准具体见下表:
企业网络工程设计方案第一章网络系统设计概述 1.1项目背景 为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,某厂准备建立一个现代化的机构内部网,实现信息的共享、协作和通讯,并和属下个部门互连,并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。 在本方案中,我们借鉴了大型高端网络系统集成的经验,充分利用当今最成熟、最先进的网络技术,对该信息网络系统的建设与实施提出方案。 1.2需求分析 为实现上述目标,可以把整个系统建设分成两个部分,即:网络平台建设和Internet/Intranet平台建设。 (1)网络平台是建立在结构化布线基础上的最基本的平台。可靠的网络平台是Internet/Intranet系统及应用系统正常运行的基础。网络平台的设计应包括局域网的设计、广域网的设计。 (2)Internet/Intranet平台包括Intranet、Internet和Extranet。三者的关系如图: Extranet Intranet Internet Internet/Intranet系统具有客户端单一界面、易于使用的特点。在中中国港湾建设总公司的平台建设中,Extranet部分对应于与各合作伙伴信息交流的相关部分。 网络系统主要是以光纤作为传输媒介、以IP 和Intranet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供与各种职能相关的、功能齐全、技术先进、资源统一的网上应用系统,进一步
可扩展成为多功能网络平台。 总体目标是建立该企业的办公业务信息网络交换平台,集成下属各部门信息网络系统,功能齐全、技术先进、集成化的网络系统。 (一)设计网络需求如下: (1) 信息的共享; (2) 公司管理; (3) 办公自动化; (4) 高速Internet 冲浪。 (二)企业办公网主干和信息点需求及分布 拟建的企业网络主要涉及到四幢建筑物:行政楼(含附近的门卫)、 生产车间(含附近的厂区办)、运输楼(含附近的工段办)。这四幢建筑物之间拟通过光缆连接。网络中心和机房设在行政楼内。信息点需求为:行政楼:801个(含门卫1个) 生产车间:364个(含厂区办4个) 运输楼:20个(全为工段办) 主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。主干网接入Internet的方式可是有线综合宽带网,速率可在100Mbps左右。主干为千兆光纤线路,其它线路为超五类双绞线。 (三)投资预算 要求投资在20万元以内,包括局域网设计(可利用原有宽带设备),交换机设备,综合布线等。 1.3编制依据 《计算机信息系统保密管理暂行规定》(国家保密局1988 年 2 月26 日印发) (国家保密局1999 年12 月29 《计算机信息国际联网保密管理暂行规定》 日印发) 《中国公众多媒体通信网技术体制》 《中国公众多媒体通信网工程实施技术要求》 IEEE 工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z 支持路由协议:IP 的RIP v1/2,OSPF,BGP-4;IPX 的RIP 多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM 网络管理协议:SNMP,RMON,RMON2
网络设计方案
校园网络设计方案 设计者:王帆 11月
目录 1 校园网需求分析................................................................ 错误!未定义书签。 1.1 网络基本情况 .......................................................... 错误!未定义书签。 1.2网络需求分析 .......................................................... 错误!未定义书签。 2 网络总体设计.................................................................... 错误!未定义书签。 2.1网络架构分析 .......................................................... 错误!未定义书签。 2.2 设计思路 .................................................................. 错误!未定义书签。 2.3 校园网的设计原则 .................................................. 错误!未定义书签。 2.4 网络三层结构设计 .................................................. 错误!未定义书签。 2.4.1 主干网核心层设计 ......................................... 错误!未定义书签。 2.4.2 园区内汇聚层设计 ......................................... 错误!未定义书签。 2.5 IP规划与VLAN ........................................................ 错误!未定义书签。 2.5.1 IP地址的分配原则 ........................................ 错误!未定义书签。 3.5.2 公网地址分配................................................. 错误!未定义书签。 2.5.3专用网的IP地址规划 .................................... 错误!未定义书签。 2.5.4专用网中vlan划分 ........................................ 错误!未定义书签。 2.6 设备选型 .................................................................. 错误!未定义书签。 2.6.1 核心交换机设备选型 ..................................... 错误!未定义书签。 2.6.2汇聚层设备选型............................................. 错误!未定义书签。 2.6.3 接入层设备选型 ............................................. 错误!未定义书签。
内外网安全等级保护建设项目初步设计方案 编制单位:
编制时间:二〇一五年三月
目录 1.信息安全概述 (77) 什么是信息安全? (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系-以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)
3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。
XX医院网络项目设计方案
————————————————————————————————作者:————————————————————————————————日期:
网络设计方案 2009-3-20
目录 第一部分需求分析 (5) 第一章调研 (5) 1. 医院楼房分布 (5) 2. 科室分布情况 (5) 3. 现有网络的物理布局及信息点数统计 (5) 4. 现有网络情况 (7) 5. 现有网络的主要问题 (7) 第二章建网需求 (7) 第二部分网络设计 (8) 第三章网络设计 (8) 1. 网络设计概述 (8) 2. 网络拓扑 (8) 3. 设备选型及链路选型 (8) 4. 网络资源规划 (9) (1) 新增设备主机名、loopback/管理IP和管理VLAN (9) (2) 链路互联及端口IP表 (10) (3) 本部业务VLAN及IP (10) (4) B区门诊楼业务VLAN及IP (11) (5) C区干休所业务VLAN及IP (11) 5. 详细技术方案 (11) (1) 技术方案概述 (11) (2) 本部LAN技术模块 (11) (3) B区门楼技术模块 (11) (4) C区干休所技术模块 (12) (5) 本部与B区、C区互联技术模块 (12) 6. 实施方案 (12) 7. 测试方案 (14) 第三部分设备介绍 (15) 1. RSR20-04 (15) 2. RSR10-02 (16) 3. RG-S3760-24 (17) 4. RG-S2126S (19)
第一部分需求分析 第一章调研 1. 医院楼房分布 A区(本部):医院主楼、住院楼、门诊楼 B区:门诊部(4F) C区:干休所(3F) 2. 科室分布情况 12个临床科室:普内科(含消化内科、神经内科、血液内科、中毒急救、肾脏病内科、内分泌等)、心内科(心脏和支气管肺病)、普外科(肝胆、泌尿、烧伤等)、骨外科、神经外科、妇产科、小儿科(含新生儿科)、 五官科、中医科、传染病区、急诊科、120急救中心 6个医技科室:检验科、放射科、功能科等 16个行管职能科室:办公室、人事股、医务科等 3. 现有网络的物理布局及信息点数统计 大楼之间的距离:本部各大楼之间都在200m以内,本部与两个分部之间均相隔在5公里以上,10KM以下 A区主楼:
数据中心网络系统 设计方案
数据中心高可用网络系统设计 数据中心作为承载企业业务的重要IT基础设施,承担着稳定运行和业务创新的重任。伴随着数据的集中,企业数据中心的建设及运维给信息部门带来了巨大的压力,“数据集中就意味着风险集中、响应集中、复杂度集中……”,数据中心出现故障的情况几乎不可避免。因此,数据中心解决方案需要着重关注如何尽量减小数据中心出现故障后对企业关键业务造成的影响。为了实现这一目标,首先应该要了解企业数据中心出现故障的类型以及该类型故障产生的影响。影响数据中心的故障主要分为如下几类: 硬件故障 软件故障 链路故障 电源/环境故障 资源利用问题 网络设计问题 本文针对网络的高可用设计做详细的阐述。 高可用数据中心网络设计思路
数据中心的故障类型众多,但故障所导致的结果却大同小异。即数据中心中的设备、链路或server发生故障,无法对外提供正常服务。缓解这些问题最简单的方式就是冗余设计,能够经过对设备、链路、Server提供备份,从而将故障对用户业务的影响降低到最小。 可是,一味的增加冗余设计是否就能够达到缓解故障影响的目的?有人可能会将网络可用性与冗余性等同起来。事实上,冗余性只是整个可用性架构中的一个方面。一味的强调冗余性有可能会降低可用性,减小冗余所带来的优点,因为冗余性在带来好处的同时也会带来一些如下缺点: 网络复杂度增加 网络支撑负担加重 配置和管理难度增加 因此,数据中心的高可用设计是一个综合的概念。在选用高可靠设备组件、提高网络的冗余性的同时,还需要加强网络构架及协议部署的优化,从而实现真正的高可用。设计一个高可用的数据中心网络,可参考类似OSI七层模型,在各个层面保证高可用,最终实现数据中心基础网络系统的高可用,如图1所示。
WORD格式校园网络设计方案 学院: 姓名: 学号: 班级: 指导老师: 2013年4月
1前言 (3) 2.需求分析 (3) 2.1网络需求分析 (3) 2.2校园网建设原则 (4) 2.3技术需求 (4) 2.3网络拓扑图 (5) 3.网络总体设计方案 (6) 3.1网络主干设计 (6) 3.2应用系统及软件 (6) 3.3网络传输介质 (6) 4综合布线 (7) 4.1规范和标准........................错误!未定义书签。 4.2设计范围及要求....................错误!未定义书签。 4.3干线子系统的设计 (7) 5.总结 (7)
1前言 校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及 Internet技术等为基础建立起来的计算机网络,一方面连接学校内部子网和分散于校园各 处的计算机,另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是,不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络,而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具,是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点,校园网必须有大量先进实用的应用软件来支撑,软硬件的充分结合是校园网发挥作用的前提。 4.需求分析 2.4网络需求分析 经分析,本校园网的应用需求如下: 建立以计算中心为核心,连接校园各楼宇的校园主干网络。要求主干网带宽达到 1000Mpbs。 按校园用户的需求,划分相应的子网,以方便网络管理、提高网络性能。各子网的带宽至少达到100Mpbs。 在整个校园网内实现资源共享,为教学、科研、管理提供服务。 建立基于网络的教育管理及办公自动化系统,实现行政、教学、教务、科研、后勤、财务等日常事务的网络化管理。 建立网络教学系统,提供教师电子备课、课件制作、网络考试、自动教学评估等功能。 建立安全、高速的Internet应用,实现内外互通。 提供常用的Internet应用,包括学校网站、邮件系统、文件传输等。 为校园网提高一定的安全保障,防止黑客入侵和破坏,保证校园网安全。 为校园网提供简单有效的网络管理措施,实现对整个校园网的管理和控制。 为校园网提供相应的容错功能,防止在校园网出现故障时导致整个网络瘫痪。 校内的基本应用有:WWWSERVER、SQLSERVER、MAILSERVER、VODSERVER、FTPSERVER、 教务系统、精品课程、视频会议实况转播、杀毒服务器、学生管理系统、教务管理系统、网络课程、等。
医院无线网络整体解决 方案 Document number:PBGCG-0857-BTDO-0089-PTT1998
医院无线网络整体解决方案 一.应用需求 随着信息技术的快速发展,医院信息系统在我国已得到了较快发展,国内多数医院已建立起以管理为主的HIS 系统,建立了以管理为主的HIS 系统,当前的发展重点则是建设以病人为中心的临床信息系统CIS(Clinical Information System)。临床信息化系统包括医生工作站系统、护理信息系统、检验信息系统(LIS)、放射信息系统(RIS)、手术麻醉信息系统、重症监护信息系统、医学图像管理系统(PACS)等子系统,而这些系统将以病人电子病历EMR (Electronic Medical Record,EMR)为核心整合在一起。 随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS 系统,向以病人为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。作为医院有线局域网的补充,无线局域网(WLAN )有效地克服了有线网络的弊端,利用PDA 、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别,以及基于WLAN 的语音多媒体应用等等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势。
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
校园网络规划设计方案 项目概述: 本次生产实习的目标是学会组建一个能覆盖整个学校校园宿舍楼的计算机网络。将学校校园宿舍楼内的各种计算机、服务器及终端设备连接起来,并通过相关的技术将校园宿舍楼网络划分成几个不同的区域,让校园宿舍楼内部及各个区域能够进行信息沟通的体系,为校园宿舍楼的学生以及老师提供充分的网络信息,在网络环境中实现ftp服务,ⅡS服务,DNS服务等工作。 校园宿舍楼要求: 1.校园宿舍楼需要安装ftp服务器,ⅡS服务器,DNS服务器。 2.网络客户之间能够实现资源共享。 3.全网可以互通。 4.网络要求一定的灵活性和可扩展性。 5.校园宿舍楼学生,老师之间可以使用电子邮件进行信息沟通。 6.计算机中应有各种学习,办公软件等。 实现的目的: 1.ⅡS服务:进行校园网站的查询,登录; 2.文件服务:利用FTP服务,校园宿舍楼用户可获取学习中相关的资料、文件等信息; 3.提供正版系统以及各种所应用的学习与办公软件等。 总体设计: 1.实地勘测了解宿舍楼的分布布局:
了解到宿舍楼共有六层,每层有32个宿舍,每个宿舍有8个用户 2.划分宿舍楼网络: 将每四个宿舍划分为一个VLAN,每一层划分为八个VLAN,每一个VLAN接入一个二层交换机,再将每一层接入一个三层交换机,再将每三层接入一个三层交换机,最后将其接入核心交换机上。 3.服务器的搭建: 了解到了需求FTP服务器,ⅡS服务器,DNS服务器;将这些服务器连接到一个二层交换机,在连接到核心设备上。 拓扑结构: 详细设计: 1、基本配置: 设备的命名规则:
SSL----宿舍楼CORE----核心交换机-SANSWITCH----三层交换机-num----设备编号numFLOOR----宿舍楼第几层 ACCESS----接入层 核心设备: SW1:SSL-CORE-1 三层交换机:SW2:SSL-SANSWITCH-1 SW3:SSL-SANSWITCH-2 二层交换机:SW4: SSL-1FLOOR-ACCESS-1 SW5: SSL-2FLOOR-ACCESS-1 SW6: SSL-3FLOOR-ACCESS-1 SW7: SSL-4FLOOR-ACCESS-1 SW8: SSL-5FLOOR-ACCESS-1 SW9: SSL-6FLOOR-ACCESS-1 接口描述: SW4: Interface E0/4/0 Description connect_to_[SSL-SANSWITCH-1]- E0/4/1 其中E0/4/0为SW4上接口,SSL-SANSWITCH-1为E0/4/0所连接的上一层设备名称,E0/4/1为连接在上一层设备SSL-SANSWITCH-1上的端口号 其余接口描述与上述相似。 接口连接标准:下联在前上联在后 2、IP地址规划—vlan规划
目录 一.医院网络建设需求 (2) 1.1整体需求概述 (2) 1.2内网需求 (2) 1.3外网需求 (3) 二.医院业务应用分析 (4) 2.1医院业务划分 (4) 2.2医院业务系统的需求 (4) 三.医院网络组建 (6) 3.1 网络拓扑 (6) 3.2网络组建分析 (6) 3.3核心层设计 (7) 3.4接入层设计 (7) 3.5网络可扩展性 (8) 四.产品概述 (8) 4.1 S7500E产品概述 (8) 4.2 S5120-24P-EI产品概述 (11)
一.医院网络建设需求 1.1整体需求概述 1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台; 2、网络设计不仅要体现当前网络多业务服务的发展趋势,同时需要具有最灵活的适应、扩展能力; 3、一体化网络平台:整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理; 4、数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。 5、医疗信息的安全保护,也是组要的环节,网络的设计不仅要考虑用户与服务器之间的互联互通,更要保护关键服务器的安全和内部用户的安全。 1.2内网需求 内网是医院核心网络系统,用于开展日常医疗业务(HIS、LIS、PACS、财务、体检系统等)的内部局域网,系统应稳定、实用和安全,具有高宽带、大容量和高速率等特点,并具备将来扩容和带宽升级的条件。 网络设计要求: 1、主干网络一台7503E,全局MSTP链路冗余,千兆接入交换机实现千兆到桌面。 2、配备的网管软件应提供可视的形象化的图形界面,对整个网络中网络产品的全部端口进行监视和管理;(可选) 3、交换机互连采用多条链路捆绑,防止链路瓶颈,并提供链路冗余。 由于医疗行业的特殊性,医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息,要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加,网络
XX公司网络信息系统的安全方案设计书 XX公司网络安全隐患与需求分析 1.1网络现状 公司现有计算机500余台,通过内部网相互连接与外网互联。在内部网络中,各服务部门计算机在同一网段,通过交换机连接。如下图所示: 1.2安全隐患分析 1.2.1应用系统的安全隐患 应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 1.2.2管理的安全隐患 管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,
或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。用户权限设置过大﹑开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。 1.2.3操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。 1.2.4病毒侵害 网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。 2.1需求分析 XX公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Internet的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1.根据公司现有的网络设备组网规划; 2.保护网络系统的可用性; 3.保护网络系统服务的连续性; 4.防范网络资源的非法访问及非授权访问; 5.防范入侵者的恶意攻击与破坏; 6.保护企业信息通过网上传输过程中的机密性、完整性; 7.防范病毒的侵害;8.实现网络的安全管理。 通过了解XX公司的虚求与现状,为实现XX网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 (1)构建良好的环境确保企业物理设备的安全 (2)划分VLAN控制内网安全