1、网络系统技术方案及设备配置方案932020年4月19日文档仅供参考,不当之处,请联系改正。计算机网络系统技术方案及设备配置方案一 计算机网络系统技术方案及设备配置方案(一) 计算机网络系统项目概述随着计算机技术、通讯技术的飞速发展,计算机网络正快速覆盖社会的各行各业,使我们感受到网络时代的春风。医院作为人民社会生活的重要组成部分,传统的办公模式已经不适应当今的网络时代。先进、可靠、高效的计算机网络,是现今医院网络化办公的基础。沁阳市人民医院创立于1946年,开放病床360张;现有职工516人,专业技术人员410人,其中高级专业技术人员19人,中级专业技术人员120人,初级专业技术人员163人。
2、设置16个临床科室30余个专业,16个医技科室,是沁阳市规模最大的集医疗、教学、科研、预防保健和院外急救为一体的现代化综合性医院,成为河南省人民医院、中科院、肿瘤医院协作单位,新乡医学院、焦作职工医学院教学医院,中国东软核磁共振河南示范培训基地、河南省新生儿重症救护网络成员单位、河南省眼科网络成员单位、中国糖尿病综合防治计划推行单位、城镇职工医疗保险定点医院、中国人寿保险定点医院。(二) 计算机网络系统建设的总体目标1.用户需求分析医院的计算机网络系统建设需求归纳如下:1) 网络连接覆盖整个门诊、医技楼。为医生、护士和各职能部门提供网络接入服务。2) 使用千兆以太网作为网络主干,构建能够提供服
3、务质量保证和多媒体应用支持的新一代的企业网络系统。3) 提供接入Internet的手段,并在网络中设置的专用安全区域放置Web服务器、E-mail等公共服务器。4) 在网络上提供高效可靠的安全管理构架和安全策略,确保网络资源的安全使用。5) 网络系统设计要具备高度的灵活性和扩展性,能够满足未来发展的需求。6) 建立网络系统运行管理中心,建立统一集中式的网络管理,实行有效的配置管理、失效管理、安全管理及性能管理。 7) 统一进行子网划分和IP地址分配。8) 实现企业内部网与Internet 的互联,建立企业内部网(INTRANET)。9) 信息资源采取集中控制与分布配置相结合的策略,合理规划,分
4、布实施。10) 建立以Windows NT为平台的企业系统管理平台,对信息资源进行有效管理。11) 在NT平台上建立Exchange邮件系统,实现员工之间、以及对外的信息交流。2.系统建设范围本方案提供的医院门诊、医技楼的网络系统解决方案的项目实施范围包括:医院企业网络系统(Intranet)的组成构架,建立基础的信息系统平台,提供整体企业级安全防护策略。3.主要技术路线医院园区网络系统建设的主要技术路线如下:1) 采用成熟/先进的网络技术。2) 统一技术规范、标准和方案,统一设备选型,统一组织实施。3) 经过高速交换技术、虚拟网(VLAN)技术组网。4) 以TCP/IP为主要协议,采用统一的
5、电子邮件系统提供邮件服务。5) 以标准化为基础实现系统的开发型、可扩展性,增强与异种机、议购网的互联能力。6) 注重避免出现瓶颈效应,重要路由要有备份,保证网络每天24小时可靠运行。7) 注意通信保密和数据安全,建立完善的网络安全管理系统。8) 采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章制度。(三) 总体设计方案1.系统设计原则医院计算机网络系统建设工程是一项重要的系统工程,其设计的高可靠行,先进性、合理性将对于今后医院信息化建设的发展产生极为重要的影响。系统设计总原则如下:为医院的信息建设提供一个先进、可靠、稳定、易扩展的网络系统平台;充分重视网络系统和信息的安全,建立先
6、进的网络管理系统和安全管理系统,建立完整的信息控制和授权管理机制。 在限定的时间和规模内,努力降低费用支出,提高系统的性能价格比。 采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,又适当超前,留有发展余地。 充分发挥各方面的积极性,保障各项工作有序按时进行。为此,我们在进行方案设计时将遵循以下几个性能指标: 安全可靠性要求整个系统采用具有高可靠性的总体设计,在关键节点考虑采用冗余备份设计,在关键的网络设备和主机设备上努力消除单点失效;设计中所选用的设备本身应具有较高的安全可靠性;在系统软件和应用软件方面必须注重系统的安全保密工作,采用具有较高安全级别的系统软件,引入具有可靠功能专用网络安全
7、产品;在对后期培训工作的安排中,加强对有关工作人员系统安全知识培训及处理突发故障能力的培训。 先进性保证所采用的设备和技术属世界主流产品,在相应的应用领域占有较的用户市场,在相关计算机技术及网络技术方面处于领先地位。考虑到网络建成后较在很长一段时间内使用,因此在选择网络技术的时候应具有一定超前意识。 实用性系统的性能指标应能够满足住处网络内各项业务对处理能力的要求。整个系统的性能应当是可靠的,便于管理的。所采用的设备应当是易于配置维护。从客户的角度出发,在完全满足网络应用要求的条件下,尽量压缩设备所需费用,争取达到最优的性能价格比。 开放性在网络和主机方面应支持符合国际标准和工业标准的相关接口
8、,能够与各接入单位网络、ISP的网络以及其它相关系统实现可靠的互联;在支持标准的应用开发平台方面,系统软硬平台应具有良好的移植能力,在硬件升级后保持二进制级兼容性;在网络协议的选择方面,应选择广泛应用的标准协议,同时支持局域网内部的其它协议。 可扩充性和灵活性在网络和主机设备的选择方面,应具有良好的可扩充能力,能够根据信息网络临时需要对系统进行必要的调整、扩充,这包括存储容量和网络规模等方面的扩充。在网络全面升级的情况下,能够最大限度地保护现有投资。2.设计依据1) 门诊、医技楼网络系统招标文件技术规范2) 门诊、医技楼综合布线设计方案3) ITU(国际电信联盟)相关标准4) IETF(Int
9、ernet工程任务组)的RFC相关文件5) 中华人民共和国计算机信息网络国际互联网管理暂行规定3.设计目标医院网络系统建设总体目标如下:1) 采用先进网络技术,同时注重该技术的成熟性,要求选择的技术符合国际标准。能够与主要网络厂商的产品及网络技术较为方便的实现互联。2) 采用的技术及设备应该具有易升级及可扩展性,最大程度上保护投资。3) 适应桌面计算机处理、I/O能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面的访问带宽。4) 适应联网规模大、总流量大的情况,合理分布流量,实现有效的安全访问控制和运行管理。5) 提供对应用服务器的特别支持。6) 适应部门多、层次复杂的特点,合理进行网络划分
10、,实现有效的安全访问控制和运行管理。7) 能够向未来的高速网络技术和不断出现的新应用过渡。8) 实现网络互联,解决互联网络带来的安全和管理问题。9) 适应数据集中型的应用发展趋势,为客户/服务器的应用环境提供支撑。10) 增加网络系统的运行可靠性,降低故障隐患,提供系统的可管理性。11) 适应机构建制和工作流程,提供多层次的安全保障。4.系统设计和设备配置(1) 计算机网络系统技术选型 对于沁阳市人民医院这样的大型医疗机构来说,从网络的总体设计就要考虑以后医院园区网络的可靠性、扩展性和开放性,选择一种既能提供一个理想的高速多媒体网络主干,又具有现实性的网络技术方案极富现实意义。第一,我们从网络
11、系统的继承性方面考虑, 在这方面千兆以太网的有着很强优势。以太网技术遍布全球各地,根据IDC的统计报告,在已安装的网络中以太网所占的比例超过80%,这意味着有超过12亿台PC、工作站和服务器之间是以太网连接的。剩余的部分网络是令牌环、FDDI、ATM 和其它。许多著名的操作系统和应用程序都兼容以太网,大多数高层协议也支持以太网。同时以太网有着众多的网络管理工具和诊断工具,从简单的指示灯式仪器到复杂的图形化分析仪。范围很广。现今绝大多数计算机系统都是采用以太网设备,从投资保护和技术的相容性方面考虑,采用千兆以太网技术对于公司当前现有的计算机及网络设备而言有着良好的兼容性和适用性。第二,我们要考虑
12、的最重要的一点就是网络系统的可靠性,这是我们进行网络技术选型中应该最为优先考虑的原则。高度可靠的计算机网络对于企业的成功来说是至关重要的,没有可靠性作保证的网络系统是更本无法应用的。因此,必须对各种网络技术的实现方法和以后的技术支持等问题作审慎的考虑。自从1986年出现星形布线结构的10BaseT技术以来,结构化的布线系统使得集线器和交换机的可靠性越来越高。如今,以太网已经比其前辈-电话网技术更加可靠,而且易于理解和管理。今天的千兆以太网无论是在稳定性方面,还是服务质量保证(QoS)方面都达到了一个崭新的高度。第三,费用低廉,具有较高的性能价格比。以太网和快速以太网每端口的平均价格在迅速下降,
13、而且相互间的差距月来越小。千兆位以太网的每端口价格当前已经比 ATM622M的价格低很多,其未来的发展过程也将类似于快速以太网。在现有技术条件和同等端口密度下,一般来说千兆方案要比ATM方案便宜三分之一以上。除了直接的投资费用之外,网络支持和维护费用是一个不容忽视的问题。如今已有很多成熟和专业的工具来维护以太网,使其以最好的性能运作。千兆位以太网保护了这方面的投资,千兆位以太网帧格式拓扑结构都是相同的,仅需要对网络分析工具的速度进行升级,而所需的专业培训将会减低到最少。相对于技术极为复杂,需要大量培训和维护费用的ATM网络技术而言,千兆网技术有着其无法比拟的优势。第四,从网络的发展性的角度考虑
14、,千兆技术是一种很好的选择。当新的和现有的网络应用程序发展到包括高质量的图形应用程序、视频和其它大数据量的多媒体应用程序的应用环境时,桌面PC、服务器、集线器和交换机都面临着增加网络带宽的压力。随着这类的应用程序不断地增加和网络用户数量的增加,人们对高带宽网络设备的需求越来越迫切。随着LAN上信息的飞速增长,网络管理员被迫去寻找更高速的网络技术能够解决带宽的要求。她们现有的网络多为以太网或FDDI主干,能够选择不同的升级方法,虽然各种方法都有自己不同的形式,然而还是有一些通用的标准或要求来选择高速的网络技术,包括:l 容易实现的、无间断的升级技术 l 能够扩展至更高的性能l 低成本,包括设备的
15、成本和技术支持、维护的成本l 支持新的应用程序和数据形式在Internet应用中,迫切需要迁移至新的数据类型,包括视频和音频。以前人们认为视频数据需要在专门的网络上传送,然而现在它也能够在以太网上传输,因为:l 经过交换技术,使网络带宽的分配增加到100M或1000Ml 新的网络协议如RSVP,支持带宽的分配和保留 l 新的标准如802.1Q/p, 支持专有VLAN功能和网络数据包专用标识 功能l 广泛应用的视频压缩技术, 如MPEG2l 这些技术和协议的组合运用使得以太网成为传送视频和多媒体数据应用的极好的解决方案。最后, 有人可能会问,我们为何不选用ATM技术?以下我们将对千兆与ATM技术
16、的进行一个比较,分析一下两者在园区网技术上的优劣。ATM 技术采用信元和端到端连接机制,能够对流量进行非常精确的控制,但它主要是一种广域技术。事实上ATM 发展的动力源自电话公司想给数据联网重新定义。想法是对数据、话音和视频采用不同的协议。端到端连接的一个关键因素是它们能够记录数据流量,从而进行计费、收费工作。ATM技术进入LAN 的市场开始于1993年,当时ATM行业宣称ATM是联网技术的未来,能够扩展、能够进行交换、支持视频等等,还把IP和以太网看作老式网络。由于当时市场上迫切需要高带宽的局域网络设备和技术,而当时快速以太网在带宽上还不能和ATM竞争,因此ATM 在LAN的市场中取得了一席
17、之地。但到今天千兆以太网这种更高带宽的以太网技术出现后,ATM的高带宽优势已荡然无存。今天人们已经意识到,事实上,IP才是所有人都围绕的网络协议,而且IP完全独立于底层网络技术。它与以太网共同发展起来,也能够运行在令牌环、FDDI,可是在ATM 上让IP工作起来则比较困难,需要采用LANE、Classical IP、MPOA 等复杂的技术,而且降低了ATM的效率,丧失了ATM的应用优势。千兆位以太网比ATM 还有一个固有的优点,就是在网络上的流量在协议方面的开销要ATM少很多,ATM的开销大约是千兆位以太网的两倍。另外如我们在前面一再指出的,千兆以太网相对ATM 技术有着价格、维护费用、使用方
18、便性、结构灵活性和易管理性上有着一系列的优势。而且在当前的Internet上,实现未来纯 ATM 端到端网络的情况已经不符合新的应用要求 。出现这种情况的主要问题是由于ATM 是面向连接的;在能够发送数据前用户必须建立起一条端到端的连接。而IP是动态链接协议,采用路由器来转发数据包,没有端到端连接的建立。而在Internet上,半数的数据流量是与Web有关的。每次用户点中一个链接,就打开了与另一个服务器的连接。平均每个http传输的数据量大约为2K字节,按照每秒155兆比特的速率,大约需要100微秒的时间。而Fore最先进的ASX1000交换机的连接建立时间是10毫秒,因此连接建立时间占了吞吐
19、量的 99%,这意味着实际吞吐量为1.5兆而不是 155 兆比特,与T1线路相差无几。整个连接建立的概念从根本上就与动态化日益加剧的IP环境无法兼容。就ATM技术本身来讲,它的特点为高带宽(155Mbps以上),而且它具有QoS等级服务来提供不同的电信服务,如图像、话音及数据。可是QoS是ATM在不配置成局域网仿真时成立。换句话说,当您的大楼局域网采用ATM局域网仿真(LAN Emulation)时,也就是仿真以太网时,您就无法使用到ATM技术在城域网(MAN)或广域网(WAN)上所有的QoS。ATM局域网仿真是技术发展过程中的一种过渡,这是因为前几年千兆以太网(GE)还未成熟,因此ATM 局
20、域网仿真才被采用。可是ATM到桌面不太现实,因为它需要主机操作系统、驱动程序、网卡的全面一致化,才能实现真正的ATM 到桌面。因此只能采用ATM 局域网仿真(而不是真正的端到端ATM)来解决网络互联的实际需求。尽管ATM仍占据着大部分园区主干网,但在园区局域网内ATM高带宽的优势随着近年来千兆以太网的成熟而失去优势,加上其技术复杂性、价格弱势以及一些其它因素,人们在园区网络技术的选择越来越倾向于千兆(GE)以太网技术,而基于IP的多媒体应用也正在迅速被广泛采用。 以下是千兆位以太网(Gigabit Ethernet)与ATM两种主干技术的对照比较表:Gigabit EthernetATM标准I
21、EEE802.z尽管已有多项标准出台,但由于ATM技术的复杂性,标准的制定仍在进行中,需要时间 完善带宽1000Mbps155Mbps或622Mbps竞争能力,厂家提交的交换机数目,各种NIC服务几十家,成为技术型公司的新增长点主要有十几家每端口的价格交换机端口与NIC组合,一起可达3000多美元。ATM-155对于交换机端口及NIC组合为 美元左右,ATM-622为这个价格的数倍媒质支持STP,UTP5,多模光纤,单模光纤ATM-622M及更高速的只在光 纤上运行学习曲线,技术的复杂性容易复杂,较难学习与现在的各种数据应用 程序及网络的兼容性无需作任何改动 与现有的 LAN协同工作技术复杂且
22、效率低Qos保证不同类型应用RSVP,RTP,PTCP,802.1p等新的技术协议以及Cisco等公司在IP优先级方面的一系列技术在LANE的情况下,需要SVCs或IETF正在制定的RSVP的 复杂映射来解决多厂家产品的互操作性基于标准的互联高层的互操作性,如交换机到交换机信令,经过ATM 的多协议仍无保证,标准还在改进VLAN的支持与快速以太网一致,但同样的VLAN连接与组成标准能容易地覆盖以太网快速以太网及千兆位以太网能映像基于LAN的发布领 域,而与ATM的可互操作性是既枯燥又复杂的根据以上我们对当前主要的园区网技术的细致比较,并参照当前网络系统的实际发展情况和医院建筑的分布和应用情况,
23、我们最终确定采用千兆以太网作为医院主干网络技术。采用千兆技术不但能够很好地满足客户机服务器模式对网络主干的巨大需求,而且以太网具有的良好的移植性能够方便的将10M以太网和快速以太网升级到千兆以太网,从而能够把一些数据流很大的工作组快速集成到骨干网中去;在局域网方面与ATM技术相比有较大的优势;从网络的管理与维护方面讲,千兆以太网技术能够节省大量的培训和维护等后续费用。这一系列特点使得千兆以太网技术成为医院计算机网络主干技术的最为理想的选择。(2) 计算机网络产品的选型鉴于系统的先进性和兼容性,医院的网络系统我们将采用世界知名品牌华为和思科公司的产品,服务器选IBM产品。我们选择华为产品的主要原
24、因出于下列考虑:华为公司是全球领先的电信解决方案供应商。华为技术有限公司的业务涵盖了移动、宽带、IP、光网络、电信增值业务和终端等领域,致力于提供全IP融合解决方案,使最终用户在任何时间、任何地点都能够经过任何终端享受一致的通信体验,丰富人们的沟通与生活。华为围绕客户需求持续提升创新能力,长期坚持不少于销售收入10%的研发投入,并坚持研发投入的10%用于对新技术、新领域进行持续不断的研究和跟踪。当前,华为在FMC、IMS、WIMAX、IPTV等新技术和新应用领域,都已经成功推出了解决方案。截止 12月底,华为加入123个标准组织,如ITU、3GPP、3GPP2、ETSI、IETF、OMA和IE
25、EE等,并在这些标准组织中担任148个职位。华为积极参与国际标准制定,截止当前华为向标准组织共提交文稿18000多篇。Cisco公司是世界领先的Intranet和全球Internet网际互联解决方案供应商,是公认的网间互联技术和产品的领先厂商,其提供的解决方案是世界各地成千上万公司、大学、企业和政府部门建立网间网的基础,用户遍及电信、金融、服务业、零售业、政府部门及教育机构等,在“幸福”五百家公司中的83%均为Cisco公司的用户。Cisco经过引入基于LWAPP协议(轻型AP协议,IETF的最新草案)的全新无线局域网构架思科一体化无线网络,将无线局域网技术带到一个新的发展阶段。这种对无线AP
26、进行集中控制的整体构架具有多种优点,再无线局域网的便利接入、安全无线连接、灵活部署、轻松运营、可视化维护方面,都提供了实用的工具和有效手段。IBM(International Business Machines Corporation)总公司在纽约州阿蒙克市,19 创立于美国,是全球最大的信息技术和业务解决方案公司,当前拥有全球雇员 30多万人,业务遍及160多个国家和地区。该公司创立时的主要业务为商用打字机,及后转为文字处理机,然后到计算机和有关服务。IBM 为计算机产业长期的领导者,在大型/小型机和便携机(ThinkPad)方面的成就最为瞩目。其创立的个人计算机(PC)标准,至今仍被不断的
27、沿用和发展。另外,IBM还在大型机,超级计算机(主要代表有深蓝和蓝色基因),UNIX,服务器方面领先业界。(3) 主干网络设计一个优秀的网络设计方案离不开对其网络应用的评估。当前,在典型的网络中80% 的数据流是客户/服务器业务,它们之间的绝大多数业务又必须跨越骨干网传输。这样就造成在骨干网的一边是快速以太网客户,另一边是文件服务器,而两者之间的界面必须提供足够大的吞吐量来满足加在网络上的性能要求的现象。因此对于一个成功的网络集成设计来说,骨干网和边缘之间的界面的设计是极为关键的,因为这个边界正是网络进行分段和重组(SAR)的地方,对于医院这样大规模会产生巨大的网络业务流的网络系统更是如此。如
28、果网络的数据业务流不能在骨干网和边缘之间快速可靠地传输,就会出现瓶颈,产生时延,降低效率,结果造成高速千兆以太网所提供的诸多优点均未实现。考虑到医院今后的业务核心在其附院园区,为此医院的网络系统的设计思想是以医院中心机房为网络信息中心,以星型方式经过1G的链路分别连接各个科室楼层的骨干节点交换机,并以这些二级骨干节点为中心,经过1G(视下级节点的业务繁忙程度而定)的链路连接桌面交换机和无线AP(参见医院计算机网络系统结构拓扑图)。计算机网络系统结构拓扑图在医院主机房放置一台Quidway S9312作为网络的中心千兆骨干交换机,中心交换机配置主备交换引擎,多维集群CSS、双电源,充分保证了中心
29、交换机的高可靠性。中心交换机提供48端口百兆/千兆以太网电接口板,24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电接口。并能构实现企业网的第三层智能交换。Quidway S9312配置如下:双电源,两个一次电源-40degC-65degC-90V-290V-53.5/15A-输入176V; Quidway S9306/S9312 主控处理单元; 48端口百兆/千兆以太网电接口板(EA,RJ45); 24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电接口板(SA,SFP/RJ45); 在医院的接入交换,我们分别放置45台Quidway S2326经过千兆上联链路分别与中心交
30、换机的不同槽的千兆模块相连,全双工速率能够达到1G。其中,Quidway S2326能够提供,2个千兆Combo口用以连接,中心交换机。Quidway S2326配置如下S2326TP-PWR-EI:24个10/100Base-TX2个千兆Combo 口(10/100/1000Base-T或100/1000Base-X)交流供电,支持POE在医院的接入层中我们配置了26个AP,更方便使用者随时随地在特定的公共场所接入医院的网络。AP经过10BASE-T/100BASE-TX 以太网端口直接连接在较进的接入交换机中。思科(Cisco)WAP200 Wireless-G配置如下: 无线传输率:10
31、8/54/48/36/24/18/12/9/6/11/5.5/2/1Mbps 安全标准:WEP 64位/128位、WPA-PSK、WPA2-PSK、WPA-ENT、WPA2-ENT 天线增益:2dBi 电源:12V DC在无线设计中我们建议增加无线网络控制器,这样当无线客户移动时,无线信号AP间的漫游就能做到无信号终端。(4) 计算机网络信息中心网络中心是整个网络运行管理的核心。考虑以后医院规模业务的增大,未来这里集中了各种网络应用服务器、多媒体应用服务器、网络管理系统以及互联网络的接入设备等。设计一个合理的网络运行管理中心,对今后整个网络规划、拓展和管理将带来十分积极的影响。在医院网络中心,
32、网络服务器(IBM X3650m3)直接与网络核心交换机Quidway S9312,直接相连,服务器双线连接核心交换机,避免单点故障,提高网络带宽,服务器的全双工带宽可达4G。网络拓扑如下:IBM X3650m3服务器配置如下: 2U 机箱 最多两个英特尔 至强 5500/5600 系列处理器,采用 QuickPath Interconnect 技术。 最大 192GB DDR3 RDIMM 或 48GB DDR3 UDIMM 最多 16个 2.5英寸热插拔 SAS/SATA 或固态硬盘驱动器 多达 4个 PCI-Express 插槽 支持可选的 VMware ESXi 4.0 嵌入式虚拟化管
33、理程序Internet接入为了让整个门诊、医技楼能够与Internet相连,让内部员工能够从中获取信息资源和同时让外部用户能够访问医院的网站。我们建议申请一条光纤专线,经过电信局连接Internet。我们选用了华为公司的高性能、高稳定及高接口密度的硬件平台配合成熟稳定、模块化设计的软件系统USG5350作为医院内部网与Internet之间的安全防护平台,USG5350是华为赛门铁克公司推出的新一代统一安全网关,能够为用户提供防火墙、VPN、IPS、反病毒、反垃圾邮件、URL过滤等多项领先的安全功能,提供全方位的网络系统安全防护,保障网络系统高效运行。USG5350配备VPN隧道数(10 隧道)
34、-R-含HS通用安全平台软件。也满足医院虚拟专线的要求。Secoway eLog是一套智能、高效、高可靠、高安全、高扩展的日志管理与安全审计系统,支持华为全系列、业界主流厂商(Cisco、Juniper、Checkpoint)的安全设备、网络设备和操作系统、数据库、Web服务器的日志采集、分析、关联、审计、告警、存储、查询和报表。Internet网络拓扑如下:USG5350配置如下: 双端口千兆以太网接口模块(RJ45&SFP) VPN隧道数(10 隧道)-R 吞吐量:9Gbps 最大并发连接数:300万 每秒新建连接数:13万(5) 计算机网络安全与管理4.5.1 安全管理措施1) 建立安全
35、管理制度,保护登录密码,合理使用访问权限,系统管理员注意在用户使用权限划分上的漏洞;2) 系统管理员注意网络监控,对用户访问进行记录;3) 网络系统的核心由千兆位以太网交换机构成骨干网,采用端到端连接技术,保证骨干网上数据传输的安全性;4) 在互联网络接入部分配置了防火墙,在应用层进行安全控制;5) 经过网管系统加强虚电路和虚网管理,使网络安全集中管理;6) 建立企业级的病毒防护体系,确保信息资源的安全完整;4.5.2 网络管理医院内部网的网络管理是网络建设的重要内容之一,是保证整个内部网正常运行的前提。网络管理不但需要先进、使用的技术支持手段,对大型网络而言,更需要合理、有效的组织体系和规章
36、制度。网络管理是网络可用性的关键组成。界定并实现网络管理是网管设计的主要内容。内部网网络管理系统的主要管理对象包括: 互联网接入部分 主干网核心交换设备 子网交换模块 工作组交换机和基层网络设备 服务器系统 拨号访问服务 网络运行中心NOC网段 网络信息中心NIC网段 VLANs划分与管理Secoway eLog监管所有的网络信息和管理数据,包括系统配置、失效记录、安全记录、性能记录,用户使用情况等都保存在数据库中,这些信息和数据能够方便地进行查询、统计、分析和形成报表。配置管理:管理主要网络设备和服务器及VLANs配置信息、通信和网络拓朴结构、用户名、电子邮件地址、口令等重要网络信息。失效管
37、理:是保证网络政党运行至关重要的一个部分,目的是保证网络正常运行,尽量减少故障发生的频度、消除故障产生的隐患,并及时修复已出现的故障。失效管理配合网管软件的失效管理功能,建立失效档案管理,提供联机工作手册和规范的失效处理操作程序(包括书面报告、电话报告、E-MAIL报告、处理程序、处理意见等的要求)。经过一定的故障定位手段和分析方法找出故障源,并立即对故障源进行隔离和修复。性能管理:对接入网络和IPF 址的流量及流速进行定时采样记录。能够指明网络流量的高峰和瓶颈所在,能够按业务、部门、时间统计,根据流量统计安排镜像操作的时间等。由于此次设计是后期医院网络的一个基础,为了提高网络的高性能、高安全
38、性。我们建议主干网络都采取双机冗余备份,双线负载。这样不但能大大提高主干网络的安全性、可靠性,还能增加网络带宽。安全管理:是整个网络管理的重要一环,经过防火墙、用户认证/授机、数字签名、加密传输、存取控制、安装安全分析工具等手段实现安全控制,监视用户的访问情况,实施访问安全控制;经过设备冗余、容错配置、数据备份等手段确保运行安全;经过值班制度、运行制度完善组织管理;经过事帮保护系统,如防火系统、防盗系统、电源安全系统等措施防止非常事故的发生。4.5.3 网络安全防火墙被应用于内部网与外部网的连接之间,经过2个千兆以太网口直接连在核心交换机上。使用虚拟网(VLAN)技术,来自INTERNET对内
39、部网的访问首先要经过防火墙,防火墙对进出内部网的数据内容进行各个层次的安全检查、控制和过滤,以确保网络的安全。USG5350统一安全网关采用领先的嵌入式多核架构,传承多年在通讯、网络领域的研发、设计能力,满足各种严苛的国际认证规范,提供高可靠性保证。基于Symantec的先进的IPS、AV检测技术和丰富的特征库,检测率高达99%以上,在零配置的前提下,实现强大的安全防护能力。高性能、高稳定及高接口密度的硬件平台配合成熟稳定、模块化设计的软件系统,使得USG5000统一安全网关完美的将防火墙、攻击方面、VPN、无限NAT扩展、IM控制、P2P限流等多项安全功能基于一身,并可经过购买License
40、的方式获得IPS、反病毒、URL过滤等高级安全扩展功能。再加上elog针对主机系统、数据库、Web服务器的各类安全事件记录的采集、分析、关联、审计、告警、存储、查询和报表。共同构建了完整的安全系统。5.方案特点本方案具有以下特点:统一的IOS安全性好高性能IP及多媒体支持实用性强高可靠性易管理高可扩展性标准化阐述如下: 统一的IOS方案选用的所有华为产品都内置IOS。IOS能够将路由器、千兆交换机、LAN和WAN交换机、文件服务器、个人计算机及对机构的互连网络有战略性影响的任何其它设备等所有不断发展的网络平台集成在一起,因而能够支持不可避免的变化和移植。IOS能够发挥华为平台及由将IOS融入其
41、产品中的技术伙伴提供产品的功能,因而能够让各公司建立和加强经济有效的集成式统一信息系统基础设施。 安全性好设备的安全性在网络系统的安全设计中,设备本身管理的安全性是应首先考虑的,却往往又是人们常常疏忽的。利用设备本身的多个登录等级,控制不同人员的配置权限。可利用TACACS+、RADIUS安全认证服务器,加强了对网络设备本身的安全性管理。VLAN的安全性VLAN的建立,能够控制广播和应用的信息流动,从而防止她人非法在网络上截获其它用户或它们的资源。VLAN之间的通信可经过访问列表Access List控制,提供IP层,TCP层的访问控制。利用用户权限控制,并结合华为特有的动态VLAN技术,使移
42、动的用户无论位于何处,与之相连的交换端口属于该用户特属的VLAN,即User-band VLAN,由于需要经过用户口令的认证,更增强VLAN的安全性。网络访问的安全性经过防火墙防止黑客的入侵。数据的安全性建议用HP的DLT4115的磁带库和Legato的备份恢复软件,对Unix服务器、NT服务器、ORACLE数据库、Exchange Server和SQL Server进行备份,以便在灾难发生时进行恢复。 高性能IP及多媒体支持方案采用高速的千兆网技术,无论在网络上进行文件还是多媒体传输都基本避免了网络拥塞,能确保应用系统在网络上顺利运行,保证用户充分利用网络的资源。网络的高性能主要体现在以下几
43、个方面: 高性能的第三层路由和交换技术 高性能的网络操作系统 高性能的多点广播服务,保证多媒体应用的有效运行 高路由性能Quidway S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。 实用性强本着“求实为本”的原则,经过我公司技术人员的重复研究和对华为、cisco。华三,网络厂家产品的认真比较和筛选,才形成了该方案。因此,该方案是性价比最好的
44、方案。 高可靠性本方案从物理层到网络层,采取多层冗余的措施,同时在网络设计中对系统结构设计、网络设备选型等方面作了严格选择。方案选用的网络产品的平均无故障时间可达到7万小时以上,这是网络可靠运行的重要保障,网络设备可靠性非常高。除在物理层采用冗余备份外,在第二层采用快速通道技术(FEC)和扩展树算法(Spanning Tree Per VLAN)技术为客户端提供备份冗余及负载共享。Fast Ethernet Channel 和Gigabit Ethernet Channel支持冗余链路的负载共享,提供有效的链路带宽。Spanning Tree Per VLAN技术,提供VLAN Trunkin
45、g的负载共享和冗余备份。OSPF/EIGRIP可靠的路由选择功能能够寻找性能最佳的路径并绕过网络故障快速实现路由通信。收敛时间非常短,即当设备出错时,能迅速发现错误并接管其工作。同时,采用HSRP能为VLAN提供路由设备的冗余,自动实现热备份。 易管理华为公司的HS通用安全平台软件能够用于对华为设备进行管理,用于分析网络流量、查找网络故障。 高可扩展性网络设计具有层次结构,具有良好的可扩展性,用户能灵活地接入到相应的层次当中。网络系统具有良好的、能互操作的路由协议,如OSPF、EIGRP、BGP4等,能实现网络规模的巨大扩展。支持多种网络协议,如IP、IPX、AppleTalk、DECnet等
46、等,增强网络的支持能力。Fast Ether Channel 及 Gigabit Ether Channel可将交换机、路由器升级成更高性能的产品。华为 ISO软件版本升级可经过方便地完成,实现平滑升级。华为IOS可提供高度的灵活的扩充性服务。IOS的可扩充路由协议能够避免不必要的拥塞、突破固有的协议限制以及冲破互连网络的范围和地域分布带。能够建立一个可随着网络需要的增长而增长的灵活的可扩充的软件环境。 标准化支持IP国际标准。如ICMP、ARP、RARP协议支持VLAN的ISL、802.1Q协议,支持各种方式的VLAN的划分优秀的操作系统IOS,以其良好的性能已成为事实上的工业标准支持X.25、DDN、帧中继等广域网的连接支持新的IPV6标准(四) 计算机网络系统机房供电和接地1.机房的供配电系统机房供电来自智能建筑中的变电所,而变电所的外电源主要来自城市电力网。依据当地供电部门提供的外线供电方案,在建筑内设计的10kV 变电所
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100