医院网络规划建议

大学人民医院网络规划建议

人民医院在HIS系统升级的同时有必要进行网络的全面升级，以保证全系统的稳定、可靠、安全运行，避免由于网络瘫痪和延时造成HIS系统的不稳定。

在网络的设计方面我们提出的设计模型，其设计思想是建立在保证网络稳定性与可靠性及冗余备份基础之上的，并充分利用了Cisco网络设备的领先技术，可以为HIS软件系统提供稳定的运行环境以及可扩展的高带宽传输。以下是就网络模型的简单描述：

该网络的核心采用两台Cisco Catalyst 6509交换机，建立冗余的核心路由、交换矩阵，其配置根据HIS系统业务流量选择平衡（相同配置的双机）结构。由于人民医院HIS系统配有大量服务器，平衡配置的双核心交换机将使业务流量均衡的分配在其上，这样将充分利用两台核心的处理能力，也会使下联汇聚层交换机的链路带宽得到充分的发挥，因此选择平衡配置的双核心交换机，并利用GigaChannel技术在两交换机之间建立8G~16G（4~8条线路）的无阻塞通道，保证两台核心交换机之间的大量数据的传输。

网络汇聚层根据级联设备的数量以及流量分配有选择的配置三层交换机。对于关键业务以及数据传输量较大的部门除配置普通Cisco Catalyst 2950系列二层接入交换机以外还可配置一台Cisco Catalyst 3550系列路由交换机，通过千兆光纤分别连接两台核心交换机，这样不仅可以提供2G的传输带宽，而且当任一核心交换机宕机时接入交换机仍然可以连接HIS系统主机，以此有效的保证全院PC机与HIS数据库之间的不间断访问。

网络中的HIS主机集群系统同时连接两台核心交换机，可以避免系统主机和网络核心单点故障的同时发生，使全系统具备更高的可靠性，保证医院关键业务的无间断处理能力。其它专业应用服务器可根据使用情况直接接入核心交换机，以提供较高的访问带宽。

通过如上网络结构的设计不仅可以使本院网络系统更加可靠、稳定，而且可为今后的医疗信息化改造建立坚实的网络基础。网络核心Cisco Catalyst 6509交换机可以提供720G 的背板带宽以及400M的包转发率，完全可以满足日后PACS系统应用的要求；对于服务器不断扩容的需求，该交换机还可提供七层容交换模块，起到负载均衡的作用，使三层结构HIS系统中的中间件服务器运行更加稳定；同样对于医疗信息系统将要面对的海量存储问题，该交换机也可以提供包括CWDM和10G Ethernet技术在的全面解决方案，保证系统对在/近线存储的带宽要求。汇聚层Cisco Catalyst 3550三层交换机可以灵活的为网络提供多种服务，包括访问控制列表（ACL）、QoS、802.1X、EtherChannel等技术，对于保证网络的安全、带宽等都具有实际应用价值，并为今后网络系统扩容提供对投资保护。

大学人民医院网络系统升级的主要技术优势可以概括如下：

一、核心双机网络拓扑结构优势：

1、双机网络系统具备更高的可靠性；

2、双机可根据业务量需求提供负载分担；

3、网络系统扩展可以更加灵活；

二、汇聚层引入三层交换机的优势：

1、在汇聚层和核心层可以启用动态路由（如：RIP或OSPF），这样可以提高收敛速度（动态路由协议收敛速度小于15秒，而SPANNING-TREE协议的收敛速度为60-120秒）；

2、通过路由策略使汇聚层的三层交换机分担部分VLAN间流量，以减轻核心交换机的负载；

3、汇聚层三层交换机可以有效防止广播风暴，并部分阻断类似BLASTER病毒所造成的大流量端口攻击；

附：人民医院网络规划中应考虑的几个问题

一、网络认证管理

通过对人民医院现有网络状况的分析，我们设计的网络认证模式将融合现有的“域”和“IEEE 802.1X”两项技术，针对连接HIS核心数据库的用户进行“域+802.1X”的双重认证，而对于一般接入用户只进行“802.1X”认证。以上的认证方式虽然较为复杂，但是全面的认证管理不仅可以切断非医院部人员的非法接入，而且可以简化对网络故障（病毒）源的排查，从而为人民医院的整个网络提供安全可靠的管理。以下对802.1X技术的分析可以更加明确该认证形式对人民医院网络的适用性

1、802.1X认证协议介绍

802.1X是一个崭新的通用认证协议，是一种对用户进行认证的方法和策略。它是基于端口的认证策略（这里的端口可以是物理端口也可以逻辑端口）。802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。

2、802.1x认证体系结构

802.1X的认证体系分为三部分结构：

A、Supplicant System，客户端(PC/网络设备)

Supplicant System—Client（客户端）是—需要接入LAN，及享受switch提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-Complain，Windows XP。

B、Authenticator System，认证系统

Authenticator System—Switch（边缘交换机或无线接入设备）是—根据客户的认证状态控制物理接入的设备，Switch在客户和认证服务器间充当代理角色（Proxy）。Switch 与Client间通过EAPOL协议进行通讯，Switch与认证服务器间通过EAPoRadius或EAP 承载在其他高层协议上，以便穿越复杂的网络到达Authentication Server（EAP Relay）；Switch要求客户端提供Identity，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同；Switch根据认证结果控制端口是否可用。

C、Authentication Server System，认证服务器

Authentication server—（认证服务器）对客户进行实际认证，认证服务器核实客户的Identity，通知Swtich是否允许客户端访问LAN和交换机提供的服务Authentication Sever接受Authenticator传递过来的认证需求，认证完成后将认证结果下发给Authenticator，完成对端口的管理。

3、802.1X认证服务实施

如图所示：用户PC作为802.1X的客户端Supplicant，与之直接相连的接入交换机作为认证者Authenticator，认证点发生在与用户直接相连的端口上，接入交换机与Radius 服务器通过EAPoRADIUS完成对用户的认证。这种方式在最大限度上保证了网络的安全，用户只有在完成了认证后，才能对网络产生流量。采用这种方案时，由于对用户接入网络的控制和认证是在第二层完成的，因此第三层的IP地址分配还可以通过DHCP服务器来分配（两种网络服务相互不会发生冲突），并可通过与MAC地址的绑定实现更高级别的安全管理。由于在802.1X认证通过之前用户不能对网络产生流量，因此也可以将Deny of Service 攻击风险降到最低。

4、802.1x认证的主要认证特点是：