IT基础架构建设解决方案

IT基础架构建设解决方案

目录

1整体架构设计 (3)

1.1综述 (3)

1.2内网架构设计 (4)

1.3外网架构设计 (6)

1.4无线网络架构设计 (7)

1.5信息点统计表 (7)

2网络及安全方案设计 (9)

2.1网络虚拟化设计 (9)

2.2安全虚拟化设计 (10)

2.3虚拟交换机设计 (12)

2.4数据库审计设备 (13)

2.5防火墙设备 (14)

2.6入侵防御设备 (15)

2.7运维堡垒机 (16)

2.8互联网出口 (17)

3业务系统虚拟化方案设计 (18)

3.1刀片服务器设计 (18)

3.2计算虚拟化设计 (20)

3.3数据中心管理设计 (31)

4综合管理系统设计 (33)

4.1网络管理设计 (33)

4.2业务监控设计 (40)

4.3终端管理设计 (41)

5无线系统设计 (45)

5.1无线标准选择 (45)

5.2无线医疗业务 (45)

5.3病房区域无线覆盖设计 (48)

5.4门诊区域无线覆盖设计 (48)

5.5内网认证方式 (49)

5.6外网认证方式 (49)

6产品清单 (49)

1整体架构设计

1.1综述

如上图所示，为本次项目整体架构示意图。分为内外及外网两个部分。两张网络之间通过H3C SecPath F1070综合安全网关进行隔离防护，只允许有权限的业务访问。内外主要用于医院内部业务系统的支撑，包括网络设备，存储系统，服务器设备。外网主要用于医院进行对互联网的访问以及连接省市医保专线。内网设计原则为千兆到桌面，万兆骨干的方式。外网设计原则为千兆到桌面，千兆骨干的方式。内外之间通过千兆以太网链路连接到综合安全网关。设计方案将依据《XXX信息化系统建设要求》及《河南省数字化医院评审标准》进行设计。原则上符合上述两个文件的指导精神。

1.2内网架构设计

内部网络核心交换机为两台H3C S7506E核心交换机，单台配置冗余主控，冗余电源模块，3块16端口万兆以太网光接口模块，1块24端口千兆以太网电接口+4端口万兆以太网光接口模块，配置相应光模块及连接电缆。万兆链路用于连接

楼宇接入交换机，连接刀片服务器系统，连接存储系统。通过万兆链路实现IRF2虚拟化互联，支持跨设备的链路聚合技术。通过千兆以太网电接口连接H3C

F1070综合安全网关。

楼宇接入交换机为H3C S5130-EI系列交换机。根据弱电分布图（见本章节末统计表）的统计情况，本次项目共计34个弱电井，每个弱电井对应的信息点不尽相同。共计使用H3C S5130-52S-EI交换机15台，H3C S5130-28S-EI交换机26台。每个弱电井内部署1台上行交换机，采用两个万兆以太网光接口分别上联至两台核心交换机。通过跨设备的链路聚合技术，达到上行链路带宽20G，故障切换时间200ms的最佳冗余配置。H3C S5130-52S-EI交换机单台提供48个千兆以太网电接口，4个万兆以太网光接口。H3C S5130-28S-EI交换机单台提供24个千兆以太网电接口，4个万兆以太网光接口。配置相应数量光模块。每个弱电井其余交换机均采用万兆电缆连接至上行交换机

业务服务器采用1台H3C UIS 8000刀片式服务器，搭载4台B390服务器和2台B590服务器。B390服务器单台配置2个E5-2620v3 CPU（主频2.4GHz，6核心），64GB高性能内存，2块300GB-10K硬盘，2个10GE Flex Fabric网卡。Fabric网卡支持1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。B590服务器单台配置2个E5-4620v3 CPU（主频2.2GHz，8核心），32GB高性能内存，2块300GB-10K 硬盘，2个10GE Flex Fabric网卡。Fabric网卡支持1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。B390服务器配合H3C CAS虚拟化系统，完成医疗应用业务的承载，B590服务器配合H3C CAS虚拟化系统，完成应用数据库业务的承载。

H3C UIS 8000刀片服务器机箱搭载两块OA管理模块，10个航空级冗余风扇模块，6个航空级冗余电源模块，1+1冗余管理模块，2个FlexFabric 10 24端口刀片系统的VC模块。VC模块配置有8个万兆上行端口和16个万兆下行端口。上行端口直接连接到核心交换机，下行端口通过无源背板连接到刀片服务器。2个VC 模块之间通过内部端口互联，实现冗余保障。VC模块支持1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽，实现灵活的业务链路部署。

存储系统为一套H3C FlexStorage P5730 IP存储系统。配置有25个900GB 10000转SAS硬盘，4个千兆以太网电接口，2个万兆以太网光接口。可用空间为

22.5TB。存储系统用于实现核心业务数据的存储以及虚拟化业务系统的共享存储。存储系统通过万兆以太网链路直接连接到核心交换机，实现同业务系统之间的数据交互。

业务系统承载于H3C CAS 虚拟化管理系统之上。H3C CAS虚拟化管理系统融合了计算、网络、存储资源的虚拟化，形成弹性的数据中心资源池，实现资源的自动化调度，更好地为上层应用服务。通过虚拟化后，虚机之间为完全隔离状态，具有独立CPU、内存、磁盘I/O、网络I/O，即任何一个虚机发生故障时，同一物理机上的其他虚机不受其影响，每个虚机具有独立的用户管理权限，可安装独立操作系统，不同虚机间操作系统可以异构。完全基于B/S架构的管理控制台，不仅让您轻松组织和快速部署整个IT环境，而且还能对包括CPU、内存、磁盘I/O、网络I/O等重要资源在内的关键元件进行全面的性能监测，为管理员实施合理的

资源规划提供详尽的数据资料。H3C CAS虚拟化管理系统为虚拟机中运行的应用程序提供简单易用、成本效益高的高可用性功能。硬件故障导致的服务器或虚拟机宕机再也不会造成灾难性的后果，H3C CAS提供的资源智能调度能力会自动重新为这些服务器或虚拟机选择最佳的运行位置。

认证管理方案，采用H3C EIA终端智能接入组件为内网用户提供接入认证。限制用户随意进入内网，符合等保要求。本次项目中，认证系统采用Portal认证

方式，Portal网关部署于核心交换机。为每用户提供账号与口令，绑定IP地址，

绑定MAC地址，实现统一接入认证。Portal认证方式也非常适合于无线医疗终端接入到网络中，为日后医院实现无线医疗全覆盖打好基础。

为保证内网信息化安全，符合数字化医院对于信息安全建设要求，为内网部署堡垒机以及数据库审计系统。通过千兆以太网电接口的方式直连核心交换机。堡垒机用于日常运维审计管理平台，记录运维行为，统一对账号进行管理。数据库审计系统用于对数据库的操作进行安全防护及记录审计。上述两套系统配合使用，实现医院日常业务管理的同时，可以兼顾“反统方”工作的开展。

1.3外网架构设计

外网核心交换机为1台H3C S7506E-S核心交换机。单台配置冗余电源模块，冗余主控模块，1块48端口千兆以太网电接口模块，1块48端口千兆以太网光接口