xxxx局域网建设技术建议书.docx
- 文档编号:7845499
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:58
- 大小:534.95KB
xxxx局域网建设技术建议书.docx
《xxxx局域网建设技术建议书.docx》由会员分享,可在线阅读,更多相关《xxxx局域网建设技术建议书.docx(58页珍藏版)》请在冰豆网上搜索。
xxxx局域网建设技术建议书
xxxx局域网
技术建议书
华为3COM技术有限公司
2004年10月17日
1、概述3
1.1xxxx网络建设背景3
1.2xxxx局域网建网需求5
1.2.1一般建网需求5
1.2.2xxxx建网需求6
1.3建网原则7
2、总体网络设计8
2.1组网描述8
2.1.1环网冗余设计10
2.1.2各楼内交换机的说明13
2.1.3组网优势13
2.1.4网络建设风险分析16
2.2组网用核心设备介绍16
2.2.1高可靠性的高端路由器交换机16
2.2.2功能强大的核心层三层交换机17
3、详细网络组网设计18
3.1VLAN设计18
3.2Qos设计20
3.3安全设计21
3.4IP地址规划和路由策略22
3.5xxxx认证计费(CAMS)23
3.5.1用户认证23
3.5.2计费管理25
3.5.3综合访问管理服务器CAMS25
4、业务解决方案27
4.1远程医疗27
4.4组播业务33
5、网管解决方案33
5.1Quidview网管解决方案33
6、安全解决方案35
6.1、用户严格隔离36
6.2、用户唯一标识36
6.3、防止对DHCP服务器的攻击36
6.4、恶意用户追查37
6.5、防止用户Proxy代理37
7、售后服务体系37
1华为3com公司售后服务保障体系37
2技术服务38
3维护和保修39
4备品与备件40
5软件升级40
8、附件41
8.1S8505核心路由交换机41
8.2S3050C接入交换机47
8.3S3026C54
8.4华为i3安全网络解决方案60
8.5华为数据通信厚积“博”发64
1、概述
1.1xxxx网络建设背景
随着全社会信息化进程的快速发展,医疗卫生领域的信息化、现代化的要求也越来越迫切。
目前建设网络化大医疗体系结构的呼声越来越高。
网络化大医疗是建立在现代网络技术上的“以人为本”和“不断创新“的医疗服务体系。
医院是这个体系中极其重要的一环,因此目前我们xxxx的网络改建时也需要考虑到这一块领域的发展。
网络化大医疗体系对我们的网络建设提出了以下需求:
◆提高效率,降低成本
•全流程的网络化管理
•实时的运营状态监控
•无边界的信息传递
◆信息共享,提高医疗水平
•远程医疗,信息共享
•电子化医学教育
•居民健康档案
•网络转诊
◆医疗服务水平提升
•人性化的医疗服务
•国民健康监控和管理
◆业务创新
•崭新的医疗服务种类
•便利的医疗服务过程
•不断提升的医疗业务水平
卫生部于2002/5/28日出台《医院信息系统基本功能规范》,制定了全国医疗信息化建设的统一技术标准,评审开发商的产品和解决方案的依据和标准和医院信息化建设的指导性文件。
指出医院信息系统应该包括临床诊疗、药品管理、经济管理、综合管理与统计分析等部分。
详细规定了:
门诊医生工作站分系统、护士工作站分系统、医学影像分系统、药品管理分系统等的功能规范。
对医疗信息系统与医疗保险、社区卫生服务、远程医疗咨询系统的外部接口规定了统一标准。
医院信息化包括管理信息化、临床管理信息化、局域医疗卫生服务信息化三个阶段。
目前大多数医院停留在医院管理信息化阶段,需要将化验自动化-》信息化;
医院的HIS系统包括:
医院管理信息系统(MIS)、临床信息系统(CIS)、医学影像和通信系统(PACK)、办公自动化系统(OA)。
医院信息化即医院信息系统(HIS)建设将经历三个阶段:
医院管理信息化阶段(HMIS)、临床管理信息化阶段(HCIS)、局域医疗卫生服务阶段(GMIS)。
医院信息化系统的结构如下:
1.2xxxx局域网建网需求
1.2.1一般建网需求
局域网的建设涉及到基础网络设施的建设和业务应用平台建设两个不同的层面。
此处主要分析网络基础设施建设和网络运营方面相关的内容。
医疗局域网络建设从网络流量模型上看和企业网的流量模型相似,用户集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。
主要特点如下:
1、多出口的需求:
典型的组网有中国教育和科研网(CERNET)出口和运营商网络出口。
多出口带来了以下两个需求:
1)多权限ISP需求。
用户可通过不同的账号名或采用相同的账号,不同的域名认证,获得不同的上网权限。
譬如做到用户不认证前能自由访问局域内部分服务器,采用“user@163”登录,可实现Internet和局域网络自由访问,采用“user@crenet”登录,可访问CERNET和医院局域网。
用户域名选择可通过WEB认证时用户通过选择WEB认证上的相应选择项进行选择。
2)多ISP分别计费的需求,对应不同的ISP,计费策略不一致。
2、用户管理的需求:
1)使用方便,存在WEB认证需求。
要求能做到基于WEB的身份认证、多ISP选择、W用户费率查询、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。
2)需要解决账号和端口绑定问题。
通过此种方式限制账号的使用区域。
3)对用户带宽进行控制的需求,要求设备能对用户的带宽进行控制,譬如限制为256K、512K、1M、2M、5M、10M等等级。
3、以网养网的需求:
如何使现有网络具有自我造血机制成为将会成为未来网络关心的问题,而只有具有自我造血机制才能使网络更好的发展,不断的完善。
xxxx是同时也是一个医疗机构可以开展远程医疗服务收费。
医院拥有丰富的教育资源,并且是公众教育的主要支撑力量。
基于网络开展有偿的资源提供正成为目前公众教育的主要形式。
这样不仅盘活了现有资源将医大二院的先进技术加以推广,更适应了教育产业化发展的趋势,通过有偿服务推动公益教育的发展。
4、安全管理的需求:
目前网络的安全问题越来越受到业内人士的关注,尤其是我们目前所要建设的网络将会关系到人民的生命健康。
网络的安全性,稳定性更加应当关注。
5、NAT的需求:
假如没有公网IP地址或地址不够,另外,因为教育网地址用户报文在通过运营商网络边界路由器时不被信任或运营商地址用户报文在通过教育网边界路由器时不被边界路由器信任,会造成部分Internet网站不可访问。
解决此问题的措施需要在运营商或教育网其中一个出口做NAT,对此出口屏蔽内部路由。
6、组播业务的需求,特别是可控组播的需求将随着医疗信息化的深入而体现出来。
医院信息化即医院信息系统(HIS)建设将经历三个阶段:
医院管理信息化阶段(HMIS)、临床管理信息化阶段(HCIS)、局域医疗卫生服务阶段(GMIS)。
1.2.2xxxx建网需求
xxxx是一所大型综合性医院,医院院内有包括办公楼、门诊楼、病区楼、住院楼、保健楼等多座大楼。
各楼间已经布完了多模光纤,在各楼层间六类双绞线也均已布完。
根据今后我们xxxx的发展需求,目前我们的网络应该具有高带宽、高可靠、高性能、高安全的特性。
骨干速率达到千兆同时应该具有向更高速率平滑扩容的能力。
网络关键节点能够冗余热备保障系统连续稳定运行。
使新建成的网络能够很好的为上述提到的医疗网络化建设服务。
符合国家卫生部对医疗机构实现三步信息化的要求。
新建的局域网将为各种应用和服务提供更快的速度、更高的质量和性能,并为新的信息应用系统提供可靠的网络平台,提高我们医大二院的服务质量和经济效益。
1.3建网原则
现在医疗网络建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现临床诊疗、药品管理、经济管理、综合管理与统计分析的自动化,同时因为我们xxxx同时也能够实现教育管理、多媒体医疗、而且还要通过Internet实现远程医疗,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对医疗网业务需求的深入理解,结合自身产品和技术特点,华为3com公司推出了了完善的大型医院网络解决方案,为大型医院提供“高安全、高可靠、可管理、可扩展、全业务”的精品网络。
医院网络建设遵循以下基本原则:
∙网络的标准化和易扩展性--网络的结构,技术和产品的标准化,结构的易扩展,技术和产品的可连续性。
∙网络的可靠性--设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,网络中单点故障不会使局部网络失去与整个网络的连接,多点故障不会造成整个网络被分成几个互不相连的部分。
∙网络业务的适应性--适应多业务发展需求,提供高质量的可服务于图象,话音,数据的业务网。
∙网络路由协议的健壮性及开放性--它应具有很好的收敛性和可扩展性,同时其网络额外开销是极小的,且受到国际标准的支持,保证不同设备见的互通性。
∙网络的易管理和维护性--全网可进行统一或分布管理,网络维护简单有效。
∙网络的实用性--根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
∙网络安全性--是指防止非法访问者通过互联网络对网络节点进行攻击的能力。
从网络设备来讲,防止外部攻击主要靠路由器实现,华为3com路由器在这方面具有独到的优势。
华为3com路由器的全部软件及硬件均为公司自行开发研制,具有完全的知识产权,配合完善的防火墙技术,提供安全路由器的解决方案。
内部局域网的安全则主要依靠划分VLAN来进行隔离,华为3com系列以太网交换机产品均支持VLAN。
∙可扩充性-考虑到今后信息化的进程和逐步演进,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
∙开放性-技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
∙经济性-应该充分的利用现有的网络资源,充分考虑经济和安全的最佳结合点。
设备在保障性能和可靠安全的基础上,应能达到最佳性价比。
2、总体网络设计
2.1组网描述
根据业务要求对于大型的医疗机构,我们认为今后的网络结构将发展成如下的结构:
该网络具有以下的突出特点:
●高性能,高可靠,高密度,高带宽
●系统安全,保密性高
●综合的网络管理
●灵活扩展,投资保护
●有线无线一体化
●数据、视频、语音三网融合
本解决方案网络分为三个层次,核心层、接入层。
为实现各栋大楼内的高速互联,核心层采用2台华为3com电信级可靠的S8505多层万兆核心路由交换机,千兆骨干,并基于S8505构建了xxxx网络中心,成为整个大楼应用的核心。
S8505最大支持20个10GE端口、240个GE端口,支持全光口模块,方便实施远程千兆汇聚;提供全线速的二三四层交换及第四层业务服务,可作为网络的核心交换、业务控制和冗余控制平台。
在接入层,选用华为S3026C和S3050C可堆叠10/100M到桌面,千兆上行的快速以太网交换机作为用户的接入设备,实现GE到各栋大楼,10、100M到桌面。
考虑到网络的先进性和完整性,在医院内的热点地区,如多媒体教室、会议室采用华为3com公司的WLAN无线局域网产品构建了安全、可靠的无线局域网。
华为3comQuidway系列产品支持统一的网管平台,通过华为Quidview网管软件综合网管平台,可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。
同时采用CAMS综合访问管理服务器完成了网络用户的认证,计费和管理。
该网络具有高可靠、高性能、高可扩展性。
高可靠体现在S8505是华为3com电信级网络设备,模块化,全分布式体系结构,基于高速ASIC技术,双主控板、双管理总线,1+1电源备份、风扇备份、所有单板可热插拔;高性能体现在S8505所有端口(包括满配10GE口)全线速转发,转发性能达357Mpps,S3050C/S3026C千兆上行,整个局域网为千兆骨干,百兆到桌面的全线速无阻塞网络,可满足医院在未来5-10年的业务发展对网络设备性能的要求;高可扩展性体现在S8505为全模块化结构,可灵活接插模块,最多可支持240个GE口,初期在业务量少的情况小,配置少量模块,随着业务量的增多以及网络新业务的要求(如WEBSWITCH)再配置相应业务模块。
xxxx局域网解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统等为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
目前xxxx已经有的光纤资源较丰富,从安全角度出发建议新的网络采用环网冗余设计。
2.1.1环网冗余设计
采用环形结构以保证通过链路层实现在两条GE链路上的负载分担和冗余备份。
与S8505连接后,其逻辑结构示意如图1所示。
图1.楼层接入逻辑结构示意图
我们为每一个接入汇集点设计了两条千兆上行链路,并将属于同一个接入点的接入分派给了两台S8505交换机,从图上可以看出,通过核心设备S8505之间的互联以及汇集点设备之间的千兆(光接口)互联,每一个汇集点实际上具备了一个骨干物理线路上的环状结构,我们正是通过这个环形结构来为每一个通过该汇集点接入骨干网的工作组用户提供链路冗余和骨干自愈功能。
这样的结构我们需要回答这个问题:
为什么要采用环状组网,如何避免广播风暴的影响?
在传统的基于广播式局域互联设备组建的网络中,物理线路的环回是必须要避免的。
其实,对于任何基于以太网技术构建的不论是广播式还是交换式网络来说,逻辑上的环回都是需要杜绝的,但需要注意的是,我们需要避免的是在第二层(链路层)可能产生的逻辑环回,并不是物理层的环回连接。
在这个对于单个接入汇集点S3050C――S8505-1――S8505-2――S3050C的物理环回结构中,通过对IEEE802.1DSTP(生成树协议)以及RSTP(快速生成树协议)的支持,我们可以设置策略并最终保证按照需求在链路层形成我们所希望的树型拓扑,例如图2所显示的红色的叉,表示在链路层,这条道不通。
在骨干网络任何一个节点、线路出现故障时,物理上的环状结构都将发挥其充分的冗余和RSTP所产生的快速自愈的优势。
基于这个物理上的环状结构,我们首先需要确定在绝大多数情况(链路、设备正常)之下我们所希望的数据流向。
我们利用STP/RSTP协议,将两台核心交换机中的一台设置最高优先级,即担当“树根ROOT”的角色,另一台其次,随时准备在“树根”出现的故障时在新一轮的竞争中被选举为ROOT。
所有的骨干千兆链路有相同的优先级设置,而接入汇聚点两组设备之间的FE链路被赋予了最低的优先级,所以,在通常网络环回的情况之下,这条链路两端的端口被自动处于了“阻塞”状态,阻塞状态对于第二层数据转发来说等于断路(STP本身的BPDU除外)。
关于生成树协议的相关信息请参考相关文档资料。
通常情况下,工作组用户通过本身接入的汇聚点直连GE链路上行到核心交换设备,服务器访问流量通过核心设备进入服务器VLAN子网,如图中红色虚线所示,主机A、B处于同一个楼层的相同区域,通过不同的设备组接入,访问NotesSever的数据流向分别通过各自设备组的GE链路上行。
可见,同一个区域的用户访问可以实现在两条上行链路上的负载分担。
同时,分布在不同楼层的同一个VLAN主机之间的互访如图中蓝色虚线所示,在两台QuidwayS8505核心交换机之间通过两条GE链路捆绑成为一条GETrunk链路,通过这两条负载分担的GE链路实现核心交换机之间的互联和冗余。
正如现在我们所联想到的,由于分布式VLAN端口的存在,所有的骨干线路端口都应该工作在VLANTrunk(Tagged)模式之下。
当接入汇聚点的某一条上行链路出现故障时情况会怎么样呢?
。
可以看到,在GE链路
(1)出现通信故障时,所连接入设备下的用户A的数据访问可以在5秒以内(此时间用户可以自行设置得更小)转换到FE链路,然后通过GE链路(3)上行到核心交换层,而分布式VLAN用户也可以通过此通道访问其他楼层区域的同VLAN用户。
由于接入汇集点骨干链路出现故障,两边的数据访问集中到一条GE上进行,由于接入交换机间带宽为1000M,所以对非故障接入组固定用户和故障接入组下方的用户访问在通常流量的情况下都不会造成明显的影响。
按照这样的结构,局域网即使在1条骨干链路断连的情况下仍然能够保证用户的连通性和除并发多媒体以外的办公业务的开展。
在骨干链路恢复后,系统通过STP/RSTP可自动切回,不需要管理员进行干涉。
最坏的情况如图5所示,某一台骨干交换机完全失效或者被断电,这时,基于环状结构的网络仍然能够保证连通性情况完全相同,只是数据通路出现了变化。
当然,华为3com公司S8505的结构设计使得某一台S8505核心交换机完全出现故障的情况非常少见,但在拓扑设计中,负载均衡的同时,充分的拓扑保护设计仍然是非常必要的。
需要说明的是,如果接入层通过一台设备完成,那么将无法实现两条GE的负载分担,即:
到达每一层的光纤中,始终有一条是空闲的。
我们设计的原则是骨干链路数=接入设备组数,就可以通过RSTP以及STP等标准技术实现可靠而高效的第二层负载分担和冗余。
2.1.2各楼内交换机的说明
S3050交换机为48口交换机可以星型堆叠也可以进行菊花链堆叠。
交换容量18.5G,包转发能力达到10.1MPPS,而且具有丰富的业务特性和强大的QOS能力,能够支持今后网络应用的开展。
在信息点较少的点可以采用3026交换机。
信息点较多的可以采用堆叠,每台或每堆交换机出一个GE口分别同每台汇聚交换机8505连接,组成环网。
增加网络系统的健壮性。
2.1.3组网优势
*可靠性设备的可靠性——网络中所涉及的网络设备,采用了电信级的高可靠设计。
华为3com公司是中国最大的网络设备制造商,有多年电信级设备的开发制造技术积累,对可靠特性支持有独到之处。
我们选择的QuidwayS8505核心交换机提供主控、交换引擎完全分离并且独立备份的方式,电源最多支持到1+1备份,管理总线双备份,并且主备切换实现完全实时,网络应用不会出现中断。
同时,在网络结构设计中,我们也将采取多项冗余措施,例如骨干连接相互冗余、负载分担等。
*可扩展网络带宽的可扩展性:
华为3com公司的交换机产品支持百兆、千兆端口的带宽汇聚(TRUNK),在投资和光缆资源允许的情况下,现有建议的网络设备平台可以增加核心节点及二级节点间的带宽分别至4Gbps和2Gbps。
网络互连的可扩展性:
由于IP交换技术为非面向连接的技术,网络的扩展表现为IP子网或VLAN的增加,华为3com公司以太网产品支持国际标准的IEEE802.1Q以及相关的VLAN动态注册协议,如GVRP、VTP等等,可以实现在边缘增加VLAN后,中心以及其他交换机不需任何配置就可以自动学习到新的VLAN。
*灵活网络平台采用华为3com公司VRP(通用路由平台)网络操作系统,该系统平台是华为3com公司数据产品的通用操作系统。
集成了路由技术,局域网交换技术,ATM交换技术,各种移动远程访问接入技术,广域网互连技术,IBM/SNA网络互连技术等超过15,000个网络互连功能。
系统支持今天的绝大多数网络应用系统,同时可提供从数据链路层到应用层的多种网络服务,如:
L2/L3VPN(虚拟专网),以及对传统第二层网络(X.25/FrameRelay)服务的支持。
*安全
方案中采用多种安全策略:
1)网络路由信息交换安全策略:
包含网络设备的认证,路由信息过滤,多种动态路由协议信息交换控制等。
2)网络服务安全控制:
包含标准访问控制列表(ACL),扩展的访问控制列表(ExtendACL),动态访问控制列表(RefliexACL),按数据流的访问统计和监控(Netflow),网络资源访问用户认证/授权和记帐(lock&key)。
网络攻击防范:
可通过对网络访问连接的监控和分析,发现可能出现的网络攻击,如SyncAttack等,并采取相应的的控制手段保护网络资源。
网络系统告警(Syslog):
网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警,提醒网络管理人员及时发现问题并采取相应安全策略。
设备安全:
网络的各种安全策略的实现均基于网络设备的安全设置,这使得网络设备本身的安全控制显得尤其重要。
网络设备本身具有多种访问控制安全策略:
1)多级访问控制密码:
网络中各设备访问控制可通过15级不同的访问权限,网管人员可设置不同的访问权限。
如:
普通操作员只能监视设备运行,不可进行其他操作;高级的管理员可做故障诊断,不可修改设备配置文件;系统管理员可具有所有功能权限等。
2)网络管理系统的安全控制:
由于本网络中网络管理系统采用标准的SNMP网络管理技术,因此网络设备的网管可能出现漏洞。
本网络中的网络设备可提供多种保护手段,如:
特别的网管访问密码;由设备指定特别的网络管理工作站系统等。
*易管理维护由于采用TCP/IP协议这种非面向连接的网络层互连协议,网络的管理重点在于网络的结构化设计。
整个网络的服务提供均建立在一层次化方式,也就是当新的用户接入到网络之中不会影响网络的骨干,管理人员只需在相应接入设备做相应的配置即可,因此网络管理简单、高效。
*网络对QoS的支持、QudiwayS8505、S3050、S3026提供丰富的Diffserv/QoS支持,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能,真正做到业务区分并保证带宽/时延/抖动在限定的范围之内,使网络可以为办公以及业务用户提供具有不同服务质量等级的服务保证,使骨干网真正成为同时承载业务、数据、语音和视频业务的综合网络。
*网络对IPMulticast的支持
S8505、S3050支持IGMP的第一版和第二版,并支持PIM协议的松散及密集模式。
*严格的QOS保证
通过Diffserv与端口限速功能,实现基于业务的QoS保证,防止网络受流量攻击导致瘫痪。
提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能
CAR的范围和精度:
平均流量范围(上行和下行)128K~50M,流量控制粒度128Kbps;峰值流量范围(上行和下行)128K~50M,流量控制粒度128Kbps。
*统一的分权网管
全网设备统一管理,并且可以根据管理权限对校园网上设备进行分级实时监控。
实现拓扑管理
图形化操作界面,使用方便
方便的远程配置维护管理
实时声光报警
中文操作系统,符合国人使用习惯
2.1.4网络建设风险分析
在当今现有的快速网络技术中,快速以太网技术即100Base-T,由于可以提供更高的带宽和缩短客户机/服务器应用的响应时间而成为首选。
建立在使用广泛和10Base-T以太网基础上的快速以太网技术提供了一个可以平滑、自然地迁移到100M环境的选择。
随着越来越多的桌面PC以100M的速度与服务器相连,必然会要求网络主干和服务器有更高的网络连接速度。
而且,这种技术也应是一种平滑的升级方法。
千兆位以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。
千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。
千兆位以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单,例如保留以太网的帧格式、管理工具和对网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xxxx 局域网 建设 技术 建议书