1、 梁山县人民医院综合大楼数据网络技术建议书梁山县人民医院综合大楼数据网络技术建议书二零一一年五月梁山县人民医院综合大楼数据网络技术建议书目 录1 项目简介 .41.1 网络建设目标 .41.2 网络建设原则 .42 网络建设方案 .52.1 网络结构规划 .52.1.1 内网设计 .52.1.2 外网设计 .93 IP 地址规划 .133.1 IP 地址规划原则 .133.1.1 IP 地址规划总原则 .133.1.2 IP 地址规划具体原则 .133.2 IP 地址分配规划 .143.2.1 内网 IP 地址规划 .143.2.2 外网 IP 地址规划 .143.2.3 备用地址 .143.
2、3 IP 地址分配方案 .143.3.1 设备 Loopback 地址的分配 .153.3.2 设备间互连地址的分配 .153.4 网络设备命名规则 .153.4.1 网络设备基本命名原则 .153.4.2 网络设备命名 .164 VLAN 规划 .164.1 VLAN 概述 .164.2 VLAN 的划分 .174.3 VLAN 规划方案 .194.3.1 内网 VLAN 规划 .204.3.2 外网 VLAN 规划 .215 QoS 优化 .215.1 QoS 部署策略 .216 网络管理 .226.1 网元管理 .226.1.1 产品外观 .236.1.2 产品特点 .246.2 安全管
3、理 .266.2.1 集中安全管理 .266.2.2 防火墙设备的管理 .266.2.3 入侵检测设备的管理 .277 设备选型介绍 .277.1 设备选型 .277.1.1 Quidway S9300 系列新一代以太汇聚交换机产品简介 .277.1.2 Quidway S2300 系列运营级接入交换机产品简介 .297.1.3 USG5000 统一安全网关产品简介 .29梁山县人民医院综合大楼数据网络技术建议书7.1.4 NIP1000 网络智能入侵检测系统产品简介 .307.1.5 Secospace VSM 网管系统简介 .317.2 选型产品特点 .317.2.1 Quidway S9
4、300 产品特点 .317.2.2 Quidway S2300 产品特点 .337.2.3 USG5000 统一安全网关产品特点 .347.2.4 NIP1000 网络入侵检测系统产品特点 .357.2.5 Secospace VSM 网管系统产品特点 .367.3 产品规格 .387.3.1 Quidway S9300 系列交换机业务规格性能 .387.3.2 Quidway S2300 系列以太网交换机规格特性 .397.3.3 USG5000 统一安全网关产品规格 .417.3.4 NIP1000 入侵检测系统产品规格性能 .417.3.5 Secospace VSM 网管系统产品规格性
5、能 .428 华为服务 .438.1 服务概述 .438.2 华为技术服务架构 .458.3 维保服务实施流程 .468.4 维保服务内容介绍 .478.5 维保服务等级承诺(SLA) .508.6 华为培训组织及培训方式 .52梁山县人民医院综合大楼数据网络技术建议书1 项目简介1.1 网络建设目标梁山县人民医院综合大楼网络建设项目的总体目标是建成一个技术先进、稳定高效、安全可靠,具有较高可维护性和管理性的以太网。该网是企业内部网与外部网络分割,外网通过防火墙可以与国际互联网链接。内网和外网采用物理分离的方式,内网主要承载医院的核心业务系统,如 HIS、 PACS 等;外网主要承载辅助性系统
6、,如 OA、管理经济系统、视频监控、IP 语音等业务,同时还承担对外的信息发布和远程医疗的作用。内网和外网之间可以在服务器端进行数据的共享和互通。1.2 网络建设原则梁山县人民医院综合大楼网络目前主要作为办公系统的承载以及就诊人员访问 INTERNET 的平台,将来会发展为全院的信息承载平台,因此,梁山县人民医院综合大楼网络是整个医院信息化的基础网络平台。网络建设遵循以下原则:内、外网均应具有高带宽、高可靠、高性能、高安全的特性,骨干速率达到千兆同时应该具有向更高速率平滑扩容的能力(可根据需要平滑升级到万兆) ,网络关键点能够冗余热备保障系统连续稳定运行,使网络能够很好地为整个医院的医院信息化
7、应用提供可靠的网络平台,提高梁山县人民医院的服务质量和经济效益。 标准性建立一个开放式,遵循国际标准的网络系统。对于所有用到的网络协议,以及接口的电气标准,都将完全符合在中国所应用的国际标准,为将来的扩展消除任何不必要的产品障碍。 技术先进、成熟性选择先进成熟的设备和技术,保证建设完成的网络在 3 年内无需大的改动,技术适应性至少保持 5 年可用。 可用性和可靠性保证汇聚以上的网络中单点故障不会使局部网络失去与整个网络的连接,多点故障不会造成整个网络被分成几个互不相连的部分;核心网络在物理链路中断的情况下,能够自愈保护。 网络安全性对用户进行合理的区域划分,实现对网络用户的访问控制;能有效的抵
8、御病毒的入侵和恶意梁山县人民医院综合大楼数据网络技术建议书攻击,确保网络的安全。 可扩展性网络系统在体系结构、容量、产品升级、处理能力等方面必须为今后的扩充留有足够的余地,保证满足后续扩容的需求,以及梁山县人民医院综合大楼其他系统的需求。 可管理性网络系统具有服务质量的控制机制,通过网管软件管理、监控整个网络系统,并提供标准接口可以连接相关的网络管理平台。 保护现有投资在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级,用作骨干网外联的接入设备。2 网络建设方案2.1 网络结构规划梁山县人民医院综合楼网络,内网和外网采用物理分离的方式,内网主要承载医院的核心业务系统,如 HIS、
9、PACS 等;外网主要承载辅助性系统,如 OA、管理经济系统、视频监控、IP语音等业务,同时还承担对外的信息发布和远程医疗的作用。外网通过防火墙可以与国际互联网链接。2.1.1 内网设计内网系统承载着医院的核心业务,因此,在设计时充分考虑了网络结构的稳定性,同时保证适度前瞻性的需求,采用双星型的拓扑结构,以两台 S9300 系列交换机做核心交换设备,互为冗余热备,通过万兆链路聚合到一起,既提高了两者之间连接的带宽同时又满足了当其中一条链路出问题时,有备份线路。下联 17 台 S2300 交换机及 1 台 S5300 交换机作为接入层,接入层与核心层均以 2G 光纤连接,主备核心设备间以万兆光路
10、互联。1、 降低布设成本2、 可以灵活进行扩容3、 可以在占用较少空间的前提下提供足够的接入端口梁山县人民医院综合大楼数据网络技术建议书4、 S9300 S2300 系列交换机可提供稳定的快速的包交换处理5、 2 台 S9300 系列交换机做核心可提供安全可靠的热备份允余6、 接入层与核心层双链路互联提高了网络整体的稳定性和弹性。另外,在人民医院综合楼网络和医院现有其他内部网络联接时,必须要考虑到彼此的安全性,既要防止综合楼网络受到来自医院其他内部网络的一些病毒、蠕虫、木马等恶意攻击,也要防止综合楼网络中某些用户终端因为各种各样的原因感染了木马、蠕虫、僵尸等恶意程序后,通过综合楼网络出口向整个
11、人民医院内网迅速大范围的传播。因此,必须在综合楼网络出口处部署华为 USG5000 系列统一安全网关并配合华为 IDS 入侵检测系统,为网络提供极高的安全保障。再者,综合大楼网络与医院的数据中心之间,因为存在着大量的重要的数据交换,因此也必须进行相应的安全防护措施。因为华为 USG5000 系列统一安全网关产品具备虚拟防火墙功能,不同的虚拟防火墙可以设定不同的防护规则,即一台防火墙可以模拟出多台防火墙使用,因此就可以使用华为 USG5000 系列统一安全网关并配合华为 IDS 入侵检测系统,同样为综合楼网络与数据中心之间的数据通道提供极高的安全保障。主要作用: 实时监控进出综合楼网络中各种数据
12、报文及网络行为,提供及时的报警及响应机制。其动态的安全响应体系与防火墙等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度,对来自综合楼外部网络和内部网络的各种攻击进行防范。可以利用 IDS 和华为统一安全网关的联动措施,主动更新统一安全网关的规则,主动防御。通过华为统一安全网关的攻击防范能力,保障综合楼网络的资源安全。 提供高效的日志服务功能,可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。 统一安全网关可以工作在透明模式、路由模式,可以满足用户的组网灵活性。 统一安全网关支持双机热备组网,提高链路的可靠性。入侵检测设备 NIP1000 内置强大的 IP 分片功能
13、、智能协议解码器、高效的 TCP 流重组及细粒度的会话分析功能,可以迅速、准确地检测各种攻击行为。同时 NIP 具有 2000 余种入侵特征库,可以检测 DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。NIP 对检测到的入侵企图或违背已设定的安全策略的活动做出实时响应,并提供多种响应方式。包括: 切断与入侵有关的会话。梁山县人民医院综合大楼数据网络技术建议书 通过移动电话发送报警消息。 通过电子邮件发送报警信息。 运行用户指定的应用程序。 在 Windows 操作系统事件日志中记录报警。 将与入侵有关的信息保存在数据库中。 联动防火墙。当有入侵事件发生时,入侵检测系统向防火墙发
14、送消息,防火墙将动态生成规则,阻断入侵者。NIP 提供根据入侵信息发出入侵警报以及限制网络访问等功能,以保护服务器免受外部和内部的攻击。NIP 通过简单易用的管理界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能,提供最佳的策略来增强 Internet 商业环境的安全性。 NIP 特别适用于需要极高网络安全性的机构,例如:审计机构、安全顾问机构、安全法律执行机构、大型企业、Internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。NIP 采用 stealth 技术,有效地防止入侵检测系统的暴露,提高入侵检测系统自身的安全性。组网图如下:内网网络设计统计资料如下:相关配置如下:梁山县人
15、民医院综合大楼数据网络技术建议书1. S9306 核心交换机 2 台(主、备) ,每台设备各配置 1 块 24 端口百兆/千兆以太网光接口和 2 端口万兆以太网光接口板,1 块 48 端口百兆/千兆以太网电接口板,同时配置 40个千兆多模光模块(联接各汇聚交换机及防火墙、IDS)和 2 个千兆单模光模块(联接原有的网络)及 2 个万兆多模光模块。2. S2352P-EI 交换机 17 台,做为接入层设备;每台设备各配置 2 个千兆光模块(1 个主用,1 个冗余) ,用于上联。3. USG5320 统一安全网关 2 台,各配置 4 个千兆光口模块,布置于综合楼网络出口,并做双机热备。4. 华为
16、IDS(NIP1000)入侵检测系统一套,4 个 10/100/1000M 探测端口(两光两电),配置 2 个千兆光口模块。需要配置一台 NIP 控制台服务器。5. 华为 Secospace VSM 网管系统,需要配置一台网管服务器。6. 服务器:服务器型号 性能指标 描述 数量网管服务器 (华为 RH2285)支持1/2 个 Intel Xeon 5500系列双核/ 四核处理器,最高主频 2.93GHz,单颗 CPU 三级缓存最高支持8MB 支持 12 条 DDR3 RDIMM/UDIMM 内存,最大内存容量达 96GB 板载 2 个 GE 网口,支持 TOE 最大支持12个2.5/3.5英
17、寸热插拔 SAS/SATA 硬盘,最高可配置 5.4TB SAS 硬盘,或 12TB SATA 硬盘可选配置 SR100 RAID 卡支持 RAID 0/1/1E 可选配置 SR200 RAID 卡,支持256M 高速缓存,支持 RAID 0/1/10/5/6/50/60数据保护技术,可选 BBU 电池模块提供掉电数据保护。DMS 服务器、采集服务器、报表服务器1NIP 控制台服务器(华为 RH2285)支持 1/2 个 Intel Xeon 5500 系列双核/四核处理器,最高主频 2.93GHz,单颗CPU 三级缓存最高支持 8MB 支持 12 条 DDR3 RDIMM/UDIMM 内存,
18、最大内存容量达 96GB 板载 2 个 GE 网口,支持 TOE 最大支持 12 个 2.5/3.5 英寸热插拔 SAS/SATA 硬盘,最高可配置 5.4TB 安装 NIP1000 控制台软件系统1梁山县人民医院综合大楼数据网络技术建议书SAS 硬盘,或 12TB SATA 硬盘可选配置 SR100 RAID 卡支持 RAID 0/1/1E 可选配置 SR200 RAID 卡,支持 256M 高速缓存,支持 RAID 0/1/10/5/6/50/60 数据保护技术,可选 BBU 电池模块提供掉电数据保护。2.1.2 外网设计根据梁山县人民医院综合大楼网络项目建设的基本原则,网络设计适度前瞻性
19、的要求,网络采用星型的拓扑结构,分层化设计,以一台 S9300 系列交换机做核心交换设备,下联 17 台S2300 交换机及 1 台 S5300 交换机作为接入层,接入层与核心层均以 2G 光纤连接。同时,因为外网要直接上联 Internet,因此必须在外网出口处进行足够的安全防护,建议选用华为 USG5170 统一安全网关产品,能够为梁山县人民医院提供理想的全面安全防护,实现不受内部和外部攻击、防止未授权访问并满足法规遵从性要求。一体化的设计,最大化减少设备运营成本和维护复杂性,提供高性价比方案。采用华为成熟的安全软件平台,完整继承华为防火墙功能特性。提供多安全区域划分,满足不同等级安全需求
20、;提供透明、路由、混合等多种功能模式,适应场景丰富;提供增强的报文过滤功能,提供多种 NAT 应用支持,提供强大的攻击防范能力。同样通过部署入侵检测设备 NIP1000 可以检测 DoS、扫描、代码攻击、后门等多种入侵攻击。当有入侵事件发生时,入侵检测系统向防火墙发送消息,防火墙将动态生成规则,阻断入侵者。外网网络设计统计资料如下:相关配置如下:7. S9306 核心交换机 1 台,配置 1 块 24 端口百兆/千兆以太网光接口板,1 快 48 端口百兆/千兆以太网电接口板,同时配置 19 个千兆多模光模块(联接各汇聚交换机及防火墙、IDS) 。8. S2352P-EI 交换机 17 台,做为
21、接入层设备;每台设备各配置 2 个千兆光模块(1 个主用,1 个冗余) ,用于上联。9. USG5320 统一安全网关 1 台,配置 2 个千兆光口模块,布置于外网网络核心交换机与路由器之间。梁山县人民医院综合大楼数据网络技术建议书10.USG5150BSR 路由器 1 台,配置至少 2 个千兆光口,配置 1 个千兆光模块11.华为 IDS(NIP1000)入侵检测系统一套,4 个 10/100/1000M 探测端口(两光两电)。需要配置一台 NIP 控制台服务器(可与内网共用) 。12.华为 Secospace VSM 网管系统,需要配置 1 台网管服务器(可与内网共用) 。 拓扑图如下:整合梁山县人民医院综合楼的内外网系统,整体拓扑图示意如下:
