1、计算机网络期末课程设计报告题 目: 长寿医院网络设计 系 部: 信息管理系 专 业: 信息管理与信息系统 班 级: XXXXXXXXXXX 学 号: XXXXXXXXXXX 姓 名: XXXXXXX 指导教师: XXXXXX 完成日期: XXXXXXXXXXXXXXXXXX 长寿医院网络设计报告需求分析:随着计算机网络通讯技术的飞速发展,计算机信息网络已经逐步进入社会各个领域。医院信息化网络建设成为深化医疗体制改革的必要条件,成为医院改革发展、提高自身管理水平的有效手段,也是衡量现代化医院管理的重要内容。通过计算机网络技术途径,可以实现医院数字化建设,提升医院形象,增强医院整体竞争实力,为医院
2、带来良好的社会效益、经济效益和文化效益。1、中大医院网络系统特点国内对于中大型医院的界定还没有统一标准,从应用角度,参照卫生部1994 年颁布的医疗机构基本标准(试行) ,本文中的中大医院泛指住院床位总数在 100 至 499 张的综合性医院 。这一规模的医院的信息系统有着一些共同的特点:医院信息管理系统(HIS)多采用客户机/服务器结构;程序模块化设计,通常包括门诊部分、住院部分、手术医技部分、药房药 库部分、后勤仓库部分、综合查询部分,以及系统管理员和字典维护;信息以数字、文字为主,图片、声音、视频图像较少;节点相对较少,分布相对集中;与 Internet 网连接的电脑不多,仅限于个别行政
3、部门。2、网络系统及业务需求分析现在市场上的各种网络产品性能不断提升,而价格不断下降,一般主流产品即可满足中大医院的信息系统需求,因此,中大医院网络系统的建设应以实用性为主,在此基础上兼顾先进性、可扩展性和可管理性。中大医院的网络系统建设应满足以下三方面的需求:保证医院信息系统及其他办公、统计应用,能够安全高速、不间断地运行;能够灵活的扩充网络容量及网络服务,可以实现多种方式的接入,以适应未来扩大网络规模,以及接入模式变化的需求;能够完成一些基本的网管和实时监控功能。网络设计规划:在整个工程当中,我们采用的是千兆光纤作为主干线,采用树型网络拓扑结构,把网络结构分成三层:核心层(出口层) 、汇聚
4、层、接入层。网络拓扑结构是对一个网络系统的覆盖范围、连接能力、可靠性及可扩充性等网络性能产生直接的影响,也关系到一个来系统的价格。网络拓扑结构是整个工程建设中的重点,从目前网络技术的发展和应用情况来看,比较适合大型的园区网;大多数的高速网络都采用了通过交换机来连接各个节点的结构。随着网络应用的扩大化,通常采用主干线网络加上子网结构进行设计,子网则由交换机设备连接主干网络,下面连接到用户计算机,远程用户则通过 VPN 隧道与系统相连。此外,还有虚拟网络技术(VLAN) ,它与交换技术密切相关,它的好处是使得网络系统可以将一个站点分配到任何一个逻辑网络,不管它的物理管理位置如何,在逻辑网络或虚拟网
5、络中的所有工作站彼此间可直接通信,不同虚拟网络间的站点一般不能直接通信,需要通过路由器进行通信,这样利于网络管理和网络安全。在网络拓扑图的结构中我们用到 VPN 这个虚拟专用的网络,虽然实现 VPN 的技术和方式很多,但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性,在安全性方面,由于 VPN 直接构建在公用网上,VPN的优点是实现简单、方便、灵活,但同时其安全问题也更为突出。在确保 VPN上传输的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或者私有信息的访问。 VPN 网应当为医院数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络
6、优化方面,构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。可扩充性和灵活性,VPN 必须能够支持通过Internet 类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。根据长寿医院网络的分布,有内外网之分。内网以长寿医院的行政大楼五楼为中心机房,从而覆盖周边的四个区域大楼(科技大楼、门诊住院大楼、行政大楼、外科楼)和一个较近的儿童分院,
7、五栋大楼和儿童分院都将以光纤相连接。外网是根据三所分院而定,通过 VPN 隧道和行政大楼的中心机房的防火墙来与内网相通信。互联网接口区选用了双网接入的方式的好处,由于医院的网络要长期使用,网络中的一定要保持良好的通信状态,双网接入不仅可以使网速提高,还可以提供网络的冗余。双网与一个带有防火墙功能的路由器相连接还连接了外部服务器群和一个 DMZ 区。外部服务器群主要包括 WWW 服务器、DNS 服务器、FTP 服务器、 MAIL 服务器和 VOD 服务器,其主要功能是提供外网的访问和一些信息的处理。它与带有防火墙的路由器相连,更加提高了数据传输的安全性和稳定性。外部服务器根据医院的综合情况,外部
8、服务器都将选择处理器和缓存等性能较高且硬盘存储量相对较低的服务器。1. DMZ 区设计DMZ 是英文“demilitarized zone”的缩写,中文名称为“隔离区” ,也称“非军事化区” 。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。另一方面,通过这样一个 DMZ 区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。2. VPN 隧道设计VPN 英文全称是“Virtual
9、Private Network”,翻译过来就是“虚拟专用网络” 。VPN 被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。这样的连接可以使中心医院和分院之间更安全和稳定的连接。各个分院各用了一个防火墙,这样更能保证数据
10、的安全性。3. 核心层设计核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。核心层需要考虑冗余设计,即我们对核心层两个可堆叠三层交换机之间的连接采用了捆绑技术。核心层连接了管理服务器、数据库服务器和一个内部服务器群,管理服务器将对内网和外网的所有服务和数据传输进行管理,从而提高医院中的网络安全、稳定的运行。数据库服务器,数据库服务器将对医院的所有数据进行存储、控制和管理,由于医院的
11、安全性和数据相对较多,数据库服务器将对硬盘存储容量较大和安全性能较高的方面来进行选择。内部服务器群主要包括 DHCP 服务器、临床信息系统服务器、视频点播服务器等。DHCP 服务器将对医院内部的 IP 地址通过和 VLAN 想结合进行有效的分配,从而更能节省 IP 地址。4. 汇聚层设计汇聚层是楼群、企业部门、小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理。汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。通过网段划分(如 VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层也可以提供接入层虚拟网之间的
12、互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚层将根据医院各个部门而得出每一个部门都将有一个汇聚层交换机。其中都将使用双线(光纤)接入,这样更好的提高了冗余能力从而避免单点失效。5. 接入层设计接入层通常指网络中直接面向用户连接或访问的部分。接入层的目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛。在传输速度上,现代接入交换机大都提供多个具有 10M/100M/1000M 自适应能力的端口。接入层根据信息点的分布从而将接入层交换机合理的放置,汇聚层到接入层之间都将用六类双绞线相连接,根据现在网
13、络的发展,六类双绞线将在未来几年有更好的应用,医院的汇聚层和接入层使用六类双绞线将有更好的传输速率。6. IP 地址和 VLAN 的分配对医院现有信息系统各种应用的信息收集是我们划分 VLAN 的前提和基础。这些信息包括医院信息系统中应用服务器信息、网络设备信息 3 部分。因为业务网内的工作站数量众多,不可能在同一时间实现所有工作站 IP 地址的切换,因此需要分步实施。在实施过程中,要求已经划分 VLAN 的计算机终端和尚未划分 VLAN 的计算机终端均可以访问信息系统的服务器。我们的解决方案是给全网内要访问的服务器加上网关,并建立 DNS、WINS 服务器,尚未划分 VLAN 的计算机并不需
14、要通过网关来访问数据库,而划分过 VLAN 的计算机则可以通过网关来访问服务器,从而保障医院业务不中断。根据前期调查的内容及医院不同职能部门处于不同的地理位置,医院网络系统可以使用虚拟局域网(VLAN) ,通过 VLAN 的合理设置,用户可以方便地在网络中移动,而不需要线路的改变,涉及全网 VLAN 的划分方案,包括 VLAN 的名称、VLAN 的 ID、每个 VLAN 接口的 IP 地址等。然而,IP 地址的分配可以通过动态主机配置协议(DHCP) ,给客户端自动分配一个 IP 地址,避免了出错,也简化了 TCP/IP 协议的设置。由于医院财务科涉及到医院财务秘密资料,还涉及到医院信息系统中
15、的财务系统,将会划分到内网中不能对外,还有一点,医院的病案室也涉及到秘密问题,所以不能对外。VLAN 及 IP 地址的划分如下表:设备选型:企业网建设报价:通过 5 周的医院网络设计工作,总结了在整个工程中我们所采用的主干线是以千兆光纤为主的。对医院网络设计网络拓扑结构是对一个网络系统的覆盖范围、连接能力、可靠性及扩充性等网络性能所产生的影响。我们通过需求分析来对整个网络做出相对应的设计,网络拓扑结构是整个工程建设中重点,采用的主干线和子网结构进行设计。接入层交换机连接到汇聚层交换机,其接入层交换机是以 s7502 交换机为核心的骨干网络,能保障业务的永续性。支撑防网络风暴攻击,防扫描窥探攻击
16、等。接入层主要解决终端接入问题,接入层可以直接和外网联系。汇聚层可以需要也可以不需要,其主要起到一个初步汇聚和链路的作用。核心层和汇聚层的设备具备路由功能,而接入层设备没有路由功能。核心层连接了管理服务器、数据库服务器和一个内部服务器群,管理服务器将对内网和外网的所有服务和数据传输进行管理。这样就会提高网络安全、稳定的运行。总结:按照以上方案建设的医院网络设计,采用了成熟先进的网络技术,兼顾了实用性、高带宽、 可扩展性、先进性;采用多层交换技术,实现虚拟局域网配置;采用高速网络技术,尽量减少网络瓶颈;合理地选择交换产品设计带宽,体现了性能卓越而又经济实用的原则;高性能,全交换,千兆主干,满足大负荷网络运行需求,具有一定的先进性,可以满足长寿医院对信息服务的要求。
