信息化平臺建設(shè)方案建議書

XXXXXX醫(yī)院信息化平臺建設(shè)方案建議書目錄TOC\o"1-3"\h\z一、概述-4-二、XXXXXX醫(yī)院信息化平臺需求分析及建設(shè)目標(biāo)-4-1、工程簡述-4-2、需求分析-5-2．1網(wǎng)絡(luò)平臺需求-5-2．2應(yīng)用系統(tǒng)建設(shè)需求-8-3、建設(shè)目標(biāo)-9-三、設(shè)計原則-11-1、先進(jìn)性和成熟性-11-2、高性能-11-3、可靠性和穩(wěn)定性-11-4、安全性和保密性-11-5、可擴(kuò)展性和可管理性-12-6、結(jié)構(gòu)化設(shè)計-12-四、信息化網(wǎng)絡(luò)平臺設(shè)計-13-1、網(wǎng)絡(luò)架構(gòu)設(shè)計-13-2、網(wǎng)絡(luò)設(shè)備選擇-13-2．1核心交換機(jī)選型-14-2．2接入交換機(jī)設(shè)備選擇-15-2．3網(wǎng)絡(luò)出口設(shè)備選擇-16-3、信息化網(wǎng)絡(luò)平臺IP地址規(guī)劃、VLAN劃分及路由策略-17-3．1IP地址規(guī)劃-17-3．2信息化網(wǎng)絡(luò)平臺VLAN劃分建議-19-3．3路由選擇-19-4、QoS規(guī)劃-20-4．1QoS介紹-20-4．2QoS的規(guī)劃-21-5、ARP攻擊防范-22-5．1ARP攻擊的種類-22-5．2本方案的ARP防范方法-24-6、網(wǎng)絡(luò)安全規(guī)劃-24-7、本信息化網(wǎng)絡(luò)平臺解決方案優(yōu)勢-25-五、應(yīng)用系統(tǒng)平臺設(shè)計-28-1、IBM虛擬化平臺解決方案-28-1．1方案簡述-28-1．2方案設(shè)計-28-1．3方案的優(yōu)勢-31-2、HA(高可用)系統(tǒng)設(shè)計-32-1．1采用HA系統(tǒng)的必要性-32-1．2雙機(jī)軟件選擇-32-六、設(shè)備清單-34-1、網(wǎng)絡(luò)平臺清單-34-2、應(yīng)用系統(tǒng)平臺清單-37-七、附件-38-一、概述隨著以計算機(jī)和網(wǎng)絡(luò)通信為核心的信息化技術(shù)的發(fā)展飛速發(fā)展，信息化浪潮勢不可擋，迅速地延伸到人類生活和社會的各個方面，也不可避免地改變著醫(yī)療技術(shù)和醫(yī)療模式。信息技術(shù)與醫(yī)療的結(jié)合已經(jīng)成為當(dāng)今世界醫(yī)療改革和發(fā)展的有機(jī)組成部分。近年來，隨著衛(wèi)生行業(yè)信息化建設(shè)的逐步深入，IT技術(shù)的應(yīng)用越來越成為衛(wèi)生行業(yè)前進(jìn)必不可少的助推器?，F(xiàn)階段，國內(nèi)醫(yī)院完全可能、也完全有必要通過應(yīng)用合理的IT系統(tǒng)，實現(xiàn)流程的優(yōu)化，節(jié)省就醫(yī)時間，改善病人就醫(yī)體驗，提高管理水平，改善服務(wù)及醫(yī)療質(zhì)量。因此，重視信息化對管理的促進(jìn)作用，已成為國際上任何有競爭力的醫(yī)療衛(wèi)生機(jī)構(gòu)的共同特征。醫(yī)療信息化包括醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)圖像處理系統(tǒng)(PACS)、手術(shù)室信息系統(tǒng)、醫(yī)療保險信息系統(tǒng)等信息化系統(tǒng)，以及衛(wèi)生信息標(biāo)準(zhǔn)化、電子病歷、數(shù)據(jù)倉庫、數(shù)據(jù)挖掘及臨床決策在醫(yī)院信息化中的應(yīng)用等等。作為基礎(chǔ)醫(yī)療第一線的貴醫(yī)院，醫(yī)師優(yōu)秀，醫(yī)療質(zhì)量高，治療效果顯著。為了迎接21世紀(jì)的挑戰(zhàn)，搶占醫(yī)療的制高點，貴醫(yī)院擬實施以信息化網(wǎng)絡(luò)平臺為中心的醫(yī)療信息化工程。XXXX公司做為一家專業(yè)性系統(tǒng)集成方案設(shè)計和實施的網(wǎng)絡(luò)公司，就貴醫(yī)院信息化網(wǎng)絡(luò)平臺絡(luò)建設(shè)進(jìn)行了深入研究，我們希望根據(jù)XXXX公司以往在其他信息化平臺設(shè)計的豐富經(jīng)驗，能為貴醫(yī)院提供最先進(jìn)的信息化平臺建設(shè)思路和最貼近需求的系統(tǒng)集成設(shè)計方案。二、XXXXXX醫(yī)院信息化平臺需求分析及建設(shè)目標(biāo)1、工程簡述XXXXXX醫(yī)院經(jīng)某市人民政府批準(zhǔn)于2006年2月由原某市第四人民醫(yī)院（原地區(qū)人民醫(yī)院）和原某市婦幼保健院合并組建而成。醫(yī)院現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)已經(jīng)運行了多年的時間，硬件的整體配置已經(jīng)遠(yuǎn)遠(yuǎn)落后于現(xiàn)在的主流配置；隨著醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)圖像處理系統(tǒng)(PACS)等應(yīng)用的陸續(xù)部署，現(xiàn)有網(wǎng)絡(luò)平臺已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足需求。已經(jīng)影響醫(yī)院正常業(yè)務(wù)的進(jìn)行，所以根據(jù)現(xiàn)有信息系統(tǒng)的發(fā)展?fàn)顩r，提出了建設(shè)醫(yī)院信息化平臺的需求。XXXX公司按照“以應(yīng)用為導(dǎo)向、統(tǒng)一規(guī)劃、分步實施、講究實效、安全可靠”的原則，進(jìn)行信息化網(wǎng)絡(luò)平臺綜合系統(tǒng)設(shè)計，以滿足貴醫(yī)院信息化網(wǎng)絡(luò)平臺絡(luò)的需要。我們大致可以將貴醫(yī)院醫(yī)療信息化工程劃分為兩個階段：1）信息化網(wǎng)絡(luò)基礎(chǔ)平臺的建設(shè)：在全院范圍內(nèi)，采用國際標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議連通信息化網(wǎng)絡(luò)平臺，并通過高速信道與醫(yī)保網(wǎng)及Internet相連；2）信息化網(wǎng)絡(luò)平臺應(yīng)用系統(tǒng)建設(shè)：建立醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)圖像處理系統(tǒng)(PACS)、手術(shù)室信息系統(tǒng)、醫(yī)療保險信息系統(tǒng)等信息化系統(tǒng)，并具有信息共享、傳遞迅速、使用方便、高效率等特點。在事務(wù)處理的基礎(chǔ)上，建立一個滿足各級管理人員及醫(yī)生、信息需求的綜合信息服務(wù)系統(tǒng)；系統(tǒng)應(yīng)有高可靠性、安全性、可維護(hù)性和可擴(kuò)充性，以適應(yīng)醫(yī)院不斷變化的醫(yī)療管理需要；根據(jù)XXXXXX醫(yī)院的需求，需要建設(shè)一個支持醫(yī)院數(shù)字化、網(wǎng)絡(luò)化、自動化的國內(nèi)先進(jìn)的基礎(chǔ)網(wǎng)絡(luò)平臺，滿足數(shù)字化醫(yī)院建設(shè)的需要，也滿足醫(yī)院信息化建設(shè)的長期要求。網(wǎng)絡(luò)平臺具有較好的服務(wù)質(zhì)量、較高安全性、便于管理和維護(hù)，能夠支持醫(yī)院的各種辦公、醫(yī)療和科研應(yīng)用，也支持移動辦公、信息發(fā)布、網(wǎng)上醫(yī)療與醫(yī)學(xué)科研合作。接入層支持百兆或千兆到桌面，核心層支持全千兆并且具有向萬兆速率平滑擴(kuò)容的能力。網(wǎng)絡(luò)關(guān)鍵節(jié)點能夠冗余熱備保障系統(tǒng)連續(xù)穩(wěn)定運行。具有高帶寬、高可靠、高性能、高安全的特性。2、需求分析2．1網(wǎng)絡(luò)平臺需求貴醫(yī)院的網(wǎng)絡(luò)信息化建設(shè)必須以用戶的應(yīng)用需求作為基礎(chǔ)。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用水平的逐步提高，用戶的網(wǎng)絡(luò)需求也不斷的增加，應(yīng)用特點也在不斷變化，網(wǎng)絡(luò)應(yīng)用新特點，主要表現(xiàn)為：用戶數(shù)多，擴(kuò)展速度快：貴醫(yī)院網(wǎng)絡(luò)規(guī)模比較大，用戶數(shù)會越來越大，本期建設(shè)有近400多個信息點；網(wǎng)絡(luò)應(yīng)用復(fù)雜，流量大：用戶主要使用網(wǎng)絡(luò)進(jìn)行醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)圖像處理系統(tǒng)(PACS)的數(shù)據(jù)傳輸。還有圖片傳輸、FTP文件傳輸、在線多媒體等的網(wǎng)絡(luò)應(yīng)用；安全隱患大：目前網(wǎng)絡(luò)攻擊軟件泛濫，來源方便，并對技術(shù)要求更低，ARP攻擊和網(wǎng)絡(luò)病毒泛濫、新病種不斷呈現(xiàn)，危害性更強；不易管理：具有大量的信息點，網(wǎng)絡(luò)規(guī)模較大，中經(jīng)常發(fā)生IP地址盜用、IP地址沖突、非法DHCP服務(wù)器和設(shè)置代理服務(wù)器等令網(wǎng)絡(luò)管理及維護(hù)人員非常頭疼的問題，同時用戶數(shù)大。隨著網(wǎng)絡(luò)應(yīng)用特點多元化和復(fù)雜化，網(wǎng)絡(luò)面臨著新的挑戰(zhàn)，主要表現(xiàn)為：用戶數(shù)多，增長快；應(yīng)用復(fù)雜，流量大，如何保證網(wǎng)絡(luò)的性能？安全隱患大、不易管理，如何保證網(wǎng)絡(luò)安全，如何保證不會濫用網(wǎng)絡(luò)資源，如何監(jiān)控管理網(wǎng)絡(luò)？醫(yī)療的資料機(jī)密高，如何保證信息化網(wǎng)絡(luò)平臺的網(wǎng)絡(luò)安全和信息保護(hù)？網(wǎng)絡(luò)上并發(fā)數(shù)據(jù)流非常多，如何合理的利用、控制網(wǎng)絡(luò)帶寬，保障關(guān)鍵應(yīng)用？面對著越來越多的挑戰(zhàn)，呈現(xiàn)出更多的用戶應(yīng)用需求，主要表現(xiàn)為：1）網(wǎng)絡(luò)高性能需求HIS、PACS的數(shù)據(jù)傳輸?shù)膽?yīng)用，要求全線支持組播、QOS等流技術(shù)，使用戶能正常、流暢的應(yīng)用大量數(shù)據(jù)的傳輸；網(wǎng)絡(luò)設(shè)備的背板帶寬足夠用，保證每端口能夠線速轉(zhuǎn)發(fā)，同時預(yù)留一定的擴(kuò)展余地；應(yīng)用復(fù)雜化和多元化，需求網(wǎng)絡(luò)高帶寬，造就核心層必須支持萬兆鏈路，核心層到接入層千兆鏈路為目標(biāo)。2）可靠性、穩(wěn)定性需求核心層是貴醫(yī)院業(yè)務(wù)中心，如何保障網(wǎng)絡(luò)的高效率、高可靠、高穩(wěn)定運行是網(wǎng)絡(luò)建設(shè)的前提；可提供冗余的網(wǎng)絡(luò)連接，保障網(wǎng)絡(luò)的高可用性；3）網(wǎng)絡(luò)安全需求杜絕ARP攻擊對網(wǎng)絡(luò)的攻擊；杜絕非法的組播源播放非法的組播信息；如何有效控制和預(yù)防病毒的傳播和網(wǎng)絡(luò)的攻擊；由于各種病毒在被公布前很難防范，網(wǎng)絡(luò)技術(shù)需要能適時的調(diào)整安全策略，并在最短的時間內(nèi)部署到全網(wǎng)，把病毒拒絕在網(wǎng)絡(luò)之外。4）QoS需求由于醫(yī)療系統(tǒng)的特殊性，其通信的類型包括有關(guān)鍵的HIS、PACS的應(yīng)用，也包括有Email、FTP、網(wǎng)頁瀏覽、數(shù)據(jù)庫查詢、協(xié)同研究、遠(yuǎn)程醫(yī)療、VoIP以及視頻會議等等其他應(yīng)用類型。其通信方式和對傳輸網(wǎng)絡(luò)的要求各不相同，為了合理利用網(wǎng)絡(luò)資源，需要為HIS、PACS、視頻會議等對網(wǎng)絡(luò)服務(wù)質(zhì)量要求高的應(yīng)用提供優(yōu)先級，才能為所有這些應(yīng)用提供網(wǎng)絡(luò)傳輸保證，保障各種不同服務(wù)的流暢應(yīng)用。實現(xiàn)端到端的QOS服務(wù)。5）組播應(yīng)用需求IP組播技術(shù)作為一種節(jié)省帶寬的網(wǎng)絡(luò)技術(shù)，最適合在流媒體應(yīng)用中使用。流媒體技術(shù)在醫(yī)院的應(yīng)用前景廣闊，可用于交互醫(yī)療、遠(yuǎn)程醫(yī)療、在線醫(yī)療、電視轉(zhuǎn)播、遠(yuǎn)程監(jiān)控、視頻會議等應(yīng)用。需要對網(wǎng)絡(luò)設(shè)備的要求：組播協(xié)議，核心三層交換機(jī)支持PIM/IGMP等協(xié)議，接入的二層交換機(jī)支持IGMPSnooping協(xié)議。多媒體雙向組播，實現(xiàn)時時的交互式視頻應(yīng)用。多媒體非法組播源控制。端到端QOS保障，要求全網(wǎng)提供服務(wù)保證。6）多網(wǎng)合一需求隨著醫(yī)院信息化的不斷深入，醫(yī)院OA系統(tǒng)、MIS系統(tǒng)、HIS系統(tǒng)、PACS等系統(tǒng)相互融合，醫(yī)院的信息化建設(shè)也已經(jīng)從簡單的數(shù)據(jù)業(yè)務(wù)應(yīng)用逐步發(fā)展到數(shù)據(jù)、語音、視訊等多業(yè)務(wù)統(tǒng)一承載。2．2應(yīng)用系統(tǒng)建設(shè)需求本次XXXXXX醫(yī)院的應(yīng)用系統(tǒng)建設(shè)的目標(biāo)是以信息技術(shù)為手段把分布在不同地點的現(xiàn)有資源迅速組合成為一種沒有時間空間約束，靠電子手段聯(lián)系的統(tǒng)一指揮的系統(tǒng)。主要是部署醫(yī)院信息系統(tǒng)（HIS）、醫(yī)學(xué)圖像處理系統(tǒng)(PACS)等以實現(xiàn)醫(yī)療、辦公、科研、預(yù)防、保健和管理的現(xiàn)代化。隨著業(yè)務(wù)的發(fā)展，當(dāng)前的業(yè)務(wù)需要更多的服務(wù)器來支持。同時也帶來了復(fù)雜程度和資金投入的增加，三種以上的服務(wù)器平臺經(jīng)常使得用戶難于管理，使用戶越來越感到頭痛。另外一個大問題是，所購買的服務(wù)器中大部分使用率都不高，意味著客戶在IT架構(gòu)中的投入未能被最有效地使用。以下是現(xiàn)階段的挑戰(zhàn)：成本高隨著服務(wù)器的不斷增多，安裝和維護(hù)成本不斷上升，包括數(shù)據(jù)中心空間、機(jī)柜、網(wǎng)線，耗電量，冷氣空調(diào)和人力成本等。可用性差可用性低，因為大多服務(wù)器都是單機(jī)，如果都配置為雙機(jī)模式成本更高。系統(tǒng)維護(hù)和升級或者擴(kuò)容時候需要停機(jī)進(jìn)行，造成應(yīng)用中斷。缺乏可管理性服務(wù)器數(shù)量太多，數(shù)據(jù)中心的復(fù)雜性也不斷提高，難于管理。新服務(wù)器和應(yīng)用的部署時間長。硬件維護(hù)需要數(shù)天/周的變更管理準(zhǔn)備和數(shù)小時的維護(hù)。兼容性差系統(tǒng)和應(yīng)用遷移到新的硬件平臺無法與舊系統(tǒng)兼容。物理計算機(jī)機(jī)房空間有限服務(wù)器的無計劃及無序擴(kuò)張，缺乏靈活性,資產(chǎn)利用率低。IT系統(tǒng)架構(gòu)的復(fù)雜性和服務(wù)器的隨意增加是導(dǎo)致上述問題的主要原因，有效的整合是解決問題的關(guān)鍵。針對上述客戶的難題,本方案提供了基于虛擬化技術(shù)的服務(wù)器整合解決方案。該方案將極大的提高服務(wù)器整合的效率，大幅度簡化了服務(wù)器管理的復(fù)雜性，提高了整體系統(tǒng)的可用性，同時還明顯的減少了投資成本，具有很好的技術(shù)領(lǐng)先性和性價比，虛擬技術(shù)由于采用了將傳統(tǒng)服務(wù)器應(yīng)用程序環(huán)境封裝成可移動的檔案文件的技術(shù)，很容易實現(xiàn)業(yè)務(wù)的連續(xù)不間斷運行，針對應(yīng)用和訪問量靈活部署，降低系統(tǒng)總成本。此外，在高可用系統(tǒng)設(shè)計時，還要在硬件上要做到各部件的冗余，多臺計算機(jī)組成冗余系統(tǒng)，使得應(yīng)用系統(tǒng)在任何軟硬件單元發(fā)生故障時，能夠穩(wěn)定可靠地運行?？紤]下述關(guān)鍵點：應(yīng)用系統(tǒng)，主機(jī)/部件間的切換是非對用戶透明故障發(fā)生時，是否需要人為干預(yù)切換的速度如何配置是否簡單方便，易于管理與操作系統(tǒng)、應(yīng)用程序是否能密切配合3、建設(shè)目標(biāo)綜合考慮以上種種特性需求，比較各廠商設(shè)備性能、特點和價格。我公司建議網(wǎng)絡(luò)核心層、接入層和網(wǎng)絡(luò)出口設(shè)備采用華為3Com公司（以下簡稱H3C）網(wǎng)絡(luò)產(chǎn)品。應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和存儲選擇國際知名品牌IBM的設(shè)備。H3C是國內(nèi)領(lǐng)先的網(wǎng)絡(luò)廠商，其對醫(yī)療行業(yè)有著深刻的了解，其產(chǎn)品、方案與服務(wù)在醫(yī)療行業(yè)有成熟和廣泛的應(yīng)用，而且能通過智能、安全及可靠的網(wǎng)絡(luò)設(shè)備連為一體，來構(gòu)建網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)，保障其順利進(jìn)行。IBM服務(wù)器和存儲提供了高品質(zhì)和高可靠的硬件基礎(chǔ)。IBM把穩(wěn)定的產(chǎn)品與先進(jìn)的技術(shù)相互結(jié)合，為客戶提供了全套的解決方案。XXXXXX醫(yī)院網(wǎng)絡(luò)系統(tǒng)建設(shè)主要為綜合樓、外科樓、內(nèi)科樓等的網(wǎng)絡(luò)建設(shè)，對于總體的系統(tǒng)結(jié)構(gòu)要求必須滿足如下條件：1）業(yè)務(wù)導(dǎo)向，服務(wù)于應(yīng)用所有網(wǎng)絡(luò)建設(shè)都是為了更好服務(wù)于客戶的實際應(yīng)用。保證如財務(wù)管理、各種收費、藥品藥庫管理、OA以及臨床的信息化，如HIS、PACS、LIS、手術(shù)室、麻醉圖形處理等應(yīng)用的暢通無阻。簡化網(wǎng)絡(luò)的管理和維護(hù)，將精力專注于應(yīng)用。2）實用性、先進(jìn)性、擴(kuò)展性和標(biāo)準(zhǔn)化的結(jié)合面向應(yīng)用，注重實效，確保網(wǎng)絡(luò)建設(shè)能夠切合實際，滿足使用要求網(wǎng)絡(luò)體系結(jié)構(gòu)具有開放性，協(xié)議遵循國際標(biāo)準(zhǔn)具有良好的可擴(kuò)展性，為系統(tǒng)升級提供一個良好的途徑3）系統(tǒng)結(jié)構(gòu)合理、安全可靠系統(tǒng)結(jié)構(gòu)有良好的分層設(shè)計，結(jié)構(gòu)清晰合理從各種方面綜合保證網(wǎng)絡(luò)的可靠性各種設(shè)備易于管理和維護(hù)局域網(wǎng)建成之后應(yīng)符合以下要求：充分利用現(xiàn)有計算機(jī)網(wǎng)絡(luò)設(shè)備，保護(hù)先期投資，并與新增網(wǎng)絡(luò)設(shè)備充分結(jié)合共同組成一套高效率、高性能、高穩(wěn)定性的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)主干采用光纖1000M技術(shù)，實現(xiàn)與各樓層、主樓內(nèi)網(wǎng)交換機(jī)間的高速連接；實現(xiàn)100/1000M到桌面；實現(xiàn)核心交換機(jī)對服務(wù)器的1000M連接。網(wǎng)絡(luò)中使用的設(shè)備和協(xié)議應(yīng)完全符合國際通用的技術(shù)標(biāo)準(zhǔn)，網(wǎng)絡(luò)核心支持IPV6協(xié)議；內(nèi)網(wǎng)和外網(wǎng)實行物理隔離方式，內(nèi)網(wǎng)采用雙機(jī)冗余形式，為機(jī)房內(nèi)網(wǎng)主服務(wù)器提供8個千兆以太網(wǎng)電口，以及16端口SFP多模光口，在所有端口上支持三層數(shù)據(jù)交換。HIS、PACS系統(tǒng)建成后，醫(yī)院的中心服務(wù)器的信息存儲和處理能力能夠滿足醫(yī)院相當(dāng)長的需求，大大增強HIS后臺的整體負(fù)載能力，系統(tǒng)的安全性、可靠性、擴(kuò)展性和可維護(hù)性等方面將得到明顯的改善，系統(tǒng)將以更快的速度和質(zhì)量為醫(yī)療、財務(wù)、行政和后勤管理服務(wù)。提高醫(yī)院的經(jīng)濟(jì)效益，提高醫(yī)院的服務(wù)質(zhì)量，吸引更多的病員。三、設(shè)計原則貴醫(yī)院信息化網(wǎng)絡(luò)平臺網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實用的前提下，應(yīng)當(dāng)在投資保護(hù)及長遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從用戶的利益出發(fā)，一個好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)信息化網(wǎng)絡(luò)平臺的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，我們提出網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的信息化網(wǎng)絡(luò)平臺和應(yīng)用系統(tǒng)。我們遵循以下的原則進(jìn)行貴醫(yī)院信息化平臺設(shè)計：1、先進(jìn)性和成熟性系統(tǒng)設(shè)計既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證貴醫(yī)院網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，網(wǎng)絡(luò)主干設(shè)備選用高帶寬的、千兆位及萬兆位線速路由交換技術(shù)。服務(wù)器和存儲應(yīng)選用國際先進(jìn)的技術(shù)、高性能CPU、高速并行處理SMP技術(shù)、和先進(jìn)冗余技術(shù)等。2、高性能系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，保證系統(tǒng)具有足夠的數(shù)據(jù)傳輸帶寬，并為可預(yù)計的業(yè)務(wù)提供足夠的系統(tǒng)容量和提供QOS,COS服務(wù)品質(zhì)，建設(shè)貴醫(yī)院的高性能網(wǎng)絡(luò)系統(tǒng)，保護(hù)用戶的投資。3、可靠性和穩(wěn)定性在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間。方案中涉及核心層設(shè)備，要求提供電源備份，模塊的熱插拔維護(hù)。在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，也考慮了一定的冗余和負(fù)載均衡，保證網(wǎng)絡(luò)和系統(tǒng)高可用性。4、安全性和保密性在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，如劃分VLAN、MAC地址綁定、802.1x、802.1d、802.1w、802.1s、VRRP、ACL、PORT+IP+MAC綁定等。5、可擴(kuò)展性和可管理性為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最佳的投資，實現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，建議全線采用可網(wǎng)管產(chǎn)品，提供堆疊、集群功能，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性、可管理性，同時又具有很好的可擴(kuò)充性，實現(xiàn)網(wǎng)絡(luò)的可維性。服務(wù)器的擴(kuò)展性能強，比如可因業(yè)務(wù)量的增加將CPU的數(shù)目增至4路進(jìn)行大規(guī)模并行處理，其他優(yōu)異特點可參考其性能指標(biāo)；RAID盤陣的擴(kuò)展性能也極其強勁。6、結(jié)構(gòu)化設(shè)計結(jié)構(gòu)化的設(shè)計思想是將整個網(wǎng)絡(luò)劃分成不同的層次，各個層次各司其職。對于貴醫(yī)院信息化網(wǎng)絡(luò)平臺來說，網(wǎng)絡(luò)主要由兩個層次組成：1）接入層；2）核心層；接入層：連接各端末設(shè)備，做為網(wǎng)絡(luò)智能安全接入和策略的邊緣。核心層：連接各接入設(shè)備和服務(wù)器群設(shè)備提供路由管理、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)管理、數(shù)據(jù)高速交換、快速收斂和擴(kuò)展性，完成高速轉(zhuǎn)發(fā)。四、信息化網(wǎng)絡(luò)平臺設(shè)計1、網(wǎng)絡(luò)架構(gòu)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)化的設(shè)計思想是將整個網(wǎng)絡(luò)劃分成不同的層次和區(qū)域，各個層次和區(qū)域各司其職。根據(jù)貴醫(yī)院的網(wǎng)絡(luò)規(guī)模和實際應(yīng)用情況，貴醫(yī)院信息化平臺采用分層網(wǎng)絡(luò)架構(gòu)設(shè)計，包括核心層和接入層：核心層：連接各接入設(shè)備和服務(wù)器群設(shè)備提供路由管理、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)管理、數(shù)據(jù)高速交換、快速收斂和擴(kuò)展性，完成高速轉(zhuǎn)發(fā)。接入層：連接各端末設(shè)備，直接與用戶機(jī)對接。做為網(wǎng)絡(luò)智能安全接入和策略的邊緣。根據(jù)貴醫(yī)院的網(wǎng)絡(luò)規(guī)模和實際應(yīng)用情況，貴醫(yī)院信息化平臺采用分區(qū)域架構(gòu)設(shè)計，包括核心區(qū)域、網(wǎng)絡(luò)出口區(qū)域、應(yīng)用系統(tǒng)區(qū)域以及接入?yún)^(qū)域。2、網(wǎng)絡(luò)設(shè)備選擇遵循網(wǎng)絡(luò)的層次化、模塊化的設(shè)計思想，采用核心和接入的兩級網(wǎng)絡(luò)架構(gòu)，同時為后期的網(wǎng)絡(luò)擴(kuò)展做好準(zhǔn)備，為用戶提供高速無阻塞的數(shù)據(jù)交換。設(shè)備的選型是網(wǎng)絡(luò)設(shè)計當(dāng)中非常關(guān)鍵的部分，嚴(yán)格的選型可以達(dá)到最佳的效果，即系統(tǒng)相對獨立，升級簡便，組網(wǎng)方式靈活，以保護(hù)現(xiàn)有投資和未來的發(fā)展。所以為了滿足貴醫(yī)院目前的需求，立足長遠(yuǎn)發(fā)展，網(wǎng)絡(luò)設(shè)備的選型除了依據(jù)提出的需求外，還需遵循上面的設(shè)計原則。根據(jù)貴醫(yī)院需求分析，需要對2個類型交換機(jī)和出口設(shè)備進(jìn)行設(shè)備選型：1）核心交換機(jī)；2）接入交換機(jī)；3）出口設(shè)備。為了滿足貴醫(yī)院需求和長遠(yuǎn)利益，核心推薦使用H3CS5500-EI以太網(wǎng)交換機(jī),接入層推薦使用H3CE系列安全智能交換機(jī),而網(wǎng)絡(luò)出口采用集傳統(tǒng)防火墻、VPN、病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能于一身的統(tǒng)一威脅管理設(shè)備H3CSecPathU200-S。核心交換機(jī)通過防火墻上聯(lián)到互聯(lián)網(wǎng)和醫(yī)保網(wǎng)。核心交換機(jī)設(shè)備上配有16個千兆多模光口模塊（最多可擴(kuò)展到24個）、8個復(fù)用的千兆電接口。電口用于連接服務(wù)器群，光口用千兆多模光纖下行連接接入交換機(jī)。接入交換機(jī)設(shè)備均配有1個千兆多模光口模塊及24個百兆電口，通過千兆多模光纖模塊上連核心交換機(jī)。2．1核心交換機(jī)選型網(wǎng)絡(luò)中心節(jié)點作為信息化網(wǎng)絡(luò)平臺絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。另外作為整個網(wǎng)絡(luò)的交換中心，在保證高性能、無阻塞交換的同時，還必須保證穩(wěn)定可靠的運行。因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。在本方案中，建議核心層選用由高性能的千兆核心路由交換機(jī)組成，對全網(wǎng)的數(shù)據(jù)進(jìn)行高速無阻塞的交換，負(fù)責(zé)路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)、核心數(shù)據(jù)處理等，選用一臺H3CS5500-EI構(gòu)成核心節(jié)點。H3CS5500-EI其背板帶寬高達(dá)192GGbps、包轉(zhuǎn)發(fā)速率為95.2Mpps，具備L2/L3線速交換能力。H3CS5500-EI系列是銳捷網(wǎng)絡(luò)推出的硬件支持IPv6的萬兆多層交換機(jī)。該系列產(chǎn)品為IPv4網(wǎng)絡(luò)的建設(shè)、IPv4向IPv6網(wǎng)絡(luò)過渡、以及IPv6網(wǎng)絡(luò)的建設(shè)和通信提供了最直接和最方便靈活的技術(shù)實現(xiàn)和方案保障。H3CS5500-EI系列交換機(jī)是H3C公司最新開發(fā)的增強型IPv6強三層萬兆以太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個萬兆擴(kuò)展接口，可以滿足用戶今后5年的帶寬需求；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。網(wǎng)絡(luò)中心節(jié)點作為信息化網(wǎng)絡(luò)平臺的數(shù)據(jù)交換樞紐中心，該節(jié)點核心交換機(jī)的癱瘓將直接影響整個信息化網(wǎng)絡(luò)平臺的運行，醫(yī)院醫(yī)療信息化水平程度越高，因網(wǎng)絡(luò)癱瘓造成的損失也將越大。所以核心交換機(jī)在配置上需要充分考慮到其可靠性的保障。貴醫(yī)院網(wǎng)絡(luò)中心的核心交換機(jī)的千兆端口配置除了滿足設(shè)備千兆互連外，其余的均用于提供各類服務(wù)器的連接。2．2接入交換機(jī)設(shè)備選擇全網(wǎng)的接入交換機(jī)，必須考慮到全網(wǎng)統(tǒng)一安全接入控制、安全防護(hù)、完善的管理、智能QOS服務(wù)質(zhì)量保證、組播應(yīng)用支持等技術(shù)。在本方案中，建議接入層選用可提供千兆上聯(lián)，并在可全部采用認(rèn)證和流控等手段進(jìn)行接入控制，充分滿足用戶的高速安全接入等，同時必須具備以下功能：強大的ACL控制功能（病毒預(yù)防和控制，網(wǎng)絡(luò)資源訪問控制）IP+MAC+端口綁定功能（防止網(wǎng)絡(luò)攻擊和資源被非法訪問）強大的堆疊功能（彈性的擴(kuò)充能力）完善的802.1X認(rèn)證體系支持802.1X接入訪問控制，功能更加強大，與Radius配合，可實現(xiàn)用戶賬號、VLAN號、MAC地址、用戶IP、交換機(jī)端口、交換機(jī)IP之間的任意綁定進(jìn)行認(rèn)證，達(dá)到嚴(yán)格控制用戶接入功能。靈活的帶寬控制基于交換機(jī)端口、MAC地址、IP地址、協(xié)議、應(yīng)用組合等進(jìn)行靈活的帶寬限速，充分提高網(wǎng)絡(luò)帶寬的利用率，實施網(wǎng)絡(luò)帶寬合理分配，適合在醫(yī)療網(wǎng)的應(yīng)用。ARP攻擊抵御支持ARP入侵檢測同時動態(tài)防御ARP主機(jī)欺騙和ARP網(wǎng)管欺騙，不用手工配置網(wǎng)關(guān)IP地址，智能防御各種ARP欺騙行為。高可靠性支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證鏈路快速收斂，提高容錯能力，保證網(wǎng)絡(luò)的穩(wěn)定運行和鏈路的負(fù)載均衡，網(wǎng)絡(luò)通道得到合理化使用，提供冗余鏈路利用率；支持端口環(huán)路檢測，可快速檢測端口下聯(lián)出現(xiàn)環(huán)路的情況，并能自動將有環(huán)路端口關(guān)閉和定時啟動，保障了網(wǎng)絡(luò)的可靠。本方案采用H3CE系列安全智能交換機(jī)擔(dān)任接入交換機(jī)，千兆上行到核心交換機(jī)。H3CE126A/E152安全智能交換機(jī)是H3C公司為構(gòu)建高安全、高智能網(wǎng)絡(luò)需求而專門設(shè)計的新一代以太網(wǎng)交換機(jī)產(chǎn)品，在滿足園區(qū)網(wǎng)高性能、高密度的接入的基礎(chǔ)上，提供更全面的安全接入策略和更強的網(wǎng)絡(luò)管理維護(hù)易用性，是理想的園區(qū)網(wǎng)接入層交換機(jī)。2．3網(wǎng)絡(luò)出口設(shè)備選擇網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn)，國內(nèi)的網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為：計算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；電腦黑客活動已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)；信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。在本方案中網(wǎng)絡(luò)出口采用H3CSecPathU200-SUTM作為網(wǎng)絡(luò)出口。H3CSecPathU200-S是H3C公司面向中小型企業(yè)/分支機(jī)構(gòu)設(shè)計的新一代UTM（UnitedThreatManagement，統(tǒng)一威脅管理)設(shè)備，采用高性能的多核、多線程安全平臺，保障全部安全功能開啟時不降低性能，產(chǎn)品具有極高的性價比。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時提供病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。詳細(xì)介紹如下：防火墻功能：提供安全區(qū)域劃分、靜態(tài)/動態(tài)黑名單功能、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本功能，還提供基于狀態(tài)的檢測過濾、虛擬防火墻、VLAN透傳等功能。能夠防御ARP欺騙、TCP報文標(biāo)志位不合法、LargeICMP報文、CC、SYNflood、地址掃描和端口掃描等多種惡意攻擊。VPN特性：支持L2TPVPN、GREVPN、IPSecVPN等遠(yuǎn)程安全接入方式，同時設(shè)備集成硬件加密引擎實現(xiàn)高性能的VPN處理。實時的病毒防護(hù)：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。實時的垃圾郵件防護(hù)：可以攔截垃圾郵件，凈化郵件系統(tǒng)，解決垃圾郵件對正常工作的干擾問題。先進(jìn)的URL過濾：實現(xiàn)基于用戶的URL訪問控制，防止因瀏覽惡意或未授權(quán)的網(wǎng)站(如網(wǎng)絡(luò)釣魚攻擊網(wǎng)站)而帶來的安全威脅。全面的流量管理：能精確檢測BitTorrent、Thunder（迅雷）、QQ等P2P/IM應(yīng)用，提供告警、限速、干擾或阻斷等多種方式，保障網(wǎng)絡(luò)核心業(yè)務(wù)正常應(yīng)用。細(xì)致的行為審計：可對各種P2P/IM、網(wǎng)絡(luò)游戲、郵件和數(shù)據(jù)傳輸?shù)刃袨樘峁┘?xì)致的監(jiān)控和記錄，實現(xiàn)細(xì)粒度的網(wǎng)絡(luò)行為審計管理。NAT應(yīng)用：提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、EasyIP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。我們建議在防火墻上將信息化網(wǎng)絡(luò)平臺分為內(nèi)部網(wǎng)、外部網(wǎng)與DMZ區(qū)等，以保護(hù)局域網(wǎng)的安全和對外服務(wù)器的安全，防止惡意用戶的攻擊。使用Kaspersky公司的流引擎查毒技術(shù)，迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼?？梢造`活設(shè)置相關(guān)資源過濾和規(guī)則，以最大化的保護(hù)網(wǎng)絡(luò)內(nèi)網(wǎng)安全。同時可以建立VPN服務(wù)器，實現(xiàn)外網(wǎng)用戶訪問內(nèi)網(wǎng)資料等。3、信息化網(wǎng)絡(luò)平臺IP地址規(guī)劃、VLAN劃分及路由策略3．1IP地址規(guī)劃1）IP地址規(guī)劃原則IP地址規(guī)劃應(yīng)依據(jù)科學(xué)性、系統(tǒng)性、完整性及可擴(kuò)展性原則，采用先進(jìn)的網(wǎng)絡(luò)編碼技術(shù)，保證信息交換的效率和質(zhì)量，既要在相當(dāng)時期內(nèi)保持技術(shù)的先進(jìn)性，同時也充分考慮現(xiàn)期工程的可實施性，為了更加便于記憶和管理，在貴醫(yī)院信息化網(wǎng)絡(luò)平臺網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)IP地址規(guī)劃采用統(tǒng)一的IP地址分配方式，保證IP地址的唯一性。具體來說，IP地址規(guī)劃應(yīng)該遵循以下原則：可擴(kuò)展性：IP地址的規(guī)劃與劃分應(yīng)該考慮到城域網(wǎng)的業(yè)務(wù)飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單、易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項；靈活性：IP地址的分配需要有足夠的靈活性，能夠滿足用戶不同的聯(lián)網(wǎng)需要；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。高效性：IP地址的分配必須采用VLSM技術(shù)，充分合理利用已申請的地址空間，保證IP地址的利用效率，采用CIDR技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小；2）IP地址規(guī)劃的依據(jù)和參照標(biāo)準(zhǔn)GB/T1.1–1993《標(biāo)準(zhǔn)化工作導(dǎo)則》GB/T2260-1992《中華人民共和國行政區(qū)劃代碼》RFC0793《TransmissionControlProtocol》RFC0791《InternetProtocol》3）貴醫(yī)院信息化網(wǎng)絡(luò)平臺IP地址規(guī)劃建議根據(jù)貴醫(yī)院信息化網(wǎng)絡(luò)平臺的建設(shè)需求和網(wǎng)絡(luò)規(guī)模，我們初步提出如下建議：a）本次網(wǎng)絡(luò)建設(shè)我們建議采用192.168.X.X的地址區(qū)，這樣有利有網(wǎng)絡(luò)的統(tǒng)一化管理和擴(kuò)展，降低未來擴(kuò)展的工作難度和成本。b）采用192.168.X.X的地址區(qū)，可充分滿足網(wǎng)絡(luò)擴(kuò)展的需要，對各類地址需求都可以做到足夠的預(yù)留。3．2信息化網(wǎng)絡(luò)平臺VLAN劃分建議在醫(yī)院的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中，VLAN的劃分是非常重要的部分，很好的利用VLAN技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。主要突出為以下幾點：1）VLAN劃分，可以避免廣播風(fēng)暴，在信息化網(wǎng)絡(luò)平臺尤為突出，在多媒體、視頻點播等很容易引起廣播信息；劃分之后，VLAN是廣播只在子網(wǎng)中進(jìn)行，不會做無意義的廣播，消除了廣播風(fēng)暴產(chǎn)生的條件。2）VLAN劃分，可以增加網(wǎng)絡(luò)的安全性，在不同的VLAN之間不能隨意通訊，只限與本子網(wǎng)間通訊，不會對其他的子網(wǎng)產(chǎn)生干擾。要進(jìn)行訪問，需要通過三層交換，這樣信息流就得到相當(dāng)好的控制。3）網(wǎng)絡(luò)管理系統(tǒng)采用完全獨立的IP子網(wǎng)和VLAN，實現(xiàn)更加安全的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。建立VLAN和IP子網(wǎng)的對應(yīng)關(guān)系。4）提高管理效率，實現(xiàn)虛擬的工作組，減少站點的移動和改變的開銷。5）VLAN間的子網(wǎng)訪問，可以在核心三層功能上實現(xiàn)，優(yōu)化了組網(wǎng)。建議在每個交換機(jī)劃分在一個特定的VLAN，每個VLAN對應(yīng)一個C類的私有地址等網(wǎng)段。3．3路由選擇大型路由網(wǎng)絡(luò)中選擇適當(dāng)?shù)穆酚蓞f(xié)議，進(jìn)行認(rèn)真的地址和路由規(guī)劃，對于優(yōu)化整個網(wǎng)絡(luò)的性能，保證網(wǎng)絡(luò)的擴(kuò)展性，健壯性具有非常重要的意義。貴醫(yī)院信息化網(wǎng)絡(luò)平臺具有規(guī)模大、應(yīng)用復(fù)雜（不僅有普通數(shù)據(jù)應(yīng)用、核心數(shù)據(jù)流，還將有音頻、視頻等多種類型的流媒體應(yīng)用），容量要求高等特點。因此，在IP網(wǎng)絡(luò)方案中應(yīng)該非常重視路由的策略及優(yōu)化。路由協(xié)議包括兩部分：域間路由協(xié)議，域內(nèi)路由協(xié)議。域間路由協(xié)議：BGP是Internet特有的對等路由協(xié)議，目前的版本是BGP－4。BGP－4分為EBGP和IBGP。EBGP用于ISP之間或者ISP與大客戶之間交換路由信息，IBGP用于在ISP內(nèi)部傳遞外部路由信息。建議在國際、國內(nèi)出口處、省際網(wǎng)之間均運行EBGP，同時在網(wǎng)內(nèi)必要的節(jié)點上運行IBGP(如，構(gòu)建MPLS-VPN時)，由于IBGP必須作全連接，所有核心路由器或核心路由交換機(jī)。上配置全網(wǎng)狀的IBGP連接。一般采用BGP-4。分域的目的是為了減少每個域內(nèi)路由條目的數(shù)量，便于維護(hù)和管理。域內(nèi)路由協(xié)議：域內(nèi)路由協(xié)議要求采用動態(tài)路由協(xié)議（RIP、RIPV2、OSPF、EIGRP、IS-IS、IGRP），常用的路由協(xié)議有RIP、RIPV2、和OSPF。RIP不支持變長子網(wǎng)，網(wǎng)絡(luò)收斂速度較慢，設(shè)備間轉(zhuǎn)發(fā)的路由信息比較多，每次交換路由信息都會把整個路由表廣播出去，嚴(yán)重浪費帶寬；RIPV2雖然支持變長子網(wǎng)，但依然有收斂速度慢，交換內(nèi)容多等弊端，不適合作為一個運行商內(nèi)部的網(wǎng)絡(luò)路由協(xié)議。OSPF具有收斂速度寬，占用帶寬資源少等特點。下表是對不同路由協(xié)議的比較：比較項RIPRIPv2OSPF協(xié)議類型距離矢量距離矢量連接狀態(tài)支持變長子網(wǎng)]不支持支持支持網(wǎng)絡(luò)規(guī)模最多16跳最多16跳100個路由器支持域的劃分不支持不支持支持信息交換間隔30秒30秒有變動就交換無變動2小時路由表交換內(nèi)容全部路由表全部路由表更新過的內(nèi)容路由收斂時間180秒180秒30秒建議目前網(wǎng)絡(luò)通信平臺采用靜態(tài)路由，隨著后期網(wǎng)絡(luò)規(guī)模的越來越大，可擴(kuò)展為動態(tài)路由，如果采用動態(tài)路由，建議采用最短路由優(yōu)先協(xié)議（OSPF）作為貴醫(yī)院信息化網(wǎng)絡(luò)平臺IP網(wǎng)的域內(nèi)路由協(xié)議。4、QoS規(guī)劃4．1QoS介紹隨著Internet的迅速發(fā)展，Internet上不僅流量急劇增長，流量的特征也發(fā)生了很大的變化。新型的網(wǎng)絡(luò)應(yīng)用系統(tǒng)（如實時多媒體應(yīng)用，IP電話、VOD視頻點播等）在網(wǎng)絡(luò)帶寬、延遲及丟包率方面有著不同的要求，這需要網(wǎng)絡(luò)能夠針對不同類型的業(yè)務(wù)提供服務(wù)質(zhì)量（QoS）的保證。但是，IP技術(shù)本身只能提供“盡力（best-effort）”服務(wù)模式，缺乏完善的QoS機(jī)制，無法適應(yīng)計算機(jī)及應(yīng)用系統(tǒng)多樣化的要求。現(xiàn)今的網(wǎng)絡(luò)環(huán)境，要想真正改變網(wǎng)絡(luò)的效率，更好的應(yīng)用服務(wù)，就要實現(xiàn)端到端的QOS，相對于從數(shù)據(jù)幀在一進(jìn)入網(wǎng)絡(luò)時（接入層）就給它有針對性的做出不同優(yōu)先級，分配不同帶寬應(yīng)用于服務(wù)，做到智能到邊緣的網(wǎng)絡(luò)結(jié)構(gòu)，來更好的保證網(wǎng)絡(luò)的運營。4．2QoS的規(guī)劃本方案交換機(jī)均擁有完善的QoS功能，能夠提供傳輸品質(zhì)服務(wù)。你可以針對某種類別的數(shù)據(jù)流，為它賦予某個級別的傳輸優(yōu)先級、標(biāo)識它的相對重要性，并使用交換機(jī)所提供的各種分優(yōu)先級轉(zhuǎn)發(fā)策略、擁塞避免等機(jī)制為這些數(shù)據(jù)流提供特殊的傳輸服務(wù)。配置了QoS的網(wǎng)絡(luò)環(huán)境，增加了網(wǎng)絡(luò)的性能可預(yù)知性，并能夠有效地分配網(wǎng)絡(luò)帶寬，更加合理地利用網(wǎng)絡(luò)資源。本方案交換機(jī)的QoS實現(xiàn)以IETF的DiffServ體系為基礎(chǔ)，因此可以與基于DiffServ體系實現(xiàn)的其它廠商設(shè)備實現(xiàn)QOS互操作。DiffServ體系規(guī)定每一個傳輸報文將在網(wǎng)絡(luò)中被分類到不同的類別，分類信息被包含在了IP報文頭中，DiffServ體系使用了IP報文頭中的TOS（TypeOfService）中的前6個比特來攜帶報文的分類信息。當(dāng)然分類信息也可以被攜帶在鏈路層報文頭上。一般地，附帶在報文中的分類信息有：攜帶在802.1Q幀頭的TagControlInformation中的前3個比特，它包含了8個類別的優(yōu)先級信息，通常稱這三個比特為為UserPrioritybits。攜帶在IP報文頭中的TOS字段前3個比特，稱作IPprecedencevalue；或者攜帶在IP報文頭中的TOS字段前6個比特，稱作DifferentiatedServicesCodePoint(DSCP)value。在遵循DiffServ體系的網(wǎng)絡(luò)中，各交換機(jī)和路由器對包含同樣分類信息的報文采取同樣的傳輸服務(wù)策略，對包含不同分類信息的報文采取不同的傳輸服務(wù)策略。報文的分類信息可以被網(wǎng)絡(luò)上的主機(jī)、交換機(jī)、路由器或者其它網(wǎng)絡(luò)設(shè)備賦予?？梢曰诓煌膽?yīng)用策略或者基于報文內(nèi)容的不同為報文賦予類別信息。識別報文的內(nèi)容以便為報文賦予類別信息的做法往往需要消耗網(wǎng)絡(luò)設(shè)備的大量處理資源，為了減少骨干網(wǎng)絡(luò)的處理開銷，做到了賦予類別信息在網(wǎng)絡(luò)邊緣進(jìn)行實現(xiàn)，從而節(jié)省了骨干網(wǎng)絡(luò)處理器的開銷，做到了智能到邊緣的概念。在本方案中我們可以標(biāo)識關(guān)鍵應(yīng)用的數(shù)據(jù)流，比如HIS、PACS、語音以及視頻會議等。對關(guān)鍵的數(shù)據(jù)流優(yōu)先處理，保障XXXXXX醫(yī)院的關(guān)鍵網(wǎng)絡(luò)應(yīng)用。5、ARP攻擊防范5．1ARP攻擊的種類目前局域網(wǎng)內(nèi)的計算機(jī)所感染的“ARP欺騙”系列病毒已經(jīng)有了幾十個變種。根據(jù)這些變種的工作特點和外部特性大概可以分為四大類：1）仿冒網(wǎng)關(guān)攻擊現(xiàn)象：全網(wǎng)同樣配置下，唯獨某臺電腦無法上網(wǎng)。查看每臺PC機(jī)的ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址錯誤。重啟PC機(jī)后恢復(fù)正常，但過一段時間網(wǎng)絡(luò)又瞬間癱瘓。正如下圖所示，該PC機(jī)的ARP表中網(wǎng)關(guān)的MAC地址已被修改另外一臺PC機(jī)的地址，顯然該PC機(jī)無法再同網(wǎng)關(guān)通信了，無法上網(wǎng)了。原因：攻擊者偽造ARP報文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報文給被攻擊的主機(jī)，使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對應(yīng)關(guān)系。這樣一來，主機(jī)訪問網(wǎng)關(guān)的流量，被重定向到一個錯誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。這樣，哪臺PC機(jī)的ARP表被攻擊者修改，哪臺設(shè)備也就無法正常上網(wǎng)了。2）欺騙網(wǎng)關(guān)攻擊現(xiàn)象：網(wǎng)絡(luò)中PC逐臺掉線，甚至全網(wǎng)內(nèi)PC都無法上網(wǎng)。查看路由器ARP表項，發(fā)現(xiàn)很多錯誤地址。重啟路由器后恢復(fù)正常，但過一段時間PC又開始掉線，導(dǎo)致很多用戶懷疑是路由器故障。正如下圖所示，網(wǎng)關(guān)路由器的ARP表中各臺PC機(jī)的MAC地址已不正確，這些PC機(jī)無法再同網(wǎng)關(guān)通信，無法上網(wǎng)。原因：攻擊者偽造ARP報文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身ARP表中原合法用戶的IP地址與MAC地址的對應(yīng)關(guān)系。這樣一來，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個錯誤的MAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。3）“中間人”攻擊現(xiàn)象：某臺PC上網(wǎng)突然掉線，一會又恢復(fù)了，但恢復(fù)后一直上網(wǎng)很慢。查看該PC機(jī)的ARP表，網(wǎng)關(guān)MAC地址已被修改，而且網(wǎng)關(guān)上該PC機(jī)的MAC也是偽造的。該PC機(jī)和網(wǎng)關(guān)之間的所有流量都中轉(zhuǎn)到另外一臺機(jī)子上了。同樣，也會表現(xiàn)為局域網(wǎng)內(nèi)PC機(jī)之間共享文件等正常通信非常慢。原因：ARP“中間人”攻擊，又稱為ARP雙向欺騙。如下圖所示，如果有惡意攻擊者（HostB）想探聽HostA和HostC之間的通信，它可以分別給這兩臺主機(jī)發(fā)送偽造的ARP應(yīng)答報文，使HostA和HostC用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項。此后，HostA和HostC之間看似“直接”的通信，實際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即HostB擔(dān)當(dāng)了“中間人”的角色，可以對信息進(jìn)行了竊取和篡改。4）ARP報文泛洪攻擊現(xiàn)象：經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看ARP表項也都正確，但在網(wǎng)絡(luò)中抓報文分析，發(fā)現(xiàn)大量ARP請求報文。（正常情況時，網(wǎng)絡(luò)中ARP報文所占比例是很小的）原因：惡意用戶利用工具構(gòu)造大量ARP報文發(fā)往交換機(jī)、路由器或某臺PC機(jī)的某個端口，導(dǎo)致CPU忙于處理ARP協(xié)議，負(fù)擔(dān)過重，造成設(shè)備其他功能不正常甚至癱瘓。以上是ARP病毒的四種基本攻擊類型，實際中ARP病毒還可變種為更多的攻擊方式。例如，有的ARP病毒就專門在網(wǎng)吧中盜竊別人的QQ、網(wǎng)絡(luò)游戲賬號，使用的就是改進(jìn)的仿冒網(wǎng)關(guān)攻擊。但萬變不離其宗，只要能夠防御四種基本攻擊方式，ARP病毒就無計可施了。5．2本方案的ARP防范方法下面介紹防范ARP攻擊的幾種常用方法：根據(jù)ARP攻擊的特點，給出了攻擊和防范對應(yīng)表。攻擊方式防御方法動態(tài)獲取IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ARP中間人攻擊”配置DHCPSnooping、ARP入侵檢測功能手工配置IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ARP中間人攻擊”配置IP靜態(tài)綁定表項、ARP入侵檢測功能ARP泛洪攻擊配置ARP報文限速功能動態(tài)和手工配置IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”攻擊配置認(rèn)證模式的ARP攻擊防御解決方案(CAMS下發(fā)網(wǎng)關(guān)配置功能)6、網(wǎng)絡(luò)安全規(guī)劃隨著醫(yī)院信息化系統(tǒng)網(wǎng)絡(luò)上IT應(yīng)用的不斷增加以及網(wǎng)絡(luò)中設(shè)備的增加，網(wǎng)絡(luò)邊界安全成為最重要的安全問題之一，需要組合型的安全解決方案。對醫(yī)院信息化系統(tǒng)邊界進(jìn)行安全防護(hù)，首先必須明確哪些網(wǎng)絡(luò)邊界需要防護(hù)，這可以通過安全分區(qū)來確定。定義安全分區(qū)的原則就是首先根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對安全資產(chǎn)定義安全策略和安全級別，對于安全策略和級別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。根據(jù)以上原則，H3C提出醫(yī)院信息化系統(tǒng)的安全分區(qū)模型，主要包括：內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū)、廣域網(wǎng)連接區(qū)等。信息化網(wǎng)絡(luò)安全隱患眾多，有來自外網(wǎng)的和來自內(nèi)網(wǎng)的。參照以上的分區(qū)，考慮到當(dāng)前網(wǎng)絡(luò)上的主要威脅，我們建議網(wǎng)絡(luò)出口采用統(tǒng)一威脅管理設(shè)備H3CSecPathU200-S，該設(shè)備集成傳統(tǒng)防火墻、VPN、病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。7、本信息化網(wǎng)絡(luò)平臺解決方案優(yōu)勢1）網(wǎng)絡(luò)核心高性能網(wǎng)絡(luò)核心交換設(shè)備要求很高的轉(zhuǎn)發(fā)性能和可靠性，同時支持萬兆技術(shù)的擴(kuò)展，以方便日后的網(wǎng)絡(luò)升級改造。H3CS5500-EI其背板帶寬高達(dá)192GGbps、包轉(zhuǎn)發(fā)速率為95.2Mpps，具備L2/L3線速交換能力?；谙冗M(jìn)的理念進(jìn)行設(shè)計，具備10GE、GE、FE、POS等各種豐富的接口模塊，，并全面支持ACL、組播、QoS、帶寬控制等業(yè)務(wù)功能。在現(xiàn)行網(wǎng)絡(luò)環(huán)境中可以很好的勝任。2）網(wǎng)絡(luò)的高安全性網(wǎng)絡(luò)的發(fā)展趨勢是基于InternetWeb技術(shù)的開放網(wǎng)絡(luò)化系統(tǒng)。這不僅帶來了新的巨大的使用方便，同時也帶來了不斷增加的復(fù)雜應(yīng)用及信息技術(shù)的挑戰(zhàn)，因而安全是醫(yī)院系統(tǒng)網(wǎng)絡(luò)建設(shè)中要考慮的一個關(guān)鍵因素。主要考慮邊界安全和接入安全。邊界安全涉及到出口設(shè)備的種類和功能，決定網(wǎng)絡(luò)的不同區(qū)域允許或拒絕何種業(yè)務(wù)，特別是在外網(wǎng)和內(nèi)網(wǎng)之間。網(wǎng)絡(luò)出口采用統(tǒng)一威脅管理設(shè)備H3CSecPathU200-S，該設(shè)備集成傳統(tǒng)防火墻、VPN、病毒防護(hù)、URL過濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、P2P/IM應(yīng)用層流量控制和用戶行為審計等安全功能。接入安全涉及主樓、附樓、醫(yī)技樓、婦兒樓、綜合樓、內(nèi)科樓等區(qū)域。由于信息點眾多，上網(wǎng)等原因，非常容易遭受病毒、黑客等的攻擊，造成網(wǎng)絡(luò)癱瘓。E126A/E152是兩款全線速的安全智能交換機(jī)，可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境，實施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運營。3）QOS設(shè)計本方案所有網(wǎng)絡(luò)設(shè)備提供智能的流分類、完善的服務(wù)質(zhì)量（QoS）和組播應(yīng)用管理特性?？梢栽诮尤雽訉崿F(xiàn)QOS，分擔(dān)核心設(shè)備負(fù)擔(dān)，保障關(guān)鍵應(yīng)用。在醫(yī)院網(wǎng)絡(luò)上運行的應(yīng)用系統(tǒng)應(yīng)綜合考慮醫(yī)院的HIS系統(tǒng)、辦公系統(tǒng)、PACS系統(tǒng)以及語音及視頻應(yīng)用，尤其在考慮語音及視頻應(yīng)用時應(yīng)注意對鏈路帶寬的影響。在一定的網(wǎng)絡(luò)資源條件下，可利用各種技術(shù)實施對于關(guān)鍵的應(yīng)用系統(tǒng)的保障。如通過先進(jìn)的隊列機(jī)制進(jìn)行擁塞控制，對不同等級的數(shù)據(jù)進(jìn)行不同的處理，包括時延的不同和丟包率的不同；采用具備先期擁塞控制機(jī)制的網(wǎng)絡(luò)設(shè)備，當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞前就自動采取適當(dāng)?shù)拇胧?，進(jìn)行先期擁塞控制，避免瞬間大量的丟包現(xiàn)象；對非常重要的特殊應(yīng)用，應(yīng)可以采用保留帶寬資源的方式保證其QoS4）高帶寬的千兆為主干網(wǎng)從網(wǎng)絡(luò)的整體結(jié)構(gòu)上我們可以看出整個網(wǎng)絡(luò)的設(shè)計是采用千兆為主干，核心與接入之間均采用千兆的方式，接入與最終用戶之間采用百兆的方式進(jìn)行互通。5）千兆到服務(wù)器醫(yī)院內(nèi)整個網(wǎng)絡(luò)將有大量的數(shù)據(jù)將流向各類應(yīng)用服務(wù)器。顯然，如果服務(wù)器端使用普通的10/100M帶寬將是整個網(wǎng)絡(luò)的瓶頸，造成整個網(wǎng)絡(luò)的擁塞。S5750-24SFP/12GT交換機(jī)提供12個1000M口，有效解決了服務(wù)器的千兆接入需求。6）可擴(kuò)展性從我國醫(yī)院信息系統(tǒng)的發(fā)展來看，目前隨著門診系統(tǒng)，住院系統(tǒng)、PACS系統(tǒng)以及遠(yuǎn)程醫(yī)療的網(wǎng)絡(luò)化，應(yīng)用系統(tǒng)的大規(guī)模使用使得業(yè)務(wù)流膨脹是必然的趨勢，網(wǎng)絡(luò)系統(tǒng)面臨數(shù)據(jù)流量增大的壓力，在設(shè)計醫(yī)院系統(tǒng)信息網(wǎng)絡(luò)時應(yīng)充分考慮系統(tǒng)的可擴(kuò)展性，從而保護(hù)網(wǎng)絡(luò)系統(tǒng)投資。網(wǎng)絡(luò)的擴(kuò)展能力包括設(shè)備交換容量的擴(kuò)展能力、端口數(shù)量的擴(kuò)展能力、主干帶寬的擴(kuò)展，以及網(wǎng)絡(luò)規(guī)模的擴(kuò)展能力。交換容量擴(kuò)展應(yīng)具備在現(xiàn)有基礎(chǔ)上繼續(xù)擴(kuò)充的能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的需求。設(shè)備的選型應(yīng)充分考慮包轉(zhuǎn)發(fā)能力以及數(shù)據(jù)交換能力。端口密度擴(kuò)展需要認(rèn)真分析用戶和應(yīng)用系統(tǒng)的擴(kuò)展可能性，在具備擴(kuò)展可能性的信息節(jié)點配置高可擴(kuò)展性的網(wǎng)絡(luò)設(shè)備，滿足網(wǎng)絡(luò)擴(kuò)容時對用戶接入以及系統(tǒng)互聯(lián)的需要。在整個網(wǎng)絡(luò)的核心部署了華為3Com的高端萬兆路由交換機(jī)S5500，可以支持萬兆的線速轉(zhuǎn)發(fā)，為將來XXXXXX醫(yī)院全面的信息化提供網(wǎng)絡(luò)擴(kuò)展能力的保證。主干設(shè)備應(yīng)具備充足的接口，滿足更高的帶寬擴(kuò)展能力，以適應(yīng)IP類應(yīng)用及業(yè)務(wù)急速膨脹的需求。網(wǎng)絡(luò)規(guī)模擴(kuò)展需綜合考慮網(wǎng)絡(luò)體系結(jié)構(gòu)、路由協(xié)議的規(guī)劃和設(shè)備的CPU路由處理能力，應(yīng)能滿足網(wǎng)絡(luò)擴(kuò)容時對用戶接入以及數(shù)據(jù)流量變化或增大時處理能力的需要。五、應(yīng)用系統(tǒng)平臺設(shè)計1、IBM虛擬化平臺解決方案1．1方案簡述IBM通過Systemx3850M2服務(wù)器+DS3400SAN光纖存儲系統(tǒng)部署的虛擬化平臺幫助醫(yī)院整合服務(wù)器、操作系統(tǒng)、應(yīng)用平臺，提供資源動態(tài)調(diào)整、虛擬HA、虛擬機(jī)動態(tài)部署遷移、虛擬備份全方位虛擬化及整合解決方案。該方案將會是您簡化IT基礎(chǔ)設(shè)施從而降低成本的理想選擇。IBM公司提供的基于虛擬化技術(shù)的服務(wù)器整合解決方案使客戶能充分享受及利用到IBM的Systemx?ex4企業(yè)級服務(wù)器及虛擬化應(yīng)用軟件VMWARE的功能與優(yōu)勢：可擴(kuò)展的服務(wù)器策略及RSA（可靠性，可用性和可服務(wù)性）的特點?？梢詭椭蛻艚档蛒86服務(wù)器成本，解決服務(wù)器無序擴(kuò)張，利用率低下難題。IBM虛擬化平臺解決方案可以給您帶來以下價值：幫助客戶整合服務(wù)器平臺，減少硬件占用空間。減少硬件部署和維護(hù)成本幫助客戶提高服務(wù)器資源利用率，提高業(yè)務(wù)可靠性。幫助客戶改善管理靈活性，宕機(jī)等災(zāi)難情況下減少恢復(fù)時間，降低冗余度的前提下提高可用性降低運營和維護(hù)成本，包括數(shù)據(jù)中心空間、機(jī)柜、網(wǎng)線，耗電量，冷氣空調(diào)和人力成本等。加快新服務(wù)器和應(yīng)用的部署，大大降低服務(wù)器重建和應(yīng)用加載時間。1．2方案設(shè)計IBM建議配置兩臺最新的基于四核CPU技術(shù)的SystemX3850M2服務(wù)器，同時每臺服務(wù)器上都安裝配置VMware第三代虛擬架構(gòu)套件-VI3企業(yè)版軟件，用于在單個物理服務(wù)器實體上，利用服務(wù)器強大的處理能力，生成多個虛擬服務(wù)器，而每一個虛擬服務(wù)器，從功能、性能和操作方式上，等同于傳統(tǒng)的單臺物理服務(wù)器，在每個虛擬服務(wù)器上，再安裝配置Windows或Linux操作系統(tǒng)，進(jìn)而再安裝應(yīng)用軟件，這樣以前的每個物理服務(wù)器就變身成為VMwareInfrastructure3.0服務(wù)器上的虛擬機(jī)，從而大大提高資源利用率，降低成本，增強了系統(tǒng)和應(yīng)用的可用性，提高系統(tǒng)的靈活性和快速響應(yīng)，完美的實現(xiàn)了服務(wù)器虛擬架構(gòu)的整合。為了實現(xiàn)數(shù)據(jù)的集中存儲、集中備份以及充分利用VMware虛擬架構(gòu)中虛擬機(jī)可動態(tài)在線從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器上的特性，建議配置一臺DS3400光纖存儲，組成標(biāo)準(zhǔn)的SAN集中存儲架構(gòu)，由VMware虛擬架構(gòu)套件生產(chǎn)出來的虛擬機(jī)的封裝文件都存放在SAN存儲陣列上。通過共享的SAN存儲架構(gòu)，可以最大化的發(fā)揮虛擬架構(gòu)的優(yōu)勢，進(jìn)行在線地遷移正在運行的虛擬機(jī)（VMwareVMotion），進(jìn)行動態(tài)的資源管理（VMwareDRS），和集中的基于虛擬機(jī)快照技術(shù)的LanFree的整合備份（VMwareVCB）等，而且為以后的容災(zāi)提供擴(kuò)展性和打下基礎(chǔ)。為了集中管理和監(jiān)控虛擬機(jī)、實現(xiàn)自動化以及簡化資源調(diào)配，建議單獨配置一套服務(wù)器安裝Window系統(tǒng)，用于安裝VI3套件中的VirtualCenter軟件，對兩臺物理服務(wù)器及其上的虛擬服務(wù)器進(jìn)行統(tǒng)一的管理。硬件配置服務(wù)器2臺：X3850M2服務(wù)器，配兩個Intel四核XeonProcessor7320(2.13GHz/4MBL2QuadCore)處理器；配8GB(8x1GB)內(nèi)存；配2個146GB10KSAS2.5"熱插拔硬盤；集成兩個NC373i多功能千兆網(wǎng)卡；配置2塊4GbpsFCSingle-PortPCI-EHBA卡；配2個熱插拔冗余電源。存儲系統(tǒng)：DS3400雙controller（雙控制器）；每個控制器有2個4GbFibreChannel端口；配置7塊300GB10KSAS熱插拔硬盤；冗余電源。全冗余鏈路，無任何單點故障。方案拓?fù)鋱D如下：1．3方案的優(yōu)勢更好的硬件設(shè)計X架構(gòu)，為ex4企業(yè)級x86服務(wù)器。更好的表現(xiàn)，帶來更高的整合密度，因而降低整體成本。綠色設(shè)計，最大限度降低能源/冷卻需求，節(jié)省設(shè)施費用。更好的RAS（可靠性，可用性和可服務(wù)性）的設(shè)計，提供一個更加安全的整合環(huán)境基礎(chǔ)。經(jīng)過無數(shù)成功的客戶整合項目積累了更有效的技能/工具和經(jīng)驗。提供穩(wěn)定的整合功能及高可用性。提供更多的虛擬化功能。可以將所有服務(wù)器作為大的資源統(tǒng)一進(jìn)行管理，并按需進(jìn)行資源調(diào)配。隨機(jī)附送ServerGuide軟件可以幫助客戶輕松導(dǎo)航式安裝所需操作系統(tǒng)?？蛻艨梢酝ㄟ^隨機(jī)附送的IBMDirector軟件獲得包括資產(chǎn)報表管理等150多種實用管理功能。2、HA(高可用)系統(tǒng)設(shè)計1．1采用HA系統(tǒng)的必要性信息系統(tǒng)的數(shù)據(jù)就是資產(chǎn)，是醫(yī)院的寶貴的財富。在計算機(jī)應(yīng)用十分普及的今天，保障數(shù)據(jù)的安全性已經(jīng)深入人心，在信息化程度越來越高的醫(yī)療行業(yè)，系統(tǒng)和數(shù)據(jù)的安全性也同樣重要，對系統(tǒng)和數(shù)據(jù)的高可用性和高安全性有著更迫切的需求，因為每一分鐘的工作中斷都會導(dǎo)致經(jīng)濟(jì)重大損失。因此，如何在現(xiàn)有網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，設(shè)計構(gòu)造一套合理高效的網(wǎng)絡(luò)應(yīng)急計劃方案，建立起具有自動啟動數(shù)據(jù)恢復(fù)和災(zāi)難重建的機(jī)制，從而一旦出現(xiàn)網(wǎng)絡(luò)故障或系統(tǒng)崩潰時，能迅速地恢復(fù)系統(tǒng)和數(shù)據(jù)，保證業(yè)務(wù)永不停頓的進(jìn)行，這是各行業(yè)面臨和必須解決的一項重要任務(wù)。XXXX公司信一直同各大存儲廠商合作，竭力為客戶提供高可用性和高安全性的存儲產(chǎn)品和解決方案。針對XXXXXX醫(yī)院HIS對系統(tǒng)和數(shù)據(jù)的高可用性和高安全性的需求，我們推薦貴院采用雙機(jī)熱備解決方案。該方案基于Cluster集群技術(shù)，通過軟硬件系統(tǒng)的緊密結(jié)合，為用戶提供了強大的容錯功能，在國內(nèi)大中醫(yī)院的信息系統(tǒng)中有著廣泛的應(yīng)用，經(jīng)過長期的實踐檢驗證明是一種性能優(yōu)越的容錯解決方案。1．2雙機(jī)軟件選擇雙機(jī)系統(tǒng)是典型的高可用系統(tǒng)。當(dāng)用戶的應(yīng)用程序或服務(wù)器出現(xiàn)故障時，雙機(jī)系統(tǒng)能夠自動切換到正常的備份系統(tǒng)上，以保證系統(tǒng)的正常運行。在這種系統(tǒng)中，不僅包括高可用的設(shè)備、高可用的體系結(jié)構(gòu)，還包括運行在這個環(huán)境中的軟件?？梢哉f，軟件是高可用系統(tǒng)的靈魂，是滿足用戶業(yè)務(wù)可持續(xù)性和高可用性要求的關(guān)鍵要素。雙機(jī)軟件的優(yōu)劣直接影響系統(tǒng)的運行，如果發(fā)生致命的錯誤，將直接破壞用戶最重要的磁盤陣列數(shù)據(jù)。因為當(dāng)雙機(jī)系統(tǒng)正常運行時，雙機(jī)軟件會把磁盤陣列鎖死，僅供一臺機(jī)器使用。但如果雙機(jī)軟件不能鎖死磁盤陣列，兩臺機(jī)器可能會同時對磁盤陣列進(jìn)行訪問，從而造成對磁盤陣列文件系統(tǒng)的破壞，導(dǎo)致數(shù)據(jù)丟失。雙機(jī)軟件的另一個關(guān)鍵環(huán)節(jié)是虛擬IP的實現(xiàn)機(jī)制，以此來實現(xiàn)用戶業(yè)務(wù)的連續(xù)性。虛擬IP的實現(xiàn)方式會直接影響到網(wǎng)絡(luò)的流量帶寬和本地網(wǎng)卡的使用效率。雙機(jī)軟件的技術(shù)含量相對較高，從產(chǎn)品質(zhì)量和技術(shù)服務(wù)等方面考慮，用戶應(yīng)當(dāng)選擇有信譽的雙機(jī)軟件產(chǎn)品供應(yīng)商，以便確保關(guān)鍵業(yè)務(wù)的正常運行和關(guān)鍵數(shù)據(jù)的安全可靠。本方案建議采用OracleRAC(realapplicationclusters真正應(yīng)用集群)作為XXXXXX醫(yī)院數(shù)據(jù)庫系統(tǒng)雙機(jī)軟件。RAC(realapplicationclusters真正應(yīng)用集群)是Oracle9i數(shù)據(jù)庫開始采用的一項新技術(shù)，也是Oracle數(shù)據(jù)庫支持網(wǎng)格計算環(huán)境的核心技術(shù)。OracleRealApplicationClusters(RAC)可以支持24x7有效的數(shù)據(jù)庫應(yīng)用系統(tǒng)。1）關(guān)鍵特性：高可用性O(shè)racleRealApplicationClusters提供一個高性能低成本的應(yīng)用平臺，支持所有類型的應(yīng)用系統(tǒng)，無論是事務(wù)處理型應(yīng)用還是分析型應(yīng)用。所有應(yīng)用共享同樣的服務(wù)器和存儲資源。出現(xiàn)任何的服務(wù)器或磁盤故障，系統(tǒng)會自動重新接管發(fā)生故障的功能。這些對前端用戶的完全透明的。同樣，如果您需要增加服務(wù)器或改變其他組件的配置也不會影響到應(yīng)用系統(tǒng)。高性能OracleRealApplicationClusters保持著TPC-C的記錄，達(dá)到每分鐘118萬個事務(wù)的處理能力，和僅僅$5.52每tpmC的成本。在3,000GB的TPC-H數(shù)據(jù)倉庫Benchmark測試中,OracleRAC同樣保持性價比的領(lǐng)先地位，保證我們的用戶能夠達(dá)到更好更快的ROI。這僅僅是Oracle保持的多項Benchmark記錄中的最近的一些指標(biāo)。按需擴(kuò)充您現(xiàn)有的系統(tǒng)可能是基于當(dāng)前的工作負(fù)載而構(gòu)建的，當(dāng)應(yīng)用規(guī)模需要擴(kuò)充時(支持更多的數(shù)據(jù)、用戶或應(yīng)用)，您就需要擴(kuò)展您的系統(tǒng)以保證系統(tǒng)的性能。當(dāng)您的應(yīng)用是構(gòu)建于大型的SMP主機(jī)時，您可能需要購買另一臺昂貴的主機(jī)，但可能只能使用到其處理能力的很小一部分。但是如果您使用OracleRAC的話，您可以通過增加一臺或多臺低成本的服務(wù)器來擴(kuò)充您的應(yīng)用系統(tǒng)的處理能力，滿足應(yīng)用需求。第三方應(yīng)用支持OracleRAC數(shù)據(jù)庫服務(wù)器象一個單一鏡像的數(shù)據(jù)庫服務(wù)器，所有的應(yīng)用無需任何改動都可以直接部署(例如OracleEBS,SAP,Siebel,您自己的應(yīng)用),同時可以提高應(yīng)用性能和可靠性。Oracle和SAP的應(yīng)用在RAC上完成了一系列的benchmarks性能測試，獲得了非常優(yōu)異的測試結(jié)果，象ABB和Colgate一些大客戶都是在OracleRAC上運行他們的SAP應(yīng)用軟件。2）關(guān)鍵優(yōu)勢當(dāng)您在集群環(huán)境下運行您的應(yīng)用，如果不采用OracleRealApplicationClusters10g的話，您的應(yīng)用是運行于單例程狀態(tài)下。雖然您的服務(wù)器是集群的一部分，但實際上相當(dāng)于只運行在一臺單機(jī)上。在硬件集群環(huán)境下，如HPServiceGuard、SunCluster和MicrosoftClusterServices,您可以在集群的任何一個節(jié)點重新啟動Oracle數(shù)據(jù)庫(因為硬盤可以共享).這就是我們所說的‘coldfailover’?！疌oldfailover’切換速度依賴于相關(guān)硬件資源的切換速度，這可能需要5到25分鐘的時間恢復(fù)。如果使用OracleRealApplicationClusters10g，在服務(wù)器發(fā)生故障時，其他存活的服務(wù)器可以自動快速的恢復(fù)故障服務(wù)器的例程。OracleRealApplicationClusters11g可以提供業(yè)界最快的系統(tǒng)恢復(fù)，在60秒內(nèi)可以對系統(tǒng)故障進(jìn)行恢復(fù)，這至少比硬件的‘coldfailover’方案快5倍。OracleRealApplicationClusters六、設(shè)備清單1、網(wǎng)絡(luò)平臺清單XXXX公司產(chǎn)品描述數(shù)量單位單價總價核心交換機(jī)LS-5500-28F-EI-ACH3CS5500-28F-EI-以太網(wǎng)交換機(jī)主機(jī)(24SFP+8GECombo+2Slots)-單交流電源，配置16個SFP-GE-多模模塊-(850nm,0.55km,LC)1臺9100091000接入交換機(jī)急診樓LS-E152-H3H3CE152L2以太網(wǎng)交換機(jī)主機(jī),48個10/100Base-T,4個千兆SFP,交流供電。配配置1個SFP-GE-多模模塊-(850nm,0.55km,LC)2臺1610032200門診樓LS-E152-H3H3CE152L2以太網(wǎng)交換機(jī)主機(jī),48個10/100Base-T,4個千兆SFP,交流供電。配配置1個SFP-GE-多模