今天分享一篇關於醫院的網絡設計方案。
1.接入層設計
接入層是醫院信息平臺上所有設備的邊緣接入網絡,是將終端接入網絡的邊緣,也是對終端用戶進行訪問控制和隔離的邊緣,是網絡安全邊緣前移和全局網絡安全的基礎。
接入層網絡設備主要由二層以太網交換機和無線接入點等設備組成,其中二層以太網交換機主要是為有線設備提供網絡控制和接入。
作為醫院信息平臺的安全接入設備,接入層交換機應選用智能網管型交換機,具備VLAN 劃分,端口隔離,安全地址綁定,抗攻擊,QoS,防雷擊等功能,支持標準的802.1x 訪問控制,支持標準的SNMP 簡單網絡管理協議,支持DHCP-Snooping 等功能,支持標準的RSTP,MSTP生成樹協議。
接入層的設計需要充分考慮設備的穩定性、安全性、冗餘性和高性能,上聯至數據中心的鏈路儘量使用雙鏈路上聯,通過生成樹協議生成無環拓撲,避免廣播風暴,保證終端設備穩定,安全,高速的接入醫院信息網絡平臺。
2.匯聚層設計
匯聚層是連接接入層與核心層之間的網絡層,為接入層提供數據的匯聚,傳輸,管理,分發處理,集中接入層流量,再轉發至核心層的功能,是局域網中隔離動盪的控制點,也是區域網絡流量上收的關鍵點。
匯聚層為接入層提供基於策略的連接,如地址合併,協議過濾,路由服務,認證管理等。通過網段劃分(如VLAN)與網絡隔離可以防止某些網段的問題蔓延和影響到核心層。匯聚層同時也可以提供接入層虛擬網之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩定。
匯聚層設計為連接本地的邏輯中心,仍需要較高的性能和比較豐富的功能。匯聚層設備一般採用可管理的三層交換機或堆疊式交換機以達到帶寬和傳輸性能的要求。其設備性能較好,但價格高於接入層設備,而且對環境的要求也較高,對電磁輻射、溫度、溼度和空氣潔淨度等都有一定的要求。
匯聚層設備之間以及匯聚層設備與核心層設備之間多采用光纖互聯,以提高系統的傳輸性能和吞吐量。
用戶訪問控制一般會安排在在接入層,但也可以安排在匯聚層進行。在匯聚層實現安全控制和身份認證時,採用的是集中式的管理模式。當網絡規模較大時,可以設計綜合安全管理策略,例如在接入層實現身份認證和MAC 地址綁定,在匯聚層實現流量控制和訪問權限約束。
3.網絡核心層
網絡核心層是醫院信息平臺網絡數據的骨幹交換區域,各接入層數據經匯聚層匯聚後集中轉發至核心層進行高速交換。
核心層的主要職為負責整個醫院信息平臺數據的高速轉發,相關的策略應該儘量較少。
核心層由於是整個網絡的核心,從設備上來講,需要在考慮高性能,高穩定性的同時,充分考慮設備引擎、業務線卡、電源、風扇等的冗餘,同時需要具備的一定的抗攻擊能力,如中央處理器保護能力,基礎網絡保護能力。
從架構上來講,需要充分考慮核心層設備間的冗餘備份和負載均衡,利用MSTP/RSTP+VRRP 技術,自愈環網技術,或者是通過更好的核心層設備的硬件虛擬化技術,實現設備級的冗餘備份,同時,在設計時還應充分考慮網絡鏈路的冗餘性和可靠性,提高網絡防災能力。
設備選型
1. 核心層設備建議選用高性能的萬兆三層交換機,通過千兆鏈路與匯聚層設備相連,通過萬兆鏈路進行核心層互聯。
在設備選擇上,應充分考慮設備自身的冗餘性,如電源冗餘、引擎冗餘、業務線卡冗餘、所有線卡及電源支持熱拔插,同時應具備一定的自我保護機制,如中央處理器保護機制,基礎網絡保護機制等。
在網絡規劃時,應充分考慮網絡架構的冗餘性設計,建議採用兩臺或兩臺以上組成雙核心或多核心環網,核心之間可進行冗餘互備以及負載分擔,減小由於單核心造成的設備壓力及單點故障。
2. 匯聚層設備建議選用性能較高,且具備豐富安全功能的全千兆三層交換機,通過千兆與接入交換機以及核心交換機相連,同時匯聚交換機建議具備萬兆擴展能力,方便後續網絡升級。
匯聚層設備需具備一定的穩定性,門診區域建議採用雙匯聚設備,保證網絡高可靠。
3. 接入層設備建議內網中心服務器區、外網中心服務器區、安全網絡控制區、數據災備區、醫技終端接入區、無線終端接入區採用全千兆二層交換機作為接入設備,其他接入區域採用百兆二層交換機,千兆上聯。
接入層交換機應選用智能網管型交換機,具備VLAN 劃分,二層訪問控制列表,MSTP,RSTP,BPDU GUARD,BPDU FILTER,DHCP Snooping,安全地址綁定,802.1x 等功能。
接入層交換機還應具備良好的防雷擊特性,由於醫院信息平臺對網絡穩定性要求的特殊性,建議以太網接口具備高於國家標準的防雷擊能力。同時能在一定程度上抵抗網絡攻擊,如中央處理器保護,基礎網絡保護等。
4. 出口設備應選擇高性能路由器或專用出口設備作為網絡出口,並添加防火牆進行域間網絡訪問控制。路由器應具備大容量、高性能的NAT轉換能力,能夠進行智能選路,並提供豐富的廣域網接口。除此之外,路由器還應具備較高的冗餘性和抗網絡攻擊能力。防火牆作為域間網絡隔離點,需支持多種訪問控制策略的制定,以及高性能的數據轉發能力,避免成為網絡性能瓶頸。
出口設備應包含整合出口路由,防火牆,VPN,流控設備,上網行為管理的單一設備,或部分整合設備。
出口設備也可以使路由器,防火牆,VPN,流控設備,上網行為管理設備的組合。
出口路由應高性能路由器,保證院內終端對互聯網的高速訪問,同時為外網訪問內網WEB 服務器提供高速鏈路通道。
防火牆設備作為局域網和廣域網的分割點,其訪問控制功能至關重要,故防火牆需支持類型豐富的網絡訪問控制策略設置。
VPN 設備應選用可支持IPSECVPN和SSLVPN 的設備,保證VPN 接入方式的靈活性。流控設備應具備較高且較為精細的流量識別功能,可基於流量識別對網絡流量進行控制,保證網絡帶寬充分有效的利用。
上網行為管理設備,主要是通過URL 過濾庫的設置,規範員工上網行為,保證網絡安全,提升工作效率。
閱讀更多 SPOTO—思科華為培訓 的文章
