卫生部医院信息平台方案网络.ppt

网络技术教研室 基于电子病历的医院信息平台建设 医院信息网络应用需求分析 医院网络基础设施平台架构设计 相关技术 医院信息网络应用需求分析 医院业务应用分析 医院信息网络数据流分析 应用需求总结 医院业务应用分析 临床业务 管理业务 外部共享与交换业务 医院信息网络数据流分析 各区域数据交互均需要通过骨干区域 主要数据流符合C/S架构特点 数据中心区域中，大流量主要集中在业务服务器区以及数据灾备区 内网服务器会与医疗专网出口共享和交互信息 外网服务器会通过互联网出口区对外提供服务 网络安全管理区需管理各个区域流量 应用需求总结 内网业务需求小结 外网业务需求小结 网络出口业务需求小结 医院网络分层、功能分区 医院网络分为数据中心层和终端接入层。 数据中心层主要包括骨干网络区，内网中心服务器区，外网中心服务器区，数据灾备区，安全管理区，医疗专网出口区，互联网出口区等区域。 终端接入区则包含门诊终端接入区，住院终端接入区，医技设备接入区，无线终端接入区，行政终端接入区等区域。 医院网络基础设施平台架构设计 内外网融合的网络架构 内外网分离的网络架构 基于业务的无线网络平台架构 医院内外网融合二层网络架构 医院内外网融合三层网络架构 医院内外分离二层网络架构 医院内外分离三层网络架构 基于业务的独立无线网络平台架构 基于业务的融合无线网络架构 二层网络架构特点 全网接入层设备直连到核心网络设备 特点:全网拓扑简单，所有终端的网关位于核心交换机上。 核心交换机通过MSTP+VRRP、环网技术或者硬件虚拟化技术进行部署，增加冗余性和鲁棒性(健壮性 )。 容易造成核心交换机压力较大，易受到到来自各个区域终端的攻击，导致网络动荡，网络稳定性下降。 三层网络架构特点 全网严格分为核心、汇聚、接入三层。 接入层主要负责接入控制、VLAN划分以及二层网络的隔离与互通等功能;汇聚层设备作为各汇聚区域的网关，进行二层网络访问控制，减轻核心交换压力，分割网络动荡区域，使得局部的问题不影响全局。 三层网络架构特点 汇聚层之上通过三层接口与核心交换机进行互联，运行动态或静态路由协议，提高网络自愈能力。 三层网络架构特点 核心层交换机主要负责高速的三层转发，由于已在汇聚层上进行控制域划分，此时核心层启用的策略更少，性能更高，风险降低。 三层混合网络架构应用 两种架构可以针对不同区域共同使用，形成二二层混合架构。例如将医技终端接入区与核心共同组成二层架构，行政接入区则通过核心一汇聚一接入形成三层架构，将其网关下移至汇聚交换机，降低该区域对骨干网络的影响。 相关技术-虚拟路由冗余协议VRRP 相关技术-多生成树协议MSTP 相关技术-SNMP Simple Network Management Protocol，简单网络管理协议 获取设备信息，管理设备 最常见的默认字符串是public（只读）和private（读/写） 相关技术-VLAN Virtual Local Area Network虚拟局域网 VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 相关技术-POE Power Over Ethernet，以太网供电 工作电压为44～57V,典型值为48V。 工作电流为10～550mA。 电功率为3.84～12.95W。 相关技术-POE 应用空闲脚供电时,4、5脚连接为正极，7、8脚连接为负极。 POE系统包括供电端设备PSE和受电端设备PD两部分。 相关技术-802.1X 802.1X是基于端口的网络接入控制协议。 非受控端口处于连通状态，传递EAPOL协议帧，保证客户端能够收发认证报文。 受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。 相关技术-DHCP Snooping DHCP Snooping通过窥探 DHCP报文，把用户获取的 IP、 MAC、VlanID、PORT、租约时间等信息组成一个用户记录表项，从而形成 DHCP Snooping 用户数据库，配合 ARP检测功能的使用，从而达到控制用户上网的目的。 相关技术-DHCP Snooping 相关技术-BYPASS Bypass指旁路功能，即通过特定的触发状态（断电或死机），让两个网络不通过网络设备的系统，而直接物理连通。 相关技术-IDS IntrusionDetectionSystems入侵检测系统 根据设置的安全策略，通过软硬件监视网络和系统的运行状况，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络资源的机密性、完整性和可用性。 相关技术-BPDU GUARD/FILTER Bridge Protocol Data Unit 网桥协议数据单元 相关技术-BPDU GU