对所接入的网络设备要求很高,使整个接入层产生了一个业务接入瓶颈。
(3)、网络的访问终结于共享数据的特定位置,因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器,而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器,就需要这几个用户争抢网络带宽,使接入层瓶颈提升到核心层,造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的,网络一定会出现闲置的带宽的现象,如何规划路由将非常重要。 (4)、网络流量和网络流向是宽带网络的一个新瓶颈。
对于宽带网络接入,接入层网络的通常是以新2/8原则来划分的,其中有20%的流量是在接入层交换机的内部进行交换的,而80%的网络流量是通过上联出口访问其他的网络设备。这里,就涉及到网络产生流量后,网络流向的问题,网络流向直接造成网络对于流量和流向所产生的网络瓶颈。
(5)、网络用户是局域网用户,实际接入的用户就是一个网络,那么对于不同网络之间的互访的安全性控制更是由为重要,同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的,对其他部门的用户的访问是分为很多的不同的级别的。
2.1.3 链路层需求分析
对于××医院这样的网络来说,各项业务的需求,对于网络的稳定性的需求就不言而喻。网络核心层的采用星型的设计思路,通过以太网的方式同样需要保证毫秒级的链路保护功能。对于链路级的保护能够实现对一些基本的链路进行备份起到冗余的特性,以便保证在某个物理链路断掉的时候还能保证用户的数据的传输功能,同时能够针对用户的关键的链路放置一条专有的链路实现备份功能,保证关键业务的不间断的连接。
通过针对网络级的保护需要针对不同的网络设备采用不同的网络级的保护协议来实现,针对整体的网络架构提供保护,将网络的稳定性和安全性提供更高的安全性。对于网络级的保护主要是通过网络的协议来实现的。并且网络的冗余技术有很多不同的实现方式,对于网络核心层的影响也不尽相同。 同时网络的稳定结构同样也需要网络设备自身的稳定性和自身的冗余的特性来保证,例如实现网络设备电源的冗余、网络控制板的冗余、无源背板、业务板件热拔插等。这样可以让设备出现问题的时候不至于会造成网络设备的瘫痪,可以通过在线更换背板、更换电源以及更换主控网板等方式来实现业务的不中断运行。同时可以通过网络主控板件和业务板件的业务热切换功能实现网络设备不停机。
2.2 ××医院内网规划设计
内网是整个医院的核心网络,开展医院日常重要的医疗业务,对网络的可靠性、稳定性要求非常高,本次设计的网络按照万兆交换平台、万兆骨干网络、千兆到桌面设计,内网核心交换机双机冗余、负载分担。网内拓扑设计采用三级架构,分为核心层、汇聚层和接入层。核心层位于总机房网络的中心,负责全网的路由交换,并与各服务器、存储等核心医院应用相连;新大楼汇聚层与核心层之间实现万兆连
2016-9-22
第11页, 共51页
接。
在接入层,选用的千兆接入交换机(S5120-24/48P-EI)具备24/48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口(Combo),根据网络的点位把接入层设备堆叠以扩展设备端口。千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一,在诸如医疗行业的会诊、医疗影像、医疗科研协作等,应用在消耗大量带宽的同时,也在追求终端用户的满意度,基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来,并且为医务工作者创新提供了一个崭新高效能工作平台。
在汇聚层,选用千兆全光纤交换机(S5500-28F-EI),具备24 个SFP千兆端口,8 个复用的10/100/1000Base-T以太网端口(Combo),两个扩展槽位,提供了高性能、大容量的交换服务,支持10GE的上行接口,为接入设备提供了更高的带宽。汇聚层交换机万兆上联至核心交换机,千兆下行连接千兆桌面交换机,起到医疗网络中非常重要的上承启下的作用。
在核心层,推荐选用S7506E万兆性能交换机,医院网络同时承载多种业务,所有交易业务都要经过核心交换机处理,采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到
2016-9-22 第12页, 共51页
99.999%的电信级可靠性;面向数据中心技术的演进,推出了以智能弹性架构(IRF)为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分。
医院初期规划有多台服务器的容量,建议采用服务器接入交换机S5120-24P-EI,一方面分区建立专门的服务器区,保护医院重要资源的安全,另一方面,有利于今后医院业务的扩展,直接增加服务器而不必对网络结构和核心设备配置产生影响,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。
医院的无线覆盖空间主要包括:病房、护士站、医生办公室、会议室等;一般医院病房每间的空间不是特别的大,同时病房之间不是承重墙,建议无线的覆盖方案的原则是:以本着节约、全覆盖的原则,每隔15~20米左右布放1个AP。将AP放置在过道可以满足覆盖每一个房间。根据××医院设计图纸初步规划,经过初期无线规划,部署大致51个AP来保证整个医院的无线覆盖信号。同时,将无线控制器(AC)旁挂于核心交换机,通过IP可达来实现对所有AP的配置和管理。
在核心机房部署网络管理系统:智能管理中心iMC,具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理,同时在其上可以配置有多种业务管理组件,配置无线业务管理(WSM)组件,实现有线无线一体化的管理,在iMC系统全面的有线网络管理的基础上,为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台,即可在原有的有线网络管理系统中增加无线管理功能,与有线管理平台统一部署,节省用户投入,节约维护成本。
2.3 ××医院外网规划设计
2016-9-22 第13页, 共51页
由于外网主要用于医院OA办公、图书馆信息查询、楼内视频监控、视频会议,外网相对于内网来
说可靠性要求相对级别次低一级,初期按照采单核心交换机、单引擎、百兆接入到桌面设计,采用接入直接到核心的二层结构。
在接入层,选用(S3600SI)系列百兆三层智能弹性交换机,分别具备24个10/100Base-TX以太网端口,2个1000Base-X SFP千兆以太网端口,2个10/100/1000Base-T以太网端口;48个10/100Base-TX以太网端口,4个1000Base-X SFP千兆以太网端口。系统采用创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,是理想接入交换机。
在核心层,选用S7506E作为外网的核心交换机,S7500E作为高端多业务路由交换机,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
SecPath 1000-S集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务能力,为用户提供全面的安全防护。能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。采用H3C ASPF(Application Specific Packet Filter)应用状态检测技
2016-9-22
第14页, 共51页
术。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。在出口网络出口,高性能处理的SecPath 1000S防火墙同时作为路由设备,与Internet、银联系统、图书馆系统、视频会议系统相连接。
出口路由器选用SR6602,SR6600是业界首款基于多核多线程的高端路由器,具备高性能、易编程、灵活的L4-L7层业务应用等特点。多核多线程处理器的应用,使网络设备具备高性能和灵活性等特点,其良好的可编程性和易用性,使SR6600对未来的新业务具备快速响应能力和良好的适应能力,满足用户不断发展的、在路由器上实现应用层业务管理的需求。
第3章 整网安全防护设计
3.1.1 地址扫描攻击防护能力
地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,网络设备会给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可能引起网络中断。
H3C网络设备实现了地址扫描攻击的防护能力。当交换机收到目的IP是直连网段的报文时,如果该目的IP的ARP表项不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项,以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的ARP表项。否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。Comware网络系统平台提供相应的配置命令,用于控制设备的地址扫描攻击防护功能是否启用。
3.1.2 DoS/DDoS攻击防护能力
DoS攻击,即拒绝服务攻击(DoS,Denial of Service),是指向设备发送大量的连接请求,占用设备本身的资源,严重的情况会造成设备瘫机,一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的,目的是使服务器拒绝合法用户的请求,所以叫拒绝服务攻击。
随着攻击技术的发展,Dos攻击也出现了升级,攻击者控制多台主机同时发起DoS攻击,也就是所谓的分布式拒绝服务攻击(DDoS,Distributed Denial of Service)攻击,它的规模更大,破坏性更强。
核心交换机能够抵御IP Spoofing、Land、Smurf等常见DoS攻击,确保某种协议遭受攻击时不会影响到其他协议的正常运行和业务的正常转发。同时,当攻击源对下挂在网络设备的服务器进行DoS攻击
2016-9-22 第15页, 共51页