一、医院的三层网络架构设计
1、接入层设计
接入层是医院信息平台上所有设备的边缘接入网络,是将终端接入网络的边缘,也是对终端用户进行访问控制和隔离的边缘,是网络安全边缘前移和全局网络安全的基础。
接入层网络设备主要由二层
以太网交换机和无线接入点等设备组成,其中二层以太网
交换机主要是为有线设备提供网络控制和接入。
作为医院信息平台的安全接入设备,接入层交换机应选用智能网管型交换机,具备VLAN 划分,端口隔离,安全地址绑定,抗攻击,QoS,防雷击等功能,支持标准的802.1x 访问控制,支持标准的SNMP 简单网络管理协议,支持DHCP-Snooping 等功能,支持标准的RSTP,MSTP生成树协议。
接入层的设计需要充分考虑设备的稳定性、安全性、冗余性和高性能,上联至
数据中心的链路尽量使用双链路上联,通过生成树协议生成无环拓扑,避免广播风暴,保证终端设备稳定,安全,高速的接入医院信息网络平台。
2、汇聚层设计
汇聚层是连接接入层与核心层之间的网络层,为接入层提供数据的汇聚,传输,管理,分发处理,集中接入层流量,再转发至核心层的功能,是局域网中隔离动荡的控制点,也是区域网络流量上收的关键点。
汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。
汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。汇聚层设备一般采用可管理的
三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好,但价格高于接入层设备,而且对环境的要求也较高,对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。
汇聚层设备之间以及汇聚层设备与核心层设备之间多采用
光纤互联,以提高系统的传输性能和吞吐量。
用户访问控制一般会安排在在接入层,但也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时,采用的是集中式的管理模式。当网络规模较大时,可以设计综合安全管理策略,例如在接入层实现身份认证和MAC 地址绑定,在汇聚层实现流量控制和访问权限约束。
3、网络核心层
网络核心层是医院信息平台网络数据的骨干交换区域,各接入层数据经汇聚层汇聚后集中转发至核心层进行高速交换。
核心层的主要职为负责整个医院信息平台数据的高速转发,相关的策略应该尽量较少。
核心层由于是整个网络的核心,从设备上来讲,需要在考虑高性能,高稳定性的同时,充分考虑设备引擎、业务线卡、
电源、风扇等的冗余,同时需要具备的一定的抗攻击能力,如中央处理器保护能力,基础网络保护能力。
从架构上来讲,需要充分考虑核心层设备间的冗余备份和负载均衡,利用MSTP/RSTP+VRRP 技术,自愈环网技术,或者是通过更好的核心层设备的硬件虚拟化技术,实现设备级的冗余备份,同时,在设计时还应充分考虑网络链路的冗余性和可靠性,提高网络防灾能力。
二、具体的网络设备选型如下
1、核心层设备建议选用高性能的万兆三层交换机,通过千兆链路与汇聚层设备相连,通过万兆链路进行核心层互联。
在设备选择上,应充分考虑设备自身的冗余性,如电源冗余、引擎冗余、业务线卡冗余、所有线卡及电源支持热拔插,同时应具备一定的自我保护机制,如中央处理器保护机制,基础网络保护机制等。
在网络规划时,应充分考虑网络架构的冗余性设计,建议采用两台或两台以上组成双核心或多核心环网,核心之间可进行冗余互备以及负载分担,减小由于单核心造成的设备压力及单点故障。
2、汇聚层设备建议选用性能较高,且具备丰富安全功能的全千兆三层交换机,通过千兆与接入交换机以及
核心交换机相连,同时汇聚交换机建议具备万兆扩展能力,方便后续网络升级。
汇聚层设备需具备一定的稳定性,门诊区域建议采用双汇聚设备,保证网络高可靠。
3、接入层设备。建议内网中心
服务器区、外网中心服务器区、安全网络控制区、数据灾备区、医技终端接入区、无线终端接入区采用全千兆
二层交换机作为接入设备,其他接入区域采用百兆二层交换机,千兆上联。
接入层交换机应选用智能网管型交换机,具备VLAN 划分,二层访问控制列表,MSTP,RSTP,B
PDU GUARD,BPDU FILTER,DHCP Snooping,安全地址绑定,802.1x 等功能。
接入层交换机还应具备良好的防雷击特性,由于医院信息平台对网络稳定性要求的特殊性,建议以太网接口具备高于国家标准的防雷击能力。同时能在一定程度上抵抗网络攻击,如中央处理器保护,基础网络保护等。
4、出口设备应选择高性能
路由器或专用出口设备作为网络出口,并添加
防火墙进行域间网络访问控制。路由器应具备大容量、高性能的NAT转换能力,能够进行智能选路,并提供丰富的广域网接口。除此之外,路由器还应具备较高的冗余性和抗网络攻击能力。防火墙作为域间网络隔离点,需支持多种访问控制策略的制定,以及高性能的数据转发能力,避免成为网络性能瓶颈。
出口设备应包含整合出口路由,防火墙,VPN,流控设备,上网行为管理的单一设备,或部分整合设备。
出口设备也可以使路由器,防火墙,VPN,流控设备,上网行为管理设备的组合。
出口路由应高性能路由器,保证院内终端对互联网的高速访问,同时为外网访问内网WEB 服务器提供高速链路通道。
防火墙设备作为局域网和广域网的分割点,其访问控制功能至关重要,故防火墙需支持类型丰富的网络访问控制策略设置。
VPN 设备应选用可支持IPSECVPN和SSLVPN 的设备,保证VPN 接入方式的灵活性。流控设备应具备较高且较为精细的流量识别功能,可基于流量识别对网络流量进行控制,保证网络带宽充分有效的利用。
上网行为管理设备,主要是通过URL 过滤库的设置,规范员工上网行为,保证网络安全,提升工作效率。