1 项目概述

XXX医院医疗综合楼总体分为：地下一层为设备用房，一、二、三、四层为大厅及门诊，五层为血透中心，六、七层为内科护理标准层，八层、十一层为内科、外科护理单元，九层为儿科护理单元，十层为骨科护理单元，十二层为妇科护理单元，十三层为产科护理单元，十四层为产房、ICU、手术准备层，十五层为手术层，十六层为手术设备和电梯机房层。大楼总建筑面积约2万㎡，建筑高度66.40米，属于一类高层建筑。

2 系统概述

本局域网（LAN）主要为医院提供Internet接入和设备的联网需求。

（1）设备产品选用著名华三H3C品牌产品。

（2）充分考虑网络安全，该系统具备拒绝访问攻击（DOS）的防护。能实现交换机、防火墙/IDS/IPS联动与网管软件联动，自动的实现对网络蠕虫和黑客攻击防范和屏蔽。

3 设计原则

基于XXX医院目前网络现状和未来业务发展的要求，在XXX医院网络设计构建中，应始终坚持以下建网原则：

1、实用性：整个网络系统具有较高的实用性；

2、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；

3、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。必须满足7×24×365 小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；

4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；

5、技术先进性和实用性--保证满足医院应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。

6、高性能—医院网络性能是医院整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。

7、标准开放性--支持国际上通用标准的网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。

8、灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。

9、可管理性--对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。

10、安全性--制订统一的骨干网安全策略，整体考虑网络平台的安全性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；

4 系统设计方案

4.1 系统需求分析

4.1.1 医院业务划分

医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：

1) 门诊系统

2) 住院系统

3) 体检系统

4) PACS系统

5) 医院管理经济系统

6) 区域医疗系统

1.1.2 应用系统分类

医院信息系统主要分成以下两类：

1) 医院管理系统

门、急诊挂号子系统

门、急诊病人管理及计价收费子系统

住院病人管理子系统

药库、药房管理子系统

病案管理子系统

医疗统计子系统

人事、工资管理子系统

财务管理与医院经济核算子系统

医院后勤物资供应子系统

固定资产、医疗设备管理子系统

院长办公综合查询与辅助决策支持系统

2) 临床医疗信息系统

住院病人医嘱处理子系统

护理信息系统

门诊医生工作站系统

临床实验室检查报告子系统

医学影像诊断报告处理系统

放射科信息管理系统

手术室管理子系统

功能检查科室信息管理子系统

病理卡片管理及病理科信息系统

血库管理子系统

营养与膳食计划管理子系统

临床用药咨询与控制子系统

4.1.3 医院业务系统的需求

1）门诊系统

门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。

2）住院系统

住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：

住院业务的网络上流动着重症病人生命数据和各种新业务数据；

住院业务保存有患者病案数据和住院费用数据；

医生移动查房；

病人呼叫系统；

网上视频监控系统；

针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。

3）体检系统

现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。

4）PACS系统

医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、高带宽

5）管理经济系统

医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。

6）区域医疗系统

一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域网连接。

根据初步的需求，我们按照内外网物理分离的原则进行设计。

4.1.4 网络建设需求

1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台；

2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最灵活的适应、扩展能力；

3、全千兆网络带宽；

4、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；

5、建设一个可管理、支持无线应用的系统；

6、建设一个安全管理平台。

4.1.5 核心层需求分析

核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的，所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。

网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS，对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对不同部门的规划，如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。

但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作，建议采用二层和三层协议相结合的方式共同实现网络的规划工作。

4.1.6 接入层需求分析

网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进行接入。

对本次的接入层的主要需求的分析如下：

（1）、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，直接影响接入质量。

（2）、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。

（3）、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器，就需要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的，网络一定会出现闲置的带宽的现象，如何规划路由将非常重要。

（4）、网络流量和网络流向是宽带网络的一个新瓶颈。

对于宽带网络接入，接入层网络的通常是以新2/8原则来划分的，其中有20%的流量是在接入层交换机的内部进行交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向直接造成网络对于流量和流向所产生的网络瓶颈。

（5）、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的安全性控制更是由为重要，同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的，对其他部门的用户的访问是分为很多的不同的级别的。

4.2 系统设计

目前，HIS系统在很多医院已经部署，很多传统业务都逐渐迁移到网络上，对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面：

1）可靠迅速的响应以提供更好的医疗服务

一般大医院每天的门诊量很大， HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重的社会后果，因此医院对网络的访问性能有很高的要求。

2）安全的业务数据保证医院正常对外服务

在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。

3）高效的管理推动系统的稳定，提高维护的效果

HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。

4）医院数据的安全存储

医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的安全性和扩展性要求非常高。

5）区域医疗的建设

为了在区域范围内实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。

4.3 系统内网设计

4.3.1 内网建设需求

内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级的条件。

医院网络建设需求：

1、实现千兆主干，桌面接入实现100/1000M自适应（传输图像的桌面直接实现1000M接入）；

2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进行监视和管理；

3、核心交换机与汇聚接入交换机互联采用双星型结构；

4、外科楼、门诊楼布置无线AP，可为无线查房，病人上网提供接入服务；

5、由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的工作。

l 网络应用设计要求：

1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。

以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。

2、传输动态图像的部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。

3、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此，考虑将医院所有的监护仪器和大型设备都联网。

4.3.2 内网设计及规划

内网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可靠性、稳定性要求非常高，本次设计的网络按照千兆带宽（可扩展万兆交换平台），内网核心交换机双机冗余、负载分担。网内拓扑设计采用二级双星型架构，分为核心层、接入层。核心层位于机房网络的中心，负责全网的路由交换，并与各服务器、存储等核心医院应用相连；接入层位于各大楼内的楼层，负责直接接入桌面系统，本次内网采用千兆双绞线到桌面，与核心层进行千兆光纤连接。

1、核心交换机由两台S7510E组成双星型网络，当任意一条链轮或任意一台设备出现问题时，保证网络正常运行；

2、汇聚层采用S5120-EI汇聚交换机，通过双千兆光纤与核心交换机互联，保证链路的可靠，千兆与接入层交换机互联。

3、接入层，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于双绞线的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。

4、无线：考虑到整体的无线接入点数量很多，建议使用Fit AP加AC控制器的方式，AC控制器部署在核心交换机，以AC无线控制器插卡的方式公用核心交换机的资源，做到有线、无线一体化的融合网络解决方案，采用瘦AP组网方式，医护人员在使用无线网络中能做到无缝漫游。

5、管理：智能管理中心iMC，具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，本次配置有线无线一体化管理组件WSM，方便管理大规模的无线管理网络；端点准入解决方案(EAD)在身份接入基础上，支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁，并可根据终端的安全状态实现终端VIP、Guest、隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。

4.4 系统外网设计

1.4.1 外网建设需求

1、实现千兆主干，桌面接入实现100/1000M自适应（传输图像的桌面直接实现1000M接入）；

2、核心交换机与接入交换机互联采用星型结构；

3、防问互联网时采用一定的安全手段，如防火墙和IDS；

4、能够提供强大的网络防问控制，路由功能。

4.4.2 外网设计及规划

由于外网主要用于医院OA办公、图书馆信息查询，外网相对于内网来说可靠性要求相对级别次低一级，初期按照采单核心交换机、双引擎、百兆接入到桌面设计，采用接入直接到核心的简洁二层结构，根据用户后期细化可靠性需求、链路冗余性需求后，再做进一步调整。

在接入层，选用H3C S5120系列千兆交换机，H3C S5120-EI系列交换机具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为千兆接入，同时还可以用于数据中心服务器群的连接。

在核心层，选用S7506E作为外网的核心交换机，S7500E作为高端多业务路由交换机，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。

在网络出口处部署网神千兆防火墙，网神企业级千兆防火墙SecGate 3600-G7T是一款接口数目多、配置灵活、网络适应性好的千兆防火墙产品。产品基于自主开发的SecOS，在高性能硬件平台的支撑下，处理能力可达4Gbps；

在出口路由器上采用H3C MSR5060，该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案，也可以作为大中型企业的核心网络设备，完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计，采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎，大大提高产品的数据加密性能，同时节省接口插槽。另外，MSR 50系列路由器还通过集成以太网交换模块提供二层数据交换功能，实现了真正的路由交换一体化解决方案。