1、三甲综合性医院网络建设技术项目可行性研究报告XX工程咨询有限公司二零XX年XX月三甲综合性医院网络建设技术项目可行性研究报告建设单位：XX建筑工程有限公司建设地点：XX省XX市编制单位：XX工程咨询有限公司20XX年XX月92可行性研究报告编制单位及编制人员名单项目编制单位：XX工程咨询有限公司资格等级： 级证书编号：（发证机关：中华人民共和国住房和城乡建设部制）编制人员： XXX高级工程师XXX高级工程师XXX高级工程师XXXX有限公司二XX年XX月XX日目录1. 概述71.1. xx常德医院新院简介71.2. 医院网络建设需求72、 建设一套外网系统，为全院外网用户提供公共互联网服务；712、.2.1 内网需求84、考虑有线网络和无线网络融合，为无线网络接入提供预留接口。83、住院病区考虑到无线查房的需要，需要部署无线网络。91.2.2 外网需求92、银联系统是用各POS机终端通过外网接口与原银联系统连接。91.2.3 视频会议网需求101.2.4 智能网需求101.3. 网络安全需求111.4. 医院业务应用分析121.4.1. 医院业务划分121.4.2. 应用系统分类121.4.3. 医院业务系统的需求132. xx常德医院网络系统设计152.1. 网络设计原则161、实用性：整个网络系统具有较高的实用性；162.1.1. 核心层需求分析172.1.2. 接入层需求分析1823、.1.3. 链路层需求分析192.2. xx常德医院内网规划设计202.3. xx常德医院外网规划设计262.4. 视频会议网规划设计302.5. 智能网规划设计332.6. 智能管理中心352.6.1. 面向安全控制、性能优化和运营管理的系列解决方案352.7. 无线网络设计712.7.1. 无线业务需求分析722.7.2. 整体无线建网原则722.7.3. 认证方式选择732.7.4. 有线无线混合组网下的认证方案772.7.5. 关键技术要求介绍772.7.6. 用户管理822.7.7. xx常德医院无线网络方案833. 附录：数字化医院与网络应用873.1. 数字化医院总体建设873.4、2. 医院网络建设面临的问题883.3. 数字化医院多业务网络方案探讨893.4. 医院数字化的趋势不可逆转921. 概述1.1. xx常德医院新院简介“xx常德医院”是由常德市委市政府主导，由隶属常德市政府的常德市经济建设投资集团有限公司投资建设、xxxx医院全面托管的一所非营利性三级综合公立医院。该医院位于常德市北部新城，东临柳叶湖风景度假区，占地面积230亩，规划建筑总面积27万，概算总投资20多亿元，医院科室设置齐全，是湖南省重点建设项目。医院主体工程已完成，正进入安装装饰阶段。另紧邻医院150亩地作为职工公租住房正在同期建设中。医院共设有病床1500张、手术室38间，配备功能先进的P5、ET-CT、MRI、DR等仪器设备，能满足4500人次的日接诊需求。医院的建成将极大的解决常德市医疗资源紧张的局面，使常德人民在家门口就能享受到xx的优质医疗服务，xx常德医院的建设是常德市委、市政府精心打造的一项具有重要意义的“健康工程”、“民生工程”。 项目建成后，新院将是一座集“医疗、科研、教学、培训、保健、照护”为一体化的大型医疗城，服务品质一流的医疗型医学中心、功能齐全的康复型医疗中心、绿色生态的老年养生型医疗中心，将为不同层次人群提供健康保健、综合医疗、老年照护及各类特需医疗服务，从而彻底改变传统医疗单一的诊疗模式，建立起一条完整的医学健康“产业链”。1.2. 医院网络建设需求1、6、 建设一套内网系统，为HIS、LIS、PACS等应用系统提供一个强有力的网络支撑平台；2、 建设一套外网系统，为全院外网用户提供公共互联网服务；3、 建设一套音、视频网系统，为医院视频会议系统提供网络基础平台支撑；4、 建设一套智能网系统，为全院安防监控系统提供网络基础传输平台。网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最灵活的适应、扩展能力；一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；医疗信息的安全保护，也是组要的环节，网络的设计不仅要考虑用户与服务器之间的互联互通7、，更要保护关键服务器的安全和内部用户的安全。1.2.1 内网需求内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级的条件。并要求内网建设无线网络，无线网络主要覆盖：1号住院楼、2号住院楼、门诊楼（候诊、输液区、儿科区、VIP区、血液净化中心、所有ICU），手术室、急诊抢救区、各大楼会议室、学术报告厅、网络中心等，满足核心业务系统移动办公的要求。l 网络设计要求：1、总计采用两层架构，要求实现万兆主干，桌面接入实现100/1000M自适应（传输图像的桌面直接实现8、1000M接入）；2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进行监视和管理；3、交换机互连采用多条链路捆绑，防止链路瓶颈，并提供链路冗余；4、考虑有线网络和无线网络融合，为无线网络接入提供预留接口。由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息，要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的工作。l 网络应用设计要求：1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享9、；当任何一个子网出现故障，都不会影响到其他子网的使用。2、新建的网络系统应充分考虑跟现有网络系统的平滑接入，不影响现有系统的正常运行，并考虑和现有网络系统实现网络冗余。3、住院病区考虑到无线查房的需要，需要部署无线网络。4、传输动态图像的部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。5、医保(包括省医保、市医保、区医保)、卫生局、长沙xx等单位是专线接入。须配置医院内网与专线网的接口。6、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器10、上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此，须考虑将医院所有的监护仪器和大型设备都联网。1.2.2 外网需求外网原则上是指除医院内网之外的所有网络系统，包括INTERNET、银联系统、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、电视监控信号传输等。1、应急系统也是卫生局专线接入，通过外网接口和院内视频会议系统连接。2、银联系统是用各POS机终端通过外网接口与原银联系统连接。3、Internet网提供远程医疗、远程教育、局办公自动化服务、医疗设备远程维护等。4、医院内部职工文献检索及知识管理平台集中在电子图书馆，但须在所有办公场所、住院楼11、病房、宿舍等地方预留Internet网接口。5、以上系统建议分别单独组网，以子网的形式组成整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。1.2.3 视频会议网需求xx常德医院需要建设一套视频会议系统，来满足会议、讨论、学习等需求，由于会议电视传输的是实时的图像和语音业务，对传输网络的要求较高。为了能够保障会议的通讯质量，传输网络需能够提供足够带宽，传输线路稳定，要能够保证没有拥塞和低误码率，同时视频会议系统占用带宽大，也避免视频会议系统对其它的业务造成干扰，因此，需要建设一套独立的物理网络作为视频会议系统的数据承载通道，来保证会议系统的稳12、定、可靠，也不影响其它业务系统。视频会议网需要满足千兆接入、万兆骨干，万兆核心的两层架构，同时部署安全和管理系统。1.2.4 智能网需求智能网网络传输系统是整个视频监控网络和音频广播网络的数据传送平台，承担着从前端设备的接入点至管理中心的视频数据和音频广播传输重担，是搭建整个智能网络的血脉。所有前端监控摄像机和音频设备均通过传输接入设备及线路依辖管属地原则集中传输接入监控管理中心，以监控管理中心为中心。传输子系统的传输介质主要采用双绞线传输。该网络一般建议独立原有的电脑网络，在监控中心的核心交换机处与原有的网络进行连接，方便用户通过电脑访问监控系统。 网络传输设备包括：交换机、超五类双绞线。 13、辅助设备包括：水晶头等。 监控系统视频数据传输结构如下： 各接入交换机负责和汇聚交换机将各区域网络摄像机利用网线进行汇集，并将所有网络信号转送至监控中心。1.3. 网络安全需求为了应对现在层出不穷的网络安全问题，在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测等设备以及防病毒系统的配合使用，解决医院目前现有系统及新建系统的网络安全问题。基本要做到：故障排除、灾难恢复、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等。1、故障排除：要求做到一旦网络出现异常，如无法访问网络，网络访问异常等，要能提供及时、有效的服务，在短的时间内恢复网络应用。2、灾难恢复：要求做到设备遇到物理损14、害网络应用异常时通过备品备件，快速恢复网络硬件环境;通过备份文件的复原，尽快恢复网络的电子资源;在最短的时间内恢复整个网络应用。3、查找攻击源：要求做到发现网络遭到攻击，需要通过日志文件等信息，确定攻击的来源，为进一步采取措施提供依据。4、实时检索日志文件：要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围，可采取进一步措施进行防范。5、即时查杀病毒：要求做到网络中出现病毒，通过及时有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，恢复网络应用。6、即时网络监控：要求通过网络监控，尽可能发现网络中存在的前期网络故障，在故障扩大化以前及时15、进行防治。1.4. 医院业务应用分析1.4.1. 医院业务划分医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：u 门诊系统u 住院系统u 体检系统u PACS系统u 医院管理经济系统u 区域医疗系统1.4.2. 应用系统分类医院信息系统主要分成以下两类：l 医院管理系统u 门、急诊挂号子系统u 门、急诊病人管理及计价收费子系统u 住院病人管理子系统u 药库、药房管理子系统u 病案管理子系统u 医疗统计子系统u 人事、工资管理子系统u 财务管理与医院经济核算子系统u 医院后勤物资供应子系统u 固定资产、医疗设备管理子系统u 院长办公综合查询与辅助决16、策支持系统l 临床医疗信息系统u 住院病人医嘱处理子系统u 护理信息系统u 门诊医生工作站系统u 临床实验室检查报告子系统u 医学影像诊断报告处理系统u 放射科信息管理系统u 手术室管理子系统u 功能检查科室信息管理子系统u 病理卡片管理及病理科信息系统u 血库管理子系统u 营养与膳食计划管理子系统u 临床用药咨询与控制子系统1.4.3. 医院业务系统的需求1）门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和Q17、oS的要求。2）住院系统住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：住院业务的网络上流动着重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。3）体检系统现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体18、检系统解决方案所关注的。4）PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、高带宽5）管理经济系统医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。6）区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要19、稳定的广域网连接。根据初步的需求，我们按照内外网分离的原则，建成后的南扩大楼的新机房将成为以后医院的核心，原有机房成为备份冗余机房。2. xx常德医院网络系统设计目前，HIS系统在很多医院已经或者刚开始部署，很多传统业务都逐渐迁移到网络上，对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面：1）可靠迅速的响应以提供更好的医疗服务一般大医院每天的门诊量很大，最多可达到5000人/天，一般大型医院平均门诊达到10002000人/天，HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重的社会后果，因此医院对20、网络的访问性能有很高的要求。2）安全的业务数据保证医院正常对外服务在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。3）高效的管理推动系统的稳定，提高维护的效果HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。4）医院数据的安全存储医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的安全性和扩展性要求非常高。5）区域医疗的建设为了在区域范围内实现远21、程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。2.1. 网络设计原则基于xx常德医院网络目前网络现状和未来业务发展的要求，在xx常德医院网络网络设计构建中，应始终坚持以下建网原则：1、实用性：整个网络系统具有较高的实用性；2、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。必须满足724365 小时连续运行的要求。在故障发生时，网络设备可22、以快速自动地切换到备份设备上；4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；5、技术先进性和实用性-保证满足医院应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。6、高性能医院网络性能是医院整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。7、标准开放性-支持国际上通用标准的23、网络协议（如IP）、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。8、灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。9、可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。10、安全性-24、制订统一的骨干网安全策略，整体考虑网络平台的安全性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；11、保护现有投资-在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，用作骨干网外联的接入设备，网络的投资应随着网络的伸缩能够持续发挥作用，保护现有网络的投资，充分发挥网络投资的最大效益。2.1.1. 核心层需求分析xx常德医院网络内网接入层设备担负着服务器群、医保网、内网办公的连接工作，同时通过核心设备的互联，形成一套完整的网络。由于核心层设备担负着整个网络的流量，在网络核心层的流量是非常巨大的，所有的服务器均在网络的核心层提供相关的服务25、。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS，对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对不同部门的规划，如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和26、控制的策略等。但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作，不建议全网全部采用统一网络协议进行规划，建议采用二层和三层协议相结合的方式共同实现网络的规划工作。在核心层的规划中，主要应该采用结构稳定并且能够进行详细路由查找的三层路由协议来进行规划。2.1.2. 接入层需求分析网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的解释。对本次的接入层的主要需求的分析如下：（1）、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生27、于网络的低层，直接影响接入质量。（2）、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。（3）、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器，就需要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的，网络一定会出现闲置的带宽的现象，如何规划路由将非常重要。（4）、网络流量和网络流向是宽带网络的一个新瓶28、颈。对于宽带网络接入，接入层网络的通常是以新2/8原则来划分的，其中有20%的流量是在接入层交换机的内部进行交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向直接造成网络对于流量和流向所产生的网络瓶颈。（5）、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的安全性控制更是由为重要，同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的，对其他部门的用户的访问是分为很多的不同的级别的。2.1.3. 链路层需求分析对于xx常德医院网络这样的网络来说，各项业务的需求，对于网络的稳定性的需求就不29、言而喻。网络核心层的采用星型的设计思路，通过以太网的方式同样需要保证毫秒级的链路保护功能。对于链路级的保护能够实现对一些基本的链路进行备份起到冗余的特性，以便保证在某个物理链路断掉的时候还能保证用户的数据的传输功能，同时能够针对用户的关键的链路放置一条专有的链路实现备份功能，保证关键业务的不间断的连接。通过针对网络级的保护需要针对不同的网络设备采用不同的网络级的保护协议来实现，针对整体的网络架构提供保护，将网络的稳定性和安全性提供更高的安全性。对于网络级的保护主要是通过网络的协议来实现的。并且网络的冗余技术有很多不同的实现方式，对于网络核心层的影响也不尽相同。同时网络的稳定结构同样也需要网络设30、备自身的稳定性和自身的冗余的特性来保证，例如实现网络设备电源的冗余、网络控制板的冗余、无源背板、业务板件热拔插等。这样可以让设备出现问题的时候不至于会造成网络设备的瘫痪，可以通过在线更换背板、更换电源以及更换主控网板等方式来实现业务的不中断运行。同时可以通过网络主控板件和业务板件的业务热切换功能实现网络设备不停机。2.2. xx常德医院内网规划设计内网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可靠性、稳定性要求非常高，本次设计的网络按照万兆交换平台、万兆骨干网络、千兆到桌面设计，内网核心交换机双机冗余、负载分担。整体网络包含有线网络和无线网络，内网拓扑设计采用两级架构，分为核心31、层和接入层。核心层位于机房网络的中心，负责全网的路由交换，并与各服务器、存储等核心医院应用相连；医院设有：行政楼、科研楼、1号住院楼、2号住院楼、门诊楼、医技楼等，每栋大楼单体、楼层面积较大，每栋大楼规划了多个弱电井的位置，根据区域、信息点距离等规划弱电井所覆盖的区域，具体部署见表：内网信息点位部署表。楼栋名称接入交换放置层接入层设备管辖楼层内网交换部署内网有线点位数预留点位内网无线点位数1#住院楼1楼1区B1F、1F48口千兆*1-33楼1区2F、3F48口千兆*1-105楼1区4F、5F48口千兆*1-147楼1区6F、7F48口千兆*1-149楼1区8F、9F48口千兆*1-1411楼132、区10F、11F48口千兆*1-1513楼1区12F、13F48口千兆*1-142楼2区B1F、1F、2F、3F48口千兆*1-145楼2区4F、5F48口千兆*1-137楼2区6F、7F48口千兆*1-169楼2区8F、9F48口千兆*1-1611楼2区10F、11F48口千兆*1-1613楼2区12F、13F48口千兆*1-162#住院楼医院发展前期阶段，开业后1年之内不规划启用，暂不考虑网络交换设备的采购。2#住院楼1楼B1F、1F73楼2F、3F265楼4F、5F267楼6F、7F269楼8F、9F2611楼10F、11F2613楼12F、13F26门急诊楼1区2楼B1F、1F、2F、33、3F模块化交换机1台（3楼1个，2楼50个，1楼40个，B1楼0个）91035楼4F、5F模块化交换机1台（现有101点，预留24）101240门急诊楼2区2楼B1F、1F、2F、3F模块化交换机1台（B1F（点32个）、1F点位50个、2F点位54个、3F点位49个）185005楼4F、5F模块化交换机1台（5F 点位76个，4F点位2个，）7800门急诊楼3区1楼B1F、1F模块化交换机1台（1楼211个，B1F 0个）211082楼2F模块化交换机1台（146点位，预留157）14615784楼3F、4F、5F模块化交换机1台（5F点位5个，4楼63个，预留，3楼104个）；17209门34、急诊楼4区2楼B1F、1F、2F模块化交换机1台（B1F（6点）、1F（79点位）、2F（46点位）13100门急诊楼VIP1区2楼B1F、1F、2F、3F模块化交换机1台（B1F（9），1F（40）、2F（70）、3F（93个）212005楼4F、5F模块化交换机1台（4F（117点，预留44）、5F（133点）250440门急诊楼VIP2区2楼1F、2F、3F模块化交换机1台（1F（66个）、2F（62个）、3F（36）16400行政楼2楼B1F、1F、2F、3F、4F48口千兆*2306楼5F、6F、7F48口千兆*209楼8F、9F、10F48口千兆*2513楼11F、12F、13F、35、14F48口千兆*2716楼15F、16F、17F48口千兆*27科研楼科研楼弱电间位置不用改，因为外网、电话和内网都部署在2楼和5楼；医院发展前期阶段，开业后1年之内不规划启用，暂不考虑网络交换设备的采购，但是综合布线、弱电间网络机柜、熔纤、配线架等施工要全部完成。医技楼1区2楼B1F、1F、2F、3F模块化交换机1台（B1F（预留19点位）、1F（6点位）、2F（110点）、3F（24点，预留107个）14012604楼4F、5F模块化交换机1台（4F（26点，预留123个）、5F（11点）371230医技楼2区2楼1F、B1F、2F模块化交换机1台（B 1F（25点）、1F（63点）、236、F（175个）263004楼3F、4F模块化交换机1台（3F（127个）、4F（91个）21800医技楼3区2楼B1F、1F、2F模块化交换机1台（B1F（3点）、1F（38点）、2F（83点，预留23点）1242304楼3F、4F模块化交换机1台（3F（20点，预留48点）、4F（预留132点）201800医技楼4区1楼B1F、1F、2F48口交换*1-0小计2543677415根据初期信息点的计量，并与核心层之间的万兆连接；接入层位于各大楼内的汇聚楼层，负责直接接入桌面系统，本次内网采用千兆到桌面，根据网络需要采用盒式接入交换机和框式接入交换机组合使用，盒式接入交换机通过双链路千兆单模光纤37、直接与核心交换机相连，框式接入交换机通过双万兆链路直接与核心交换机相连。网络拓扑如下图所示： 由于每层楼的楼层面积很大，故每层楼规划有多个IDF（1-3个）弱电配线间，在IDF配线间内部署千兆接入交换机。接入层：根据网络环境对性能和可靠性的需求，接入层规划了盒式交换机和框式交换机，盒式交换机主要部署在1#住院楼、2#住院楼、行政楼、医技楼4区等，框式交换机主要部署在医技楼、门诊楼。并为保证内网移动办公终端的接入要求，要求内网部署无线网络。盒式接入交换机选用的千兆接入交换机具备24/48个10/100/1000Base-T以太网端口和4个1000Base-X SFP千兆以太网端口，千兆位以太网逐38、渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。从接入层到核心层，采用两条根千兆光纤链路上行。框式接入交换机选用支持6业务槽位的交换机，为保证高速的内部数量交换，和保证业务稳定性，在医技楼、门诊楼采用框式交换机做接入层，框式交换机具有很好的稳定性和扩展性，本次配置双电源、双主控板保证性能和可靠性。交换机接口板卡配置，按实际规划的信息点的60%计算，并配置万兆接口板，万兆接口板性能要求能满足整体满配千39、兆电口的性能转发要求。核心交换机采用双万兆上行到机房核心交换机。无线接入层，内网无线网络为内网移动办公终端提供网络接入和数据传输通道，内网业务是医院的核心业务系统，在考虑网络接入、数据传输的同时，考虑无线网络终端接入安全。根据无线网络整体部署，无线接入点数量较多，直接使用Fit AP加AC控制器的方式，无线AC控制器可采用核心交换机插卡或独立的盒式无线控制器，建设采用插卡式AC控制器，做到有线、无线一体化的融合网络解决方案，主要无线覆盖区域采用X-Share瘦AP组网方式，采用1分8的无线AP，将AP天线部署到房间，实现医护人员在使用无线网络中能做到无缝漫游。在终端上部署EAD端点准入防御解决40、方案，从网络源头切断病毒攻击的来源，大大提升医院的安全管理水平。在核心层，推荐选用多槽位、高可靠性的交换机，在核心交换机除配置有线速转发的万兆业务板卡外，还旁挂有AC控制器，负责整网Fit AP的统一管理。医院网络同时承载多种业务，所有交易业务都要经过核心交换机处理，建议核心交换机采用正交Clos架构的万兆核心交换机为业务系统核心交换机，满足大容量、高性能、高可靠、高安全及网络扩展的要求，建议要求不少于10个业务槽位，并要有冗余独立主控、交换网板、冗余电源模块等。核心交换机与接入交换机之间通过10GE链路双归属形成冗余连接，2条物理链路间可以实现互为备份。2台核心交换机之间使用10GE高速链路41、互联，之间运行双机网络虚拟化协议，两台核心交换机可虚拟为一台路由设备，为接入的用户提供缺省网关的冗余，即这两台设备可以互为备份工作。两台设备同时工作，是传统冗余方案性能2倍，保障核心节点的高可靠性。数据大集中后整个系统将承载多个业务系统，不同的业务对网络的带宽、时延等要求也不同，这就要求核心交换设备业务与性能并重。核心交换机要求采用功能强大的ASIC芯片实现业务的分布式线速处理，从而在为用户提供有保障的业务特性的同时保障数据报文的线速转发。网络出口：网络出口主要连接外连单位，如医保局、卫生局、长沙xx医院等单位，根据后期的医保网要求，如果省医保、市医保需要采用各自采用单独的路由器接入，则根据后42、期的细化需求再做调整。网络出口需要安全防护系统，防止通过外联网络攻击、入侵内网系统。在网络出口部署防火墙、IPS等安全防护系统。数据中心：内网数据中心旁挂部署在核心交换机上，数据中心将是xx常德医院的核心业务系统平台，将部署HIS、LIS、PACAS等主要应用系统。在核心机房部署网络管理系统：智能网管系统，具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，如本次推荐配置有线无线一体化管理组件，方便管理大规模的无线管理网络；智能配置中心，可以方便的管理上百台设备的软件、配置变更、收集软件版本、配置的基线库，为多台设备统一批量配置和升级43、，大大节省管理员的工作量。2.3. xx常德医院外网规划设计医院外网网络拓扑设计： 由于外网主要用于医院OA办公、互联网业务等，外网相对于内网来说可靠性要求相对级别次低一级，初期按照采单核心交换机、双引擎、千兆接入到桌面设计，采用接入直接到核心的简洁二层结构，接入层交换机通过光纤直接上连外网核心交换机。具体点位部署如下表所示：楼栋名称网络交换接入层接入层设备管辖楼层外网交换部署8口千兆交换机48口千兆交换机1#住院楼1楼1区B1F、1F103楼1区2F、3F105楼1区4F、5F107楼1区6F、7F109楼1区8F、9F1011楼1区10F、11F1013楼1区12F、13F102楼2区B144、F、1F、2F、3F105楼2区4F、5F107楼2区6F、7F109楼2区8F、9F1011楼2区10F、11F1013楼2区12F、13F102#住院楼1楼B1F、1F医院发展前期阶段，开业后1年之内不规划启用，暂不考虑网络交换设备的采购;3楼2F、3F5楼4F、5F7楼6F、7F9楼8F、9F11楼10F、11F13楼12F、13F门急诊楼1区2楼B1F、1F、2F、3F105楼4F、5F10门急诊楼2区2楼B1F、1F、2F、3F105楼4F、5F10门急诊楼3区1楼B1F、1F102楼2F104楼3F、4F、5F10门急诊楼4区2楼B1F、1F、2F10门急诊楼VIP1区2楼B1F、45、1F、2F、3F105楼4F、5F10门急诊楼VIP2区2楼1F、2F、3F10行政楼2楼B1F、1F、2F、3F、4F016楼5F、6F、7F019楼8F、9F、10F0113楼11F、12F、13F、14F0116楼15F、16F、17F01科研楼科研楼弱电间位置不用改，因为外网、电话和内网都部署在2楼和5楼；医院发展前期阶段，开业后1年之内不规划启用，暂不考虑网络交换设备的采购；医技楼1区2楼B1F、1F、2F、3F104楼4F、5F10医技楼2区2楼1F、B1F、2F104楼3F、4F10医技楼3区2楼B1F、1F、2F104楼3F、4F10医技楼4区1楼B1F、1F、2F10小计3146、5接入层，选用千兆三层智能弹性交换机，分别具备24个10/100/1000Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口；48个10/100/1000Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想接入交换机。核心层，选用Clos架构的框式交换机作为外网的核心交换机，Clos架构的框式交换机作为高端多业务路由交换机，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提47、高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。网络安全：为保证外网网络整体安全，需在网络出口部署防火墙和上网行为管理系统，防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与M48、AC绑定等安全增强措施。上网行为管理系统能对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而全面了解网络应用模型和流量趋势，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。2.4. 视频会议网规划设计xx常德医院现建设一套视频会议系统，来满足会议、讨论、学习等需求，由于会议电视传输的是实时的图像和语音业务，对传输网络的要求较高。为了能够保障会议的通讯质量，传输网络需能够提供足够带宽，传输线路稳定，要能49、够保证没有拥塞和低误码率，同时视频会议系统占用带宽大，也避免视频会议系统对其它的业务造成干扰，因此，需要建设一套独立的物理网络作为视频会议系统的数据承载通道，来保证会议系统的稳定、可靠，也不影响其它业务系统。视频会议网需要满足千兆接入，万兆核心的两层架构，同时部署安全和管理系统。视频网网络拓扑图如下：视频网网络信息点主要分布在住院楼、门诊楼、医技楼，信息点通过千兆接入交换机汇集，接入交换机直接上连核心交换机。根据统计，视频网将规划35台8口千兆交换机，1台24口千兆交换机。楼栋名称网络交换接入层接入层设备管辖楼层视频网交换部署8口POE千兆交换机24口POE千兆交换机1#住院楼1楼1区B1F、50、1F103楼1区2F、3F105楼1区4F、5F107楼1区6F、7F109楼1区8F、9F1011楼1区10F、11F1013楼1区12F、13F102楼2区B1F、1F、2F、3F105楼2区4F、5F107楼2区6F、7F109楼2区8F、9F1011楼2区10F、11F1013楼2区12F、13F102#住院楼1楼B1F、1F医院发展前期阶段，开业后1年之内不规划启用，暂不考虑网络交换设备的采购;3楼2F、3F5楼4F、5F7楼6F、7F9楼8F、9F11楼10F、11F13楼12F、13F门急诊楼1区2楼B1F、1F、2F、3F105楼4F、5F10门急诊楼2区2楼B1F、1F、2F51、3F105楼4F、5F10门急诊楼3区1楼B1F、1F102楼2F104楼3F、4F、5F10门急诊楼4区2楼B1F、1F、2F10门急诊楼VIP1区2楼B1F、1F、2F、3F105楼4F、5F10门急诊楼VIP2区2楼1F、2F、3F1行政楼2楼B1F、1F、2F、3F、4F016楼5F、6F、7F109楼8F、9F、10F1013楼11F、12F、13F、14F1016楼15F、16F、17F10科研楼科研楼弱电间位置不用改，因为外网、电话和内网都部署在2楼和5楼；医院发展前期阶段，开业后1年之内不规划启用，暂不考虑网络交换设备的采购；医技楼1区2楼B1F、1F、2F、3F104楼4F52、5F10医技楼2区2楼1F、B1F、2F104楼3F、4F10医技楼3区2楼B1F、1F、2F104楼3F、4F10医技楼4区1楼B1F、1F、2F10小计351为满足视频网的数据交换的稳定性、高并发数据交换的要求，对核心交换机的性能也相对要求较高，同时，xx常德医院网络系统正属于初步建设阶段，后期还将有大量的终端接入、大楼系统上线，因此，对核心交换机的业务扩展要求性相对较高，本次项目建设建议采用正交Clos架构的核心交换机，业务槽位不少于6个，并能配置独立、冗余的主控板、交换网板等。接入交换机采用全千兆接入，并能支持主要组播协议。2.5. 智能网规划设计智能网网络传输系统是整个视频监控网络53、和音频广播网络的数据传送平台，承担着从前端设备的接入点至管理中心的视频数据和音频广播传输重担，是搭建整个智能网络的血脉。所有前端监控摄像机和音频设备均通过传输接入设备及线路依辖管属地原则集中传输接入监控管理中心，以监控管理中心为中心。传输子系统的传输介质主要采用双绞线传输。该网络一般建议独立原有的电脑网络，在监控中心的核心交换机处与原有的网络进行连接，方便用户通过电脑访问监控系统。 网络传输设备包括：交换机、超五类双绞线。 辅助设备包括：水晶头等。 监控系统视频数据传输结构如下： 各接入交换机负责和汇聚交换机将各区域网络摄像机利用网线进行汇集，并将所有网络信号转送至监控中心。根据数据统计结果，54、智能网共有点位数1798个，均需要采用PoE交换机供。楼栋名称网络交换接入层接入层设备管辖楼层点位数量智能网交换部署24口POE千兆交换机48口POE千兆交换机1#住院楼1楼1区B1F、1F、2F、3F、4F9327楼1区5F、6F、7F、8F、9F72212楼1区10F、11F、12F、13F、屋顶69111楼2区B1F、1F、2F、3F、4F7327楼2区5F、6F、7F、8F、9F611112楼2区10F、11F、12F、13F、屋顶55112#住院楼1楼1区B1F、1F、2F、3F、4F72 27楼1区5F、6F、7F、8F、9F611112楼1区10F、11F、12F、13F、屋顶555、711门急诊楼1区1楼B1F、1F、2F、3F69115楼4F、5F、层顶6011门急诊楼2区1楼B1F、1F、2F、3F101125楼4F、5F、层顶471门急诊楼3区负1楼B1F、1F、2F、3F117125楼4F、5F、层顶301门急诊楼4区2楼B1F、1F、2F7111门急诊楼VIP1区1楼B1F、1F、2F、3F61115楼4F、5F、层顶6011门急诊楼VIP2区2楼1F、2F、3F341行政楼1楼B1F、1F、2F、3F3517楼4F、5F、6F、7F、8F、9F42113楼10F、11F、12F、13F、14F35117楼15F、16F、17F、顶301科研楼3楼B1F、1F、56、2F、3F、4F、5F、顶581医技楼1区1楼B1F、1F、2F66115楼3F、4F、5F7211医技楼2区1楼1F、B1F、2F、3F、4F、5F9912医技楼3区1楼1F、B1F、2F、3F、4F、5F772医技楼4区1楼1F、B1F、2F、3F、4F、5F211小计17981636根据点位和楼层汇聚的规划，部署24口或48口的全千兆PoE交换机，要求PoE交换机能全端口PoE供电。根据智能网节点的业务类型和数据量要求，从实际应用需求出发，建议部署一台高性能正交Clos架构的模块化交换机，同时设备配置主控、模块化电源，设备支持完美的虚拟化技术，以备以后核心层扩容形成虚拟化核心层。另外，设57、备在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，需要满足组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计，能满足现代网络的多种业务承载融合和业务灵活分类、分流的组网需求以及能够支持多种IPV6过渡技术，为网络的高速稳定运行提供可靠保障，同时为将来网络的扩展升级提供有效预留，以节省投资，更加高效的发挥设备效益。2.6. 智能管理中心随着网络的发展，其作用已经不仅是简单的互连互通，通信、计算、应用、存储、监控等各类业务应用和网络的融合，促使网络成为承载企业核心业务的平台。随着网络应用越来越复杂，网络安全控制、性能优化、运营管理等问题成为困扰客户的难题，并直接决定了企业58、核心业务能否顺利开展。在这种情况下，依靠单纯的硬件数据交换已经不能满足用户的需求，因此灵活的软件控制和高速的硬件数据交换进行有机融合的整体解决方案成为整个行业的发展趋势。为了系统地解决目前网络安全控制、性能优化、运营管理中存在的问题，凭借对IT应用的深刻理解，H3C推出了新一代的管理系统：H3C开放智能管理中枢（H3C Intelligent Management Center，以下简称H3C iMC），作为H3C IToIP整体解决方案的重要组成部分，H3C iMC采用面向服务架构（SOA）的设计思想，融合并统一管理业务、资源和用户这三大IT组成要素，通过按需装配功能组件与相应的硬件设备配合59、，形成直接面向客户应用需求的一系列整体解决方案，从而成为H3C IToIP整体解决方案的开放智能管理中枢。2.6.1. 面向安全控制、性能优化和运营管理的系列解决方案网络的安全控制、性能优化和运营管理是网络应用管理面临的核心问题，除基本的网络支撑管理外，H3C iMC通过软件灵活的控制，与相应的硬件设备配合，更为客户提供了一系列的整体解决方案，成为客户IT环境中的安全控制中心、性能优化中心和运营管理中心。iMC面向安全控制、性能优化和运营管理的系列解决方案安全控制中心系列解决方案 端点准入解决方案(EAD)概述H3C iMC端点准入功能组件与业界主流交换机、路由器、VPN设备、无线控制设备、专60、业网关等硬件进行配合，实现了局域网、广域网、VPN和无线等多种接入终端安全准入控制。端点准入解决方案(EAD)在身份接入基础上，支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁，并可根据终端的安全状态实现终端VIP、Guest、隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。 行为审计解决方案(UBAS) 概述针对国家相关机构对网络上网行为审计的政策要求，H3C 行为审计解决方案(UBAS)为客户提供了高效、完整的解决方案。行为审计解决方案(UBA61、S)支持多种日志格式（包括NAT、NetStream、Flow、DIG），可实现2到7层的用户行为审计，并且通过和用户接入信息联动，直接审计到用户名信息，而不仅仅是用户IP地址信息。针对不同的日志类型，管理员可以方便的了解到指定网站的用户访问情况，指定用户的访问网站情况，以及关键的HTTP、FTP、SMTP等协议内容摘要信息。 安全联动解决方案(SCC) 概述随着安全威胁日益严重，企业对网络安全防御体系的投入和复杂度都在不断增加，彼此割裂的安全资源和海量的安全信息成为困扰网络管理员的管理难题。H3C 安全联动解决方案(SCC) 主要由事件管理中心设备（H3C SecCenter）和响应管理控制62、中心软件（H3C iMC）组成，事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展示，响应控制中心实现了安全事件与网管系统、用户管理系统的结合，对需要响应的重要事件可灵活进行短信通知、Email通知、交换机端口关闭、用户下线、加入黑名单、在线提醒等响应操作。 流量清洗解决方案(NTC) 概述DDoS(分布式拒绝服务)攻击是目前业界规模大、危害十分严重的网络安全威胁，也成为中国网络面临的头号网络安全攻击行为。H3C iMC与专业的流量清洗设备配合，形成灵活、高效防DDoS攻击的流量清洗解决方案(NTC)。通过在城域网中部署流量清洗中心，可以为企业用户提供流量清洗增值服务。流量63、清洗解决方案(NTC)实时检测异常流量，当检测到异常DDoS攻击流量后，iMC策略控制中心上报管理员，管理员授权后会根据预设的安全防护策略进行多层次流量清洗，确保经过流量清洗设备的流量为合法安全数据，并为管理员输出清晰的流量清洗报告。性能优化中心系列解决方案 流量分析解决方案(NTA) 概述流量分析解决方案(NTA)实现各种网络流量信息统计和分析功能，能够让客户及时了解各种网络应用所占用的带宽、消耗的网络资源和TopN流量的来源，并提供丰富的网络流量分析报表。可以使用支持NetStream/sFlow的路由器和交换机提供网络流量信息，也可以使用DIG探针采集器对网络流量信息进行采集。 性能优化64、解决方案(QoS) 概述在流量分析解决方案(NTA)输出的流量报表基础上，性能优化解决方案(QoS)更能与路由、交换设备配合，完成流量性能优化的配置，通过方便、易用的图形化界面，管理员可以实现对指定的关键业务、关键用户进行端到端服务保证，真正实现QoS的所见即可得；并借助图形化的SLA（服务水平协议）工具，有效审计和判断QoS实施效果。 无线运营管理解决方案(WSM) 概述H3C 无线运营管理解决方案(WSM)，提供有线无线一体化的管理手段。它可集中管理无线设备，提供策略和服务的批量部署，提升工作效率；可提供多样化的资源分组、无线拓扑，有效组织全网视图；还可融合无线端点准入和用户行为审计功能，65、支持RF覆盖管理和无线网络规划功能，提供无线入侵检测和防护功能，定制和展示专业的数据报表服务，从而全方位深层次满足用户从无线资源管理、无线用户管理到无线业务管理的统一运营需求。基础管理支撑 基础网络管理解决方案(NMS) 概述基础网络管理解决方案(NMS)，实现了全网资源的统一部署、管理和调配中心，支持的设备包括路由器、交换机、安全、无线、语音、存储、服务器、PC、UPS等类型，实现了故障、性能、拓扑、配置等管理内容。面向服务(SOA)的开放架构除了为客户提供系列的整体解决方案外，H3C iMC采用基于面向服务(SOA)的开放架构，可以为第三方业务应用提供底层的资源管理调用接口，为最终客户提供66、定制化的服务，为集成商提供增值价值。iMC面向服务(SOA)的开放架构H3C iMC可为客户提供面向安全控制、性能优化和运营管理类接口，并提供C+/C#/Java/Delphi等多种语言调用样例，方便各类应用系统灵活调用集成。在本次xx常德医院网络网络设计中，考虑到网络带宽扩展后，流量也会随之增长，有必要使用iMC智能管理中心的网络流量分析。下面简要介绍iMC智能管理中心为客户带来的价值：2.6.1.1. 系统安全管理系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。u 操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全67、性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。u 操作员密码管理管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问iMC系统的安全性。u 分组分级权限管理管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权68、限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。u 操作日志管理对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。u 操作员在线监控和管理系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。2.6.1.2. 资源管理iMC资源管理与拓扑管理作为整体共同为用户提供网络资69、源的管理。通过资源管理可以：u 网络自动发现可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备；多种自动发现方式自动识别多种设备类型u 网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；u 网络视图管理支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同角度实现整个网络的管70、理；u 网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；u 设备及业务管理系统的集成管理支持对H3C、CISCO、3COM等主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；u 设备分组权限管理支持设备分组功能，通过对71、设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；2.6.1.3. 拓扑管理iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括：u 拓扑自动发现 H3C iMC可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备IP可达）。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时72、可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制（刷新周期：607200秒），同时也支持对多个设备的刷新周期进行批量配置的功能。u 支持自定义拓扑传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。针对这种情况，H3C iMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓73、扑能够清晰地呈现整个企业的网络结构以及IT资源分布。H3C iMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。u 自动识别各种网络设备和主机的类型H3C iMC可以自动识别H3C、华为、Cisco、3com等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、安全网关、存储设备、监控设备、无线74、设备、语音设备、打印机、UPS、服务器、PC等等。u 设备状态、连接状态、告警状态等信息在拓扑图上的直观显示H3C iMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到企业IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。u 拓扑能提供设备管理便捷入口H3C iMC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。2.6.1.4. 故障（告警/事件）管理故障管理，即告警/事件管理，是H3C iMC的核心模块，是i75、MC智能管理平台及其他业务组件统一的告警中心。如下图所示，以故障管理流程为引导，介绍H3C iMC强大的故障管理能力：u 告警发现和上报iMC告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3C iMC告警中心；l 设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）变化，热备份路由（HSRP）状态变化等告警事件，支持对H76、3C、CISCO、华为、3COM等多厂商设备告警的识别和解析；l 网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPU利用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件；l 网络性能监视包括CPU利用率，内存使用率，以及RMON告警的故障管理。l 网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过iMC智能配置中心组件（iMC iCC）实现配置文件定期检查，实现配置变更告警事件。l 网络流量异常监视告警通过iMC 网络流量分析组件（iMC NTA）实现网络中异常流量告警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警，支持二77、级阈值告警定义；l 终端安全异常告警通过iMC端点准入防御组件（iMC EAD）实现对终端用户安全异常的告警，包括ARP攻击告警、终端异常流量告警及其他终端不安全告警；l iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定时进行轮循，并及时上报通断告警、响应时间告警等告警事件。u 告警深度关联分析与统计iMC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件；H3C iMC对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认相关告警；同时用户可以根据自己的需要确定事件的告警规78、则，以适应网络管理需要。l 重复事件阈值告警：屏蔽重复接收到的相同事件，并可在达到阈值条件时产生新告警通知用户。 l 闪断事件阈值告警：分析接收到的闪断事件，并可在达到阈值条件时产生新告警通知用户。l 未知事件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用户。l 未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生新告警通知用户。l 自定义事件过滤规则：用户自定义的事件过滤规则，用户可指定在什么时间范围内、对什么样的告警进行过滤。iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同时，管理员可以自定义由告警事件升级为告警的规则79、，可从事件、事件关键字、事件源、时间范围四个方面进行规则定义，一旦定义事件升级为告警规则后，iMC告警中心会根据定义的规则关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，避免产生告警风暴，让管理员能专心关注告警的根源。u 实时告警H3C iMC提供多种方式将告警通知给管理员，包括：l 实时远程告警：通过手机短信或Email邮件的方式，将告警及时通知管理员，实现远程网络的监控和管理；l 分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告80、警产生，同时可以了解产生的告警的类别和等级：l 实时告警浏览和确认，通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口：l 提供系统快照，实时报告网络、下级网络及设备的状态l 通过拓扑实现报告网络及设备状态u 故障解决H3C iMC对各种故障警均提供“修复建议”，管理员可以参考修复建议对故障进行处理。在故障得到解决后，通过对告警的确认完成故障的恢复确认。u 固化经验H3C iMC提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参考。用户选中一条告警记录，系统根据用户选中的告警记录，从告警知识库中查询出该条告警记录的维护经81、验，供用户进行告警处理进行参考。用户将自己的日常处理经验以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。2.6.1.5. 性能管理H3C iMC网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。例如：可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的阈值，当性能超过阈值时，网络以告警的方式通知告警中心:l 支持At a Glance、TopN功能，用户能够对CPU利用率、流量等关键指标一目了然；l 提供各类常用性能指标的缺省采集模板；l 支持实时性能监视，支持二级阈值告警设置,当82、链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段；l 提供基于历史数据的分析，为用户扩容网络、及早发现网络隐患提供保障；l 支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的变化趋势；提供灵活的组合条件统计和查询；性能报表支持导出Html、Txt、Excel、Pdf格式文件：2.6.1.6. 设备管理组件现有的企业网络中，由于缺乏有效的设备管理软件，网络管理人员往往只能通过“徒手”进行设备管理。管理人员往往只能通过远程登录查看设备工作状态，了解设备运行情况。H3C iMC提供的设备管理功能使这种情况成为“83、过去”。H3C iMC支持对H3C全系列IP产品进行设备管理，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息浏览监视，管理人员可以了解设备的运行情况，实时监视CPU利用率、端口利用率等重要信息。同时，H3C iMC提供图形化的配置方式，使设备功能配置不再复杂。H3C iMC向用户提供了完善的网元管理功能，通过逼真的面板图片，直观地反映了设备运行情况。l 通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态；l 能够查看、设置设备端口状态；l 能够查看路由、VLAN等配置信息；l 能够查看端口流量、丢包率、错包率84、等关键统计数据；l 支持对H3C交换机堆叠能力的管理；l 通过Ping、Traceroute等功能测试当前网络链路的健康状况；l 支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。2.6.1.7. iMC智能配置中心组件（iCC）H3C iMC网络配置中心iCC主要提供设备配置文件管理、设备升级管理及统一部署任务管理。u 设备配置库管理当网络规模较大时，网络管理员的配置工作将十分繁重，如果没有好的配置系统，管理员就只能手动进行配置下发及配置备份。这样就给管理员管理、维护网络带来一定的困难，尤其是当网络瘫痪时，大量设备配置需要恢复，导致维护成本大大增加。H3C iMC iCC组件提供配置85、库管理功能，帮助管理员对设备配置文件形成基线库，并进行集中管理。l 设备配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值。l 系统缺省提供常用的配置片断：iCC提供一些常用的基本的配置片断，包括删除SNMP 团体字、添加只读SNMP 团体字、删除 NTP Server、增加 NTP Server、取消本地用户服务级别、取消本地用户服务、删除本地用户密码、删除本地用户、添加本地用户、取消DLDP、修改DLDP、使能DLDP、取消dot1x端口控制、取消dot1x等三十多种配置模板，可以对其进行复制、导出及部署：l 管理员可以从指定配置文件/片断导入到配置库中进86、行管理，也可以从指定设备上读取当前配置并导入到配置库中进行管理。l 除从设备导入、从文件导入配置库功能外，管理员可以查看、增加、复制、修改、删除、导出及部署指定的配置库中任何配置文件/片断。l 当网络部署完毕，管理员可以通过配置库管理将设备的配置信息保存下来，并进行基线化，这样当设备配置变化或者需要更新配置时，管理员可以参照基线化的配置文件进行修改。u 设备软件库管理设备软件版本同设备配置文件一样，其管理方便性直接影响网络维护的工作量。同样iCC提供了设备软件库管理功能，解决对设备软件版本统一管理，并进行基线化。l 设备软件的统一管理，包括普通软件、ONU软件、ONU算法等。设备软件库支持设备87、上各种业务的软件，从而实现设备软件的统一管理。l 管理员可以通过设备软件库查看、从文件导入、从设备导入、修改、删除、导出、部署等操作，实现对设备软件的有效管理。统一的配置向导和部署任务管理l 设备软件文件及配置文件通过统一配置向导进行管理，实现软件文件和配置文件的集中部署l 通过部署任务集中管理，可以完成任务查看、修改、复制、删除、启动、挂起、恢复等各项操作，任务包括周期性任务、一次性任务和立即任务。设备软件文件和配置文件管理l 管理员可以浏览设备的配置和软件信息，iCC支持四个厂商的设备：H3C、 3COM、华为和MARCONIl 管理员可以查看设备当前的软件版本和软件库中最新可用的软件，更88、新设备的软件，从而方便的对设备软件进行升级l 管理员可以查看设备最新备份配置的时间，手工备份设备的配置文件，方便的对指定设备进行手工备份l 管理员可以查看设备是否进行自动备份，增加自动备份设备，设置自动备份设备和周期，方便的将指定设备加入自动备份中，设置自动备份的设备列表以及自动备份周期l 管理员可以查看设备最新的启动配置文件和运行配置文件，从而判断设备的配置是否发生变化l 管理员可以通过设备备份配置历史一览，对设备配置文件进行查看、基线化、修改、比较、删除、恢复等操作，配置文件包括三种版本：基线、普通、草稿。l 管理员可以比较任意两个配置文件的内容，方便的查看差异部分的内容。l 管理员可以通89、过创建一个恢复任务，恢复设备的某一历史配置或设备某一更新历史的升级前软件版本。2.6.1.8. iMC NTA解决方案网络设备、日志采集器、iMC NTA网络流量分析组件，三部分之间的关系如下图所示：u 网络设备提供NetStream技术sFlow技术接口的网络设备，负责对设备各个端口进出的网络报文进行流分类统计，然后生成日志并发送到流量分析服务器。u iMC NTA网络流量分析组件iMC NTA网络流量分析组件是NTA方案的核心，其根据不同应用对采集来的流量数据进行详细的分析处理。采用将分布式数据先集中再分析的方法，实现了精细统计粒度的同时高效的分析样本。为便于网络管理人员的操作，采用基于W90、eb的直观的、图形化的管理界面。u 预定义报表介绍使用iMC NTA可以简化对企业网络中带宽使用的监控。用户借助NetStream数据了解谁、何时占用了多少带宽，使用多长时间，网络流量来自何地、流向何处。iMC NTA这些数据进行多角度的统计和分析，并生成各种直观的流量、带宽报表。以便用户快速诊断网络问题并解决带宽瓶颈，同时作为用户进行网络优化、网络设备投资、网络带宽优化等的参考。iMC NTA提供了一系列预置的流量、带宽报表，所有报表均可以灵活定制过滤条件（包括应用类别、源IP、目的IP等），在预定义报表中按照定制的过滤条件显示特定应用的流量趋势或特定节点的流量明细信息。通过预置报表可以简单91、有效地分析网络流量。可以了解造成带宽瓶颈的某个特定主机、应用或会话的详细信息。这将便于快速了解当前哪些链路堵塞，并分析其原因。另外，不同时间段的使用趋势有助于用户在带宽投资或加强安全策略方面做出重要的决定，促进有效地使用带宽。总体流量趋势报表此类报表用于查看特定时间段内每个启用NetStream的接口指定时间段内的出、入流量、最大、最小和平均速率、流量时间变化趋势及对应的流量明细信息。利用这些流量统计数据，任何时间段内通过特定接口的流量信息可以一览无余，短期（如当天）内的流量数据可作为发现异常流量的参考，长期（如一季度）流量趋势数据可以为您网络优化或升级规划提供依据。应用带宽占用趋势报表此类报92、表用于查看特定时间内启用NetStream接口的流入、流出方向上，各网络应用占用带宽的比例的变化趋势及应用统计概况。并进一步分析使用该应用进行通讯的流量最大的来源和目的地址列表。对系统不能识别的应用，以四层协议端口号的方式显示流量趋势信息，分别提供以端口、源IP、目的IP为分组依据的未知应用流量分布图，分别基于未知应用的端口、源IP、目的IP的流量趋势变化图和未知应用流量详细信息列表，并提供把分布图中显示的未知应用定义为已知应用的快捷功能。利用报表统计数据可以了解哪些应用占用最大带宽。进一步分析使用这些应用的源和目的。只需简单点击，这些详细信息即可呈现谁在使用带宽、使用何种协议，帮助用户实时监93、控网络带宽的使用，为网络带宽优化、解决网络异常问题提供依据。流量最高节点报表包括“流量最高的来源节点报表”和“流量最高的目的节点报表”。此类报表用于查看特定时间内启用NetStream接口的流入、流出方向上，总流量TopN的网络节点及流量统计信息。进一步可分析特定节点的流量，如使用最多的应用和与之通信最多的节点。利用此类报表数据，可掌握哪些主机消耗了大量带宽，并可以深入分析使用了哪些应用、访问了哪些目标。流量最高的会话报表此类报表用于查看特定时间内启用NetStream接口的流入、流出方向上，总流量TopN的网络节点间会话及流量统计信息。进一步可分析该会话的流量，如会话的流量趋势和双方节点使用94、最多的应用。此类报表数据，展示了耗尽大量带宽的特定主机，并可以此为依据深入分析通信的主机之间使用了哪些应用。流量最高的节点和会话报表将帮助管理员洞察网络链路的用户使用状况，制定相应的策略，使带宽得到最合理最充分的使用。支持周期报表提供网络流量周期性(每小时、每日、每周、每月)状态的综合报表，提供直观的网流状态展示。支持即时报表提供网络流量当前状态（最近一小时）的综合报表，提供准实时的网络流量展示。u 准确的主机识别对于系统预定义报表Top列表中出现的任何一个IP地址，都支持通过点击其相应的主机识别图标来查询该IP对应的MAC地址、主机名或域名信息，提高网络分析结果的透明性。在iMC UAM用户95、接入组件作为AAA服务器的组网环境中，还支持和UAM系统联动，查询特定IP地址对应的用户上网帐号、MAC地址、使用服务及上网时间等明细息。u 数据库实时监控iMC NTA支持实时监控系统数据库使用状态，包括数据库已用/剩余空间监视、磁盘已用/剩余空间监视、磁盘使用空间设置、达到阈值后自动释放磁盘空间等功能，帮助管理员全面实时掌握磁盘使用状况，及时做出相应处理，杜绝由于磁盘空间不足而造成系统性能和分析准确性的影响。u 灵活的应用自定义iMC NTA支持使用从NetStream获得的端口和协议数据来定义应用，系统预定义的常用应用有Netmeeting、Microsoft ds等近三百种。另外还可以96、通过结合端口和协议来添加自定义的应用或修改现有应用。应用定义管理功能不仅便于企业监控常用应用的流量，更为用户监控企业特有应用的带宽利用情况提供了方便。u 流量分析任务管理通过iMC NTA中的接口分组管理功能，可将同一台设备的多个接口或分布在不同设备的几个接口逻辑定义为一个接口组，对接口组整体的应用流量进行分析；同时支持将一个或多个IP地址段、一个或多个相关联的接口、特定的协议(目前支持TCP，UDP)、应用端口范围作为条件定义一个IP地址组，以IP地址组为考察对象进行网络流量报表统计，便于监控需要关注的网络流量。例如关注财务部的网络流量，可根据实际情况把财务部员工的网络接入端口或财务部对应的97、IP网段添加到一个接口组或IP地址段中进行整体流量的分析和监控。2.6.1.9. EAD安全端点准入介绍随着医院笔记本电脑应用越来越广泛，以及医院内、外网合一导致越来越多的固定计算机具备了Internet上网权限，如何防范非法计算机接入到医院网络中，如何防范合法计算机在安全状态不满足要求的情况接入到医院网络中，防止“病从口入”，保障终端计算机的安全是实现医院信息安全的首要前提。H3C端点准入防御（EAD，Endpoint Admission Control）解决方案从网络终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的98、用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以有效的满足医院信息安全控制的需求，保证医院信息系统的安全运行。医院用户在接入网络之前，必须要通过身份认证，要求用户输入用户名、密码信息，身份认证通过后，EAD客户端还会检查用户计算机的安全状态，包括计算机操作系统补丁安装是否合格、病毒库定义是否合格、是否启动防病毒软件、是否安装了非法软件、是否只启用符合其身份的应用软件只有通过安全认证，计算机才能正常接入到网络中开始工作，安全状态检查只要有一条不能满足要求，该计算机将被安全隔离到隔离区，并在隔离区内自动安装系统补丁、防病毒软件、卸载非法软件等。除了提供用户安全认证，EAD解决方案还可99、实现基于用户的权限管理，不同用户能访问的应用服务器各不相同，并可根据内网、外网划分为两大类用户，实现内网用户禁止访问Internet，而外网用户可以访问Internet，但不能访问HIS系统，部分用户，如院长、信息中心人员则同时具有内网、外网访问权限。2.6.1.10. WSM无线业务组件WSM无线业务管理器是iMC智能管理中心的业务组件之一。 iMC智能管理中心采用分布式、组件化、跨平台的开放体系结构。通过选择安装WSM无线业务管理器，用户可以获得全面的无线业务管理能力，实现AC设备、FAT AP设备、FIT AP设备、移动终端等无线设备的集中管理，轻松实现设备配置管理功能，并提供资源分组、100、无线拓扑功能，对全网无线设备进行直观有效的组织，对网络部署和设备状态一目了然，策略模板等功能实现网络和设备的批量配置，提升效率，降低维护工作量，降低维护成本。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。WSM无线业务管理器界面 有线无线一体化管理，提升整体管理能力，使用户获得最佳管理体验，并节约用户部署和维护成本； 漫游域、物理位置、设备类型等多种视图呈现网络资源，101、网络部署情况更加清晰； 多纬度、多层次、自定义的资源分组管理，有效组织全网资源，灵活机动，建立更加适应用户的个性化网络管理平台； 从纷繁复杂的网络中抽象出逻辑化的无线业务拓扑，使无线网络展示更加清晰，帮助用户更加有针对性地管理无线业务； 漫游域、物理位置等多种拓扑视图帮助用户从多角度监控无线网络，物理位置拓扑视图通过用户实际的户型结构，根据无线设备真实的摆放位置，展示最为逼真的网络部署情况； 支持目前普遍使用的FAT AP和更加先进的AC+FIT AP两种无线网络部署方案，提供全面的无线网络业务管理能力； 全面的无线参数浏览及批量配置功能，使用户真正实现无线网络和设备的远程集中监控和管理； 强102、大的故障管理能力及设备状态实时显示功能，使用户对网络运行情况了如指掌； 移动终端漫游过程记录，帮助用户审计最终用户漫游轨迹2.7. 无线网络设计医院无线网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。 H3C无线方案理解为是有线网络的外延，整个方案设计的要点主要包括认证点的选择问题、网络安全设计、无线网部署、网络管理几个方面。我们将在后面的方案详细设计中进行分析和方案描述。xx常德医院内网无线主要覆盖区域包含住院楼、门诊楼、行政楼、医技楼，主要满足医院业务系统接入需求。2.7.1. 无线业103、务需求分析大多数医院的网络目前都是有线网络，但有线网络没有解决空间覆盖的问题，同时也不能解决信息实时收集的问题，在将来的医院网络趋于实时、数字化网络，同时还可以为医院的病人提供增值服务。也可以利用无线局域网技术的移动性、灵活性和高效率在护理点获取实时的患者信息或者搜索决策支持信息。这种系统使医护人员可以更加准确、快速和高效地制定决策和采取相应的措施，具体体现如下： 电子病历访问/查看 医生处方输入和药物治疗匹配 护士呼叫系统 患者床边服务 对重要的统计数据的监控对于具体的无线工程一般还要满足以下业务需求： 针对医院的空间要进行全面覆盖； 无线网络通过安全认证，保证医院信息不能通过无线网络对外泄104、露； 用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断；2.7.2. 整体无线建网原则结合医疗行业和WLAN的实际应用与发展要求，无线局域网(WLAN)网络系统设计本着建设功能完整、技术成熟先进的网络系统的前提下，主要遵循以下系统总体原则： 高可靠性原则：网络系统的稳定可靠是应用系统正常运行的关键保证，对于医院网络来说，更是如此，在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证医院办公系统的高效运行。 技术先进性和实用性原则：以现行需求为基础，保证满足医院办公应用系统业105、务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络应用的需求和未来的发展趋势。 安全性原则：WLAN是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。制订统一的骨干网安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。 高性能原则：承载网络性能是医院整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，力争实现透明网络，网络不能成为医院实施业务的瓶颈。 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的106、扩展升级、与其他系统的互联提供良好的基础。 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。 可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。2.7.3. 认证方式选择在认证点选择方面，由于H3C公司提供的是（WA4107、320i-X-FIT）加核心交换机旁挂无线AC控制器进行组网的方案，（WA4320i-X-FIT）与AC控制器通过二层隧道协议通信，无线用户的认证点都是放置于AC控制器上。这样组网的优势是：当用户在不同（WA4320i-X-FIT）之间进行L2、L3漫游切换的时候，可由AC控制器对用户的漫游切换进行管理控制，对于用户来说可以在无需重新认证的情况下跨区域开展业务。业界主要采用802.1X认证终端软件与AP、无线交换机、iMC配合使用进行802.1x认证，或者采用Portal认证，后面具有Portal/Web与802.1X认证二种方式的比较。目前无线交换机能够同时支持802.1X/WEB PORT108、AL认证，当用户数较少的时候，可以在AC控制器本地建立用户数据库，将用户鉴权点放在AC控制器本地进行；当用户数达到一定规模的时候，也可将用户数据库放在H3C的iMC系统上，iMC与AC控制器配合作为用户鉴权点。由于医院的网络主要用于护士和医生工作，并不提供作为公众运营网络接入，我司本次的WLAN建设中，建议采用： 无线AC控制器完成用户的认证终结和用户鉴权； 此方式具有的优点：用户认证完成实体主要体现于无线交换机系统，呈现一个集中模式，便于维护与统一控制，无线系统用户与有线用户区分开来管理，保证无线系统的安全性；2.7.3.1. 802.1X认证方案介绍802.1X协议是IEEE在2001.6109、通过的正式标准，标准的起草者包括Microsoft，Cisco，Extreme，Nortel等；802.1X定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，其中端口既可以是物理端口，也可以是逻辑端口。H3C的FIT AP无线组网方案中，由后端的无线交换机对所有认证报文进行终结，并提取出用户名和密码信息交由后台的iMC进行用户鉴权。用户使用802.1X认证的过程如图所示：802.1X及WEB PORTAL认证流程示意图接入AP的无线终端采用802.1X模式，首先接入AP的客户端通过802.1110、X认证输入用户名、密码后客户端发起EAP报文至无线交换机，在无线交换机上终结EAP报文，然后从无线交换机经以太网交换机发起Raduis报文至iMC服务器，由iMC服务器来验证用户名、密码是否匹配，在认证通过以后由iMC服务器下发Raduis报文至无线交换机通知该用户认证通过，无线交换机中再将相对应的逻辑端口打开，允许学习MAC地址，允许用户上网。H3C公司对802.1x认证方式进行了优化，使其可以支持基于MAC的用户控制，即一般情况下如果多个用户连接到一个HUB，其中一个用户认证通过后，其他用户也能够使用网络，但H3C公司对802.1X认证方案优化后，只有认证通过的用户（MAC）才能使用网络，111、其他用户还是不能使用网络。2.7.3.2. WEB认证方案介绍WEB用户上网时，设备强制用户到门户网站，并提供门户网站主页，用户可以免费访问其中的服务。当要使用互联网中的其他信息时，则必须在门户网站进行认证，只有认证通过后才可以使用这些服务。WEB认证用户不需要安装额外的客户端软件。在H3C的FIT AP方案中，使用WEB认证时，强制Portal仍然是在无线交换机上进行。使用WEB认证时不需要安装客户端软件，使得管理和维护更简单，并同时能利用iMC的功能较好地对用户进行控制，如用户端口绑定、用户IP绑定、用户MAC绑定等，但无法做到用户通知消息下发和防止用户使用代理。2.7.3.3. WEB认112、证与802.1X认证对比功能WEB认证802.1x认证客户端软件不需要需要客户端版本限制不支持支持自动探测并屏蔽代理服务器不支持支持限制多网卡、拨号上网不支持支持显示当前网络状态及认证状态支持支持异常下线探测功能支持支持消息下发不支持支持对AAA服务器的特别要求无无分布式认证支持支持网络性能影响低低Radius服务器的性能影响无无标准化程度低高IP地址浪费无无2.7.4. 有线无线混合组网下的认证方案对有线用户和无线用户进行分别认证，有线用户在以太网交换机上实现认证，无线用户在无线交换机设备上实现认证。通过在iMC上设定对应的绑定区域，对于只能使用有线上网的用户绑定所有以太网交换机IP地址，无113、线上网用户由于其漫游特性，无需绑定到无线交换机的IP地址。设备要求：实现认证的以太网交换机和无线交换机必须支持标准Radius协议，能够和iMC CAMS配合实现认证计费功能。如果要实现H3C扩展的Radius功能，如防代理、消息下发等功能。则必须使用对应的H3C设备。2.7.5. 关键技术要求介绍2.7.5.1. WLAN组网关键问题解决构架可运营WLAN网络，除了要求AP（Access Point）支持宽带无线接入网络的覆盖特性、可运营、可管理特性外，还要求整个网络的开放、兼容、安全、可运营、可管理、可盈利。在构架WLAN公众网络一般基于网络分层的理念，即不同层面的设备承担不同的功能，以达114、到组合后整网的功能与业务支撑。在实际WLAN可运营组网应用中，网络分为用户接入层、边缘汇聚层、业务控制层、业务管理层。用户接入层对应设备为AP（Access Point），主要承担与终端用户基于802.11协议的PHY/MAC层的协议对接，具体包括工作模式、无线鉴权、ESSID诊别、MAC帧插入、IAPP、节电模式、Allow Guest、MAC层访问控制、用户接入认证报文承载、动态密钥协商等等。此外还要保证承载层的高性能、高可靠性。 AP在设备的设计上支持了此类功能，可以与后台系统进行配合完成认证与计费的功能，对于复杂的NAT、路由策略等其它的高层应用不进行支持。边缘汇聚层对应设备为AC（A115、ccess Controller），主要承担WLAN网络接入网关的角色，具体可以支持对用户的合法性认证、计费的发起（Client）、用户管理（访问控制、接入带宽控制、用户的信息绑定），子网内无缝切换的布署、整网安全的布署、整网QoS的布署、子网网络设备管理等以及与业务控制层结合提供增值业务如强制Portal、即插即用、与酒店营帐系统接口等等。在电信运营商可以由BRAS或支持用户管理、认证、计费的汇聚层设备承担，AC的设备形态可以由L2/L3与iMC进行配合使用进行完成；业务管理层主要为WLAN网络提供基于网络服务的业务，由于WLAN具有宽带网络的特性同时也具备无线网络的特性，因此，主要为将运运116、营增值业务而进行准备，在运营商领域中目前已成熟的宽带价值连业务、移动数据业务均可以部署其中。整网安全H3C的WLAN网络主要服务于公众型用户，运营者与最终用户都很担心安全问题，即用户安全，具体细分包括用户帐号密码的安全，用户上往后计算机内部数据，用户数据在网上传输的安全等。此外，WLAN作为运营网络自身的安全也是运营者必须考虑的问题。H3C公司WLAN解决方案可提供端到端的安全部署，能满足公众运营网络的安全要求。 针对终端用户上网认证的用户名密码的安全：采用802.1X EAP-MD5方式上网的用户，由于EAP-MD5信息本身就是密文传递，用户名、密码的安全能得到保证。采用WEB方式上网的用户117、，H3C WLAN网络支持标准的SSL/HTTP应用层加密保证用户名、密码的安全。 针对用户上网后计算机内部数据的安全：H3C公司WLAN网络实现了二层隔离，三层受控互访的机制保证用户计算机数据的安全，具体用户在通过认证前能接入的网络都是二层网络，认证通过后，通过网络设备的三层功能可访问所有向它开放的网络。H3C WLAN网络可实现用户在二层网络内是隔离的（无线口AP支持USF以及动态加密功能隔离用户，AP上行支持UIMF功能实现到认证点网段均是二层隔离）。在用户通过认证后，还可以通过强大的ACL控制用户否是允许互访，保证用户的安全。 针对用户上网后数据在网络上传输的安全：无线接口以上的网络基118、本上为IP网络，用户数据在IP网络上的安全的保证，H3C IP的安全部署是可以保证的，针对空中接口的安全，H3C AP支持以下几种安全机制： MAC地址过滤：目前支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中； SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络； WEP加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密； 支持AES加密，AES安全机制是一种动态密钥管理机制，同时密钥生成也基于不对称密钥机制来实现119、的，同时密钥的管理也定期更新，具有体的时间由系统可以设定，一般情况都设定为5分钟左右，这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来，从无线空口的流量来看，基本上是不可能的； H3C的无线方案中的密钥设置可能根据SSID信息与用户信息进行组合，即不同的SSID下不同的用户的密钥生成可以不一样，这样在一定程度上保证用户之间串号问题的产生，从而保护投资，以达到运营平衡。 H3C的无线方案提供无线入侵检测功能，AP 可以不断地扫描空域，以便对要求更高安全性的环境提供全天候保护。一旦无线网络中有非法接入点接入，WAP2110将上报相应的告警给AC控制器，并通过网管软件显示。2.7120、.5.2. 频率规划与负载均衡 频率规划802.11b/802.11g/802.11n/802.11ac开放的2.4GHz/ 5GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11b/802.11g/802.11n/802.11ac在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。H3C公司针对如何进行802.11b/802.11g/802.11n/802.121、11ac的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。 频率规划原理图频率规划需要配合使用的功能包括：nAP支持11个信道设置nAP支持外置天线以及定向天线n针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能结合以上功能的支持，以及勘探工具，可以较好的部署AP达到频率规划的效果。H3C公司针对医院、无线小区、机场、酒店、高密度会议场所（APEC会议）等热点区域进行过频率规划，使用效果较好。 负载均衡H3C WLAN解决方案，AP上支持标准的IAPP协议框架，通过负载均衡的部署，可实现在一个热点内122、用户平均分配到所部署的所有AP上，达到在一个服务区AP接入用户数何流量的平衡，为用户提供更高的服务质量。具体可部署的负载均衡策略有：1. 对所有AP设置基于用户数的负载均衡功能，AP通过对接入用户数的统计，与设定AP接入用户数量的阀值进行比较，达到阀值后，不允许新的用户接入。2. 对所有AP设置基于流量的负载均衡功能，AP通过对接入用户流量的统计，与设定AP上的流量漏桶阀值上沿比较，达到阀值后，不允许新的用户接入，少于阀值下沿，再允许新用户接入。3. 配合网络规划，设置AP群功能，在一个群内的AP通过组播报文实时通报接入用户数量，当发现AP间用户数差值大于设定阀值，接入用户多的AP将部分用户赶123、下网。2.7.5.3. 切换与漫游 切换定义：用户在不同AP间移动，不需要重认证，业务不中断；1. AP位于同一L3/L2之下的不同物理端口下同一VLAN之中2. AP位于同一L3/L2之下的不同物理端口下不同VLAN之中3. AP位于同一Wireless Switch之下不同L3/L2之下的同一VLAN之中4. AP位于不同Wireless Switch之下不同L3/L2之下的同一VLAN之中5. AP位于不同子网下6. 支持动态加密 漫游功能漫游主要是指异地用户通过本地WLAN网络上网或者本地用户移动到异地可通过异地的WLAN网络上网。通过AAA Server支持Proxy功能进行用户判别124、认证、计费与结算。此功能已经在运营商网络中已经实现并验证，效果良好，目前在行业网络中基本上没有这应用，但在H3C网络中必须使用此功能，此功能要求后端系统的用户信息进行互动，采用协议达成或者数据共享进行达成，对于H3C公司，建议采用后端系统进行协议交互达成用户在漫游地认证通过并获得服务。2.7.6. 用户管理iMC系统功能强大，操作简单，在用户认证管理上，具有以下特点： 用户绑定功能iMC 支持绑定用户名和设备IP地址、入端口号、VLAN ID、用户MAC地址、用户IP地址等信息，保证用户绑定合法性。并支持用户MAC地址和用户IP地址自学习功能，大大减少管理员的录入量。 认证区域绑定功能通过认125、证报文上传的认证接入设备IP地址，iMC系统可实现认证区域绑定功能。用户上网的区域可被限制在一定范围内，增强了网络的安全性。 防代理功能针对医院用户，iMC提供防代理功能，禁止用户使用代理上网，并支持限制用户使用的客户端，要求用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。目前iMC系统的防代理功能必须要与H3C交换机配合实现。 用户黑名单管理iMC认证系统支持黑名单管理，支持手工加入黑名单、自动将欠费用户加入黑名单、自动将恶意登录用户加入黑名单、自动将充值失败超过阈值用户加入黑名单并提供黑名单增强功能：在被试探帐号加入黑名单的同时记录恶意试探机器的MAC地址，限制从该MA126、C地址的机器试探该帐号，但被试探帐号可以在其它MAC地址的机器上正常使用，保证登录用户的合法性。 用户上网全程监控iMC CAMS认证计费系统能对医生上网的全过程进行管理，实现医生上网的实时监测。对于网络上进行非法操作的医生，具备将用户踢下线的功能，控制医生对网络的使用。2.7.7. xx常德医院无线网络方案WLAN技术1996年就已经提出，经历一条曲直的道路，已经逐渐被市场认可了，对于无线网络，医院部基本上采用室内覆盖模式，考虑到医院的建筑结构较为特殊，WLAN技术很难穿透建筑物，同时又由于WLAN属于高频窄波，绕建筑物的能力较弱。医院的无线覆盖空间主要包括：病房、护士站、医生办公室、会议室127、等；一般医院病房每间的空间不是特别的大，同时病房之间不是承重墙，建议无线的覆盖方案的原则是：以本着节约、全覆盖的原则进行方案设计。xx常德医院无线网络整体采用AC+瘦AP的部署模式，采用x share AP和放装AP、高密覆盖组合部署。xx常德医院建筑结构，墙体比较厚，并且墙体中间还有石棉，对信号衰减较大，因此在无线覆盖部署到住院病房、建筑内结构时，选x-share的部署方案，满足信号均匀覆盖，并实现最佳漫游，满足无线医疗业务的使用需求。针对医院里的会议室、报告厅，则采用高密覆盖的部署方案，满足大量用户的高并发接入需求。在普通的应用场景则采用放装AP部署。X-Share方案介绍在住院病房里采用128、X-Share方案，X-Share 是室内分布覆盖技术，不同于以往的室内分布覆盖技术方案，能够实现基于用户的天线选择，即可以实现选择天线对用户收发数据报文。极大的降低了空间中无线信号的干扰，同时具备室内分布式方案信号好的优势。独特的静谧模式X-Share AP采用的智能天线分布式系统，每一根天线都具有独立的感知功能和独立的发射策略。静谧模式功能，借由这些独立的感知天线，将准确的计算每个用户所关联的房间和天线，并将数据准确的推送至用户侧，而其他天线均不发送与该用户有关的数据。在静谧模式开启时，每个天线都相当于一个独立的 AP，维护单独的用户表项，并独立和该用户建立发送接收通道。实现智能云接入和最129、佳无线网络TCOX-Share AP遵从 802.11ac 协议标准，采用专业模块化设计，单射频能提供高达 867Mbps 的无线接入速度，是相同环境下802.11n 产品的 3 倍左右。通过内置集成终端感知型硬件智能天线覆盖技术，可以有效地从覆盖范围、接入密度、运行稳定等方面提供更高性能的移动云接入服务并协助用户实现最佳无线网络 TCO(总拥有成本/Total Cost of Ownership)。提供双千兆以太网接口有线连接上行链路采用两个千兆以太网接口，使有线口不再称为无线接入的速率瓶颈，让用户尽情享受无线超千兆的带宽速率。并且两个千兆接口可以实现冗余供电，链路聚合，更佳方便了用户不同的130、组网需求。支持 RealTime Spectrum Guard(实时频谱保护)模式RealTime Spectrum Guard(RTSG)是 H3C 创新提出的针对无线环境频谱状态的专业监控方案。H3C WA4320i-X 系列 AP 支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。RTSG 的控制台融合部署于 H3C iMC 智能管理中心，通过 CAPWAP 管理隧道，与 Sensor AP 进行通信和数据采集，实现 7X24小时的无线环境质量监控、 无线网络能力趋势评估以及非许可干扰告警。 通过图形化方式， 主动探测和识别所有 2.4GHz/5GHz波段的射频干扰源(Wi-F131、i 或非 Wi-Fi)，可提供实时 FFT 图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。结合 H3C iAR 智能报表组件，可实现全覆盖区内的射频质量历史记录的存储、追溯、回放等，自动生成客户化的趋势、合规和审计报告。针对用户无线环境监管的不同层次需求， RTSG 方案的部署可以灵活采用 Local mode 或 Monitor Mode。 当工作在 Local Mode时，可以在获得有效的频谱防护前提下，保持正常的用户接入和数据包转发。高密覆盖AP介绍针对会议室、报告厅、活动厅等高密度、高并发接132、入环境，采用高密覆盖的方案，H3C 高密覆盖方案相比传统的方案具有部署AP数量少、信道干扰小、5G信号强、并发接入用户数多等特点。H3C高密放装AP采用业界领先的三射频创新设计传统的无线接入 AP 通常采用双频方案,分别在 2.4GHz 和 5GHz 两个频段上提供无线信号接。H3C WA4330-ACN 产品创新的采用三频设计，在保留原有双射频的同时，增加了一个灵活可变的第三个射频。当实际接入的终端类型支持 5GHz 的数量较多时，可将该射频配置成 5GHz 频段，从而提高 5GHz 的接入用户数量和带宽能力，反之，2.4GHz 终端较多时则可以配置成 2.4GHz，组网形式非常灵活。因此，133、WA4330-ACN 的接入速率最高可达 2Gbps，在业界第一次提供可商用的有线无线双千兆接入 AP 产品，非常适合在会议室、报告厅场景，高密度接入场景使用。支持智能负载均衡WA4330 系列 AP 支持按接入用户数量和流量的复杂均衡方式， 当无线控制器发现无线接入设备的负载超过设定的门限值以后， 对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入， 如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。H3C 公司创新性的支持智能负载均衡技术，保证只134、对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。整体而言，X-share方案和高密覆盖的方案可以完全满足医院应用环境的业务系统需求。3. 附录：数字化医院与网络应用3.1. 数字化医院总体建设数字化医院在数字医疗设备、计算机网络平台和医院业务软件的基础上，对病人的治疗数据进行采集、存储、传输和处理，以达到在全院范围内的全数字化流程。在这一过程中，网络虽然本身不能像医疗设备投入一样，为医院直接带来效益，却能够为医院发展带来动力和长期经济效益。以下，我们从几个方面探讨数字化医院的建设问题。数字化医院在发展的过程中分成两个阶段，第一阶段，主要是135、一些关于人、财、物的管理，如财务管理、各种收费、药品药库管理和OA等；第二阶段，也是这些医院最直接、最迫切的面对临床的信息化，包括诸如PACS、LIS、手术室、麻醉等。3.1.1. 提升医疗效率1) 、管理优化通常是指人、财、物的管理，如财务管理、各种收费、药品药库管理和OA等，管理的优化无疑会降低医院的运营成本，提高各个科室、各个流程、各个环节的效率。2) 、信息共享一方面，医生可以从网络中获得所需的最新技术信息，求助于各个专科的专家，共享自己的医疗经验和成果。医院之间也可以通过网络实现科研、诊疗等全方位的交流。另一方面，医疗信息化的核心是病人信息的共享，包括医院各个科室之间、医院之间、医院136、与社区、医疗保险、卫生行政部门等的信息共享，以数据库为中心实现病人信息的无纸化和无胶片化。3) 、资源共享在网络的支持下，医院可以通过开展示范教学、远程医疗、远程会诊等多种方式缓解医疗资源紧张的局面。况且，CT、磁共振等新技术价格高昂，大医院搭建了易用的平台，可以让社区医疗、小医院共享这些资源。3.1.2. 改变就医环境，全新医疗模式探讨就医环境的改变，不仅是对环境的改变，更能提高医疗效率，为医院创造更高的价值。随着信息化技术的发展，各医院开始利用信息化改变自己的就医环境。下面，我们可以看到几种基于网络新技术而发展起来的全新医疗模式：1）、网络门诊预约如果医院网络建设合理，提供相应功能，人们就137、可以在家中察看医院各个科室预约情况，完成挂号。2）、远程探视远程探视是网络技术和多媒体视讯技术的完美结合，病人和家属的沟通可以在温馨的环境中随时进行，既有利于病人休息，又避免了疾病的感染和扩散。3）、无线查房借助WLAN技术实现无线查房，医生可以在医院的任何位置，随时查看病人的电子病例，用药效果、影像信息，下医嘱，随时接受病人和家属的咨询，而无需携带大量病历、胶片和相关科室的人员。4）、远程医疗、会诊远程医疗、会诊、外科手术示范教学、医院语音服务中心、区域医疗、医保联网等等，需要视讯技术在医疗中广泛运用。随着探讨的不断深入，网络技术和医疗业务的不断融合，我们完全可以预见在不远的将来，新的医疗手138、段将不断涌现，网络技术将得以更深、更广的应用。3.2. 医院网络建设面临的问题随着医院OA系统、MIS系统、HIS系统、PACS等系统相互融合，网络建设也已经从简单的数据业务应用逐步发展到数据、语音、视讯等多业务运行，传统网络的构建模式已经无法满足新业务的需求，主要问题体现在：1)、传统网络资源很难通过灵活有效的策略调整实现业务与网络的充分融合。2)、网络平台缺乏智能性，无业务识别能力，不能对关键业务应用提供端到端的高质量数据传输的有效保证。3)、安全设备多且庞杂，各安全层面相互分离，难以有效兼顾，网络病毒泛滥，医院的安全漏洞处处存在。4)、X光图像、CT等等对存储的可靠性要求越来越高，保障信139、息安全的同时，如何高效使用是医院面临的重要课题。5)、网络的管理控制功能薄弱，单纯设备级的网络管理已经不能满足医院用户对业务可靠性要求，业务的可靠性除了要求网络稳定，还依赖于服务器可靠和数据存储可靠等多种技术组合。3.3. 数字化医院多业务网络方案探讨医院数字化的前景广阔，创建一个灵活、高效、集成的业务融合网络架构成为必然，H3C在对医疗行业信息化充分理解的基础上，提出数字化医院多业务信息平台的建设模式。数字化医院多业务平台主要针对传统IP网络的可控性低、网络资源自动适应性差、网络缺乏立体安全性而提出的，其目标是以医院业务应用为主体，以不断发展完善的智能网络技术、安全技术和灵活的资源调度为基础140、，以灵活实用的管理控制为手段，为医院用户提供端到端品质保证的融合数据、语音、视频等多业务的网络实体。3.3.1. 坚不可摧、轻松承载IRF技术构建高可靠实时门诊网络平台门诊是医院业务最繁忙、最关键的部门之一，涉及医院多个业务系统的相互配合。因此门诊业务系统的可靠性要求高、并发性、实时性和突发性强等特点，对门诊的网络也提出了电信级的高可靠要求。除了选择高可靠核心设备，大型医院还普遍在网络中心采用了双机冗余的方式，以进一步提升整个网络可靠性，这样任意单核心设备故障或者链路故障都不会影响网络的正常运行。正是考虑到门诊系统对网络的高可靠要求，H3C建议医院用户在门诊网络中同样采用双归属的高可靠拓扑结构141、，但双核心并不意味着医院要投入双倍的资金去构建门诊网络，H3C的IRF智能弹性框架技术能在提升网络性能、可靠性的同时，还能降低网络建设成本和维护成本，并为将来的平滑扩展奠定良好基础。3.3.2. 多业务接入提升工作效率、立体网络安全保数据平安住院系统解决方案住院大楼中涉及的CIS临床信息系统是目前医院流程最复杂、信息量最大的地方，如何保障这些大量数据的安全存储、有效利用？如何在流程复杂的住院系统中提升工作效率，降低患者等待时间，成为住院系统信息化建设中医院最为关心的内容。H3C住院系统解决方案覆盖WLAN移动查房、PACS系统的IP存储/千兆桌面接入、ICU病房/传染病房的IP视频监控、客户关142、怀/移动办公IP电话、以及网络安全多业务流程解决方案。（1）无线接入、无限关怀H3C WLAN移动查房解决方案H3C在住院大楼中引入WLAN无线系统，通过部署WLAN，医生只需手持平板电脑或者PDA即可在病床前实时调阅病人各种信息，并通过无线方式及时将医嘱传递给护士去执行，护士在执行医嘱的过程中，如果发生异常情况，也可以通过此方式及时通知医生，以便医生对医嘱进行调整。如此一来，不仅降低了患者等待时间，提升了患者满意度，同时提升了医生查房工作效率。（2）存储海纳百川患者医疗数据存储解决方案医院的HIS和PACS系统需要对患者大量的医疗和影像数据进行采集、存储、传输和处理，其中，PACS系统的影像143、数据占据了95以上，这样大数据量的资料存储、传输和处理对医院的网络平台、存储系统都提出了很高要求。为保证PACS系统的大量影像数据在影像楼内部的高速传递，H3C建议在医学影像楼内部构建全部千兆到桌面的高速网络。考虑到PACS系统数据量增长迅速，又要保障数据安全、可靠性的需求，IP存储系统具有高性价比、高性能、高扩展性、高安全性的优势，使得IP存储得到广泛的应用。相对于传统的FC光纤通道存储系统，IP存储采用了SATA硬盘、快照技术、磁盘备份技术等多种新技术，从而更具优势。（3）面对面的真诚沟通远程医疗及视频解决方案H3C的IP集合通讯技术，使得语音视频业务可在医院现有网络平台上平滑扩展，可最大144、程度的利用现有网络资源，降低医院部署和维护新业务的成本。H3C可为医院用户提供全系列的视频产品，通过在医院传染病区、ICU病房部署IP视频系统，医生及家属可在隔离区外任意一台上网的计算机上对病人进行监控与沟通。同时，IP视频产品还可应用在示范教学上。通过在手术室架设摄像头，所有需要观摩手术的人员在教室内即可了解手术的全过程。3.3.3. 智能化、立体化医院信息系统安全解决方案医院信息化程度越高，医院对信息安全的依赖也越明显，一旦出现安全问题，往往会给医院的运营造成致命打击。H3C针对医院不同区域的安全防护需求，提供了局域网端点准入防御解决方案、网络边界检测抵御解决方案、数据中心检测抵御解决方案145、医院分支机构安全接入解决方案，这些解决方案相互融合，多个安全产品之间通过统一的安全策略中心实现信息共享和联动，从而为医院提供全局的安全防护能力。（1）防止病从口入H3C EAD局域网端点准入防御解决方案H3C端点准入防御（EAD，Endpoint Admission Control）解决方案从网络终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以有效的满足医院信息安全控制的需求，保证医院信息系统的安全运行。（2）网络“B超”IPS医院网络边界检测抵御解决方案146、随着信息技术发展到今天，单一的防火墙方案已经不能满足用户对安全的要求。而IPS入侵防御系统，可以完成防火墙所不能提供的深度内容分析和攻击检测和防范的能力。H3C的H3C IPS产品能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，H3C IPS的入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C IPS提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。3.3.4. 从关注网络可靠转向关注HIS业务可靠H3C医院信息管理解决方案H3C的网管平台在提供传统网管软件的147、设备管理、拓扑管理、性能管理、故障管理等功能基础之上，还针对国内用户需求做了很多实用性功能开发，例如可轻松实现H3C、3Com以及其他厂商设备的统一管理。同时，网管系统还能监视服务器的CPU、内存、硬盘等资源的利用情况，保证服务器的正常运行，同时还支持对服务器上运行的各种关键业务进行监控，保证HIS、LIS、PACS各种业务的可用性，确保医院业务的正常开展。3.4. 医院数字化的趋势不可逆转医院数字化的趋势不可逆转，网络应用也日趋成熟，这将是提高医院医疗效率，降低运营成本，改善就医环境，缓解医疗资源紧缺局面，并最终提升医院核心竞争力的有效手段。面对医院信息化集成化、智能化、区域化的发展趋势，H3C立志于为医院用户提供一种多业务融合、智能可控、安全可靠、资源动态可控的高品质IP医院网络，使网络能更好的与医院业务相结合，并能伴随医院业务的不断发展，提供平滑演进的能力。