增值业务网络医疗云基础平台方案.doc

国裕数据综合基础数据管理平台 网络设计方案 1.1 网络解决方案 2 1.1.1 网络设计原则 2 1.1.2 网络设备选型依据 4 数据中心局域网设计 6 1.1.3 网络产品配置清单及说明 22 数据中心网络设备 22 1.1.4 网络方案的特点 7 1.2 网络安全解决方案 9 1.2.1 安全风险分析 9 物理安全风险分析 10 系统的安全风险分析 10 应用的安全风险分析 10 1.2.2 网络安全需求及保障体系 11 网络安全建设的总体目标 11 网络安全设计原则 12 安全保障体系 12 安全需求 14 1.2.3 网络安全整体设计 14 网络入侵检测子系统 17 防病毒子系统 18 1.2.4 网络产品配置清单及说明 22 网络解决方案 建设国裕数据中心增值业务系统网医疗云基础业务应用平台。 设计依据：根据医疗云基础业务应用要求，1、满足数据存储量为1690TB（30年存储量）；（一期：338TB为5年存储）；2、网站日均访问人数为14.4万人次的需要；3、并发流（最大）60000的要求；进行该方案的设计。（详见哈尔滨市社区卫生服务机构基本情况及应用需求分析、业务需求分析和基本数据分析） 网络设计原则 网络是系统平台运行的基础，进行网络设计时，我们遵循如下原则： 高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，做到硬件冗余、链路冗余、网络节点冗余，同时合理设计网络架构，制订可靠的QOS质量保证策略，最大限度地支持系统的正常运行。网络设备的主要部件支持带电热插拔，在出现局部故障时不影响网络其他部分的运行，便于故障的定位和排除。 可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构的调整。 可管理性：支持集中监控、分权管理，以便统一分配网络资源。支持故障自动报警。 高性能：网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证数据的高质量传输，预留出一定的流量增长的范围，保证在可预见的将来满足流量要求，避免网络瓶颈影响整体的系统应用。 先进性和成熟性：网络设备采用先进的技术和制造工艺，对于路由协议支持、数据流量分配，抵御网络攻击、高性能方面保持技术领先，网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。把先进的技术与成熟的应用结合起来，充分考虑网络应用的现状和未来发展趋势。 标准开放性：支持国际上通用标准的网络协议、国际标准的应用与于大型网络规模的动态路由协议等开放协议，保证与其它网络之间的平滑连接互通，保证与其它主流网络产品的兼容性，以及将来网络的扩展。 网络的自愈与回复能力 设备级的可靠性、链路层的可靠性是影响网络可靠性的重要因素，网络的自愈时间是衡量网络的一个重要指标。 一、物理链路层，即网络物理链路层能提供故障保护功能，诸如FDDI，令牌环，STP，还有现在比较热门的技术RPR环网技术，另外，还有一些对于网络重要节点备份保护措施的技术，诸如VRRP等技术； 二、网络协议，对于网络，可以规划多条到某目的地址的路由，如果某条链路出现故障，动态路由协议（诸如OSPF路由协议）自动发现另外一条路径； 交换机需具有良好的设备级可靠性，支持关键部件冗余热备份、热拔插，实现真正的热备份功能。 由于采用的是OSPF路由协议，我们来描述网络自愈中OSPF收敛时间计算。 OSPF收敛时间是由四方面的因素决定的： 1、邻居DOWN时的察觉时间：可以通过设置hello-interval来调整，设成5秒，甚至1秒都是可以的，但设置得太小容易造成邻居状态的不稳定和hello报文占用较多的网络带宽； 另外很多接口链路层和物理层会察觉对端DOWN，这种情况hello-interval设成多少关系就不大了。 缺省配置下： 广播和ptp网络最坏情况下40秒检测出邻居DOWN NBMA 2分钟检测出邻居DOWN 2、LSA 更新时间：一般设计实现基本上是实时更新； 3、OSPF SPF算法时间间隔：缺省是5秒，也可以最短设置成1秒。如果要求系统在40s内收敛，这一参数应该一般不会有什么影响。 4、网络规模和链路情况：如果LSA更新的传递时间过长，或者链路不够稳定需要重传（重传周期一般为5秒，可以设置调整) 。 5、可以设置的时间参数： spf-schedule-interval：计算路由时的间隔时间，可设置为（1～10秒）； hello-interval：hello 报文的传输间隔时间，可设置为（1～255秒）； dead-interval：宣告邻居down的间隔时间，可设置为（1～65535秒）； poll-interval：NBMA网络查询down掉的邻居的时