軟考高級網規網絡改造-IP、布線、設備、核心、防火墻

軟考高級網規網絡改造-IP、布線、設備、核心、防火墻、殺毒

要：

本人在某醫院信息中心工作，我院建設于2011年，隨著醫療信息化建設的不斷深入，我院的信息化建設已經有了很大進步，在發展過程中我們發現，隨著醫院數據量、業務量的增加，我院網絡帶寬已經不能滿足現有需求，IP資源已經枯竭，核心設備存在單故障點，內網病毒不能得到有效控制。院領導決定投入200萬，進行網絡升級改造，于2017年7月開始實施，工期為5個月。本人作為信息中心負責人，主持本次改造工作，我在資金有限的前提下，對醫院網絡進行了全面細致的規劃，主要規劃內容有：IP地址重新規劃、網絡結構調整、重新布線、設備選型及核心交換虛擬化、部署背靠背模式防火墻、內網殺毒軟件部署等。項目實施完畢后，取得了良好的效果，得到領導的肯定。由于資源投入有限，本次網絡改造并未部署入侵檢測系統，將會在后期的改造中加以完善。

正文：

隨著我國醫療改革新體制等一系列政策的實施，我國醫療衛生系統信息化建設也呈現出快速發展的趨勢。本人在某醫院信息中心工作，我院建設于2011年，隨著醫療信息化建設的不斷深入，最近幾年我院的信息化建設已經有了很大進步，逐步建設實施了HIS系統，PACS系統，LIS系統，電子病歷系統等，在發展過程中我們發現，隨著信息化建設的深入，我院網絡規劃方面存在的問題，逐漸顯示出來，如：大樓建造時設計的全網百兆鏈路，已經不能滿足現在醫學影像傳輸；IP地址規劃不合理，導致目前IP地址資源即將耗盡；醫院核心交換機存在單故障點，一旦出現問題嚴重影響醫院正常運轉；工作人員上網行為得不到有效管理，在工作時間經常瀏覽、下載與工作無關的內容；工作人員私自插U盤，內網各種病毒得不到有效防治；針對以上問題，院領導決定投入資金200萬，進行網絡升級改造，于2017年7月開始實施，工期為5個月。本人作為信息中心負責人,主持本次項目，我在資金有限的前提下，充分利用現有條件和成熟技術，對醫院網絡進行了全面合理的升級改造，本文將介紹我在提升網絡帶寬、增強網絡安全性、可靠性方面采取的一些技術和方法，主要內容有：IP地址重新規劃、網絡結構調整、重新布線、設備選型、設備的重用、核心交換機虛擬化、部署背靠背模式防火墻、內網防毒部署等。

1、IP地址的重新規劃：我院由一座辦公樓、一座體檢樓、一座功能科室樓、一座新建綜合大樓組成，機房位于新建綜合大樓二層，建網初期由于對信息化發展的預見性不足，為每座樓劃分的一個192.168.X.0/24的C類網，目前辦公樓、體檢樓、功能科室樓的計算機數量較少，IP地址尚且夠用。由于所有門診部和住院部科室全在新建綜合大樓，隨著計算機的不斷增加，IP地址目前已經基本耗盡。所以對新建大樓IP地址重新規劃：因各個服務器都采用固定IP地址，故沿用原來地址不做改動；門診部重新劃分一個192.168.X.0/24的C類網；住院部根據內科、外科、婦科分類，每科重新劃分一個192.168.X.0/24的C類地址；各樓層均有自助繳費設備，自助繳費設備需要與銀行專線連接，劃分一個192.168.X.0/24的C類網，便于管理；大廳報銷窗口設備與市醫保專網連接，報銷窗口設備單獨劃分一個192.168.X.0/24的C類網，便于管理。DMZ區域各類前置服務器劃分一個192.168.X.0/24的C類網。此次劃分共將我院網絡劃分成了15個C類網絡，每個網絡對應一個VLAN。重新劃分之后，發現檢查設備配有的IP地址需要廠家專業人員修改，故所有檢查設備及所連計算機暫時不做改動，在接入層交換機預留端口，等廠家專業人員修改IP之后再調整網線連接。

2、網絡結構調整、重新布線、設備選型：我院網絡結構原為二層扁平化設計，只有接入層和核心層設備，沒有匯聚層，隨著計算機數量的增加，廣播風暴變得非常龐大，且所有VLAN間數據交換都要經過核心交換機，使核心交換壓力越來越大。此次改造決定通過對網絡結構進行調整，網絡重新布線，網絡設備更換等方法，將原來的二層網絡結構改為三層網絡結構以適應今后的發展。布線方面，我院新建大樓共分為12層，12層至10層線路，匯聚到11層配線間，9層至8層線路，匯聚到8層配線間，7層至6層線路，匯聚到6層配線間，5層至4層線路，匯聚到4層配線間，3層至1層線路，匯聚到2層配線間。終端到配線間線路采用6類屏蔽雙絞線，實現千兆到桌面的標準，11層、8層、6層、4層的配線間到中心機房匯聚層交換機采用24芯光纖連接，每層分得6芯，2層配線間離中心機房距離近，采用6類屏蔽雙絞線連接，接入層到匯聚層為千兆鏈路。匯聚層交換機與核心交換機之間采用萬兆光纖連接。設備選型及配置方面，為實現千兆到桌面，淘汰原有百兆端口的接入層交換機，采購臺華為S5700系列全千兆端口三層交換機作為接入層交換機，每個配線間的接入層交換機做堆疊處理，簡化管理，并增加交換機的交換能力。采購華為S6700系列全萬兆端口三層交換機作為匯聚層交換機，匯聚層交換機之間用4條鏈路做鏈路聚合，增加帶寬并實現鏈路冗余。采用2臺華為S7900系列全萬兆端口三層交換機作為核心交換機。

3、核心交換機虛擬化：我院網絡為單核心結構，存在單點故障，一旦發生交換機故障，將會導致全網癱瘓，直接影響我院的數據安全性、業務連續性。此次改造，我院新采購2臺華為S7900系列全萬兆端口三層交換機，做核心交換，通過CSS技術將兩臺核心交換虛擬成一臺邏輯交換機，實現核心交換機的負載均衡，統一管理，避免單點故障。同時把所有匯聚層交換機與虛擬化之后的核心交換機之間兩條上聯鏈路進行跨設備的鏈路聚合，使網絡不僅有設備上和鏈路上的冗余，還能負載均衡，充分利用網絡資源，防止帶寬浪費。CSS技術可能因為線纜、堆疊卡故障導致分裂，分裂后的狀態會變成兩臺配置完全相同、且相互獨立的核心交換設備，這樣會引起整個網絡的全面癱瘓，為了避免此類故障發生，在核心交換之間配置雙主檢測，實現CSS分裂的處理和恢復。為進一步加強安全防護，將所有接入層、匯聚層交換機未連接設備的端口全部禁用。經過此次改造，解決了核心交換設備的冗余及負載均衡問題，提高了網絡的可靠性，簡化了核心交換的管理，避免了匯聚層到核心層之間的鏈路環路和帶寬浪費。

4、設備的重用：網絡改造是對現有資源重新配置并增加功能的過程，合理地保護現有投資是在網絡改造時必須考慮的問題。由于大樓建設時，設計為百兆到桌面，墻體內的布線均為百兆的5類雙絞線，現在醫院的醫學影像類文件，多為1G、2G的文件，百兆帶寬的鏈路傳輸非常慢，已經不能滿足現在的需求，所以線路無法再重用，只能重新布線為6類屏蔽雙絞線。替換下來的交換機多為百兆交換機，也不能適應現在的千兆到桌面設計，不過此次改造只涉及到綜合大樓的線路改造，其他大樓還是百兆鏈路，辦公樓主要做一些文件處理、在線填報報表之類的工作，不涉及影像圖片的查看，百兆鏈路還能滿足當前需求，所以選用一些故障率低的百兆交換機，作為辦公樓的備用設備，一些經常出故障的設備直接淘汰，不在維修。原有的一臺核心交換機為千兆端口的三層交換機，放到功能科室樓，作為匯聚層交換機使用，因為幾個未改造的大樓，從數據流量來看，功能科室樓的數據流量比較大，將功能科室樓與綜合大樓之間的鏈路升級成千兆鏈路，最為合適。

5、部署背靠背模式防火墻：我院原有一臺網御硬件防火墻，隨著互聯網業務不斷發展，逐步開放了醫院網站平臺、網上預約等業務，為加強安全防護，采購一臺深信服硬件防火墻，將防火墻改造為背靠背模式，使用兩臺不同廠家的防火墻，可以有效避免因設備自身安全性引起的網絡安全問題。并且將我院網絡進行了區域劃分，FTP服務器、數據庫服務器、DHCP服務器、內網計算機所在的區域劃分為信任區域。web服務器、郵件服務器、預約掛號服務器等所在的區域劃分為DMZ區域?；ヂ摼W劃分為非信任區域。新購的深信服防火墻為外部防火墻，部署在非信任區域與DMZ區域之間，做訪問控制限制除辦公樓以外的其他計算機在任何時間都不能訪問外網，辦公樓的計算機只能在上班時間訪問衛生系統要求在線上報的網站。為了保證非信任區域的用戶可以訪問WEB等服務器，在外部防火墻上配置NAT，將WEB等服務器的私網地址和公網地址進行一對一靜態地址轉換。將信任區域用戶的私網地址和公網地址進行多對多的端口地址轉換NAPT，有效的節省了公網IP資源，同時可以使信任區域用戶和DMZ區域的服務器對非信任區域隱藏真實地址，進而有效避免非信任區域的直接攻擊，保障了業務的正常使用。網御防火墻為內部防火墻，部署在信任區域與DMZ區域之間，做訪問控制，限制由DMZ區域、非信任區域發起的對信任區域所有非必要的訪問。2臺防火墻同時啟用監控審計功能，對于可疑情況及時報警，并提供網絡受到探測和攻擊的詳細信息，以便我們可以清楚的知道網絡安全存在的問題，并及時進行改進。

6、內網防毒部署。我院原來采用的內網安全措施為，啟用聯想商用機自帶的還原功能，即每次重啟對指定盤符進行恢復。經常會因為恢復功能，使存放不當的各類軟件日志或一些工作人員數據資料丟失。對于U盤等存儲設備采用物理封堵、注冊列表禁用方式，效果也不太理想。本次改造采用方式為對我院所有計算機和服務器安裝防毒軟件，并在DMZ區域部署一臺防毒軟件服務器，提供信任區域的計算機和DMZ區的服務器在線升級病毒庫。防毒軟件服務器通過外網在軟件廠家網站下載更新包，實現病毒庫自動更新，并通過對外網防火墻做訪問策略，嚴格限制防毒軟件服務器只能訪問病毒庫更新地址，拒絕所有非病毒庫地址對防毒軟件服務器的訪問。在防毒軟件控制平臺將所有醫院系統軟件進程加入白名單，防止誤殺。對安裝客戶端的計算機進行分組管理，對于普通用戶組計算機禁止所有外接存儲類設備、無線網卡、光驅、軟驅、藍牙等，且網絡訪問權限為只能讀取不能寫入。對于服務器組禁止所有外接存儲類設備。全網定時殺毒及更新病毒庫，時間定為患者相對較少，計算機又全部開機的時間段，每周六周日下午4點。經過部署防毒軟件之后，內網的病毒得到了有效控制，工作人員亂插U盤的現象也徹底杜絕。

總結：

在本次項目中我通過采取上述技術和方法，在資金有限的情況下，使醫院網絡的安全性、可靠性得到了很大的提升。通過對交換機、防火墻等設備的重用，有效的保護了已有投資，得到了院領導的肯定。不過隨著網絡技術的發展，會不斷涌現新的網絡攻擊手段與安全威脅，網絡安全也將會面臨新的挑戰。本次改造中由于資金有限，也存在一些問題沒有得到完善，如：內網并沒有部署入侵檢測系統，對于來自網絡內部的攻擊和安全隱患無法及時發現，下一步在資金允許的情況下將部署IDS與IPS來進一步加強內部網絡的安全，并隨著信息化建設的發展不斷完善。

要：

本人在某醫院信息中心工作，我院建設于2012年，隨著醫療信息化建設的不斷深入，我院的信息化建設已經有了很大進步，在發展過程中我們發現，目前的有線網絡已經不能滿足智慧醫療的發展趨勢，智慧醫療中的移動查房、遠程查房、遠程會診等系統，都需要基于無線網絡的支持，院領導決定投入200萬，于2017年7月進行我院無線網絡的全面建設，工期6個月，本人作為信息中心負責人，主持本次項目。我通過對醫院環境、需求進行分析，從無線AP的分布及模式選擇、無線接入的認證方式、無線網絡的設備冗余、接入用戶的訪問控制等幾個方面，進行無線網絡的建設。項目完成后，經過一個月的試運行，網絡運行基本穩定，得到了院領導的肯定。不過由于資金有限，在入侵檢測方面還存在一些不足之處，會在下次無線改造的項目中會加以完善。

正文：

隨著我國醫療改革新體制等一系列政策的實施，我國醫療衛生系統信息化建設也呈現出快速發展的趨勢。無線網絡在我國各個行業的廣泛應用，使得醫療行業的醫療終端也開始無線轉型，在智慧醫療建設中，基于醫院無線建設是必不可少的。本人在某醫院信息中心工作，我院建設于2012年，隨著醫療信息化建設的不斷深入，最近幾年我院的信息化建設已經有了很大進步，逐步建設實施了HIS系統，PACS系統，LIS系統，電子病歷系統，在發展過程中我們發現原有的有線網絡已經不能滿足智慧醫療的發展趨勢，智慧醫療中的移動護士站、移動醫生站、移動查房、遠程會診等系統、都需要基于無線網絡的支持，我院領導決定于2017年7月進行我院無線網絡的全面建設，工期6個月，本人作為信息中心負責人，負責本次項目的建設工作?？紤]到我院原有內網的網絡安全性和可靠性，本次無線網絡建設并非在原有的有線基礎上進行拓展建設，而且將無線網絡從無到有整體建設，然后再通過防火墻和我院內網連接，將我院網絡打造成2套獨立運行又可以相互訪問的網絡。我通過對醫院環境、患者及醫護人員需求進行分析，從無線AP的分布及模式選擇、無線接入的認證方式、無線網絡的設備冗余、接入用戶的訪問控制、流量控制等幾個方面進行了無線網絡的建設工作。

1、無線AP的分布及模式選擇。從AP模式選擇上考慮，部署FAT AP需要逐個配置，管理難度大，維護困難，而且醫院門診部人口較為密集，流動性較大，FAT AP無法實現負載均衡及無縫漫游，會導致用戶的體驗很差。部署FIT AP+AC的模式，FIT AP可以做到零配置，只需在AC做配置下發，AC可以對FIT AP進行自動分配信道，在受到干擾時切換到最優信道。當個別FIT AP故障之后鄰居AP可以提高自身功率彌補覆蓋漏洞。防止某個FIT AP接入用戶過多，可以實現用戶在不同 FIT AP 下的負載均衡。在同一AC控制下的FIT AP之間漫游時可以做到無縫漫游。對比之后決定選擇瘦AP+AC模式部署我院的無線網絡。從AP點的分布上考慮，我院大樓共有12層，1-3層為門診部，考慮到室內承重墻對信號的阻隔，門診部患者較為集中，走廊、醫生辦公室附近每20米放置一個FIT AP，同時每個拐角處放置一個FIT AP，電梯口放置一個FIT AP，對于患者排隊等待區域，根據每日平均患者門診人次，在等候區域四周均勻放置，每30人次放置一個FIT AP，且FIT AP之間覆蓋區域重疊。4-11層為住院部，住院部人員較少，病房、走廊、醫生和護士辦公室附近每20米放置一個FIT AP，每個拐角放置一個FIT AP，電梯口放置一個FIT AP。12層為手術室，手術室為無菌封閉空間，只在醫生辦公室和樓層的電梯口放置一個FIT AP。在醫院停車場部署的FIT AP，采用防水、防雷的室外型產品，在架設天線時確保天線主波束方向正對覆蓋目標區域，保證其良好的覆蓋效果。通過以上部署，實現我院從停車場到大樓的全范圍無線覆蓋。

2、無線接入的認證方式。從我院無線網絡接入的用戶角色區分，可分為兩類，一類是就診的患者及家屬，主要通過無線網絡訪問外網。一類是我院智慧醫療的各種移動設備終端，主要通過無線網絡訪問我院DMZ區域各服務器、前置機?？紤]到移動設備終端的操作系統局限性，所有用戶都采用portal認證不現實，所以采用MAC和portal兩種認證方式。在AC上創建2個無線網絡，使2個無線網絡接入的用戶獲取不同的IP地址，劃分成不同的VLAN，一個供患者及家屬使用，默認啟用SSID廣播，使用portal認證方式，portal認證可以不需要用戶安裝客戶端軟件，通過WEB頁面進行認證，同時將WEB頁面設為公益廣告、國家醫療政策推廣、醫院醫療水平介紹，可以加大各方面的宣傳力度，同時可以對接入用戶做安全策略，限制接入用戶可訪問的資源。一個供我院智慧醫療移動設備終端使用，默認禁用SSID廣播，受限于移動終端的操作系統局限性，不能使用portal認證，使用MAC認證方式，由于設備數量不多，具有實現方便，規劃簡單等優點。

3、無線網絡核心設備冗余?？紤]到無線網絡由于交換機或鏈路故障造成的網絡癱瘓，采用雙核心網絡結構，采購2臺華為S7900系列全萬兆端口三層交換機，做核心交換，通過CSS技術將兩臺核心交換虛擬成一臺邏輯交換機，實現核心交換機的負載均衡，統一管理，避免單點故障。同時把所有匯聚層交換機與虛擬化之后的核心交換機之間兩條上聯鏈路進行跨設備的鏈路聚合，使網絡不僅有設備上和鏈路上的冗余，還能負載均衡，充分利用網絡資源，防止帶寬浪費。CSS技術可能因為線纜、堆疊卡故障導致分裂，分裂后的狀態會變成兩臺配置完全相同、且相互獨立的核心交換設備，這樣會引起整個網絡的全面癱瘓，為了避免此類故障發生，在核心交換之間配置雙主檢測，實現CSS分裂的處理和恢復。為進一步加強安全防護，將所有接入層、匯聚層交換機未連接設備的端口全部禁用?？紤]到由于AC故障或鏈路中斷可能導致的無線網絡故障問題，我們采購2臺華為AC6000系列無線接入控制器，雙AC采用熱備方式，分別旁掛在2個核心交換機上，當主AC出現故障后備用AC立即接替主AC的工作，保障網絡正常運行，有效避免出現網絡的單點故障。

4、接入用戶的訪問控制、流量控制?？紤]到我院內網的安全性、可靠性，在新建無線網絡和有線內部網絡之間部署一套硬件防火墻，設置安全策略只允許我院智慧醫療移動設備終端所在網段可以訪問DMZ區域的智慧醫療前置機，拒絕其他無線用戶的訪問。開啟監控審計功能，對于可疑情況及時報警，并提供網絡受到探測和攻擊的詳細信息，以便我們可以清楚的知道網絡安全存在的問題，并及時進行改進。在出口路由器上做網絡流量控制，對我院移動終端設備的網段進行帶寬保障，保證接入用戶高峰時段，我院智慧醫療業務的正常開展不受影響，對患者接入網段進行限速，限制P2P下載、網絡視頻等應用占用過多帶寬。

總結：

在本次項目中我通過采取上述技術和方法，在資金有限的情況下，完成了我院無線網絡的建設。同時在醫院內部網絡不受到安全威脅的情況下，使無線網絡的安全性、可靠性得到了保障。經過一個月的試運行，網絡運行基本穩定、用戶體驗良好，得到了院領導的肯定。不過隨著網絡技術的發展，會不斷涌現新的網絡攻擊手段與安全威脅，網絡安全也將會面臨新的挑戰，本次無線網絡建設沒有部署入侵檢測系統，下一步在資金允許的情況下將部署IDS與IPS來進一步加強網絡的安全，并隨著信息化建設的發展不斷完善。

　　在儲存信息方面，硬盤與DNA相去甚遠。我們的基因編碼只需一克就能包含數十億Gb信息，一毫克就能收錄美國國會圖書館中的所有藏書內容，而且還能剩下足夠多的空間。當然，所有這一切只是理論上的推斷?，F在，研究人員成功將一本書儲存在不到1微微克（10?12克）DNA中。這本HTML格式的書包含53,000個單詞和11幅JPEG圖像，以及一段JavaScript程序，大小為5.3MB，研究人員將其翻譯成DNA序列，每比特一堿基，堿基流然后以96堿基分組，每組鏈接到一個19堿基地址，地址指示了數據儲存在位置。所有這些序列用合成機器轉成DNA，打印在DNA芯片上。

　　DNA是已知密度最高也最穩定的信息存儲介質。理論上而言，DNA的每個核苷酸可以編碼兩個比特，每克單鏈DNA的存儲容量可達455艾字節（1艾字節=10的18次方字節，1字節=8比特），大約相當于1000億張DVD光盤的容量，存儲密度幾乎是閃存等現有數字媒體的五六百倍。而且，存儲在DNA中的數據時隔幾千后年仍能夠被讀出。

　　此前曾有研究人員嘗試過將數據寫進活細胞的基因組內，但這種方法存在很多問題：首先，一旦細胞死亡，存儲的內容將會丟失；其次，細胞會分裂復制，在這一過程中可能會產生新的變異，從而更改存儲數據。此外，利用DNA長序列讀取和寫入數據存在一定難度，而且成本很高，這使得利用DNA進行大規模數據存儲不太現實。

　　為了解決這些問題，哈佛醫學院合成生物學家喬治·丘吉爾帶領的研究團隊不使用細胞，而是用噴墨打印機將化學合成的DNA短片段嵌入到一個微小的玻璃芯片表面。他們將一本由丘吉爾參與編寫的遺傳學課本轉換成“0”和“1”的比特形式，并用DNA的4個堿基中的A或C來編碼 “0”，G或T來編碼“1”，從而將課本內容寫入了DNA中。這個DNA芯片采用了類似于計算機硬盤分區的方式，將課本內容分散為數據塊來存儲。

　　讀取這些數據則需要一個DNA測序儀和一臺計算機。由于每個DNA片段中都包含著一個數字“條形碼”，記錄了其在原始文件中的位置，因此所有的片段可被重新組裝，并轉換成數字格式。電腦還能幫助糾錯：每個數據塊都被復制了數千次，通過與其他副本相比較，任何一個小錯誤都可以被識別并修復。

　　研究人員將課本內容存入DNA，然后又重新轉化為數字形式讀出，結果顯示，這個存儲系統的底層讀取錯誤率為每百萬比特只有兩個錯誤，可與DVD比肩，遠遠優于磁性硬盤驅動器。不過，由于數據編碼是與DNA合成同步完成的，因此這種方式不支持可擦寫數據存儲，但適用于長期歸檔存儲。

　　研究人員表示，因受操作成本、速度（此次花了大約幾天時間）和測序儀大小的制約，將DNA作為一種通用的數據存儲介質目前還不切實際，但這一領域正在快速發展，未來5年到10年內有望開發出比傳統數字存儲設備更快、更小、更便宜的DNA存儲技術。

在線咨詢

上一篇：JavaScript HTML DOM-改變CSS
下一篇：當蘋果Apple Watch米奇表盤亂入iPhone

您的項目需求

*請認真填寫需求信息，我們會在24小時內與您取得聯系。

整合營銷服務商

軟考高級網規網絡改造-IP、布線、設備、核心、防火墻

您的項目需求

軟考高級網規網絡改造-IP、布線、設備、核心、防火墻