「方案」医院：三层网络架构设计及网络设备选型指引

今天分享一篇关于医院的网络设计方案。

医院三层网络架构设计

1.接入层设计

接入层是医院信息平台上所有设备的边缘接入网络，是将终端接入网络的边缘，也是对终端用户进行访问控制和隔离的边缘，是网络安全边缘前移和全局网络安全的基础。

接入层网络设备主要由二层以太网交换机和无线接入点等设备组成，其中二层以太网交换机主要是为有线设备提供网络控制和接入。

作为医院信息平台的安全接入设备，接入层交换机应选用智能网管型交换机，具备VLAN 划分，端口隔离，安全地址绑定，抗攻击，QoS，防雷击等功能，支持标准的802.1x 访问控制，支持标准的SNMP 简单网络管理协议，支持DHCP-Snooping 等功能，支持标准的RSTP，MSTP生成树协议。

接入层的设计需要充分考虑设备的稳定性、安全性、冗余性和高性能，上联至数据中心的链路尽量使用双链路上联，通过生成树协议生成无环拓扑，避免广播风暴，保证终端设备稳定，安全，高速的接入医院信息网络平台。

2.汇聚层设计

汇聚层是连接接入层与核心层之间的网络层，为接入层提供数据的汇聚，传输，管理，分发处理，集中接入层流量，再转发至核心层的功能，是局域网中隔离动荡的控制点，也是区域网络流量上收的关键点。

汇聚层为接入层提供基于策略的连接,如地址合并，协议过滤,路由服务,认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连，控制和限制接入层对核心层的访问，保证核心层的安全和稳定。

汇聚层设计为连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。

汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。

用户访问控制一般会安排在在接入层，但也可以安排在汇聚层进行。在汇聚层实现安全控制和身份认证时，采用的是集中式的管理模式。当网络规模较大时，可以设计综合安全管理策略，例如在接入层实现身份认证和mac 地址绑定，在汇聚层实现流量控制和访问权限约束。

3.网络核心层

网络核心层是医院信息平台网络数据的骨干交换区域，各接入层数据经汇聚层汇聚后集中转发至核心层进行高速交换。

核心层的主要职为负责整个医院信息平台数据的高速转发，相关的策略应该尽量较少。

核心层由于是整个网络的核心，从设备上来讲，需要在考虑高性能，高稳定性的同时，充分考虑设备引擎、业务线卡、电源、风扇等的冗余，同时需要具备的一定的抗攻击能力，如中央处理器保护能力，基础网络保护能力。

从架构上来讲，需要充分考虑核心层设备间的冗余备份和负载均衡，利用MSTP/RSTP+VRRP 技术，自愈环网技术，或者是通过更好的核心层设备的硬件虚拟化技术，实现设备级的冗余备份，同时，在设计时还应充分考虑网络链路的冗余性和可靠性，提高网络防灾能力。

设备选型

1. 核心层设备建议选用高性能的万兆三层交换机，通过千兆链路与汇聚层设备相连，通过万兆链路进行核心层互联。

在设备选择上，应充分考虑设备自身的冗余性，如电源冗余、引擎冗余、业务线卡冗余、所有线卡及电源支持热拔插，同时应具备一定的自我保护机制，如中央处理器保护机制，基础网络保护机制等。

在网络规划时，应充分考虑网络架构的冗余性设计，建议采用两台或两台以上组成双核心或多核心环网，核心之间可进行冗余互备以及负载分担，减小由于单核心造成的设备压力及单点故障。

2. 汇聚层设备建议选用性能较高，且具备丰富安全功能的全千兆三层交换机，通过千兆与接入交换机以及核心交换机相连，同时汇聚交换机建议具备万兆扩展能力，方便后续网络升级。

汇聚层设备需具备一定的稳定性，门诊区域建议采用双汇聚设备，保证网络高可靠。

3. 接入层设备建议内网中心服务器区、外网中心服务器区、安全网络控制区、数据灾备区、医技终端接入区、无线终端接入区采用全千兆二层交换机作为接入设备，其他接入区域采用百兆二层交换机，千兆上联。

接入层交换机应选用智能网管型交换机，具备VLAN 划分，二层访问控制列表，MSTP，RSTP，BPDU GUARD，BPDU FILTER，DHCP Snooping，安全地址绑定，802.1x 等功能。

接入层交换机还应具备良好的防雷击特性，由于医院信息平台对网络稳定性要求的特殊性，建议以太网接口具备高于国家标准的防雷击能力。同时能在一定程度上抵抗网络攻击，如中央处理器保护，基础网络保护等。

4. 出口设备应选择高性能路由器或专用出口设备作为网络出口，并添加防火墙进行域间网络访问控制。路由器应具备大容量、高性能的NAT转换能力，能够进行智能选路，并提供丰富的广域网接口。除此之外，路由器还应具备较高的冗余性和抗网络攻击能力。防火墙作为域间网络隔离点，需支持多种访问控制策略的制定，以及高性能的数据转发能力，避免成为网络性能瓶颈。

出口设备应包含整合出口路由，防火墙，VPN，流控设备，上网行为管理的单一设备，或部分整合设备。

出口设备也可以使路由器，防火墙，VPN，流控设备，上网行为管理设备的组合。

出口路由应高性能路由器，保证院内终端对互联网的高速访问，同时为外网访问内网WEB 服务器提供高速链路通道。

防火墙设备作为局域网和广域网的分割点，其访问控制功能至关重要，故防火墙需支持类型丰富的网络访问控制策略设置。

VPN 设备应选用可支持IPSECVPN和SSLVPN 的设备，保证VPN 接入方式的灵活性。流控设备应具备较高且较为精细的流量识别功能，可基于流量识别对网络流量进行控制，保证网络带宽充分有效的利用。

上网行为管理设备，主要是通过URL 过滤库的设置，规范员工上网行为，保证网络安全，提升工作效率。

欢迎关注我的头条号，私信交流，学习更多网络技术！