一、项目概述
本项目旨在为医院级业务场景构建一套高可靠性、高安全性、高扩展性的企业级网络系统。整个网络围绕“数据中心—核心层—汇聚层—接入层—终端”的完整架构展开,同时结合防火墙安全域划分、无线网络统一管理、远程访问、分支机构互联等多种功能模块,实现对医院信息化系统的全面支撑。网络系统不仅承担医院内部所有业务系统的通信需求,还需满足未来扩容、系统升级、安全策略强化等长期发展目标。
该网络拓扑覆盖挂号处、急诊室、注射室、候诊区、B 超室等典型科室,并连接大量移动终端、业务终端与服务器,是实现医院业务数字化的重要基础。本说明书将从网络架构、功能设计、安全策略、IP 与 VLAN 规划、设备职责、项目目标等多个角度进行全面阐述。
二、网络设计总体目标
- 保证医院业务连续性:在门诊高峰时段、高并发请求场景下保持系统稳定运行。
- 实现业务网络隔离:利用 VLAN 和三层路由策略,使不同科室、不同业务系统互相隔离,避免广播风暴与安全风险。
- 构建安全可信的外网出口:通过防火墙、ACL、NAT 等机制对互联网访问进行统一管理。
- 提供高质量无线覆盖:采用 AC+AP 的集中管理模式,实现院区无线全覆盖、自动调整与统一维护。
- 支持远程接入与分支办公:利用 IPSec VPN 提供加密访问通道,使管理员或分支机构可安全访问总部业务系统。
- 建立集中化、可扩展的数据中心:集成 DNS、Web 服务及内部业务系统,为全院提供统一服务出口。
三、总体网络架构说明
整体网络采用“三层架构”设计:
(1)核心层
核心区域由 AR9 与多台三层交换机组成,是整个网络的路由中心和策略汇聚点。核心层负责所有 VLAN 的三层转发、路由选择、策略控制,并连接防火墙、数据中心与分支网络。核心设备采用多链路互联,提供高可靠性和快速恢复能力。
(2)汇聚层
汇聚层主要承担接入交换机的上行流量汇集任务,同时为无线控制器(AC)、服务器接入交换机(LSW20 等)提供中间转发平台。汇聚层通过三层或二层链路与核心相连,并根据不同业务流量规划相应的 QoS 或安全策略。
(3)接入层
接入层设备主要负责终端接入,包括各科室 PC、移动设备、AP 无线接入点等。拓扑中多个 LSW11、LSW18、LSW19 等交换机即为接入层设备,连接大量业务终端如挂号窗口 PC、急诊室终端、注射室终端、B 超室终端等。
四、详细功能实现说明
1. 数据中心服务托管
数据中心通过 LSW20 接入核心网络,并承载多个关键业务服务:
- DNS 服务:为全院业务系统提供域名解析;
- HTTP 服务:承载内部 WEB 系统、业务查询系统等;
- 业务应用服务器:作为 HIS、LIS、收费系统等关键系统的运行平台;
- 独立服务器 VLAN(如 VLAN111、112),实现服务器区的安全隔离。
数据中心采用专用 VLAN 与业务区隔离,通过路由与安全策略实现受控访问,确保数据安全和系统稳定运行。
2. VLAN 业务隔离
不同科室使用的 VLAN 包括但不限于:
- VLAN10:挂号处,用于处理患者挂号、收费等窗口业务;
- VLAN11:服务中心,用于综合业务办理;
- VLAN12:急诊室,满足急诊业务的快速响应需求;
- VLAN13:注射室,涉及药物注射登记
)
