信息网络系统工程实例

六、信息网络系统工程实例

计算机网络系统是一个涉及面广、业务量大的计算机系统工程，是对我国医院智能化计算机网络系统的进步深化，有利于加强医院内部的管理和服务水平，促进我国医院智能化的进一步发展。下面以江苏省淮安市某医院为例。

1．需求分析

信息网络系统作为江苏省淮安市某医院智能化系统的核心骨干支持架构，担负着为业务办公系统（OA）、楼宇自动化控制系统（BA）以及通信自动化系统（CA）的运作提供一个可靠、稳定的网络环境的重要任务。计算机网络系统的设计和设备的选型应能满足江苏省淮安市某医院使用功能需求，并保证网络和数据的安全可靠，满足图像信息传输的带宽及可扩展性等要求。

（1）系统建设目标

在方案设计时应充分考虑以下几点：

①高可靠性及强大的多级容错能力。

②采用成熟先进的技术。

③强大的安全防护能力。

④高带宽、大容量。

⑤易管理，易维护。

⑥扩充性强，可与新技术衔接和升级。

⑦支持国际标准和工业标准的网络通信协议，支持与异种网络的互联。

本次网络建设应满足江苏省淮安市某医院的医疗、办公、视频会议等的应用需求，并为今后平滑升级做好准备。系统为医院信息管理系统（HIS）、临床信息系统（CIS）、医学影像系统（PACS）、放射信息系统（RIS）、远程医疗系统等医院信息系统服务，应具备高宽带、大容量和高速率。

桌面用户接入采用10/100 Mbit/s自适应方式，医学影像、放射信息等系统的高端用户采用1　000 Mbit/s自适应或光纤到端口的接入方式。

按满足网络运行的安全性和可靠性要求进行网络设备配置，并采用硬件备份、冗余等方式。根据医院工作业务需求配置相应的服务器。

（2）系统功能需求

江苏省淮安市某医院计算机网络系统分为内网、外网＋Internet两部分，两套网络要实现完全的物理隔离，并满足接入广域网的需求。

此次网络建设主要包括以下两部分内容：内网的建设以及外网的接入。按系统结构可划分为局域网和广域网。广域网主要由各种路由器、应用服务器、网络安全设备等组成；局域网主要由各种核心层、接入层的交换机组成。

①内网建设

内网的建设应满足医院内部医疗以及日常办公的需要。

通过计算机网络系统VLAN可以分为办公内网、医疗综合信息管理网络以及PACS传输网络等几个子网。

②外网建设

外网的建设应满足医院广域网接入的需要以及远程医疗、远程会诊等应用的需要。

设计选用CISCO（思科）品牌的系列网络设备及管理软件，因为思科产品具备较高的品牌知名度、市场占有率，并且还具有极高的性能价格比。

2．设计指导思想和原则

详见本节第五条之叙述。

3．方案设计简介

（1）设计方案综述

本网络系统能够让每个用户都真正实现“百兆到桌面”甚至“千兆到桌面”，即使多个用户处于峰值带宽利用状态，也不会对数据传输速率产生影响；在未来数据库及存储系统业务系统不断扩大、用户不断增加的情况下，网络仍然保持反应迅速、处理快速的能力。

江苏省淮安市某医院网络采用内网和外网（互联网）物理分离的设计方式，下面分别针对这两个网络来说明规划设计方案。

（2）内网设计

①设计分析

内网的建设满足江苏省淮安市某医院内部医疗以及日常办公的需要。

在计算机网络系统的局域网中，选用1台核心交换机担负整个网络核心任务的运行，负责支持各种网络应用。核心交换机必须具有高可靠性，支持引擎和电源的冗余，具备第三、四层交换功能，为江苏省淮安市某医院各个部门、子网的VLAN提供策略性的路由，能快速适应网络的变化，并充分考虑与接入层的链路冗余。本方案还充分考虑到医院以后在无线网络系统方面的需求，对大楼分层安装了无线AP节点。

接入层选用三层交换机，为用户提供高密度的10/100/1　000 M接入。支持对资源的控制访问，通过VLAN的划分，实现对用户的有效管理；并可以根据需要对部分用户资源访问的权限进行限制，有效地实现了整个网络系统的安全性。与核心交换机采用千兆光纤链路连接。

根据综合布线系统对楼层配线间的划分，以50%的端口实际使用率来计算，目前内网接入层交换机的具体配置如表3．1至表3．8所示。

表3．1　门急诊医技楼

表3．2　呼吸道传染病病房楼

表3．3　消化道传染病病房A楼

表3．4　消化道传染病病房B楼

表3．5　后勤供应楼

表3．6　食堂宿舍楼

表3．7　特殊传染病病房楼

表3．8　行政办公楼

整个系统中选用的设备均支持RSTP、QOS（服务质量）等技术，在设备的调试阶段，根据江苏省淮安市某医院的实际使用特点，对不同的用户进行网络的流量控制，为不同的用户提供不同等级的服务质量保证、安全的网络集成特性。

整个计算机网络系统的核心设备均采用模块化设计，随着用户以及需求的增加，可以方便地对计算机网络系统进行逐步的升级、扩展，未来还可以通过增加模块支持和实现目前流行的IP电话、视频会议等实时性数据技术。

②网络拓扑结构设计

根据网络分层设计的思想和江苏省淮安市某医院内网信息点设计的规模，整个网络采用星形的拓扑分层网络结构，分为核心层、接入层两层，使用分布式交换。同时从可靠性和安全性方面来考虑，网络中核心交换设备采用冗余结构。

考虑用户投资计划以及企业网“整体设计，分步实施”的设计原则，核心层使用一台Catalyst　6509－E多业务核心路由交换机，配置两块引擎和两块电源，进行冗余备份和负载均衡，提高网络的可靠性和健壮性。

接入层交换机采用三层交换机WS－C3560－48TS－S和WS－C3560－24TS－S，全部采用千兆光纤连接到核心层，保证不产生传输瓶颈。

③网络核心层设计

在江苏省淮安市某医院网络中心机房使用Catalyst　6500作为网络的核心交换机。Catalyst　6500交换机是Cisco屡获嘉奖的经典核心交换机，提供每秒数亿个数据包处理能力。经过不断的改进和完善，Catalyst　6500不但可以完全满足当前主流千兆网络的需要，并且支持10 GB接口模块，以后可以平滑升级到万兆核心而无需更换。另外，为满足各式各样的安全、多媒体、语音等业务需求，Catalyst　6500也提供了多种集成式服务模块，包括数千兆位网络安全性、内容交换、语音和网络分析模块。Catalyst　6500有3代引擎，第3代引擎具有720 Gbps的交换能力。由于用户可能会在网络中做一些多媒体应用，所以需要选用较高性能的设备。Supervisor Engine　720提供可以扩展的性能、智能等。借助720 Gbps交换矩阵，新型Supervisor Engine　720的交换能力可达到400 Mbps，非常适合部署在高性能的核心层、数据中心和城域以太网。

计算机网络作为整个企业业务的运行载体，担负着用户与业务主机、用户与服务器之间高速通信枢纽的重任。在核心交换机Catalyst　6500上配置两块Supervisor Engine　720引擎和两块电源，实现引擎及电源的双冗余备份；同时增加一块WS－4448－GE－SFP，提供48个小型可插拔千兆光接口插槽，满足接入层交换机的上行连接。

另外配置两块WS－X6148A－GE－TX以太网接口卡，提供96个10/100/1000M自适应RJ　45接口，用来连接服务器的千兆网卡，为中心机房的办公用机、网管服务器提供千兆接口以及连接汇聚层交换机和Internet出口网关。对于某些高端服务器，可以采用光纤直接连接，以提高传输效率和稳定性。

④网络接入层设计

本案使用Cisco Catalyst　3560系列交换机作为内网的接入层交换机，既能满足所有的功能需求，又拥有很高的性价比。

Catalyst　3560系列交换机可以提供48/24个10/100M端口和4个SFP千兆光接口插槽，从而可以在光纤上实现千兆位上行链路连接。利用这些端口，客户可以以一个成本低廉的解决方案，利用光纤提供千兆位传输速度。4端口配置可以提供冗余和更高的可用性，并为叠加交换机和将它们作为一个集群进行管理提供了一种价格低廉的方法。这种交换机适用于需要使用光纤连接上行链路的企业部门。

每个楼层的配线间使用WS－C3560－48TS－S或S－C3560－24TS－S交换机，均通过千兆光纤上行方式连接至核心交换机，这样可以最大限度保证网络的连通性、可靠性，既拥有很高的性价比，同时又保证传输速率。

⑤无线网络

随着信息技术的快速发展，国内越来越多的医院正加速实施基于信息化平台、HIS系统的整体建设，以提高医院的服务水平与核心竞争力。信息化不仅提升了医生的工作效率，使医生有更多的时间为患者服务，更提高了患者的满意度和信任度，无形之中树立起了医院的科技形象。因此，医疗业务应用与基础网络平台的逐步融合正成为国内医院，尤其是大中型医院信息化发展的新方向。

因此，有些医院开始在病房里部署医疗网络，减少手工操作。在有线网络模式下，医生将工作站插到病房的网络接口上，就可以完成例行检查，这比传统查房方便了许多。但多次插拔很容易造成设备损坏，加大不必要的开支。而采用无线局域网覆盖各病房的方式，无需考虑人数，无需插拔接口，只要估算接入带宽即可，而且用户能在覆盖区内的任何角落接入网络。

事实上，无线查房就是把数字化推到病人床前。医生或护士只需轻轻点击随身携带的平板电脑或PDA，就可随时调阅病人的病历、医嘱和各种检查、化验以及护理等信息，并可以准确地在床边下医嘱，记录病情变化，及时将相关信息传输至科室和医院的管理终端。无线查房系统的使用最大限度地提高了医生查房的工作效率，减少患者等待时间，提升患者满意度。可以说，无线查房系统是医院HIS系统的一项革命性应用。

（3）外网设计

①设计分析

根据综合布线系统的设计，本工程外网的设计目标是每层1　000 MB骨干带宽，100 MB到达桌面，足够内部数据交换及连接Internet之用。

江苏省淮安市某医院的外网主要设计用途是提供Internet连接共享。相比内网，外网无论是速率还是稳定性要求都相对较低，但这并不意味着不需重视。从节约成本出发，可以不需要冗余，但所选设备仍然需要稳定，并且拥有较好的性价比。整个外部网络的数据流量和流向决定着其可以采用与内部网络相同的星形的拓扑分层网络结构，分为核心层、接入层两层，使用分布式交换。

根据综合布线系统对楼层配线间的划分，以50%的端口实际使用率来计算，目前外网接入层交换机的具体配置如表3．9至3．16所示。

表3．9　门急诊医技楼

表3．10　呼吸道传染病病房楼

表3．11　消化道传染病病房A楼

表3．12　消化道传染病病房B楼

表3．13　后勤供应楼

表3．14　食堂宿舍楼

表3．15　特殊传染病病房楼

表3．16　行政办公楼

②外网核心层设计

采用1台Cisco Catalyst　4507R中端多业务交换机作为外网的核心交换设备，采用双电源冗余的方式保证核心层交换机的安全性，这样在其中一块电源发生故障的时候，能自动切换，不会影响整体系统的运行。

在核心交换机Catalyst　4507R上配置一块Supervisor Engine V－10GE引擎和两块电源，同时增加一块WS－4448－GE－SFP，提供48个小型可插拔千兆光接口插槽，满足接入层交换机的上行连接。

另外配置两块WS－4548－GE－TX以太网接口卡，提供96个10/100/1　000 M自适应RJ　45接口，用来连接服务器的千兆网卡，为中心机房的办公用机、网管服务器提供千兆接口以及连接汇聚层交换机和Internet出口网关。对于某些高端服务器，可以采用光纤直接连接，以提高传输效率和稳定性。

Cisco Catalyst　4507R交换机是中端交换机，经过不断的改进和完善，不但可以完全满足当前主流千兆网络的需要，并且支持10 GB接口模块，以后可以平滑升级到万兆核心而无需更换。另外，为满足各式各样的安全、多媒体、语音等业务需求，Cisco Catalyst　4500也提供了多种集成式服务模块，包括数千兆位网络安全性、内容交换、语音和网络分析模块。

Catalyst　4507R有5代引擎，第5代引擎具有136 Gbps的交换能力，是Catalyst　4500系列最先进的引擎。Supervisor Engine V－10GE提供可以扩展的性能、智能和各种特性。借助136 Gbps交换矩阵，新型Supervisor Engine V－10GE的交换能力可达到102 Mbps，因而非常适合部署在高性能的核心层、数据中心和城域以太网。

Cisco Catalyst　4507R交换机能够将对智能网络服务的控制力从骨干网扩展到网络边缘，包括精确QOS（服务质量）、互联网安全和网络管理。

将Cisco Catalyst　4507R的千兆光纤链路连接到接入层交换机，这样的核心已经完全可以满足外网需要。

③外网接入层设计

在外网接入层交换机选型上，设计兼顾高性能与经济性，所以选用Cisco Catalyst WSC2960－24交换机，既降低了投入成本，千兆光接口上连又保证了整体网络的高性能。

根据实际外网信息点的数目，在信息点数量较多的配线间使用几台Cisco Catalyst WS－C2960－24，通过光纤级联的方式互连，通过100M双绞线连接到终端。

④外网安全设计

外网设置入侵检测设备，采用IDS－4215－4FE－K9，提供80 Mbps处理能力。防火墙选用PIX－525－FO－BUN。

（4）网络核心层设计要点

①网络第二层设计：核心网络采用千兆以太网技术，可以按照实际情况采用Cisco的增值GEC技术，一方面可获得最多达16 Gbps（全双工）的交换机之间连接带宽，另一方面可以在交换机之间提供几秒内由故障链路切换到其余正常链路的高速备份能力。

②网络第三层设计及IP路由协议的选择：通过使用可快速恢复的动态路由协议，如OSPF、RIP等，可以实现路由备份及负载均衡；并保证网络出现故障时，快速实现备份路由寻找，并由备份路由传输数据流量。

③高可用性设计：网络核心层与分布层交换机均使用冗余及高可靠性配置，通过双上连星形连接提供冗余链路，通过HSRP/VRRP协议实施网络冗余，从而提供稳定可靠的网络传输核心，为整个网络提供不间断的服务。

④路由安全：对于网络上核心交换机之间分发的路由，可以采用MD　5认证算法来防止欺骗性路由。本设计选用的路由产品都支持MD　5认证。

（5）网络接入层设计要点

在网络建设中，接入层交换机的功能是解决多服务信息流的分流及汇聚，一方面网络接入层通过和分布层及核心网络的连接，将各下级单位内的所有信息点连接起来，另一方面各种形式的网络信息都汇聚到这里向核心输送；这里也是网络管理员应用网络策略隔离网络流量之处，包括安全、路由汇聚、网络故障隔离等。

网络接入层还负责将用户流量引入网络，并且实现接入控制，包括接入速度限制等。

为了更有效地对接入的用户提供管理和安全控制，在接入层划分VLAN（虚拟网），让不同功能的部门、用户分布在不同的虚拟网上，虚拟网间的通信主要由分布层和核心层的Catalyst　6506/Catalyst　4503多层交换机来实现。要实现不同虚拟网用户之间，甚至同一虚拟网内部不同用户之间的访问控制，可在Catalyst　4507/Catalyst　4506上设置访问控制列表（Access Control List）。

（6）网络安全设计要点

①服务器的安全防范体系：基于防火墙的保护考虑

出于安全方面的考虑，一般的设计会在网络的出口处部署一台防火墙设备，比如PIX－525－FO－GE－BUN（Chassis Unrestr．SW　2GE＋2FE VAC＋），因为网络出口处带宽通常不会太高，所以这样的防火墙设备其处理性能足以满足用户目前的需求及未来的发展。

②整个千兆以太网的安全防范体系：入侵检测的考虑

目前，如何防御网络病毒已经成为现有网络设计中一个不可忽视的环节。一个没有入侵检测和抵御的网络是一个不完整和不成熟的网络。因此，在该网络中，部署Cisco的IDS入侵检测系统来完善这个重要的环节。Cisco的IDS入侵检测系统可以在第一时间发现网络攻击的源头，然后可以通过隔离攻击源来避免和减少网络攻击对整个网络可用性的影响。部署一个IDS网络是非常综合的方案，简单的做法是在网络的核心部署相应的入侵检测模块。

（7）IP地址规划

IP地址空间的分配及合理使用与网络拓扑结构、网络组织及路由策略有非常密切的关系，将对网络骨干网的可用性、可靠性与高效性产生显著影响。本工程将建设江苏省淮安市某医院网络骨干网，在对骨干网IP地址进行规划建设的同时，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。

IP地址规划遵循以下几点：

①IP地址的规划与划分应该考虑到江苏省淮安市某医院千兆以太网的飞速发展，能够满足千兆以太网未来发展的需要；既要满足本期工程对IP地址的需求，又要充分考虑未来业务发展，预留相应的地址段。

②IP地址的分配需要有足够的灵活性，能够满足各种用户接入，如拨号、专线用户等的需要。

③地址分配是由业务驱动的，应按照业务量的大小分配地址段。

④IP地址的分配必须采用VLSM技术，保证IP地址的利用效率。

⑤采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。

⑥充分合理利用地址空间，提高地址的利用效率。

（8）IP地址设计

江苏省淮安市某医院计算机网络系统IP地址的分配可以根据以下几个层次考虑：

第一层：以网络汇接区域来划分

①根据网络汇接分布的地理区域来划分大块连续的IP地址空间，这有利于路由协议的计算和地址汇聚。

②千兆以太网骨干网首期网络工程内的地址划分需要考虑网络接入层的扩展，需要为网络的扩展预留地址空间。

第二层：在区域接入网内，以网络功能来划分

①可以根据不同的应用和网络功能来划分，如各单位用户网络接入地址、数据服务器地址空间和网络管理操作，从而可以从地址上识别出应用和功能。

②网络骨干网的地址空间需求分为IP骨干网络地址和以后接入地址。其中IP骨干网络地址分为以下几类：

A．点到点的链路：需要30位地址掩码的最小子网，这是有两个地址空间的子网。

B．路由器Loopback地址：每台路由器需要一个32位掩码的IP地址。Loopback地址是为路由协议和网络管理定义的，以确保链路故障时网络操作依然可以访问路由器。

C．千兆以太网地址：即医院内各科室的用户网络地址，应按照主机接入数量和设备数量来分配子网空间。

（9）VLAN设计及QOS保证

①QOS保证

Internet/Intranet的快速增长及多服务多种用户类型的出现对当今的网络提出了新的要求。通常来讲，网络的上行带宽是从小到大，由接入层通常不大于100 Mbps的上行链路，到分布层FE/GE上行链路，再到核心网络之间高达GE/GEC、OC－48/OC－192的链路。基于网络数据传输流量模型的考虑以及组网的经济性和相关性能价格比方面的考虑，通常在设计广域网时，不会在每一层的设计中，都根据下一层到本层所有的上行链路需要的带宽总量来设计本层与上一层的上行链路带宽。

因此，设计中需要一种方法，以保证当网络传输发生或即将发生拥塞时，对于不同的应用数据进行不同优先级别的传输处理，也即保证关键业务流量的优先传递，这就是QOS服务质量保证的由来。

不同类型的应用数据，对网络传输有着不同的要求。IP网络中的QOS赋予网络传输设备一种智能，使它们能够在网络带宽紧张时，依据策略优先处理某些数据，QOS可以让网络管理者们控制网络带宽、延迟、抖动和数据包的丢弃。QOS不只是网络设备上的一种功能，也不仅是数据链接层的功能，而是一个端到端的系统体系。一个功能强大的QOS解决方案包括广泛的技术，要求在整个网络范围提供良好的扩展性和不依赖于任何介质的服务，并且具有系统监测和配置能力。

由于QOS需要大量的处理计算，所以把这些工作分配到网络边缘与核心设备，它们可能是交换机或路由器。边缘设备进行数据流的识别和基于用户策略的数据包的分类，提供带宽管理；核心设备加速QOS数据包的转发。

②VLAN设计

虚拟局域网（Virtual Local Area Network，VLAN）最简明的描述就是可以将连接在同一个物理网络上面的主机分组，使它们看起来就像连接在不同的网络上一样。

在VLAN概念最早出现时，各个厂商纷纷推出自己的解决方案，互不兼容，某个厂商的交换机不能识别其他交换机的VLAN。IEEE　802．1Q统一了各个厂商的VLAN实现方案，使不同厂商的设备可以同时在一个网络中使用，各自的VLAN设置可以被其他设备所识别，实现不同厂商之间交换机的互通。同时，802．1Q VLAN通过TAG方式扩展了以太网的帧格式，从而提供了新的QOS、用户认证等业务保障、实现的途径。

在大型局域网络组建中，VLAN技术是不可缺少的关键技术，科学的VLAN设计可以为局域网络带来一系列的优点：

A．在同一个物理网络实现第二层工作组划分，实现不同工作组之间第二层的完全隔离，同时，组员可以处在物理网络中的任何位置，不受同一台设备限制；

B．隔离广播、提高效率，避免不相关的广播帧在全网扩散，浪费有效带宽资源。

VLAN的划分可以依据不同的业务部门进行，也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还同时兼顾了网络安全性、可控性的需要。根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合；而对于少数由于布线结构隔离在不同汇集点的相同业务部门，设计中推荐第一种方式（从后面的内容可以了解到，基于以太网设备平台的方案能够在很大程度上忽略物理位置所可能带来的性能影响）。

从广播控制角度出发，为了保障网络的高可用性和高性能，按照惯例原则，设计中同一个广播域内（一个VLAN）的通信主机一般不超过50台，最好控制在30台以内；对于主机数量超过50的业务部门，设计中通过二层隔离、三层交换的方式来解决。可以放心的是，设计中采用的思科系列路由交换产品提供全线速的二、三、四层交换能力，所以，对于网络的VLAN解决方案来说，第二层和第三层的处理性能可以视为完全相同，这样，可以实现两种设计之间的直接融合，从而在同一个物理结构上的逻辑设计可以更加灵活自由。

作为典型的特殊VLAN，建议保留VLAN　1作为管理VLAN，覆盖到全网的每一台交换机，但其在第三层接口上，需要通过控制列表与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID＝4000。VLAN　4000与VLAN　1在第三层上相通，同时，保证只有部分业务VLAN可以访问VLAN　4000，从而实现网管的分布式监控布局。在VLAN　1和VLAN　4000的第三层路由接口处设置访问控制列表，只有特定的主机或者网管VLAN可以直接访问每一台设备，其他均在过滤之列。

对于NOTES、DNS、FTP以及业务应用等服务器建议单独设置在一个VLAN中，通过DCRS－5950－24全线速的三、四层交换和过滤机制实现可控的用户服务。

另外，如果今后网络开展对外的WWW等服务的话，建议再单独设置VLAN，结合防火墙设备，通过设置DMZ（停火区）的方式实现与外界的安全互联。

（10）路由规划

为保证全网的可达性及管理方便，应在网上运行动态路由协议，开放的、标准的IGP有OSPF、RIP等。对于该网络，为达到减小路由表、提高路由查找及收敛速度、减少网络带宽占用等目的，建议使用OSPF路由协议。

4．应用服务器设计

（1）需求分析

考虑设置数据服务器组、医疗信息系统服务器、外网Mail服务器、FTP服务器、主域服务器、内网防病毒服务器、外网防病毒服务器、补丁服务器、备用服务器、管理服务器等。

（2）设计规划

针对各类业务对服务器的负载需求，做简要规划如下：

①数据服务器组设计说明

根据医院系统的行业现状，通常数据服务器均采用不低于小型机标准的大型高端服务器搭配SAN结构的存储系统来实现，具体的设备配置应以江苏省淮安市某医院的日常数据处理量、并发数据处理峰值等业务数据为参考，应具有较强的针对性。

建议数据服务器组的设计应放在后续深化设计阶段，以获得准确的性效比及性价比分析，本次设计仅考虑一般功能性服务器的配置。

②其他应用服务器

医疗信息系统服务器承载着江苏省淮安市某医院极为重要的OA平台，因此其高数据处理能力及高设备稳定性显得尤为重要。配置两台IBM　366－4 SMP服务器，规格为Xeon 3．16 GHz的处理器（4SMP），搭载4 GB的高速内存、4 LX的磁盘阵列卡、双1　000 M的网卡，适于搭建双机热备的数据冗余体系。

另配置7台规格为Xeon EM64T 3．2 GHz/2M、800 MHz FSB、2 SMP、2×512 MB、HS U320　146 GB SCSI×2、Light Path、2×Giga Ethernet、2U、Server RAID　7e的IBM 346服务器作为系统的外网FTP服务器、补丁服务器、外网Mail服务器、外网防病毒服务器、内网防病毒服务器、主域服务器及管理服务器。

以上服务器的存储部分拟采用光纤存储网络（SAN），并配置光纤通道卡。这部分的设计均与数据服务器组一样，在后续深化设计过程中进行统一考虑。

5．冗余及备份设计

（1）系统冗余方案

核心交换机采用冗余电源模块或冗余引擎模块，增强主干交换机的可靠性。

楼层交换机组均具有至少两个1　000 M光纤端口，通过冗余光纤上行线路连接到主干交换机上，如其中一个光纤端口发生故障，可使用另一个端口。这样不但增加了网络带宽，还做到了桌面接入交换机和主干交换机的完全冗余。

同时所有的服务器都使用双网卡，通过冗余铜缆线路分别连接到两台主干交换机的100/1　000 M端口上。这样做到了主干交换机与服务器之间完全冗余。

（2）安全备份及灾难恢复方案

网络系统中最重要的不是网络硬件，而是网络运行的数据。如果不能保证数据的安全及正确，对网络进行的大量投资就失去了意义。

备份方法可以分为硬件备份和软件备份。硬件备份指的是用额外的硬件保证系统的连续运行，例如磁盘双工和双机容错。如果某个硬件损坏，备份硬件立即接替它的工作。但是，这种备份方式不能防止逻辑错误。据有关资料统计，系统错误有80%以上属于人为误操作；发生逻辑错误时，硬件备份只会将错误复制一遍，而不能保护数据。实际上，硬件备份应称为硬件容错。

软件备份指的是把数据保存到其他介质里。当系统出错时，备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误，因为备份介质和系统是分开的，错误不会复制到备份介质里（如海量磁带系统）。这意味着只要保存足够长的历史数据，就可以恢复正确的数据。

理想的备份系统是在软件备份的基础上增加硬件容错系统，使网络更加安全可靠。实际上，备份应包括文件/数据库备份和恢复、系统灾难恢复和备份任务管理。

设计中建议采用双主机工作方式进行硬件容错，同时通过给办公系统和数据库应用服务器配备海量磁带存储设备来进行软件备份，达到完全的备份。