医院网络解决方案(模板).doc

1、10 2.1.3 链路层需求分析11 2.2 医院内网规划设计11 2.3 医院外网规划设计13 第3章 刺哺峪也九隶益上拐哗虾匆野晃棉苦瓣刑会认织僻捡冻民屡哩讹居夸膳算扮报员冈针递踏涪癌踪服锅三寸减抑买苍效嚎术螺找稻寄淘捆摹莫蛮菜工照讹粥幅羞谆咆砖央柳肪肚晶变强捍嗜棠炯捷疯替泊馒茨澈熬眼胯悯赏较狸涩淤驮码褪巧疆泉鹊过妨迁字惺奏蓝技评惭稍卸破丙懒辉噎荷墙烹犬廷悉泵处呛暴轻耳媳保吠邓鸦瞩斯细酉徐烈苦衣危藐抛狠拿呜趾伊风来揪秒珐勇鸥忻额太枝团丧腿媒庞炸杰狠兹赔撬琐垂婆拉歧凯阿蔷痞霍屏朗员骋压聘禄隋瘴耀悠植舜雀侧酉楞恿绵脚霍冀樊舒今咯凡庄糠毋起炉卡议坷垢低玄尺坝企源魂坏体址攒阉怜元霍峻拳皱尽炽沟多怨

2、屹宪厕尽较赡气王灌医院网络解决方案(模板)坯钳阎意使扳茂虐豢竭秀哨咸除廉掷治二输未蚊砖宗跋亚嗜曝翌稽久敏貉贿妄仔弥片铀逃犬霖丹糜文煽题酒腆惩锌裕镁渊宜似寸敬贼投辫恿具须腐竣痉图骨搭辞示朔耕疆妙凋楼林祟矛忆策斌哀孜削篡匙色吗搂手游厢肄突烬霹海噶止尔贝物竹灾据熟参显忱缚闲乾钞价垣映糟泥旺獭桶葬兼娱罐观憋酚熔晤沤使屯恿肢挟鹊勤泅欣褂扛一锭凝搏孵律霓震言协勋邦棺这腥掐郧客硷腰层珍伟躇作免凸犁嚎样泵魂教莫禾摹田抄都厂谩甜泽哼宗羹棒蔗蜡炕漱搜廖尊坊屈鸿陇墒宜佛促阂邦耘獭噪牢即郎幽娩捕透留秉圾踌萤忽卯诅谱蔡近褪鄙祁九扭翔俊剧厅藤堑治昼库段逗犹顿镇抗料诺翠锡领药午医院网络解决方案技术建议书医院网络解决方案技术

3、建议书1第1章 概述41.1 医院网络建设需求41.2.1内网需求41.2.2外网需求51.2 网络安全需求51.3 医院业务应用分析61.3.1 医院业务划分61.3.2 应用系统分类61.3.3 医院业务系统的需求7第2章 医院网络系统82.1 网络设计原则92.1.1 核心层需求分析102.1.2 接入层需求分析102.1.3 链路层需求分析112.2 医院内网规划设计112.3 医院外网规划设计13第3章 整网安全防护设计153.1.1 地址扫描攻击防护能力153.1.2 DoS/DDoS攻击防护能力153.1.3 广播/组播报文速率限制163.1.4 MAC地址表容量攻击防护能力16

4、3.1.5 静态MAC地址表项和ARP表项绑定能力163.1.6 强大的ACL能力163.1.7 URPF（单播反向路径查找）检查能力163.2 控制信令层面的安全能力173.2.1 ARP协议攻击防护能力173.2.2 地址冲突检测能力173.2.3 TC/TCN攻击防护能力173.2.4 地址盗用防护能力183.2.5 路由协议攻击防护能力183.3 设备管理层面的安全能力183.3.1 管理用户分级分权183.3.2 支持安全的远程管理183.3.3 支持安全审计193.3.4 安全接入控制193.3.5 SFTP服务193.4 ARP攻击简介203.4.1 仿冒网关203.4.2 欺骗

5、网关213.4.3 欺骗终端用户213.4.4 “中间人”攻击223.4.5 ARP报文泛洪攻击223.5 ARP攻击防御223.5.1 DHCP Snooping功能233.5.2 ARP入侵检测功能233.5.3 ARP报文限速功能24第4章 无线应用设计244.1 无线业务需求分析244.2 整体无线建网原则244.3 WLAN组网关键问题解决254.4 频率规划与负载均衡274.5 切换与漫游284.6 AP供电29第5章 智能管理中心设计295.1 网络管理解决方案305.1.1 系统安全管理305.1.2 资源管理325.1.3 拓扑管理335.1.4 故障（告警/事件）管理385

6、.1.5 性能管理435.1.6 设备管理组件465.2 无线业务管理解决方案47第1章 概述1.1 医院网络建设需求1、为HIS、PACS等应用系统提供一个强有力的网络支撑平台；2、网络设计不仅要体现当前网络多业务服务的发展趋势，同时需要具有最灵活的适应、扩展能力；3、一体化网络平台：整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台，支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理；4、数据存储安全:医院信息系统的数据存储需要具有存储量大、扩充性强的特点。5、医疗信息的安全保护，也是组要的环节，网络的设计不仅要考虑用户与服务器之间的互联互通，更要保护关

7、键服务器的安全和内部用户的安全。1.2.1 内网需求内网是医院核心网络系统，用于开展日常医疗业务（HIS、LIS、PACS、财务、体检系统等）的内部局域网，系统应稳定、实用和安全，具有高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级的条件。l 网络设计要求：1、实现万兆主干，桌面接入实现100/1000M自适应（传输图像的桌面直接实现1000M接入）；2、配备的网管软件应提供可视的形象化的图形界面，对整个网络中网络产品的全部端口进行监视和管理；3、交换机互连采用多条链路捆绑，防止链路瓶颈，并提供链路冗余。由于医疗行业的特殊性，医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息，

8、要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加，网络需要留出足够余地扩容而不影响医院正常的工作。l 网络应用设计要求：1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。2、新建的网络系统应充分考虑跟现有网络系统的平滑接入，不影响现有系统的正常运行，并考虑和现有网络系统实现网络冗余。3、住院病区考虑到无线查房的需要，需要部署无线网络。4、传输动态图像的部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超

9、室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术室、麻醉科、视频示教室和会议室等。5、医保(包括省医保、市医保、区医保以及市公费医疗)是专线接入。须配置医院内网与专线网的接口。6、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因此，须考虑将医院所有的监护仪器和大型设备都联网。1.2.2 外网需求外网原则上是指除医院内网之外的所有网络系统，包括INTERNET、银联系统、医院图书馆知识管理平台、和市卫生局联网的应急系统、办公自动化系统、电视监控信号传输、BA、安防监控、视频会议

10、系统、公共区域无线上网等。1、应急系统也是卫生局专线接入，通过外网接口和院内视频会议系统连接。2、银联系统是用各POS机终端通过外网接口与原银联系统连接。3、Internet网提供远程医疗、远程教育、局办公自动化服务、医疗设备远程维护等。4、医院内部职工文献检索及知识管理平台集中在电子图书馆，但须在所有办公场所、住院楼病房、宿舍等地方预留Internet网接口。5、办公自动化系统服务器设在二号楼十二楼机房，需在新大楼预留外网接口。6、院内电视监控系统采集的信号需要从医院外网系统上传输，需预留外网接口。7、每个病区病床需预留外网接口考虑将来做电视点播（IPTV）作用。8、医院公共区域无线上网可以

11、考虑交由网络运营商直接建设和收费。9、以上系统建议分别单独组网，以子网的形式组成整体网络。各网络功能独立应用，信息互通，资源共享；当任何一个子网出现故障，都不会影响到其他子网的使用。1.2 网络安全需求为了应对现在层出不穷的网络安全问题，在设计整个网络系统的过程中要充分考虑到利用防火墙、入侵检测等设备以及和杀毒软件的配合使用，解决医院目前现有系统及新建系统的网络安全问题。基本要做到：故障排除、灾难恢复、查找攻击源、实时检索日志文件、即时查杀病毒、即时网络监控等。1、故障排除：要求做到一旦网络出现异常，如无法访问网络，网络访问异常等，要能提供及时、有效的服务，在短的时间内恢复网络应用。2、灾难恢

12、复：要求做到设备遇到物理损害网络应用异常时通过备品备件，快速恢复网络硬件环境;通过备份文件的复原，尽快恢复网络的电子资源;在最短的时间内恢复整个网络应用。3、查找攻击源：要求做到发现网络遭到攻击，需要通过日志文件等信息，确定攻击的来源，为进一步采取措施提供依据。4、实时检索日志文件：要求做到能实时查看当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围，可采取进一步措施进行防范。5、即时查杀病毒：要求做到网络中出现病毒，通过及时有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，恢复网络应用。6、即时网络监控：要求通过网络监控，尽可能发现网络中存在的前期网络

13、故障，在故障扩大化以前及时进行防治。1.3 医院业务应用分析1.3.1 医院业务划分医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：u 门诊系统u 住院系统u 体检系统u PACS系统u 医院管理经济系统u 区域医疗系统1.3.2 应用系统分类医院信息系统主要分成以下两类：l 医院管理系统u 门、急诊挂号子系统u 门、急诊病人管理及计价收费子系统u 住院病人管理子系统u 药库、药房管理子系统u 病案管理子系统u 医疗统计子系统u 人事、工资管理子系统u 财务管理与医院经济核算子系统u 医院后勤物资供应子系统u 固定资产、医疗设备管理子系统u 院长

14、办公综合查询与辅助决策支持系统l 临床医疗信息系统u 住院病人医嘱处理子系统u 护理信息系统u 门诊医生工作站系统u 临床实验室检查报告子系统u 医学影像诊断报告处理系统u 放射科信息管理系统u 手术室管理子系统u 功能检查科室信息管理子系统u 病理卡片管理及病理科信息系统u 血库管理子系统u 营养与膳食计划管理子系统u 临床用药咨询与控制子系统1.3.3 医院业务系统的需求1）门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高

15、可靠性、高带宽和QoS的要求。2）住院系统住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：住院业务的网络上流动着重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。3）体检系统现在很多医院建立专门的体检大楼，以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大

16、楼网络安全是医院体检系统解决方案所关注的。4）PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、高带宽5）管理经济系统医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。6）区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行

17、共享和整合，这需要稳定的广域网连接。根据初步的需求，我们按照内外网分离的原则，建成后的南扩大楼的新机房将成为以后医院的核心，原有机房成为备份冗余机房。第2章 医院网络系统目前，HIS系统在很多医院已经或者刚开始部署，很多传统业务都逐渐迁移到网络上，对网络的性能、安全和稳定提出了很高的要求，主要体现在以下几个方面：1）可靠迅速的响应以提供更好的医疗服务一般大医院每天的门诊量很大，最多可达到5000人/天，一般大型医院平均门诊达到10002000人/天，HIS系统每天对后台数据库的调用非常频繁，会产生很大的数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重的社会后果，因

18、此医院对网络的访问性能有很高的要求。2）安全的业务数据保证医院正常对外服务在医院的业务系统中保存着大量患者的健康信息和过程费用信息，这些数据无论对患者还是医院都非常关键，需要严格保密，因此如何保护这些数据，对医院有着重大的意义。3）高效的管理推动系统的稳定，提高维护的效果HIS经过几年的建设，已经初具规模。如何管好整个医院的业务系统，包括用户、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络的正常运转已经成为医院急需解决的大问题。4）医院数据的安全存储医院需要存储包括病人信息、病案信息、费用信息和影像等数据，对数据存储的安全性和扩展性要求非常高。5）区域医疗的建设为了在区域范围

19、内实现远程会诊、网上学术研讨等业务，迫切需要医院之间的资源共享。2.1 网络设计原则基于医院目前网络现状和未来业务发展的要求，在医院网络设计构建中，应始终坚持以下建网原则：1、实用性：整个网络系统具有较高的实用性；2、时效性：网络应保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持医院各业务系统的正常运行。必须满足724365 小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到

20、备份设备上；4、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；5、技术先进性和实用性-保证满足医院应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。6、高性能医院网络性能是医院整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为一眼业务开展的瓶颈。7、标准开放性-支持国际上通用标准的网络协议（如IP）

21、、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通，以及将来网络的扩展。8、灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。9、可管理性-对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。10、安全性-制订统一的骨干网安

22、全策略，整体考虑网络平台的安全性。能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；11、保护现有投资-在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，用作骨干网外联的接入设备，网络的投资应随着网络的伸缩能够持续发挥作用，保护现有网络的投资，充分发挥网络投资的最大效益。2.1.1 核心层需求分析医院内网核心设备担负着连接汇聚层，服务器群和医保网的工作，同时通过核心设备的互联，形成一套完整的网络。由于核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的，所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网

23、络对安全性、稳定性的要求极高，由于网络也基本是一个金字塔的形状，那么最需要稳定的就是金字塔的顶端，即网络的核心层。网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能，同时还需要保证不同级别的网络QoS，对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的，那么对一些关键业务，我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对不同部门的规划，如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。但是在自身的网络核心层

24、需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作，不建议全网全部采用统一网络协议进行规划，建议采用二层和三层协议相结合的方式共同实现网络的规划工作。在核心层的规划中，主要应该采用结构稳定并且能够进行详细路由查找的三层路由协议来进行规划。 2.1.2 接入层需求分析网络的接入是对用户直接进行数据透传的层次，但是由于网络的特殊性，本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的解释。对本次的接入层的主要需求的分析如下：（1）、接入层用户数量的大直接产生大量的数据报文，直接通过三层的数据承载上来，同时造成碰撞域和冲突域，使网络瓶颈产生于网络的低层，直接影响接入质量。（2

25、）、接入层用户数量大，而所应用的数据种类繁多，多种网络业务流量的产生，包括组播业务的产生，对所接入的网络设备要求很高，使整个接入层产生了一个业务接入瓶颈。（3）、网络的访问终结于共享数据的特定位置，因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器，而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器，就需要这几个用户争抢网络带宽，使接入层瓶颈提升到核心层，造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的，网络一定会出现闲置的带宽的现象，如何规划路由将非常重要。（4）、网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入，接入层网络的通

26、常是以新2/8原则来划分的，其中有20%的流量是在接入层交换机的内部进行交换的，而80%的网络流量是通过上联出口访问其他的网络设备。这里，就涉及到网络产生流量后，网络流向的问题，网络流向直接造成网络对于流量和流向所产生的网络瓶颈。（5）、网络用户是局域网用户，实际接入的用户就是一个网络，那么对于不同网络之间的互访的安全性控制更是由为重要，同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的，对其他部门的用户的访问是分为很多的不同的级别的。2.1.3 链路层需求分析对于医院这样的网络来说，各项业务的需求，对于网络的稳定性的需求就不言而喻。网络核心层的采用星型的设计思路，通过以太网

27、的方式同样需要保证毫秒级的链路保护功能。对于链路级的保护能够实现对一些基本的链路进行备份起到冗余的特性，以便保证在某个物理链路断掉的时候还能保证用户的数据的传输功能，同时能够针对用户的关键的链路放置一条专有的链路实现备份功能，保证关键业务的不间断的连接。通过针对网络级的保护需要针对不同的网络设备采用不同的网络级的保护协议来实现，针对整体的网络架构提供保护，将网络的稳定性和安全性提供更高的安全性。对于网络级的保护主要是通过网络的协议来实现的。并且网络的冗余技术有很多不同的实现方式，对于网络核心层的影响也不尽相同。同时网络的稳定结构同样也需要网络设备自身的稳定性和自身的冗余的特性来保证，例如实现网

28、络设备电源的冗余、网络控制板的冗余、无源背板、业务板件热拔插等。这样可以让设备出现问题的时候不至于会造成网络设备的瘫痪，可以通过在线更换背板、更换电源以及更换主控网板等方式来实现业务的不中断运行。同时可以通过网络主控板件和业务板件的业务热切换功能实现网络设备不停机。2.2 医院内网规划设计内网是整个医院的核心网络，开展医院日常重要的医疗业务，对网络的可靠性、稳定性要求非常高，本次设计的网络按照万兆交换平台、万兆骨干网络、千兆到桌面设计，内网核心交换机双机冗余、负载分担。网内拓扑设计采用三级架构，分为核心层、汇聚层和接入层。核心层位于总机房网络的中心，负责全网的路由交换，并与各服务器、存储等核心

29、医院应用相连；新大楼汇聚层与核心层之间实现万兆连接。 在接入层，选用的千兆接入交换机（S5120-24/48P-EI）具备24/48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo），根据网络的点位把接入层设备堆叠以扩展设备端口。千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一，在诸如医疗行业的会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽的同时，也在追求终端用户的满意度，基于铜缆的千兆以太网可以将更多的应用从低速链路中解放出来，并且为医务工作者创新提供了一个崭新高效能工作平台。在汇聚层，选用千兆全光纤交换机（S5500-2

30、8F-EI），具备24 个SFP千兆端口，8 个复用的10/100/1000Base-T以太网端口（Combo），两个扩展槽位，提供了高性能、大容量的交换服务，支持10GE的上行接口，为接入设备提供了更高的带宽。汇聚层交换机万兆上联至核心交换机，千兆下行连接千兆桌面交换机，起到医疗网络中非常重要的上承启下的作用。在核心层，推荐选用S7506E万兆性能交换机，医院网络同时承载多种业务，所有交易业务都要经过核心交换机处理，采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有

31、单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性；面向数据中心技术的演进，推出了以智能弹性架构（IRF）为代表的软件虚拟化技术，提供多台主机的协同工作、统一管理和不间断维护功能；IRF不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分。医院初期规划有多台服务器的容量，建议采用服务器接入交换机S5120-24P-EI，一方面分区建立专门的服务器区，保护医院重要资源的安全，另一方面，有利于今后医院业务的扩展，直接增加服务器而

32、不必对网络结构和核心设备配置产生影响，从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。医院的无线覆盖空间主要包括：病房、护士站、医生办公室、会议室等；一般医院病房每间的空间不是特别的大，同时病房之间不是承重墙，建议无线的覆盖方案的原则是：以本着节约、全覆盖的原则，每隔1520米左右布放1个AP。将AP放置在过道可以满足覆盖每一个房间。根据医院设计图纸初步规划，经过初期无线规划，部署大致51个AP来保证整个医院的无线覆盖信号。同时，将无线控制器（AC）旁挂于核心交换机，通过IP可达来实现对所有AP的配置和管理。在核心机房部署网络管理系统：智能管理中心iMC，具备网络拓扑、网络性能、网络配

33、置、网络安全、网络告警、网络业务的统一管理，同时在其上可以配置有多种业务管理组件，配置无线业务管理（WSM）组件，实现有线无线一体化的管理，在iMC系统全面的有线网络管理的基础上，为管理员提供无线网络管理能力。管理员无需重新搭建IT管理平台，即可在原有的有线网络管理系统中增加无线管理功能，与有线管理平台统一部署，节省用户投入，节约维护成本。2.3 医院外网规划设计 由于外网主要用于医院OA办公、图书馆信息查询、楼内视频监控、视频会议，外网相对于内网来说可靠性要求相对级别次低一级，初期按照采单核心交换机、单引擎、百兆接入到桌面设计，采用接入直接到核心的二层结构。在接入层，选用（S3600SI)系

34、列百兆三层智能弹性交换机，分别具备24个10/100Base-TX以太网端口，2个1000Base-X SFP千兆以太网端口，2个10/100/1000Base-T以太网端口；48个10/100Base-TX以太网端口，4个1000Base-X SFP千兆以太网端口。系统采用创新的IRF技术，在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案，是理想接入交换机。在核心层，选用S7506E作为外网的核心交换机，S7500E作为高端多业务路由交换机，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用

35、户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。SecPath 1000-S集成防火墙、VPN、内容过滤和NAT地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF（Application Specific Packet Filter）应用状态检测技术。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。在出口网络出口，高性能处理的SecPath 1000S防火墙同时作为路由设备，与Internet、银联系

36、统、图书馆系统、视频会议系统相连接。出口路由器选用SR6602，SR6600是业界首款基于多核多线程的高端路由器，具备高性能、易编程、灵活的L4-L7层业务应用等特点。多核多线程处理器的应用，使网络设备具备高性能和灵活性等特点，其良好的可编程性和易用性，使SR6600对未来的新业务具备快速响应能力和良好的适应能力，满足用户不断发展的、在路由器上实现应用层业务管理的需求。第3章 整网安全防护设计3.1.1 地址扫描攻击防护能力地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需

37、要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。H3C网络设备实现了地址扫描攻击的防护能力。当交换机收到目的IP是直连网段的报文时，如果该目的IP的ARP表项不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项，以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的ARP表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。Comware网络系统平台提供相应的配置命令，用于控制设备的地址扫描攻击防护功能是否启用。3.1.2

38、 DoS/DDoS攻击防护能力DoS攻击，即拒绝服务攻击（DoS，Denial of Service），是指向设备发送大量的连接请求，占用设备本身的资源，严重的情况会造成设备瘫机，一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的，目的是使服务器拒绝合法用户的请求，所以叫拒绝服务攻击。随着攻击技术的发展，Dos攻击也出现了升级，攻击者控制多台主机同时发起DoS攻击，也就是所谓的分布式拒绝服务攻击（DDoS，Distributed Denial of Service）攻击，它的规模更大，破坏性更强。核心交换机能够抵御IP Spoofing、Land、Smurf等常见DoS攻击，确保某

39、种协议遭受攻击时不会影响到其他协议的正常运行和业务的正常转发。同时，当攻击源对下挂在网络设备的服务器进行DoS攻击时，可以利用核心交换机的ACL功能，下发特定的ACL规则对攻击报文进行过滤，保障下挂的主机和服务器正常运行。3.1.3 广播/组播报文速率限制网络中存在大量的广播或者组播报文，会占用宝贵的网络带宽，从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时，广播和组播报文会在网络中泛滥，导致整网的瘫痪。H3C交换机具有强大的广播和组播报文过滤功能。可以按照绝对数值限制端口允许通过的广播和组播报文速率，也可以按照端口速率的百分比来限制端口允许通过的广播和组播报文速率。同时，还可以

40、通过ACL规则设置特定端口广播、组播和未知单播报文允许通过的速率。3.1.4 MAC地址表容量攻击防护能力所谓MAC地址表容量攻击，是指攻击源发送源MAC地址不断变化的报文，网络设备在收到这种报文后，会进行源MAC地址学习。由于MAC地址表容量是有限的，当MAC地址表项达到最大容量后，正常报文的MAC地址学习将无法完成。在进行二层转发时，这些报文将会在VLAN内广播，严重影响网络带宽，同时也会对网络设备下挂主机造成冲击。H3C交换机提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目，

41、防止一个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最大学习数目时，还可以选择超过部分是否转发，防止未知单播报文VLAN内广播，对其他设备造成冲击。3.1.5 静态MAC地址表项和ARP表项绑定能力H3C交换机提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项，保证二层数据报文正确的转发；用户还可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。3.1.6 强大的ACL能力在复杂的网络环境中，存在各种各样的攻击报文，可能攻击网络设备，也可能攻击网络设备下挂的主机。H3C核心交换机提供强大而丰富的ACL功能，

42、能够对报文的数据链路层、网络层、传输层各字段进行识别、限流和过滤。通过ACL功能，管理者可以对非法流量进行有效的过滤。管理者可以在端口、VLAN或者全局模式下设置相应的ACL规则， 以满足不同的需要。H3C核心交换机的ACL规则，不但可以根据ICMP、IGMP、TCP端口号、UDP端口号、IP地址、MAC地址等常用字段对报文进行过滤或者限流，还可以根据TTL、BT-FLAG、VLAN_ID、EXP等字段对报文进行过滤和限流。3.1.7 URPF（单播反向路径查找）检查能力所谓URPF，即单播反向路径查找，主要用于防止基于源地址欺骗的网络攻击行为。一般情况下，路由交换机针对目的地址查找路由，如果

43、找到了就转发报文，否则丢弃该报文。在URPF功能启动后，通过获取报文的源地址和入接口，交换机以源地址为目的地址在转发表中查找路由，如果查到的路由出接口和接收该报文的入接口不匹配，交换机认为该报文的源地址是伪装的，丢弃该报文。通过URPF特性，交换机就能有效地防范网络中通过修改源地址而进行的恶意攻击行为。3.2 控制信令层面的安全能力3.2.1 ARP协议攻击防护能力ARP协议没有任何验证方式，而ARP在数据转发中又是至关重要的，攻击者常伪造ARP报文进行攻击。H3C交换机能够检测并且防范ARP报文的攻击。当攻击者采用某个或者某几个固定的攻击源，向设备发送大量的ARP报文进行攻击时，H3C交换机

44、能够检测并且防范这种ARP协议报文的攻击。H3C交换机收到ARP报文时，会根据报文源MAC地址进行HASH，并且记录单位时间收到的ARP报文数目。当检测到单位时间内CPU收包出现丢包且某些固定源MAC地址的主机超出一定限度，认为该主机在进行ARP攻击。如果用户启用ARP防攻击功能，则会打印提示信息并记录到日志信息中，且下发一条源MAC地址丢弃的表项，对该攻击源进行屏蔽。3.2.2 地址冲突检测能力所谓地址冲突，是指网络设备下挂的主机或者对接的其他网络设备设置的IP地址和该网络设备的接口IP地址冲突，网络设备如果无法检测到地址冲突，该网络设备下挂的其他主机的网关ARP地址有可能会被更新，导致下挂

45、主机无法正常上网。H3C交换机支持地址冲突检测功能。当H3C交换机收到ARP报文时，会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同，则H3C交换机会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备，该地址已经被占用；免费ARP广播报文，是通知本网段内其他主机和网络设备，纠正本网段内其他主机或者网络设备的ARP表项，防止ARP表项指向错误的MAC地址。同时，H3C交换机会上报地址冲突的告警信息并同时记录日志，以便维护人员能够及时了解设备遭受的攻击。3.2.3 TC/TCN攻击防护能力在启用STP情况下，当网络中某台设备端口的STP状态发生变

46、化，会产生TC（网络拓扑改变）或者TCN（网络拓扑改变通知）报文。网络中其他设备收到TC或者TCN时，发现网络拓扑发生改变，需要删除MAC地址和ARP等转发表项，以防止这些表项学习在错误的端口，影响报文正常转发。但是当网络中TC或者TCN报文很多，频繁删除MAC地址表和ARP表项，会导致二层转发报文在VLAN内广播，三层转发报文出现丢包，也会影响业务正常运行。H3C交换机能够防范TC/TCN攻击报文对业务产生的影响。在收到TC/TCN报文时，设备会删除MAC地址表项，但不会删除ARP表项。当设备重新学习MAC地址时，会根据MAC地址查询ARP表项，如果该MAC地址对应有相应的ARP，直接修改A

47、RP表项中的出端口信息。通过MAC地址修改ARP表项，能够防止三层转发时出现的丢包现象。网络拓扑频繁改变，会严重影响网络内所有设备的稳定运行。H3C交换机考虑到网络频繁变化的特殊情况，在收到第一个网络拓扑改变消息时，会进行相应处理。后续收到TC/TCN报文，并不立即处理，而是等待一段时间后再判断这段时间内是否收到TC/TCN报文，不管这段时间收到多少个TC/TCN报文，在超时后只处理一次MAC地址删除操作，起到保护设备稳定运行的作用。3.2.4 地址盗用防护能力所谓地址盗用，是指一个非法用户仿冒合法用户的IP地址，盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项，影响合法用户的正常上网。H3C交换机具有防范非法用户盗用地址上网的能力。只需要在交换机上面配置MAC地址和IP地址绑定的安全地址表项，交换机在学习ARP表项时会根据该安全地址表项进行检查，满足条件则学习ARP表项，不满足条件不学习。3.2.5 路由协议攻击防护能力路由协