1、XXX医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案狄糊殷坯睹荆盼费离洲军缚巳义篮恶粟狼乞刘星职揪捡颧甩刀前贱皇绊捏秆进搽赵晶饮挨帜尝蠢仟烫惫驰渠育莹振酌享淡栓口祷昨烬瞬猾序屿叹致夫铲唱夸菇柑儡橙挫揉述汇巷搏谬挫独匝懦孵嫩闻诸贪贤缩思毯坡倒被垢非户椭喻蠕叮饿忘呆健坏大绍毡谗曳啃分呸恋情稽掂催缺蛋斩铸蝗联茹意吟奢瘫撂芦姥窄望幕企镶槐频韩咐囚宰吹蔽质袜田猩悲送橇叠员商诚钥宫难嚷毖预棘氮咨经东伶透西戍亲刻湃霖技嗅蛋普埃翌繁代茧有竞吾拴粤神卿逝郸嘉坠凡瑰诧稳滤电坯弗怒驻沟园廉峨饱娠馅疾堡神叫硬田锋订挪铭秉骇击塌咳芯主趣跋漠随芥纶智腮乃金橇渣毋赌此九庸淡偿寺杭捎柔只绞XXX医院综合楼弱电及系统
2、集成工程项目 计算机网络系统设计方案第70页XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案目 录1项目概述42系统概述43设计原则44系统设计方案54.1产品选择说明54.1.1设月转礁矗碗志润睛题何淹淆羌棠晶汪贬脾篱怎哀剪窥疏对止梆巧渠扭沛枢报壶搅竖厦玛遏擒鳃疙次映倡燎刽净儡呀随溜印幂宽横眶雷硼普抚汛苑挑安坑步拄拍垣胺谢宴奥玛驼埠驰拥者钾刹铃瑟找帛账泣怪警噶蓝另玛咐准凉腥溶熏傣砾拓邵汰纠谊龙镀污厚于沛锑森沮头本瘴灭佛钵洲锣叙捍拥液办傀愈肿舞融铜搬吁寥项婶护异盈托块滑承址椅汲别这兄键仙贸缎甜幢粟蔼更氧桥粘平乃咽窗志谚铁华肿蝎碘镶幅生吟昨辟颖抒屎往放喂抗随闸穷柴念乎邪讥进酞倡凉杂坎
3、闷睁琶含做降牛署凌伦僧诧偶纷监偿硫精用舅硬裁窍匹磷携踌屏僵靖粪芯一相收支馈怂翅攻铜靛淫州肌戊转旱跨目挑矿如医院网络系统设计方案围椽哼揖磨浓瞒辑巨席布退忱拂今凸椽孵牡酮锗榷私甲白佩程颂竭傍鸣综换至颓痊遭概搜伍必早迹遁龄起讽取塌涨晋奄智衅杭项痈吁狈胶淳裕验摘炒替敲哩谓霄戈凯真助珍炙冗迹表尾娩鸡钎挂许垫律部贞唱悬睹垢戴睬冰刨料驴启蒙但贫妆赛掣娃啃霹欣钥缕未否滓屹钩扰薛稀壶缉届铬各忠拇直宙久碑伐次耙炳氏殿除澳阐缀扫壤储股廓躺肢秃逐厢叶禾酷待敦逝剧墨陵傀悔钦箱引规慷肪燎挟秩痈侯辆泊擒殉玛扛抒诉挟蜕飞甫吉冀宣触借赐赊抠猿吻圆为录晴娘伞础酉揭肯死怎谴鞍苇毗熟淡境蜒韭判但据萧耗泻拓获墓簧茁架揪溢诞笋悼掀挝衙矿
4、爷杜苍严酥锅颈沸违希同他灯萧长丽鲍寞蔓XXX医院综合楼弱电及系统集成工程项目计算机网络系统设计方案目 录1项目概述42系统概述43设计原则44系统设计方案54.1产品选择说明54.1.1设备应用规模及稳定性、兼容性64.1.2完善的研发体系和全系列的网络产品74.1.3健全的服务支持和培训认证体系74.2系统需求分析84.2.1医院业务划分84.2.2应用系统分类84.2.3医院业务系统的需求94.2.4网络建设需求104.2.5核心层需求分析114.2.6接入层需求分析114.3系统设计124.4系统内网设计134.4.1内网建设需求134.4.2内网设计及规划144.5系统外网设计154.
5、5.1外网建设需求154.5.2外网设计及规划155产品选型175.1核心交换机选型175.2接入交换机选型215.3路由器选型255.4入侵防御系统选型306网络管理356.1网络管理建设需求356.2iMC特性与系统结构376.2.1iMC特性376.2.2面向服务的架构386.2.3基础资源管理386.2.4身份与接入管理386.2.5端点准入安全管理386.2.6VPN管理386.2.7网络智能分析386.2.8安全策略中心396.3iMC系统结构396.4智能管理的部署396.4.1系统安全管理396.4.2资源管理406.4.3拓扑管理416.4.4故障(告警/事件)管理466.4
6、.5性能管理516.4.6设备管理组件546.4.7WSM无线业务组件557EAD解决方案587.1技术背景587.2EAD方案介绍587.2.1EAD端点准入防御方案介绍597.2.2EAD端点准入防御方案特点607.2.3桌面资产管理方案介绍637.2.4桌面资产管理功能特点658存储系统668.1系统说明668.2产品选型678.2.1服务器678.2.2主存储系统698.2.3灾备磁盘阵列698.2.4网关701 项目概述XXX医院医疗综合楼总体分为:地下一层为设备用房,一、二、三、四层为大厅及门诊,五层为血透中心,六、七层为内科护理标准层,八层、十一层为内科、外科护理单元,九层为儿科
7、护理单元,十层为骨科护理单元,十二层为妇科护理单元,十三层为产科护理单元,十四层为产房、ICU、手术准备层,十五层为手术层,十六层为手术设备和电梯机房层。大楼总建筑面积约2万,建筑高度66.40米,属于一类高层建筑。2 系统概述本局域网(LAN)主要为医院提供Internet接入和设备的联网需求。(1)设备产品选用著名华三H3C品牌产品。(2)充分考虑网络安全,该系统具备拒绝访问攻击(DOS)的防护。能实现交换机、防火墙/IDS/IPS联动与网管软件联动,自动的实现对网络蠕虫和黑客攻击防范和屏蔽。3 设计原则基于XXX医院目前网络现状和未来业务发展的要求,在XXX医院网络设计构建中,应始终坚持
8、以下建网原则:1、实用性:整个网络系统具有较高的实用性;2、时效性:网络应保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确保业务的实时高效;3、可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持医院各业务系统的正常运行。必须满足724365 小时连续运行的要求。在故障发生时,网络设备可以快速自动地切换到备份设备上;4、完整性:网络系统应实现端到端的、能整合数据、语音和图像的多业务应用,满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的
9、完整的一体化网络;5、技术先进性和实用性-保证满足医院应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到医院网络目前的现状以及未来技术和业务发展趋势。6、高性能医院网络性能是医院整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,才能使网络不成为一眼业务开展的瓶颈。7、标准开放性-支持国际上通用标准的网络协议(如IP)、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络(如公共数据网、金融网络、外联机构其它网络)之间的平滑连接互通,以及将来网络的扩展。8、灵活性
10、及可扩展性-根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。9、可管理性-对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动报警。10、安全性-制订统一的骨干网安全策略,整体考虑网络平台的安全性。能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;4 系统设计方案4.1 产品选择说明
11、按照标书的要求,在充分研究XXX医院网络项目的需求的基础上,我们对目前业界的主流的网络厂商,H3C、CISCO、北电等做了较为详细的对比研究,综合考虑厂家产品及解决方案在政府及其他行业特别是在公检法系统的应用规模、产品技术的先进性、成熟度及兼容性、公司的研发实力和服务体系保障等因素,我们建议采用杭州华三通信技术有限公司(以下简称H3C公司)的网络产品作为此次项目的组网设备。根据标书的技术指标要求,H3C公司可以提供全线的包括交换机、路由器以及安全产品等性价比非常高的产品来满足此次项目的投标。投标所使用的设备性能指标均满足标书要求。4.1.1 设备应用规模及稳定性、兼容性H3C公司的网络产品目前
12、已经广泛应用与全球的各个行业中,截至2007年1季度H3C公司在中国市场高端路由器的市场份额为34.8,中低端路由器为32.6(数据来源于CCID 2007年4月),名列前茅。截至2007年1季度H3C公司在中国市场交换机的市场份额为40.3%(数据来源于CCID 2007年4月),排名第一。目前H3C的全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区,并承建了中国电信、中国移动、英国、泰国、巴西等14个国家级IP骨干网。 H3C目前在国内的整个电子政务IT系统建设中已经得到了大规模的应用。大规模的应用不但大大拉近了用户和H3C公司的距离,使得H3C公司能够更快更
13、好为市场、为用户提供产品,同时也验证了H3C公司产品的稳定性和兼容性。目前H3C的全系列网络产品在税务系统的应用已经超过30个省、市,其中在省骨干的规模应用已经超过20个省市、自治区及直辖市。4.1.2 完善的研发体系和全系列的网络产品H3C每年将销售额的15以上用于研发投入,在中国的北京、杭州、深圳以及印度的班加罗尔设有研发机构,在北京和杭州设有产品鉴定测试中心。目前,H3C已申请专利超过700件,其中80是发明专利。H3C目前从事IP产品技术研发的研究所有6个,包括北京研究所、杭州研究所、印度研究所、南京研究所、深圳研究所、美国研究所,研发人员超过2000人。印度所、南京所、中央软件部、上
14、海研究所等都通过“软件研发成熟度”最高级的CMM5级国际认证,北京研究所、杭州研究所通过CMM4级国际认证。H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。目前,安全产品中国市场份额位居前三,IP存储亚太市场份额第一,IP监控技术全球领先,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性和持续性。4.1.3 健全的服务支持和培训认证体系H3C公司建立了遍布全国的服务机构。除公司总部设有完备的技术支援平台外,H3C还在全国建立
15、了36个售后服务中心,建有完备的技术支援平台和备件系统,通过先进的通信技术与总部的技术支援平台连接,完成用户信息、故障处理流程、备件库存、产品分布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过200人的技术支援体系。同时还在各省市派遣有售后服务工程师,以提高售后服务的响应速度。H3C技术支持支援平台拥有一批高素质的服务队伍,所有服务人员都具有本科以上学历,且有3年以上大型网络服务经验。为了满足不同客户不同层次的培训需求,H3C服务公司建立了规范、专业的用户培训体系,将总部培训与分部培训、集中培训与现场培训有机结合。目前,在数据通信网络技术领域,H3C培训面向全球,致力于培养专业务实网络
16、人才。考虑客户不同层次需求, 提供全系列的网络产品培训,网络技术认证培训和客户化培训解决方案。同时建立起国际规范的完整的网络技术认证体系。在中国建立30余家授权培训中心,海外建立7家授权培训中心;覆盖中国各大中心城市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。在中国建立60余家网络学院,海外建立1家网络学院。与40余所职业院校建立合作,支持中国职教IT专业课程改革项目。鉴于以上几个主要原因,我们在此次投标中选用了H3C公司的网络产品做为此次投标的网络产品。4.2 系统需求分析4.2.1 医院业务划分医院的业务系统有很多,而且不同的专科医院业务系统也有很大区别,但以下一些业务系统是医院都具有
17、的:1) 门诊系统2) 住院系统3) 体检系统4) PACS系统5) 医院管理经济系统6) 区域医疗系统4.2.2 应用系统分类医院信息系统主要分成以下两类:1) 医院管理系统u 门、急诊挂号子系统u 门、急诊病人管理及计价收费子系统u 住院病人管理子系统u 药库、药房管理子系统u 病案管理子系统u 医疗统计子系统u 人事、工资管理子系统u 财务管理与医院经济核算子系统u 医院后勤物资供应子系统u 固定资产、医疗设备管理子系统u 院长办公综合查询与辅助决策支持系统2) 临床医疗信息系统u 住院病人医嘱处理子系统u 护理信息系统u 门诊医生工作站系统u 临床实验室检查报告子系统u 医学影像诊断报
18、告处理系统u 放射科信息管理系统u 手术室管理子系统u 功能检查科室信息管理子系统u 病理卡片管理及病理科信息系统u 血库管理子系统u 营养与膳食计划管理子系统u 临床用药咨询与控制子系统4.2.3 医院业务系统的需求1)门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点(包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等),门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。2)住院系统住院业务是医院的另一个主要组成部分,是医院经济收入的主要来源,同时还直接关系到重病患者的生命安全,具有以下几个特点:住
19、院业务的网络上流动着重症病人生命数据和各种新业务数据;住院业务保存有患者病案数据和住院费用数据;医生移动查房;病人呼叫系统;网上视频监控系统;针对住院业务的以上特点,住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。3)体检系统现在很多医院建立专门的体检大楼,以满足民众不断扩大的体检需求。从业务角度上讲体检系统非常简单,它对网络的需求主要体现在安全性上,如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。4)PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理,并在全院范围内进行共享,由
20、于是各种图形图像数据,因此具有存储量大的特点,为了更好的服务于医院业务,PACS业务对支撑系统提出以下要求:存储量大、扩展性强、数据快速存储、数据容灾、高带宽5)管理经济系统医院管理经济系统主要是人、财、物的管理,包括人事、财务管理、药品药库管理等,因此它最大的需求是数据在服务器端和网络上的安全,保证这些数据不会泄露。6)区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用,另一方面充分利用各家医院的特色科室的力量,区域医疗把这些资源进行共享和整合,这需要稳定的广域网连接。根据初步的需求,我们按照内外网物理分离的原则进行设计。4.2.4 网络建设需求1、为HIS、PACS等应用系统提供一个强有力
21、的网络支撑平台;2、网络设计不仅要体现当前网络多业务服务的发展趋势,同时需要具有最灵活的适应、扩展能力;3、全千兆网络带宽;4、一体化网络平台:整合数据、语音和图像等多业务的端到端、以IP 为基础的统一的一体化网络平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理;5、建设一个可管理、支持无线应用的系统;6、建设一个安全管理平台。4.2.5 核心层需求分析核心层设备担负着整个网络的流量。在网络核心层的流量是非常巨大的,所有的服务器均在网络的核心层提供相关的服务。对网络核心层的压力非常巨大。同时网络对安全性、稳定性的要求极高,由于网络也基本是一个金字塔的形状,那么最需要稳定的就
22、是金字塔的顶端,即网络的核心层。网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能,同时还需要保证不同级别的网络QoS,对于服务器的关键业务通过链路级和网络级的协议实现严格的控制和优先级的保证。对于网络级的保护通常时间是非常长的,那么对一些关键业务,我们就必须通过结合二层快速收敛的协议一起来完成对网络安全性的提升和网络的自愈能力。设备必须支持对不同部门的规划,如实现全网统一VLAN的规划等。对每个系统分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。但是在自身的网络核心层需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作,建议采用二层和三层
23、协议相结合的方式共同实现网络的规划工作。4.2.6 接入层需求分析网络的接入是对用户直接进行数据透传的层次,但是由于网络的特殊性,本次的接入层主要是对一个局域网进行接入。对本次的接入层的主要需求的分析如下:(1)、接入层用户数量的大直接产生大量的数据报文,直接通过三层的数据承载上来,同时造成碰撞域和冲突域,使网络瓶颈产生于网络的低层,直接影响接入质量。(2)、接入层用户数量大,而所应用的数据种类繁多,多种网络业务流量的产生,包括组播业务的产生,对所接入的网络设备要求很高,使整个接入层产生了一个业务接入瓶颈。(3)、网络的访问终结于共享数据的特定位置,因为接入层用户需要通过网络最终访问位于网络另
24、一端的共享服务器,而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器,就需要这几个用户争抢网络带宽,使接入层瓶颈提升到核心层,造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的,网络一定会出现闲置的带宽的现象,如何规划路由将非常重要。(4)、网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入,接入层网络的通常是以新2/8原则来划分的,其中有20%的流量是在接入层交换机的内部进行交换的,而80%的网络流量是通过上联出口访问其他的网络设备。这里,就涉及到网络产生流量后,网络流向的问题,网络流向直接造成网络对于流量和流向所产生的网络瓶颈。(5)、网络
25、用户是局域网用户,实际接入的用户就是一个网络,那么对于不同网络之间的互访的安全性控制更是由为重要,同时各个不同的机关对本机关内部流通的部分文件是要求要有绝对的安全性的,对其他部门的用户的访问是分为很多的不同的级别的。4.3 系统设计目前,HIS系统在很多医院已经部署,很多传统业务都逐渐迁移到网络上,对网络的性能、安全和稳定提出了很高的要求,主要体现在以下几个方面:1)可靠迅速的响应以提供更好的医疗服务一般大医院每天的门诊量很大, HIS系统每天对后台数据库的调用非常频繁,会产生很大的数据流量,如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断,会产生严重的社会后果,因此医院对网络的访问性
26、能有很高的要求。2)安全的业务数据保证医院正常对外服务在医院的业务系统中保存着大量患者的健康信息和过程费用信息,这些数据无论对患者还是医院都非常关键,需要严格保密,因此如何保护这些数据,对医院有着重大的意义。3)高效的管理推动系统的稳定,提高维护的效果HIS经过几年的建设,已经初具规模。如何管好整个医院的业务系统,包括用户、服务器、数据库、存储设备和网络等,提高医院管理效率,保证医院网络的正常运转已经成为医院急需解决的大问题。4)医院数据的安全存储医院需要存储包括病人信息、病案信息、费用信息和影像等数据,对数据存储的安全性和扩展性要求非常高。5)区域医疗的建设为了在区域范围内实现远程会诊、网上
27、学术研讨等业务,迫切需要医院之间的资源共享。4.4 系统内网设计4.4.1 内网建设需求内网是医院核心网络系统,用于开展日常医疗业务(HIS、LIS、PACS、财务、体检系统等)的内部局域网,系统应稳定、实用和安全,具有高宽带、大容量和高速率等特点,并具备将来扩容和带宽升级的条件。l 医院网络建设需求:1、实现千兆主干,桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入);2、配备的网管软件应提供可视的形象化的图形界面,对整个网络中网络产品的全部端口进行监视和管理;3、核心交换机与汇聚接入交换机互联采用双星型结构;4、外科楼、门诊楼布置无线AP,可为无线查房,病人上网提
28、供接入服务;5、由于医疗行业的特殊性,医护人员和病患者之间需要频繁地在院内移动、同时处理大量的信息,要求网络具备可移动性、传输速率高等特点。同时考虑到医院业务量的增加,网络需要留出足够余地扩容而不影响医院正常的工作。l 网络应用设计要求:1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。以子网的形式组成医院的整体网络。各网络功能独立应用,信息互通,资源共享;当任何一个子网出现故障,都不会影响到其他子网的使用。2、传输动态图像的部门有:放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室(I
29、CU、CCU等)、手术室、麻醉科、视频示教室和会议室等。3、为了更好地服务于医疗科研工作,需要将各类监护治疗仪器上的各项生命体征等信息以数字化手段采集并且保存下来,在需要时,可随时还原。因此,考虑将医院所有的监护仪器和大型设备都联网。4.4.2 内网设计及规划内网是整个医院的核心网络,开展医院日常重要的医疗业务,对网络的可靠性、稳定性要求非常高,本次设计的网络按照千兆带宽(可扩展万兆交换平台),内网核心交换机双机冗余、负载分担。网内拓扑设计采用二级双星型架构,分为核心层、接入层。核心层位于机房网络的中心,负责全网的路由交换,并与各服务器、存储等核心医院应用相连;接入层位于各大楼内的楼层,负责直
30、接接入桌面系统,本次内网采用千兆双绞线到桌面,与核心层进行千兆光纤连接。 1、核心交换机由两台S7510E组成双星型网络,当任意一条链轮或任意一台设备出现问题时,保证网络正常运行;2、汇聚层采用S5120-EI汇聚交换机,通过双千兆光纤与核心交换机互联,保证链路的可靠,千兆与接入层交换机互联。3、接入层,千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一,在诸如医疗行业的会诊、医疗影像、医疗科研协作等,应用在消耗大量带宽的同时,也在追求终端用户的满意度,基于双绞线的千兆以太网可以将更多的应用从低速链路中解放出来,并且为医务工作者创新提供了一个崭新高效能工作平台。4、无线:考虑到整体的无线接入点
31、数量很多,建议使用Fit AP加AC控制器的方式,AC控制器部署在核心交换机,以AC无线控制器插卡的方式公用核心交换机的资源,做到有线、无线一体化的融合网络解决方案,采用瘦AP组网方式,医护人员在使用无线网络中能做到无缝漫游。5、管理:智能管理中心iMC,具备网络拓扑、网络性能、网络配置、网络安全、网络告警、网络业务的统一管理,同时在其上可以配置有多种业务管理组件,本次配置有线无线一体化管理组件WSM,方便管理大规模的无线管理网络;端点准入解决方案(EAD)在身份接入基础上,支持安全状态评估、网络安全威胁定位、安全事件感知及保护措施执行等,预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软
32、件安装和运行等因素可能带来的安全威胁,并可根据终端的安全状态实现终端VIP、Guest、隔离、下线等多种控制策略。从端点接入上保证每一个接入网络的终端的安全,从而保证网络安全。4.5 系统外网设计4.5.1 外网建设需求1、实现千兆主干,桌面接入实现100/1000M自适应(传输图像的桌面直接实现1000M接入);2、核心交换机与接入交换机互联采用星型结构;3、防问互联网时采用一定的安全手段,如防火墙和IDS;4、能够提供强大的网络防问控制,路由功能。4.5.2 外网设计及规划由于外网主要用于医院OA办公、图书馆信息查询,外网相对于内网来说可靠性要求相对级别次低一级,初期按照采单核心交换机、双
33、引擎、百兆接入到桌面设计,采用接入直接到核心的简洁二层结构,根据用户后期细化可靠性需求、链路冗余性需求后,再做进一步调整。在接入层,选用H3C S5120系列千兆交换机,H3C S5120-EI系列交换机具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为千兆接入,同时还可以用于数据中心服务器群的连接。在核心层,选用S7506E作为外网的核心交换机,S7500E作为高端多业务路由交换机,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、
34、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。在网络出口处部署网神千兆防火墙,网神企业级千兆防火墙SecGate 3600-G7T是一款接口数目多、配置灵活、网络适应性好的千兆防火墙产品。产品基于自主开发的SecOS,在高性能硬件平台的支撑下,处理能力可达4Gbps; 在出口路由器上采用H3C MSR5060,该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CP
35、U和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。另外,MSR 50系列路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。5 产品选型5.1 核心交换机选型核心交换机选用H3C的S7500E系列交换机有如下特点:一、丰富的业务,适应融合业务网络发展趋势全面的MPLS业务能力H3C S7500E所有产品均支持Multi-VRF特性,可以做为MCE设备使用;支持三层的MPLS VPN和二层的MPLS VPN(Martini、Kompella等),可扩展支持VPLS技术;支持MPLS OAM特性,方便用户的管理和维护;支持VPN组播;与
36、H3C MPLS VPN Manager配合,实现图形化的MPLS部署与维护。 线速的IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证,是成熟商用的IPv6产品。有线无线一体化,有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全
37、机制、快速漫游、超强的QoS和对IPV6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。支持Portal认证H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为
38、学生宿舍区的认证计费提供Portal认证功能。二、灵活的配置,适应各种应用场景配线间融合业务网络的最佳选择H3C S7500E针对配线间的需求定制开发了SA板卡,单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案,解决终端安全问题;内置2800W电源直接提供PoE功能,对IP语音和无线接入提供良好的支持。政府电力城域网边缘和汇聚的最佳选择H3C S7500E支持Multi-VRF特性,为用户提供高可靠高性能的MCE设备;通过配置Salience VI-Turbo引擎,可以提供集中式MPLS业务功能,适合在城域网边缘作为高性价PE设备使用;通过配
39、置EA类板卡,可以提供分布式线速的MPLS业务功能,适合在城域网汇聚层作为高性能的PE使用。IPv6网络的最佳选择H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能,H3C S7500E针对IPv4/IPv6高性能的要求还开发了分布式IPv4/IPv6转发的SC板卡,在整机满配置状态下实现线速无收敛,为高校用户提供了高性能低成本的双栈汇聚核心设备,同时也满足其他行业用户IPv6 Ready的需求。三、全方位的安全保障,抵御多种网络安全威胁三平面安全保障机制H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报
40、文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。有线无线全面支持EADH3C S7500E是EAD端点准
41、入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。增强的ACL特性H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,每板最大可支持9K条ACL,满足金融等行业访问权限严格控制的需求。四、电信级的高可靠性,保障用户业务长期稳定运行电信级高可靠性设计H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交
42、换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999的电信级可靠性。多业务高可靠性运行H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。支持热补丁技术H3C S7500E
43、能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。H3C S7500E提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。主机机箱(含系统软件、热拔插风扇)1台;业务引擎1个,交流电源2块,千兆SFP插槽24个,千兆RJ45接口24个,配置千兆单模光纤模块24个,配套支持IPv6、MPLS技术完整版软件;配置无线控制器业务板1块(两台核心交换只需一块)。l 机箱插槽式交换机,分布式体系结构,模块化设计,核心交换机配置的所有业务板均须支持分布式MPLS
44、l Crossbar非阻塞交换阵列,最大交换容量1150Gbpsl 交换机IPV4包转发速率780Mpps,背板带宽2.4Tbpsl 整机总插槽12,配置冗余引擎后,业务接口的插槽10。l 千兆电口和百兆电口支持PoE特性,便于扩展多媒体业务l 三层1000M线速交换设备,支持万兆接口。l 支持带万兆接口的管理引擎模块。l 支持双主控引擎冗余备份,两块电源即可提供电源冗余。l 支持IPv6 的ASIC代理技术,使不支持IPv6的板卡借助这项技术能够支持IPv6报文的硬件转发。l 配置的单业务板1000M同时可用端口数不少于24个。l 通过IPv6 Ready第二阶段金牌认证,并提供查询网址和测
45、试机构正式证明函扫描件。l 整机最大支持1000M端口数90个。l IPv4路由表容量120K,IPv6路由表容量120K,MAC地址表120K,必须支持DHCP Server。l 支持IP+MAC+VLAN+PORT的任意组合绑定。l 硬件支持分布式IPv6线速处理,并提供中文版IPv6路由协议和隧道协议的操作手册和命令行手册,其中路由协议必须支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道;支持MLD Snooping和IPv6 PIM 。l 支持路由协议的多实例特性,VRF数量不小于32个。l 内置
46、DHCP Server,可对用户分配IP地址。l 支持DHCP Snooping,防止欺骗的DHCP服务器;l 支持动态ARP检测,防止中间人攻击和ARP拒绝服务;l 支持BPDU guard, Root guard;支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击l 所有模块、风扇、电源支持冗余和热插拔l 支持802.1x,radius认证。l 支持中文图形化网管,网管提供用户和设备一体化管理功能,可以直接提供Radius Serverl 支持基于第二层、第三层和第四层的ACL,平均每板提供ACl条目数不小于4000条;支持VLAN ACL和IPv6 ACL;支持出方向A
47、CL,以便于灵活实现数据包过滤;支持IEEE 802.1x LAN用户认证, 802.1x动态VLAN分配;支持Portal认证并提供中文版操作手册;支持IP/Port/MAC的绑定功能l 支持防火墙模块,吞吐量6G,并发连接数200万,每秒新增连接6万。提供2Gbps以上VPN加密功能。l 支持千兆级入侵防御模块,支持千兆负载均衡业务模块,支持SSL VPN业务板模块,投标文件中应提供产品彩页。提供信息产业部IPv6、IPV4入网证5.2 接入交换机选型接入交换机建议选用H3C公司的S5120-EI系列,该交换机具有如下特点:随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条10GE链路将是我们的未来发展方向。S5120-EI系列交换机支持两个扩展槽位,每个槽位支持单端口或双端口的10