某医院计算机网络系统设计方案样本.doc

1、XXX医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 目 录 1 项目概述 4 2 系统概述 4 3 设计原则 4 4 系统设计方案 5 4.1 产品选取阐明 5 4.1.1 设备应用规模及稳定性、兼容性 6 4.1.2 完善研发体系和全系列网络产品 7 4.1.3 健全服务支持和培训认证体系 7 4.2 系统需求分析 8 4.2.1 医院业务划分 8 4.2.2 应用系统分类 8 4.2.3 医院业务系统需求 9 4.2.4 网络建设需求 10 4.2.5 核心层需求分析 11 4.2.6 接入层需求分析 11 4.3 系统设计

2、12 4.4 系统内网设计 13 4.4.1 内网建设需求 13 4.4.2 内网设计及规划 14 4.5 系统外网设计 15 4.5.1 外网建设需求 15 4.5.2 外网设计及规划 15 5 产品选型 17 5.1 核心互换机选型 17 5.2 接入互换机选型 21 5.3 路由器选型 25 5.4 入侵防御系统选型 30 6 网络管理 35 6.1 网络管理建设需求 35 6.2 iMC特性与系统构造 37 6.2.1 iMC特性 37 6.2.2 面向服务架构 38 6.2.3 基本资源管理 38 6.2.4 身份与接入管理 38 6.2.5 端

3、点准入安全管理 38 6.2.6 VPN管理 38 6.2.7 网络智能分析 38 6.2.8 安全方略中心 39 6.3 iMC系统构造 39 6.4 智能管理布置 39 6.4.1 系统安全管理 39 6.4.2 资源管理 40 6.4.3 拓扑管理 41 6.4.4 故障（告警/事件）管理 46 6.4.5 性能管理 51 6.4.6 设备管理组件 54 6.4.7 WSM无线业务组件 55 7 EAD解决方案 58 7.1 技术背景 58 7.2 EAD方案简介 58 7.2.1 EAD端点准入防御方案简介 59 7.2.2 EAD端点准入防御方案特点

4、 60 7.2.3 桌面资产管理方案简介 63 7.2.4 桌面资产管理功能特点 65 8 存储系统 66 8.1 系统阐明 66 8.2 产品选型 67 8.2.1 服务器 67 8.2.2 主存储系统 69 8.2.3 灾备磁盘阵列 69 8.2.4 网关 70 1 项目概述 XXX医院医疗综合楼总体分为：地下一层为设备用房，一、二、三、四层为大厅及门诊，五层为血透中心，六、七层为内科护理原则层，八层、十一层为内科、外科护理单元，九层为儿科护理单元，十层为骨科护理单元，十二层为妇科护理单元，十三层为产科护理单元，十四层为产房、ICU、手术准备层，十五层为手术层，十

5、六层为手术设备和电梯机房层。大楼总建筑面积约2万㎡，建筑高度66.40米，属于一类高层建筑。 2 系统概述 我局域网（LAN）重要为医院提供Internet接入和设备联网需求。 （1）设备产品选用知名华三H3C品牌产品。 （2）充分考虑网络安全，该系统具备回绝访问袭击（DOS）防护。能实现互换机、防火墙/IDS/IPS联动与网管软件联动，自动实现对网络蠕虫和黑客袭击防范和屏蔽。 3 设计原则 基于XXX医院当前网络现状和将来业务发展规定，在XXX医院网络设计构建中，应始终坚持如下建网原则： 1、实用性：整个网络系统具备较高实用性； 2、时效性：网络应保证各类业务数据流及时传播，

6、网络时效性要强，网络延时要小，保证业务实时高效； 3、可靠性：网络系统稳定可靠是应用系统正常运营核心保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制定可靠网络备份方略，保证网络具备故障自愈能力，最大限度地支持医院各业务系统正常运营。必要满足7×24×365 小时持续运营规定。在故障发生时，网络设备可以迅速自动地切换到备份设备上； 4、完整性：网络系统应实现端到端、能整合数据、语音和图像多业务应用，满足全网范畴统一实行安全方略、QoS 方略、流量管理方略和系统管理方略完整一体化网络； 5、技术先进性和实用性--保证满足医院应用系统业务同步，又要体现出网络系统先进性。在网络设计中

7、要把先进技术与既有成熟技术和原则结合起来，充分考虑到医院网络当前现状以及将来技术和业务发展趋势。 6、高性能—医院网络性能是医院整个网络良好运营基本，设计中必要保障网络及设备高吞吐能力，保证各种信息（数据、语音、图像）高质量传播，才干使网络不成为一眼业务开展瓶颈。 7、原则开放性--支持国际上通用原则网络合同（如IP）、国际原则大型动态路由合同等开放合同，有助于以保证与其他网络(如公共数据网、金融网络、外联机构其他网络)之间平滑连接互通，以及将来网络扩展。 8、灵活性及可扩展性--依照将来业务增长和变化，网络可以平滑地扩充和升级，减少最大限度减少对网络架构和既有设备调节。网络要具备面向将

8、来良好伸缩性能，既能满足当前需求，又能支持将来业务网点、业务量、业务种类扩展和与其他机构或部门连接等对网络扩充性规定。 9、可管理性--对网络实行集中监测、分权管理，并统一分派带宽资源。选用先进网络管理平台，具备对设备、端口等管理、流量记录分析功能以及可提供故障自动报警。 10、安全性--制定统一骨干网安全方略，整体考虑网络平台安全性。能有效防止网络非法访问，保护核心数据不被非法窃取、篡改或泄漏，使数据具备极高安全性； 4 系统设计方案 4.1 产品选取阐明 按照标书规定，在充分研究XXX医院网络项目需求基本上，咱们对当前业界主流网络厂商，H3C、CISCO、北电等做了较为详细对比研

9、究，综合考虑厂家产品及解决方案在政府及其她行业特别是在公检法系统应用规模、产品技术先进性、成熟度及兼容性、公司研发实力和服务体系保障等因素，咱们建议采用杭州华三通信技术有限公司（如下简称H3C公司）网络产品作为本次项目组网设备。 依照标书技术指标规定，H3C公司可以提供全线涉及互换机、路由器以及安全产品等性价比非常高产品来满足本次项目投标。投标所使用设备性能指标均满足标书规定。 4.1.1 设备应用规模及稳定性、兼容性 H3C公司网络产品当前已经广泛应用与全球各个行业中，截至1季度H3C公司在中华人民共和国市场高品位路由器市场份额为34.8％，中低端路由器为32.6％（数据来源于CCID

10、 4月），名列前茅。 截至1季度H3C公司在中华人民共和国市场互换机市场份额为40.3%（数据来源于CCID 4月），排名第一。 当前H3C全系列产品进入英国、德国、香港、俄罗斯、巴西、泰国、墨西哥等六十六个国家和地区，并承建了中华人民共和国电信、中华人民共和国移动、英国、泰国、巴西等14个国家级IP骨干网。 H3C当前在国内整个电子政务IT系统建设中已经得到了大规模应用。 大规模应用不但大大拉近了顾客和H3C公司距离，使得H3C公司可以更快更好为市场、为顾客提供产品，同步也验证了H3C公司产品稳定性和兼容性。 当前H3C全系列网络产品在税务系统应用已经超过30个省、市，其中在

11、省骨干规模应用已经超过20个省市、自治区及直辖市。 4.1.2 完善研发体系和全系列网络产品 H3C每年将销售额15％以上用于研发投入，在中华人民共和国北京、杭州、深圳以及印度班加罗尔设有研发机构，在北京和杭州设有产品鉴定测试中心。当前，H3C已申请专利超过700件，其中80％是创造专利。 H3C当前从事IP产品技术研发研究所有6个，涉及北京研究所、杭州研究所、印度研究所、南京研究所、深圳研究所、美国研究所，研发人员超过人。印度所、南京所、中央软件部、上海研究所等都通过“软件研发成熟度”最高档CMM5级国际认证，北京研究所、杭州研究所通过CMM4级国际认证。 H3C不但拥有全线路由器和

12、以太网互换机产品，还在网络安全、IP存储、IP监控、语音视讯、WLAN、SOHO及软件管理系统等领域稳健成长。当前，安全产品中华人民共和国市场份额位居前三，IP存储亚太市场份额第一，IP监控技术全球领先，H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。 因而选取该厂商网络产品可以有效保障顾客在网络建设方面延续性和持续性。 4.1.3 健全服务支持和培训认证体系 H3C公司建立了遍及全国服务机构。除公司总部设有完备技术增援平台外，H3C还在全国建立了36个售后服务中心，建有完备技术增援平台和备件系统，通过先进通信技术与总部技术增援平台连接，完毕顾客信息、故障解决流程、备

13、件库存、产品分布等信息共享，形成覆盖全国地市级都市，专职人员规模超过200人技术增援体系。同步还在各省市派遣有售后服务工程师，以提高售后服务响应速度。H3C技术支持增援平台拥有一批高素质服务队伍，所有服务人员都具备本科以上学历，且有3年以上大型网络服务经验。 为了满足不同客户不同层次培训需求，H3C服务公司建立了规范、专业顾客培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。当前，在数据通信网络技术领域，H3C培训面向全球，致力于培养专业务实网络人才。考虑客户不同层次需求，提供全系列网络产品培训,网络技术认证培训和客户化培训解决方案。同步建立起国际规范完整网络技术认证体系。 在中

14、华人民共和国建立30余家授权培训中心，海外建立7家授权培训中心；覆盖中华人民共和国各大中心都市以及拉美、亚太、中东、北非、俄罗斯等地区和国家。 在中华人民共和国建立60余家网络学院，海外建立1家网络学院。 与40余所职业院校建立合伙,支持中华人民共和国职教IT专业课程改革项目。 鉴于以上几种重要因素，咱们在本次投标中选用了H3C公司网络产品做为本次投标网络产品。 4.2 系统需求分析 4.2.1 医院业务划分 医院业务系统有诸多，并且不同专科医院业务系统也有很大区别，但如下某些业务系统是医院都具备： 1) 门诊系统 2) 住院系统 3) 体检系统 4) PACS系统 5)

15、 医院管理经济系统 6) 区域医疗系统 4.2.2 应用系统分类 医院信息系统重要提成如下两类： 1) 医院管理系统 u 门、急诊挂号子系统 u 门、急诊病人管理及计价收费子系统 u 住院病人管理子系统 u 药库、药房管理子系统 u 病案管理子系统 u 医疗记录子系统 u 人事、工资管理子系统 u 财务管理与医院经济核算子系统 u 医院后勤物资供应子系统 u 固定资产、医疗设备管理子系统 u 院长办公综合查询与辅助决策支持系统 2) 临床医疗信息系统 u 住院病人医嘱解决子系统 u 护理信息系统 u 门诊医生工作站系统 u 临床实验室检查报告子系统 u

16、 医学影像诊断报告解决系统 u 放射科信息管理系统 u 手术室管理子系统 u 功能检查科室信息管理子系统 u 病理卡片管理及病理科信息系统 u 血库管理子系统 u 营养与膳食筹划管理子系统 u 临床用药征询与控制子系统 4.2.3 医院业务系统需求 1）门诊系统 门诊业务作为医院直接面对患者窗口具备非常重要地位和自己特点（涉及焦急病人无法忍受长时间等待、门诊业务重要集中在上午等），门诊业务具备可靠性高、并发性、实时性和突发性强等特点。因而门诊业务对网络提出了高可靠性、高带宽和QoS规定。 2）住院系统 住院业务是医院另一种重要构成某些，是医院经济收入重要来源，同步还直接

17、关系到重病患者生命安全，具备如下几种特点： 住院业务网络上流动着重症病人生命数据和各种新业务数据； 住院业务保存有患者病案数据和住院费用数据； 医生移动查房； 病人呼喊系统； 网上视频监控系统； 针对住院业务以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统需求。 3）体检系统 当前诸多医院建立专门体检大楼，以满足民众不断扩大体检需求。从业务角度上讲体检系统非常简朴，它对网络需求重要体当前安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注。 4）PACS系统 医院PACS系统重要是完毕对患者

18、各种影像数据进行采集、存储、传播和解决，并在全院范畴内进行共享，由于是各种图形图像数据，因而具备存储量大特点，为了更好服务于医院业务，PACS业务对支撑系统提出如下规定：存储量大、扩展性强、数据迅速存储、数据容灾、高带宽 5）管理经济系统 医院管理经济系统重要是人、财、物管理，涉及人事、财务管理、药物药库管理等，因而它最大需求是数据在服务器端和网络上安全，保证这些数据不会泄露。 6）区域医疗系统 一方面为了发挥中心医院辐射和覆盖作用，另一方面充分运用各家医院特色科室力量，区域医疗把这些资源进行共享和整合，这需要稳定广域网连接。 依照初步需求，咱们按照内外网物理分离原则进行设计。 4

19、2.4 网络建设需求 1、为HIS、PACS等应用系统提供一种强有力网络支撑平台； 2、网络设计不但要体现当前网络多业务服务发展趋势，同步需要具备最灵活适应、扩展能力； 3、全千兆网络带宽； 4、一体化网络平台：整合数据、语音和图像等多业务端到端、以IP 为基本统一一体化网络平台，支持多合同、多业务、安全方略、流量管理、服务质量管理、资源管理； 5、建设一种可管理、支持无线应用系统； 6、建设一种安全管理平台。 4.2.5 核心层需求分析 核心层设备肩负着整个网络流量。在网络核心层流量是非常巨大，所有服务器均在网络核心层提供有关服务。对网络核心层压力非常巨大。同步网络对安全性

20、稳定性规定极高，由于网络也基本是一种金字塔形状，那么最需要稳定就是金字塔顶端，即网络核心层。 网络核心层同步需要对网络接入层提供不同网络层路由规划和信息转发功能，同步还需要保证不同级别网络QoS，对于服务器核心业务通过链路级和网络级合同实现严格控制和优先级保证。对于网络级保护普通时间是非常长，那么对某些核心业务，咱们就必要通过结合二层迅速收敛合同一起来完毕对网络安全性提高和网络自愈能力。设备必要支持对不同部门规划，如实现全网统一VLAN规划等。对每个系统分派不同VLAN并且针对不同VLAN实现不同安全和控制方略等。 但是在自身网络核心层需要通过完全三层方略来进行VLAN终结和三层数据互换

21、工作，建议采用二层和三层合同相结合方式共同实现网络规划工作。 4.2.6 接入层需求分析 网络接入是对顾客直接进行数据透传层次，但是由于网络特殊性，本次接入层重要是对一种局域网进行接入。 对本次接入层重要需求分析如下： （1）、接入层顾客数量大直接产生大量数据报文，直接通过三层数据承载上来，同步导致碰撞域和冲突域，使网络瓶颈产生于网络低层，直接影响接入质量。 （2）、接入层顾客数量大，而所应用数据种类繁多，各种网络业务流量产生，涉及组播业务产生，对所接入网络设备规定很高，使整个接入层产生了一种业务接入瓶颈。 （3）、网络访问终结于共享数据特定位置，由于接入层顾客需要通过网络最后访问

22、位于网络另一端共享服务器，而各种顾客同步访问远端同一台服务器或者存在访问网络其她节点服务器，就需要这几种顾客争抢网络带宽，使接入层瓶颈提高到核心层，导致核心层资源挥霍。并且依照网络流量分析得出顾客访问方向是不规则，网络一定会浮现闲置带宽现象，如何规划路由将非常重要。 （4）、网络流量和网络流向是宽带网络一种新瓶颈。 对于宽带网络接入，接入层网络普通是以新2/8原则来划分，其中有20%流量是在接入层互换机内部进行互换，而80%网络流量是通过上联出口访问其她网络设备。这里，就涉及到网络产生流量后，网络流向问题，网络流向直接导致网络对于流量和流向所产生网络瓶颈。 （5）、网络顾客是局域网顾客，

23、实际接入顾客就是一种网络，那么对于不同网络之间互访安全性控制更是由为重要，同步各个不同机关对本机关内部流通某些文献是规定要有绝对安全性，对其她部门顾客访问是分为诸多不同级别。 4.3 系统设计 当前，HIS系统在诸多医院已经布置，诸多老式业务都逐渐迁移到网络上，对网络性能、安全和稳定提出了很高规定，重要体当前如下几种方面： 1）可靠迅速响应以提供更好医疗服务 普通大医院每天门诊量很大， HIS系统每天对后台数据库调用非常频繁，会产生很大数据流量，如果这种访问流量出了问题而导致无法正常进行收费和医疗诊断，会产生严重社会后果，因而医院对网络访问性能有很高规定。 2）安全业务数据保证医院正

24、常对外服务 在医院业务系统中保存着大量患者健康信息和过程费用信息，这些数据无论对患者还是医院都非常核心，需要严格保密，因而如何保护这些数据，对医院有着重大意义。 3）高效管理推动系统稳定，提高维护效果 HIS通过几年建设，已经初具规模。如何管好整个医院业务系统，涉及顾客、服务器、数据库、存储设备和网络等，提高医院管理效率，保证医院网络正常运转已经成为医院急需解决大问题。 4）医院数据安全存储 医院需要存储涉及病人信息、病案信息、费用信息和影像等数据，对数据存储安全性和扩展性规定非常高。 5）区域医疗建设 为了在区域范畴内实现远程会诊、网上学术研讨等业务，迫切需要医院之间资源共享。

25、 4.4 系统内网设计 4.4.1 内网建设需求 内网是医院核心网络系统，用于开展寻常医疗业务（HIS、LIS、PACS、财务、体检系统等）内部局域网，系统应稳定、实用和安全，具备高宽带、大容量和高速率等特点，并具备将来扩容和带宽升级条件。 l 医院网络建设需求： 1、实现千兆主干，桌面接入实现100/1000M自适应（传播图像桌面直接实现1000M接入）； 2、配备网管软件应提供可视形象化图形界面，对整个网络中网络产品所有端口进行监视和管理； 3、核心互换机与汇聚接入互换机互联采用双星型构造； 4、外科楼、门诊楼布置无线AP，可为无线查房，病人上网提供接入服务； 5、由于医

26、疗行业特殊性，医护人员和病患者之间需要频繁地在院内移动、同步解决大量信息，规定网络具备可移动性、传播速率高等特点。同步考虑到医院业务量增长，网络需要留出足够余地扩容而不影响医院正常工作。 l 网络应用设计规定： 1、院内核心网络系统HIS、PACS和LIS、体检系统等应用分别单独组网。 以子网形式构成医院整体网络。各网络功能独立应用，信息互通，资源共享；当任何一种子网浮现故障，都不会影响到其她子网使用。 2、传播动态图像部门有：放射影像科、PET/CT、核磁共振MRI、介入放射科DSA、B超室、心超室、脑超室、心电图室、肌电图室、胃肠镜室、内窥镜室、重症监护室（ICU、CCU等）、手术

27、室、麻醉科、视频示教室和会议室等。 3、为了更好地服务于医疗科研工作，需要将各类监护治疗仪器上各项生命体征等信息以数字化手段采集并且保存下来，在需要时，可随时还原。因而，考虑将医院所有监护仪器和大型设备都联网。 4.4.2 内网设计及规划 内网是整个医院核心网络，开展医院寻常重要医疗业务，对网络可靠性、稳定性规定非常高，本次设计网络按照千兆带宽（可扩展万兆互换平台），内网核心互换机双机冗余、负载分担。网内拓扑设计采用二级双星型架构，分为核心层、接入层。核心层位于机房网络中心，负责全网路由互换，并与各服务器、存储等核心医院应用相连；接入层位于各大楼内楼层，负责直接接入桌面系统，本次内网采用

28、千兆双绞线到桌面，与核心层进行千兆光纤连接。 1、核心互换机由两台S7510E构成双星型网络，当任意一条链轮或任意一台设备浮现问题时，保证网络正常运营； 2、汇聚层采用S5120-EI汇聚互换机，通过双千兆光纤与核心互换机互联，保证链路可靠，千兆与接入层互换机互联。 3、接入层，千兆位以太网逐渐延伸到桌面已经成为最迫切需要之一，在诸如医疗行业会诊、医疗影像、医疗科研协作等，应用在消耗大量带宽同步，也在追求终端顾客满意度，基于双绞线千兆以太网可以将更多应用从低速链路中解放出来，并且为医务工作者创新提供了一种崭新高效能工作平台。 4

29、无线：考虑到整体无线接入点数量诸多，建议使用Fit AP加AC控制器方式，AC控制器布置在核心互换机，以AC无线控制器插卡方式公用核心互换机资源，做到有线、无线一体化融合网络解决方案，采用瘦AP组网方式，医护人员在使用无线网络中能做到无缝漫游。 5、管理：智能管理中心iMC，具备网络拓扑、网络性能、网络配备、网络安全、网络告警、网络业务统一管理，同步在其上可以配备有各种业务管理组件，本次配备有线无线一体化管理组件WSM，以便管理大规模无线管理网络；端点准入解决方案(EAD)在身份接入基本上，支持安全状态评估、网络安全威胁定位、安全事件感知及保护办法执行等，防止因未打补丁、病毒泛滥、ARP袭

30、击、异常流量、非法软件安装和运营等因素也许带来安全威胁，并可依照终端安全状态实现终端VIP、Guest、隔离、下线等各种控制方略。从端点接入上保证每一种接入网络终端安全，从而保证网络安全。 4.5 系统外网设计 4.5.1 外网建设需求 1、实现千兆主干，桌面接入实现100/1000M自适应（传播图像桌面直接实现1000M接入）； 2、核心互换机与接入互换机互联采用星型构造； 3、防问互联网时采用一定安全手段，如防火墙和IDS； 4、可以提供强大网络防问控制，路由功能。 4.5.2 外网设计及规划 由于外网重要用于医院OA办公、图书馆信息查询，外网相对于内网来说可靠性规定相对级

31、别次低一级，初期按照采单核心互换机、双引擎、百兆接入到桌面设计，采用接入直接到核心简洁二层构造，依照顾客后期细化可靠性需求、链路冗余性需求后，再做进一步调节。 在接入层，选用H3C S5120系列千兆互换机，H3C S5120-EI系列互换机具备丰富业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有IRF（智能弹性架构）功能，顾客可以简化对网络管理。S5120-EI系列千兆以太网互换机定位为千兆接入，同步还可以用于数据中心服务器群连接。 在核心层，选用S7506E作为外网核心互换机，S7500E作为高品位多业务路由互换机，融合了MPLS、IPv6、网络安全、无线

32、无源光网络等各种业务，提供不间断转发、优雅重启、环网保护等各种高可靠技术，在提高顾客生产效率同步，保证了网络最大正常运营时间，从而减少了客户总拥有成本（TCO）。 在网络出口处布置网神千兆防火墙，网神公司级千兆防火墙SecGate 3600-G7T是一款接口数目多、配备灵活、网络适应性好千兆防火墙产品。产品基于自主开发SecOS，在高性能硬件平台支撑下，解决能力可达4Gbps； 在出口路由器上采用H3C MSR5060，该系列产品可觉得大型分支机构提供高性能、多业务一体化网络方案，也可以作为大中型公司核心网络设备，完毕数据、语音、视频等各种流量广域网交互。MSR50针对安全数据连接进行

33、设计，采用内置硬件加密功能CPU和主板上内置硬件加密引擎，大大提高产品数据加密性能，同步节约接口插槽。此外，MSR 50系列路由器还通过集成以太网互换模块提供二层数据互换功能，实现了真正路由互换一体化解决方案。 5 产品选型 5.1 核心互换机选型 核心互换机选用H3CS7500E系列互换机有如下特点： 一、丰富业务，适应融合业务网络发展趋势 全面MPLS业务能力 H3C S7500E所有产品均支持Multi-VRF特性，可以做为MCE设备使用；支持三层MPLS VPN和二层MPLS VPN（Martini、Kompella等），可扩展支持VPLS技术；支持MPLS OAM特性，以

34、便顾客管理和维护；支持VPN组播；与H3C MPLS VPN Manager配合，实现图形化MPLS布置与维护。 线速IPv4/IPv6业务能力 H3C S7500E支持IPv4/IPv6双合同栈,支持各种隧道技术，支持IPv4/IPv6组播技术，为顾客提供完善IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务线速无阻塞转发；H3C S7500E已经通过了信息产业部IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用IPv6产品。 有线无线一体化，有源无源一体化 H3C S7500E集成无线控制模块提供丰富业务能力，涉及精细顾

35、客控制管理、完善RF管理及安全机制、迅速漫游、超强QoS和对IPV6支持等；无线控制模块通过与安全方略服务器联动，实现对无线接入顾客端点准入防御，提高了整网安全性。 H3C S7500E是业界最高密度以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH顾客；H3C S7500E是高可靠EPON系统，采用分布式体系构造、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具备电信级可靠性。 支持Portal认证 H3C S7500E支持大容量Portal认证功能，可以在数千顾客局域网中做为EAD网关设备，为全网顾客提供EAD安全认证功能；可以在大中型校园网中担任汇

36、聚/核心设备同步，为学生宿舍区认证计费提供Portal认证功能。 二、灵活配备，适应各种应用场景 配线间融合业务网络最佳选取 H3C S7500E针对配线间需求定制开发了SA板卡，单台设备可以提供480个千兆线速接口和4个万兆线速接口。H3C S7500E支持端点准入防御解决方案，解决终端安全问题；内置2800W电源直接提供PoE功能，对IP语音和无线接入提供良好支持。 政府电力城域网边沿和汇聚最佳选取 H3C S7500E支持Multi-VRF特性，为顾客提供高可靠高性能MCE设备；通过配备Salience VI-Turbo引擎，可以提供集中式MPLS业务功能，适合在城域网边沿作为

37、高性价PE设备使用；通过配备EA类板卡，可以提供分布式线速MPLS业务功能，适合在城域网汇聚层作为高性能PE使用。 IPv6网络最佳选取 H3C S7500E所有Salience VI引擎都可以提供集中式IPv6功能，H3C S7500E针对IPv4/IPv6高性能规定还开发了分布式IPv4/IPv6转发SC板卡，在整机满配备状态下实现线速无收敛，为高校顾客提供了高性能低成本双栈汇聚核心设备，同步也满足其她行业顾客IPv6 Ready需求。 三、全方位安全保障，抵抗各种网络安全威胁 三平面安全保障机制 H3C S7500E提供完善安全防护机制，可从控制、管理、转发三平面全面保障网络安

38、全：在控制平面，内置合同报文袭击辨认模块，防止TCN、ARP等合同报文袭击，OSPF/BGP/IS-IS路由合同采用MD5验证，防止非法路由更新报文导致网络瘫痪；在管理平面，SNMPv3网管合同，SSH V2，基于802.1x、AAA/Radius顾客身份认证以及分级顾客权限管理保证了设备管理安全性；在转发平面，支持IP、VLAN 、MAC和端口等各种组合精细绑定；支持uRPF单播反向途径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵抗病毒袭击。H3C S7500E还支持内置高性能防火墙、异常流量清洗等模块，将专业安全融入到互换机之中。 有线无线全面支持EAD H3C S75

39、00E是EAD端点准入防御解决方案重要构成某些，S7500E可以动态接受来自安全方略服务器控制方略，依照终端安全状态予如下发相应访问权限。H3C S7500E既支持有线终端顾客EAD，也支持无线终端顾客EAD，可以做到终端安全防范无漏洞。 增强ACL特性 H3C S7500E系列产品支持强大ACL能力：支持原则和扩展ACL；支持基于VLANACL，以便顾客配备，节约ACL资源；支持出方向和入方向ACL，每板最大可支持9K条ACL，满足金融等行业访问权限严格控制需求。 四、电信级高可靠性，保障顾客业务长期稳定运营 电信级高可靠性设计 H3C S7500E采用无单点故障设计，所有核心部件

40、如主控板、互换网、电源和电扇等采用冗余设计；无源背板避免了机箱浮现单点故障；所有单板和电源模块支持热插拔功能；H3C S7500E系列可以在恶劣环境下长时间稳定运营，达到99.999％电信级可靠性。 多业务高可靠性运营 H3C S7500E支持不间断转发和优雅重启，提供毫秒级切换时间；支持等价路由，可协助顾客建立多条等值途径，实现流量负载均衡及冗余备份；支持RRPP迅速环网保护合同，提供不大于200ms环网故障保护；支持Smart-Link合同，保证双上行网络拓扑业务毫秒级迅速切换。通过上述技术，H3C S7500E可以在承载多业务状况下不间断运营，实现业务永续。 支持热补丁技术 H

41、3C S7500E可以在不重启设备前提下，通过热补丁技术，在线修改软件BUG，增长新业务特性。H3C S7500E提供控制补丁单元状态切换顾客命令，使顾客可以以便加载、激活、去激活、运营或删除补丁单元。通过热补丁技术，减少了设备需要重启次数，为客户提供更长网络正常工作时间。 主机机箱（含系统软件、热拔插电扇）1台；业务引擎1个，交流电源2块，千兆SFP插槽24个，千兆RJ45接口24个，配备千兆单模光纤模块24个，配套支持IPv6、MPLS技术完整版软件；配备无线控制器业务板1块（两台核心互换只需一块）。 l 机箱插槽式互换机，分布式体系构造，模块化设计，核心互换机配备所有业务板均须支持分

42、布式MPLS l Crossbar非阻塞互换阵列，最大互换容量≥1150Gbps l 互换机IPV4包转发速率≥780Mpps，背板带宽≥2.4Tbps l 整机总插槽≥12，配备冗余引擎后，业务接口插槽≥10。 l 千兆电口和百兆电口支持PoE特性，便于扩展多媒体业务 l 三层1000M线速互换设备，支持万兆接口。 l 支持带万兆接口管理引擎模块。 l 支持双主控引擎冗余备份，两块电源即可提供电源冗余。 l 支持IPv6 ASIC代理技术，使不支持IPv6板卡借助这项技术可以支持IPv6报文硬件转发。 l 配备单业务板1000M同步可用端口数不少于24个。 l 通过IPv

43、6 Ready第二阶段金牌认证，并提供查询网址和测试机构正式证明函扫描件。 l 整机最大支持1000M端口数≥90个。 l IPv4路由表容量≥120K，IPv6路由表容量≥120K，MAC地址表≥120K，必要支持DHCP Server。 l 支持IP+MAC+VLAN+PORT任意组合绑定。 l 硬件支持分布式IPv6线速解决，并提供中文版IPv6路由合同和隧道合同操作手册和命令行手册，其中路由合同必要支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道合同必要支持IPv6手动隧道、6to4隧道和ISATAP隧道；支持MLD Snooping和IPv6 PI

44、M 。 l 支持路由合同多实例特性，VRF数量不不大于32个。 l 内置 DHCP Server,可对顾客分派IP地址。 l 支持DHCP Snooping，防止欺骗DHCP服务器； l 支持动态ARP检测，防止中间人袭击和ARP回绝服务； l 支持BPDU guard， Root guard；支持uRPF(单播反向途径检测)，杜绝IP源地址欺骗，防范病毒和袭击 l 所有模块、电扇、电源支持冗余和热插拔 l 支持802.1x，radius认证。 l 支持中文图形化网管，网管提供顾客和设备一体化管理功能，可以直接提供Radius Server l 支持基于第二层、第三层和第四层

45、ACL，平均每板提供ACl条目数不不大于4000条；支持VLAN ACL和IPv6 ACL；支持出方向ACL，以便于灵活实现数据包过滤；支持IEEE 802.1x LAN顾客认证，802.1x动态VLAN分派；支持Portal认证并提供中文版操作手册；支持IP/Port/MAC绑定功能 l 支持防火墙模块，吞吐量≥6G，并发连接数≥200万，每秒新增连接6万。提供≥2Gbps以上VPN加密功能。 l 支持千兆级入侵防御模块，支持千兆负载均衡业务模块，支持SSL VPN业务板模块，投标文献中应提供产品彩页。 提供信息产业部IPv6、IPV4入网证 5.2 接入互换机选型 接入互换机建议

46、选用H3C公司S5120-EI系列，该互换机具备如下特点： 随着顾客端速度不断提高，顾客最后会使集群千兆链路达到饱和，而可以拥有多条10GE链路将是咱们将来发展方向。S5120-EI系列互换机支持两个扩展槽位，每个槽位支持单端口或双端口10GE扩展模块，在实现千兆汇聚或接入时保存进一步支持10GE扩展能力，竭力保护顾客投资。 S5120-EI系列支持IPv4和IPv6三层路由功能，并可以实现基于硬件IPv4和IPv6全线速转发。同步支持IPv6ACL和网管，实现IPv4到IPv6平滑升级。 智能弹性架构 H3C S5120-EI系列互换机支持IRF2（第二代智能弹性架构）技术，就是把多

47、台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，顾客可以将这多台设备当作一台单一设备进行管理和使用。IRF可觉得顾客带来如下好处： Ø 简化管理 IRF架构形成之后，可以连接到任何一台设备任何一种端口就以登录统一逻辑设备，通过对单台设备配备达到管理整个智能弹性系统以及系统内所有成员设备效果，而不用物理连接到每台成员设备上分别对它们进行配备和管理。 Ø 简化业务 IRF形成逻辑设备中运营各种控制合同也是作为单一设备统一运营，例如路由合同会作为单一设备统一计算，而随着跨设备链路聚合技术应用，可以代替原有生成树合同，这样就可以省去了设备间大量合同报文交互，简化了

48、网络运营，缩短了网络动荡时收敛时间。 Ø 弹性扩展 可以按照顾客需求实现弹性扩展，保证顾客投资。并且新增设备加入或离开IRF架构时可以实现“热插拔”，不影响其她设备正常运营。 Ø 高可靠 IRF高可靠性体当前链路，设备和合同三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间物理连接也支持聚合功能，这样通过多链路备份提高了链路可靠性；IRF系统由多台成员设备构成，一旦Master设备故障，系统会迅速自动选举新Master，以保证通过系统业务不中断，从而实现了设备级1：N备份；IRF系统会有实时合同热备份功能负责将合同配备信息备份到其她所有成员设备，从而实现1

49、N合同可靠性。 Ø 高性能 对于高品位互换机来说，性能和端口密度提高会受到硬件构造限制。而IRF系统性能和端口密度是IRF内部所有设备性能和端口数量总和。因而，IRF技术可以容易将设备互换能力、顾客端口密度扩大数倍，从而大幅度提高了设备性能。 Ø 完备安全控制方略 H3C S5120-EI系列互换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全办法与网络接入控制、访问权限控制等网络安全办法整合为一种联动安全体系，通过对网络接入终端检查、隔离、修复、管理和监控，使整个网络变被动防御为积极防御、变单点防御为全面防御、变分散管理为集中方略管理，提高了网络

50、对病毒、蠕虫等新兴安全威胁整体防御能力。 H3C S5120-EI系列互换机支持对试图接入网络顾客进行802.1x认证。可以在互换机上对802.1x客户端版本和有效性进行验证，防止非法顾客登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对顾客网络访问权限进行控制认证办法，它不需要顾客安装任何客户端软件，并且可以同步运营802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权访问端只能接入访问特定资源，并且会采用相应方略，例如可以获得802.1x客户端、升级客户端或者获得其她升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全信息