榆林二院网络方案.doc

榆林市二院（中心医院）网络技术方案1.1 网络架构设计21.2 网络技术选择31.3 网络拓扑及组网描述121.4 网络设备选型151.5 设备楼层分布详图181.1 网络架构设计1.1.1 总体原则榆林市中心医院网络方案总体设计以“高性能、高可靠性、高安全性、可管理性”为原则，设计标准可完全满足医院未来业务发展需求，以及考虑到门诊和住院楼体结构，结合国内外大型医院网络构建经验，采用“医疗数据中心解决方案”。依据本设计技术要求，网络可实现用户1000M接入、双1000M骨干交换的高速数据连接。扁平的二级结构设计使接入交换机上的数据直接发送到核心交换机，减少了转发延时，具有结构效率更高，稳定性更好的优点。通过选用高性能核心设备、高性价比的千兆接入交换设备、成熟的安全、路由设备来构建网络系统，使得网络系统具有先进性、稳定性、安全性以及维护管理方便等众多特点，完全可以满足用户现在及未来4-6年内的发展需要。考虑到医院业务网络的重要性，整体网络分为内网和外网两部分。内网为承载医院的业务数据，注重高可靠、高性能以及对医院业务的适应性。外网主要承载互联网数据，用于医生、病房的上网业务。两网完全物理隔离。内网由建设单位实施建设，外网由通讯运营商（例如：联通）负责建设，运营商负责主干网和楼层接入交换机建设，交换机至信息点的网络布线由建设单位负责。1.1.2 设计要求核心层网络设计：核心层总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。接入层网络设计：接入层需要提供大密度的百兆接口到用户端；通过支持千兆堆叠和千兆光口上行，增强网络性能并且方便设备的管理维护；支持一些ACL、Qos以及MAC、PORT、IP的绑定功能，支持用户认证以及链路维护功能的功能。网络出口设计： 目前运营商互联网线路主要是以太网线路，因此网络出口建议通过在核心交换机上部署高性能防火墙、入侵防御、应用控制等安全业务板同时实现网络的边界安全防护。出口网关选用一台高性能的路由器实现局域网与互联网的高速连接。1.2 网络技术选择1.2.1 数据中心级网络模式随着医疗各业务系统的快速发展，业务应用和数据正在从分散部署走向大集中，由传统的客户机/服务器（简称C/S）架构向浏览器/服务器（简称B/S）的变迁。数据中心业务的变迁对核心网络设备提出了新的要求：1，核心交换机需要更强的交换能力，需要支持多级多平面的体系架构；2，B/S模块的广泛应用导致数据流量呈现浪涌形式，核心交换机需要满足数据中心等网络突发流量的要求；3，面对复杂的网络结构，管理、应用、维护、可用性都面临新的挑战，网络设备需要支持虚拟化技术，能够将多台物理设备虚拟为一台逻辑设备进行管理和数据转发；因此，榆林二院网络规划思路以数据中心解决方案为模型，具备以下两个特点：1、100G平台以太网技术发展是以10倍速方式跃阶的，如图1所示。当前的千兆接入、万兆骨干已经是普遍构建的网络架构。随着成本的持续下降，万兆技术也开始从网络的核心，推进到网络边缘，推进到服务器、存储设备上。图1 以太网的快速发展研究下一代以太网标准的HSSG技术工作组已经结束争论，制定一个包含40Gbps和100Gbps速度的单一标准IEEE802.3ba，并将在2010年确定。40Gbps主要面向服务器，100Gbps则面向网络汇聚和骨干。每种速度将提供一组物理接口：40Gbps将有1米交换机背板链路、10米铜缆链路和100米多模光纤链路标准；100Gbps将有10米铜缆链路、100米多模光纤链路和10千米、40公里单模光纤链路标准。基于面向40G/100G下一代超高带宽的发展理念，推出的下一代数据中心级业务调度统一交换平台S12500在架构设计上考虑了对40G/100G的兼容，当前槽位带宽单向180G，已经具备了40G接口和100G接口的支持能力，后续可以通过后端交换矩阵升级到360G槽位带宽，提供高密度40G和100G接口。在802.3ba标准发布后，能够通过技术平滑升级过渡到超高速网络环境，并保持对传统千兆、万兆的兼容性。2、数据中心的网络浪涌容载能力与业务调度为解决数据中心高密应用调度、流量浪涌式突发缓冲等关键的性能问题，必然在交换平台的基础架构设计上进行技术革新。首先是在交换平台上提供硬件化的流量管理能力。大容量缓存匹配密集的硬件调度队列，将调度能力扩展到上万个队列，一旦使上层应用数据流进入相应的硬件队列，则可实现大范围（远超过8个队列）的数据中心级业务调度能力，如图4所示。图2 大缓存与整体业务调度另一个技术变革是改变传统交换系统的出端口缓存方式，而采用分布式ingress缓存架构。传统出端口缓存方式，整个系统的业务突发容载能力仅由出端口可分配的缓存大小决定，因此容量是固定的。流量达到一定的突发界限，即瞬时突发数据量超过了出端口缓存大小，整个系统便开始出现丢包。分布式缓存技术则采用了区别于传统方式的架构，如图5所示。正常转发过程中，出端口是以万兆线速对外转发数据的，当出现多个万兆到一个万兆的突发流量即将超万兆拥塞时，ingress端口缓存根据credit限额开始将突发流量缓存到本地并停止超过出端口速率部分的数据发送，同时出口仍然以万兆线速发送瞬时的突发流量。当出端口解除准拥塞状态后， ingress缓存将保留的数据进行正常转发。整个分布式缓存机制由硬件进行分布式精确调度，无需软件参与，因而工作在系统时钟级别。而每个ingress缓存大小均要求在万兆全线速条件下达到200毫秒的突发流量缓存能力，因此，在流量突发将引起瞬时拥塞时，N个端口向一个端口转发的缓存能力是N*200毫秒，与传统出端口缓存固定能力相比有本质的提升。而且，经测试观测，缓存能力的实际表现与根据端口缓存大小的理论计算是符合的。图3 分布式缓存架构1.2.2 CLOS多级交换架构网络的高速发展特别是新一代数据中心及未来的云计算，对构建互联网基础架构的交换机和路由器的交换架构提出了更高要求，使其向着统一交换架构和业务融合、更大容量和带宽、更高性能和扩展性、更精细的QoS保证、更高的可靠性和容错性能、智能化和易于管理、绿色节能等方向发展，满足不断涌现的各种新型业务和应用、改进用户体验，并持续降低单位带宽成本。毫不夸张地说，交换架构是网络设备的核心，就像人的心脏一样重要。交换架构决定了一台设备的容量、性能、扩展性以及QoS等诸多关键属性。在短短二十几年的历史中，先后出现了共享总线交换、共享存储交换、Crossbar矩阵交换和基于动态路由的CLOS交换架构等不同形态。CLOS交换架构由贝尔实验室Charles Clos博士在1953年的无阻塞交换网络研究论文中首次提出，后被广泛应用于TDM网络，为纪念这一重大成果，便以他的名字CLOS命名这一架构。近二十年来包交换网络的高速发展，迫切需要超大容量和具备优异可扩展性的交换架构，CLOS这个古老而新颖的技术再一次焕发出旺盛的生命力。CLOS交换架构是一个多级的交换架构，由于CLOS交换系统容量很大，物理实现上，通常采用N+1个独立的交换网槽位，与主控板控制平面彻底分离，一方面提高了系统容量可扩展性，另一方面极大程度上提高了转发平面的可靠性，避免了控制平面出现故障或进行倒换时对转发平面的影响。目前主流交换厂商已经完成核心产品向CLOS交换架构的演进。1.2.3 IRF2网络设备虚拟化虚拟化技术是当前企业IT技术领域的关注焦点，采用虚拟化来优化IT架构、提升IT系统运行效率是当前技术发展的方向。对于基础网络来说，虚拟化技术也有相同的体现：在一套物理网络上采用VPN或VRF技术划分出多个相互隔离的逻辑网络，是1:N的虚拟化；将多个物理网络设备整合成一台逻辑设备，简化网络架构，是N:1虚拟化。虚拟化技术IRF2属于N:1整合型虚拟化技术范畴。IRF2是一种虚拟化技术，从对提升网络整体效率的角度，起到了一种横向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的IRF2系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路，如下图所示。IRF智能弹性架构技术的应用也为整网的稳定可靠提供了重要保证。利用IRF智能弹性架构虚拟技术，可实现多台物理交换机虚拟成一台逻辑交换机，所有交换机具有统一的IP、一致的转发表项和统一的管理界面，同时支持跨设备的链路聚合，提高了链路带宽。在核心层，双核心交换机通过使用IRF技术逻辑上虚拟为一台设备，简化管理和降低维护难度，最大限度保证了核心设备可靠；在汇聚层和接入层，交换机通过IRF技术把多台设备变成逻辑上的一台设备，可将传统的跨设备双链路的主备工作模式转变为跨设备链路捆绑负载分担模式，这不仅提高了网络的骨干带宽，而且提升了网络可靠性。IRF智能弹性框架技术能在提升网络性能、可靠性的同时，还能降低网络建设成本和维护成本，并为将来的平滑扩展奠定良好基础。1.2.4 网络和安全一体化在网络安全威胁日益增加的今天，IP网络用户对安全的要求越来越高，这使得网络的基础承载协议和上层应用协议都不约而同的将发展目标定位在安全特性上。不难看出， 网络和安全的融合是不可逆转的技术趋势，它是用户业务发展的必然结果，以满足用户日益复杂的网络建设和业务需要。两者的融合具体体现在网络设备（主要是指交换机、路由器、MSTP等基础通信设备）和安全设备（主要是指防火墙、IPS、行为审计网关等）的融合，如H3C、Cisco、华为等都推出了基于网络设备的系列安全插卡，就是这种趋势下的一种外在体现。但网络安全的融合绝不应该仅仅是安全插卡，未来的融合将会逐渐出现在目前盒式设备所应用的领域。在网络安全融合的趋势下，市场上融合了安全功能的交换机、路由器越来越多。如何选择、规划以及部署一体化的网络安全解决方案？如上图所示，通过部署网络安全融合方案，通过安全插卡的方式在一台核心交换机中完成了安全功能部署，从而取代了过去像“串糖葫芦”似的串联部署在网络中的大量安全设备（比如防火墙、IPS、LB、流量清洗设备等）。从交换机任何一个端口进来的数据，都会通过背板和内部高速接口进入这些安全插卡进行分析和过滤，保证最终从出端口转发出去的数据流将是干净的、安全的、可靠的。由于各板卡之间都是通过内部数十GE的高速接口处理，转发效率要远远高于过去多个安全设备之间的交互方式。因此，网络安全融合后的一体化方案不仅降低了设备数量，减少了网络的故障点和部署与维护成本，同时提升了数据交互的效率。1.2.5 一体化智能网络管理在传统的园区网时代，基于SNMP简单网络管理协议的园区网管理技术大行其道，其主要集中于底层设备的管理，比如拓扑搜索是否正确，多厂商设备能否统一管理等。关注于设备本身和网络通讯是否正常，是传统园区网管理的主要特征。随着以太网技术、IP技术、虚拟化技术的不断融合，园区网得以不断发展，其网络环境、用户模型、业务模型都发生了巨大的变化，用户对园区网络的移动性、安全性、业务质量等方面也有了更高的要求。与此同时，园区网管理与以往相比也有了很大的不同，它不再局限于设备的管理，而是更关注接入、安全、业务、流量等方面的管理。具体包括以下几个方面： 除传统的有线接入外，WLAN、物联网等技术的应用越来越广泛，接入终端类型越来越多，且办公室、无线、SOHO等接入场景不固定。如何对不同的园区网络进行管理，以便为用户提供始终如一的IT服务？ 企业内部员工、合作伙伴、外来访客等人员众多且角色复杂，存在病毒传播、黑客攻击、信息泄露、非法接入、违规上网等行为与潜在威胁。如何防范与化解？ 不同的业务部门有不同的访问权限和业务系统，如何将用户和业务相互隔离并下发正确的权限，使恰当的人访问恰当的资源？ 不同的业务系统对网络带宽、数据传输能力有不同的要求。如何判断网络中存在的瓶颈，对业务性能加以优化？更灵活、更安全、更精细的园区网管理为满足园区网在移动性、安全性、高质量等方面管理需求，其管理必须具备更灵活、更安全、更精细的特征，具体包括以下几个方面： 第一个层面，实现有线无线一体化管理有线与无线网络的融合使两个网络之间的界限变得越来越模糊。此时，无线网络带来的特殊业务、非法无线设备接入时的信息泄露、基于用户的安全防护等问题，都给网管带来了新的管理挑战。很多企业将无线与有线网络分开管理，分别使用专门的管理工具软件。这不仅带来重复投资浪费，且与有线网管隔裂的无线网管难以对无线用户做到更精细的管理与控制，如判断某个MAC地址的无线用户是否有非法上网行为，发现无线用户漫游到某个交换机端口并在端口上设置安全规则对用户进行控制，等等。因此，只有有线无线一体化的网管才能将这些问题有效的解决。有线无线一体化管理要求在同一个管理平台上实现两者的融合，在底层将MIB、命令行格式等打通，在功能上将拓扑、告警、性能等相互兼容，在技术上则需要将ACL、QoS等应用到无线网络中，实现设备的一体化管理。这样，用户可以在同一套软件、同一个拓扑上查看有线和无线设备的状态，在利用成熟的有线管理技术的同时，还可以对无线设备和无线业务进行单独配置，实现AC、Fat AP、Fit AP、移动终端的统一管理；另外，无线网络的AP数量众多，可能存在非法AP设备接入的问题，管理软件还应提供Rouge AP防护、热点覆盖、无线定位等多种业务功能，并对海量设备提供批量配置升级、策略模板等功能，提升管理效率，降低维护成本。第二个层面，实现可信可控可审计的安全接入对园区网而言，安全问题非常重要。一旦在网络内发生病毒和蠕虫肆虐，破坏程度和范围将持续扩大，严重时会引起系统崩溃、网络瘫痪，使用户蒙受严重损失。此外，对于有业务和应用隔离需求的用户来说，频繁的业务变化要求网络基础设施具备动态、易于调整的特点，而传统通过物理方式隔离的管理方案无法满足需求。网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等，都大大增加了用户在网络投资、建设和运维、管理方面的负担。这就需要园区网管理能够基于用户身份进行隔离和权限下发，并实现事前认证、事中控制和事后的审计；首先从控制用户安全接入网络的角度入手，集成终端安全检查、用户身份认证、动态访问授权、用户行为审计等功能，通过智能客户端、安全策略服务器、智能联动设备以及第三方软件的联动，对访问园区网的用户终端强制实施安全检查，严格控制终端用户的网络使用行为，以加强用户终端的主动防御能力，为网管人员提供有效、易用的管理工具和手段。园区网管理还应该保证访问网络的用户正确获得访问相关资源的权限，对认证用户动态下发VPN、VLAN、ACL等安全控制策略，根据业务和应用划分访问权限和业务流向，进行横向安全隔离，同时也能根据需要提供灵活的互访控制。管理软件还应该考虑与部署在Internet出口的行为审计系统联动，将审计信息中的IP地址与用户身份信息的自动关联，实现基于用户的行为审计，进一步加强整网的稳定和安全。第三个层面，实现端到端的业务感知与性能优化随着IP电话、视频会议等带宽敏感型业务和无线局域网、城域以太网的应用越来越广泛，带宽丰富的园区网开始出现带宽不够用、性能瓶颈等情况。从网络的角度感知业务、保障业务的传输质量变得重要起来。这需要园区网管理在关键业务出现不正常时，能够对端到端的业务流量进行分析，判断出流量瓶颈并进行性能优化。园区网管理要能满足企业对业务流量的感知和分析需求。对于各种业务在网络中的运行情况，管理软件提供基于NetStream/sFlow/DIG等多种技术的流量分析功能，通过各种可视化的流量视图，对业务流量中的接口、应用、主机、会话、IP组、7层应用等进行分析，从而找出流量瓶颈，规划接口带宽，建立各种业务的流量分布模型。需要指出的是，MPLS VPN、IPv6等技术在园区网内的应用越来越广泛，管理软件必须考虑对MPLS和IPv6的支持，以便在需要时分析出每个VPN或IPv6网络的流量分布情况。同时还应该能满足企业对业务传输质量的性能优化和测量需求，这要求管理软件能够与路由、交换设备配合，完成流量性能优化的配置，通过方便、易用的图形化界面，让管理员可以实现对指定的关键业务、关键用户进行端到端服务保证，真正实现QoS的所见即可得。对于某些业务（如IP语音的时延、抖动、丢包等），通过对关键指标的测量，就可以知道传输质量能否满足要求，这要求管理软件可以提供图形化的SLA（服务水平协议）工具，有效审计和判断QoS实施效果。1.3 网络拓扑及组网描述1.3.1 网络平台设计 1、内网网络核心部署两台H3C S12508高端数据中心核心交换机。该交换机采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力，支持40GE和100GE以太网标准。其分布缓存技术，能完全应对医院数据流量模型的大流量、高并发、长时间浪涌等严格要求。该产品基于自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、应用安全、应用优化，无线等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。两台H3C S12508分别配置冗余电源、冗余主控板及7+2块交换网板提供最大程度的设备级可靠性。再通过IRF2技术虚拟化为一台，保证双机组网下的统一管理、统一转发表项及主备设备、链路的同时使用。2、接入交换机选用H3C S5120系列千兆三层交换机。满足全千兆接入的同时，提供万兆扩展的能力。S5120-EI系列支持IPv4和IPv6的三层路由功能，并可以实现基于硬件的IPv4和IPv6的全线速转发。同时支持IPv6的ACL、QoS、组播和网管，实现IPv4到IPv6的平滑升级。核心与接入设备之间通过双千兆链路进行连接，骨干链路可实现跨设备链路聚合。在提高链路可靠性的同时，也增加了链路的带宽。3、服务器通过数据中心H3C S7500E交换机进行接入，S7500E同样进行双机虚拟化部署。每台服务器可以通过双千兆链路连接到两台不同的服务器交换机，两条链路工作在负载均衡模式。S7500E虚拟化组通过双万兆链路与核心连接，保证用户与服务器之间的高速访问。4、网络出口通过路由器实现局域网与广域网的高速连接。因内、外网对出口的要求不同，内网选用MSR50系列路由器主要用于和银联、医保等业务单位进行互联，外网选用SR66系列路由器用于和互联网进行高速连接。1.3.2 网络安全设计1、内网核心交换机部署防火墙、入侵防御业务插卡实现网络2-7层安全防护。2、外网核心交换机部署防火墙、入侵防御业务插卡实现网络2-7层安全防护外，还部署ACG应用控制业务插卡实现对网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，大大提升网络的业务控制能力，帮助用户优化其网络资源。3、SecBlade 安全模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。1.3.3 网络管理设计 1、内外网部署iMC智能管理中心，实现网络设备、网络拓扑、告警、性能、故障等网络基本管理功能。同时iMC作为智能网管平台，还可以很方便的扩展多达20多种网络管理功能。2、内网部署EAD终端准入解决方案，通过认证的医院用户才能获得对相关资源的访问和使用；并通过中央服务器和客户端的配合，监控接入用户的安全状态，如操作系统补丁、防火墙是否启动、补丁状态、是否携带病毒等从而保证了接入端的安全。3、外网部署UAM用户认证系统，支持802.1x、Portal、VPN接入等多种认证接入方式，适合多种接入组网场景及应用场景。基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽（QoS）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。可以实现对用户ACL、VLAN的控制，限制用户对内部敏感服务器和外部非法网站的访问。可以限制用户IP地址分配策略，防止IP地址盗用和冲突。监控用户认证成功后的IP地址，若有变更则强制要求下线。可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。接入用户网关配置，提供接入用户网关IP、MAC地址配置信息。配合iNode客户端实现防止本地受到假冒网关方式的ARP欺骗功能3、内网部署网络流量分析功能组件。可以为园区网提供网络流量信息统计和分析功能，能够让客户及时了解各种网络应用占用的网络带宽，各种业务消耗的网络资源和网络应用中TopN流量的源主机，可以帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提供丰富的网络流量分析报表。帮助客户在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策。4、内网部署应用管理功能组件。可以对不同的业务系统、应用和网络服务（如服务器、操作系统、数据库、Web服务、中间件、邮件、其他关键应用等），进行远程监控和管理，从而充分满足用户对各种关键业务和数据中心的监控管理需求。在应用监控的基础上，结合告警、报表等功能，对网络中的所有应用进行可用性和健康度评价，帮助网络管理员了解网络应用的运行状况，并及时发现网络应用的隐患。1.3.4 整网未来升级规划考虑到后期，榆林市中心医院除本次在建的门诊大楼及住院大楼之外还规划有住院部大楼（约500床位）、科研楼、综合行政楼等三栋新大楼，本次网络规划核心设备H3C S12508可完全满足未来医院信息点的扩容计划，并能承载未来46年业务发展。后期网络扩容也将延续原有核心交换机不便，并在原有网络基础之上增加汇聚和接入交换设备，借助于核心交换机上规划的一体化安全设备防火墙、IPS等，实现后续网络和原有网络的无缝、安全对接。未来会有越来越多医疗手持终端在医疗活动中普及，本次方案保留对无线网络的规划：1、无线组网选用FIT AP组网方案。在原有网络基础上增加无线控制器（如：在外网核心交换机H3C S10508-V上部署两块无线控制器插卡），可对整网的无线AP进行统一部署和统一管理。2、无线AP规划为智能天线AP。该无线AP是基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列产品外型小巧美观，安装方式灵活，适用于壁挂、桌面、吸顶等三种安装方式。H3C WA2600 i系列AP支持内置射频采集模块，实现深度融合的射频监控和实时频谱防护。通过图形化方式，主动探测和识别所有2.4GHz/5GHz波段的射频干扰源(Wi-Fi或非Wi-Fi)，可提供实时FFT图，频谱密度图、光谱图、占空比图、事件光谱图、频道功率、干扰功率等；可自动识别干扰源，确定有问题的无线设备的位置，确保无线网络发挥最佳的性能。3、无线AP通过POE交换机进行供电，不必为AP专门布设电源线。而且可以很方便的通过管理软件实现，无线AP的定时开关机及重启。方便设备的维护和管理。4、全系列无线产品都可以通过开放的网络管理协议实现基于WSM的有线无线一体化管理。WSM是在下一代业务软件平台iMC(intelligence Management Center/智能管理中心)的基础上开发的无线运营管理组件，不仅为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、友好的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。1.4 网络设备清单序号产品型号产品描述数量1核心多业务交换机（双机虚拟化）LS-12508-AC-1H3C S12508 路由交换机主机(AC-1)2 LSTM1MRPNC1H3C S12500 管理及路由处理板-带OAM模块4 LSTM2XP8LEB18端口万兆以太网光接口业务板(LEB)-(SFP+,LC)2 LSTM1GP48LEC148端口千兆以太网光接口业务板(LEC)-(SFP,LC)4 LSTM1SF08B1S12508交换网板16 LSTM2FANH风扇框模块-084 LSRM1SDRAMH1GB SDRAM 内存条(DDR2)4 CAB-AC Pwr 3C-3m-PDU外部电源线12 LSTM1KSGD0安装滑道附件-350mm500mm2 LSTM1FW2A1H3C S12500,防火墙业务板2 LSTM1NSM1A1H3C S12500,NetStream业务板2 LS-LSTM1IPS1A1+1YH3C S12500-千兆入侵防御系统模块,含一年特征库升级,一年病毒库升级2 LIS-SBIPS-SA-1YH3C SecBlade IPS,特征库升级-1年,病毒库升级-1年2 LS-LSTM1ACG1A1+1YH3C S12500-应用控制网关业务板模块,含一年特征库升级2 LIS-ACG-APPH3C SecPath ACG2000-M/H3C SecBlade ACG-应用识别特征库升级服务-1年2 LSTM2PSRA交流电源模块-2000W6 LSTM2PEMC6交流电源进线模块-6端口16A插座标准型2 SV-PS-HPSDS高端产品软件部署服务2 SV-MA-HPOSS高端产品现场技术支持服务2 SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)110 XFP-SX-MM850光模块-XFP-10G-多模模块-(850nm,300m,LC)6 小计核心多业务交换机（双机虚拟化）2服务器接入交换机（双机虚拟化）LS-7506E-VH3C S7506E-V 以太网交换机主机2 LSQM1AC1400H3C S7500E 交流电源模块,1400W4 LSQM1SRP2XB0H3C S7500E Salience VI-10GE交换路由引擎自带两个万兆接口4 LSQM1GV24PSC0H3C S7500E-24端口千兆电接口模块(RJ45),其中4端口可光电复用(SFP,LC)2 LSQM1LBSC0H3C S7500E-千兆负载均衡业务模块2 XFP-SX-MM850光模块-XFP-10G-多模模块-(850nm,300m,LC)4 小计服务器接入交换机（双机虚拟化）3全千兆接入交换机LS-5120-28C-EI-H3H3C S5120-28C-EI-以太网交换机主机(24GE+4SFP Combo+2Slot)14 LS-5120-52C-EI-H3H3C S5120-52C-EI-以太网交换机主机(48GE+4SFP Combo+2Slot)49 LSPM1CX2PH3C S5500 2端口万兆以太网CX4接口模块(3m短距离)16 LSPM2STKACX4 本地连接线缆(clip-clip)-50cm16 SFP-GE-SX-