某医院计算机网络系统设计方案

XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 1 页 XXX 医院综合楼弱电及系统集成工程项目医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案计算机网络系统设计方案 目 录 1项目概述项目概述 4 2系统概述系统概述 4 3设计原则设计原则 4 4系统设计方案系统设计方案 5 4 1产品选择说明 5 4 1 1 设备应用规模及稳定性 兼容性 6 4 1 2 完善的研发体系和全系列的网络产品 7 4 1 3 健全的服务支持和培训认证体系 7 4 2系统需求分析 8 4 2 1医院业务划分 8 4 2 2应用系统分类 8 4 2 3医院业务系统的需求 9 4 2 4网络建设需求 10 4 2 5核心层需求分析 11 4 2 6接入层需求分析 11 4 3系统设计 12 4 4系统内网设计 13 4 4 1内网建设需求 13 4 4 2内网设计及规划 14 4 5系统外网设计 15 4 5 1外网建设需求 15 4 5 2外网设计及规划 15 5产品选型产品选型 17 5 1核心交换机选型 17 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 2 页 5 2接入交换机选型 21 5 3路由器选型 25 5 4入侵防御系统选型 30 6网络管理网络管理 35 6 1网络管理建设需求 35 6 2IMC 特性与系统结构 37 6 2 1iMC 特性 37 6 2 2面向服务的架构 38 6 2 3基础资源管理 38 6 2 4身份与接入管理 38 6 2 5端点准入安全管理 38 6 2 6VPN 管理 38 6 2 7网络智能分析 38 6 2 8安全策略中心 39 6 3IMC 系统结构 39 6 4智能管理的部署 39 6 4 1系统安全管理 39 6 4 2资源管理 40 6 4 3拓扑管理 41 6 4 4故障 告警 事件 管理 46 6 4 5性能管理 51 6 4 6设备管理组件 54 6 4 7WSM 无线业务组件 55 7 7 EADEAD 解决方案解决方案 58 7 1 技术背景 58 7 2 EAD 方案介绍 58 7 2 1 EAD 端点准入防御方案介绍 59 7 2 2 EAD 端点准入防御方案特点 60 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 3 页 7 2 3 桌面资产管理方案介绍 63 7 2 4 桌面资产管理功能特点 65 8 8存储系统存储系统 66 8 1系统说明 66 8 2产品选型 67 8 2 1 服务器 67 8 2 2 主存储系统 69 8 2 3 灾备磁盘阵列 69 8 2 4 网关 70 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 4 页 1 1项目概述项目概述 XXX 医院医疗综合楼总体分为 地下一层为设备用房 一 二 三 四层 为大厅及门诊 五层为血透中心 六 七层为内科护理标准层 八层 十一层 为内科 外科护理单元 九层为儿科护理单元 十层为骨科护理单元 十二层 为妇科护理单元 十三层为产科护理单元 十四层为产房 ICU 手术准备层 十五层为手术层 十六层为手术设备和电梯机房层 大楼总建筑面积约 2 万 建筑高度 66 40 米 属于一类高层建筑 2 2系统概述系统概述 本局域网 LAN 主要为医院提供 Internet 接入和设备的联网需求 1 设备产品选用著名华三 H3C 品牌产品 2 充分考虑网络安全 该系统具备拒绝访问攻击 DOS 的防护 能实 现交换机 防火墙 IDS IPS 联动与网管软件联动 自动的实现对网络蠕虫和黑 客攻击防范和屏蔽 3 3设计原则设计原则 基于 XXX 医院目前网络现状和未来业务发展的要求 在 XXX 医院网络设计 构建中 应始终坚持以下建网原则 1 1 实用性 实用性 整个网络系统具有较高的实用性 2 2 时效性 时效性 网络应保证各类业务数据流的及时传输 网络时效性要强 网 络延时要小 确保业务的实时高效 3 3 可靠性 可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证 在网络 设计中选用高可靠性网络产品 合理设计网络架构 制订可靠的网络备份策略 保证网络具有故障自愈的能力 最大限度地支持医院各业务系统的正常运行 必须满足 7 24 365 小时连续运行的要求 在故障发生时 网络设备可以快 速自动地切换到备份设备上 4 4 完整性 完整性 网络系统应实现端到端的 能整合数据 语音和图像的多业务 应用 满足全网范围统一的实施安全策略 QoS 策略 流量管理策略和系统管 理策略的完整的一体化网络 5 5 技术先进性和实用性 技术先进性和实用性 保证满足医院应用系统业务的同时 又要体现出 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 5 页 网络系统的先进性 在网络设计中要把先进的技术与现有的成熟技术和标准结 合起来 充分考虑到医院网络目前的现状以及未来技术和业务发展趋势 6 6 高性能 高性能 医院网络性能是医院整个网络良好运行的基础 设计中必须保 障网络及设备的高吞吐能力 保证各种信息 数据 语音 图像 的高质量传 输 才能使网络不成为一眼业务开展的瓶颈 7 7 标准开放性 标准开放性 支持国际上通用标准的网络协议 如 IP 国际标准的大 型的动态路由协议等开放协议 有利于以保证与其它网络 如公共数据网 金融 网络 外联机构其它网络 之间的平滑连接互通 以及将来网络的扩展 8 8 灵活性及可扩展性 灵活性及可扩展性 根据未来业务的增长和变化 网络可以平滑地扩充 和升级 减少最大程度的减少对网络架构和现有设备的调整 网络要具有面向 未来的良好的伸缩性能 既能满足当前的需求 又能支持未来业务网点 业务 量 业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求 9 9 可管理性 可管理性 对网络实行集中监测 分权管理 并统一分配带宽资源 选 用先进的网络管理平台 具有对设备 端口等的管理 流量统计分析功能以及 可提供故障自动报警 1010 安全性 安全性 制订统一的骨干网安全策略 整体考虑网络平台的安全性 能有效防止网络的非法访问 保护关键数据不被非法窃取 篡改或泄漏 使数 据具有极高的安全性 4 4系统设计方案系统设计方案 4 14 1 产品选择说明产品选择说明 按照标书的要求 在充分研究 XXX 医院网络项目的需求的基础上 我们 对目前业界的主流的网络厂商 H3C CISCO 北电等做了较为详细的对比研 究 综合考虑厂家产品及解决方案在政府及其他行业特别是在公检法系统的应 用规模 产品技术的先进性 成熟度及兼容性 公司的研发实力和服务体系保 障等因素 我们建议采用杭州华三通信技术有限公司 以下简称 H3C 公司 的 网络产品作为此次项目的组网设备 根据标书的技术指标要求 H3C 公司可以提供全线的包括交换机 路由器 以及安全产品等性价比非常高的产品来满足此次项目的投标 投标所使用的设 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 6 页 备性能指标均满足标书要求 4 1 14 1 1 设备应用规模及稳定性 兼容性设备应用规模及稳定性 兼容性 H3C 公司的网络产品目前已经广泛应用与全球的各个行业中 截至 2007 年 1 季度 H3C 公司在中国市场高端路由器的市场份额为 34 8 中低端路由器 为 32 6 数据来源于 CCID 2007 年 4 月 名列前茅 截至 2007 年 1 季度 H3C 公司在中国市场交换机的市场份额为 40 3 数 据来源于 CCID 2007 年 4 月 排名第一 目前 H3C 的全系列产品进入英国 德国 香港 俄罗斯 巴西 泰国 墨 西哥等六十六个国家和地区 并承建了中国电信 中国移动 英国 泰国 巴 西等 14 个国家级 IP 骨干网 H3C 目前在国内的整个电子政务 IT 系统建设中 已经得到了大规模的应用 大规模的应用不但大大拉近了用户和 H3C 公司的距离 使得 H3C 公司能 够更快更好为市场 为用户提供产品 同时也验证了 H3C 公司产品的稳定性和 兼容性 目前 H3C 的全系列网络产品在税务系统的应用已经超过 30 个省 市 其 中在省骨干的规模应用已经超过 20 个省市 自治区及直辖市 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 7 页 4 1 24 1 2 完善的研发体系和全系列的网络产品完善的研发体系和全系列的网络产品 H3C 每年将销售额的 15 以上用于研发投入 在中国的北京 杭州 深圳 以及印度的班加罗尔设有研发机构 在北京和杭州设有产品鉴定测试中心 目 前 H3C 已申请专利超过 700 件 其中 80 是发明专利 H3C 目前从事 IP 产品技术研发的研究所有 6 个 包括北京研究所 杭州研 究所 印度研究所 南京研究所 深圳研究所 美国研究所 研发人员超过 2000 人 印度所 南京所 中央软件部 上海研究所等都通过 软件研发成熟 度 最高级的 CMM5 级国际认证 北京研究所 杭州研究所通过 CMM4 级国际 认证 H3C 不但拥有全线路由器和以太网交换机产品 还在网络安全 IP 存储 IP 监控 语音视讯 WLAN SOHO 及软件管理系统等领域稳健成长 目前 安全产品中国市场份额位居前三 IP 存储亚太市场份额第一 IP 监控技术全球 领先 H3C 已经从单一网络设备供应商转变为多产品 IToIP 解决方案供应商 因此选择该厂商的网络产品能够有效的保障用户在网络建设方面的延续性 和持续性 4 1 34 1 3 健全的服务支持和培训认证体系健全的服务支持和培训认证体系 H3C 公司建立了遍布全国的服务机构 除公司总部设有完备的技术支援平 台外 H3C 还在全国建立了 36 个售后服务中心 建有完备的技术支援平台和 备件系统 通过先进的通信技术与总部的技术支援平台连接 完成用户信息 故障处理流程 备件库存 产品分布等信息的共享 形成覆盖全国地市级城市 专职人员规模超过 200 人的技术支援体系 同时还在各省市派遣有售后服务工 程师 以提高售后服务的响应速度 H3C 技术支持支援平台拥有一批高素质的 服务队伍 所有服务人员都具有本科以上学历 且有 3 年以上大型网络服务经 验 为了满足不同客户不同层次的培训需求 H3C 服务公司建立了规范 专业 的用户培训体系 将总部培训与分部培训 集中培训与现场培训有机结合 目 前 在数据通信网络技术领域 H3C 培训面向全球 致力于培养专业务实网络 人才 考虑客户不同层次需求 提供全系列的网络产品培训 网络技术认证培训 和客户化培训解决方案 同时建立起国际规范的完整的网络技术认证体系 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 8 页 在中国建立 30 余家授权培训中心 海外建立 7 家授权培训中心 覆盖中国 各大中心城市以及拉美 亚太 中东 北非 俄罗斯等地区和国家 在中国建立 60 余家网络学院 海外建立 1 家网络学院 与 40 余所职业院校建立合作 支持中国职教 IT 专业课程改革项目 鉴于以上几个主要原因 我们在此次投标中选用了 H3C 公司的网络产品做 为此次投标的网络产品 4 24 2 系统需求分析系统需求分析 4 2 1 医院业务划分医院业务划分 医院的业务系统有很多 而且不同的专科医院业务系统也有很大区别 但 以下一些业务系统是医院都具有的 1 门诊系统 2 住院系统 3 体检系统 4 PACS 系统 5 医院管理经济系统 6 区域医疗系统 4 2 2 应用系统分类应用系统分类 医院信息系统主要分成以下两类 1 1 医院管理系统医院管理系统 门 急诊挂号子系统 门 急诊病人管理及计价收费子系统 住院病人管理子系统 药库 药房管理子系统 病案管理子系统 医疗统计子系统 人事 工资管理子系统 财务管理与医院经济核算子系统 医院后勤物资供应子系统 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 9 页 固定资产 医疗设备管理子系统 院长办公综合查询与辅助决策支持系统 2 2 临床医疗信息系统临床医疗信息系统 住院病人医嘱处理子系统 护理信息系统 门诊医生工作站系统 临床实验室检查报告子系统 医学影像诊断报告处理系统 放射科信息管理系统 手术室管理子系统 功能检查科室信息管理子系统 病理卡片管理及病理科信息系统 血库管理子系统 营养与膳食计划管理子系统 临床用药咨询与控制子系统 4 2 3 医院业务系统的需求医院业务系统的需求 1 1 门诊系统 门诊系统 门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点 包括焦急的病人无法忍受长时间的等待 门诊业务主要集中在上午等 门诊 业务具有可靠性高 并发性 实时性和突发性强等特点 因此门诊业务对网络 提出了高可靠性 高带宽和 QoS 的要求 2 2 住院系统 住院系统 住院业务是医院的另一个主要组成部分 是医院经济收入的主要来源 同 时还直接关系到重病患者的生命安全 具有以下几个特点 住院业务的网络上流动着重症病人生命数据和各种新业务数据 住院业务保存有患者病案数据和住院费用数据 医生移动查房 病人呼叫系统 网上视频监控系统 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 10 页 针对住院业务的以上特点 住院业务对网络提出了高可靠性 安全存储 QoS 和无线局域网 VoIP 和视频会议系统的需求 3 3 体检系统 体检系统 现在很多医院建立专门的体检大楼 以满足民众不断扩大的体检需求 从 业务角度上讲体检系统非常简单 它对网络的需求主要体现在安全性上 如何 保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决 方案所关注的 4 4 PACSPACS 系统系统 医院的 PACS 系统主要是完成对患者的各种影像数据进行采集 存储 传输 和处理 并在全院范围内进行共享 由于是各种图形图像数据 因此具有存储 量大的特点 为了更好的服务于医院业务 PACS 业务对支撑系统提出以下要求 存储量大 扩展性强 数据快速存储 数据容灾 高带宽 5 5 管理经济系统 管理经济系统 医院管理经济系统主要是人 财 物的管理 包括人事 财务管理 药品 药库管理等 因此它最大的需求是数据在服务器端和网络上的安全 保证这些 数据不会泄露 6 6 区域医疗系统 区域医疗系统 一方面为了发挥中心医院的辐射和覆盖作用 另一方面充分利用各家医院 的特色科室的力量 区域医疗把这些资源进行共享和整合 这需要稳定的广域 网连接 根据初步的需求 我们按照内外网物理分离的原则进行设计 4 2 4 网络建设需求网络建设需求 1 为 HIS PACS 等应用系统提供一个强有力的网络支撑平台 2 网络设计不仅要体现当前网络多业务服务的发展趋势 同时需要具有最 灵活的适应 扩展能力 3 全千兆网络带宽 4 一体化网络平台 整合数据 语音和图像等多业务的端到端 以 IP 为 基础的统一的一体化网络平台 支持多协议 多业务 安全策略 流量管理 服务质量管理 资源管理 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 11 页 5 建设一个可管理 支持无线应用的系统 6 建设一个安全管理平台 4 2 5 核心层需求分析核心层需求分析 核心层设备担负着整个网络的流量 在网络核心层的流量是非常巨大的 所有的服务器均在网络的核心层提供相关的服务 对网络核心层的压力非常巨 大 同时网络对安全性 稳定性的要求极高 由于网络也基本是一个金字塔的 形状 那么最需要稳定的就是金字塔的顶端 即网络的核心层 网络核心层同时需要对网络的接入层提供不同的网络层的路由规划和信息 转发的功能 同时还需要保证不同级别的网络 QoS 对于服务器的关键业务通 过链路级和网络级的协议实现严格的控制和优先级的保证 对于网络级的保护 通常时间是非常长的 那么对一些关键业务 我们就必须通过结合二层快速收 敛的协议一起来完成对网络安全性的提升和网络的自愈能力 设备必须支持对 不同部门的规划 如实现全网统一 VLAN 的规划等 对每个系统分配不同的 VLAN 并且针对不同 VLAN 实现不同的安全和控制的策略等 但是在自身的网络核心层需要通过完全的三层策略来进行 VLAN 的终结和三 层数据的交换工作 建议采用二层和三层协议相结合的方式共同实现网络的规 划工作 4 2 6 接入层需求分析接入层需求分析 网络的接入是对用户直接进行数据透传的层次 但是由于网络的特殊性 本次的接入层主要是对一个局域网进行接入 对本次的接入层的主要需求的分析如下 1 接入层用户数量的大直接产生大量的数据报文 直接通过三层的数 据承载上来 同时造成碰撞域和冲突域 使网络瓶颈产生于网络的低层 直接 影响接入质量 2 接入层用户数量大 而所应用的数据种类繁多 多种网络业务流量 的产生 包括组播业务的产生 对所接入的网络设备要求很高 使整个接入层 产生了一个业务接入瓶颈 3 网络的访问终结于共享数据的特定位置 因为接入层用户需要通过 网络最终访问位于网络另一端的共享服务器 而多个用户同时访问远端的同一 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 12 页 台服务器或者存在访问网络的其他节点的服务器 就需要这几个用户争抢网络 带宽 使接入层瓶颈提升到核心层 造成核心层资源的浪费 并且根据网络流 量的分析得出用户的访问方向是不规则的 网络一定会出现闲置的带宽的现象 如何规划路由将非常重要 4 网络流量和网络流向是宽带网络的一个新瓶颈 对于宽带网络接入 接入层网络的通常是以新 2 8 原则来划分的 其中有 20 的流量是在接入层交换机的内部进行交换的 而 80 的网络流量是通过上联 出口访问其他的网络设备 这里 就涉及到网络产生流量后 网络流向的问题 网络流向直接造成网络对于流量和流向所产生的网络瓶颈 5 网络用户是局域网用户 实际接入的用户就是一个网络 那么对于 不同网络之间的互访的安全性控制更是由为重要 同时各个不同的机关对本机 关内部流通的部分文件是要求要有绝对的安全性的 对其他部门的用户的访问 是分为很多的不同的级别的 4 34 3 系统设计系统设计 目前 HIS 系统在很多医院已经部署 很多传统业务都逐渐迁移到网络上 对网络的性能 安全和稳定提出了很高的要求 主要体现在以下几个方面 1 1 可靠迅速的响应以提供更好的医疗服务 可靠迅速的响应以提供更好的医疗服务 一般大医院每天的门诊量很大 HIS 系统每天对后台数据库的调用非常频 繁 会产生很大的数据流量 如果这种访问流量出了问题而导致无法正常进行 收费和医疗诊断 会产生严重的社会后果 因此医院对网络的访问性能有很高 的要求 2 2 安全的业务数据保证医院正常对外服务 安全的业务数据保证医院正常对外服务 在医院的业务系统中保存着大量患者的健康信息和过程费用信息 这些数 据无论对患者还是医院都非常关键 需要严格保密 因此如何保护这些数据 对医院有着重大的意义 3 3 高效的管理推动系统的稳定 提高维护的效果 高效的管理推动系统的稳定 提高维护的效果 HIS 经过几年的建设 已经初具规模 如何管好整个医院的业务系统 包 括用户 服务器 数据库 存储设备和网络等 提高医院管理效率 保证医院 网络的正常运转已经成为医院急需解决的大问题 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 13 页 4 4 医院数据的安全存储 医院数据的安全存储 医院需要存储包括病人信息 病案信息 费用信息和影像等数据 对数据 存储的安全性和扩展性要求非常高 5 5 区域医疗的建设 区域医疗的建设 为了在区域范围内实现远程会诊 网上学术研讨等业务 迫切需要医院之 间的资源共享 4 44 4 系统内网设计系统内网设计 4 4 1 内网建设需求内网建设需求 内网是医院核心网络系统 用于开展日常医疗业务 HIS LIS PACS 财 务 体检系统等 的内部局域网 系统应稳定 实用和安全 具有高宽带 大 容量和高速率等特点 并具备将来扩容和带宽升级的条件 医院网络建设需求 1 实现千兆主干 桌面接入实现 100 1000M 自适应 传输图像的桌面直接 实现 1000M 接入 2 配备的网管软件应提供可视的形象化的图形界面 对整个网络中网络产 品的全部端口进行监视和管理 3 核心交换机与汇聚接入交换机互联采用双星型结构 4 外科楼 门诊楼布置无线 AP 可为无线查房 病人上网提供接入服务 5 由于医疗行业的特殊性 医护人员和病患者之间需要频繁地在院内移动 同时处理大量的信息 要求网络具备可移动性 传输速率高等特点 同时考虑 到医院业务量的增加 网络需要留出足够余地扩容而不影响医院正常的工作 网络应用设计要求 1 院内核心网络系统 HIS PACS 和 LIS 体检系统等应用分别单独组网 以子网的形式组成医院的整体网络 各网络功能独立应用 信息互通 资源共 享 当任何一个子网出现故障 都不会影响到其他子网的使用 2 传输动态图像的部门有 放射影像科 PET CT 核磁共振 MRI 介入放 射科 DSA B 超室 心超室 脑超室 心电图室 肌电图室 胃肠镜室 内窥镜 室 重症监护室 ICU CCU 等 手术室 麻醉科 视频示教室和会议室等 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 14 页 3 为了更好地服务于医疗科研工作 需要将各类监护治疗仪器上的各项生 命体征等信息以数字化手段采集并且保存下来 在需要时 可随时还原 因此 考虑将医院所有的监护仪器和大型设备都联网 4 4 2 内网设计及规划内网设计及规划 内网是整个医院的核心网络 开展医院日常重要的医疗业务 对网络的可 靠性 稳定性要求非常高 本次设计的网络按照千兆带宽 可扩展万兆交换平 台 内网核心交换机双机冗余 负载分担 网内拓扑设计采用二级双星型架构二级双星型架构 分为核心层核心层 接入层接入层 核心层位于机房网络的中心 负责全网的路由交换 并 与各服务器 存储等核心医院应用相连 接入层位于各大楼内的楼层 负责直 接接入桌面系统 本次内网采用千兆双绞线到桌面 与核心层进行千兆光纤连 接 1 核心交换机由两台 S7510E 组成双星型网络 当任意一条链轮或任意一台设 备出现问题时 保证网络正常运行 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 15 页 2 汇聚层采用 S5120 EI 汇聚交换机 通过双千兆光纤与核心交换机互联 保 证链路的可靠 千兆与接入层交换机互联 3 接入层 千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一 在诸如 医疗行业的会诊 医疗影像 医疗科研协作等 应用在消耗大量带宽的同时 也在追求终端用户的满意度 基于双绞线的千兆以太网可以将更多的应用从低 速链路中解放出来 并且为医务工作者创新提供了一个崭新高效能工作平台 4 无线 考虑到整体的无线接入点数量很多 建议使用 Fit AP 加 AC 控制器的 方式 AC 控制器部署在核心交换机 以 AC 无线控制器插卡的方式公用核心交 换机的资源 做到有线 无线一体化的融合网络解决方案 采用瘦 AP 组网方式 医护人员在使用无线网络中能做到无缝漫游 5 管理 智能管理中心 iMC 具备网络拓扑 网络性能 网络配置 网络安全 网络告警 网络业务的统一管理 同时在其上可以配置有多种业务管理组件 本次配置有线无线一体化管理组件 WSM 方便管理大规模的无线管理网络 端 点准入解决方案 EAD 在身份接入基础上 支持安全状态评估 网络安全威胁定 位 安全事件感知及保护措施执行等 预防因未打补丁 病毒泛滥 ARP 攻击 异常流量 非法软件安装和运行等因素可能带来的安全威胁 并可根据终端的 安全状态实现终端 VIP Guest 隔离 下线等多种控制策略 从端点接入上保 证每一个接入网络的终端的安全 从而保证网络安全 4 54 5 系统外网设计系统外网设计 4 5 1 外网建设需求外网建设需求 1 实现千兆主干 桌面接入实现 100 1000M 自适应 传输图像的桌面直接 实现 1000M 接入 2 核心交换机与接入交换机互联采用星型结构 3 防问互联网时采用一定的安全手段 如防火墙和 IDS 4 能够提供强大的网络防问控制 路由功能 4 5 2 外网设计及规划外网设计及规划 由于外网主要用于医院 OA 办公 图书馆信息查询 外网相对于内网来说可 靠性要求相对级别次低一级 初期按照采单核心交换机 双引擎 百兆接入到 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 16 页 桌面设计 采用接入直接到核心的简洁二层结构 根据用户后期细化可靠性需 求 链路冗余性需求后 再做进一步调整 在接入层接入层 选用 H3C S5120 系列千兆交换机 H3C S5120 EI 系列交换机具 备丰富的业务特性 提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口 通过 H3C 特有的 IRF 智能弹性架构 功能 用户能够简化对网络的管理 S5120 EI 系列千兆以太网交换机定位为千兆接入 同时还可以用于数据中心服务器群的 连接 在核心层核心层 选用 S7506E 作为外网的核心交换机 S7500E 作为高端多业务 路由交换机 融合了 MPLS IPv6 网络安全 无线 无源光网络等多种业务 提供不间断转发 优雅重启 环网保护等多种高可靠技术 在提高用户生产效 率的同时 保证了网络最大正常运行时间 从而降低了客户的总拥有成本 TCO 在网络出口处部在网络出口处部署网神千兆防火墙 网神企业级千兆防火墙 SecGate 3600 G7T 是一款接口数目多 配置灵活 网络适应性好的千兆防火墙产品 产 品基于自主开发的 SecOS 在高性能硬件平台的支撑下 处理能力可达 4Gbps XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 17 页 在出口路由器上在出口路由器上采用 H3C MSR5060 该系列产品可以为大型分支机构提供 高性能 多业务的一体化网络方案 也可以作为大中型企业的核心网络设备 完成数据 语音 视频等多种流量的广域网交互 MSR50 针对安全数据连接进 行设计 采用内置硬件加密功能的 CPU 和主板上内置的硬件加密引擎 大大提 高产品的数据加密性能 同时节省接口插槽 另外 MSR 50 系列路由器还通过 集成以太网交换模块提供二层数据交换功能 实现了真正的路由交换一体化解 决方案 5 5产品选型产品选型 5 15 1 核心交换机选型核心交换机选型 核心交换机选用 H3C 的 S7500E 系列交换机有如下特点 一 丰富的业务 适应融合业务网络发展趋势 全面的 MPLS 业务能力 H3C S7500E 所有产品均支持 Multi VRF 特性 可以做为 MCE 设备使用 支持三层的 MPLS VPN 和二层的 MPLS VPN Martini Kompella 等 可扩展 支持 VPLS 技术 支持 MPLS OAM 特性 方便用户的管理和维护 支持 VPN 组播 与 H3C MPLS VPN Manager 配合 实现图形化的 MPLS 部署与维护 线速的 IPv4 IPv6 业务能力 H3C S7500E 支持 IPv4 IPv6 双协议栈 支持多种隧道技术 支持 IPv4 IPv6 的组播技术 为用户提供完善的 IPv4 IPv6 解决方案 H3C S7500E 采用分布式 体系架构 实现 IPv4 IPv6 业务的线速无阻塞转发 H3C S7500E 已经通过了信 息产业部的 IPv6 入网认证和 IPv6 Ready 第二阶段金色认证 是成熟商用的 IPv6 产品 有线无线一体化 有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力 包括精细的用户控 制管理 完善的 RF 管理及安全机制 快速漫游 超强的 QoS 和对 IPV6 的支 持等 无线控制模块通过与安全策略服务器的联动 实现对无线接入用户的端 点准入防御 提高了整网的安全性 H3C S7500E 是业界最高密度的以太网无源光网络 EPON 设备 单台最 大可接入 10240 个 FTTH 用户 H3C S7500E 是高可靠的 EPON 系统 采用分 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 18 页 布式体系结构 模块化设计 主控板冗余热备份 无源背板 冗余电源支持双 路供电 具有电信级可靠性 支持 Portal 认证 H3C S7500E 支持大容量的 Portal 认证功能 可以在数千用户的局域网中做 为 EAD 网关设备 为全网用户提供 EAD 安全认证功能 可以在大中型的校园 网中担任汇聚 核心设备的同时 为学生宿舍区的认证计费提供 Portal 认证功能 二 灵活的配置 适应各种应用场景 配线间融合业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡 单台设备可以提供 480 个千兆线速接口和 4 个万兆线速接口 H3C S7500E 支持端点准入防御解决 方案 解决终端安全问题 内置 2800W 电源直接提供 PoE 功能 对 IP 语音和 无线接入提供良好的支持 政府电力城域网边缘和汇聚的最佳选择 H3C S7500E 支持 Multi VRF 特性 为用户提供高可靠高性能的 MCE 设备 通过配置 Salience VI Turbo 引擎 可以提供集中式 MPLS 业务功能 适合在城 域网边缘作为高性价 PE 设备使用 通过配置 EA 类板卡 可以提供分布式线速 的 MPLS 业务功能 适合在城域网汇聚层作为高性能的 PE 使用 IPv6 网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能 H3C S7500E 针对 IPv4 IPv6 高性能的要求还开发了分布式 IPv4 IPv6 转发的 SC 板卡 在整机满配置状态下实现线速无收敛 为高校用户提供了高性能低成本的双栈 汇聚核心设备 同时也满足其他行业用户 IPv6 Ready 的需求 三 全方位的安全保障 抵御多种网络安全威胁 三平面安全保障机制 H3C S7500E 提供完善的安全防护机制 可从控制 管理 转发三平面全面 保障网络的安全 在控制平面 内置协议报文攻击识别模块 防止 TCN ARP 等协议报文攻击 OSPF BGP IS IS 路由协议采用 MD5 验证 防止非法路由更 新报文导致的网络瘫痪 在管理平面 SNMPv3 网管协议 SSH V2 基于 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 19 页 802 1x AAA Radius 的用户身份认证以及分级的用户权限管理保证了设备管理 的安全性 在转发平面 支持 IP VLAN MAC 和端口等多种组合精细绑定 支持 uRPF 单播反向路径转发 防止非法流量访问网络 采用最长匹配逐包转 发机制 有效抵御病毒的攻击 H3C S7500E 还支持内置的高性能防火墙 异常 流量清洗等模块 将专业的安全融入到交换机之中 有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分 S7500E 可以 动态的接收来自安全策略服务器的控制策略 根据终端的安全状态给予下发相 应的访问权限 H3C S7500E 既支持有线终端用户的 EAD 也支持无线终端用 户的 EAD 能够做到终端安全防范无漏洞 增强的 ACL 特性 H3C S7500E 系列产品支持强大的 ACL 能力 支持标准和扩展 ACL 支持 基于 VLAN 的 ACL 方便用户配置 节省 ACL 资源 支持出方向和入方向的 ACL 每板最大可支持 9K 条 ACL 满足金融等行业访问权限严格控制的需求 四 电信级的高可靠性 保障用户业务长期稳定运行 电信级高可靠性设计 H3C S7500E 采用无单点故障设计 所有关键部件 如主控板 交换网 电 源和风扇等采用冗余设计 无源背板避免了机箱出现单点故障 所有单板和电 源模块支持热插拔功能 H3C S7500E 系列可以在恶劣的环境下长时间稳定运行 达到 99 999 的电信级可靠性 多业务高可靠性运行 H3C S7500E 支持不间断转发和优雅重启 提供毫秒级的切换时间 支持等 价路由 可帮助用户建立多条等值路径 实现流量的负载均衡及冗余备份 支 持 RRPP 快速环网保护协议 提供小于 200ms 的环网故障保护 支持 Smart Link 协议 保证双上行网络拓扑的业务毫秒级快速切换 通过上述技术 H3C S7500E 可以在承载多业务的情况下不间断运行 实现业务的永续 支持热补丁技术 H3C S7500E 能够在不重启设备的前提下 通过热补丁技术 在线修改软件 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 20 页 BUG 增加新的业务特性 H3C S7500E 提供控制补丁单元状态切换的用户命 令 使用户能够方便的加载 激活 去激活 运行或删除补丁单元 通过热补 丁技术 降低了设备需要重启的次数 为客户提供更长的网络正常工作时间 主机机箱 含系统软件 热拔插风扇 1 台 业务引擎 1 个 交流电源 2 块 千兆 SFP 插槽 24 个 千兆 RJ45 接口 24 个 配置千兆单模光纤模块 24 个 配套支持 IPv6 MPLS 技术完整版软件 配置无线控制器业务板 1 块 两台核 心交换只需一块 机箱插槽式交换机 分布式体系结构 模块化设计 核心交换机配置 的所有业务板均须支持分布式MPLS Crossbar非阻塞交换阵列 最大交换容量 1150Gbps 交换机IPV4包转发速率 780Mpps 背板带宽 2 4Tbps 整机总插槽 12 配置冗余引擎后 业务接口的插槽 10 千兆电口和百兆电口支持PoE特性 便于扩展多媒体业务 三层1000M线速交换设备 支持万兆接口 支持带万兆接口的管理引擎模块 支持双主控引擎冗余备份 两块电源即可提供电源冗余 支持IPv6 的ASIC代理技术 使不支持IPv6的板卡借助这项技术能够支 持IPv6报文的硬件转发 配置的单业务板1000M同时可用端口数不少于24个 通过IPv6 Ready第二阶段金牌认证 并提供查询网址和测试机构正式证 明函扫描件 整机最大支持1000M端口数 90个 IPv4路由表容量 120K IPv6路由表容量 120K MAC地址表 120K 必须支持DHCP Server 支持IP MAC VLAN PORT的任意组合绑定 硬件支持分布式IPv6线速处理 并提供中文版IPv6路由协议和隧道协议 的操作手册和命令行手册 其中路由协议必须支持RIPng OSPF V3 IPv6 IS IS和IPv6 BGP 隧道协议必须支持IPv6手动隧道 6to4隧道 和ISATAP隧道 支持MLD Snooping和IPv6 PIM 支持路由协议的多实例特性 VRF数量不小于32个 内置 DHCP Server 可对用户分配IP地址 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 21 页 支持DHCP Snooping 防止欺骗的DHCP服务器 支持动态ARP检测 防止中间人攻击和ARP拒绝服务 支持BPDU guard Root guard 支持uRPF 单播反向路径检测 杜绝 IP源地址欺骗 防范病毒和攻击 所有模块 风扇 电源支持冗余和热插拔 支持802 1x radius认证 支持中文图形化网管 网管提供用户和设备一体化管理功能 可以直 接提供Radius Server 支持基于第二层 第三层和第四层的ACL 平均每板提供ACl条目数不 小于4000条 支持VLAN ACL和IPv6 ACL 支持出方向ACL 以便于 灵活实现数据包过滤 支持IEEE 802 1x LAN用户认证 802 1x动态 VLAN分配 支持Portal认证并提供中文版操作手册 支持IP Port MAC 的绑定功能 支持防火墙模块 吞吐量 6G 并发连接数 200万 每秒新增连接6 万 提供 2Gbps以上VPN加密功能 支持千兆级入侵防御模块 支持千兆负载均衡业务模块 支持SSL VPN业务板模块 投标文件中应提供产品彩页 提供信息产业部 IPv6 IPV4 入网证 5 25 2 接入交换机选型接入交换机选型 接入交换机建议选用 H3C 公司的 S5120 EI 系列 该交换机具有如下特点 随着用户端速度不断提高 用户最终会使集群千兆链路达到饱和 而能够 拥有多条 10GE 链路将是我们的未来发展方向 S5120 EI 系列交换机支持两个 扩展槽位 每个槽位支持单端口或双端口的 10GE 扩展模块 在实现千兆汇聚 或接入时保留进一步支持 10GE 的扩展能力 尽力保护用户投资 S5120 EI 系列支持 IPv4 和 IPv6 的三层路由功能 并可以实现基于硬件的 IPv4 和 IPv6 的全线速转发 同时支持 IPv6 的 ACL 和网管 实现 IPv4 到 IPv6 的平滑升级 智能弹性架构 H3C S5120 EI 系列交换机支持 IRF2 第二代智能弹性架构 技术 就是把 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 22 页 多台物理设备互相连接起来 使其虚拟为一台逻辑设备 也就是说 用户可以 将这多台设备看成一台单一设备进行管理和使用 IRF 可以为用户带来以下好 处 简化管理 IRF 架构形成之后 可以连接到任何一台设备的任何一个端口就以登录统 一的逻辑设备 通过对单台设备的配置达到管理整个智能弹性系统以及系统内 所有成员设备的效果 而不用物理连接到每台成员设备上分别对它们进行配置 和管理 简化业务 IRF 形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的 例如路由协议会作为单一设备统一计算 而随着跨设备链路聚合技术的应用 可以替代原有的生成树协议 这样就可以省去了设备间大量协议报文的交互 简化了网络运行 缩短了网络动荡时的收敛时间 弹性扩展 可以按照用户需求实现弹性扩展 保证用户投资 并且新增的设备加入或离 开 IRF 架构时可以实现 热插拔 不影响其他设备的正常运行 高可靠 IRF 的高可靠性体现在链路 设备和协议三个方面 成员设备之间物理端 口支持聚合功能 IRF 系统和上 下层设备之间的物理连接也支持聚合功能 这样通过多链路备份提高了链路的可靠性 IRF 系统由多台成员设备组成 一 旦 Master 设备故障 系统会迅速自动选举新的 Master 以保证通过系统的业务 不中断 从而实现了设备级的 1 N 备份 IRF 系统会有实时的协议热备份功能 负责将协议的配置信息备份到其他所有成员设备 从而实现 1 N 的协议可靠 性 高性能 对于高端交换机来说 性能和端口密度的提升会受到硬件结构的限制 而 IRF 系统的性能和端口密度是 IRF 内部所有设备性能和端口数量的总和 因此 IRF 技术能够轻易的将设备的交换能力 用户端口的密度扩大数倍 从而大幅 度提高了设备的性能 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 23 页 完备的安全控制策略 H3C S5120 EI 系列交换机支持 EAD 端点准入防御 功能 配合后台系统 可以将终端防病毒 补丁修复等终端安全措施与网络接入控制 访问权限控制 等网络安全措施整合为一个联动的安全体系 通过对网络接入终端的检查 隔 离 修复 管理和监控 使整个网络变被动防御为主动防御 变单点防御为全 面防御 变分散管理为集中策略管理 提升了网络对病毒 蠕虫等新兴安全威 胁的整体防御能力 H3C S5120 EI 系列交换机支持对试图接入网络的用户进行 802 1x 认证 可 以在交换机上对 802 1x 客户端的版本和有效性进行验证 防止非法用户登录网 络 支持集中式 MAC 地址认证 可以基于端口和 MAC 地址对用户的网络访问 权限进行控制的认证方法 它不需要用户安装任何客户端软件 而且可以同时 运行 802 1x 认证和基于 MAC 地址认证 提供 Guest Vlan 功能 使得为被授权 的访问端只能接入访问特定的资源 并且会采取相应的策略 例如可以获得 802 1x 客户端 升级客户端或者获得其他的升级程序等等 支持 Secure Shell V2 SSH V2 特性可以提供安全的信息保障和强大的认证功能 以保护以太网 交换机不受诸如 IP 地址欺诈 明文密码截取等等攻击 丰富的 QoS 策略 H3C S5120 EI 系列交换机支持支持 L2 Layer 2 L4 Layer 4 包过滤功 能 提供基于源 MAC 地址 目的 MAC 地址 源 IP 地址 目的 IP 地址 TCP UDP 端口号 协议类型 VLAN 的流分类 提供灵活的对列调度算法 可 以同时基于端口和队列进行设置 支持 SP WRR SP WRR 三种模式 支持 CAR 功能 粒度最小达 64Kbps 支持出 入两个方向的端口镜像 用于对指 定端口上的报文进行监控 将端口上的数据包复制到监控端口 以进行网络检 测和故障排除 出色的管理性 H3C S5120 EI 系列交换机支持 SNMPv1 v2 v3 Simple Network Management Protocol 可支持 Open View 等通用网管平台以及 iMC 智能管理 中心 支持 CLI 命令行 Web 网管 TELNET HGMPv2 集群管理 使设备管 理更方便 并且支持 SSH2 0 等加密方式 使得管理更加安全 XXX 医院综合楼弱电及系统集成工程项目 计算机网络系统设计方案 第 24 页 H3C S5120 EI 系列交换机支持基于 MAC 地址划分 VLAN 很好的解决了 移动办公的智能灵活管理 结合特有的基于全局和 VLAN 下发 ACL 策略 在 简化用户配置的同时 也大幅节约了硬件资源 机箱插槽式交换机 分布式体系结构 模块化设计 核心交换机配置 的所有业务板均须支持分布式MPLS Crossbar非阻塞交换阵列 最大交换容量 1150Gbps 交换机IPV4包转发速率 780Mpps 背板带宽 2 4Tbps 整机总插槽 12 配置冗余引擎后 业务接口的插槽 10 千兆电口和百兆电口支持PoE特性 便于扩展多媒体业务 三层1000M线速交换设备 支持万兆接口 支持带万兆接口的管理引擎模块 支持双主控引擎冗余备份 两块电源即可提供电源冗余 支持IPv6 的ASIC代理技术 使不支持IPv6的板卡借助这项技术能够支 持IPv6报文的硬件转发 配置的单业务板1000M同时可用端口数不少于24个 通过IPv6 Ready第二阶段金牌认证 并提供查询网址和测试机构正式证 明函扫描件 整机最大支持1000M端口数 90个 IPv4路由表容量 120K IPv6路由表容量 120K MAC地址表 120K 必须支持DHCP Server 支持IP MAC VLAN PORT的任意组合绑定 硬件支持分布式IPv6线速处理 并提供中文版IPv6路由协议和隧道协议 的操作手册和命令行手册