某市人民医院网络改造方案.doc

*市人民医院网络改造方案*市人民医院网络改造方案书*有限责任公司2007年 12月目 录第一章、系统设计概述41.1 医疗行业背景41.2 行业应用特点51.3 应用需求分析61.3.1 应用需求61.3.2 技术需求71.3.3 性能需求71.3.4 管理需求71.3.5 安全需求71.3.6 经济分析81.4 网络设计原则81.4.1 安全性81.4.2 先进性81.4.3 开放性91.4.4 扩展性91.4.5 冗余性91.4.6 高性能91.4.7 规范化和标准化91.4.8 网络分层10第二章、网络建设方案102.1 贵单位网络现状102.1.1 现有设备分析102.1.2 现有架构及管理模式分析112.2 建筑物布局图112.3 网络拓朴图122.3.1 方案A拓朴图122.3.2 方案B拓朴图132.4 建议方案说明14第三章、设备选型说明153.1 三层（核心）交换153.1.1 锐捷RG- RG-S3760-24参数153.1.2 华为3528P-EA参数193.1.3 技术参数对比223.2 二层（接入层）交换233.2.1 锐捷RG-S2026F233.2.2 华为S2403TP-MI26第四章、网络管理的设计274.1网络管理概述284.2网络管理需求分析284.2.1故障管理284.2.2配置管理294.2.3系统管理294.2.4性能管理29第五章、网络方案特点295.1 统一的网络管理295.2 完善的安全访问机制305.3冗余的设计305.4 严格的QoS保证30第六章、网络安全设计326.1 VLAN安全设计326.1.1 VLAN326.1.2 VLAN Routing336.1防网络病毒设计336.2防网络攻击设计356.2.1 MAC攻击356.2.2 ARP攻击366.2.3IP/MAC欺骗攻击366.2.4 STP攻击366.2.5 DoS/DDoS欺骗攻击376.2.6 IP扫描攻击376.2.7交换机的网络管理问题37第七章 我司服务网络387.1 综述387.2 售后热线38第八章、设备报价398.1 华为设备报价398.2 锐捷设备报价40第一章、系统设计概述1.1 医疗行业背景随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT等高科技行业的专利，当今社会信息化进程迅猛发展，网络技术已经对社会、经济和文化各方面产生重大影响，并将改变人们认识世界、思考世界的观点和方法。作为传统行业之一的医疗卫生行业，如何面对网络时代带来的冲击，如何利用网络技术提高医疗卫生行业的管理水平和服务质量，是无法回避的问题。随着信息技术的不断发展和人们对医疗保健水平的要求不断提高，医院信息化建设已经迫在眉睫。我国医院的信息处理基本上还停留在手工方式，劳动强度大且工作效率低，医师护士和管理人员的大量时间都消耗在事务性工作上，致使人不能尽其才；病人排队等候时间长，辗转过程多，影响医院的秩序；病案、临床检验、病理检查等许多宝贵的数据资料的检索十分费事甚至难以实现；对这些资料深入的统计分析手工方式无法进行，不能充分为医学科研利用；在经济管理上也因而存在漏、跑、错费现象；医院物资管理由于信息不准确，家底不明，积压浪费，以致物不能尽其用。信息化建设是解决上述问题的有效途径。信息化系统的有效运行，将提高医院各项工作的效率和质量，促进医学科研、教学；减轻各类事务性工作的劳动强度，使他们腾出更多的精力和时间来服务于病人；改善经营管理，堵塞漏洞，保证病人和医院的经济利益；为医院创造经济效益。 医疗行业作为与国民生活质量息息相关的行业，其信息化的实施愈来愈引起业内外人士的普遍关注。根据医疗系统的信息化水平划分，医院信息化发展要经历三个阶段：医院管理信息化（HIS）阶段、临床管理信息化（CIS）阶段、局域医疗卫生服务（GMIS）阶段。 医院信息化首先从医院管理的信息化（HIS）开始，医院信息系统(Hospital Information System, HIS)在国际学术界已公认为新兴的医学信息学(Medical Informatics)的重要分支。美国该领域的著名教授Morris.Collen于1988年曾著文为医院信息系统下了如下定义：利用电子计算机和通讯设备，为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力，并满足所有授权用户的功能需求。这个阶段又分为部门级的信息化管理和全院的信息化管理。部门信息化管理设计着眼于一个部门的任务需求；全院信息管理系统不是各部门信息管理系统的简单叠加，医院的各种信息是相互关联的。例如，同样是收费，部门信息化时，只要求分清费种，得出总体费用，与收款机的功能类似。但是收费的同时，还要将各部门的具体工作量落实到仪器设备、人员、科室等。目前我国各大中型医院已经实现了部门的信息化管理，条件较好的医院正在向全院信息化管理过渡。第二阶段是临床管理信息化（CIS）阶段，主要包括电子病历系统和医学影像系统。这要求医院的工作人员都有终端设备，信息处理无纸化，医院之间实现联网，电子病历等信息可在网上传递。现在国际上医疗技术较发达的国家正在进行由第一阶段向第二阶段的过渡，我国也有一些医院在进行尝试。第三阶段是局域医疗卫生服务（GMIS）阶段，即在社区、偏远地区实现远程的医疗信息资源充分共享。我国医院信息化目前的现状大多数还停留在第一个阶段，医院也从中得到了避免漏费、规范财务管理的好处，但是真正的医疗业务还很少能参与到信息化的方式中去。随着医院管理体制改革的深入，为病人服务的观念逐渐推广、深入。以病人为中心是医院管理倡导的理念，落实到信息系统上就是要最大程度地为医生护士提供服务，提高他们为病人服务的效率和工作质量。另一方面，病人信息是医院的基础信息，医疗和经济管理信息大多从病人信息派生得到。因此，病人信息应当成为医院信息管理的重点，与之相应的临床信息系统也应当成为主要目标之一。临床信息系统应以提高医护人员的工作效率和工作质量为目标。比如医生工作站中的辅助病历书写、医嘱自动处理、手术麻醉、监护系统等，可以简化医疗信息记录；在辅诊系统中，医生通过参照病人的其它检查结果，可以作出更准确的判断；临床医生工作站可以提供规范的治疗方案、各种警告提示等。事实证明，临床信息系统非常受医护人员的欢迎。在临床信息系统发展的基础上，逐步建立电子病历，进一步促进病历信息的共享和利用，这也是未来的发展重点。 1.2 行业应用特点医疗行业作为关系人民生命安全和国家稳定和重要行业而一直受到国家和各级部门的重视，如何有效的提高我国的医疗水平，更好的为人们提供医疗服务，国家和医疗行业所关注的问题。随着计算机网络的发展，医疗行业也在不断的建设满足自身应用的行业应用信息系统。然而，由于国家早期对医疗行业信息化建设的认识不足，而医院自身对医疗行业的投资和认识都较低，导致我们国家医疗行业的信息化建设起步较晚，而且医疗行业的信息化建设相对其他行业的信息化建设要落后很多，而且各个医院都存在很大的差异。信息化建设对于推动医疗行业自身的发展和提高工作效率、为患者提供更及时更准确的服务都起到了至关重要的作用。因此，正是看到了信息化建设对医疗行业发展的重要作用和目前医疗行业信息化的落后现状。政府和医院自身都开始不断的加强信息化的建设，不仅发布了相关的各种发展规划纲要，鼓励医疗行业的信息化建设，同时，医院自身也在不断的加大信息化建设的投资。自从计算机出现之后，经过几年的发展诞生了计算机网络；网络的诞生，极大的提高了各个行业的信息交互速度和工作效率。随着计算机技术和网络技术的发展，为了实现更高效的信息交互和资源共享，提高生产效率，各个行业的网络建设规模也在不断的扩展，每个行业都在准备开始或正在发展自己的信息化建设，作为关系民生的医疗行业从十年前就开始了行业内的信息化建设。党的十五届五中全会提出“大力推进国民经济和社会信息化，是覆盖现代化建设全局的战略举措。以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展。”。“九五”以来，我国医疗信息化建设取得了明显进展：实施国家卫生信息网建设项目，信息化基础设施建设已见成效。在选取“飞”的翅膀时，计算机网络解决方案的选取是关键。锐捷网络公司以其卓越的产品性能、丰富的产品种类和完善的服务体系，综合考虑了医疗行业对网络安全、网络管理、可靠性、可管理性、可扩展性和高性能的特殊需要，精选出适合中南大学湘雅三医院医院的网络建设的解决方案。1.3 应用需求分析1.3.1 应用需求根据卫生部信息化十五规划和医保社保的迫切要求，全国医疗卫生系统从2000年年底开始试点“医院管理信息系统”，实现基于财务的信息管理（门诊划价、收费系统），实现基于医生的辅助治疗，医生工作站、辅助病因分析及治疗建议；实现PACS（影像应用传输系统）基于临床的影像信息管理，分析。还有电子病历、远程医疗、药房管理等。1.3.2 技术需求根据应用分析，特定的应用必须要有特定的技术来实现，才能得到预期的应用效果，分析网络的应用，属于集中式应用（客户机/数据中心），网络的数据流量有大约80%集中于网络的主干，所以网络的主干应该是高性能的交换式结构，而且具有较高的系统扩展能力（如端口数量）和新技术应用能力（如万兆、千兆以太网）。关键技术的应用。例如，对于语音和视频应用，交换机系统首先要支持组播技术（IGMP，PIM等）和严格的服务质量管理体系（QoS）。1.3.3 性能需求系统的安全高效运行需要系统内的各个设备具有独立的高性能和协同的高性能：为使网络结构尽量稳定可靠，应采用星型拓扑结构，中心节点与边缘节点间为1000M以太网，服务器以1000M接入中心交换机。中心交换机应支持无阻塞交换，各种模块支持热插拔，并支持基于板卡智能分布式的基础上实现端口同步级处理等功能。应用复杂化和多元化，需求网络高带宽，核心层到接入层千兆链路以太网为目标。1.3.4 管理需求网络管理能提供流量、状态等多种信息。网络管理能实施有效的监控。需要能够对网络设备进行集中的统一管理，自动生成网络拓扑结构，通过颜色变化来区分设备运行情况。安全策略批量下发，及时调整安全策略，批量对交换机群管理，提高网络安全管理。1.3.5 安全需求由于病人病历、医保等数据的特殊性，网络系统的安全性成为突出的矛盾，所以，安全性应考虑以下几点：分层过滤：包括支持链路层的访问控制，传输层的访问控制，网络层（FireWall，IPsec）的访问控制以及应用层的安全控制等。安全策略管理：杜绝非法的组播源播放非法的组播信息；如何有效控制和预防病毒的传播和网络的攻击；由于各种病毒在被公布前很难防范，网络技术需要能适时的调整安全策略，并在最短的时间内部署到全网，把病毒拒绝在网络之外。1.3.6 经济分析在适当考虑未来发展和先进性能的前提下，以最佳性能/价格为原则。即尽可能采用高档次、低配置、逐步扩展的原则。1.4 网络设计原则1.4.1 安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，锐捷网络充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、用户访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证内外网安全。1.4.2 先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来相当长的时间内占主导地位，保证网络建设的领先地位。 1.4.3 开放性采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。1.4.4 扩展性系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。1.4.5 冗余性 考虑到网络的安全稳定及关键业务不受影响，在线路的设计上我们选择了在服务器区域采用双线路连接到核心，服务器区域是医院网络的核心业务，是我们重点保障的对象，采用双线路后可以保证在任何一根物理连接线出现故障时都可以通过另一条链路连接到核心交换机保证服务器的永续服务。1.4.6 高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。1.4.7 规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。1.4.8 网络分层为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、接入层等二个层次。 核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。接入层设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。第二章、网络建设方案2.1 贵单位网络现状2.1.1 现有设备分析贵医院分为两个院，并分别在市的两个区；目前是使用链路相连接。老院共分为五个区，新院一个区，设备分布如下：区域用使用设备是否能网管连接介质集中布线备注院办楼Tenda The-2400s 一台否双绞线是门诊楼及药库CISCO2950 一台是光纤是已坏Tenda The-2400s 一台否财务楼Tenda The-1600 一台否双绞线是图书室无无不详不详临时机房CISCO 3550全光口一台是是状态不详CISCO 2950 一台是已坏艾泰4500 一台出口设备住院部D-Link 1024 一台否光纤是小交换机 两台新病区待配是新医院Tenda The-2400s 一台否光纤是Tenda The-2400s 一台否华为2403 一台是2.1.2 现有架构及管理模式分析1、现在的网络架构采用的是星形结构，传统的、非网管的局域网；给网络管理等带来很大的不便；2、目前部分楼幢间采用双绞线连接，并且未安装防雷系统，容易造成设备被雷击而烧毁；3、接入层设备均为非网管交换，不能划分VLAN，整个网络处在同一个VLAN中，网络中广播风暴、扫描等有害数据严重影响了网络系统的稳定性，影响了医院门诊收费、挂号、门诊工作站等医院系统的正常运行，给网络中心造成了极大的压力；4、在整个网络中任意一组MAC、IP均可被盗用，并且相当灵活；使恶意用户有机可寻；5、中病毒机攻击范围广，无法定位中毒用户；6、无法实现MAC+端口+IP三者的安全绑定；7、无法实现QOS服务，无法保障业务质量；8、不能灵活的控制用户上内外网。2.2 建筑物布局图上图为医院建筑物平面布局，现有线路图。2.3 网络拓朴图整个贵院网络总信息点数在300左右，下面提供两个改造方案供贵院选择。2.3.1 方案A拓朴图对方案A的几点解释：1、采用三层结构，三层交换机作为核心，二层交换作为汇聚，傻瓜交换机作为接入层设备；从结构上来讲已在达到三层结构的标准，但功能远不及带网管功能的二层结构。2、在关键楼幢（同时存在内外网用户的楼幢）中增加了二层交换，方便划分VLAN。但是，根据目前设备情况来考虑，无法达到每个科系在同一个VLAN中，给网络故障定位带来了无穷的困难。3、无法实现MAC+端口+IP三者的安全绑定，无法满足HIS等系统高网速的要求；给恶意用户带来了机会。4、无法管理接入层设备的运转，查看负载等情况，给下次网络升级留下了隐患。5、老设备基本上能运用到改造后的网络中，需改造线路1条。6、需增加的设备：设备事项单位数量三层交换 台 24口二层交换台傻瓜交换16口台2.3.2 方案B拓朴图对方案B的几点解释：1、采用经典的两层结构模型，三层交换机作为核心，二层交换作为接入层设备；2、均使用二层交换接入，方便划分VLAN。能达到每个科系的用户在同一个VLAN中，部分需上外网的用户在防火墙上进行控制，给网络故障定位带来方便。3、能实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。4、下次网络升级中，此类设备完全可以继续工作在接入层，并且支持网管，可随时通过网络查看设备的运行情况。5、老设备基本上能运用到改造后网络中，新病区楼只需增添部分新设备即可完成改造。6、需增加的设备：设备事项单位数量三层交换 台 24口二层交换台傻瓜交换台为了方便网络再升级，少浪费，方便管理与应用，推荐方案B。2.4 建议方案说明l 网络信息化建设的挑战以前的接入交换机，早期网络已经不能满足联合医院日益增长的应用系统的需要，尤其是HIS/PACS等系统的对网络高稳定性和数据传输高带宽的需要。因此，网络中心在网络建设中，在网络接入信息点数的同时，需要通过全面的网络建设，在提升网络稳定性的同时，提高医院信息系统的使用性能，同时全面提升医院医疗服务水平。本次网络系统建设是在原来的网络系统建设基础上进行全网的网络系统提升,同时,需要将分院网络通过高速的网络链路接入到主院网络系统中,实现医院应用系统的全面融合。本次外网建设采用可平滑升级至千兆的核心交换机，可通过冗余的方式来保证医院网络的高可靠性，并通过高档三层安全接入交换机，保证了对每个用户的三层业务进行终结，保证了网络区域精细化控制和简单的管理，使院门诊收费、挂号划价、医生工作站等系统能高速稳定的接入主院网络系统中。同时，由于网络设备的不断增加，给网络管理和网络维护带来了一定的难度，需要通过一套网络设备管理系统对整个网络系统内的设备应用情况和链路情况进行全面的查看、监控和管理。l 稳定、可靠、以管理的网络建设通过本次的网络建设,可将核心设备配置冗余管理引擎和冗余电源模块,保证了网络核心设备的高稳定性。同时，核心设备采用千兆路由交换机，提升了整个医院内部网络系统的性能，保证门诊收费、药品划价和门诊药房发药等系统的协调快速、准确运行，减少病人的等待时间。在网络中心部署StarView网络设备管理系统，通过对网络设备及非网管设备和HUB的有效监控，确保了医院内部核心网络系统的使用安全。有效的避免了各种安全隐患。第三章、设备选型说明下面对华为、锐捷两家设备进行参数对比并推荐选型。3.1 三层（核心）交换根据网络改造的实际情况，需要在网络中心部署一台核心交换机，为了满足实际网络的需要和未来的升级扩展，该核心交换机要求：需支持千兆端口、支持链路聚合IEEE 802.3ad、支持三层协议、较高的背板带宽和包转发率、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。根据具体情况，建议核心交换机采用锐捷新一代双协议栈多层交换机RG-S3760-24或华为3528P-EA，各设备具体特点如下：3.1.1 锐捷RG- RG-S3760-24参数l 产品概述RG-S3760系列是锐捷网络推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。 RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。 RG-S3760系列交换机在提供高性能、多业务的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障网络安全、网络合理化使用和运营。 RG-S3760系列为方便大型网络使用和不同管理员的管理习惯，提供了多种形式的管理工具如SNMP、Telnet、Web和Console口等。 RG-S3760系列以高性能、高安全、多业务、易用性特性为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务质量、灵活丰富的安全措施和基于策略的网管，最大化满足高速、安全、多业务的下一代企业网需求。l 产品特征高性能IPv4/IPv6双栈协议多层交换高背板带宽为所有的端口提供非阻塞性能；硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝地升级为下一代IPv6方案；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要；基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文线速转发，有效保证了设备的安全性。灵活完备的安全控制策略具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色；业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全；硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题；专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网； SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。强大的多应用支持能力支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展和多业务应用；支持IGMPv1/v2/v3全部版本，适应不同组播环境，满足组播安全应用的需要；支持丰富的路由协议如等价路由、权重路由等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。完善的QoS策略以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。高可靠性支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。方便易用易管理RG-S3760-24灵活复用的千兆接口形式，可灵活满足需要多个千兆链路上链、或多个千兆服务器的连接，方便用户灵活选择和网络扩展；网络时间协议保证交换机时间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理； Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理； CLI界面，方便高级用户配置和使用； Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。l 技术参数产品型号RG-S3760-24固定端口24端口10/100M自适应端口，4个SFP接口，4个复用的10/100/1000M电口可用SFP模块Mini-GBIC-SX：单口1000BASE-SX mini GBIC转换模块（LC接口）；Mini-GBIC-LX：单口1000BASE-LX mini GBIC转换模块（LC接口）；Mini-GBIC-LH40：单口1000BASE-LH mini GBIC转换模块（LC接口），40km；Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km；Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km背板37.6GbpsIPv4包转发速率L2：线速（9.6Mpps）L3：线速（9.6Mpps）IPv6包转发速率L2：线速（9.6Mpps）L3：线速（9.6Mpps）MAC16K802.1q VLAN4KIPv4 ACL支持灵活多样的硬件ACL，如标准IP ACL（基于IP地址的硬件ACL）、扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL）、时间ACL等，提高对各种网络病毒和网络攻击的防御能力IPv6 ACL & QoS支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL 和IPv6 QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q (GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3、RLDPL3协议IPv6、OSPFv1/v2、OSPF v3、RIPv1/v2、PIM（DM/SM/SSM）、DVMRP、VRRP、IGMPv1/v2/v3IPv6协议支持ICMPv6、IPv6动态路由协议OSPFv3、支持多种Tunnel隧道技术（如手工配置隧道、6to4隧道和 ISATAP隧道等）Defeat IP Scan（防IP扫描）支持管理协议SNMPv1/v2c/v3、Web(JAVA)、CLI(Telnet /Console)、RMON(1,2,3,9)、SSH、SNTP、NTP、Syslog其它协议Protocol VLAN、Super Vlan、DHCP Server、DHCP Client、DHCP Relay、DNS Client、Bootp、Proxy ARP、免费ARPJumbo Frame支持网络介质和最大传输距离1000BASE-SX：波长850nm，62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m；1000BASE-LX：波长1310nm，62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；9/125um单模光纤线的最大传输距离为10Km；1000BASE-LH：波长1310nm，9/125um单模光纤线的最大传输距离为40Km；1000BASE-ZX：波长1550nm，9/125um单模光纤线的最大传输距离为50Km和80Km两种；尺寸（长 宽高mm）440 240 44mm电源160VAC240VAC，50Hz60Hz功耗40W温度工作温度: 0C 到 45C，存储温度: -40C 到 70C湿度工作湿度: 10% 到 90% RH，存储湿度: 5% 到 90% RH3.1.2 华为3528P-EA参数l 产品特点电信级可靠性S3500EA支持RRPP（Rapid Ring Protect Protocol，快速环网保护协议），在链路故障情况下，能提供毫秒级的链路保护能力，有效提高接入网可靠性。 S3500EA支持STP/RSTP/MSTP协议，支持VRRP虚拟路由冗余协议，支持ECMP（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。支持策略路由，能基于流分类ACL规则提供客户化路由判定。基于VLAN的业务控制S3500EA提供基于VLAN的流限速功能，能根据不同业务、不同用户提供不同带宽保障，满足网络精细化运营需求；支持基于VLAN的ACL规则，能根据不同业务和用户下发ACL规则，保障高优先级业务和用户的安全需求；支持基于VLAN的流量统计功能，能统计每用户、每业务所消耗的带宽，为运营商按流量计费提供便利。S3500EA支持灵活QinQ功能，可以根据内层VLAN tag灵活标记外层VLAN tag，满足城域接入网一般建设需求。S3500EA支持策略QinQ功能，可以根据丰富的流分类策略，包括VLAN tag、MAC地址、IP协议、源地址、目的地址、优先级、或端口号等，灵活标记外层VLAN tag，弥补了传统灵活QinQ的不足，更好的满足了城域接入网不同业务分类和分流的建设需求。完善组播支持S3500EA支持大容量组播路由和强组播复制能力，非常适合作为园区组播复制点和控制点。S3500EA支持丰富的组播协议IGMP v1/v2/v3 Snooping 、IGMP Snooping Filter、IGMP Snooping Fast-Leave、IGMP v1/v2/v3、 PIM-DM、 PIM-SM、PIM-SSM、MSDP，支持组播静态路由、组播组静态加入，能实现二层组网模式下的跨VLAN组播复制。S3500EA同时支持IPv4和IPv6组播功能，为网络平滑升级提供保障。丰富的QOS策略S3500EA支持基于源MAC地址、目的MAC地址、源IPv4/IPv6地址、目的IPv4/IPv6地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类，充分保障了复杂网络对QoS的要求。S3500EA支持基于流的流量限速、优先级标记或映射，能基于流来修改VLAN以及重定向到端口或下一跳，基于端口的流量整形。支持CAR功能，粒度最小达1K bps。丰富IPv6特性S3500EA硬件支持IPv4/IPv6双栈和IPv6 over IPv4隧道（包括手工Tunnel、6to4 Tunnel、ISATAP Tunnel、auto-Tunnel），三层线速转发。既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，充分满足当前园区网从IPv4向IPv6过渡的需求。 S3500EA支持丰富的IPv4/IPv6路由协议，包括静态路由、RIP、OSPF、ISIS、BGP4。支持IPv6的邻居发现协议（Neighbor Discovery Protocol，NDP），管理邻居节点的交互。支持PMTU发现（Path MTU Discovery）机制，可以找到从源端到目的端的路径上一个合适的MTU值，以便有效地利用网络资源并得到最佳的吞吐量。便捷的管理和运维S3500EA支持NQA，能探测DHCP、HTTP、SNMP服务是否可用以及服务的响应时间，检测网络的时延抖动，使运营商对网络现状清晰掌握。S3500EA支持RSPAN远程端口镜像，突破传统镜像端口和被镜像端口必需同设备的限制；支持VCT虚电路检测，能自动发现链路故障。S3500EA支持单纤双向模块，能实现单根光纤双向传输，解决光纤资源不足问题。S3500EA支持基于出/入端口镜像、基于流的镜像以及远程端口镜像功能，可以实现统一监控检测, 使网络管理更方便。支持SNMP，支持CLI命令行，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH等加密方式，使得管理更加安全。l 技术参数产品型号S3528P-EA端口24个10/100M 电口，4个SFP 模块接口可选模块SFP-FE-SX(2km) SFP-FE-LX(15km) SFP-FE-LH40(40km) SFP-FE-LH80(80km) SFP-GE-T SFP-GE-SX（0.55km） SFP-GE-LX（10km） SFP-GE-LH40（40km） SFP-GE-LH70（70km） 线速二/三层交换总线带宽为32Gbit/s 端口容量为12.8Gbit/s 包转发率9.6Mpps 支持IEEE 802.3x流控（全双工）端口支持Back-pressure based flow control（半双工）支持基于端口速率百分比的风暴抑制端口汇聚支持FE端口聚合支持GE端口聚合VLAN 支持4k个VLAN 支持基于端口的VLAN 支持Voice VLAN 支持GVRP/GARP 支持QinQ、灵活QinQ、策略QinQ、BPDU tunnel 可靠性支持STP/RSTP/MSTP,支持STP保护功能支持RRPP协议支持VRRP IPv4/IPv6路由支持静态路由和缺省路由支持RIPv1/2 支持RIPng 支持OSPFv1/v2/v3 支持IS-IS 支持IS-ISv6 支持BGP 支持BGP4+ for IPV6 支持等价路由支持路由策略支持MCE（Multi-instance Customer Device）功能，提供经济VPN解决方案组播支持跨VLAN组播复制支持IGMP v1/v2/V3 Snooping 支持IGMP Snooping Filter/Fast-Leave 支持IGMP v1/v2/v3 支持PIM-DM、PIM-SM、PIM-SSM、MSDP ACL 整机2K条流规则支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、四层端口、协议类型、VLAN、以太网帧协议、CoS等信息的流分类支持基于源IPv6 地址、目的IPv6 地址、四层端口、协议类型等信息的流分类QoS 支持基于流的标记优先级、修改报文VLAN ID、报文重定向到端口或IP 下一跳支持基于流的流量统计、流镜像、流量限速支持 SP/WRR/SP+WRR 队列调度支持流量整形、拥塞丢弃支持双速三色算法IPv6 支持ND(Neighbor Discovery) 支持PMTU 支持IPv6 Ping，IPv6 Tracert 支持IPv6 Telnet 支持IPv6 TFTP 支持手动配置Tunnel 支持6to4 tunnel 支持ISATAP tunnel 支持Auto-tunnel （即IPv4 compatible tunnel） 安全特性支持用户分级管理和口令保护支持IEEE 802.1X认证支持AAA 支持Radius认证支持HWTACACS 支持端口隔离支持IP+MAC+Port 绑定加载与升级支持FTP加载升级支持TFTP加载升级管理维护支持NQA 支持虚拟电缆检测(Virtual Cable Test) 支持端口镜像和RSPAN(远程端口镜像) 支持Telnet远程配置、维护支持SNMPV1/V2/V3 支持RMON 支持iManager 网管系统支持集群管理HGMP 支持设备定时重启功能外形尺寸WDH 44026043.6 重量4Kg 输入电压AC： 额定电压范围：100-240V a.c. ；50/60Hz 最大电压范围：90-264V a.c. ； 50/60Hz DC： 额定电压范围：-48- -60V d.c. 最大电压范围：-36- -72V d.c. 功耗S3528P-EA：35W S3552P-EA：45W S3552F-EA：54W S3528F-EA：60W 工作环境温度工作温度：045 储存温度：-40 70 ； 工作环境相对湿10%90% 3.1.3 技术参数对比序号设备参数产品备注华为锐捷RG-S3760-241背板带宽32Gbps37.6Gbps2端口数24个10/100M 电口，4个SFP 模块接口24端口10/100M自适应端口，4个SFP接口，4个复用的10/100/1000M电口3IPv4包转发速率包转发率9.6MppsL2：线速（9.6Mpps）L3：线速（9.6Mpps）4IPv6包转发速率无L2：线速（9.6Mpps）L3：线速（9.6Mpps）5IPv4 ACL支持硬件ACL6IPv6 ACL & QoS支持基于流的标记优先级、修改报文VLAN ID、报文重定向到端口或IP 下一跳支持基于流的流量统计、流镜像、流量限速支持 SP/WRR/SP+WRR 队列调度支持流量整形、拥塞丢弃支持双速三色算法支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL 和IPv6 QoS7IPv6协议支持ND(Neighbor Discovery) 支持PMTU 支持IPv6 Ping，IPv6 Tracert 支持IPv6 Telnet 支持IPv6 TFTP 支持手动配置Tunnel 支持6to4 tunnel 支持ISATAP tunnel 支持Auto-tunnel （即IPv4 compatible tunnel）支持ICMPv6、IPv6动态路由协议OSPFv3、支持多种Tunnel隧道技术8防IP扫描不支持支持9免费ARP不支持支持12支持WEB管理不支持支持14代理售后服务无有15故障向应时间普通极快从设备的背板带宽、ACL标识、性价比、用户方的售后服务与响应时间来看，推荐选用锐捷设备。3.2 二层（接入层）交换根据网络建设的实际情况，为了满足实际网络环境的需要，对于所有接入交换机都要求：较高的背板带宽和包转发率、生成树协议、支持网络访问控制、具有较高的安全性能、支持802.1x、端口保护、IP、MAC、端口、交换机IP、用户帐号、用户密码等多元素的灵绑定等。根据具体情况，建议接入交换机根据实际情况采用如下产品：锐捷RG-S2026F或华为S2403TP-MI作为接入交换机。各设备具体特点如下：3.2.1 锐捷RG-S2026Fl 产品概述RG-S20系列是全线速智能型增强网管交换机，具有特别丰富而强大的网管功能，在实现流量线速交换的同时，可以通过多重设置方式进行网管操作，实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。RG-S20系列交换机在设置丰富的管理策略时，可针对用户的不同使用情况进行灵活的端口带宽分配，并采用业界最先进的802.1x安全接入控制策略，提供用户接入安全保障。RG-S20系列交换机灵活的上链端口扩展能力、端口带宽分配、安全的用